网页防篡改项目总体建设方案
网页防篡改系统技术指标要求
网页防篡改系统技术指标要求
1、产品描述
2、功能指标
⏹杜绝网站向外发送被篡改的页面内容;
⏹检测模块内嵌于Web服务器软件中;
⏹可检测静态页面/动态脚本/多媒体文件;
⏹可以按不同容器选择待检测的网页;
⏹网页发布同时自动更新水印值;
⏹网页发送时比较网页和水印值;
⏹★能够防范SQL注入式攻击;
⏹★支持增强型事件触发技术;
⏹支持断线/连线状态下篡改检测;
⏹支持连线状态下网页恢复;
⏹网页篡改时多种方式报警;
⏹能够保护动态脚本文件;
⏹同步和断线时都不影响检测;
⏹不影响原有的网页发布系统;
⏹自动检测文件系统任何变化;
⏹文件变化自动同步到多个Web服务器;
⏹支持虚拟目录/虚拟主机;
⏹可选支持双机冗余部署。
⏹支持各种私钥的硬件存储,如PKCS#11和CSP两种接口形式的任何密码设备
⏹支持使用外接安全密码算法⏹支持多种页面包含文件方式⏹支持短信接口
3、性能指标。
2024年网站安全漏洞整改方案
2024年网站安全漏洞整改方案____年网站安全漏洞整改方案第一章:绪论1.1 背景在信息时代的今天,互联网已经成为了人们生活和工作的重要组成部分。
随着互联网的普及和应用,网站安全问题也日益突出。
网站作为企业信息和服务的门户,其安全性对企业和用户都具有重要意义。
2019年,全球网站遭受的网络攻击已经有所增加,不仅数量上升,而且攻击手段和方式也越来越复杂和隐蔽。
黑客攻击、数据泄露、木马病毒等安全事件不断发生,给互联网用户的个人信息和企业的信息资产安全带来了严重威胁。
鉴于上述情况,本文旨在探讨____年网站安全漏洞整改方案,帮助企业有效提升网站的安全性,保障用户和企业的信息安全。
1.2 研究目的和意义本文旨在为企业提供____年网站安全漏洞整改的方案,帮助企业提高网站的安全性,减少安全事件的发生,保护用户和企业的信息安全。
具体目的和意义如下:(1)了解____年网络攻击的趋势和特点,为整改方案的制定提供参考。
(2)分析网站安全漏洞的类型和原因,找出薄弱环节和问题所在。
(3)制定网站安全整改方案,全面提升网站的安全性。
(4)推广和应用本文的研究成果,提高企业对网站安全的重视程度。
第二章:____年网络攻击趋势和特点2.1 网络攻击的定义和分类2.2 ____年网络攻击的趋势和特点第三章:网站安全漏洞分析3.1 网站安全漏洞的类型和分类3.2 网站安全漏洞的原因分析3.3 网站安全漏洞的影响和风险评估第四章:网站安全整改方案4.1 提高安全意识,加强员工安全培训4.2 定期检查和更新网站的安全防护措施4.3 数据加密和安全传输4.4 强化访问控制和权限管理4.5 统一漏洞管理和应急响应机制第五章:案例分析和对策对比5.1 案例一:银行网站安全漏洞整改对策5.2 案例二:电商网站安全漏洞整改对策5.3 案例三:政府门户网站安全漏洞整改对策第六章:总结与展望6.1 主要研究成果总结6.2 存在的不足和改进方向参考文献附录:相关数据和统计分析以上为《____年网站安全漏洞整改方案》的大致框架和内容安排,具体细节和示例需要根据实际情况进行补充和完善。
2024年网站安全漏洞整改方案
2024年网站安全漏洞整改方案____年网站安全漏洞整改方案一、引言随着互联网的迅猛发展,越来越多的企业、政府机构和个人都开始依赖于网站进行信息交流和业务推广。
然而,随之而来的是网站安全问题的增加,黑客攻击、数据泄露和恶意代码注入等问题频频发生,给用户的信息安全造成了威胁。
本文将针对____年网站安全漏洞整改方案,设立以下工作目标:提高网站的安全性,减少黑客攻击和数据泄露的风险,保护用户的隐私和数据安全。
二、网站安全漏洞整改的意义1. 保护个人隐私: 网站安全漏洞的修复可以防止黑客窃取用户的个人隐私信息,并保护用户的隐私权。
2. 防止恶意攻击: 修复网站安全漏洞可以阻止黑客对网站进行恶意攻击,如DDoS攻击和SQL注入攻击等。
3. 提升用户信任: 安全的网站能够提升用户对该网站的信任度,增加用户活跃度和回访率。
4. 遵守法律法规: 网站安全漏洞的整改有助于企业或组织遵守相关的法律法规,减少违规和风险。
三、网站安全漏洞整改方案1. 安全评估和漏洞扫描首先,开展全面的安全评估以及漏洞扫描工作,对网站的安全性进行评估和检测,及时发现网站存在的安全漏洞和潜在风险。
安全评估包括对网站的系统架构、数据流程、身份验证、访问控制、加密机制等方面进行综合评估,并制定相应的改进计划。
2. 强化身份验证机制采取多重身份验证机制,如口令加密、密钥认证、指纹辨识等,以提高用户的身份认证安全性。
并加强对敏感操作(如修改密码、支付等)的身份验证要求。
3. 更新并加强密码策略要求用户设置强密码,密码复杂度要求包括大小写字母、数字和特殊符号等,密码长度和密码有效期等密码策略进行更新和加强。
管理员要定期对系统密码进行更换。
4. 应用安全补丁和更新对网站的操作系统、数据库和Web服务器等进行安全补丁和更新的及时更新,以修复已知的漏洞和弥补系统的安全风险。
5. 数据加密和传输安全对网站的重要数据库和用户隐私数据进行加密存储和传输,使用HTTPS协议,确保数据在传输过程中的安全性。
网页防篡改系统实施方案
网页防篡改系统实施方案
首先,网页防篡改系统需要具备实时监测和报警功能。
通过实时监测网页内容
的变化情况,及时发现异常操作并立即报警,以便进行及时处理。
其次,系统需要具备数据备份和还原功能。
定期对网页数据进行备份,一旦发现篡改行为,可以及时还原到原始状态,避免信息丢失或被篡改。
另外,系统还应该具备权限管理功能,对网页内容的修改和发布进行严格管理,确保只有经过授权的人员才能进行操作,从源头上杜绝篡改行为的发生。
此外,网页防篡改系统还需要具备数据加密和安全传输功能。
对网页数据进行
加密处理,确保数据传输过程中不会被窃取或篡改,保障用户信息的安全性。
同时,系统还应该具备漏洞修复和安全更新功能,及时修复系统漏洞,保障系统的稳定性和安全性。
最后,系统需要具备日志记录和审计功能,对网页操作进行全程记录和审计,一旦发生篡改行为,可以通过日志追溯到操作人员,并进行相应的处理。
综上所述,建立一套完善的网页防篡改系统实施方案,需要具备实时监测和报警、数据备份和还原、权限管理、数据加密和安全传输、漏洞修复和安全更新、日志记录和审计等功能。
只有通过这些措施的综合应用,才能有效防范网页篡改行为,保障用户信息的安全,维护网络环境的稳定和健康发展。
希望各相关单位能够高度重视网页防篡改系统的建设,加强对系统的实施和管理,为用户提供更加安全可靠的网络环境。
网页防篡改系统的研究与设计方案
姚 滢
(南通 大 学 计算 机科 学与技 术 学院 ,江苏 南通 226006)
摘 要 :随着 网站建 设的规模化 ,网站安 全问题 日益严峻 ,其 中网页篡改尤为严重 ,因此 需要 网页防篡改 系统 的保护 。介绍 了 网页防篡改的三种技 术 :外挂轮询 、 核心 内嵌和事件触发并对这三种技术进行 了比较 ,然后描述 了网页防篡改 系统 的功 能需求 以及 拓 扑 结 构 , 分析 了基 于 MD5算 法 的 防篡 改原 理 ,最 后 给 出一 个 网 页 防 篡 改 系统 的设 计 方 案 。 关 键 词 :网页 防 篡 改 ;外 挂 轮 询 ;核 心 内 嵌 ;事件 触 发 ;MD5
