随着信息技术的飞速发展，烟草行业的信息化进程不断推进，Web 应用在烟草行业中发挥着越来越重要的作用。烟草企业通过 Web 应用实现了信息发布、业务办理、客户服务等功能，提高了工作效率和管理水平。然而，Web 应用的安全问题也日益凸显，黑客攻击、网页篡改等安全事件层出不穷，给烟草企业带来了严重的损失。例如，一些烟草公司的网站容易被黑客攻击，导致核心数据泄露、页面被篡改，甚至成为传播木马的傀儡，给企业带来了巨大的经济损失和声誉损害。因此，加强烟草行业 Web 防护技术的研究和应用，具有重要的现实意义。

本报告旨在深入探讨烟草行业Web防护技术，分析当前烟草行业Web应用面临的安全威胁，介绍各种Web防护技术的特点和应用案例，为烟草企业提供有效的 Web 防护解决方案。通过对烟草行业Web防护技术的研究，提高烟草企业的网络安全意识和防护能力，保障烟草行业的信息安全和稳定发展。

一、烟草行业 Web 应用安全威胁分析

（一）Web 安全攻击形式

传统网络层攻击方式的转变

随着网络访问控制措施的广泛采用，传统网络层攻击方式如查找并攻击操作系统漏洞、数据库漏洞等变得难以实施。因为一般只开放 HTTP 等必要服务端口，黑客难以通过传统方式攻击网站。

Web 应用程序漏洞攻击的增加

Web 应用程序漏洞的存在更加普遍，且随着 WEB 应用技术的深入普及，漏洞发掘和攻击速度越来越快。基于 WEB 漏洞的攻击更容易被利用，已成为黑客首选。据统计，现在对网站成功的攻击中，超过 7 成都是基于 WEB 应用层，而非网络层。

（二）WEB 系统安全问题总结

大多数 Web 系统设计未关注代码安全

WEB 系统设计者更多地考虑满足用户应用，很少考虑开发过程中存在的漏洞。对于 WEB 应用程序的 SQL 注入漏洞，检测到有 11.3% 存在此问题。例如，在搜寻 1000 个网站取样测试中，就有不少网站存在 SQL 注入漏洞。这些漏洞在不关注安全代码设计的人员眼里几乎不可见，正常使用者在使用过程中也很难察觉。

黑客入侵后未及时发现

黑客通过篡改网页传播非法信息，被种植木马的烟草公司通常在不知情的情况下被窃取机密信息。有些黑客在篡改网页之前，会利用漏洞获得 WEB 系统的控制权限，而烟草公司往往不能及时发现，不仅自身机密信息被窃取，还可能成为黑客散布木马的渠道。

WEB 系统防御措施滞后

传统访问控制和入侵防御设备对应用层攻击效果不佳。比如对应用层的 SQL 注入、XSS 攻击这种基于应用层构建的攻击，防火墙束手无策，甚至基于特征匹配技术的检测产品也不能精确阻断攻击。很多黑客将 SQL 注入、XSS 攻击作为入侵首选技术。很多系统管理员对 WEB 系统的价值认识不足，只有在遭受攻击后，造成的损失远超过 WEB 系统本身造价之后才意识到安全问题的严重性。

发现安全问题不能彻底解决

WEB 系统开发对安全代码设计了解甚少，修补方式难以彻底解决漏洞问题。发现安全问题后，修补方式往往只能停留在页面修复，很难针对 WEB 系统具体的漏洞原理对源代码进行改造，很少有人能够准确了解 WEB 系统安全漏洞解决的问题是否彻底。

（三）WEB 系统安全问题带来的最终危害

网页挂马、数据篡改等安全事件层出不穷

随着 WEB 应用技术的深入普及，WEB 系统攻击的技术门槛不断降低，安全事件屡见不鲜。随着平台访问用户数量的持续增长，各承载业务系统网站的社会影响力也在逐步增大，遭受恶意非法攻击的可能性大大增加，网页挂马、数据篡改等安全事件时有发生。

二、烟草行业 Web 防护技术介绍

（一）WEB 应用防火墙

建设方案总体概述

现状描述：烟草行业整体网络建设成熟，业务涵盖经营、物流、市场管理、企业管理（行业信息）等四大类子业务。随着平台访问用户数量增长，各承载业务系统网站的社会影响力增大，遭受恶意非法攻击的可能性增加。当前集成整合平台服务器及安全防护产品老旧、故障率高，技术落后，防护能力弱，缺少对主流 WEB 应用威胁的防护手段。

