扫一扫
关注微信公众号

网页防篡改技术发展趋势
2019-04-08   智恒科技 尹智庆

        2008年的时候我写过一篇《网页防篡改技术追踪》,详细分析了防篡改的技术发展路线,从第一代技术发展到第三代技术,从传统的扫描比对技术过渡到系统驱动级防护。也就是从篡改恢复类技术到杜绝修改,在当时也算是一种跨越式进步,WebGuard目前已经成为网站安全的代名词。

    过去十年的时间里,云计算得到了空前的发展,大多数网站迁移部署到云端,虽然不影响防篡改系统的部署和使用,但成本问题成了发展的瓶颈。针对网站的攻击趋势并未减弱,各种云防护技术犹如雨后春笋般蓬勃发展,但魔高一尺道高一丈。各类基于云防护技术并未能彻底防御住愈演愈烈的攻击形势,被攻击篡改的网站还是比比皆是。经常有人问我未来防篡改的发展趋势会是什么样,已经发展到第几代产品,在这里做个简要的介绍,帮助用户在选择防护技术有个清晰的概念认知。今年是建国七十周年,也为迎接风雨欲来的攻击提前做些准备工作。

        任何技术的发展都要结合实际的应用发展趋势,云计算得到大规模发展,得益于低成本,方便运维,灵活性等多个特点。传统的防护设备都成了IAAS的基础设施,基于应用的SAAS技术并没有完全得到大规模的成功应用,显得相对落后。很多用户误以为上云了就安全了,素不知本质的东西并没有改变,基于操作系统+发布系统的格局并没有变。我们也有大量用户在云环境里部署了防篡改产品,但只针对大型用户或政务云有专业级的运维服务第三方人员承担了大量的工作。这种VIP式的服务模式并不利于推动该系统的大规模应用,也与日益蓬勃发展的国产化安可规划以及国家对网络安全的发展要求显得格格不入。

        针对电信IDC或云服务提供商应该部署专业级的云防篡改平台,通过插件的方式自动安装并识别驱动,可以轻松部署防篡改的客户端程序,并集成白名单技术实现系统的加固。而统一分用户的管理模式可以为用户节省一大笔管理端的成本,甚至是可以做到零维护,这才是防篡改技术真正意义上的云模式发展。适用于较大规模的网站群或政务云平台,比如朝阳区教委,海淀区教委,将全区所有学校的网站集中部署云防篡改系统,而学校并没有增加任何维护技术工作量,可完全做到零维护。网站未来的发展趋势势必会朝着节约化,大数据化的发展,各类轻型应用会遍地开花。云防篡改的技术既可以做到网站内容的安全可靠,还可以确保核心数据库不被窃取篡改,最关键的是成本大大降低了。无论是用户自身机房的部署模式还是云平台的部署都还将适用等级保护的管理条例进行防护,《网络安全法》的执法力度只会越来越严格。
 
 
一方面用户可以自建云防篡改平台,也可以委托我们进行防护,看用户的网站规模,采用传统的购买产品方式日渐趋少,购买专业及的安全服务才是大势所趋。同时搭配web漏洞扫描云平台WebPecker技术,及时的识别网站的各类风险,并及时地做出响应,将网站遭受攻击的可能性大大降低。
 
对比项 人工渗透测试 WebPecker系统
检测准确度 人工渗透测试的结果依赖于实际测试的人员水平高低,以及长期的研究经验,随机性较大,检测结果大多都不太理想; 系统内置了强大的扫描引擎以及几十位资深安全专家的经验,严格按照国际CVE以及OWASP漏洞标准执行;
投资回报 比较昂贵,每次检测都在万元以上; 只要2000元就可以购买全年不间断扫描服务;
时间 每次渗透测试包括验证,报告时间至少需要一周左右的时间; 中等规模的网站只需要几十分钟就可以检测完成,自动生成报告;
发展趋势 目前基于SAAS模式的安全扫描服务模式,已经成为当下最主要的发展趋势,各大云服务提供厂商都提供了类似服务,只是专业性相对欠缺,检测结果不够准确,效率也比较低,并不能提供相关附加顾问服务,如购买专业的web漏洞扫描产品,则比较昂贵,产品库还需要不停的升级,大多漏洞库升级比较滞后,而WebPecker是实时后台自动升级,解决了用户常见的各种烦恼。
 
        到2023年,我们国家整体的安全自主可控技术的发展,也将影响到防篡改的技术发展,未来的所有政府网站以及事业单位的网站服务器将更新置于国产芯片国产操作系统上去。网页防篡改技术的国产适配工作我们已经初步完成,甚至我们会提供网站一体机,会集成数据保护、白名单保护、防篡改保护以及各类拒绝服务攻击防御技术。用户只要关心自身的核心业务发展即可,网络安全问题不在是用户最困惑的事情。

        详细请咨询我们,请访问:Http://www.zhihengit.com网站获取信息。

热词搜索:智恒科技 网页防篡 云安全

上一篇:如何打造“钢筋混凝土”型的网络环境
下一篇:最后一页

分享到: 收藏
评论内容