系统 应运 而生 。
3 网页防篡改系统分析
2 网页防篡改的几种技术及 比较
3.1系 统 需 求
目前 网页 防篡改 的技 术主要 有三种 : (1)外挂 轮询技 术 外 挂轮 询技 术是 利用 一个 文件检 测程 序 ,以轮询 方 式 读 出要监 控 的文件 ,与真 实文 件相 比较 ,来判 断文 件 内容 的完 整性 ,对于 被篡 改的 文件 进行报 警和 恢复 。但是 ,采 用时 间轮询 式 的网页 防篡 改系统 ,对 每个 网页 来说 ,轮询 扫描存 在着较 长 的时 间间隔 ,且 占用 系统资 源较 大 ,该 技 术逐渐被 淘汰 。 (2)核心 内嵌 技术 核 心 内嵌 技 术是将 网 页内容 加 密存放 ,在 外来 访 问请 求 时将经 过加 密验证 过 的 ,进 行解 密对外 发布 ,若 未经过 验证 ,则 拒绝对 外发布 ,调 用 备份 网站文 件进 行验 证解密
后对 外发 布 。但是 由于这 种技 术 是对每 个流 出网 页都进 行 完整 检查 ,占用较大 的 系统资 源 ,给 服务 器造成 较大 负载 。
网站漏洞整改方案
网站漏洞整改方案随着网络技术的迅速发展,各类网站的数量日益增加。
然而,随着网站的增多,网站漏洞问题也越来越突出。
网站漏洞是指网站系统中存在的潜在安全风险,可能被黑客利用来获取敏感信息、篡改数据或者进行其他恶意活动。
因此,为了保障网站的安全,漏洞整改工作变得至关重要。
一、漏洞评估与监测首先,需要进行漏洞评估与监测工作。
通过对网站系统进行全面的检查和评估,可以及时发现潜在的漏洞并采取相应的整改措施。
漏洞评估可以采用自动化扫描工具或者专业的安全公司进行。
监测漏洞则需要建立专门的安全人员团队,定期进行漏洞扫描,确保网站系统的安全。
二、定期更新与升级漏洞整改的关键在于定期更新与升级网站系统。
网站系统通常由许多组件组成,包括操作系统、数据库、服务器软件等。
这些组件都可能存在安全漏洞,因此及时更新和升级是非常必要的。
定期检查官方发布的安全补丁,并及时进行安装和升级,以保持网站系统的安全性。
三、加强访问控制加强访问控制也是网站漏洞整改的重要一环。
通过严格的访问权限控制和身份验证机制,可以避免未经授权的人员进入网站系统。
这包括设置合理的密码策略、使用多因素身份验证等。
此外,对敏感数据的访问进行严格的权限控制,只允许有关人员进行操作,可以有效防止信息泄露的风险。
四、加密通信传输加密通信传输是确保网站系统安全的重要措施之一。
通过使用SSL/TLS等加密协议,可以保护用户在网站上的数据传输过程中的安全。
特别是在用户登录、注册、支付等敏感操作中,加密传输能够有效防止黑客窃取用户的个人信息。
五、建立安全备份与恢复机制建立安全备份与恢复机制是网站漏洞整改的另一个关键点。
定期备份网站数据,并存储在安全的地方,以防止数据丢失或被恶意篡改。
同时,建立有效的数据恢复机制,以便在遭受攻击或数据丢失时能够及时恢复网站功能。
六、加强员工培训与意识教育最后,加强员工培训与意识教育也是网站漏洞整改的重要环节。
员工应该接受相关的安全培训,了解网站漏洞的风险和整改措施,并且建立起安全意识,主动遵守公司的安全规定。
网页防篡改方案
网页防篡改的安全需求网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。
其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的。
据国家计算机网络应急技术处理协调中心发布的报告,2006年监测到中国大陆被篡改网站总数达到24,477个,与2005年相比增长近一倍,占所有报告的网络安全事件的90%以上。
网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。
因此,对于影响力强和受众多的网站,特别是权威的政府、媒体和大型企业的网站来说,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。
实时阻断、事件触发防护技术1. 防止恶意攻击和篡改网页信息,实时监控网站和即时复原正确的网站内容,确保网站安全、可靠和稳定运行;2. 7×24小时不间断保护网站,任何恶意篡改痕迹将被实时保留,并主动和及时通知管理人员,做到防范于未然。
2个子系统,即监控代理、监控中心3. 安全传输(后续版本支持加密传输)赛蓝内置高效的多服务器文件同步机制,它可以将海量的文件可靠和快速地发布到多台网站服务器上,确保多台网站服务器上内容的一致性。
赛蓝的发布功能具备增量同步模式和精确同步模式: 前者用于网站正常运行时持续发布网页,后者则可以用于诸如增加服务器、网站改版、首次部署等特殊场合。
所有模式都会先进行文件比较后上传,兼顾了效率性和准确性。
赛蓝发布功能支持7×24小时运行的大型新闻和门户网站,支持自动重连、失败重传和任务断点续传,实现网页上传的无人值守和自动恢复功能。
赛蓝能够支持受保护网站的双机冗余部署和集群配置,保证各个网站服务器内容同步。
2 WEB安全防护传统的安全防护建设中主机的保护是必须的,首先防火墙并不能对应用作出深层的保护,基于应用的防护对于主机保护是必要的,比如:WEB防护,通过WEB防护系统,保证基于WEB的业务能够在主机不中断的情况下实时主动作出保护,及时发现针对WEB的恶意篡改、破坏,主动恢复数据。
网站安全解决方案
3.完成实施后,进行验收测试,确保网站安全性能达到预期目标。
4.定期对网站进行安全评估,及时发现并解决安全隐患。
五、后期维护
1.建立完善的网站安全运维制度,确保网站安全持续稳定。
2.定期更新网站安全防护措施,应对不断变化的网络攻击手段。
3.加强员工安全意识培训,提高员工对网络安全的重视程度。
1.确保网站数据安全,防止数据泄露、篡改和丢失。
2.防范各类网络攻击,如DDoS攻击、Web攻击、SQL注入等。
3.提高网站访问速度,提升用户体验。
4.符合国家相关法律法规要求,确保网站合法合规运营。
三、方案内容
1.网站安全架构设计
(1)采用分层设计,将网站分为前端、应用层和数据库层,实现各层之间的安全隔离。
网站安全解决方案
第1篇
网站安全解决方案
一、前言
随着互联网的普及和信息技术的飞速发展,网站安全问题日益凸显。为确保我国网站安全,防范网络攻击,降低安全风险,制定一套合法合规的网站安全解决方案至关重要。本方案结合当前网络安全形势,遵循国家相关法律法规,旨在为用户提供一套全面、实用的网站安全防护措施。
二、方案目标
3.完成实施后,进行全面的验收测试,确保各项安全措施达到预期效果。
4.定期对网站进行安全评估,发现并解决潜在的安全隐患。
五、后期维护与优化
1.建立完善的网站安全运维制度,确保网站安全长期稳定。
2.定期更新安全防护措施,应对不断变化的网络威胁。
3.加强员工网络安全意识培训,提高员工对网络安全的重视程度。
(3)使用安全的通信协议,如HTTPS,保障数据传输的安全性。
2.数据安全保护
零成本网页防篡改实施方案
零成本网页防篡改实施方案一、网站架构图及方案说明如上图所示,该方案基于sersync、rsync、haproxy、subversion等技术构建实现动静分离、前端页面防篡改以及动态负载均衡的网站平台部署方案。
