(聯合電訊社/北京)--網站，作為企業網絡公眾形象的載體，承擔了企業形象宣傳的重任。在我國，煙草施行的是國家專賣制度，既關注行業行政管理，又關注企業的生產運營，煙草網站既擔負著政策信息發布、政府信息公開的職責，又兼有面對煙草企業、消費者等進行信息交互的職責。

　　有鑒于此，2009年，國家煙草局下發《國家煙草專賣局辦公室關于行業信息安全工作有關情況的通知》。該通知明確提出：“加強網站‘三防’建設，提高重要信息系統安全防護能力，各單位要按照國務院辦公廳文件要求，重點做好行業對外網站網頁防攻擊、防病毒、防篡改的安全保障。”

　　那么，如何來理解所謂的網站“三防”呢?

　　煙草網站第一防：防攻擊

　　煙草網站往往具備在線辦事等電子政務功能，一旦黑客利用網頁漏洞進入系統后臺，則可以輕易破壞這些對外提供的服務，令其無法正常工作，又或者是利用DoS/DDoS等攻擊行為，占用系統的服務資源，令其無法正常工作……諸如此類的現象，通常被形象的稱為“網站癱了”。

　　對上述致使“網站癱了”的行為的防范，可以納入到“防攻擊”的層面。因為，一般來說，網站的代碼編寫人員并不具備足夠的安全知識，在編碼時往往并不考慮網站是否會因此而存在漏洞，更有甚者，還有一些網站直接借用其他站點框架來搭建。

　　據業內專業安全公司啟明星辰的安星遠程網站安全檢查服務網站(www.websec360.com)的數據顯示，平均約700個頁面就會存在一個網頁漏洞。煙草網站一般都擁有1000個以上的頁面，存在網頁漏洞的概率極大。而利用這些漏洞(如果是動態網站，最常見的就是SQL注入漏洞，該漏洞的危害巨大，網絡上已有大量相關文章，本文不再贅述)，黑客可以輕易獲得權限，進而攻擊整個網站。

　　煙草網站第二防：防病毒

　　網站防病毒，指的不僅僅是“蠕蟲”之類的計算機病毒，更多的是指“網頁木馬病毒”。很多人都見過Google在某些返回的搜索結果中顯示“該網站可能含有惡意軟件，可能會危害您的電腦”。類似這樣的說明，就是指網站很可能已經中了“網頁木馬病毒”，業內通常稱之為“掛馬”。

　　試想，如果在Google中搜索某某省煙草公司，返回的卻是一個掛著“小尾巴”的地址，這對企業形象的影響將會是巨大的。特別是，如果有人不小心訪問了被“掛馬”的頁面，那么也將會在不知不覺中感染上木馬，進而泄露自己的私密信息。

　　煙草網站第三防：防篡改

　　頁面被篡改，是網站遭遇攻擊的最常見現象，比如首頁被替換、頁面發布內容被修改等。這類也是被曝光數量最多的黑客行為。

　　對此，煙草網站既然同時作為信息展示和交互的平臺，那么頁面被篡改也是必然要考慮的一大安全風險。

　　在了解網站威脅所包括的內容后，接下來需要關注的就是“如何應對這些狀況?”“如何將‘三防’要求落地執行?”

　　上圖描述了一類較為典型的煙草公司網站防護示意圖，正在考慮“網站三防”建設的機構不妨參考實踐。

　　系統解決“三防”問題

　　防篡改是網站安全中最容易想到的要求，這與頁面被篡改現象屢見不鮮有很大關系。最直接的解決辦法就是采用網站防篡改產品。

　　通過網站防篡改產品，可以將網站所有信息備份存儲，同時監視網站頁面文件，一旦發現網頁被修改，系統可以馬上從備份庫中提取并進行恢復。這種防范手段不受攻擊手法的限制，即不論黑客利用何種手段攻擊網站，只要頁面發生更改，網站防篡改產品都可以及時響應和恢復。

　　在純靜態頁面的網站中，頁面防篡改可以防范幾乎全部的針對Web系統的攻擊行為，而在動態頁面的網站中，防篡改產品也有盲區。主要有2類盲區：一類就是有信息交互的網站，如在線留言、在線辦理等業務，用戶需要對后臺數據庫進行寫入或者修改的操作，網站防篡改系統無法判斷這些修改是黑客行為還是用戶正常操作;另外一類就是數據竊取，如竊取賬號口令等信息，頁面并未因此發生變化，因此，網站防篡改產品自然也就無法防御了。

　　而上述這兩種盲區，恰好就是“網站三防”中另外兩防可以解決的問題——防病毒、防攻擊。如果用戶交互頁面(在線留言系統等)存在一種被稱為XSS(跨站腳本攻擊)的Web漏洞，黑客就可以提交一個精心構造的字符串，將網頁木馬鏈接到頁面上。如果頁面存在SQL注入漏洞，黑客則可以通過URL中提交的特殊的字符串進行攻擊，獲得后臺數據庫權限。針對這兩種情況，可以考慮選擇帶有Web威脅防御能力的安全產品，如入侵防御產品或者是Web應用防火墻來實現安全防御。

　　當然，除了部署相應的安全產品外，清晰劃分內部網絡安全域也是必不可少的工作，最簡單的就是將那些需要對外提供服務的服務器單獨列出服務器域，避免利用內部PC進行跳板攻擊的黑客行為。一般來說，將服務器域單獨劃分管理域，并且設置必要的訪問控制措施，輔助部署網站防篡改、入侵防御或Web應用防火墻產品，就能很好地滿足“三防”需求，保障網站的安全穩定運營。