安全现状不容乐观

安恒信息从事多年的WEB应用安全服务，从服务经历中来看面临的危胁越来越严重，通过对烟草公司外网（门户网站及订烟系统）进行了安全基础调查，发现业务交易系统仍存在一定的安全问题，如下图所示为烟草公司的威胁分析示意图。

安全体系缺少应用防护

安恒信息在对现有安全数据和经验数据分析之外还对烟草公司典型的网络及应用环境进行了安全分析，分析表明现有的网络架构已经具备较好的网络安全防御能力和操作系统安全管理能力，而在WEB应用层面缺少相关的安全防护措施和长效机制。

具备较好的网络和系统防御能力

烟草公司已经具备较好的网络防护能力，首先采用物理隔离技术实现内外网的物理隔离，其次采用网络防火墙设备实现对网络层攻击的防御。同时，通过采用防病毒、补丁管理等技术保障了操作系统的基本安全。

需要应用层防护

通过调研分析，我们发现针对WEB应用层的防护却几乎一片空白。信息安全正如木桶理论所描术的那样，WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大，而在于我们是否针对脆弱的防护御点采取了有效的措施。

WEB应用系统的防护需要采用专业的针对应用层的防护措施。 具体的需求主要表现为以下几个方面

屏蔽安全隐患

为了防止服务端敏感信息泄露需要通过有效的技术手段对现有网站的敏感信息进行屏蔽，如遗留的备份文件、配置文件，管理后台的外网尝试等。

阻断应用攻击

攻击防护方面要求专业的WEB应用防护设备进行防护，能有效防止跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大的安全策略定制功能。

防止网页被篡改

需要对服务器的文件系统实现防篡改保护，即使攻击者入侵服务器也无法对文件系统进行修改。

安恒提供的解决方案

为了提高烟草外网的安全，安恒信息结合烟草的安全需求定制了应用安全解决方案。

整体安全架构

针对烟草公司的需求，我们定制如下图所示的安全解决方案，如下图所示首先通过外网进行安全监测，全天候的对外网站的可用性、安全性实时监测，所有WEB网站均通过数据中心统一对外监测和预警。

而对日益严重的WEB应用攻击我们推荐使用明御WEB应用防火墙进行专业WEB应用防护，可以有效的阻断SQL注入攻击、CC攻击、跨站脚本攻击等多种WEB应用攻击。同时还可以兼容将来的订烟系统HTTPS服务的需求。

监测与防御相结合

首先我们在方案中引入了安全监测平台，对烟草外网实现监测。通过监测我们可以实现7X24小时不间断网站、业务系统可用性值守，业务系统的是否可以正常访问，访问的内容是否受到安全攻击，新增的业务系统是否存在漏洞等均可以通过监测平台即发现。

服务与产品相补充

信息安全是一个发展和交互的过程，使用任何一种功能再强大的防范产品都需要辅助以优秀的安全服务才有达到最佳安全效果。