该方案可预见有如下优点:1、实现多点实时更新同步发布,前端负载均衡,支持数万并发访问。
2、零成本投入实现网页防篡改。
3、数据多点备份,从根本上解决单点故障,二、关键技术介绍1、Rsync数据同步:rsync是类unix系统下的数据镜像备份工具,从软件的命名上就可以看出来了——remote sync。
它的特性如下:(1)、可以镜像保存整个目录树和文件系统。
(2)、可以很容易做到保持原来文件的权限、时间、软硬链接等等。
(3)、无须特殊权限即可安装。
(4)、优化的流程,文件传输效率高。
(5)、可以使用rcp、ssh等方式来传输文件,当然也可以通过直接的socket 连接。
(6)、支持匿名传输。
2、sersync主要用于监控服务器目录和文件,当发生变化,即触发rsync实时数据同步到发布其他服务器。
3、HAProxyHAProxy提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。
HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。
HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。
并且它的运行模式使得它可以很简单安全的整合进您当前的架构中,同时可以保护你的web服务器不被暴露到网络上。
下图是HAProxy的架构:下图是HAProxy的监控页面截图:4、Subversion是一个自由,开源的版本控制系统。
在Subversion管理下,文件和目录可以超越时空。
Subversion将文件存放在中心版本库里。
这个版本库很像一个普通的文件服务器,不同的是,它可以记录每一次文件和目录的修改情况。
这样就可以籍此将数据回复到以前的版本,并可以查看数据的更改细节。
2023年网站安全漏洞整改方案
2023年网站安全漏洞整改方案一、背景和问题描述随着互联网的普及和发展,网络安全问题日益严峻。
网站安全漏洞是网站存在的重要安全隐患,一旦被黑客攻击,将给企业和用户造成巨大的损失和风险。
因此,加强网站安全漏洞的整改和防范成为亟需解决的问题。
二、整改目标和原则1. 目标:通过全面的漏洞整改方案,确保网站的安全性和可用性,保护用户隐私和企业利益。
2. 原则:全员参与、科技支撑、规范管理、持续优化。
三、整改方案和措施1. 漏洞扫描与修复通过使用漏洞扫描工具对网站进行全面扫描,发现潜在漏洞,并优先修复高危漏洞。
定期进行漏洞扫描和修复,并建立漏洞修复的流程和责任制度,确保漏洞及时得到解决。
2. 强化身份认证通过采用多重身份验证、短信验证码、指纹识别等技术手段,加强用户的身份认证,避免非法登录和账号盗用。
3. 数据加密和传输安全采用加密算法对用户敏感数据进行加密存储和传输,确保数据的安全性。
同时,使用HTTPS协议传输数据,避免数据在传输过程中被窃听和篡改。
4. 安全审计和监控建立安全审计和监控机制,跟踪和检测网站的异常操作和访问行为,及时发现并防止黑客攻击。
记录安全事件和应急响应过程,进行事后分析和优化。
5. 安全培训和意识教育定期组织安全培训和意识教育活动,提高员工对网站安全的认识和重视程度。
对于网站管理员和技术人员,要进行专业的安全培训,提升技能和知识水平。
6. 软件更新和漏洞补丁及时更新网站使用的软件和应用程序,安装最新的安全补丁,避免因为软件漏洞而导致的安全风险。
建立软件更新和漏洞补丁的管理制度,确保补丁及时应用。
7. 网络拦截与防火墙配置网络拦截与防火墙,筛选和拦截网络攻击和恶意访问,提高网站的安全性和稳定性。
8. 定期备份和紧急恢复定期备份网站数据和应用程序,以备不时之需。
