网页防篡改项目总体建设方案.doc

网页防篡改项目总体建设方案黑龙江海康软件工程有限公司2011年11月目录一、项目实施方案21.1项目信息21.1.1建设单位21.1.2承建单位21.2技术路线21.2.1技术指标41.2.2保护内容51.2.3防护功能61.3部署设计61.3.1部署拓扑71.3.2程序安装步骤71.4系统影响81.5配合事项91.6安装测试91.7故障排除及回退101.7.1网页无法正常访问101.7.2影响应用系统工作101.8环境工具材料准备111.9项目施工进度计划113.10 项目人员安排情况12二、功能特性132.1系统架构152.1.1组件功能模块162.2技术特性172.2.1操作系统文件驱动层防篡改技术172.2.2 Web站点安全运行保障182.2.3部署结构灵活182.2.4实时自动增量发布更新182.2.4多种日志告警方式182.2.5操作管理安全、方便192.2.6网站动态自适应攻击防护192.3技术实现192.3.1文件防护实现原理202.3.2动态防护实现原理212.3.3连续篡改攻击防护实现222.3.4网站访问保障222.3.5自动增量发布更新实现232.3.6日志告警实现24一、项目实施方案1.1项目信息黑龙江信息港需重点防护的服务器共27台，分两个机房,其中二枢纽IDC机房承载25台，湘江路IDC承载2台. 1.1.1建设单位中国联合网络通信公司黑龙江省分公司1.1.2承建单位 黑龙江海康软件工程有限公司1.2技术路线本次项目采用网页防篡改软件的形式针对网站系统进行安全防护建设，网页防篡改系统的功能框架在逻辑上定义为下图框架。图 网页防篡改系统功能框架示意图其中各个模块的实现的主要功能如下：（1）检测模块检测模块主要功能是发现正在进行的网页篡改攻击、越权获取信息企图或者已经成功的网页篡改攻击。网页防篡改系统应用文件保护技术检测正在进行的针对静态网页或者动态网页脚本文件的篡改攻击，应用文件保护技术及会话分析技术检测已经成功的针对静态网页或者动态网页文件的篡改攻击；应用会话分析技术检测正在进行的针对动态网页数据的篡改攻击或者越权获取信息企图。（2）防护模块防护模块对检测到的正在进行的网页篡改攻击、越权获取信息企图进行阻断。（3）自我保护模块自我保护模块保障网页防篡改系统的安全，避免未经授权的卸载、关停等。1.2.1技术指标网页防篡改系统总体指标包括运行环境、用户接口界面、协议指标、功能指标、管理指标、安全性指标等方面：l 运行环境网页防篡改系统的服务器端能够运行主流的商用平台上，如支持主要的服务器平台及操作系统，如HP-Unix、IBM AIX、Sun Solaris、Windows、Linux等，可以采用主流数据库存储相关数据如SQL Server、Oracle、Sybase、Informix、DB2。l 可防护各类WEB应用支持各类WEB服务器，例如IIS、WebLogic、WebSphere、Apache、Tomcat等；支持各类WEB服务器中安装的主流数据库，包括SQL Server、Oracle、Sybase、Informix、DB2、MySQL等；支持各类WEB系统所部署的服务器操作系统及其版本。l 用户接口界面网页防篡改系统界面友好，易于安装、配置和管理，具有图形化简体中文界面，各类技术文档均具有简体中文版。l 功能指标网页防篡改系统能够针对篡改网页的主要攻击手段提供有效检测和防护，针对网页内容的完整性进行实时监控，在网页遭到篡改后具备阻断或对网页内容进行及时恢复等功能。l 管理指标网页防篡改系统具备完整的帐号、认证、权限管理、审计功能，支持图形化管理界面，支持系统组件的运行状态监控。l 性能指标网页防篡改系统能够及时监控网页的非法篡改并能够及时进行响应。网页防篡改系统运行时不影响正常的用户访问，对WEB服务器资源占用较小，不对WEB服务器性能产生明显影响。l 安全性与可靠性指标网页防篡改系统须保证自身安全性。网页防篡改系统须具备较高可靠性，支持冗余部署。l 接口开放性网页防篡改系统应用的各项技术应保证具有开放性、可扩展性，系统软件和硬件须提供开放的应用接口，能够与其他应用系统进行互通。网页防篡改系统管理和组件间通信基于标准协议，便于系统的管理、集成和扩展。1.2.2保护内容网页防篡改系统对用户可访问的网页内容进行保护，确保网页不能被篡改或者在篡改后进行及时恢复，确保用户访问不到篡改后的网页，确保攻击者无法越权获取网页信息。用户可访问的网页内容指用户可以从互联网公开访问的合法资源，包括静态网页显示的内容、动态网页或数据库等生成的内容。