隨著信息技術的飛速發展，煙草行業的信息化進程不斷推進，Web 應用在煙草行業中發揮著越來越重要的作用。煙草企業通過 Web 應用實現了信息發布、業務辦理、客戶服務等功能，提高了工作效率和管理水平。然而，Web 應用的安全問題也日益凸顯，黑客攻擊、網頁篡改等安全事件層出不窮，給煙草企業帶來了嚴重的損失。例如，一些煙草公司的網站容易被黑客攻擊，導致核心數據泄露、頁面被篡改，甚至成為傳播木馬的傀儡，給企業帶來了巨大的經濟損失和聲譽損害。因此，加強煙草行業 Web 防護技術的研究和應用，具有重要的現實意義。

本報告旨在深入探討煙草行業Web防護技術，分析當前煙草行業Web應用面臨的安全威脅，介紹各種Web防護技術的特點和應用案例，為煙草企業提供有效的 Web 防護解決方案。通過對煙草行業Web防護技術的研究，提高煙草企業的網絡安全意識和防護能力，保障煙草行業的信息安全和穩定發展。

一、煙草行業 Web 應用安全威脅分析

（一）Web 安全攻擊形式

傳統網絡層攻擊方式的轉變

隨著網絡訪問控制措施的廣泛采用，傳統網絡層攻擊方式如查找并攻擊操作系統漏洞、數據庫漏洞等變得難以實施。因為一般只開放 HTTP 等必要服務端口，黑客難以通過傳統方式攻擊網站。

Web 應用程序漏洞攻擊的增加

Web 應用程序漏洞的存在更加普遍，且隨著 WEB 應用技術的深入普及，漏洞發掘和攻擊速度越來越快。基于 WEB 漏洞的攻擊更容易被利用，已成為黑客首選。據統計，現在對網站成功的攻擊中，超過 7 成都是基于 WEB 應用層，而非網絡層。

（二）WEB 系統安全問題總結

大多數 Web 系統設計未關注代碼安全

WEB 系統設計者更多地考慮滿足用戶應用，很少考慮開發過程中存在的漏洞。對于 WEB 應用程序的 SQL 注入漏洞，檢測到有 11.3% 存在此問題。例如，在搜尋 1000 個網站取樣測試中，就有不少網站存在 SQL 注入漏洞。這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見，正常使用者在使用過程中也很難察覺。

黑客入侵后未及時發現

黑客通過篡改網頁傳播非法信息，被種植木馬的煙草公司通常在不知情的情況下被竊取機密信息。有些黑客在篡改網頁之前，會利用漏洞獲得 WEB 系統的控制權限，而煙草公司往往不能及時發現，不僅自身機密信息被竊取，還可能成為黑客散布木馬的渠道。

WEB 系統防御措施滯后

傳統訪問控制和入侵防御設備對應用層攻擊效果不佳。比如對應用層的 SQL 注入、XSS 攻擊這種基于應用層構建的攻擊，防火墻束手無策，甚至基于特征匹配技術的檢測產品也不能精確阻斷攻擊。很多黑客將 SQL 注入、XSS 攻擊作為入侵首選技術。很多系統管理員對 WEB 系統的價值認識不足，只有在遭受攻擊后，造成的損失遠超過 WEB 系統本身造價之后才意識到安全問題的嚴重性。

發現安全問題不能徹底解決

WEB 系統開發對安全代碼設計了解甚少，修補方式難以徹底解決漏洞問題。發現安全問題后，修補方式往往只能停留在頁面修復，很難針對 WEB 系統具體的漏洞原理對源代碼進行改造，很少有人能夠準確了解 WEB 系統安全漏洞解決的問題是否徹底。

（三）WEB 系統安全問題帶來的最終危害

網頁掛馬、數據篡改等安全事件層出不窮

隨著 WEB 應用技術的深入普及，WEB 系統攻擊的技術門檻不斷降低，安全事件屢見不鮮。隨著平臺訪問用戶數量的持續增長，各承載業務系統網站的社會影響力也在逐步增大，遭受惡意非法攻擊的可能性大大增加，網頁掛馬、數據篡改等安全事件時有發生。

二、煙草行業 Web 防護技術介紹

（一）WEB 應用防火墻

建設方案總體概述

現狀描述：煙草行業整體網絡建設成熟，業務涵蓋經營、物流、市場管理、企業管理（行業信息）等四大類子業務。隨著平臺訪問用戶數量增長，各承載業務系統網站的社會影響力增大，遭受惡意非法攻擊的可能性增加。當前集成整合平臺服務器及安全防護產品老舊、故障率高，技術落后，防護能力弱，缺少對主流 WEB 應用威脅的防護手段。

