XXX网站安全整体解决措施.docx
- 文档编号:7280180
- 上传时间:2023-05-11
- 格式:DOCX
- 页数:15
- 大小:287.08KB
XXX网站安全整体解决措施.docx
《XXX网站安全整体解决措施.docx》由会员分享,可在线阅读,更多相关《XXX网站安全整体解决措施.docx(15页珍藏版)》请在冰点文库上搜索。
XXX网站安全整体解决措施
XXXX门户网站
InforGuard网站安全
整体解决方案
InforGuard华东技术支持中心
2010年6月
请不要删除后面的分节符
请不要删除后面的分节符
一.产品概述
一.1InforGuard——网站安全的“保护神”
随着信息技术的不断发展,互联网已经成为信息传播、流通、交换及存储的重要手段。
信息高速公路的兴建使人类完全突破了传统的信息获取方式,各国存储在计算机中的政府资料都在逐渐增加,对信息的保护比以往更加重要也更加困难。
由于Internet是个开放的网络,网站发布的信息一天二十四小时都在被查询、阅读、下载或转载。
网站内容复制容易,转载速度快,网页如果被篡改,后果难以预料,篡改网页将会被迅速、广泛传播,从而直接危害网站的利益。
尤其是政府机关的网站上发布的重要新闻、重大方针政策以及法规等,一旦被黑客篡改,将严重影响政府形象,甚至造成重大的政治经济损失和恶劣的社会影响。
InforGuard网页防篡改系统(以下简称InforGuard)是目前国内唯一采用四重防护技术、既完全保护网站不发送被篡改的页面内容又保证网站内无被篡改页面滞留的Web页面保护软件。
InforGuard的四重防护技术使其在防篡改理念、安全性及性能等诸多方面远远领先于同类产品。
InforGuard的主要功能是实时监控用户的Web站点,洞察黑客、病毒等对网站的网页、电子文档、图片等文件进行破坏或非法修改。
一旦文件遭到破坏,系统会立即恢复被破坏的文件,并向管理人员报警。
它支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统,支持IIS、Apache、Weblogic、WebSphere等主流的Web服务器软件。
一.2InforGuard的特点
InforGuard对加强政府机关、企事业单位以及商业机构等各类Web站点的安全,维护政府、权威机构网站的内容完整、形象和尊严都可以起到至关重要的作用。
它具有以下特点:
♦有效结合用户原有发布系统,不影响正常的网页发布操作
♦支持对静态页面、动态脚本、执行文件、图片、文档等所有类型文件的保护
♦独有的四重防护技术,确保连线/断线状态下篡改检测
♦网页篡改时支持多种方式报警,包括铃声、短信、电话、邮件等,确保用户第一时间得到报警
♦灵活服务器联动措施,应对灾难性网络攻击
♦提供完善的日志审计功能,包括系统运行日志和系统管理维护日志的查询、统计、保存等功能
♦不依赖于第三方软件,包括数据库软件
♦高效的同步技术,保证网站更新实时自动
♦高效增量备份,兼顾了网站备份的效率及正确性
♦安全传输,InforGuard采用高效的加密传输技术,保证传输的安全性
♦多种过滤机制,实现监控的灵活性
♦集群、代理分而治之,实现管理的灵活性
♦严格的日志审计功能,跟踪记录所有网站维护人员的任何网站维护操作
一.3资质
♦通过公安部计算机信息系统安全产品质量监督检验中心检验
♦公安部计算机信息系统安全专用产品销售许可证
♦国家保密局涉密信息系统产品检测证书
♦中国信息安全值得信赖网页防篡改产品
♦中国软件20年最具应用价值的软件产品
♦2006山东信息安全大会最值得信赖的网站防篡改产品
二.用户需求
2.1用户定位
XXXX目前正在网络内部进行网络安全加固,通过一些防护措施对对外的WEB服务器进行保护。
2.2用户网络安全需求分析
所有的WEB网站和WEB应用系统除了使用一般的网络安全设备外,需要有效的网页防篡改系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。
根据目前XXXX的安全状况,由于WEB服务器是对外公开,所有互联网用户都可能访问到,必然存在着安全隐患。
