数字时代政企网站漏洞风险水涨船高,“重建设轻防护”不可取
发布日期:2021-05-08漏洞与数字化、信息化的进程相伴而生,随着数字社会的飞速发展,数字政府、数字企业、数字政务、电子商务和移动支付、线上交易等应用场景涉及的范围也越来越广,由于网络系统的开放性,现有网络协议和各类软件系统存在的各种安全缺陷和漏洞,网站应用的安全问题面临越来越严峻的挑战。
漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。
2019年抖音遭遇千万级外部账号密码恶意撞库攻击,牟利上百万;2019年阿里云出现大规模宕机故障,导致大波互联网公司网站瘫痪;同年,我国部分政府部门和医院等政务机构遭遇境外黑客利用勒索病毒攻击;诸如此类的网站攻击事件数不胜数,防不胜防。网站漏洞被攻击,会直接造成信息泄露、数据泄露、信任流失、财产损失甚至泄露国家机密等重大风险。
据CNVD收录资料显示,2020年上半年收录的通用型安全漏洞共一万一千个以上,其中高危漏洞占39%,涉及政府机构、重要信息系统等网络安全漏洞事件近1.5万起。其中DDoS仍然是互联网用户面临的最常见,影响较大的网络安全威胁之一。 近年来“DDoS即服务”黑产模式猖獗,攻击者倾向于使用大流量攻击将目标网络瞬间瘫痪,DDoS攻击市场小于半小时的攻击占比达81.5%,攻击目标主要集中于浙江、江苏、山东、广东和北京市等东部沿海省份和重要城市。
我们都知道网络漏洞的带来的巨大风险和后果,为什么网络安全事件还是频频发生呢?
一、安全意识不足导致管理制度缺失
大部分政企单位工作人员并不具备系统性的网络信息安全知识,进而简单的将网络信息安全防护等同于个人电脑安全防护或信息系统安全防护等单一技术措施。而且不同的单位不同的部门对网络信息安全的重视程度不同,信息化建设水平参差不齐,部分政企内部的管理制度已难以适应网络信息安全飞速发展的需要。
二、技术能力有限,应急能力差
重功能建设、轻安全防护到目前为止都是我国政企单位网络安全建设的诟病。在对目标信息系统进行规划时以业务需求和系统技术性能要求为主,没有一并考虑系统的安全防护措施,而且缺乏配备的专业网管人员,缺少安全技能,更加没有形成部门之间相互平等独立上下管理的机制和权利,无法形成统一的应急处置流程,更加不能及时有效合力处置临时出现的网络安全事件。
根据新形势下对于网络安全的新需求,各级政府单位及企业应该积极持续开展相关网络信息安全意识培训,并完善政企内部管理制度,明确各部门和员工自身的职责。同步安全规划,在网络信息系统建设的同时就要做好安全评估工作,认真履行网络安全法和等保等相关规定要求,重视安全技术的应用。如何确保信息系统安全,最常见的有防火墙技术、信息加密技术、数字水印技术、入侵检测技术、网络监测技术等,而随着新一代网络攻击手段的快速发展,像在服务器内网搭建防火墙,IPS,IDS,SOC等这种通过硬件堆叠的传统的安全防御体系已经不能满足当前网络安全防护的需要。
三六零磐云安全防护系统是集合网站配置、防护、加速、管理于一体的基于SaaS的网站安全防护产品,旨在解决用户网站安全问题。依托强大的360安全大脑,以360十年来积累的海量安全大数据为基础,先进的知识库和高级安全专家为支撑,为用户提供一套综合网站安全防护产品,支持web应用防护、DDoS攻击防护、CC攻击防护、网站加速、反爬虫、防盗链、访问控制、重保只读等功能。
图 360磐云主要功能
功能优势
安全大数据赋能
云端攻击事件特征分析及关联分析,全网协同联动内置智能算法,预测攻击趋势。通过自学习和机器学习技术,有效提升防御精准度。
防护规则精准广泛
集SQL注入、XSS、文件包含、WebShell、代码执行、文件上传、信息泄露、权限许可和访问控制、CSRF、路径遍历、命令执行、文件读取、设计错误等25大类漏洞防护类型,5000+种领先的Web漏洞攻击防护样本模型于一体。防护规则从全国范围内上千名白帽子提交的百万条信息安全事件中提炼而来,全部经过人工验证,误报率极低。
弹性扩展能力强
基于分布式防护架构,储备带宽、设备资源充足。弹性扩容,从容应对高并发攻击及业务突增。
安全事件响应最强安全团队
拥有 Bug cloud 、安全研究院、应急响应团队、产品线安全小组等多级安全事件应急响应团队,17 支领先的安全专家团队,3800 名安全人员实时监测安全事件,及时更新安全规则
主要应用场景
360磐云适合各种网站安全防护应用场景,能够根据各行业目前面临的安全考验问题,为政府、企业、电商、互联网、运营商、教育、医疗等行业企业的网站提供云端综合网站安全防护,并且支持统一管理配置以及CDN加速。
图 磐云网站防护示意
“没有网络安全就没有国家安全”,全国各级网信系统到各级政府、企事业单位应从上而下,强化关键信息基础设施防护,加强网络安全信息统筹机制、手段、平台建设,注重深入网络安全知识技能普及工作,重视系统建设,更要重视安全防护,同时兼顾安全与发展,全方位铸造网络安全的“金钟罩”。沃通是360旗下控股公司和云安全产品线上渠道合作伙伴,提供360云探网站安全监测、360磐云网站安全防护等云安全产品,帮助政企网站及信息系统强化网络安全防护能力。
往期同类文章请关注“国密应用研究院”公众号:
最新资讯
Poloniex加密货币交换泄露数据,建议数据安全从SSL证书做起
标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书