网页防篡改项目总体建设方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网页防篡改项目总体建设方案
黑龙江海康软件工程有限公司
2011年11月
目录
一、项目实施方案 (3)
1.1项目信息 (3)
1.1.1建设单位 (3)
1.1.2承建单位 (3)
1.2技术路线 (3)
1.2.1技术指标 (5)
1.2.2保护内容 (6)
1.2.3防护功能 (7)
1.3部署设计 (7)
1.3.1部署拓扑 (8)
1.3.2程序安装步骤 (8)
1.4系统影响 (9)
1.5配合事项 (10)
1.6安装测试 (10)
1.7故障排除及回退 (11)
1.7.1网页无法正常访问 (11)
1.7.2影响应用系统工作 (11)
1.8环境工具材料准备 (12)
1.9项目施工进度计划 (12)
3.10 项目人员安排情况 (13)
二、功能特性 (14)
2.1系统架构 (16)
2.1.1组件功能模块 (17)
2.2技术特性 (18)
2.2.1操作系统文件驱动层防篡改技术 (18)
2.2.2 Web站点安全运行保障 (19)
2.2.3部署结构灵活 (19)
2.2.4实时自动增量发布更新 (19)
2.2.4多种日志告警方式 (19)
2.2.5操作管理安全、方便 (20)
2.2.6网站动态自适应攻击防护 (20)
2.3技术实现 (20)
2.3.1文件防护实现原理 (21)
2.3.2动态防护实现原理 (22)
2.3.3连续篡改攻击防护实现 (23)
2.3.4网站访问保障 (23)
2.3.5自动增量发布更新实现 (24)
2.3.6日志告警实现 (25)
一、项目实施方案
1.1项目信息
黑龙江信息港需重点防护的服务器共27台,分两个机房,其中二枢纽IDC 机房承载25台,湘江路IDC承载2台.
1.1.1建设单位
中国联合网络通信公司黑龙江省分公司
1.1.2承建单位
黑龙江海康软件工程有限公司
1.2技术路线
本次项目采用网页防篡改软件的形式针对网站系统进行安全防护建设,网页防篡改系统的功能框架在逻辑上定义为下图框架。
SQL
注入跨站攻击非法上传
WEB Shell
……
各种攻击
网页篡改防护利用OS 漏洞攻击
图 网页防篡改系统功能框架示意图
其中各个模块的实现的主要功能如下:
(1)检测模块
检测模块主要功能是发现正在进行的网页篡改攻击、越权获取信息企图或者已经成功的网页篡改攻击。网页防篡改系统应用文件保护技术检测正在进行的针对静态网页或者动态网页脚本文件的篡改攻击,应用文件保护技术及会话分析技术检测已经成功的针对静态网页或者动态网页文件的篡改攻击;应用会话分析技术检测正在进行的针对动态网页数据的篡改攻击或者越权获取信息企图。
(2)防护模块
防护模块对检测到的正在进行的网页篡改攻击、越权获取信息企图进行阻断。
(3)自我保护模块
自我保护模块保障网页防篡改系统的安全,避免未经授权的卸载、关停等。
1.2.1技术指标
网页防篡改系统总体指标包括运行环境、用户接口界面、协议指标、功能指标、管理指标、安全性指标等方面:
●运行环境
网页防篡改系统的服务器端能够运行主流的商用平台上,如支持主要的服务器平台及操作系统,如HP-Unix、IBM AIX、Sun Solaris、Windows、Linux 等,可以采用主流数据库存储相关数据如SQL Server、Oracle、Sybase、Informix、DB2。
●可防护各类WEB应用
支持各类WEB服务器,例如IIS、WebLogic、WebSphere、Apache、Tomcat等;支持各类WEB服务器中安装的主流数据库,包括SQL Server、Oracle、Sybase、Informix、DB2、MySQL等;支持各类WEB系统所部署的服务器操作系统及其版本。
●用户接口界面
网页防篡改系统界面友好,易于安装、配置和管理,具有图形化简体中文界面,各类技术文档均具有简体中文版。
●功能指标
网页防篡改系统能够针对篡改网页的主要攻击手段提供有效检测和防护,针对网页内容的完整性进行实时监控,在网页遭到篡改后具备阻断或对网页内容进行及时恢复等功能。
●管理指标
网页防篡改系统具备完整的帐号、认证、权限管理、审计功能,支持图形化
管理界面,支持系统组件的运行状态监控。
●性能指标
网页防篡改系统能够及时监控网页的非法篡改并能够及时进行响应。网页防篡改系统运行时不影响正常的用户访问,对WEB服务器资源占用较小,不对WEB服务器性能产生明显影响。
●安全性与可靠性指标
网页防篡改系统须保证自身安全性。网页防篡改系统须具备较高可靠性,支持冗余部署。
●接口开放性
网页防篡改系统应用的各项技术应保证具有开放性、可扩展性,系统软件和硬件须提供开放的应用接口,能够与其他应用系统进行互通。网页防篡改系统管理和组件间通信基于标准协议,便于系统的管理、集成和扩展。
1.2.2保护内容
网页防篡改系统对用户可访问的网页内容进行保护,确保网页不能被篡改或者在篡改后进行及时恢复,确保用户访问不到篡改后的网页,确保攻击者无法越权获取网页信息。
用户可访问的网页内容指用户可以从互联网公开访问的合法资源,包括静态网页显示的内容、动态网页或数据库等生成的内容。网页防篡改系统保障用户从互联网访问的网页内容的完整性,确保用户访问内容的合法性、保密性。在网页被篡改的情况下,网页防篡改系统也必须能够保证用户访问不到被篡改的网页。网页防篡改系统对用户可访问内容进行保护,包括但不限于下列内容: