安全現狀不容樂觀

安恒信息從事多年的WEB應用安全服務，從服務經歷中來看面臨的危脅越來越嚴重，通過對煙草公司外網（門戶網站及訂煙系統）進行了安全基礎調查，發現業務交易系統仍存在一定的安全問題，如下圖所示為煙草公司的威脅分析示意圖。

安全體系缺少應用防護

安恒信息在對現有安全數據和經驗數據分析之外還對煙草公司典型的網絡及應用環境進行了安全分析，分析表明現有的網絡架構已經具備較好的網絡安全防御能力和操作系統安全管理能力，而在WEB應用層面缺少相關的安全防護措施和長效機制。

具備較好的網絡和系統防御能力

煙草公司已經具備較好的網絡防護能力，首先采用物理隔離技術實現內外網的物理隔離，其次采用網絡防火墻設備實現對網絡層攻擊的防御。同時，通過采用防病毒、補丁管理等技術保障了操作系統的基本安全。

需要應用層防護

通過調研分析，我們發現針對WEB應用層的防護卻幾乎一片空白。信息安全正如木桶理論所描術的那樣，WEB應用系統的安全程序并不取決于我們在某一個方面安全投入的巨大，而在于我們是否針對脆弱的防護御點采取了有效的措施。

WEB應用系統的防護需要采用專業的針對應用層的防護措施。 具體的需求主要表現為以下幾個方面

屏蔽安全隱患

為了防止服務端敏感信息泄露需要通過有效的技術手段對現有網站的敏感信息進行屏蔽，如遺留的備份文件、配置文件，管理后臺的外網嘗試等。

阻斷應用攻擊

攻擊防護方面要求專業的WEB應用防護設備進行防護，能有效防止跨站腳本攻擊、SQL注入等常見攻擊。同時還需要有強大的安全策略定制功能。

防止網頁被篡改

需要對服務器的文件系統實現防篡改保護，即使攻擊者入侵服務器也無法對文件系統進行修改。

安恒提供的解決方案

為了提高煙草外網的安全，安恒信息結合煙草的安全需求定制了應用安全解決方案。

整體安全架構

針對煙草公司的需求，我們定制如下圖所示的安全解決方案，如下圖所示首先通過外網進行安全監測，全天候的對外網站的可用性、安全性實時監測，所有WEB網站均通過數據中心統一對外監測和預警。

而對日益嚴重的WEB應用攻擊我們推薦使用明御WEB應用防火墻進行專業WEB應用防護，可以有效的阻斷SQL注入攻擊、CC攻擊、跨站腳本攻擊等多種WEB應用攻擊。同時還可以兼容將來的訂煙系統HTTPS服務的需求。

監測與防御相結合

首先我們在方案中引入了安全監測平臺，對煙草外網實現監測。通過監測我們可以實現7X24小時不間斷網站、業務系統可用性值守，業務系統的是否可以正常訪問，訪問的內容是否受到安全攻擊，新增的業務系統是否存在漏洞等均可以通過監測平臺即發現。

服務與產品相補充

信息安全是一個發展和交互的過程，使用任何一種功能再強大的防范產品都需要輔助以優秀的安全服務才有達到最佳安全效果。