為什麼說開發一個小程序就像孕育一個孩子?
科技的力量正在對抗新型冠狀病毒肺炎疫情的戰鬥中扮演著不可替代的作用,上線僅三年的小程序,已然成為戰「疫」中的核心武器之一,疫情查詢、疫情防治、口罩購買、物資捐贈、線上買菜、在線教育、雲會議……小程序不僅承載著守護公共衛生的安全,也成為企業復工的最佳拍檔。
但全面爆發的小程序背後不容忽視安全風險。疫情期間,各種各樣小程序集中開發,普遍需要在1-3天的極限時間完成上線,並快速進行服務功能的迭代和升級。而針對小程序的安全標準又十分嚴苛:確保「0」大型平台問題,「0」數據安全問題。尤其是政務、醫療等公共服務類小程序,不僅面向海量用戶,還存儲著他們個人的隱私信息,其穩定性和安全性更是不容有失。除此之外,超大規模的小程序還面臨著複雜的跨網交換、超出平時數倍的運營壓力,更不必說時刻潛伏的不法黑客攻擊威脅。
為了能讓各類小程序更好、更安全地參與到「戰疫」中,騰訊安全整合旗下的安全能力推出「微應急」安全防護方案,通過一套部署在雲端的縱深產品體系和一套覆蓋「事前、事中、事後」全生命周期的安全服務體系,為小程序提供業務安全、運維安全、數據安全、應用環境安全、安全運營等五大保障,從小程序開發階段就嵌入安全基因,保障小程序從上線到運營的全生命周期和全體系的安全。
事前的風險排查格外重要,如果開發階段沒做好安全建設築牢根基,後續的安全防護與在一口爛鍋上修修補補無異,會顯著增加不法黑客破譯小程序的心業務邏輯和演算法的風險,進而將一個本來提供口罩預約、疫情查詢等公益功能的小程序二次打包,插入病毒、流氓廣告等惡意代碼,變為嚴重危害用戶體驗的作惡工具。
騰訊安全「微應急」防護方案可有效支持小程序在開發階段的安全測試、風險評估和加固。對於小程序前端代碼的加密,接入該方案的開發者只需將代碼(路徑或文件)傳遞給加密工具,即可實現字元串加密、屬性加密、調用轉換、代碼混淆等多項保護措施,提高攻擊者分析H5前端代碼邏輯的難度;針對小程序前端和後台WEB端,該方案提供整體自動化風險檢測工具,覆蓋前台代碼安全和API使用規範,以及業務CGI和對WEB框架和的安全檢測,基本覆蓋當下主流Web攻擊方式,可以讓開發者在極限開發時間壓力下,交付符合安全標準的小程序。
一旦企業遭遇了安全事件。騰訊安全專家服務,可提供入侵原因分析、業務損失評估、系統恢復加固、以及黑客溯源取證的安全服務,減少因黑客入侵帶來的損失,同時還可進一步提供威脅情報(IoC)查詢服務、IP/Domain/文件等信譽查詢服務,幫助大中型企業客戶提升現有安全解決方案的防禦和檢測能力,並且可以幫助小微企業以很小的代價來享受專業的威脅情報服務。
安全產品的部署和布防應該和業務發展協調。騰訊安全身份管控平台基於零信任策略,可對企業應用和服務提供集中管控,統一防控和統一審計,保障企業應用和服務更安全、更可靠,讓你的小程序在雲上跑更舒暢更安全。具體而言,可信身份令牌給小程序服務打造一張「安全門禁」,負責業務鑒權、信任傳遞;統一管控平台全面審計用戶行為,持續把控環境風險;應用支持智能網關對接多種業務服務,實現互聯互通。與傳統網關產品相比,應用級智能網關還可支持特大型機構應用的API集中管理、支持靈活的安全准入控制機制、滿足超大規模性能需求。
受疫情的影響,所有企業上線的新業務和應用背後都是壓縮至小時級別的迭代和開發強度。本就容易在交付的時間壓力下滋生的安全風險,在如此極限的交付壓力下,帶給安全運營的壓力可想而知。為此,騰訊安全「微應急」防護方案通過打造事前風險排查、事中應急響應、事後溯源審計的的安全服務體系,覆蓋小程序開發的全生命周期,大幅降低安全運營的壓力,同時提升精度和效率。騰訊雲原生的安全運營管理平台將騰訊安全專家服務在事前、事中、事後的能力有效融合,實現了「可視、檢測、響應、預防」一體的安全運營體系。安全運營中心的安全報表、安全儀錶盤及安全大屏等功能,讓小程序運行安全態勢可視可感知,提高安全事件處理效率。
基於多年的安全能力積累,騰訊安全建設了全面的漏洞信息庫,同時安全專家實時跟進網路風險動態,第一時間提供漏洞威脅情報、掃描插件或該工具和專業處置建議。在小程序發布前,可以提前避免風險暴露,預防入侵;在發布後,可以檢測小程序相關的服務,大幅縮減風險潛伏期,降低小程序的整體安全風險。
為了進一步保證小程序的平台穩定性和業務使用連續性,阻擋不正當流量,幫助企業構建伺服器安全防護體系。騰訊安全「微應急」安全防護方案從用戶進入小程序時就引入相關HTTP/TLS的加密,提升加密傳輸的級別,隨即通過部署DDoS 防護提供全面、高效、專業的抗D 能力。
Web應用防火牆可以高效應對Web 攻擊、入侵、漏洞利用、掛馬、篡改、後門、爬蟲、域名劫持等業務安全防護問題。此外,騰訊安全用戶提供黑客入侵檢測和漏洞風險預警等安全防護服務,通過部署主機安全產品解決當前伺服器面臨的主要網路安全風險,包括基線核查、密碼破解攔截、木馬文件查殺、高危漏洞檢測等安全功能。同時經過實踐檢驗,「DDoS防護 Web應用防火牆 主機安全」三大安全產品的聯動可以在前端阻擋99%以上的攻擊行為,阻擋絕大部分的不正常流量。
對內而言,為了消除運維人員有意或無意的操作風險,通過部署堡壘機,結合堡壘機與人工智慧技術,為企業提供運維人員操作審計,對異常行為進行告警,防止內部數據泄密。除此之外,騰訊安全「微應急」防護方案針對備受關注的數據安全問題,提供從憑據安全管理、敏感數據加密到資料庫審計和數據備份的能力,為客戶提供完整的數據安全解決方案,防止數據泄露。
目前,騰訊安全「微應急」安全防護方案已應用在全國200多個公共服務小程序中,護航公共服務的安全。同時,該方案中的產品及服務均已在騰訊雲官網上線,廣大企業可自行選購。