需求分析：需要進行針對 WEB 的應用層安全防護，傳統防火墻、IPS 技術對特定性應用層攻擊防護不足，需能基于應用層會話實現實時雙向防護機制的安全防護設備采取反向代理技術進行應用級別防護。同時，需要具備針對 WEB 的脆弱性管理機制，通過 WEB 應用掃描功能及時發現并補救自身脆弱性。

功能特點

有效防范 SQL 注入攻擊、跨站攻擊、惡意編碼、緩沖區溢出、應用層 DDOS 攻擊等。

強大的日志審計功能，可實現分析和追溯。

應用案例

安恒信息助力煙草行業 Web 應用安全建設，采用安恒 WEB 應用防火墻建立堅固防御線。某煙草公司作為該市煙草行業主管單位，采用安恒 WEB 應用防火墻，有效防范 SQL 注入攻擊、跨站攻擊等，過濾掉很多嘗試性的遠程滲透，黑客很難獲取攻擊基礎信息。審計系統強大的日志審計功能，針對異常攻擊可分析，特殊情況可追溯。

（二）網頁防篡改系統

某煙草網站脆弱性分析

網絡層次與應用層次存在安全漏洞，可能被攻擊者利用。外部網站網絡層面攻擊主要集中在網絡設備漏洞，應用層次的脆弱性復雜，包括網站管理系統中的安全漏洞和 WEB 開發中的安全隱患。

功能特點

防止來自外部或內部的非授權人員對頁面和內容進行篡改和非法添加。

采用 “強認證” 機制，以多種預防性保護技術相結合，形成多層次縱深防御體系。關注網站應用層面安全問題，如 SQL 注入、跨站腳本引發的網頁篡改及敏感信息泄露等。

應用案例

網頁防篡改軟件在內煙草網站中的應用，采用 uard 網頁防篡改系統確保網站內容不被惡意篡改。該系統采用四重防護技術，具有網站監控與恢復、同步與備份、防 sql 注入、告警與審計等功能，支持 linux 操作系統與 WebSphere 應用服務器軟件。

（三）利用 web 安全網關與云安全技術

某煙草公司網絡防護平臺研究與趨勢科技合作建立 Web 安全網關與云安全技術相結合的威脅防護解決方案。

功能特點

對可能存在威脅數據進行實時上傳分析，并實時增補數據流人和流出的白名單。

過濾上網下載流量，提高網絡安全性；攔截間諜軟件、灰色軟件和釣魚網站。

應用案例

某煙草公司部署防病毒過濾產品，在網關邊界阻擋新蠕蟲等病毒進攻。煙草公司與趨勢科技合作建立威脅防護解決方案，部署防病毒過濾產品，借助云計算防病毒技術對威脅數據實時上傳分析并增補白名單，過濾上網下載流量，攔截間諜軟件等，實現七大安全控制功能。

三、煙草行業 Web 防護技術應用案例分析

（一）案例一：安恒信息助力煙草行業 Web 應用安全建設

客戶面臨的安全挑戰

Web 應用程序增多帶來安全漏洞，黑客工具增多、活動猖獗。某煙草公司作為該市煙草行業主管單位，肩負著煙草新聞、法律法規、政府信息公開及煙草文化等信息公開職能，同時負責該范圍內的所有煙草銷售。鑒于目前的網絡安全形勢，該公司針對 WEB 應用層的安全未采用有效防護手段，目前 WEB 程序的漏洞越來越多，類似 SQL 注入漏洞，跨站攻擊漏洞已屢見不鮮，黑客通過相應攻擊工具可以輕松實現滲透，可直接篡改頁面內容，甚至進入數據庫修改內容等。

安恒解決方案

采用安恒 WEB 應用防火墻，建立起堅固防御線。安恒 WEB 應用防火墻能夠有效防范 SQL 注入攻擊、跨站攻擊（XSS 攻擊，俗稱釣魚攻擊）、惡意編碼 (網頁木馬)、緩沖區溢出、應用層 DDOS 攻擊等等，彌補傳統安全設備對這塊防護的先天不足。通過安恒 WEB 應用防火墻，有效識別和阻斷相關攻擊，過濾掉很多嘗試性的遠程滲透，黑客很難獲取作為攻擊的基礎信息。審計系統有強大的日志審計功能，針對異常攻擊可以實現分析，針對特別情況可以進行有效追溯。

通過安恒專業安全團隊，對整個網上訂煙系統及外部網站進行安全評估、滲透及加固，解決現有系統存在的安全問題，提升應用系統的抗風險能力。

方案總結

杭州安恒信息技術有限公司的核心團隊擁有多年互聯網應用安全防衛、網絡安全審計、數據庫安全審計的深厚技術背景，擁有全球領先的具有完全知識產權的安全技術；同時長期參與各類應用系統的建設、開發和維護，積累了豐富的項目管理經驗，對 WEB 應用系統有著深刻的理解，為本方案的成功推出奠定了有力的基礎。

（二）案例二：網頁防篡改系統在內蒙煙草網站中的應用

煙草網站脆弱性分析

煙草專賣局外部網站是內蒙古煙草行業信息公開的重要載體，展示煙草行業形象的重要窗口和服務社會的重要平臺。分析內蒙煙草網站的脆弱性，主要存在于網絡層次與應用層次上。網絡層面的攻擊主要集中在網絡設備的漏洞方面，而應用層次的脆弱性最為復雜，包括網站管理系統中的安全漏洞和 WEB 開發中的安全隱患，這些都可能被攻擊者所利用。

網頁防篡改系統功能介紹

所有的 Web 網站和 Web 應用系統除了使用一般的網絡安全設備外，還需要有效的網頁防篡改系統來專門對頁面內容進行保護，防止來自外部或內部的非授權人員對頁面和內容進行篡改和非法添加。網頁防篡改軟件的主要功能就是防止網頁被篡改，主要通過文件寫保護、備份恢復、動態網頁安全防護等方法實現。系統關注網站應用層面的安全問題，如 SQL 注入、跨站腳本引發的網頁篡改及敏感信息泄露等。系統主要采用 “強認證” 機制，以嵌入式過濾技術、實時阻斷、事件觸發等多種預防性保護技術相結合，形成針對網站文件的多層次縱深防御體系，是完全保護 Web 網站不發送被篡改內容并進行自動恢復的 Web 頁面保護軟件。

系統應用情況

煙草門戶網站考慮到網站操作系統層面的安全性，網站服務器操作系統為 Linux，中間件 WebSphere，采用 uard 網頁防篡改系統來確保網站內容不被惡意篡改。該系統采用四重防護技術，具有網站監控與恢復、同步與備份、防 sql 注入、告警與審計等功能，支持 linux 操作系統與 WebSphere 應用服務器軟件。

（三）案例三：煙草公司利用 web 安全網關與云安全技術建立網絡防護平臺

網絡架構和內網病毒感染事件分析

煙草公司發現傳統安全解決方案無法在病毒傳播通道上發現或攔截病毒。合肥市煙草公司的終端規模數以千計，幾大業務系統對網絡帶寬和傳輸效率有很高的要求。

云安全概念和防御架構的引入與趨勢科技合作，建立 Web 安全網關與云安全技術相結合的解決方案。

煙草公司與趨勢科技合作，建立 Web 安全網關（IWSA）和云安全技術（WRT）相結合的威脅防護解決方案。通過在 IWSA 上啟用業界唯一的云安全 Web 信譽技術（WRT），攔截了大量由內部用戶發起的對可疑高風險 URL 的訪問，大大降低了用戶由于訪問 URL 帶來的風險，避免了因終端使用者安全意識不強，導致的 Web 訪問安全問題。同時，通過 WRT 對可疑網頁訪問的攔截，還可以將大部分病毒變種的下載阻斷，從而阻止新病毒的入侵，同時也使內網已經存在的病毒無法變種，降低了內網 OfficeScan 客戶端的防毒壓力。

產品功能和應用效果

實現七大安全控制功能，提高網絡安全性，防止間諜軟件和釣魚網站攻擊。IWSA 防護方案覆蓋了五種主要應用，包括：HTTP, HTTPS, FTP, SMTP 以及 POP3，以最大程度保證惡意程序在進入內部網絡前就被清除掉。作為專門為 Web 應用層安全打造的硬件產品，IWSA 能夠實現防病毒、防間諜軟件、防網絡釣魚、防 Java Applet&ActiveX 惡意插件、流量配額管理、惡意 URL 阻止、URL 分類過濾等多項功能。同時，因為可以將 70% 威脅特征碼放在云端，因此它能夠減少用戶層面 70% 的核心內存占用，減輕了高帶寬下的出口設備負載。在互聯網邊界部署了防病毒網關 IWSA 后，攔截了大量由內部用戶發起的對可疑高風險 URL 的訪問。避免了因終端使用者安全意識不強，導致的 Web 安全事件，并由此大幅降低了網絡運維人員在病毒查殺和安全策略部署上消耗的時間和精力。