建立紧急恢复的预案和流程,一旦遭受攻击或数据丢失,能够及时恢复并降低损失。
9. 安全合规与监管遵循相关的安全合规和监管要求,建立和完善相应的安全管理制度和流程,确保网站的合法合规性和安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网页防篡改项目总体建设方案黑龙江海康软件工程有限公司2011年11月目录一、项目实施方案 (3)1.1项目信息 (3)1.1.1建设单位 (3)1.1.2承建单位 (3)1.2技术路线 (3)1.2.1技术指标 (5)1.2.2保护内容 (6)1.2.3防护功能 (7)1.3部署设计 (7)1.3.1部署拓扑 (8)1.3.2程序安装步骤 (8)1.4系统影响 (9)1.5配合事项 (10)1.6安装测试 (10)1.7故障排除及回退 (11)1.7.1网页无法正常访问 (11)1.7.2影响应用系统工作 (11)1.8环境工具材料准备 (12)1.9项目施工进度计划 (12)3.10 项目人员安排情况 (13)二、功能特性 (14)2.1系统架构 (16)2.1.1组件功能模块 (17)2.2技术特性 (18)2.2.1操作系统文件驱动层防篡改技术 (18)2.2.2 Web站点安全运行保障 (19)2.2.3部署结构灵活 (19)2.2.4实时自动增量发布更新 (19)2.2.4多种日志告警方式 (19)2.2.5操作管理安全、方便 (20)2.2.6网站动态自适应攻击防护 (20)2.3技术实现 (20)2.3.1文件防护实现原理 (21)2.3.2动态防护实现原理 (22)2.3.3连续篡改攻击防护实现 (23)2.3.4网站访问保障 (23)2.3.5自动增量发布更新实现 (24)2.3.6日志告警实现 (25)一、项目实施方案1.1项目信息黑龙江信息港需重点防护的服务器共27台,分两个机房,其中二枢纽IDC 机房承载25台,湘江路IDC承载2台.1.1.1建设单位中国联合网络通信公司黑龙江省分公司1.1.2承建单位黑龙江海康软件工程有限公司1.2技术路线本次项目采用网页防篡改软件的形式针对网站系统进行安全防护建设,网页防篡改系统的功能框架在逻辑上定义为下图框架。
SQL注入跨站攻击非法上传WEB Shell……各种攻击网页篡改防护利用OS 漏洞攻击图 网页防篡改系统功能框架示意图其中各个模块的实现的主要功能如下:(1)检测模块检测模块主要功能是发现正在进行的网页篡改攻击、越权获取信息企图或者已经成功的网页篡改攻击。
网页防篡改系统应用文件保护技术检测正在进行的针对静态网页或者动态网页脚本文件的篡改攻击,应用文件保护技术及会话分析技术检测已经成功的针对静态网页或者动态网页文件的篡改攻击;应用会话分析技术检测正在进行的针对动态网页数据的篡改攻击或者越权获取信息企图。
(2)防护模块防护模块对检测到的正在进行的网页篡改攻击、越权获取信息企图进行阻断。
(3)自我保护模块自我保护模块保障网页防篡改系统的安全,避免未经授权的卸载、关停等。
1.2.1技术指标网页防篡改系统总体指标包括运行环境、用户接口界面、协议指标、功能指标、管理指标、安全性指标等方面:●运行环境网页防篡改系统的服务器端能够运行主流的商用平台上,如支持主要的服务器平台及操作系统,如HP-Unix、IBM AIX、Sun Solaris、Windows、Linux 等,可以采用主流数据库存储相关数据如SQL Server、Oracle、Sybase、Informix、DB2。