因此,为了巩固XXXX网站和Web应用的安全,特别是保证XXXX网站内容的完整性和形象,有必要使用专业的网页防篡改系统,并结合WEB应用防火墙WebWall进行WEB动态攻击防护。
整个系统解决了传统的两层防护体系中存在的安全漏洞,采用“容灾为主、预防为辅”的设计思想,从应用层面解决网站整体的安全问题。
同时考虑硬件产品无法达到网站文件实时恢复的问题,想采用软件形态产品来实现防护主页的要求。
如今加强网络安全防护是一个必不可少的手段,其次,一个快速、有效的恢复手段也是非常重要的一点。
即使在加固了安全防护之后,并不能做到百分之百的保护,还需要一个及时、有效的恢复手段,作为网络安全防护重点。
三.产品部署
一.4产品组成及部署
InforGuard网页防篡改系统由以下几部分组成:
InforGuardMA,InforGuardSA,InforGuardMC。
InforGuardMA是InforGuard的监控代理,部署于网站服务器,负责实时监控保护网站文件,发现篡改企图或篡改操作实时发送恢复请求,并及时提交告警信息。
InforGuardSA是InforGuard的同步代理,部署于同步服务器,负责实时监控备份文件变更,以及监控代理提交的恢复请求,并根据请求执行向网站服务器的文件同步。
注:
同步服务器通常情况下是指CMS服务器或FTP服务器。
InforGuardMC是InforGuard的管理中心,其中包含两部分:
InforGuardMC是InforGuard的管理工具,同名的InforGuardMS是InforGuard的消息处理中心。
逻辑上部署于管理服务器,作为用户与系统之间的接口,负责将操作指令传达给监控代理和同步代理;同时,负责实时接收来自代理端的各种告警信息并及时通知用户。
图1-InforGuardV5网络部署
根据XXXX网络现状,InforGuard整体的部署方式可以如下:
图2-部署示意图
如上图所示,根据XXXX的服务器的环境,我们建议在内网的准备一台管理服务器作为主页防篡改系统的管理中心(即InforGuardMC监控中心),并在这台管理服务器上部署InforGuardSA同步代理,而MA监控代理部署到对外的2台WEB服务器上,对其WEB文件夹进行保护,然后在管理中心对同步代理SA和监控代理MA进行管理;
由于用户的web服务器环境为Linux平台,InforGuard将会使用核心内嵌机制,如果WEB服务器对外的WEB目录被检查网页已被篡改或者不存在,用户在访问此页面的同时,核心内嵌机制就返回给用户一个自定义的错误页面;与此同时,向备份目录申请恢复网页,保证了网站的安全。
此外,网站维护人员通过发布工具或FTP等方式发布至SA同步代理的同步目录的更新文件也将自动同步至MA监控代理服务器。
用户发布更新的改变,也就是日常管理的路径变化。
此外,我们将对用户服务器上的Web应用的安装InforGuardWebWall应用防火墙(简称WW),WebWall应用防火墙是 InforGuard 家族中一款专门针对网站Web应用加固的安全防护产品。
WebWall应用防火墙采用基于规则的内核过滤技术,通过对关键信息的验证检查,有效抵御黑客的各种攻击手段,起到事前加固,事中阻断的效果,使WEB站点拥有更强的健壮性和安全性。
中创InforGuard网页防篡改软件在部署后不对企业现有网络环境产生任何影响。
一.5运行环境
一.5.1硬件环境
网页防篡改系统InforGuard的监控中心MC、监控代理MA与同步代理SA均无特殊的硬件要求,除用于网络连接的网卡之外,各子系统需支持各自的软件运行环境,并需以下硬件配置:
最低配置:
组件 要求
CPU CPU2.8GMHz的处理能力以上
物理内存 512MB以上
硬盘 系统盘可用空间800MB以上
操作系统 MicrosoftWindows2003
浏览器 MicrosoftInternetExplorer7、6.x
推荐配置:
组件 要求
CPU CPU2.8GMHz的处理能力以上
物理内存 1GB以上
硬盘 系统盘可用空间1GB以上
操作系统 MicrosoftWindows2003
浏览器 MicrosoftInternetExplorer7、6.x
