当前位置: 行业与应用 > 行业解决方案

烟草行业全方位WEB应用安全保障方案

1. 行业概况

烟草行业在世界经济全球化、信息网络化的时代背景下,特别是在加入WTO后,面临着国内市场国际化的严峻挑战。

在以信息技能为核心的高新技能主导的大背景下,烟草行业通过使用信息化推进当代化,用最先进的信息技能彻底渗入烟草行业生产、流通、管理流程,改动传统的生产经营模式,加快烟草产业、产品结构的调整,完备烟草行业管理体制,满足市场和消费者的需求,提高适应市场能力,提升整体竞争实力。

通过几年的建设,烟草行业按照国家局“统一平台、统一数据库、统一网络”的要求,围绕“建平台、抓应用、成体系”的具体部署,构建起了电子商务、电子政务和管理决策支持三大应用体系。烟草行业围绕建设“数字烟草”,全力打造了先进性、实用性、集成性和系统性的信息网络,建成了全省统一平台、统一数据库和统一信息网络,实现了以地市公司为节点的数据统一、信息共享、各流程之间无缝链接。通过以建设地市公司物流配送体系为重点,以流程优化为核心,以信息化为支撑,全面推进了新业务模式转换和全面推进了以地市公司为主体的网建新格局,加快由传统商业向现代流通转变。推动了烟草商业企业走向现代流通。

在烟草信息化统一规划下,省级和各地市分别建立了门户网站和网订系统,门户网站作为地方烟草公司的宣传平台,可以及时发布一些政策法规、各类动态信息、各类行业信息、法律法规等等,方便商户及时了解最新的各类信息。而网订系统的大规模应用突破了电话订货限制订货时间的瓶颈,支持客户网上提前预订货源,且具有预约订单、客户查询等功能,不仅为订单试点提供了前沿阵地,为客户提供了一种更为有效的服务工具,更为进一步把握市场脉搏掌控销售动态铺下通衢大道。

2. 业务需求

随着各地市烟草网站系统及订烟系统的投入运行,随着网站系统及订烟系统和实际商务的深入结合,其给各个商户带来的便捷、方便、高效是显而易见的。为了在给商户提供更多的服务及交互功能的过程中,系统本身也越来越复杂、越来越庞大,在日趋严峻的应用安全形势下网站系统及订烟系统遭受着比较大的安全威胁。

首要威胁为系统网页被篡改。据国家互联网应急中心监测,2010年中国大陆有近3.5万个网站被黑客篡改,数量较2009年下降21.5%,但其中被篡改的政府网站高达4635个,比2009年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。

网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易,窃取用户账号密码、造成用户经济损失。2010年,国家互联网应急中心共接收网络钓鱼事件举报1597件,较2009年增长33.1%;“中国反钓鱼网站联盟”处理钓鱼网站事件20570起,较2009年增长140%。

木马和僵尸网络依然对网络安全构成直接威胁。2010年,由于扩大了监测范围2,国家互联网应急中心全年共发现近500万个境内主机IP地址感染了木马和僵尸程序,较2009年大幅增加。如果日常安全监管缺乏或者没有必要的安全防护措施,网站系统或订烟系统相关服务器也有可能成为了僵尸网络的一部分,被用于对其他互联网应用发起恶意攻击,而相关执法部门追查定位的时候往往有可能定位到烟草系统,如此烟草自身也是受害者。

3. 解决方案

为了提高烟草信息系统外网的安全,安恒信息进行了大量的前期技术调研工作。我们深入细致的科学调研和各地市烟草公司紧密的配合下,以及吸纳我们多年成功安全服务的经验定制了本方案。

任何安全事件的发生都包含:事前、事中、事后三个阶段,进行针对性的安全保障时我们应采取的手段也自然对应产生。事前的检测加固、事中的防护监控、事后的响应溯源都是必要采取的手段。结合安恒丰富的信息安全领域从业经验,我们针对浙江省烟草专卖局及所辖11个市烟草专卖局的网站系统,从安全事件发生的不同阶段考虑,提出了安全保障解决方案的设计思路。

整体安全架构

针对烟草行业的需求,我们定制如下图所示的安全解决方案,如下图所示首先通过外网进行安全监测,全天候的对外网站的可用性、安全性实时监测,全省各地市的WEB网站均通过省公司数据中心统一对外监测和预警。


图3-1 WEB安全架构示意图

而对日益严重的WEB应用攻击,推荐使用明御WEB应用防火墙进行专业WEB应用防护,可以有效的阻断SQL注入攻击、CC攻击、跨站脚本攻击等多种WEB应用攻击。同时还可以兼容将来的订烟系统HTTPS服务的需求。


图3-2 WEB安全设计示意图

通过安全监控和WEB应用防火墙的安全防御可以极大的提高安全防护的水平,考虑到烟草公司门户网站的重要性,我们还提供了明御网站卫士产品,即使在最恶劣的安全环境下也可以确保网站不被篡改,重要信息不外泄。

监测与防御相结合

信息安全是一个动态平衡的过程,一方面通过监测我们可以实现7X24小时不间断网站、业务系统可用性值守,业务系统的是否可以正常访问,访问的内容是否受到安全攻击,新增的业务系统是否存在漏洞等均可以通过监测平台即发现,另一方面通过部署WEB应用防火墙防及网页防篡改软件三个层面实现应用系统的技术防护。

服务与产品相补充

信息安全是一个发展和交互的过程,使用任何一种功能再强大的防范产品都需要辅助以优秀的安全服务才有达到最佳安全效果。安恒将以最成熟的安全产品和最优质的安全服务团队竭诚为烟草行业提供长效的安全保障。


阶段

需要采取的手段

事先阶段

安全评估/检测/巡检

渗透测试/黑盒分析

白盒分析

安全加固

安全培训

安全咨询/安全通告

事中阶段

安全防护

安全监控

事后阶段

应急响应

追溯原因

4. 最佳实践

  • 深圳烟草
  • 浙江烟草
  • 宁波烟草
  • 嘉兴烟草
  • 湖州烟草
  • 绍兴烟草
  • 舟山烟草
  • 丽水烟草
  • 金华烟草
  • 温州烟草
  • 衢州烟草
  • 杭州烟草
  • 台州烟草