【正文】 系統(tǒng)架構 IGuard 系統(tǒng)包含三大部分：監(jiān)控客戶端、管理中心服務器和管理客戶端，系統(tǒng)管理采用 C/S 架構，各部分功能如下： （ 1）監(jiān)控客戶端（ Monitor Client）安裝在 Web 站點服務器上，根據服務器數(shù)量購買客戶端數(shù)量，主要用于監(jiān)控站點狀態(tài)，執(zhí)行管理中心所配臵的策略； 監(jiān)控客戶端 分為文件防護模塊及動態(tài)防護模塊。系統(tǒng)針對來源和操作行為，提前終止其后續(xù)篡改操作請求。 系統(tǒng)動態(tài)防護模塊支持對 SQL 注入攻擊、跨站攻擊、溢出代碼攻擊等構造類網絡攻擊方式的檢測，能夠進行有效的阻止與保護。不同于其他防篡改軟件的 Web 事件觸發(fā)機制， IGuard 的頁面防篡改模塊采用的是與操作系統(tǒng)底層文件驅動級保護技術，與操作系統(tǒng)緊密結合。 IGuard 通過操作系統(tǒng)底層驅動技術，對保護的對象（靜態(tài)網頁、動態(tài)執(zhí)行腳本、 文件夾）實時監(jiān)測其屬性，一旦 發(fā)現(xiàn)更改立刻阻斷非法篡改操作，阻止網頁文件被修改，并實時通知管理客戶端，如果發(fā)生文件篡改現(xiàn)象，系統(tǒng)也會自動從備份端進行恢復，使用雙重機制保證了網頁內容的安全。 2：試運行周期根據工程實施總進度及合同相關規(guī)定。 項目施工進度計劃 本期項目要求按照 2020 年 11 月底為項目啟動（清單小簽）時間點， 2020年 12 月底為設備上線和基本業(yè)務開展的時間點進行進度計劃安排，因此本期施工進度計劃安排按照 15 個工作日內系統(tǒng)上線進入試運行階段計算。 在項目實施開始前一周， ?？?將跟據工程規(guī)模、機房及實施產品的實際情況準備實施相關的輔 助材料及工具，保證滿足項目實施的工期安排，計劃安排應充分考慮設備的生產周期以及運輸周期，不得影響工期需求。 環(huán)境工具材料準備 在項目實施過程中，需要準備一部分工具及附助材料。 影響應用系統(tǒng)工作 IGuard 網頁防篡改系統(tǒng)工作在系統(tǒng)層，一般不會對 Web 應用造成影響，如果 Web 應用出現(xiàn)問題，要在防篡改系統(tǒng)上查找原 因，可立即停止防篡改系統(tǒng)保護策略，并聯(lián)系技術支 持人員進行排查。 （ 2）防篡改策略下發(fā)后，網站目 錄不可寫，網站更新只能在備份端進行，直接在網站 目錄做網站更新將無法更新， 導致發(fā)布的 更新頁面不能訪問。 故障排除及回退 網頁無法正常訪問 （ 1）防篡改策略下發(fā)后，被保護的網站目錄為只讀權限，有部分網站應用在外部用戶訪問時會在保護目錄的某個子目錄下面產生一些臨時文件，設定防篡改策略后，臨時文件無 法生成，導致網頁訪問失敗。 （ 3）對網站進行發(fā)布更新操作，檢測網站是否正常顯示更新。 配合事項 （ 1）確認網頁防篡改所需的管理中心部署服務器； （ 2）安裝時網站系統(tǒng)管理人員到場，并提供需要防護的網站路徑和相應服務器的 root 用戶口令； （ 3）協(xié)調網站發(fā)布人員，調整網頁防篡改發(fā)布方式，把原有網站發(fā)布路徑指向備份路徑； （ 4）部署完成后做發(fā)布測試，檢測網站能否正常發(fā)布； （ 5）用戶訪問網站測試，確認網站能夠正常提供服務，所有功能正常； （ 6）打開管理中心服務器的管理端口； （ 7）打開 Web 服務器的數(shù)據傳輸端口； 安裝測試 防篡改系統(tǒng)實施完成后可按照如下步驟進行簡單測試： （ 1）檢查網站服務器主機是否運行正常。 當然，也可根據管理方式的不同靈活設定防護策略，可以針對 FTP 或特定發(fā)布系統(tǒng)進行放行，使原發(fā)布流程不做任何變更。然后將現(xiàn)有發(fā)布系統(tǒng)的發(fā)布路徑路徑改為備份路徑。 （ 2）安裝完成后系統(tǒng)資源占用情況 IGuard 網頁防篡改系統(tǒng)是基于系統(tǒng)底層來做的，采用事件觸發(fā)機制，占用系統(tǒng)資源很少，一般正常運行占用系統(tǒng)資源的 2%左右。 注：防火墻需要開放對應 TCP 通信端口。） （ 2）在管理中心服務器安裝 IGuard 管理中心（ IGuard Server），管理中心用來管理各客戶端，對各客戶端下發(fā)監(jiān)控策略，收集各客戶端日志信息?；蛘咴趥浞莶呗灾刑砑俞槍Πl(fā)布系統(tǒng)的發(fā)行，使得原有的發(fā)布更新流程不需進行變更。 