网页防篡改安全系统
一、概述
互联网技术自发明以来已经走过了40多个年头,目前全球互联网用户总量已经达到20亿左右,相比之下,全球的总人口数则为70亿。很显然,互联网在我们生活中占据了越来越重的地位,而网站则是互联网中的重中之重。由于越来越多的用户加入,网站的社会影响力越来越大,随着这些Web应用及服务在功能和性能上不断的完善和提高,Web越来越多地承载了核心业务,如电子政务、电子商务、运营商的增值业务等。然而在其安全性上,却没有得到足够的重视。
近年来,黑客强烈的表现欲望,国内外各种非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人多,复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。另外,攻击工具泛滥且向智能自动化趋势发展,据不完全统计,我国98%以上的站点都受到过不同程度的黑客攻击,攻击形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为攻击目标。
针对这一情况,注重网页文件内容防护与用户动态交互的网站应用安全防护系统应运而生。
二、简介
ieGuard网页防篡改安全系统采用先进的Web服务器核心内嵌技术,将篡改检测模块和应用防护模块内嵌于Web服务器系统内部,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题;并定时监控模块状态和Web服务器使用情况;以实现监控和防护一体化。
ieGuard网页防篡改安全系统目标是使网站安全最大化、维护便捷化、用户透明化和管理全面化。
2.1、技术原理
ieGuard网页防篡改安全系统的篡改检测模块使用密码技术,为网页对象计算出唯一性的指纹。公众每次访问网页时,都将网页内容与指纹进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览。并前置文件驱动过滤技术,在操作系统核心工作,直接对操作系统文件操作进行分析和判断,阻断保护文件或目录的写操作,达到被保护文件或目录不被建立、删除、移动、修改等。同时,ieGuard的应用防护模块对用户输入的URL地址和提交的表单内容进
行检查,任何对数据库的注入式攻击都能够被实时阻断。
ieGuard网页防篡改安全系统全面保护网站的静态网页和动态网页,其安全性从根本上大大优于同类产品。支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、
表单提交、审计等各个环节的安全,完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用Web方式对后台数据库的篡改。
2.2、平台支持
ieGuard网页防篡改系统支持安装在不同操作系统,支持Windows系列、Linux 系列、Unix系列等各种不同发行版本的操作系统。例如:Windows Server2003、Windowsserver2008、RedHatLinux、SuseLinux、IBM AIX、HP Unix、Solaris等操作系统。
ieGuard网页防篡改系统支持多种Web应用程序。支持主流的Web应用,如IIS、WebLogic、WebSphere、Apache、Tomcat、Nginx等各种Web应用。
二、功能特点
3.1、多重篡改防护
采用核心内嵌技术和应用防护对网站起多层次防护;
一体化的安全防护和监测,保证网站正常运行;
支持多网站,多服务器防护;
支持断线状态下阻止篡改;
支持连续性篡改防护;
可靠的实时网页篡改检测;
内嵌式与定时扫描两种方式共存;
自身进程保护保障模块安全;
3.2、自身安全防护
自身进程安全防护,防止非法停止;
防止自身程序文件、配置文件、日志文件非法修改和删除;
水印库被删除后自动回复功能;
通过用户的鉴权,防止备份库中的文件被非法删除、修改和添加;
3.3、可靠高效的文件增量同步
支持多服务器、多站点,跨平台分布式部署,统一集中管理功能;
支持大规模网站服务器的部署架构;
支持管理端集,且支持Web客户端和管理端一对多,多对多等各类灵活网站架构;
支持自动重连失败重连任务断点续传
3.4、多层次用户管理
ieGuard网页防篡改安全系统可依照管理员、审计员、操作员等进行多级用户权限管理,不同用户权限明确,也可以自定义管理员权限,满足管理需要。
四川建筑职业技术学院录取分数线管理员:拥有系统全部权限;
审计员:拥有对系统进行监控和日志审计操作的权限;
农民起义操作员:拥有任务编辑、配置下发、策略下发、执行任务等权限;
3.5、状态监控
实时监控网页防篡改系统各个模块状态,如被停用,及时报警;
实时监控服务器运行状态,并提供性能监控阀值报警,预知故障发生;
由管理平台垂直统一监控;
使用曲线精准展示服务器使用率,系统软硬件信息清晰
3.6、多层次多方位多方式告警
可自定义设置告警级别;
支持日志、邮件和短信告警;
可第三方管理平台告警发送;
多形式的告警统计;
篡改告警可依条件查询筛选,可生成图表便于查看
主程序异常终止叫醒服务
3.7、安全、便捷管理
系统B/S结构,且用https方式,确保安全性;
服务器之间数据传输采用SSL加密传输,安全可靠;
系统全中文界面,操作、配置方便,运维人员短时间即可熟练完成系统配置,大大提高工作效率;
手动锁定/解锁用户
ie脚本错误可设定锁定时间到期自动解锁
可配置管理端访问的ip规则
复杂的密码设置功能
错误输入密码次数满后自动锁定该用户
3.8、高性能
《三峡》翻译文件同步性能
平均文件大小:>=10k
平均发布速度:>=5MB/s
访问性能
监控延迟:实时
恢复延迟:<1s
网站访问延迟:使用产品前后,网站访问延迟偏差<5% Web服务器负载
Web服务器负载,同等访问量相关服务(中间件等)消耗增加量:
三星空调
内存:<=5%CPU:<=3%
在Web服务器上部署的相关防篡改守护进程最大占用资源量:
内存:<=50M CPU:<=3%
四、组成
从逻辑上,ieGuard由管理服务、监控服务、文件发布服务和安全防护模块组成,如图表-1所示:
流行个性签名
图表-1ieGuard系统部件示意图
4.1、安全防护模块
安全防护模块是系统的核心,内嵌在Web系统里,包含应用防护模块和篡改检测模块。
应用防护模块对每个用户的请求进行安全性检查:如果正常则发送给Web系统;如果发现有攻击特征码,即刻中止此次请求并进行报警。
篡改检测模块对每个发送的网页进行即时的完整性检查:如果网页正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警和恢复。
4.2、文件发布服务
文件发布服务负责页面的自动发布,由发布和同步端组成:发布端位于管理服务器上,称之为自动发布程序,它监测到文件系统变化即进行计算该文件指纹(文件唯一HASH值),并进行SSL发送;接收端位于Web服务器上,称之为同步服务,
它接收到网页和指纹值后,将网页存放在文件系统中,将指纹值存放到安全的水印库内。所有合法网页的增加、修改和删除都通过自动发布子系统进行。
4.3、管理服务
负责篡改后自动恢复,也提供系统管理员的使用界面。其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。
日志记录所有系统、发布、篡改检测和自动恢复等信息,可以分类分日期查看,并根据管理员的要求实现转储。
4.4、监控服务
负责监控整个ieGuard系统的运行状态,和各个服务器硬件运行状态,如CPU,内存,网络和硬盘等使用情况,如出现服务或模块停用和使用过高,及时向管理员发送告警信息。
五、部署
5.1、标准部署
1)内容管理系统
目前,大部分网站都使用了内容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中,管理服务器部署在原有的内容管理系统和Web服务器之间,图表-2表明了三者之间的关系。
图表-2标准部署图
为一个已有的Web站点部署ieGuard时,Web服务器和内容管理系统都沿用原来的机器,而需要在其间增加一台管理服务器。ieGuard的自动同步机制完全与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。
管理服务器上具有与Web服务器上的网站文件完全相同的目录结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。
网页的合法变更(包括增加、修改、删除、重命名)都在管理服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。