文章总结： 研究从攻击者视角构建无需内部数据的卷烟制造企业外部攻击面测绘原型系统，通过域名、IP、组件、供应链及数据暴露五维度对五家烟企实施周期测绘，发现僵尸域名、敏感端口、API未授权及供应链泄露四类高危风险并给出处置建议，验证持续风险管理框架在工控场景的有效性。 综合评分： 86 文章分类： 威胁情报,漏洞分析,安全建设,安全工具,内网渗透

前沿 | 基于攻击者视角的卷烟制造企业网络安全风险研究

原创

王承涛等 王承涛等

中国信息安全

2026年1月20日 18:09 北京

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 武汉问道信息技术有限公司 王承涛 徐佳 陈青 崔书方 黄迪 陈春阳

信息化与网络化的时代背景下，卷烟制造企业正经历着全面的数字化转型，具体体现为大数据、物联网、人工智能、数字孪生等先进技术的应用，以及智能计算中心的建设。随着信息技术（IT）与运营技术（OT）的深度融合，部分卷烟厂的生产网（ICS/OT网络）与办公网（IT网络）之间缺乏有效的安全隔离措施，甚至存在直接对接的情况。由于办公网络通常面临更为复杂的互联网安全威胁，这种连接方式为攻击者从IT环境向相对脆弱的OT环境进行横向移动提供了直接通道，导致内部安全与外部安全关联性增强、传导速度加快，外部网络攻击风险对内部的威胁加剧。同时，受专卖体制的影响，卷烟制造企业监管部门开发并部署了专用管理系统，此类系统已在各级卷烟制造企业中广泛应用。一旦该系统存在漏洞，可能引发广泛且严重的安全问题。鉴于系统覆盖生产、流通、销售及专卖管理等多个关键环节，且系统内的数据具有高度敏感性和重要战略价值，针对卷烟制造企业的网络攻击风险显著提高。

在此背景下，攻击者往往会选择“阻力最小的路径”，更倾向于率先攻击相对易于突破、暴露面更广泛的IT系统。一旦攻破IT系统，攻击者便可伺机向价值更高的OT环境横向渗透。尽管OT系统自身可能存在极为严重的安全漏洞，但初始的攻击入口往往在IT侧。这种攻击路径凸显了IT安全与OT安全之间风险的紧密关联性。为有效应对网络攻击，卷烟制造企业需从防守者视角扩展至攻击者视角，从单纯的攻防对抗转变为全面的风险管控，主动识别并评估潜在攻击风险。

一、问题聚焦和创新研究

攻击者对攻击目标进行信息收集，是发起网络攻击的关键步骤。攻击者通过收集目标的互联网资产信息及企业互联网侧信息，构建初步的企业画像。具体而言，攻击者会重点关注域名资产，因其是企业互联网资产的重要组成部分，也是信息侦察的核心切入点。攻击者还会通过域名系统（DNS）解析来识别互联网协议地址（IP地址），并分析其所属的云服务、内容分发网络（CDN）或运营商。此外，攻击者还会探测目标企业互联网服务返回的响应数据进行探测，以识别其所用的基础设施平台、服务组件、后端架构和前端组件，排查可能存在的漏洞或配置缺陷。最后，他们也会关注互联网侧开放的应用程序编程接口（API）、相关的数据文档及代码、邮箱地址等信息，因为这些可能导致敏感数据泄露，或为进一步攻击提供路径。基于攻击者视角的风险研究内容范畴极为广泛，涵盖资产发现、风险识别、风险分类、风险验证以及风险优先级评估等内容。其中，风险类型繁多，因此本研究聚焦于解决以下问题。

（一）从攻击者视角进行攻击相关情报的收集整理

传统的风险分析系统通常需导入企业内部资产信息、内外网资产映射表以及网络拓扑等数据，以开展攻击风险分析。此外，传统的互联网资产测绘系统并非专门为企业设计，由于测绘规模庞大，测绘时效和测绘内容无法满足企业风险管理的要求。然而，企业内部数据的获取往往受到隐私保护、合规要求以及技术措施的制约，这不仅使系统操作更为复杂，还可能引发数据泄露的风险。本研究从攻击者视角，设计并实现了一个仅依据企业名称便可完成企业攻击风险分析的原型系统。该原型系统使用的创新性方法完全基于公开数据、威胁情报和企业公开信息，模拟攻击者思路对外部攻击风险进行评估。此方法不依赖企业内部数据，从而突破了传统系统的数据依赖性，降低了系统使用的复杂程度，更贴近攻击者视角，更具实战价值。

（二）挖掘卷烟制造企业的非组件漏洞风险

传统安全工具（如漏洞扫描器与自动化渗透测试平台）长期以来侧重于系统或组件层面的漏洞识别与修复。然而，随着网络威胁形态的持续演变，资产全生命周期内的诸多非传统漏洞风险日益显著，例如，配置错误、凭证暴露、API滥用及数据泄露等。这些风险常常超出了现有工具的监控范围，凸显出当前资产生命周期管理存在的明显缺陷。为此，本系统引入全生命周期风险管理理念，提出一种融合资产自动识别、风险真实性评估及多维分类的综合方法论。该方法旨在打破传统漏洞导向的局限性，全面强化企业在多个维度上的风险感知与防护能力。

