极大部分网站都面临插件攻击风险,网站等级保护测评认证应该怎么做？

Tala Security于7月21号发布的一份web安全报告显示，全球Web安全状况急剧恶化，99%的网站JavaScript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况，发现平均每个网站包含来自32个不同的第三方的JavaScript程序，比2019年略有增加。而诸如Google Analytics（分析）和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。

报告指出，如果没有有效的策略控制，大多数网站上运行的每一段代码都可能通过JavaScript执行的客户端攻击来修改、窃取或泄漏信息。这些攻击对黑客而言意义重大，因为一旦他们攻击了第三方工具，他们便可以在部署该工具的任何其他网站上利用它。

报告发现，数据风险无处不在，很少有网站部署真正应有效的控制措施。“在许多情况下，这些数据泄漏是通过白名单上的合法应用程序进行的，而网站所有者却不知道。”

SaltStack的联合创始人兼首席技术官Thomas Hatch说：“这些类型的攻击和漏洞并不是什么新事物，但却比以往任何时候都普遍。如果要克服这些问题，我们需要重新考虑如何部署应用程序，重新考虑如何保护应用程序，重新考虑如何安全管理，以及如何支持用于构建现代Web站点的大量开源项目。”

从Tala Security发布的web安全报告可以看出，网站的安全防护刻不容缓。如何防护呢？在我国，网络运营单位必须履行等级保护制度，遵循定级、备案、安全建设、等级测评、监督检查等流程，落实等级保护工作。

1、定级

信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。根据《网络安全法》相关规定和等保2.0标准，各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，应根据所属信息系统的重要程度和遭到破坏后的危害程度，按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则，确定信息系统的安全保护等级。

定级流程是：①确定受侵害的客体；②确定对客体的侵害程度；③综合判定侵害程度；④确定信息系统安全保护等级。

2、备案

信息安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。第二级以上信息系统，在安全保护等级确定后30日内，由其运营、使用单位或者其主管部门(以下简称“备案单位”)到所在地设区的市级以上公安机关办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。通过审核之后，当地公安机关会出具《信息系统安全等级保护备案证明》，企业/单位就可以开展下一步的等级保护工作。

3、安全建设

以《基本要求》中对应等级的要求为标准，对定级对象当前不满足要求的进行建设整改。由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改。一般来说，网络安全服务公司提供的等保整改服务包括三个方面的内容：技术整改、管理制度整改、协助开展等级测评。此外，安全培训是网络安全服务公司为了更好地落实等保整改制度而提供的额外服务。企业可以根据自己的实际需求，合理选择整改服务内容。

4、等级测评

等保测评全称是信息安全等级保护测评，是经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。测评机构测评结束之后，会出具正式的测评报告。测评报告也需要提交给公安机关。

等保2.0时代，二级及以上的系统都需要通过等级测评。同时等级测评并不是做一次就可以，二级系统每两年至少进行一次测评，三级系统每年至少进行一次测评，四级系统每半年至少进行一次测评。

5、监督检查

网站运营单位配合完成公安机关对网络安全等级保护实施情况的检查。