融合运维理念 助力Web安全评估

来源:kaiyun体育官方人口   
2014/10/30 14:09:08
互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。

本文关键字: Web 安全评估

互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。

Web合规政策趋势

1.1多,检查的常态

近几年,网站数据库被拖库、挂马、篡改等Web安全事故比例逐年增加。2014年新成立的中网办,站在国家安全层面首次发文直指网站安全,突出强调以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指导下,各行各业已掀起安全大检查浪潮,从已在线运行的门户网站检查范围,扩大至新开通Web系统的安全备案,新增内容专栏的上线准入质量评估。信息发布、转载和链接管理的严格有效审查,都逐一变得常态化,周期化,高频化。

1.2严,考核的升级

考核形式上,采取自查和抽查方式,通过评分奖罚制,让安全迎检与工作绩效统一挂钩。评分方面,网站安全分值占比明显提高,整体由符合性评测得分和风险评估得分共同组成,并加大风险评估得分的比例权重。风险评估方面,除按照安全隐患的数量、位置、危害程度进行一次扣分外,还增加了发现的安全隐患是否可被入侵利用的二次扣分机制,让检查要求变得愈发严格。

现有Web评估之殇

2.1 损伤,维稳的天敌

Web评估,就是把网站作为核心资产,在不影响其持续运行的前提下,进行安全横向到边、纵向到底的全面风险度量。反观眼下Web漏洞扫描产品,对网络带宽的过分占用及对业务系统的大量资源消耗所引发的一系列业务变慢、断网等恶性事件,让评估者一直心存阴影,使用积极性严重削减。

2.2 耗时,进度的拖延

应用为王的互联网时代,网站数量日益增多、复杂度逐渐提升,使得愈发严格的检查成为了一场与时间赛跑的竞赛。但纵观各类Web漏洞扫描产品,多年来一直专注于精度而忽略速度,对大规模网站的快速评估存在一定的滞后性,拖延整个检查进度。

2.3 复杂,高门槛解读
网站合规检查频次的增多,让很多网络运维人员的工作转投到日常网站安全评估中来。然而Web安全经验的相对不足,各类网站应用系统的复杂多变,及多年来Web漏洞扫描产品的专业定位,让运维人员在面对网站业务逻辑、运转流程,工具的功能理解、操作使用上,都存在一系列的认知误区。更为重要的是扫描报告解读的困难,由于运维人员对报告中的漏洞类型、存在位置、影响程度等缺乏足够的认识和重视,无法自行判断是否存在误报等问题,导致风险识别严重滞后,最终影响后续漏洞修复的开展。

2.4 修复,莫名的恐惧

网站安全事故的出现,都源自于网站自身存在漏洞。网站周期性的评估检查,就是及时发现这些漏洞,并让安全人员第一时间修复它,实现安全加固的最终目的。然而在明确网站漏洞分布后,安全人员到底该采用哪种有效的修复方式,如打哪个系统升级包,如何调整网络结构,是否增设网络安全产品,已有的WAF防护策略如何调整等,还无法从现有Web漏洞扫描产品中得到清晰可靠的指导性建议。此外,即使采用了某种修复手段,该手段是否会造成网站业务的不良影响,依然无法确定。以上问题最终导致了网站陷于一种漏洞已知,却不敢下手修复的尴尬境地,让网站评估半途而废。

重启Web应用漏洞扫描之门

3.1运维理念的融合

3.1.1  网站资产识别,聚焦风险分布

在保持原有任务管理的基础上,融合网站安全运维理念的Web漏洞扫描产品必须具备网站资产识别能力。首先,通过只爬不扫,全面搜集目标站点信息,如网站规模大小、类型属性、资产映射表等基本信息,为下一步制定详细扫描策略提供参考性依据;其次,通过多级用户权限的分离,让不同角色的评估者从各自运维管理的视角,灵活地依据目标站点的闲时忙时、内容归属等,择时而扫、择目录而扫,进行针对性更强的站点指定扫描,从而满足从时间、角色、IP、域名、URL目录、隶属组织和部门名称的多维统一,更好地诠释扫描任务与当前网站相关资产的清晰对应,让网站安全态势从整体到局部一览无遗,尽显眼底。

 

共3页: 上一页1 [2] [3]
责编:dora.gao
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map