首页 > 运维

融合运维理念助力Web安全评估

来源:现代数据中心 日期:2014/10/28 11:44:15 作者:现代数据中心

摘要:互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。

标签运维管理,Web

  互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。

  1.    Web合规政策趋势

  1.1  多,检查的常态

  近几年,网站数据库被拖库、挂马、篡改等Web安全事故比例逐年增加。2014年新成立的中网办,站在国家安全层面首次发文直指网站安全,突出强调以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指导下,各行各业已掀起安全大检查浪潮,从已在线运行的门户网站检查范围,扩大至新开通Web系统的安全备案,新增内容专栏的上线准入质量评估。信息发布、转载和链接管理的严格有效审查,都逐一变得常态化,周期化,高频化。

  1.2   严,考核的升级

  考核形式上,采取自查和抽查方式,通过评分奖罚制,让安全迎检与工作绩效统一挂钩。评分方面,网站安全分值占比明显提高,整体由符合性评测得分和风险评估得分共同组成,并加大风险评估得分的比例权重。风险评估方面,除按照安全隐患的数量、位置、危害程度进行一次扣分外,还增加了发现的安全隐患是否可被入侵利用的二次扣分机制,让检查要求变得愈发严格。

  2.    现有Web评估之殇

  2.1 损伤,维稳的天敌

  Web评估,就是把网站作为核心资产,在不影响其持续运行的前提下,进行安全横向到边、纵向到底的全面风险度量。反观眼下Web漏洞扫描产品,对网络带宽的过分占用及对业务系统的大量资源消耗所引发的一系列业务变慢、断网等恶性事件,让评估者一直心存阴影,使用积极性严重削减。

  2.2 耗时,进度的拖延

  应用为王的互联网时代,网站数量日益增多、复杂度逐渐提升,使得愈发严格的检查成为了一场与时间赛跑的竞赛。但纵观各类Web漏洞扫描产品,多年来一直专注于精度而忽略速度,对大规模网站的快速评估存在一定的滞后性,拖延整个检查进度。

  2.3 复杂,高门槛解读

  网站合规检查频次的增多,让很多网络运维人员的工作转投到日常网站安全评估中来。然而Web安全经验的相对不足,各类网站应用系统的复杂多变,及多年来Web漏洞扫描产品的专业定位,让运维人员在面对网站业务逻辑、运转流程,工具的功能理解、操作使用上,都存在一系列的认知误区。更为重要的是扫描报告解读的困难,由于运维人员对报告中的漏洞类型、存在位置、影响程度等缺乏足够的认识和重视,无法自行判断是否存在误报等问题,导致风险识别严重滞后,最终影响后续漏洞修复的开展。

  2.4 修复,莫名的恐惧

  网站安全事故的出现,都源自于网站自身存在漏洞。网站周期性的评估检查,就是及时发现这些漏洞,并让安全人员第一时间修复它,实现安全加固的最终目的。然而在明确网站漏洞分布后,安全人员到底该采用哪种有效的修复方式,如打哪个系统升级包,如何调整网络结构,是否增设网络安全产品,已有的WAF防护策略如何调整等,还无法从现有Web漏洞扫描产品中得到清晰可靠的指导性建议。此外,即使采用了某种修复手段,该手段是否会造成网站业务的不良影响,依然无法确定。以上问题最终导致了网站陷于一种漏洞已知,却不敢下手修复的尴尬境地,让网站评估半途而废。

                        
扫一扫,订阅更多数据中心资讯                             欢迎发表评论

公司简介 - 联系方法 - 投稿指南 - 客户服务 - 隐私政策 - 网站地图

Copyright © 2008 - 2012 Dcjchina.COM.cn All Rights Reserved

现代数据中心网 版权所有

[2011]ICP100780