网页防篡改系统保障用户从互联网访问的网页内容的完整性，确保用户访问内容的合法性、保密性。在网页被篡改的情况下，网页防篡改系统也必须能够保证用户访问不到被篡改的网页。网页防篡改系统对用户可访问内容进行保护，包括但不限于下列内容： 静态网页 动态网页 声音 视频 图片 允许从互联网访问的其他资源 WEB应用中的用户信息1.2.3防护功能网页防篡改系统能够检测和防护来自Internet以及Intranet的各种形式的网页篡改、挂马、越权获取信息等攻击方式：（1）利用WEB Shell等进行的文件篡改（2）SQL注入（3）跨站攻击（4）网页挂马（5）非法上传（6）利用操作系统漏洞进行的网页篡改的攻击等1.3部署设计本次项目对黑龙江联通网站部署网页防篡改系统，在现网的基础上使用一台管理中心服务器实现集中管理、监测，并在网站WEB服务器上通过部署相应的监控客户端实现防篡改和动态防护功能。1.3.1部署拓扑根据项目需求调研，网页防篡改系统在黑龙江联通平台部署拓扑如下：图 系统部署示意图部署防篡改系统需在黑龙江联通网站部署在二枢纽IDC机房中的25台系统服务器上安装监控客户端，另外需要一台windows服务器安装管理中心,要实现监控端及与管理中心间的通信，进行日志及策略等内容的传输。在湘江路IDC机房的两台服务器中,需要安装2个监控端,可以单独管理中心,也可以把管理中心安装在其中一台WEB服务中.登录管理中心需要使用控制台模块，该模块可安装在管理人员办公主机上，或者移动电脑上,可根据权限进行策略管理。1.3.2程序安装步骤（1）在Web服务器上安装IGuard监控端（IGuard Monitor Client），并针对网站情况设定监控保护路径及排除路径。IGuard监控端主要用来监控Web网页文件，保证网页文件不被篡改。建立网站备份路径，用来对网站系统做发布更新。或者在备份策略中添加针对发布系统的发行，使得原有的发布更新流程不需进行变更。（IGuard防篡改策略下发后，系统的网站原始路径被保护，无法直接在原始网站路径进行网站更新，所有发布更新都必须在备份端完成。）（2）在管理中心服务器安装IGuard管理中心（IGuard Server），管理中心用来管理各客户端，对各客户端下发监控策略，收集各客户端日志信息。（3）在工作人员管理主机上安装管理控制台（IGuard Console），用来登录管理中心，进行策略调整，查阅日志等操作。注：防火墙需要开放对应TCP通信端口。1.4系统影响（1）安装IGuard对服务器现状的影响安装IGuard不会影响网站的正常运行，不需要断开网络，不需要重启服务器，不会对服务器的运行现状产生不良影响。（2）安装完成后系统资源占用情况IGuard网页防篡改系统是基于系统底层来做的，采用事件触发机制，占用系统资源很少，一般正常运行占用系统资源的2%左右。（3）网页发布方式的相应调整部署完网页防篡改后，由于网站原始路径受到保护，默认不能再对该路径进行修改，必须通过备份路径来进行发布更新，备份路径可选择安装在本机其他路径或额外的备份服务器。然后将现有发布系统的发布路径路径改为备份路径。这样，以后网站发布需要首先将网站发布到备份路径，再由网页防篡改系统把新发布的文件由备份路径实时同步到相应的Web服务器的原始路径。当然，也可根据管理方式的不同灵活设定防护策略，可以针对FTP或特定发布系统进行放行，使原发布流程不做任何变更。或者在发布更新时暂停保护，更新完成再开启保护等。1.5配合事项（1）确认网页防篡改所需的管理中心部署服务器；（2）安装时网站系统管理人员到场，并提供需要防护的网站路径和相应服务器的root用户口令； （3）协调网站发布人员，调整网页防篡改发布方式，把原有网站发布路径指向备份路径； （4）部署完成后做发布测试，检测网站能否正常发布； （5）用户访问网站测试，确认网站能够正常提供服务，所有功能正常； （6）打开管理中心服务器的管理端口；（7）打开Web服务器的数据传输端口；1.6安装测试防篡改系统实施完成后可按照如下步骤进行简单测试：（1）检查网站服务器主机是否运行正常。（2）使用网站链接是否可以正常访问网站。（3）对网站进行发布更新操作，检测网站是否正常显示更新。（4）检查防篡改系统控制台（console）是否可以登录管理中心进行相关配置操作，策略下发是否成功，是否有日志显示。1.7故障排除及回退1.7.1网页无法正常访问（1）防篡改策略下发后，被保护的网站目录为只读权限，有部分网站应用在外部用户访问时会在保护目录的某个子目录下面产生一些临时文件，设定防篡改策略后，临时文件无法生成，导致网页访问失败。