【正文】 改 系 統(tǒng) 管 理 中 心告 警 服 務(wù) 器報(bào) 表 服 務(wù) 器備 份 服 務(wù) 器U n i s G u a r d 防 篡改 控 制 臺(tái) 圖 系統(tǒng)部署示意圖 部署防篡改系統(tǒng)需在 黑龍江聯(lián)通 網(wǎng)站 部署在二樞紐 IDC 機(jī)房中的 25 臺(tái) 系統(tǒng)服務(wù)器上安裝監(jiān)控客戶端， 另外需要一臺(tái) windows 服務(wù)器安裝管理中心 ,要實(shí)現(xiàn)監(jiān)控端 及與管理中心間的通信，進(jìn)行日志及策略等內(nèi)容的傳輸。網(wǎng)頁防篡改系統(tǒng)須具備較高可靠性，支持冗余部署。 技術(shù)指標(biāo) 網(wǎng)頁防篡改系統(tǒng)總體指標(biāo)包括運(yùn)行環(huán)境、用戶接口界面、協(xié)議指標(biāo)、功能指標(biāo)、管理指標(biāo)、安全性指標(biāo)等方面： ? 運(yùn)行環(huán)境 網(wǎng)頁防篡改系統(tǒng)的服務(wù)器端能夠運(yùn)行主流的商用平臺(tái)上，如支持主要的服務(wù)器平臺(tái)及操作系統(tǒng)，如 HPUnix、 IBM AIX、 Sun Solaris、 Windows、 Linux等，可以采用主 流數(shù)據(jù)庫存儲(chǔ)相關(guān)數(shù)據(jù)如 SQL Server、 Oracle、 Sybase、Informix、 DB2。網(wǎng)頁防篡改系統(tǒng)應(yīng)用文件保護(hù)技術(shù)檢測(cè)正在進(jìn)行的針對(duì)靜態(tài)網(wǎng)頁或者動(dòng)態(tài)網(wǎng)頁腳本文件的篡改攻擊，應(yīng)用文件保護(hù)技術(shù)及會(huì)話分析技術(shù)檢測(cè)已經(jīng)成功的針對(duì)靜態(tài)網(wǎng)頁或者動(dòng)態(tài)網(wǎng)頁文件的篡改攻擊；應(yīng)用會(huì)話分析技術(shù)檢測(cè)正在進(jìn)行的針對(duì)動(dòng)態(tài)網(wǎng)頁數(shù)據(jù)的篡改攻擊或者越權(quán)獲取信息企圖。 ? 性能指標(biāo) 網(wǎng)頁防篡改系統(tǒng)能夠及時(shí)監(jiān)控網(wǎng)頁的非法篡改并能夠及時(shí)進(jìn)行響應(yīng)。網(wǎng)頁防篡改系統(tǒng)保障用戶從互聯(lián)網(wǎng)訪問的網(wǎng)頁內(nèi)容的完整性，確保用戶訪問內(nèi)容的合法性、保密性?；蛘咴趥浞莶呗灾刑砑俞槍?duì)發(fā)布系統(tǒng)的發(fā)行，使得原有的發(fā)布更新流程不需進(jìn)行變更。然后將現(xiàn)有發(fā)布系統(tǒng)的發(fā)布路徑路徑改為備份路徑。 故障排除及回退 網(wǎng)頁無法正常訪問 （ 1）防篡改策略下發(fā)后，被保護(hù)的網(wǎng)站目錄為只讀權(quán)限，有部分網(wǎng)站應(yīng)用在外部用戶訪問時(shí)會(huì)在保護(hù)目錄的某個(gè)子目錄下面產(chǎn)生一些臨時(shí)文件，設(shè)定防篡改策略后，臨時(shí)文件無 法生成，導(dǎo)致網(wǎng)頁訪問失敗。 在項(xiàng)目實(shí)施開始前一周， ?？?將跟據(jù)工程規(guī)模、機(jī)房及實(shí)施產(chǎn)品的實(shí)際情況準(zhǔn)備實(shí)施相關(guān)的輔 助材料及工具，保證滿足項(xiàng)目實(shí)施的工期安排，計(jì)劃安排應(yīng)充分考慮設(shè)備的生產(chǎn)周期以及運(yùn)輸周期，不得影響工期需求。不同于其他防篡改軟件的 Web 事件觸發(fā)機(jī)制， IGuard 的頁面防篡改模塊采用的是與操作系統(tǒng)底層文件驅(qū)動(dòng)級(jí)保護(hù)技術(shù)，與操作系統(tǒng)緊密結(jié)合。 （ 2）管理中心服務(wù)器（ Center Server）建議部署在獨(dú)立 pc 服務(wù)器上，若所管理的 web 服務(wù)器數(shù)量較少，也可以同時(shí)部署在管理客戶端；主要用于用戶管理，策略下發(fā)，日志監(jiān)控，以及管理各代理客戶端； （ 3）管理控制臺(tái)（ Console）部署在網(wǎng)站管理人員的網(wǎng)管主機(jī)或辦公主機(jī)之上，主要用于登錄管理中心服務(wù)器進(jìn)行配臵管理 IGuard 中心服務(wù)器，提供用戶操作界面。 