近日，全球知名的高性能Web 2.0安全解決方案領(lǐng)導(dǎo)廠商與高端Web安全設(shè)備提供商——Wedge Networks（穩(wěn)捷網(wǎng)絡(luò)）宣布，通過提供專署的高性能Web安全網(wǎng)關(guān)，穩(wěn)捷網(wǎng)絡(luò)成功為煙草專賣局搭建了Web安全保護(hù)方案，新方案從源頭解決了用戶在防病毒與防垃圾郵件方面的迫切需求，而且在產(chǎn)品易用性上得到了用戶的肯定。

并存：發(fā)展與挑戰(zhàn)

長期以來，中國煙草行業(yè)實(shí)行統(tǒng)一領(lǐng)導(dǎo)、垂直管理、專賣專營的管理體制。中國煙草行業(yè)實(shí)行專賣專營體制以來，在黨中央、國務(wù)院的正確領(lǐng)導(dǎo)以及地方各級(jí)黨委政府、各有關(guān)部門的大力支持下，充分發(fā)揮行業(yè)管理體制的優(yōu)勢(shì)，落實(shí)科學(xué)發(fā)展觀，不斷深化改革，強(qiáng)化專賣執(zhí)法，推進(jìn)科技進(jìn)步，狠抓基礎(chǔ)管理，促進(jìn)了經(jīng)濟(jì)效益不斷提高。至今已累計(jì)實(shí)現(xiàn)利稅15778億元，為增加國家財(cái)政積累、滿足市場(chǎng)消費(fèi)做出了積極貢獻(xiàn)。

近兩年來，中國煙草行業(yè)緊緊圍繞“做精做強(qiáng)主業(yè)，保持平穩(wěn)發(fā)展”的基本方針和“深化改革，推動(dòng)重組，走向聯(lián)合，共同發(fā)展”的主要任務(wù)，積極推進(jìn)行業(yè)內(nèi)部改革和企業(yè)組織結(jié)構(gòu)調(diào)整。各級(jí)煙草專賣機(jī)構(gòu)狠抓整頓和規(guī)范煙草市場(chǎng)秩序，加強(qiáng)經(jīng)濟(jì)運(yùn)行調(diào)控，促進(jìn)了行業(yè)各項(xiàng)工作的順利開展，保持了全行業(yè)的平穩(wěn)發(fā)展。

目前，作為對(duì)煙草專賣品的生產(chǎn)、銷售、進(jìn)出口貿(mào)易及對(duì)外經(jīng)濟(jì)技術(shù)合作業(yè)務(wù)依法實(shí)行專賣管理的部門，其內(nèi)部服務(wù)器卻面臨著Web安全的新挑戰(zhàn)：

來自互聯(lián)網(wǎng)的不良分子對(duì)企業(yè)內(nèi)部重要 IT資源愈演愈烈的攻擊。

已有的安全設(shè)備不能提供完整的 Web安全保護(hù)，造成內(nèi)部知識(shí)產(chǎn)權(quán)及重要數(shù)據(jù)信息面臨外瀉的危機(jī)。

來自互聯(lián)網(wǎng)的廣告郵件、釣魚郵件、病毒郵件日趨泛濫，對(duì)此類郵件的有效清理非常必要。

應(yīng)對(duì)：網(wǎng)關(guān)與防護(hù)

為了確保自身網(wǎng)絡(luò)安全，相關(guān)單位網(wǎng)絡(luò)部門負(fù)責(zé)人提出了三項(xiàng)安全要求：

第一，為了實(shí)現(xiàn)最佳的安全效果，同時(shí)確保企業(yè)網(wǎng)絡(luò)拓?fù)洳皇苡绊?，希望能夠從網(wǎng)關(guān)處解決問題。

第二，由于當(dāng)前主要安全威脅來自于互聯(lián)網(wǎng)，因此Web安全必須成為重點(diǎn)保護(hù)的對(duì)象，網(wǎng)關(guān)設(shè)備需要防止病毒、木馬、間諜軟件等對(duì)服務(wù)器系統(tǒng)的破壞，確保公司的重要數(shù)據(jù)信息安全。

第三，由于內(nèi)部員工日常工作離不開電子郵件系統(tǒng)，因此確保郵件系統(tǒng)安全，保護(hù)工作人員免受垃圾郵件的侵害成為當(dāng)務(wù)之急。

根據(jù)用戶的需求，穩(wěn)捷網(wǎng)絡(luò)和項(xiàng)目集成商聯(lián)信永益一齊攜手，以穩(wěn)捷網(wǎng)絡(luò)BeSecure NDP-1020 Web安全網(wǎng)關(guān)為基礎(chǔ)，構(gòu)建了完整的Web安全保護(hù)方案。

在整個(gè)方案中，通過在企業(yè)外網(wǎng)防火墻 DMZ區(qū)內(nèi)部署一臺(tái)穩(wěn)捷網(wǎng)絡(luò)BeSecure NDP-1020設(shè)備，一方面實(shí)現(xiàn)了對(duì)企業(yè)郵件服務(wù)器的安全保護(hù)，另一方面也確保了對(duì)外網(wǎng)防火墻 DMZ區(qū)服務(wù)器群提供防病毒服務(wù)。

