【正文】 ....................................................... 13 二、功能特性 ................................................................................................................. 14 系統(tǒng)架構(gòu) .......................................................................................................... 16 組件功能模塊 ......................................................................................... 17 技術(shù)特性 .......................................................................................................... 18 操作系統(tǒng)文件驅(qū)動層防篡改技術(shù) ............................................................. 18 Web 站點安全運行保障 .......................................................................... 18 部署結(jié)構(gòu)靈活 ......................................................................................... 18 實時自動增量發(fā)布更新 ........................................................................... 19 多種日志告警方式 .................................................................................. 19 操作管理安全、方便 .............................................................................. 19 網(wǎng)站動態(tài)自適應(yīng)攻擊防護 ....................................................................... 20 技術(shù)實現(xiàn) .......................................................................................................... 20 文件防護實現(xiàn)原理 .................................................................................. 21 動態(tài)防護實現(xiàn)原理 .................................................................................. 22 連續(xù)篡改攻擊防護實現(xiàn) ........................................................................... 23 網(wǎng)站訪問保障 ......................................................................................... 23 自動增量發(fā)布更新實現(xiàn) ........................................................................... 24 日志告警實現(xiàn) ......................................................................................... 24 一、項目實施方案 項目信息 黑龍江信息港需重點防護的服務(wù)器共 27 臺， 分兩個機房 ,其中二樞紐 IDC機房承載 25 臺，湘江路 IDC 承載 2 臺 . 建設(shè)單位 中國聯(lián)合網(wǎng)絡(luò)通信公司黑龍江省分公司 承建單位 黑龍江?？弟浖こ逃邢薰? 技術(shù)路線 本次項目采用網(wǎng)頁防篡改軟件的形式針對網(wǎng)站系統(tǒng)進行安全防護建設(shè)， 網(wǎng)頁防篡改系統(tǒng)的功能框架在邏輯上定義為下圖框架。 ? 功能指標(biāo) 網(wǎng)頁防篡改系統(tǒng)能夠針對篡改網(wǎng)頁的主要攻擊手段提供有效檢測和防護，針對網(wǎng)頁內(nèi)容的完整性進行實時監(jiān)控，在網(wǎng)頁遭到篡改后具備阻斷或?qū)W(wǎng)頁內(nèi)容進行及時恢復(fù)等功能。 