系统保护小程序安全的解决方案来了！腾讯安全助力全行业战“疫”( 二 ) 但全面爆发的小程序背后不容忽视安全风

　　同时，安全产品的部署和布防应该和业务发展协调。腾讯安全身份管控平台基于零信任策略，可对企业应用和服务提供集中管控，统一防控和统一审计，保障企业应用和服务更安全、更可靠，让你的小程序在云上跑更舒畅更安全。具体而言具体而言，可信身份令牌给小程序服务打造一张“安全门禁” ，负责业务鉴权、信任传递;统一管控平台全面审计用户行为，持续把控环境风险;应用支持智能网关对接多种业务服务，实现互联互通。与传统网关产品相比，应用级智能网关还可支持特大型机构应用的API集中管理、支持灵活的安全准入控制机制、满足超大规模性能需求。

　　除此之外，腾讯安全“微应急”防护方案针对备受关注的数据安全问题，提供从凭据安全管理、敏感数据加密到数据库审计和数据备份的能力，为客户提供完整的数据安全解决方案，防止数据泄露。

小时级的迭代、开发强度，如何缓解安全运营压力？

　　受疫情的影响，所有企业上线的新业务和应用背后都是压缩至小时级别的迭代和开发强度。本就容易在交付的时间压力下滋生的安全风险，在如此极限的交付压力下，带给安全运营的压力可想而知。为此，腾讯安全“微应急”防护方案通过打造事前风险探排查、事中应急响应、事后溯源审计的的安全服务体系，覆盖小程序开发的全生命周期，大幅降低安全运营的压力，同时提升精度和效率。

　　事前的风险排查格外重要，如果开发阶段没做好安全建设筑牢根基，后续的安全防护与在一口烂锅上修修补补无异，会显著增加不法黑客破译小程序的心业务逻辑和算法的风险，进而将一个本来提供口罩预约、疫情查询等公益功能的小程序二次打包，插入病毒、流氓广告等恶意代码，变为严重危害用户体验的作恶工具。

　　腾讯安全“微应急”防护方案可有效支持小程序在开发阶段的安全测试、风险评估和加固。对于小程序前端代码的加密，接入该方案的开发者只需将代码(路径或文件)传递给加密工具，即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施，提高攻击者分析H5前端代码逻辑的难度;针对小程序前端和后台WEB端，该方案提供整体自动化风险检测工具，覆盖前台代码安全和API使用规范，以及业务CGI和对WEB框架和的安全检测，基本覆盖当下主流Web攻击方式，可以让开发者在极限开发时间压力下，交付符合安全标准的小程序;基于多年的安全能力积累，腾讯安全建设了全面的漏洞信息库，同时安全专家实时跟进网络风险动态，第一时间提供漏洞威胁情报、扫描插件或该工具和专业处置建议。在小程序发布前，可以提前避免风险暴露，预防入侵;在发布后，可以检测小程序相关的服务，大幅缩减风险潜伏期，降低小程序的整体安全风险。

　　一旦企业遭遇了安全事件。腾讯安全专家服务，可提供入侵原因分析、业务损失评估、系统恢复加固、以及黑客溯源取证的安全服务，减少因黑客入侵带来的损失，同时还可进一步提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务，帮助大中型企业客户提升现有安全解决方案的防御和检测能力，并且可以帮助小微企业以很小的代价来享受专业的威胁情报服务。

　　腾讯云原生的安全运营管理平台将腾讯安全专家服务在事前、事中、事后的能力有效融合，实现了“可视、检测、响应、预防”一体的安全运营体系。安全运营中心的安全报表、安全仪表盘及安全大屏等功能，让小程序运行安全态势可视可感知，提高安全事件处理效率。