网络安全 频道

融合运维理念 助力Web安全评估

  【IT168 资讯】互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。

  1. Web合规政策趋势

  1.1 多,检查的常态

  近几年,网站数据库被拖库、挂马、篡改等Web安全事故比例逐年增加。2014年新成立的中网办,站在国家安全层面首次发文直指网站安全,突出强调以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指导下,各行各业已掀起安全大检查浪潮,从已在线运行的门户网站检查范围,扩大至新开通Web系统的安全备案,新增内容专栏的上线准入质量评估。信息发布、转载和链接管理的严格有效审查,都逐一变得常态化,周期化,高频化。

  1.2 严,考核的升级

  考核形式上,采取自查和抽查方式,通过评分奖罚制,让安全迎检与工作绩效统一挂钩。评分方面,网站安全分值占比明显提高,整体由符合性评测得分和风险评估得分共同组成,并加大风险评估得分的比例权重。风险评估方面,除按照安全隐患的数量、位置、危害程度进行一次扣分外,还增加了发现的安全隐患是否可被入侵利用的二次扣分机制,让检查要求变得愈发严格。

0
相关文章