保護內(nèi)容 網(wǎng)頁防篡改系統(tǒng)對用戶可訪問的網(wǎng)頁內(nèi)容進行保護，確保網(wǎng)頁不能被篡改或者在篡改后進行及時恢復(fù)，確保用戶訪問不到篡改后的網(wǎng)頁，確保攻擊者無法越權(quán)獲取網(wǎng)頁信息。 IGuard 監(jiān)控端主要用來監(jiān)控 Web 網(wǎng)頁文件，保證網(wǎng)頁文件不被篡改。 （ 2）安裝完成后系統(tǒng)資源占用情況 IGuard 網(wǎng)頁防篡改系統(tǒng)是基于系統(tǒng)底層來做的，采用事件觸發(fā)機制，占用系統(tǒng)資源很少，一般正常運行占用系統(tǒng)資源的 2%左右。 （ 3）對網(wǎng)站進行發(fā)布更新操作，檢測網(wǎng)站是否正常顯示更新。 環(huán)境工具材料準(zhǔn)備 在項目實施過程中，需要準(zhǔn)備一部分工具及附助材料。 IGuard 通過操作系統(tǒng)底層驅(qū)動技術(shù)，對保護的對象（靜態(tài)網(wǎng)頁、動態(tài)執(zhí)行腳本、 文件夾）實時監(jiān)測其屬性，一旦 發(fā)現(xiàn)更改立刻阻斷非法篡改操作，阻止網(wǎng)頁文件被修改，并實時通知管理客戶端，如果發(fā)生文件篡改現(xiàn)象，系統(tǒng)也會自動從備份端進行恢復(fù)，使用雙重機制保證了網(wǎng)頁內(nèi)容的安全。 IGuard 系統(tǒng)具備多項核心技術(shù)特性，簡單歸納如下： ? 采用先進的操作 系統(tǒng)文件驅(qū)動及事件觸發(fā)機制對網(wǎng)站文件部分進行防護，安全、穩(wěn)定、可靠； ? 采用核心內(nèi)嵌技術(shù)對網(wǎng)站動態(tài)應(yīng)用及數(shù)據(jù)庫內(nèi)容進行特征過濾，杜絕篡改； ? 完全基于內(nèi)核級事件觸發(fā)機制，對服務(wù)器資源占用極少，效率遠高于同類產(chǎn)品； ? 汲取廣大網(wǎng)管員建議，使用集中統(tǒng)一的管理界面，操作簡便，大大提高工作人員效率； ? 對服務(wù)器安全性能實時監(jiān)控，確保服務(wù)器安全穩(wěn)定運行； ? 對 Web 服務(wù)運行狀態(tài)進行安全監(jiān)控，保證 Web 服務(wù)不受異常事件干擾； ? 不限制網(wǎng)站發(fā)布服務(wù)器類型，實現(xiàn)高可用性和高擴展性； ? 支持所有主流操作系統(tǒng)，與 Web 發(fā) 布服務(wù)類型無關(guān)，與 CMS 系統(tǒng)無縫結(jié)合； ? 支持保護 Web 服務(wù)器配臵文件，杜絕網(wǎng)站指向遭到修改； 采用標(biāo)準(zhǔn) C/C++語言開發(fā)，兼容標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，提供標(biāo)準(zhǔn) Syslog 日志接口，具有良好的可擴展性； 系統(tǒng)架構(gòu) IGuard 系統(tǒng)包含三大部分：監(jiān)控客戶端、管理中心服務(wù)器和管理客戶端，系統(tǒng)管理采用 C/S 架構(gòu)，各部分功能如下： （ 1）監(jiān)控客戶端（ Monitor Client）安裝在 Web 站點服務(wù)器上，根據(jù)服務(wù)器數(shù)量購買客戶端數(shù)量，主要用于監(jiān)控站點狀態(tài)，執(zhí)行管理中心所配臵的策略； 監(jiān)控客戶端 分為文件防護模塊及動態(tài)防護模塊。 當(dāng)文件驅(qū)動層接收到一個進行文件操作的請求，如讀取、修改、刪除等時，就產(chǎn)生一個文件操作事件，該事件將使系統(tǒng)的某些狀態(tài)發(fā)生變化并最終指揮磁盤及其他設(shè)備協(xié)同完成任務(wù)。動態(tài)網(wǎng)站系統(tǒng)一般由網(wǎng)頁腳本和內(nèi)容組成：網(wǎng)頁腳本以文件形式存在于 Web 服務(wù)器上；網(wǎng)頁內(nèi)容則取自于數(shù)據(jù)庫。 網(wǎng)站訪問保障 IGuard 防篡改系統(tǒng)對原有網(wǎng)站的正常瀏覽訪問不造成任何影響。 正是由于 IGuard 系統(tǒng)基于操作系統(tǒng)文件驅(qū)動層的事件觸發(fā)機制，保證了自動增量同步功能的高效可靠。 系統(tǒng)提供完整的日志記錄（包括系統(tǒng)日志和告警日志），并支 持對日志信息的查詢和審計功能。 IGuard 目前可以針對大部分的網(wǎng)站更新方式作出適應(yīng)，包括主流的內(nèi)容發(fā)布系統(tǒng)、 FTP 上傳、控制臺更新等。 IGuard 集成了同步發(fā)布更新功能。系統(tǒng)在底層完成這些防護措施并不會將這些大規(guī)模連續(xù)篡改請求發(fā)送到上層應(yīng)用，極大的降低了應(yīng)用程序的處理負擔(dān)，有效的提高了應(yīng)有工作效率。由于任何對磁盤上文件進行的操作都是經(jīng)過操作系統(tǒng)來進行的， IGuard 防篡改系統(tǒng)利用這一特性在系統(tǒng)文件驅(qū)動層對所有針對被保護目錄的修改、刪除與新增等磁盤操作進行合法性檢測，從而達到對網(wǎng)頁文件篡改的檢測及處理目的。 圖 系統(tǒng)邏輯架構(gòu)圖 圖