●可防护各类WEB应用支持各类WEB服务器,例如IIS、WebLogic、WebSphere、Apache、Tomcat等;支持各类WEB服务器中安装的主流数据库,包括SQL Server、Oracle、Sybase、Informix、DB2、MySQL等;支持各类WEB系统所部署的服务器操作系统及其版本。
●用户接口界面网页防篡改系统界面友好,易于安装、配置和管理,具有图形化简体中文界面,各类技术文档均具有简体中文版。
●功能指标网页防篡改系统能够针对篡改网页的主要攻击手段提供有效检测和防护,针对网页内容的完整性进行实时监控,在网页遭到篡改后具备阻断或对网页内容进行及时恢复等功能。
●管理指标网页防篡改系统具备完整的帐号、认证、权限管理、审计功能,支持图形化管理界面,支持系统组件的运行状态监控。
●性能指标网页防篡改系统能够及时监控网页的非法篡改并能够及时进行响应。
网页防篡改系统运行时不影响正常的用户访问,对WEB服务器资源占用较小,不对WEB服务器性能产生明显影响。
●安全性与可靠性指标网页防篡改系统须保证自身安全性。
网页防篡改系统须具备较高可靠性,支持冗余部署。
●接口开放性网页防篡改系统应用的各项技术应保证具有开放性、可扩展性,系统软件和硬件须提供开放的应用接口,能够与其他应用系统进行互通。
网页防篡改系统管理和组件间通信基于标准协议,便于系统的管理、集成和扩展。
1.2.2保护内容网页防篡改系统对用户可访问的网页内容进行保护,确保网页不能被篡改或者在篡改后进行及时恢复,确保用户访问不到篡改后的网页,确保攻击者无法越权获取网页信息。
用户可访问的网页内容指用户可以从互联网公开访问的合法资源,包括静态网页显示的内容、动态网页或数据库等生成的内容。
网页防篡改系统保障用户从互联网访问的网页内容的完整性,确保用户访问内容的合法性、保密性。
在网页被篡改的情况下,网页防篡改系统也必须能够保证用户访问不到被篡改的网页。
网页防篡改系统对用户可访问内容进行保护,包括但不限于下列内容:➢静态网页➢动态网页➢声音➢视频➢图片➢允许从互联网访问的其他资源➢WEB应用中的用户信息1.2.3防护功能网页防篡改系统能够检测和防护来自Internet以及Intranet的各种形式的网页篡改、挂马、越权获取信息等攻击方式:(1)利用WEB Shell等进行的文件篡改(2)SQL注入(3)跨站攻击(4)网页挂马(5)非法上传(6)利用操作系统漏洞进行的网页篡改的攻击等1.3部署设计本次项目对黑龙江联通网站部署网页防篡改系统,在现网的基础上使用一台管理中心服务器实现集中管理、监测,并在网站WEB服务器上通过部署相应的监控客户端实现防篡改和动态防护功能。
1.3.1部署拓扑根据项目需求调研,网页防篡改系统在黑龙江联通平台部署拓扑如下:二枢纽1DC 25台服务器(部署UnisGuard 防篡改系统监控端)湘江路1DC 2台服务器(部署UnisGuard 防篡改系统监控端)图 系统部署示意图部署防篡改系统需在黑龙江联通网站部署在二枢纽IDC 机房中的25台系统服务器上安装监控客户端,另外需要一台windows 服务器安装管理中心,要实现监控端及与管理中心间的通信,进行日志及策略等内容的传输。
在湘江路IDC 机房的两台服务器中,需要安装2个监控端,可以单独管理中心,也可以把管理中心安装在其中一台WEB 服务中.登录管理中心需要使用控制台模块,该模块可安装在管理人员办公主机上,或者移动电脑上,可根据权限进行策略管理。
1.3.2程序安装步骤(1)在Web 服务器上安装IGuard 监控端(IGuard Monitor Client ),并针对网站情况设定监控保护路径及排除路径。
IGuard监控端主要用来监控Web网页文件,保证网页文件不被篡改。
建立网站备份路径,用来对网站系统做发布更新。