圖一：BeSecue Web安全解決方案示意圖

　　據(jù)介紹，在穩(wěn)捷網(wǎng)絡(luò)BeSecure NDP-1020 Web安全網(wǎng)關(guān)上線 1個(gè)月的時(shí)間內(nèi)，BeSecure Web安全網(wǎng)關(guān)對(duì)高達(dá)364.8 GB的Web數(shù)據(jù)進(jìn)行了實(shí)時(shí)深層掃描，有效鑒別出發(fā)送到內(nèi)部工作人員郵箱的垃圾郵件114,454封，與此同時(shí)，阻止各類病毒、木馬、間諜軟件的攻擊126起，其中118起是來自向內(nèi)部工作人員發(fā)送的帶毒郵件攻擊，8件是來自HTTP Web協(xié)議的服務(wù)器攻擊。

收益：安全與分析

無疑，通過穩(wěn)捷網(wǎng)絡(luò)BeSecure NDP-1020 Web安全網(wǎng)關(guān)的成功部署，極大地確保了用戶的網(wǎng)絡(luò)安全。對(duì)于負(fù)責(zé)任的安全廠商而言，確保用戶遠(yuǎn)離安全風(fēng)險(xiǎn)僅僅是第一步，為了讓用戶能夠?qū)ψ陨砭W(wǎng)絡(luò)的安全性了如指掌，穩(wěn)捷網(wǎng)絡(luò)專門量身定制了一套專署的安全分析簡報(bào)，以便用戶自身能夠找準(zhǔn)問題所在。

據(jù)穩(wěn)捷網(wǎng)絡(luò)安全工程師介紹，在此次安全建設(shè)中，發(fā)現(xiàn)了兩大類安全風(fēng)險(xiǎn)，分別是：Web病毒入侵和垃圾郵件泛濫。

大量病毒入侵

穩(wěn)捷網(wǎng)絡(luò)發(fā)現(xiàn)，大部分病毒是通過 SMTP或 POP3協(xié)議以郵件方式向工作人員郵箱發(fā)送的，然后因錯(cuò)誤點(diǎn)擊而造成內(nèi)部的混亂與恐慌，更有8起是來自HTTP Web協(xié)議的對(duì)服務(wù)器攻擊，妄圖造成服務(wù)器系統(tǒng)的崩潰或盜取重要的數(shù)據(jù)信息。所幸的是，這些惡意的傳輸均被BeSecure Web 安全網(wǎng)關(guān)阻攔。

圖二：BeSecure Web 安全網(wǎng)關(guān)生成的病毒來源統(tǒng)計(jì)

垃圾郵件泛濫

此前，用戶內(nèi)部的垃圾郵件泛濫成災(zāi)，并一度威脅到內(nèi)部員工的正常工作。在對(duì)郵件服務(wù)器提供郵件安全服務(wù)中，穩(wěn)捷網(wǎng)絡(luò)發(fā)現(xiàn)流向郵件服務(wù)器的垃圾郵件多達(dá)114,454封，如此數(shù)量的垃圾郵件如果送達(dá)了工作人員的郵箱，勢(shì)必導(dǎo)致工作人員把大量精力虛耗在繁多的垃圾郵件處理工作上，不僅造成工作效率的下降，也對(duì)用戶的網(wǎng)絡(luò)安全帶來嚴(yán)重挑戰(zhàn)。幸運(yùn)的是，穩(wěn)捷網(wǎng)絡(luò)BeSecure Web安全網(wǎng)關(guān)設(shè)備對(duì)郵件內(nèi)容進(jìn)行有效檢測(cè)和合理的分類，使工作人員從此免受垃圾郵件的困擾。

圖四：BeSecure Web 安全網(wǎng)關(guān)生成的垃圾郵件來源統(tǒng)計(jì)

另外，在Web安全網(wǎng)關(guān)運(yùn)行時(shí)間內(nèi)， BeSecure NDP-1020 Web安全設(shè)備系統(tǒng)CPU最高使用率僅10%，內(nèi)存使用最高僅500M，說明系統(tǒng)資源充分，設(shè)備運(yùn)行正常，不僅完全滿足了對(duì)用戶DMZ區(qū)服務(wù)器數(shù)據(jù)流量的掃描和處理，而且也為日后用戶IT系統(tǒng)的擴(kuò)容保留了充分的安全彈性。

從實(shí)際運(yùn)行情況看，在短短的一個(gè)月內(nèi)，用戶服務(wù)器面對(duì)的惡意攻擊就高達(dá)數(shù)十萬次，所有這些攻擊均是可穿透防火墻和IDS/IPS設(shè)備的復(fù)雜內(nèi)容攻擊。無疑，實(shí)際情況再一次證明，用戶選擇布署專用的Web安全解決方案是非常必要且行之有效的。