需求分析：需要进行针对 WEB 的应用层安全防护，传统防火墙、IPS 技术对特定性应用层攻击防护不足，需能基于应用层会话实现实时双向防护机制的安全防护设备采取反向代理技术进行应用级别防护。同时，需要具备针对 WEB 的脆弱性管理机制，通过 WEB 应用扫描功能及时发现并补救自身脆弱性。

功能特点

有效防范 SQL 注入攻击、跨站攻击、恶意编码、缓冲区溢出、应用层 DDOS 攻击等。

强大的日志审计功能，可实现分析和追溯。

应用案例

安恒信息助力烟草行业 Web 应用安全建设，采用安恒 WEB 应用防火墙建立坚固防御线。某烟草公司作为该市烟草行业主管单位，采用安恒 WEB 应用防火墙，有效防范 SQL 注入攻击、跨站攻击等，过滤掉很多尝试性的远程渗透，黑客很难获取攻击基础信息。审计系统强大的日志审计功能，针对异常攻击可分析，特殊情况可追溯。

（二）网页防篡改系统

某烟草网站脆弱性分析

网络层次与应用层次存在安全漏洞，可能被攻击者利用。外部网站网络层面攻击主要集中在网络设备漏洞，应用层次的脆弱性复杂，包括网站管理系统中的安全漏洞和 WEB 开发中的安全隐患。

功能特点

防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。

采用 “强认证” 机制，以多种预防性保护技术相结合，形成多层次纵深防御体系。关注网站应用层面安全问题，如 SQL 注入、跨站脚本引发的网页篡改及敏感信息泄露等。

应用案例

网页防篡改软件在内烟草网站中的应用，采用 uard 网页防篡改系统确保网站内容不被恶意篡改。该系统采用四重防护技术，具有网站监控与恢复、同步与备份、防 sql 注入、告警与审计等功能，支持 linux 操作系统与 WebSphere 应用服务器软件。

（三）利用 web 安全网关与云安全技术

某烟草公司网络防护平台研究与趋势科技合作建立 Web 安全网关与云安全技术相结合的威胁防护解决方案。

功能特点

对可能存在威胁数据进行实时上传分析，并实时增补数据流人和流出的白名单。

过滤上网下载流量，提高网络安全性；拦截间谍软件、灰色软件和钓鱼网站。

应用案例

某烟草公司部署防病毒过滤产品，在网关边界阻挡新蠕虫等病毒进攻。烟草公司与趋势科技合作建立威胁防护解决方案，部署防病毒过滤产品，借助云计算防病毒技术对威胁数据实时上传分析并增补白名单，过滤上网下载流量，拦截间谍软件等，实现七大安全控制功能。

三、烟草行业 Web 防护技术应用案例分析

（一）案例一：安恒信息助力烟草行业 Web 应用安全建设

客户面临的安全挑战

Web 应用程序增多带来安全漏洞，黑客工具增多、活动猖獗。某烟草公司作为该市烟草行业主管单位，肩负着烟草新闻、法律法规、政府信息公开及烟草文化等信息公开职能，同时负责该范围内的所有烟草销售。鉴于目前的网络安全形势，该公司针对 WEB 应用层的安全未采用有效防护手段，目前 WEB 程序的漏洞越来越多，类似 SQL 注入漏洞，跨站攻击漏洞已屡见不鲜，黑客通过相应攻击工具可以轻松实现渗透，可直接篡改页面内容，甚至进入数据库修改内容等。

安恒解决方案

采用安恒 WEB 应用防火墙，建立起坚固防御线。安恒 WEB 应用防火墙能够有效防范 SQL 注入攻击、跨站攻击（XSS 攻击，俗称钓鱼攻击）、恶意编码 (网页木马)、缓冲区溢出、应用层 DDOS 攻击等等，弥补传统安全设备对这块防护的先天不足。通过安恒 WEB 应用防火墙，有效识别和阻断相关攻击，过滤掉很多尝试性的远程渗透，黑客很难获取作为攻击的基础信息。审计系统有强大的日志审计功能，针对异常攻击可以实现分析，针对特别情况可以进行有效追溯。

