重视“三防”保障烟草网站的信息安全-网络安全解决方案.doc
重视‚三防‛保障烟草网站的信息安全 -网络安全解决方案 网站,作为企业网络公众形象的载体,承担了企业形象宣传的重任。在我国,烟草施行的是国家专卖制度,既关注行业行政管理,又关注企业的生产运营,烟草网站既担负着政策信息发布、政府信息公开的职责,又兼有面对烟草企业、消费者等进行信息交互的职责。 有鉴于此, 2009 年,国家烟草局下发《国家烟草专卖局办公室关于行业信息安全工作有关情况的通知》。该通知明确提出:‚加强网站‘三防’建设,提高重要信息系统安全防护能力,各单位要按照国务院办公厅文件要求,重点做好行业对外网站网页防攻击、防病毒、防篡改的安全保障。‛ 那么,如何来理解所谓的网站‚三防‛呢? 烟草网站第一防:防攻击 烟草网站往往具备在线办事等电子政务功能,一旦黑客利用网页漏洞进入系统后台,则可以轻易破坏这些对外提供的服务,令其无法正常工作,又或者是利用 DoS/DDoS 等攻击行为 ,占用系统的服务资源,令其无法正常工作……诸如此类的现象,通常被形象的称为‚网站瘫了‛。 对上述致使‚网站瘫了‛的行为的防范,可以纳入到‚防攻击‛的层面。因为,一般来说,网站的代码编写人员并不具备足够的安全知识,在编码时往往并不考虑网站是否会因此而存在漏洞,更有甚者,还有一些网站直接借用其他站点框架来搭建。 据业内专业安全公司启明星辰的安星远程网站安全检查服务网站( www.websec360.com)的数据显示,平均约 700 个页面就会存在一个网页漏洞。烟草网站一般都拥有 1000 个以上的页面,存在 网页漏洞的概率极大。而利用这些漏洞(如果是动态网站,最常见的就是 SQL 注入漏洞,该漏洞的危害巨大,网络上已有大量相关文章,本文不再赘述),黑客可以轻易获得权限,进而攻击整个网站。 烟草网站第二防:防病毒 网站防病毒,指的不仅仅是‚蠕虫‛之类的计算机病毒,更多的是指‚网页木马病毒‛。很多人都见过 Google 在某些返回的搜索结果中显示‚该网站可能含有恶意软件,可能会危害您的电脑‛。类似这样的说明,就是指网站很可能已经中了‚网页木马病毒‛,业内通常称之为‚挂马‛。 试想,如果在 Google 中搜索 某某省烟草公司,返回的却是一个挂着‚小尾巴‛的地址,这对企业形象的影响将会是巨大的。特别是,如果有人不小心访问了被‚挂马‛的页面,那么也将会在不知不觉中感染上木马,进而泄露自己的私密信息。