解决方案：网页防篡改系统有设置许可的功能，可以把在外部访问时会产生临时文件的目录放在防篡改系统的配置项里面，把它设为许可，该目录将具有可写权限，保证网站能够正常访问。（2）防篡改策略下发后，网站目录不可写，网站更新只能在备份端进行，直接在网站目录做网站更新将无法更新，导致发布的更新页面不能访问。解决方案：网页防篡改对网站目录进行保护，被保护的网站目录将不可写，只能通过备份目录来更新网站，需要在网站原始路径与实际发布系统之间增加一个备份路径，在该备份路径上做网站更新，防篡改系统能够把更新的内容实时增量同步到网站原始路径，实现正常的发布更新流程。1.7.2影响应用系统工作IGuard网页防篡改系统工作在系统层，一般不会对Web应用造成影响，如果Web应用出现问题，要在防篡改系统上查找原因，可立即停止防篡改系统保护策略，并联系技术支持人员进行排查。因此，我们建议首先在正式部署防篡改系统前好备份，以便有问题可以及时恢复；部署完系统以后检查应用系统，看是否正常工作；若应用系统出现故障，可以立即停止防篡改系统监控进程，及时排查原因。1.8环境工具材料准备 在项目实施过程中，需要准备一部分工具及附助材料。为此，根据系统内容，以及本工程的进度计划、质量目标，需要制定产品、材料、工具的准备计划。在项目实施开始前一周，海康将跟据工程规模、机房及实施产品的实际情况准备实施相关的辅助材料及工具，保证满足项目实施的工期安排，计划安排应充分考虑设备的生产周期以及运输周期，不得影响工期需求。预计需要采购的材料、工具如下：序号材料、工具名称规格描述1千兆以太网跳线符合1000BASE-T标准2百兆以太网跳线符合100BASE-T标准3网线钳适用压接电话端子之种类(可剥圆孔线)4RJ45/RJ11测线仪采用自动扫描方式，快速测试，流线型外形，符合人体工程学设计。1.9项目施工进度计划本期项目要求按照2011年11月底为项目启动（清单小签）时间点，2011年12月底为设备上线和基本业务开展的时间点进行进度计划安排，因此本期施工进度计划安排按照15个工作日内系统上线进入试运行阶段计算。项目预计自设备供货完毕后（供货周期为5个工作日），15个工作日内完成系统实施进入试运行阶段，具体时间进度安排：序号项目细节5日4日4日4日4日4日N日1设备到货2产品到货验收3系统安装4策略配置5系统独立测试6系统联调7实施文档准备8试运行阶段说明：1：本进度表为项目工期进度表。 2：试运行周期根据工程实施总进度及合同相关规定。3.10 项目人员安排情况海康将针对本项目建立专门的项目管理团队，以全方位与用户实现高速接口，管理组织人员名单如下：序号姓名项目职能所在地职位从业经验（年）1董全宇项目经理哈尔滨分公司经理122李倩项目变更控制及商务审核北京商务经理53杨泽辉产品技术咨询北京技术总监84朱铁男技术顾问及安全顾问北京咨询顾问45梁冬娟文档管理及QA质量审计北京文档工程师36刘媛测试组北京测试工程师3海康作为系统原厂商，在工程实施过程中，将提供及时的技术支持服务，技术支持人员名单如下：序号姓名项目职能所在地职位从业经验（年）1潘志超项目实施工程师哈尔滨工程师32史帅项目实施工程师哈尔滨工程师43杨梦端项目实施工程师哈尔滨工程师34李波远程支持工程师北京工程师25张吉州远程支持工程师北京工程师3二、功能特性 网站因需要被公众访问而暴露于因特网上，因此最容易成为黑客的攻击目标。IGuard 通过操作系统底层驱动技术，对保护的对象（静态网页、动态执行脚本、文件夹）实时监测其属性，一旦发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理客户端，如果发生文件篡改现象，系统也会自动从备份端进行恢复，使用双重机制保证了网页内容的安全。 IGuard网页防篡改保护系统采用基于文件驱动级的保护技术内核事件触发保护机制，确保系统资源不被浪费。不同于其他防篡改软件的Web事件触发机制，IGuard的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术，与操作系统紧密结合。这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多，校验值计算不正确，篡改备份后无法恢复等一系列的风险。系统动态防护模块支持对SQL注入攻击、跨站攻击、溢出代码攻击等构造类网络攻击方式的检测，能够进行有效的阻止与保护。