一.5.2软件环境
监控中心MC:
♦WindowsNT或Windows2000及以上。
♦Linux系列:
RedhatLinux、红旗Linux、TurboLinux、中标Linux
监控代理MA:
♦Windows系列:
WindowsNT、WindowsXP、Windows2000及以上
♦Linux系列:
RedhatLinux、红旗Linux、TurboLinux、中标Linux
♦Unix操作系统:
IBMAIX、HPUnix、SunSolaris
同步代理SA:
♦Windows系列:
WindowsNT、WindowsXP、Windows2000及以上
♦Linux系列:
RedhatLinux、红旗Linux、TurboLinux、中标Linux
♦Unix操作系统:
IBMAIX、HPUnix、SunSolaris
Webwall应用防火墙支持环境:
四.技术实现
一.6四重防护
四重防护技术
一重防护:
防SQL注入
采用防SQL注入技术,屏蔽网站恶意扫描,有效地抵御针对网站数据库资源的注入式攻击。
二重防护:
实时阻断
实时阻断技术,能够阻断对受保护网页的非法操作,此项技术有效地甄别合法进程和非法进程,阻断非法进程对网页的篡改,将非法进程直接挡于门外。
三重防护:
事件触发
事件触发技术,InforGuard具备触发式篡改检验引擎,针对受保护网站文件的增删改操作,一触即发,校验修改的合法性,瞬间清除被非法篡改的网页,实时恢复正确网页。
事件触发技术一个最突出的特点就是确保任何时候网站文件的合法性。
四重防护:
核心内嵌
核心内嵌技术,InforGuard内嵌式篡改检测引擎运行于Web服务器内部,与Web服务器无缝结合。
InforGuard检测每一个Web请求访问的页面,进行水印校验,从而能够实时地确保每个对外发送网页的正确性。
• 高效同步技术
InforGuard内置高效的多服务器文件同步机制,它可以将海量的文件可靠和快速地发布到多台网站服务器上,确保多台网站服务器上内容的一致性。
InforGuard的发布功能具备增量同步模式和精确同步模式:
前者用于网站正常运行时持续的发布网页,后者则可以用于诸如增加服务器、网站改版、首次部署等特殊场合。
所有模式都会先进行文件比较后上传,兼顾了效率性和准确性。
InforGuard发布功能支持7*24小时运行的大型新闻和门户网站,支持自动重连、失败重传和任务断点续传,实现网页上传的无人值守和自动恢复功能。
InforGuard能够支持受保护网站的双机冗余部署和集群配置,保证各个网站服务器内容同步。
InforGuard在上传网页信息时,使用了SSL安全通信协议和证书,保证了传输过程的私密性、完整性和身份认证,使正常网页信息具有不可篡改性,防止黑客在网络上可能进行的截获-篡改攻击,较之传统的上传方式有了极大的安全性。
一.7安全技术
一.7.1认证机制的安全性
PKI技术是整个网页防篡改系统安全的基础。
在设计中,充分利用了PKI技术,将其融合到系统的安全保障体系之中。
♦采用证书来识别系统的身份
存在一套签证子系统,保证每一套网页防篡改系统都使用专门的证书,从而保证在系统通信时能够确认对方的真实性。
♦利用公钥技术来传递通信的临时密钥
由于公钥加密的速度比较慢,因此在加密通信时采用的是对称加密技术。
使用的密钥都是临时产生的随机密钥,在确认对方身份后采用公钥加密技术传递给对方,随后双方进行对称加密通信。
♦采用签名技术来保证数据的安全性和完整性
当传送数据时会附加一个对数据的数字签名,以保证所传递数据的安全性和完整性。
一.7.2结构的安全性
♦安全的体系结构
该系统从结构上分为三个子系统,分别为监控中心、监控代理及维护终端。
将监控中心与监控代理分开,在它们之间可以采用一些其它的安全措施,如防火墙、应用网关等等,从而加大黑客攻击监控中心的难度,监控中心的安全恰恰是Web站点(监控代理)安全的基础。
♦较强的稳定性
该系统是客户/服务器模式的处理系统,某个监控代理的停止运行,不会影响整个系统其它部分的正常运行,而一旦该监控代理恢复正常运行,对此Web站点的监控也会恢复正常工作,不会因为程序的停止而造成任何损失。