（三）建立原型系统对卷烟制造企业的外部攻击风险进行自动化测绘

目前，大多数持续风险管理框架的应用集中在信息技术（IT）、金融等传统领域，针对卷烟制造企业这种特定行业，尚缺乏具有针对性的研究和实践。卷烟制造企业面临着独特的监管、数据保护与合规性要求，传统网络安全风险防控措施缺乏行业特性，在一定程度上造成了投资浪费。本研究拟通过创新性地将持续风险管理框架应用于卷烟制造企业，借助原型系统对我国主流卷烟制造企业的外部资产和风险进行测绘，以积累多维度数据。通过对原型系统产出数据开展定量分析，为卷烟制造企业的安全管理提供切实可行的解决方案。

本项目的创新性主要体现在技术集成与方法论的优化，而非简单的单点技术改进。项目以攻击者视角为基础开展外部攻击面分析，并引入风险全生命周期管理理念，结合其在卷烟制造企业的应用实践，探索了外部攻击面管理与持续威胁暴露管理的有效路径。该框架在实际场景中的验证表明，其能够有效增强资产风险识别的全面性、准确性和外部攻击风险管理的持续性。未来，随着网络威胁形态和企业数字化水平的不断演变与提升，该方案具有在其他行业和复杂环境中推广应用的潜力。

二、基于攻击者视角的原型系统设计与行业测绘

基于以上问题，本研究设计了一套基于攻击者视角的安全风险研究原型系统，该系统主要用于对卷烟制造企业的风险进行自动测绘。该系统仅需输入待分析目标的企业名称，便能实现对目标在互联网上所暴露的资产和信息进行收集、整理与分析，系统架构如下图所示。

图 基于攻击者视角的安全风险研究原型系统架构

整体系统架构包括四个层面。采集层依托对目标单位公开数据的探测，整合公司备案数据、域名注册等数据进行自动化拓展，并和外部的漏洞数据及威胁情报数据进行融合；数据层通过资产主动探测模型对资产探测的范围、维度、精度及细粒度进行控制；运用风险优先级评估模型识别关键风险；利用自然语言分析引擎对泄露数据进行定向分析，通过漏洞探测引擎获取关键漏洞的相关信息，并借助关联分析引擎进行自动化、可视化分析。服务层结合数据层数据和分析层模型，输出资产扫描结果、风险分析结果、数据泄露态势，展示攻击者资产的发现路径，自动提供数据资产暴露面分析结果、风险分析结果及数据泄露的分析结果。系统架构的核心——业务层，包括信息收集、数据分析、风险挖掘、风险验证和持续监测五个阶段。在信息收集阶段，系统以监测目标企业名称作为输入，模拟攻击者视角在互联网上收集与企业相关联的信息，企业关联信息主要由两部分构成：互联网资产信息和企业互联网侧信息。系统会模拟攻击者对目标企业的这两类数据进行综合研判，形成企业的初步画像。在数据分析阶段，系统基于已经收集的数据绘制资产关联关系图，对企业资产和数据展开多维度分析，并融合威胁情报和DNS数据，进行数据关联分析和富化处理。在风险挖掘阶段，系统运用多种模型对企业基础数据进行分析，除基础的组件漏洞风险外，本原型系统更着重关注僵尸资产、僵尸服务、高危端口暴露、代码泄露引发的风险、配置不当导致的数据泄露风险等，且在供应链风险领域进行了初步探索。在风险验证阶段，系统会整合多渠道数据，运用自动化验证方法对风险进行降噪处理，并运用风险量化模型对风险优先级进行排序。在持续监测阶段，与漏洞扫描等传统工具不同，系统可对目标进行持续周期性监测，并对每个周期内的风险数据和资产数据进行比对分析。

基于以上架构，本研究完成了原型系统的开发，并利用该原型系统针对五家卷烟制造企业进行信息收集和分析工作。

（一）域名资产分析

在互联网攻击风险评估中，域名作为企业互联网资产的重要组成部分，是攻击者实施信息侦察与发起潜在攻击的核心切入点。因此，对企业域名资产进行全面梳理并开展活跃度评估，是从攻击者视角开展风险研究的基础工作。

本研究覆盖的五家卷烟制造企业在公网范围内共识别到25个一级域名资产，关联识别出222个完全限定域名（FQDN）。为评估这些FQDN的实际活跃情况，系统接入DNS解析日志数据库对上述域名近一个月的解析请求次数进行了统计分析。统计结果显示，有四家企业共71个FQDN月请求量低于100次（呈现出典型的低活跃特征），占总量的32%。