防篡改系統(tǒng)可以根據(jù)設(shè)定的網(wǎng)站主路徑對(duì)其下的所有文件及目錄進(jìn)行保護(hù)，也可根據(jù)設(shè)臵對(duì)其中的部分文件及目錄進(jìn)行保護(hù)。 動(dòng)態(tài)防護(hù)模塊內(nèi)嵌于 Web 服務(wù)，能夠?qū)λ杏脩粼L問提交數(shù)據(jù)進(jìn)行黑名單方式過濾，將包含攻擊特征的請(qǐng)求完全阻斷，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫及動(dòng)態(tài)應(yīng)用的保護(hù)。假如網(wǎng)站使用特定的內(nèi)容發(fā)布系統(tǒng)，則可在防篡改系統(tǒng)中進(jìn)行相應(yīng)設(shè)臵，對(duì)該發(fā)布系統(tǒng)進(jìn)程產(chǎn)生的文件操作不做檢測(cè)直接放行，從而不會(huì)對(duì)原有發(fā)布流程產(chǎn)生任何影響。這樣保證了網(wǎng)站原始路徑及備份路徑內(nèi)容的一致性，也實(shí)現(xiàn)了對(duì)備份路徑進(jìn)行發(fā)布時(shí)，自動(dòng)增量同步至原始路徑的功能。 告警日志則記錄了系統(tǒng)收集到的所有非法操作信息，包括非法文件操作及非法動(dòng)態(tài)攻擊，以及進(jìn)行的相應(yīng)操作等。比如，安裝防篡改系統(tǒng)之前使用 FTP 方式更新文件，那么在防篡改系 統(tǒng)中就可以設(shè)定將 FTP 進(jìn)程的所有操作放行。 其次，防篡改系統(tǒng)能夠有效的保護(hù)網(wǎng)站系統(tǒng)的內(nèi)容不被非法篡改（非法修改、添加、刪除），從而使得網(wǎng)站保持穩(wěn)定的運(yùn)行，瀏覽者所瀏覽到的網(wǎng)頁都是合法的正常網(wǎng)頁。 連續(xù)篡改攻擊防護(hù)實(shí)現(xiàn) 對(duì)于大規(guī)模連續(xù)的篡改， IGuard 防篡改系統(tǒng)檢測(cè)到首個(gè)非法操作后就會(huì)實(shí)時(shí)阻斷其后續(xù)其他的篡改操作。對(duì)于合法的操作進(jìn)行放行，對(duì)于非法的操作進(jìn)行阻止。 組件功能模塊 序號(hào) 模塊 /組件名稱 版本 單位 功能 計(jì)價(jià)原則 1 IGuard 監(jiān)控客戶端文件防護(hù)模塊 Windows 授權(quán) 每服務(wù)器 安裝授權(quán) 支 持 保 護(hù) 一 臺(tái)Windows 系統(tǒng)的網(wǎng)站服務(wù)器上的網(wǎng)站文件安全 每臺(tái) Windows服務(wù)器需購買一個(gè)授權(quán) 2 IGuard 監(jiān)控客戶端文件防護(hù)模塊 Linux 授權(quán) 每服務(wù)器 安裝授權(quán) 支持保護(hù)一臺(tái) Linux 系統(tǒng)的網(wǎng)站服務(wù)器上的網(wǎng)站文件安全 每臺(tái) Linux 服務(wù)器需購買一個(gè)授權(quán) 3 IGuard 監(jiān)控客戶端文件防護(hù)模塊 Unix 授權(quán) 每服務(wù)器 安裝授權(quán) 支持保護(hù)一臺(tái) Unix 系統(tǒng)的網(wǎng)站服務(wù)器上的網(wǎng)站文件安全 每臺(tái) Unix 服務(wù)器需購買一個(gè)授權(quán) 4 IGuard 監(jiān)控客戶端 每服務(wù) 支持保護(hù)一臺(tái)網(wǎng)站服務(wù) 每臺(tái)服務(wù)器需動(dòng)態(tài)防護(hù)模塊授權(quán) 器 安裝授權(quán) 器，使網(wǎng)站能夠防御SQL 注入、 XSS 跨站等攻擊 購買一個(gè)授權(quán) 5 IGuard 管理中心 個(gè) 收集各監(jiān)控端發(fā)回的告警日志，集中配臵下發(fā)策略，監(jiān)控 Web 服務(wù)器狀態(tài)，日志報(bào)表審計(jì) 每部署一個(gè)管理中心需要購買一個(gè) 6 IGuard 管理控制臺(tái) 個(gè) 遠(yuǎn)程登錄管理中心，進(jìn)行控制操作 免費(fèi) 技術(shù)特性 操作系統(tǒng)文件驅(qū)動(dòng)層防篡改技術(shù) ? 