通过安恒专业安全团队，对整个网上订烟系统及外部网站进行安全评估、渗透及加固，解决现有系统存在的安全问题，提升应用系统的抗风险能力。

方案总结

杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全防卫、网络安全审计、数据库安全审计的深厚技术背景，拥有全球领先的具有完全知识产权的安全技术；同时长期参与各类应用系统的建设、开发和维护，积累了丰富的项目管理经验，对 WEB 应用系统有着深刻的理解，为本方案的成功推出奠定了有力的基础。

（二）案例二：网页防篡改系统在内蒙烟草网站中的应用

烟草网站脆弱性分析

烟草专卖局外部网站是内蒙古烟草行业信息公开的重要载体，展示烟草行业形象的重要窗口和服务社会的重要平台。分析内蒙烟草网站的脆弱性，主要存在于网络层次与应用层次上。网络层面的攻击主要集中在网络设备的漏洞方面，而应用层次的脆弱性最为复杂，包括网站管理系统中的安全漏洞和 WEB 开发中的安全隐患，这些都可能被攻击者所利用。

网页防篡改系统功能介绍

所有的 Web 网站和 Web 应用系统除了使用一般的网络安全设备外，还需要有效的网页防篡改系统来专门对页面内容进行保护，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。网页防篡改软件的主要功能就是防止网页被篡改，主要通过文件写保护、备份恢复、动态网页安全防护等方法实现。系统关注网站应用层面的安全问题，如 SQL 注入、跨站脚本引发的网页篡改及敏感信息泄露等。系统主要采用 “强认证” 机制，以嵌入式过滤技术、实时阻断、事件触发等多种预防性保护技术相结合，形成针对网站文件的多层次纵深防御体系，是完全保护 Web 网站不发送被篡改内容并进行自动恢复的 Web 页面保护软件。

系统应用情况

烟草门户网站考虑到网站操作系统层面的安全性，网站服务器操作系统为 Linux，中间件 WebSphere，采用 uard 网页防篡改系统来确保网站内容不被恶意篡改。该系统采用四重防护技术，具有网站监控与恢复、同步与备份、防 sql 注入、告警与审计等功能，支持 linux 操作系统与 WebSphere 应用服务器软件。

（三）案例三：烟草公司利用 web 安全网关与云安全技术建立网络防护平台

网络架构和内网病毒感染事件分析

烟草公司发现传统安全解决方案无法在病毒传播通道上发现或拦截病毒。合肥市烟草公司的终端规模数以千计，几大业务系统对网络带宽和传输效率有很高的要求。

云安全概念和防御架构的引入与趋势科技合作，建立 Web 安全网关与云安全技术相结合的解决方案。

烟草公司与趋势科技合作，建立 Web 安全网关（IWSA）和云安全技术（WRT）相结合的威胁防护解决方案。通过在 IWSA 上启用业界唯一的云安全 Web 信誉技术（WRT），拦截了大量由内部用户发起的对可疑高风险 URL 的访问，大大降低了用户由于访问 URL 带来的风险，避免了因终端使用者安全意识不强，导致的 Web 访问安全问题。同时，通过 WRT 对可疑网页访问的拦截，还可以将大部分病毒变种的下载阻断，从而阻止新病毒的入侵，同时也使内网已经存在的病毒无法变种，降低了内网 OfficeScan 客户端的防毒压力。

产品功能和应用效果

实现七大安全控制功能，提高网络安全性，防止间谍软件和钓鱼网站攻击。IWSA 防护方案覆盖了五种主要应用，包括：HTTP, HTTPS, FTP, SMTP 以及 POP3，以最大程度保证恶意程序在进入内部网络前就被清除掉。作为专门为 Web 应用层安全打造的硬件产品，IWSA 能够实现防病毒、防间谍软件、防网络钓鱼、防 Java Applet&ActiveX 恶意插件、流量配额管理、恶意 URL 阻止、URL 分类过滤等多项功能。同时，因为可以将 70% 威胁特征码放在云端，因此它能够减少用户层面 70% 的核心内存占用，减轻了高带宽下的出口设备负载。在互联网边界部署了防病毒网关 IWSA 后，拦截了大量由内部用户发起的对可疑高风险 URL 的访问。避免了因终端使用者安全意识不强，导致的 Web 安全事件，并由此大幅降低了网络运维人员在病毒查杀和安全策略部署上消耗的时间和精力。

