近日，全球知名的高性能Web 2.0安全解決方案領導廠商與高端Web安全設備提供商——Wedge Networks（穩捷網絡）宣布，通過提供專署的高性能Web安全網關，穩捷網絡成功為煙草專賣局搭建了Web安全保護方案，新方案從源頭解決了用戶在防病毒與防垃圾郵件方面的迫切需求，而且在產品易用性上得到了用戶的肯定。

并存：發展與挑戰

長期以來，中國煙草行業實行統一領導、垂直管理、專賣專營的管理體制。中國煙草行業實行專賣專營體制以來，在黨中央、國務院的正確領導以及地方各級黨委政府、各有關部門的大力支持下，充分發揮行業管理體制的優勢，落實科學發展觀，不斷深化改革，強化專賣執法，推進科技進步，狠抓基礎管理，促進了經濟效益不斷提高。至今已累計實現利稅15778億元，為增加國家財政積累、滿足市場消費做出了積極貢獻。

近兩年來，中國煙草行業緊緊圍繞“做精做強主業，保持平穩發展”的基本方針和“深化改革，推動重組，走向聯合，共同發展”的主要任務，積極推進行業內部改革和企業組織結構調整。各級煙草專賣機構狠抓整頓和規范煙草市場秩序，加強經濟運行調控，促進了行業各項工作的順利開展，保持了全行業的平穩發展。

目前，作為對煙草專賣品的生產、銷售、進出口貿易及對外經濟技術合作業務依法實行專賣管理的部門，其內部服務器卻面臨著Web安全的新挑戰：

來自互聯網的不良分子對企業內部重要 IT資源愈演愈烈的攻擊。

已有的安全設備不能提供完整的 Web安全保護，造成內部知識產權及重要數據信息面臨外瀉的危機。

來自互聯網的廣告郵件、釣魚郵件、病毒郵件日趨泛濫，對此類郵件的有效清理非常必要。

應對：網關與防護

為了確保自身網絡安全，相關單位網絡部門負責人提出了三項安全要求：

第一，為了實現最佳的安全效果，同時確保企業網絡拓撲不受影響，希望能夠從網關處解決問題。

第二，由于當前主要安全威脅來自于互聯網，因此Web安全必須成為重點保護的對象，網關設備需要防止病毒、木馬、間諜軟件等對服務器系統的破壞，確保公司的重要數據信息安全。

第三，由于內部員工日常工作離不開電子郵件系統，因此確保郵件系統安全，保護工作人員免受垃圾郵件的侵害成為當務之急。

根據用戶的需求，穩捷網絡和項目集成商聯信永益一齊攜手，以穩捷網絡BeSecure NDP-1020 Web安全網關為基礎，構建了完整的Web安全保護方案。

在整個方案中，通過在企業外網防火墻 DMZ區內部署一臺穩捷網絡BeSecure NDP-1020設備，一方面實現了對企業郵件服務器的安全保護，另一方面也確保了對外網防火墻 DMZ區服務器群提供防病毒服務。

圖一：BeSecue Web安全解決方案示意圖

　　據介紹，在穩捷網絡BeSecure NDP-1020 Web安全網關上線 1個月的時間內，BeSecure Web安全網關對高達364.8 GB的Web數據進行了實時深層掃描，有效鑒別出發送到內部工作人員郵箱的垃圾郵件114,454封，與此同時，阻止各類病毒、木馬、間諜軟件的攻擊126起，其中118起是來自向內部工作人員發送的帶毒郵件攻擊，8件是來自HTTP Web協議的服務器攻擊。

收益：安全與分析

無疑，通過穩捷網絡BeSecure NDP-1020 Web安全網關的成功部署，極大地確保了用戶的網絡安全。對于負責任的安全廠商而言，確保用戶遠離安全風險僅僅是第一步，為了讓用戶能夠對自身網絡的安全性了如指掌，穩捷網絡專門量身定制了一套專署的安全分析簡報，以便用戶自身能夠找準問題所在。

據穩捷網絡安全工程師介紹，在此次安全建設中，發現了兩大類安全風險，分別是：Web病毒入侵和垃圾郵件泛濫。

大量病毒入侵

穩捷網絡發現，大部分病毒是通過 SMTP或 POP3協議以郵件方式向工作人員郵箱發送的，然后因錯誤點擊而造成內部的混亂與恐慌，更有8起是來自HTTP Web協議的對服務器攻擊，妄圖造成服務器系統的崩潰或盜取重要的數據信息。所幸的是，這些惡意的傳輸均被BeSecure Web 安全網關阻攔。

圖二：BeSecure Web 安全網關生成的病毒來源統計

垃圾郵件泛濫

此前，用戶內部的垃圾郵件泛濫成災，并一度威脅到內部員工的正常工作。在對郵件服務器提供郵件安全服務中，穩捷網絡發現流向郵件服務器的垃圾郵件多達114,454封，如此數量的垃圾郵件如果送達了工作人員的郵箱，勢必導致工作人員把大量精力虛耗在繁多的垃圾郵件處理工作上，不僅造成工作效率的下降，也對用戶的網絡安全帶來嚴重挑戰。幸運的是，穩捷網絡BeSecure Web安全網關設備對郵件內容進行有效檢測和合理的分類，使工作人員從此免受垃圾郵件的困擾。

圖四：BeSecure Web 安全網關生成的垃圾郵件來源統計

另外，在Web安全網關運行時間內， BeSecure NDP-1020 Web安全設備系統CPU最高使用率僅10%，內存使用最高僅500M，說明系統資源充分，設備運行正常，不僅完全滿足了對用戶DMZ區服務器數據流量的掃描和處理，而且也為日后用戶IT系統的擴容保留了充分的安全彈性。

從實際運行情況看，在短短的一個月內，用戶服務器面對的惡意攻擊就高達數十萬次，所有這些攻擊均是可穿透防火墻和IDS/IPS設備的復雜內容攻擊。無疑，實際情況再一次證明，用戶選擇布署專用的Web安全解決方案是非常必要且行之有效的。