重视“三防” 保障烟草网站的信息安全

　　(联合电讯社/北京)--网站，作为企业网络公众形象的载体，承担了企业形象宣传的重任。在我国，烟草施行的是国家专卖制度，既关注行业行政管理，又关注企业的生产运营，烟草网站既担负着政策信息发布、政府信息公开的职责，又兼有面对烟草企业、消费者等进行信息交互的职责。

　　有鉴于此，2009年，国家烟草局下发《国家烟草专卖局办公室关于行业信息安全工作有关情况的通知》。该通知明确提出：“加强网站‘三防’建设，提高重要信息系统安全防护能力，各单位要按照国务院办公厅文件要求，重点做好行业对外网站网页防攻击、防病毒、防篡改的安全保障。”

　　那么，如何来理解所谓的网站“三防”呢?

　　烟草网站第一防：防攻击

　　烟草网站往往具备在线办事等电子政务功能，一旦黑客利用网页漏洞进入系统后台，则可以轻易破坏这些对外提供的服务，令其无法正常工作，又或者是利用DoS/DDoS等攻击行为，占用系统的服务资源，令其无法正常工作……诸如此类的现象，通常被形象的称为“网站瘫了”。

　　对上述致使“网站瘫了”的行为的防范，可以纳入到“防攻击”的层面。因为，一般来说，网站的代码编写人员并不具备足够的安全知识，在编码时往往并不考虑网站是否会因此而存在漏洞，更有甚者，还有一些网站直接借用其他站点框架来搭建。

　　据业内专业安全公司启明星辰的安星远程网站安全检查服务网站(www.websec360.com)的数据显示，平均约700个页面就会存在一个网页漏洞。烟草网站一般都拥有1000个以上的页面，存在网页漏洞的概率极大。而利用这些漏洞(如果是动态网站，最常见的就是SQL注入漏洞，该漏洞的危害巨大，网络上已有大量相关文章，本文不再赘述)，黑客可以轻易获得权限，进而攻击整个网站。

　　烟草网站第二防：防病毒

　　网站防病毒，指的不仅仅是“蠕虫”之类的计算机病毒，更多的是指“网页木马病毒”。很多人都见过Google在某些返回的搜索结果中显示“该网站可能含有恶意软件，可能会危害您的电脑”。类似这样的说明，就是指网站很可能已经中了“网页木马病毒”，业内通常称之为“挂马”。

　　试想，如果在Google中搜索某某省烟草公司，返回的却是一个挂着“小尾巴”的地址，这对企业形象的影响将会是巨大的。特别是，如果有人不小心访问了被“挂马”的页面，那么也将会在不知不觉中感染上木马，进而泄露自己的私密信息。

　　烟草网站第三防：防篡改

　　页面被篡改，是网站遭遇攻击的最常见现象，比如首页被替换、页面发布内容被修改等。这类也是被曝光数量最多的黑客行为。

　　对此，烟草网站既然同时作为信息展示和交互的平台，那么页面被篡改也是必然要考虑的一大安全风险。

　　在了解网站威胁所包括的内容后，接下来需要关注的就是“如何应对这些状况?”“如何将‘三防’要求落地执行?”

　　上图描述了一类较为典型的烟草公司网站防护示意图，正在考虑“网站三防”建设的机构不妨参考实践。

　　系统解决“三防”问题

　　防篡改是网站安全中最容易想到的要求，这与页面被篡改现象屡见不鲜有很大关系。最直接的解决办法就是采用网站防篡改产品。

　　通过网站防篡改产品，可以将网站所有信息备份存储，同时监视网站页面文件，一旦发现网页被修改，系统可以马上从备份库中提取并进行恢复。这种防范手段不受攻击手法的限制，即不论黑客利用何种手段攻击网站，只要页面发生更改，网站防篡改产品都可以及时响应和恢复。

　　在纯静态页面的网站中，页面防篡改可以防范几乎全部的针对Web系统的攻击行为，而在动态页面的网站中，防篡改产品也有盲区。主要有2类盲区：一类就是有信息交互的网站，如在线留言、在线办理等业务，用户需要对后台数据库进行写入或者修改的操作，网站防篡改系统无法判断这些修改是黑客行为还是用户正常操作;另外一类就是数据窃取，如窃取账号口令等信息，页面并未因此发生变化，因此，网站防篡改产品自然也就无法防御了。

　　而上述这两种盲区，恰好就是“网站三防”中另外两防可以解决的问题——防病毒、防攻击。如果用户交互页面(在线留言系统等)存在一种被称为XSS(跨站脚本攻击)的Web漏洞，黑客就可以提交一个精心构造的字符串，将网页木马链接到页面上。如果页面存在SQL注入漏洞，黑客则可以通过URL中提交的特殊的字符串进行攻击，获得后台数据库权限。针对这两种情况，可以考虑选择带有Web威胁防御能力的安全产品，如入侵防御产品或者是Web应用防火墙来实现安全防御。

　　当然，除了部署相应的安全产品外，清晰划分内部网络安全域也是必不可少的工作，最简单的就是将那些需要对外提供服务的服务器单独列出服务器域，避免利用内部PC进行跳板攻击的黑客行为。一般来说，将服务器域单独划分管理域，并且设置必要的访问控制措施，辅助部署网站防篡改、入侵防御或Web应用防火墙产品，就能很好地满足“三防”需求，保障网站的安全稳定运营。