安全挑戰
在大力發展信息化戰略、積極開展互聯網+業務的背景下,各個機構的信息化系統和互聯網系統快速增長,為客戶提供更加靈活便捷的服務體驗,以及更出色的工作效率,但安全事件也隨之不斷增多。
隨著“智慧”的推動,大量線上核心業務系統安全形勢日益嚴峻。業務系統和關鍵數據的安全性、網絡運營的可靠性時刻遭受挑戰。惡意入侵、DDoS攻擊、惡意篡改等事件層出不窮;暴力撞庫、非法破解、偽造數據流量、黃牛黨和薅羊毛黨對業務運營造成巨大影響,嚴重損害利益。
1. 網絡層攻擊:面對大規模DOS、DDOS攻擊,避免業務系統宕機,保障業務連續性;SQL注入、CSRF、XSS跨站腳本等應用層攻擊防護......
2. 爬蟲攻擊:通過內容爬蟲肆意侵犯版權,竊取者獲得極大利益的同時損害了自身利益;通過價格爬蟲進行非法商業競爭,使用商業爬蟲竊取競爭對手產品定價數據導致惡性價格競爭;
3. 隱私泄露:通過暴力撞庫、調用關鍵接口騷擾用戶,暴力破解查詢接口獲取用戶隱私信息等,損害公司和公戶利益,影響公司形象,乃至危害社會公共安全;
4. 內容風險:通過篡改網站內容、批量式的機器發布政治敏感、垃圾內容,給企業帶來巨大涉政風險,給國家和社會帶來巨大不安定因素;
5. 客戶端數據篡改:用戶通過隨意修改客戶端數據,非法請求網絡資源,給業務系統帶來巨大的經濟損失和數據泄露風險;
6. 黃牛:搶購商品、惡意搶拍等行為影響企業營銷效果,嚴重妨礙平臺公平性;
7. 薅羊毛:通過機器批量注冊、自動化領取優惠券,大批量低價購買平臺商品和資源,造成企業承受巨大經濟損失。
方案概述
信息安全建設是一個動態的過程,并不是一成不變的,它是一個需要不斷調整、不斷完善的過程。
針對而言,我們應著眼于整個安全生命周期,從各個層面解決當前所面臨的安全問題,同時依照“重點先行、急用先上”的原則,進行總體安全規劃的分步和分期執行。
圖:基于安全事件生命周期進行安全規劃示意圖
如上圖所示,基于安全事件生命周期進行安全規劃,以保護業務管理系統及數據的完整性、可用性、性為核心目標,針對事前、事中、事后三個階段進行適當的安全建設,并隨著資產、威脅、脆弱性風險三要素的改變而進行靈活調整,最終實現整體安全的動態保障。
方案設計按照安全事件生命周期的事前、事中、事后三個階段分別進行相應的安全建設,來達到各個階段的安全業務使命目標,從而達到最終的安全建設目標。
1、事前階段
目標:識別并降低風險,達到安全基線。
安全措施:安全風險評估、安全意識培訓等。
2、事中階段
目標:實現系統被訪問及使用過程中的威脅識別以及記錄留存,能夠及時采取防御措施防止安全事件的發生。
網絡層安全措施:DDoS攻擊防護。
應用層安全措施:WEB應用防護、自動化攻擊防護、網頁防篡改、網站安全監測服務等。
3、事后階段
目標:保障業務的持續性,在出現安全事件后及時響應及時恢復,盡可能減少安全事件所造成的損失。
安全措施:安全事件應急處置等。
綠盟科技處理應急安全事件之后,根據系統的安全性和威脅,提供相應的事后安全分析和可行性安全建議,并進行事后安全加固,幫助單位解決存在的或者可能存在的安全問題。