或者在备份策略中添加针对发布系统的发行,使得原有的发布更新流程不需进行变更。
(IGuard防篡改策略下发后,系统的网站原始路径被保护,无法直接在原始网站路径进行网站更新,所有发布更新都必须在备份端完成。
)(2)在管理中心服务器安装IGuard管理中心(IGuard Server),管理中心用来管理各客户端,对各客户端下发监控策略,收集各客户端日志信息。
(3)在工作人员管理主机上安装管理控制台(IGuard Console),用来登录管理中心,进行策略调整,查阅日志等操作。
注:防火墙需要开放对应TCP通信端口。
1.4系统影响(1)安装IGuard对服务器现状的影响安装IGuard不会影响网站的正常运行,不需要断开网络,不需要重启服务器,不会对服务器的运行现状产生不良影响。
(2)安装完成后系统资源占用情况IGuard网页防篡改系统是基于系统底层来做的,采用事件触发机制,占用系统资源很少,一般正常运行占用系统资源的2%左右。
(3)网页发布方式的相应调整部署完网页防篡改后,由于网站原始路径受到保护,默认不能再对该路径进行修改,必须通过备份路径来进行发布更新,备份路径可选择安装在本机其他路径或额外的备份服务器。
然后将现有发布系统的发布路径路径改为备份路径。
这样,以后网站发布需要首先将网站发布到备份路径,再由网页防篡改系统把新发布的文件由备份路径实时同步到相应的Web服务器的原始路径。
当然,也可根据管理方式的不同灵活设定防护策略,可以针对FTP或特定发布系统进行放行,使原发布流程不做任何变更。
或者在发布更新时暂停保护,更新完成再开启保护等。
1.5配合事项(1)确认网页防篡改所需的管理中心部署服务器;(2)安装时网站系统管理人员到场,并提供需要防护的网站路径和相应服务器的root用户口令;(3)协调网站发布人员,调整网页防篡改发布方式,把原有网站发布路径指向备份路径;(4)部署完成后做发布测试,检测网站能否正常发布;(5)用户访问网站测试,确认网站能够正常提供服务,所有功能正常;(6)打开管理中心服务器的管理端口;(7)打开Web服务器的数据传输端口;1.6安装测试防篡改系统实施完成后可按照如下步骤进行简单测试:(1)检查网站服务器主机是否运行正常。
(2)使用网站链接是否可以正常访问网站。
(3)对网站进行发布更新操作,检测网站是否正常显示更新。
(4)检查防篡改系统控制台(console)是否可以登录管理中心进行相关配置操作,策略下发是否成功,是否有日志显示。
1.7故障排除及回退1.7.1网页无法正常访问(1)防篡改策略下发后,被保护的网站目录为只读权限,有部分网站应用在外部用户访问时会在保护目录的某个子目录下面产生一些临时文件,设定防篡改策略后,临时文件无法生成,导致网页访问失败。
解决方案:网页防篡改系统有设置许可的功能,可以把在外部访问时会产生临时文件的目录放在防篡改系统的配置项里面,把它设为许可,该目录将具有可写权限,保证网站能够正常访问。
(2)防篡改策略下发后,网站目录不可写,网站更新只能在备份端进行,直接在网站目录做网站更新将无法更新,导致发布的更新页面不能访问。
解决方案:网页防篡改对网站目录进行保护,被保护的网站目录将不可写,只能通过备份目录来更新网站,需要在网站原始路径与实际发布系统之间增加一个备份路径,在该备份路径上做网站更新,防篡改系统能够把更新的内容实时增量同步到网站原始路径,实现正常的发布更新流程。
1.7.2影响应用系统工作IGuard网页防篡改系统工作在系统层,一般不会对Web应用造成影响,如果Web应用出现问题,要在防篡改系统上查找原因,可立即停止防篡改系统保护策略,并联系技术支持人员进行排查。