結論與展望

（一）研究結論

煙草行業 Web 應用面臨嚴峻的安全威脅，需要加強防護。煙草行業作為國家重要的經濟支柱之一，其 Web 應用在信息發布、業務辦理、客戶服務等方面發揮著關鍵作用。然而，隨著網絡技術的不斷發展，Web 安全攻擊形式日益多樣化，WEB 系統安全問題也愈發突出。從傳統網絡層攻擊方式的轉變到 Web 應用程序漏洞攻擊的增加，從大多數 Web 系統設計未關注代碼安全到黑客入侵后未及時發現，從 WEB 系統防御措施滯后到發現安全問題不能徹底解決，再到網頁掛馬、數據篡改等安全事件層出不窮以及 WEB 系統被攻擊遭受損失的媒體報道增多，這些都表明煙草行業 Web 應用面臨著嚴峻的安全威脅，加強防護刻不容緩。

WEB 應用防火墻、網頁防篡改系統和利用 web 安全網關與云安全技術等防護技術各有特點，可根據實際情況選擇應用。WEB 應用防火墻能夠有效防范 SQL 注入攻擊、跨站攻擊、惡意編碼、緩沖區溢出、應用層 DDOS 攻擊等，具有強大的日志審計功能，可實現分析和追溯。網頁防篡改系統采用 “強認證” 機制，以多種預防性保護技術相結合，形成多層次縱深防御體系，防止來自外部或內部的非授權人員對頁面和內容進行篡改和非法添加。利用 web 安全網關與云安全技術可以對可能存在威脅數據進行實時上傳分析，并實時增補數據流人和流出的白名單，過濾上網下載流量，提高網絡安全性，攔截間諜軟件、灰色軟件和釣魚網站。這些防護技術在功能特點和應用案例上各有優勢，煙草企業可根據自身實際情況選擇合適的防護技術。

案例分析表明，這些防護技術在煙草行業中取得了較好的應用效果。通過安恒信息助力煙草行業 Web 應用安全建設、網頁防篡改系統在煙草網站中的應用以及煙草公司利用 web 安全網關與云安全技術建立網絡防護平臺等案例可以看出，這些防護技術在煙草行業中有效地防范了各種 Web 安全攻擊，保障了煙草行業的信息安全和穩定發展。例如，安恒 WEB 應用防火墻為某煙草公司建立起堅固防御線，有效防范了 SQL 注入攻擊、跨站攻擊等，過濾掉很多嘗試性的遠程滲透；網頁防篡改軟件在煙草網站中的應用確保了網站內容不被惡意篡改；煙草公司與趨勢科技合作建立威脅防護解決方案，部署防病毒過濾產品，借助云計算防病毒技術對威脅數據實時上傳分析并增補白名單，過濾上網下載流量，攔截間諜軟件等，實現七大安全控制功能。

（二）展望未來

隨著技術的不斷發展，煙草行業 Web 防護技術將不斷創新和完善。在信息技術飛速發展的背景下，網絡安全威脅也在不斷演變和升級。為了應對日益復雜的安全挑戰，煙草行業 Web 防護技術必須不斷創新和完善。未來，可能會出現更加智能化、高效化的防護技術，例如人工智能在 Web 防護中的應用，可以通過機器學習算法自動識別和防范新型安全威脅；區塊鏈技術可以用于保障 Web 應用數據的真實性和完整性，防止數據篡改。同時，隨著 5G、物聯網等新興技術的普及，煙草行業 Web 防護技術也需要適應新的網絡環境和應用場景，不斷提升防護能力。

未來可能會出現更加智能化、高效化的防護技術，為煙草行業的 Web 應用安全提供更有力的保障。隨著技術的進步，未來的 Web 防護技術將更加智能化和高效化。智能化的防護技術可以自動分析和識別安全威脅，及時采取相應的防護措施，減少人工干預，提高防護效率。高效化的防護技術可以在不影響 Web 應用性能的前提下，實現對安全威脅的快速響應和處理，保障煙草行業的 Web 應用安全。例如，未來的 WEB 應用防火墻可能會結合人工智能和大數據分析技術，實現對攻擊行為的自動識別和預警，提高防護的準確性和及時性；網頁防篡改系統可能會采用更加先進的加密技術和認證機制，確保網頁內容的安全性和完整性；利用 web 安全網關與云安全技術可能會進一步優化威脅檢測