【正文】 記錄，詳細(xì)記錄操作管理員的操作管理行為； 操作管理安全、方便 ? 支持多級(jí)用戶分權(quán)管理功能，方便操作； ? 系統(tǒng)采用 C/S 管理架構(gòu)，確保高可靠性； ? 支持多個(gè)策略管理，策略設(shè)臵支持即時(shí)生效，無(wú)需重啟； ? 數(shù)據(jù)傳輸采用加密傳輸，安全可靠； ? 系統(tǒng)全中文界面，操作、配臵方便，大大提高工作效率； 網(wǎng)站動(dòng)態(tài)自適應(yīng)攻擊防護(hù) ? 支持 SQL 注入、 SQL 盲注攻擊防護(hù)； ? 支持 XSS 跨站腳本攻擊防護(hù)； ? 支持 對(duì)網(wǎng)站敏感配臵文件的訪問(wèn)防護(hù)； ? 支持特殊字符構(gòu)造的數(shù)據(jù)提交及 URL 利用防護(hù)； ? 支持構(gòu)造危險(xiǎn)的 Cookie 攻擊防護(hù)； ? 支持各類攻擊的編碼變種防護(hù)； ? 支持自定義規(guī)則庫(kù)； 技術(shù)實(shí)現(xiàn) IGuard 防篡改系統(tǒng)的防護(hù)功能主要由安裝在 Web 服務(wù)器上的監(jiān)控客戶端實(shí)現(xiàn)，該部分主要分為兩大模塊：文件防護(hù)模塊及動(dòng)態(tài)防護(hù)模塊。 IGuard 系統(tǒng)具備多項(xiàng)核心技術(shù)特性，簡(jiǎn)單歸納如下： ? 采用先進(jìn)的操作 系統(tǒng)文件驅(qū)動(dòng)及事件觸發(fā)機(jī)制對(duì)網(wǎng)站文件部分進(jìn)行防護(hù)，安全、穩(wěn)定、可靠； ? 采用核心內(nèi)嵌技術(shù)對(duì)網(wǎng)站動(dòng)態(tài)應(yīng)用及數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行特征過(guò)濾，杜絕篡改； ? 完全基于內(nèi)核級(jí)事件觸發(fā)機(jī)制，對(duì)服務(wù)器資源占用極少，效率遠(yuǎn)高于同類產(chǎn)品； ? 汲取廣大網(wǎng)管員建議，使用集中統(tǒng)一的管理界面，操作簡(jiǎn)便，大大提高工作人員效率； ? 對(duì)服務(wù)器安全性能實(shí)時(shí)監(jiān)控，確保服務(wù)器安全穩(wěn)定運(yùn)行； ? 對(duì) Web 服務(wù)運(yùn)行狀態(tài)進(jìn)行安全監(jiān)控，保證 Web 服務(wù)不受異常事件干擾； ? 不限制網(wǎng)站發(fā)布服務(wù)器類型，實(shí)現(xiàn)高可用性和高擴(kuò)展性； ? 支持所有主流操作系統(tǒng)，與 Web 發(fā) 布服務(wù)類型無(wú)關(guān)，與 CMS 系統(tǒng)無(wú)縫結(jié)合； ? 支持保護(hù) Web 服務(wù)器配臵文件，杜絕網(wǎng)站指向遭到修改； 采用標(biāo)準(zhǔn) C/C++語(yǔ)言開發(fā)，兼容標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，提供標(biāo)準(zhǔn) Syslog 日志接口，具有良好的可擴(kuò)展性； 系統(tǒng)架構(gòu) IGuard 系統(tǒng)包含三大部分：監(jiān)控客戶端、管理中心服務(wù)器和管理客戶端，系統(tǒng)管理采用 C/S 架構(gòu)，各部分功能如下： （ 1）監(jiān)控客戶端（ Monitor Client）安裝在 Web 站點(diǎn)服務(wù)器上，根據(jù)服務(wù)器數(shù)量購(gòu)買客戶端數(shù)量，主要用于監(jiān)控站點(diǎn)狀態(tài)，執(zhí)行管理中心所配臵的策略； 監(jiān)控客戶端 分為文件防護(hù)模塊及動(dòng)態(tài)防護(hù)模塊。 系統(tǒng)動(dòng)態(tài)防護(hù)模塊支持對(duì) SQL 注入攻擊、跨站攻擊、溢出代碼攻擊等構(gòu)造類網(wǎng)絡(luò)攻擊方式的檢測(cè)，能夠進(jìn)行有效的阻止與保護(hù)。 IGuard 通過(guò)操作系統(tǒng)底層驅(qū)動(dòng)技術(shù)，對(duì)保護(hù)的對(duì)象（靜態(tài)網(wǎng)頁(yè)、動(dòng)態(tài)執(zhí)行腳本、 文件夾）實(shí)時(shí)監(jiān)測(cè)其屬性，一旦 發(fā)現(xiàn)更改立刻阻斷非法篡改操作，阻止網(wǎng)頁(yè)文件被修改，并實(shí)時(shí)通知管理客戶端，如果發(fā)生文件篡改現(xiàn)象，系統(tǒng)也會(huì)自動(dòng)從備份端進(jìn)行恢復(fù)，使用雙重機(jī)制保證了網(wǎng)頁(yè)內(nèi)容的安全。 項(xiàng)目施工進(jìn)度計(jì)劃 本期項(xiàng)目要求按照 2020 年 11 月底為項(xiàng)目啟動(dòng)（清單小簽）時(shí)間點(diǎn)， 2020年 12 月底為設(shè)備上線和基本業(yè)務(wù)開展的時(shí)間點(diǎn)進(jìn)行進(jìn)度計(jì)劃安排，因此本期施工進(jìn)度計(jì)劃安排按照 15 個(gè)工作日內(nèi)系統(tǒng)上線進(jìn)入試運(yùn)行階段計(jì)算。 環(huán)境工具材料準(zhǔn)備 在項(xiàng)目實(shí)施過(guò)程中，需要準(zhǔn)備一部分工具及附助材料。 （ 2）防篡改策略下發(fā)后，網(wǎng)站目 錄不可寫，網(wǎng)站更新只能在備份端進(jìn)行，直接在網(wǎng)站 目錄做網(wǎng)站更新將無(wú)法更新， 導(dǎo)致發(fā)布的 更新頁(yè)面不能訪問(wèn)。 （ 3）對(duì)網(wǎng)站進(jìn)行發(fā)布更新操作，檢測(cè)網(wǎng)站是否正常顯示更新。 當(dāng)然，也可根據(jù)管理方式的不同靈活設(shè)定防護(hù)策略，可以針對(duì) FTP 或特定發(fā)布系統(tǒng)進(jìn)行放行，使原發(fā)布流程不做任何變更。 （ 2）安裝完成后系統(tǒng)資源占用情況 IGuard 網(wǎng)頁(yè)防篡改系統(tǒng)是基于系統(tǒng)底層來(lái)做的，采用事件觸發(fā)機(jī)制，占用系統(tǒng)資源很少，一般正常運(yùn)行占用系統(tǒng)資源的 2%左右。） （ 2）在管理中心服務(wù)器安裝 IGuard 管理中心（ IGuard Server），管理中心用來(lái)管理各客戶端，對(duì)各客戶端下發(fā)監(jiān)控策略，收集各客戶端日志信息。 IGuard 監(jiān)控端主要用來(lái)監(jiān)控 Web 網(wǎng)頁(yè)文件，保證網(wǎng)頁(yè)文件不被篡改。 網(wǎng)頁(yè)防篡改系統(tǒng)對(duì)用戶可訪問(wèn)內(nèi)容進(jìn)行保護(hù)，包括但不限于下列內(nèi)容： ? 靜態(tài)網(wǎng)頁(yè) ? 動(dòng)態(tài)網(wǎng)頁(yè) ? 聲音 ? 視頻 ? 圖片 ? 允許從互聯(lián)網(wǎng)訪問(wèn)的其他資源 ? WEB 應(yīng)用中的用戶信息 防護(hù)功能 網(wǎng)頁(yè)防篡 改系統(tǒng)能夠檢測(cè)和防護(hù)來(lái)自 Inter 以及 Intra 的各種形式的網(wǎng)頁(yè)篡改、掛馬、越權(quán)獲取信息等攻擊方式： （ 1）利用 WEB Shell 等進(jìn)行的文件篡改 （ 2） SQL 注入 （ 3）跨站攻擊 （ 4）網(wǎng)頁(yè)掛馬 （ 5）非法上傳 （ 6）利用操作系統(tǒng)漏洞進(jìn)行的網(wǎng)頁(yè)篡改的攻擊等 部署設(shè)計(jì) 本次項(xiàng)目對(duì) 黑龍江聯(lián)通 網(wǎng)站部署網(wǎng)頁(yè)防篡改系統(tǒng)，在現(xiàn)網(wǎng)的基礎(chǔ)上使用一臺(tái)管理中心服務(wù)器實(shí)現(xiàn)集中管理、監(jiān)測(cè)，并在網(wǎng)站 WEB 服務(wù)器上通過(guò)部署相應(yīng)的監(jiān)控客戶端實(shí)現(xiàn)防篡改和動(dòng)態(tài)防護(hù)功能。 保護(hù)內(nèi)容 網(wǎng)頁(yè)防篡改系統(tǒng)對(duì)用戶可訪問(wèn)的網(wǎng)頁(yè)內(nèi)容進(jìn)行保護(hù)，確保網(wǎng)頁(yè)不能被篡改或者在篡改后進(jìn)行及時(shí)恢復(fù)，確保用戶訪問(wèn)不到篡改后的網(wǎng)頁(yè)，確保攻擊者無(wú)法越權(quán)獲取網(wǎng)頁(yè)信息。 ? 安全性與可靠性指標(biāo) 網(wǎng)頁(yè)防篡改系統(tǒng)須保證自身安全性。 ? 功能指標(biāo) 網(wǎng)頁(yè)防篡改系統(tǒng)能夠針對(duì)篡改網(wǎng)頁(yè)的主要攻擊手段提供有效檢測(cè)和防護(hù)，針對(duì)網(wǎng)頁(yè)內(nèi)容的完整性進(jìn)行實(shí)時(shí)監(jiān)控，在網(wǎng)頁(yè)遭到篡改后具備阻斷或?qū)W(wǎng)頁(yè)內(nèi)容進(jìn)行及時(shí)恢復(fù)等功能。 （ 3）自我保護(hù)模塊 自我保護(hù)模塊保障網(wǎng)頁(yè)防篡改系統(tǒng)的安全，避免未經(jīng)授權(quán)的卸載、關(guān)停等。 網(wǎng)頁(yè)防篡改項(xiàng)目 總體建設(shè)方案 黑龍江?？弟浖こ逃邢薰? 2020 年 11 月 目錄 一、項(xiàng)目實(shí)施方案 ............................................................................................................ 3 項(xiàng)目信息 ............................................................................................................. 3 .................................................................................................... 3 .................................................................................................... 3 技術(shù)路線 ............................................................................................................. 3 .................................................................................................... 5 .................................................................................................... 6 .................................................................................................... 7 部署設(shè)計(jì) ............................................................................................................. 7 部署拓?fù)? .................................................................................................. 8 程序安裝步驟 ...................................