进一步对这71个低活跃子域名进行业务归属分析。其中，56个子域名未指向任何服务，这可能意味着他们是历史遗留、测试用途或已废弃的配置，进而存在被恶意接管的风险。另外，有3个子域名解析至内网IP地址，此配置表明存在外部可解析但仅供内部使用的漏洞，可能被攻击者用于侧信道建立或筹备钓鱼攻击。此外，有12个子域名指向了企业的核心信息系统，包括主站、经营管理平台、物流管理平台、来访登记系统和在线文档平台。对于高活跃度子域名而言，其服务类型主要集中于企业主站、市场营销平台（包括电商、品牌宣传页面等）、邮件服务（包括Webmail、SMTP接口等）、远程访问服务（如VPN门户），这与服务场景活跃度一致。

（二）IP资产统计分析

本系统对已收录的FQDN清单进行DNS解析，识别出共计176个独立的IP地址。根据IP地址的自治系统号（ASN）信息，将其划分为三类：云服务IP（13个）、CDN IP（93个）和运营商IP（70个）。卷烟制造企业对云服务依赖程度较低，云服务IP仅占IP总量的约16%（CDN不属于公司资产范畴）。云主机通常被用于提供Web应用服务，从业务场景来看，云主机所承载的主要业务均为正在开发或使用中的营销管理系统。

（三）服务组件统计分析

系统根据目标企业互联网服务返回的响应数据进行特征匹配，收集其在信息系统开发建设过程中使用到的组件信息。通过使用情况的分析发现，Linux操作系统（特别是CentOS和Ubuntu）广泛应用于生产环境，MySQL数据库的版本较为分散，部分公司仍使用较旧的MySQL 5.x版本，存在安全与性能方面的风险。Nginx被普遍采用作为Web服务器，且Spring Boot和Node.js在后端开发中占据主导地位。然而，部分公司仍使用传统的JSP、PHP和Lua技术，反映出其存在技术老化陈旧的问题。总体而言，卷烟制造企业在Web服务的技术栈呈现出共性特征，开发组件版本相对陈旧，亟待优化升级以增强安全性。

（四）供应链情况分析

通过对目标企业历史招标与供应商合作记录的排查可知，五家卷烟制造企业共拥有1075家信息化供应商，占全部供应商总数的26%。这些供应商负责卷烟制造企业信息化系统的开发和运维工作，这表明他们很可能掌握目标单位信息系统的代码或运维系统的访问权限。因此，一旦这些供应商的代码发生泄露或其网络遭受攻击，将对卷烟制造企业带来巨大的风险。这充分表明，供应商与合作伙伴的安全性，特别是在信息化领域存在依赖关系，已成为企业网络安全的关键潜在风险因素。

（五）互联网侧企业数据暴露情况分析

在数据安全方面，系统对目标企业在互联网侧开放的应用程序编程接口、相关数据文档及代码以及企业邮箱地址进行了检索和分析。结果显示，共收集到目标相关的代码及文档575份，发现71个API接口以及29个邮箱处于暴露状态。这些数据是攻击者研究的重点，原因在于攻击者能够通过互联网侧泄露的代码文档提取有价值的信息，例如，系统框架、API接口、系统账号及口令等。此外，攻击者可通过企业邮箱尝试进行账号破解或发起钓鱼攻击。鉴于这些潜在风险，上述内容需纳入系统的持续观测范围。

三、结 语

基于攻击面管理和持续风险管理的理念，本研究完成了原型系统的设计和研发工作，并基于此系统实现了对卷烟制造企业的自动化、周期化的风险测绘。通过人工验证后的风险数据指导原型系统的优化和企业的网络安全监测，主要攻击风险包括以下四点。

一是僵尸域名攻击风险。某卷烟制造企业互联网域名CNAME指向到境外云服务商域名，攻击者可通过在相应服务商处购买同类服务，进而接管该子域名，引导正常用户访问恶意站点。二是敏感端口开放风险。通过对五家企业的9个敏感服务（5个数据库服务、2个SSH服务、1个FTP服务、1个RDP服务）进行主动风险验证，发现了一个Memcached数据库缓存服务存在未授权访问风险的漏洞，攻击者可以通过未认证的方式直接查询缓存数据。三是API接口安全风险。通过对71个API接口进行安全测试，确认存在两起API未授权访问漏洞，该漏洞允许攻击者在未授权情况下读取系统内生产数据。四是供应链数据泄漏风险。监测过程中发现某供应商在公开的网络平台上违规发布该卷烟制造企业工厂网络设计图，经核实，该供应商合作项目已到期，此行为属于供应商滥用权限发布内部信息。

基于全自动周期性风险识别，该系统显著降低了传统手工排查过程中所需的人力成本，并增强了风险预警的时效性。下一步，将深入探索大模型驱动的网络风险分析和验证技术，例如，利用大模型对泄露的代码和文档进行分析，提取与攻击关联的信息；利用大模型对网站代码进行分析，提取API并进行分析；利用大模型编写验证脚本，在授权情况下对风险的真实性进行验证，从而让系统更加聚焦于未知风险和真实风险，进一步提高原型系统在复杂的攻击场景中的适应性。

（本文刊登于《中国信息安全》杂志2025年第9期）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中国信息安全 王承涛等 王承涛等《前沿 | 基于攻击者视角的卷烟制造企业网络安全风险研究》