一.7.3通信的安全性
通信环节是黑客们最重视的环节,因而,InforGuard特别加强了对这个环节的保护。
监控中心与监控代理的通信所采用的协议是在TCP/IP协议之上封装的特有的通信协议,这个协议是不公开的,从而也增加了对系统攻击的难度。
在监控中心与监控代理通信时,采用了电子证书来确认双方的身份。
另外,采用了中创SSL开发包的加密通信技术来保证通信的安全。
这样,既可以防止黑客利用伪指令向系统进行攻击,又可以防止黑客的侦听、截取,以及回放式的攻击。
一.8同步技术
InforGuard内置高效的多服务器文件同步机制,它可以将海量的文件/元素可靠和快速地发布到多台网站服务器上,确保多台网站服务器上内容的一致性。
InforGuard的发布功能具备增量同步模式和精确同步模式:
前者用于网站正常运行时持续的发布网页,后者则可以用于诸如增加服务器、网站改版、首次部署等特殊场合。
所有模式都会先进行文件比较后上传,兼顾了效率性和准确性。
五.InforGuardWebShield产品功能
一.9监控与恢复功能
●同时具备实时阻断、事件触发、核心内嵌、防SQL注入四重防护;
●支持实时阻断,预先禁止非法进程对受保护内容的更改;
●支持事件触发,不依赖http请求实时监控、实时恢复受保护内容的非法更改;
●支持核心内嵌,网页文件发送时进行数字指纹验证和文件恢复,确保内容的正确性;
●支持多虚拟主机和多虚拟目录;
●支持所有类型文件的监控;
●具备完善的监控保护策略和恢复策略定制机制;
●支持断线状态下的自动监控与保护;
一.10同步与备份功能
●支持与内容管理系统及各类发布工具的无缝集成;
●具备完善的发布同步功能,支持自动/手动精确同步,支持自动/手动增量同步;
●支持备份文件变更的触发式同步,保证同步实时性和自动化;
●同步服务支持双/多机冗余部署;
●同步服务支持Windows、Linux、Unix等操作系统;
●具备网站备份功能,无须借助其他介质或方式进行;
●支持网页发布的同时进行增量备份,网站备份过程自动化;
一.11报警功能
●报警方式灵活,包括手机短信报警、邮件报警、警示框报警、声音报警等;
●报警内容全面,包括篡改状况、通讯故障、系统故障、操作错误、文件/数据错误;
●支持多样化、多层次的故障视图定制;
●具备完善的报警策略,支持报警级别、报警模式的自定义;
一.12审计功能
●提供全面的信息审计功能,可查看、查询、统计、打印各类信息资源;
●信息全面,包括操作信息、维护信息、篡改信息、系统信息等;
●支持多种条件查询和复合查询,便于用户快速准确的定位信息;
●支持图表、报表方式存放各类信息资源,且报表格式支持自定义;
●支持各类信息图表、报表的定期或自定义时间的邮寄功能;
一.13网站攻击防护功能
●能够防止SQL数据库注入式攻击;
●能够防止跨站脚本漏洞;
●规则库采用正则表达式描述,规则扩展性高;
●允许自定义规则,全面支持网站防护能力的扩展;
●支持恶意http请求的信息记录;
一.14用户管理功能
●用户管理支持权限设置,包括级别设定和资源绑定
●支持多级用户,并限定每级用户的权限范围
●主要功能均可以作为资源与特定用户进行绑定
●支持用户登陆IP限制
●具备详细的用户信息登记
六.InforGuardWebWall功能详解
一.15攻击检测阻断
防止SQL注入
防止XSS跨站
防止系统命令执行
防止暴力猜解数据库
防止危险的头信息
防止构造危险的Cookie
防止网站挂马攻击
支持在线升级防御功能
支持异构WEB/应用服务器并发检测
支持多虚拟主机并发检测
一.16规则定义与扩展
支持通用规则和自定义规则
规则描述采用正则表达式
支持通用规则在线自动升级
支持用户自定义扩展规则
支持用户加载卸载防御功能模块
一.17告警与审计
支持电子邮件、手机短信等多种告警模式
支持多样化、多层次的故障视图定制
告警内容全面,包括可疑扫描、攻击请求、系统故障、操作错误等
灵活完善的告警策略定制机制
告警系统平台无关性,支持所有主流操作系统
支持日志信息的展示、查询、统计、导入导出
支持列表、图表等多种日志展示方式
日志内容全面,包括扫描探测、攻击请求、系统故障、操作错误等