IGuard 監(jiān)控端主要用來監(jiān)控 Web 網頁文件，保證網頁文件不被篡改。 在湘江路 IDC機房的兩臺服務器中 ,需要安裝 2 個監(jiān)控端 ,可以單獨管理中心 ,也可以把管理中心安裝在其中一臺 WEB 服務中 .登錄管理中心需要使用控制臺 模塊，該模塊可安裝在管理人員辦公主機上， 或者移動電腦上 ,可根據權限進行策略管理。 網頁防篡改系統(tǒng)對用戶可訪問內容進行保護，包括但不限于下列內容： ? 靜態(tài)網頁 ? 動態(tài)網頁 ? 聲音 ? 視頻 ? 圖片 ? 允許從互聯(lián)網訪問的其他資源 ? WEB 應用中的用戶信息 防護功能 網頁防篡 改系統(tǒng)能夠檢測和防護來自 Inter 以及 Intra 的各種形式的網頁篡改、掛馬、越權獲取信息等攻擊方式： （ 1）利用 WEB Shell 等進行的文件篡改 （ 2） SQL 注入 （ 3）跨站攻擊 （ 4）網頁掛馬 （ 5）非法上傳 （ 6）利用操作系統(tǒng)漏洞進行的網頁篡改的攻擊等 部署設計 本次項目對 黑龍江聯(lián)通 網站部署網頁防篡改系統(tǒng)，在現(xiàn)網的基礎上使用一臺管理中心服務器實現(xiàn)集中管理、監(jiān)測，并在網站 WEB 服務器上通過部署相應的監(jiān)控客戶端實現(xiàn)防篡改和動態(tài)防護功能。網頁防篡改系統(tǒng)保障用戶從互聯(lián)網訪問的網頁內容的完整性，確保用戶訪問內容的合法性、保密性。 保護內容 網頁防篡改系統(tǒng)對用戶可訪問的網頁內容進行保護，確保網頁不能被篡改或者在篡改后進行及時恢復，確保用戶訪問不到篡改后的網頁，確保攻擊者無法越權獲取網頁信息。 ? 接口開放性 網頁防篡改系統(tǒng)應用的各項技術應保證具有開放性、可擴展性，系統(tǒng)軟件和硬件須提供開放的應用接口，能夠與其他應用系統(tǒng)進行互通。 ? 安全性與可靠性指標 網頁防篡改系統(tǒng)須保證自身安全性。 ? 性能指標 網頁防篡改系統(tǒng)能夠及時監(jiān)控網頁的非法篡改并能夠及時進行響應。 ? 功能指標 網頁防篡改系統(tǒng)能夠針對篡改網頁的主要攻擊手段提供有效檢測和防護，針對網頁內容的完整性進行實時監(jiān)控，在網頁遭到篡改后具備阻斷或對網頁內容進行及時恢復等功能。 ? 可防護各類 WEB 應用 支持各類 WEB 服務器，例如 IIS、 WebLogic、 WebSphere、 Apache、Tomcat 等；支持各類 WEB 服務器中安裝的主流數(shù)據庫，包括 SQL Server、Oracle、 Sybase、 Informix、 DB MySQL 等；支持各類 WEB 系統(tǒng)所部署的服務器操作系統(tǒng)及其版本。 （ 3）自我保護模塊 自我保護模塊保障網頁防篡改系統(tǒng)的安全，避免未經授權的卸載、關停等。網頁防篡改系統(tǒng)應用文件保護技術檢測正在進行的針對靜態(tài)網頁或者動態(tài)網頁腳本文件的篡改攻擊，應用文件保護技術及會話分析技術檢測已經成功的針對靜態(tài)網頁或者動態(tài)網頁文件的篡改攻擊；應用會話分析技術檢測正在進行的針對動態(tài)網頁數(shù)據的篡改攻擊或者越權獲取信息企圖。 網頁防篡改項目 總體建設方案 黑龍江?？弟浖こ逃邢薰? 2020 年 11 月 目錄 一、項目實施方案 ............................................................................................................ 3 項目信息 ............................................................................................................. 3 .................................................................................................... 3 .................................................................................................... 3 技術路線 ............................................................................................................. 3