|
融合运维理念 助力Web安全评估互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。 互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。 Web合规政策趋势 1.1多,检查的常态 近几年,网站数据库被拖库、挂马、篡改等Web安全事故比例逐年增加。2014年新成立的中网办,站在国家安全层面首次发文直指网站安全,突出强调以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指导下,各行各业已掀起安全大检查浪潮,从已在线运行的门户网站检查范围,扩大至新开通Web系统的安全备案,新增内容专栏的上线准入质量评估。信息发布、转载和链接管理的严格有效审查,都逐一变得常态化,周期化,高频化。 1.2严,考核的升级 考核形式上,采取自查和抽查方式,通过评分奖罚制,让安全迎检与工作绩效统一挂钩。评分方面,网站安全分值占比明显提高,整体由符合性评测得分和风险评估得分共同组成,并加大风险评估得分的比例权重。风险评估方面,除按照安全隐患的数量、位置、危害程度进行一次扣分外,还增加了发现的安全隐患是否可被入侵利用的二次扣分机制,让检查要求变得愈发严格。 现有Web评估之殇 2.1 损伤,维稳的天敌 Web评估,就是把网站作为核心资产,在不影响其持续运行的前提下,进行安全横向到边、纵向到底的全面风险度量。反观眼下Web漏洞扫描产品,对网络带宽的过分占用及对业务系统的大量资源消耗所引发的一系列业务变慢、断网等恶性事件,让评估者一直心存阴影,使用积极性严重削减。 2.2 耗时,进度的拖延 应用为王的互联网时代,网站数量日益增多、复杂度逐渐提升,使得愈发严格的检查成为了一场与时间赛跑的竞赛。但纵观各类Web漏洞扫描产品,多年来一直专注于精度而忽略速度,对大规模网站的快速评估存在一定的滞后性,拖延整个检查进度。 2.3 复杂,高门槛解读 2.4 修复,莫名的恐惧 网站安全事故的出现,都源自于网站自身存在漏洞。网站周期性的评估检查,就是及时发现这些漏洞,并让安全人员第一时间修复它,实现安全加固的最终目的。然而在明确网站漏洞分布后,安全人员到底该采用哪种有效的修复方式,如打哪个系统升级包,如何调整网络结构,是否增设网络安全产品,已有的WAF防护策略如何调整等,还无法从现有Web漏洞扫描产品中得到清晰可靠的指导性建议。此外,即使采用了某种修复手段,该手段是否会造成网站业务的不良影响,依然无法确定。以上问题最终导致了网站陷于一种漏洞已知,却不敢下手修复的尴尬境地,让网站评估半途而废。 重启Web应用漏洞扫描之门 3.1运维理念的融合 3.1.1 网站资产识别,聚焦风险分布 在保持原有任务管理的基础上,融合网站安全运维理念的Web漏洞扫描产品必须具备网站资产识别能力。首先,通过只爬不扫,全面搜集目标站点信息,如网站规模大小、类型属性、资产映射表等基本信息,为下一步制定详细扫描策略提供参考性依据;其次,通过多级用户权限的分离,让不同角色的评估者从各自运维管理的视角,灵活地依据目标站点的闲时忙时、内容归属等,择时而扫、择目录而扫,进行针对性更强的站点指定扫描,从而满足从时间、角色、IP、域名、URL目录、隶属组织和部门名称的多维统一,更好地诠释扫描任务与当前网站相关资产的清晰对应,让网站安全态势从整体到局部一览无遗,尽显眼底。
责编:dora.gao 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|