结论与展望

（一）研究结论

烟草行业 Web 应用面临严峻的安全威胁，需要加强防护。烟草行业作为国家重要的经济支柱之一，其 Web 应用在信息发布、业务办理、客户服务等方面发挥着关键作用。然而，随着网络技术的不断发展，Web 安全攻击形式日益多样化，WEB 系统安全问题也愈发突出。从传统网络层攻击方式的转变到 Web 应用程序漏洞攻击的增加，从大多数 Web 系统设计未关注代码安全到黑客入侵后未及时发现，从 WEB 系统防御措施滞后到发现安全问题不能彻底解决，再到网页挂马、数据篡改等安全事件层出不穷以及 WEB 系统被攻击遭受损失的媒体报道增多，这些都表明烟草行业 Web 应用面临着严峻的安全威胁，加强防护刻不容缓。

WEB 应用防火墙、网页防篡改系统和利用 web 安全网关与云安全技术等防护技术各有特点，可根据实际情况选择应用。WEB 应用防火墙能够有效防范 SQL 注入攻击、跨站攻击、恶意编码、缓冲区溢出、应用层 DDOS 攻击等，具有强大的日志审计功能，可实现分析和追溯。网页防篡改系统采用 “强认证” 机制，以多种预防性保护技术相结合，形成多层次纵深防御体系，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。利用 web 安全网关与云安全技术可以对可能存在威胁数据进行实时上传分析，并实时增补数据流人和流出的白名单，过滤上网下载流量，提高网络安全性，拦截间谍软件、灰色软件和钓鱼网站。这些防护技术在功能特点和应用案例上各有优势，烟草企业可根据自身实际情况选择合适的防护技术。

案例分析表明，这些防护技术在烟草行业中取得了较好的应用效果。通过安恒信息助力烟草行业 Web 应用安全建设、网页防篡改系统在烟草网站中的应用以及烟草公司利用 web 安全网关与云安全技术建立网络防护平台等案例可以看出，这些防护技术在烟草行业中有效地防范了各种 Web 安全攻击，保障了烟草行业的信息安全和稳定发展。例如，安恒 WEB 应用防火墙为某烟草公司建立起坚固防御线，有效防范了 SQL 注入攻击、跨站攻击等，过滤掉很多尝试性的远程渗透；网页防篡改软件在烟草网站中的应用确保了网站内容不被恶意篡改；烟草公司与趋势科技合作建立威胁防护解决方案，部署防病毒过滤产品，借助云计算防病毒技术对威胁数据实时上传分析并增补白名单，过滤上网下载流量，拦截间谍软件等，实现七大安全控制功能。

（二）展望未来

随着技术的不断发展，烟草行业 Web 防护技术将不断创新和完善。在信息技术飞速发展的背景下，网络安全威胁也在不断演变和升级。为了应对日益复杂的安全挑战，烟草行业 Web 防护技术必须不断创新和完善。未来，可能会出现更加智能化、高效化的防护技术，例如人工智能在 Web 防护中的应用，可以通过机器学习算法自动识别和防范新型安全威胁；区块链技术可以用于保障 Web 应用数据的真实性和完整性，防止数据篡改。同时，随着 5G、物联网等新兴技术的普及，烟草行业 Web 防护技术也需要适应新的网络环境和应用场景，不断提升防护能力。

未来可能会出现更加智能化、高效化的防护技术，为烟草行业的 Web 应用安全提供更有力的保障。随着技术的进步，未来的 Web 防护技术将更加智能化和高效化。智能化的防护技术可以自动分析和识别安全威胁，及时采取相应的防护措施，减少人工干预，提高防护效率。高效化的防护技术可以在不影响 Web 应用性能的前提下，实现对安全威胁的快速响应和处理，保障烟草行业的 Web 应用安全。例如，未来的 WEB 应用防火墙可能会结合人工智能和大数据分析技术，实现对攻击行为的自动识别和预警，提高防护的准确性和及时性；网页防篡改系统可能会采用更加先进的加密技术和认证机制，确保网页内容的安全性和完整性；利用 web 安全网关与云安全技术可能会进一步优化威胁检测