在面对大规模连续的篡改时，IGuard防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为，提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用，极大的降低了应用程序的处理负担，有效的提高了应有工作效率。IGuard系统具备多项核心技术特性，简单归纳如下： 采用先进的操作系统文件驱动及事件触发机制对网站文件部分进行防护，安全、稳定、可靠； 采用核心内嵌技术对网站动态应用及数据库内容进行特征过滤，杜绝篡改； 完全基于内核级事件触发机制，对服务器资源占用极少，效率远高于同类产品； 汲取广大网管员建议，使用集中统一的管理界面，操作简便，大大提高工作人员效率； 对服务器安全性能实时监控，确保服务器安全稳定运行； 对Web服务运行状态进行安全监控，保证Web服务不受异常事件干扰； 不限制网站发布服务器类型，实现高可用性和高扩展性； 支持所有主流操作系统，与Web发布服务类型无关，与CMS系统无缝结合； 支持保护Web服务器配置文件，杜绝网站指向遭到修改；采用标准C/C+语言开发，兼容标准网络协议，提供标准Syslog日志接口，具有良好的可扩展性；2.1系统架构 IGuard系统包含三大部分：监控客户端、管理中心服务器和管理客户端，系统管理采用C/S架构，各部分功能如下：（1）监控客户端（Monitor Client）安装在Web站点服务器上，根据服务器数量购买客户端数量，主要用于监控站点状态，执行管理中心所配置的策略；监控客户端分为文件防护模块及动态防护模块。文件防护模块提供对网站页面脚本等相关文件的防护，动态防护模块提供对网站动态应用及数据库内容的防护。（2）管理中心服务器（Center Server）建议部署在独立pc服务器上，若所管理的web服务器数量较少，也可以同时部署在管理客户端；主要用于用户管理，策略下发，日志监控，以及管理各代理客户端；（3）管理控制台（Console）部署在网站管理人员的网管主机或办公主机之上，主要用于登录管理中心服务器进行配置管理IGuard 中心服务器，提供用户操作界面。图 系统部署示意图系统各组件之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性。2.1.1组件功能模块序号模块/组件名称版本单位功能计价原则1IGuard监控客户端文件防护模块Windows授权 V4.0 每服务器安装授权支持保护一台Windows系统的网站服务器上的网站文件安全 每台Windows服务器需购买一个授权2IGuard监控客户端文件防护模块Linux授权V4.0 每服务器安装授权支持保护一台Linux系统的网站服务器上的网站文件安全 每台Linux服务器需购买一个授权3IGuard监控客户端文件防护模块Unix授权V4.0 每服务器安装授权支持保护一台Unix系统的网站服务器上的网站文件安全 每台Unix服务器需购买一个授权4IGuard监控客户端动态防护模块授权V4.0 每服务器安装授权支持保护一台网站服务器，使网站能够防御SQL注入、XSS跨站等攻击 每台服务器需购买一个授权5IGuard管理中心V4.0 个收集各监控端发回的告警日志，集中配置下发策略，监控Web服务器状态，日志报表审计 每部署一个管理中心需要购买一个6IGuard管理控制台V4.0 个 远程登录管理中心，进行控制操作 免费2.2技术特性2.2.1操作系统文件驱动层防篡改技术 基于内核驱动级文件保护技术，支持各类网页格式及各类动态页面脚本； 内核级事件触发技术，大大减少系统额外开支； 完全防护技术，支持大规模连续篡改攻击防护； 系统后台自动运行，支持断线状态下阻止篡改； 支持单独文件、文件夹及多级文件夹目录内容篡改保护； 2.2.2 Web站点安全运行保障 保护Web服务器的相关重要配置文件不被篡改； 服务器性能监控阀值报警，预知攻击发生； 服务器系统服务运行状态监控，可提供服务异常响应；2.2.3部署结构灵活 支持多站点、跨平台分布式部署，统一集中管理功能； 支持大规模虚拟机、双机热备网站系统部署架构； 支持服务器冗余及负载均衡分布部署，支持web服务器、备份服务器一对多，多对多等各类灵活网站架构； 2.2.4实时自动增量发布更新 安全可靠增量发布 支持网页文件自动增量发布，无需人工干涉； 支持异地文件快速同步功能和断点续传功能，极大的增加网站可维护性； 支持网页自动同步新增、修改、删除、下载等功能； 2.2.4多种日志告警方式 自动检测文件攻击记录，并实时记入日志，支持导出excel报表； 支持服务运行状态记录，并实时记入日志，支持导出excel报表； 支持多种告警方式，控制台告警、日志告警、邮件告警、Syslog日志传输或定制其他告警方式； 自身操作审计日志记录，详细记录操作管理员的操作管理行为；2.2.5操作管理安全、方便 支持多级用户分权管理功能，方便操作； 系统采用C/S管理架构，确保高可靠性； 支持多个策略管理，策略设置支持即时生效，无需重启； 数据传输采用加密传输，安全可靠； 系统全中文界面，操作、配置方便，大大提高工作效率；2.2.6网站动态自适应攻击防护 支持SQL注入、SQL盲注攻击防护； 支持XSS跨站脚本攻击防护； 支持对网站敏感配置文件的访问防护； 支持特殊字符构造的数据提交及URL利用防护； 支持构造危险的Cookie攻击防护； 支持各类攻击的编码变种防护； 支持自定义规则库；2.3技术实现IGuard防篡改系统的防护功能主要由安装在Web服务器上的监控客户端实现，该部分主要分为两大模块：文件防护模块及动态防护模块。文件防护模块负责对网站服务器上的文件内容部分进行防护，而动态防护模块负责对动态应用及数据调用进行防护。图 系统逻辑架构图图 系统工作原理图2.3.1文件防护实现原理对于当代的操作系统来说，所有硬件、软件程序以及操作系统本身对磁盘文件的操作都要通过操作系统的文件驱动部分来进行，也仅有文件驱动层才能最终将要进行的文件操作传达给磁盘存储设备，从而读取或改变其内容。通过嵌入并控制这条唯一的途径，防篡改系统可以捕获所有的磁盘文件操作请求，从而对其进行审计。当文件驱动层接收到一个进行文件操作的请求，如读取、修改、删除等时，就产生一个文件操作事件，该事件将使系统的某些状态发生变化并最终指挥磁盘及其他设备协同完成任务。当操作系统产生一个磁盘文件操作事件时，防篡改系统就能够通过文件驱动层捕获这一事件，通过识别其是否针对被保护路径以及操作是否合法，进行相应的放行或阻止操作。防篡改系统可以根据设定的网站主路径对其下的所有文件及目录进行保护，也可根据设置对其中的部分文件及目录进行保护。当有任何进程（或程序）企图对磁盘上该目录下的被保护文件及目录进行修改、删除或新增等操作时，相应的操作被发送到主机操作系统，而防篡改系统会在这时进行合法性检测。对于合法的操作进行放行，对于非法的操作进行阻止。系统默认针对原始网站路径的任何修改操作均为非法，可根据不同网站管理方式及发布更新方式灵活设定防护策略（根据进程进行放行等）。由于任何对磁盘上文件进行的操作都是经过操作系统来进行的，IGuard防篡改系统利用这一特性在系统文件驱动层对所有针对被保护目录的修改、删除与新增等磁盘操作进行合法性检测，从而达到对网页文件篡改的检测及处理目的。2.3.2动态防护实现原理目前的网站系统普遍使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网站系统一般由网页脚本和内容组成：网页脚本以文件形式存在于Web 服务器上；网页内容则取自于数据库。IGuard防篡改系统的动态防护模块采用核心内嵌技术，与Web服务紧密结合，能够捕获所有的Web连接请求，可以对用户提交的数据内容及访问请求进行合法性检测，支持对 SQL 注入（盲注）攻击、XSS跨站攻击、溢出代码攻击等构造类网络攻击方式的检测，能够进行有效的阻止与保护。动态防护模块内嵌于Web服务，能够对所有用户访问提交数据进行黑名单方式过滤，将包含攻击特征的请求完全阻断，从而实现对数据库及动态应用的保护。以注入攻击为例，由用户提交的包含非法数据库查询、更新、删除语句等特征的攻击请求将被阻止，而正常的查询、更新、删除等操作则不受影响。2.3.3连续篡改攻击防护实现对于大规模连续的篡改，IGuard防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为，提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用，极大的降低了应用程序的处理负担，有效的提高了应有工作效率。而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时，需要每次通过应用层插件计算校验匹配，由于不能阻止篡改发生，这些软件需要不停的重复恢复原始网页内容，极大的占用系统资源和网络资源，并可能造成显示错误页给访问用户。2.3.4网站访问保障IGuard防篡改系统对原有网站的正常浏览访问不造成