灵活的日志查询设置条件
七.应用领域
InforGuard网页防篡改系统广泛应用于电子政务、电子商务、企业门户网站等各种信息化建设工程中,目前已经在政府、金融、新闻媒体、交通、教育等多个领域成功应用,并形成了系列解决方案。
♦政务网站解决方案:
InforGuard提供安全可靠、易于管理维护的保护措施、对于内外网隔离的网络结构、InforGuard能够提供良好支持。
♦新闻媒体网站解决方案:
该类网站具有信息量大、访问量大、实时自动发布等特殊需求。
InforGuard通过实时同步功能与监控功能的结合,在保证实时、低耗的同时,完成新闻网页的自动发布,从而实现了对CMS应用的集成。
♦金融网站解决方案:
InforGuard支持各种金融网站,彻底杜绝诸如通过篡改主页非法获取用户名密码等恶意攻击。
♦托管机构网站解决方案:
InforGuard支持多主机、多目录集中式管理,从而解决了多网站、多虚拟主机、门户网站的复杂综合应用。
♦企业网站解决方案:
InforGuard能够防止利用篡改网页进行的欺诈活动,保障业务的正常运营,维护企业信誉。
八.客户名单
政府客户
全国人民代表大会
中央党校
国家发改委
国家科技部
中国人民银行
国家工商总局
国家工业和信息化部
国家信息中心
国家国土资源部
国家海事局
国家铁道部
国家计划生育委员会
国务院台湾事务办公室
国家统计局
国家宗教事务局
国家烟草专卖局
中央政府信息公开中心
全国政协
河北省委
山东省政治协商委员会
南通市人民政府
贵州市委党校
福建公安厅
贵州卫生厅
湖南省卫生厅
山东交通厅
贵州省委党校
山东省信息产业厅
南京旅游局
武汉信息产业局
武昌政府网
天门政府网
石家庄发展和改革委员会
福建海事局
蓬莱市政府
威海经济技术开发区
北京市粮食局
淮安地税局
济南市经济贸易委员会
山东省教育厅
山东省建设厅
江西公安厅
沈阳市组织部
济南市信息产业局
北京市统计局
山东省经济贸易委员会
山东省国土资源厅
北京市房山区政府
北京东城区政府
泰安人事局
北京市测绘设计研究院
泰安市信息中心
宁波旅游局
福建省旅游局
安徽省计生委
四川省人民政府政务服务中心
北京工促局
北京朝阳区政府
嘉善县地税局
成都市商务局
北京司法局
北京城乡经济信息中心
陕西省政府门户网站
河南省国税局
重庆市丰都县政府
北京东城区政府
内蒙工商局
河北计生委
重庆市渝中区电子政务外网
重庆地税
云南省财政厅
陕西省公安厅
甘肃省政府
泰安市人民防空办公室
山东质监局
南昌市政府
北京信访办
江苏海门市教育局
上海市质量监局
上海市药监局
上海市黄埔区卫生局
江苏省政协
湖南省政府
南通市经济开发区
南通市规划局
南通市农业局
上海青浦区政府
教育
北京教育考试院
福州大学
宜宾学院
吉首大学
福建医科大学
华东师范大学
闽江学院
复旦大学
吉林省建工装饰学院
九江学院
重庆渝北区教委
山东广播电视大学
电力
国网北京经济技术研究院
华北电网
黑龙江电网
天津电网
福建水口电厂
华东电力
电信与互联网
中国电信
中国移动
新华网
山西移动
网通吉林分公司
网通河北分公司
江西宜春新闻网
中国网络情报中心
上海东方网
宜宾在线
四川省新闻中心
上海电信
金融
中国人民银行
北京中信证券股份有限公司
宁波商业银行
吉林银行
济南商业银行
国家开发银行
广发银行
交通银行总行
中国进出口银行
华商基金
鹏华基金
广西国海证券
中投证券
五矿证券
中信基金
信达澳银基金
融通基金
华鑫证券
东证期货
光大保德信基金
东吴期货
兴业期货
大陆期货
国联期货
东方期货
中欧基金
永安期货
天马期货
国海良时期货
其他典型客户
山东省出版总社
吉林电子商务交易中心
石家庄国家高新技术创业服务中心
重庆煤矿集团
奇瑞汽车有限公司
石家庄出版集团
长沙市自来水公司
上海市新国际博览中心
中国教育电视台
河北广电
福建医科大学协和医院
………………..
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XXX 网站 安全 整体 解决 措施
![提示](https://static.bingdoc.com/images/bang_tan.gif)