基于內(nèi)核驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)，支持各類網(wǎng)頁格式及各類動(dòng)態(tài)頁面腳本； ? 內(nèi)核級(jí)事件觸發(fā)技術(shù)，大大減少系統(tǒng)額外開支； ? 完全防護(hù)技術(shù)，支 持大規(guī)模連續(xù)篡改攻擊防護(hù)； ? 系統(tǒng)后臺(tái)自動(dòng)運(yùn)行，支持?jǐn)嗑€狀態(tài)下阻止篡改； ? 支持單獨(dú)文件、文件夾及多級(jí)文件夾目錄內(nèi)容篡改保護(hù)； Web 站點(diǎn)安全運(yùn)行保障 ? 保護(hù) Web 服務(wù)器的相關(guān)重要配臵文件不被篡改； ? 服務(wù)器性能監(jiān)控閥值報(bào)警，預(yù)知攻擊發(fā)生； ? 服務(wù)器系統(tǒng)服務(wù)運(yùn)行狀態(tài)監(jiān)控，可提供服務(wù)異常響應(yīng)； 部署結(jié)構(gòu)靈活 ? 支持多站點(diǎn)、跨平臺(tái)分布式部署，統(tǒng)一集中管理功能； ? 支持大規(guī)模虛擬機(jī)、雙機(jī)熱備網(wǎng)站系統(tǒng)部署架構(gòu)； ? 支持服務(wù)器冗余及負(fù)載均衡分布部署，支持 web 服務(wù)器、 備份服務(wù)器一對(duì)多，多對(duì)多等各類靈活網(wǎng)站架構(gòu)； 實(shí)時(shí)自動(dòng)增量發(fā)布更新 ? 安全可靠增量發(fā)布 ? 支持網(wǎng)頁文件自動(dòng)增量發(fā)布，無需人工干涉； ? 支持異地文件快速同步功能和斷點(diǎn)續(xù)傳功能，極大的增加網(wǎng)站可維護(hù)性； ? 支持網(wǎng)頁自動(dòng)同步新增、修改、刪除、下載等功能； 多種日志告警方式 ? 自動(dòng)檢測(cè)文件攻擊記錄，并實(shí)時(shí)記入日志，支持導(dǎo)出 excel 報(bào)表； ? 支持服務(wù)運(yùn)行狀態(tài)記錄，并實(shí)時(shí)記入日志，支持導(dǎo)出 excel 報(bào)表； ? 支持多種告警方式，控制臺(tái)告警、日志告警、郵件告警、 Syslog 日志傳輸或定制其他告警方式； ? 自身操作審計(jì)日志記錄，詳細(xì)記錄操作管理員的操作管理行為； 操作管理安全、方便 ? 支持多級(jí)用戶分權(quán)管理功能，方便操作； ? 系統(tǒng)采用 C/S 管理架構(gòu)，確保高可靠性； ? 支持多個(gè)策略管理，策略設(shè)臵支持即時(shí)生效，無需重啟； ? 數(shù)據(jù)傳輸采用加密傳輸，安全可靠； ? 系統(tǒng)全中文界面，操作、配臵方便，大大提高工作效率； 網(wǎng)站動(dòng)態(tài)自適應(yīng)攻擊防護(hù) ? 支持 SQL 注入、 SQL 盲注攻擊防護(hù)； ? 支持 XSS 跨站腳本攻擊防護(hù)； ? 支持 對(duì)網(wǎng)站敏感配臵文件的訪問防護(hù)； ? 支持特殊字符構(gòu)造的數(shù)據(jù)提交及 URL 利用防護(hù)； ? 支持構(gòu)造危險(xiǎn)的 Cookie 攻擊防護(hù)； ? 支持各類攻擊的編碼變種防護(hù)； ? 支持自定義規(guī)則庫； 技術(shù)實(shí)現(xiàn) IGuard 防篡改系統(tǒng)的防護(hù)功能主要由安裝在 Web 服務(wù)器上的監(jiān)控客戶端實(shí)現(xiàn)，該部分主要分為兩大模塊：文件防護(hù)模塊及動(dòng)態(tài)防護(hù)模塊。 系統(tǒng)動(dòng)態(tài)防護(hù)模塊支持對(duì) SQL 注入攻擊、跨站攻擊、溢出代碼攻擊等構(gòu)造類網(wǎng)絡(luò)攻擊方式的檢測(cè)，能夠進(jìn)行有效的阻止與保護(hù)。 項(xiàng)目施工進(jìn)度計(jì)劃 本期項(xiàng)目要求按照 2020 年 11 月底為項(xiàng)目啟動(dòng)（清單小簽）時(shí)間點(diǎn)， 2020