来源:中创软件 更新时间:2012-04-15
基于事件触发技术的网页防篡改解决方案。
据国家计算机网络应急技术处理协调中心统计,2004年11月和12月,网页篡改事件排在各类网络安全事件的首位,约占46%。2005年2月以来,政府和企业网站网页被篡改的事件更是频繁发生,严重影响了政府形象和企事业单位正常业务的开展。目前,网页篡改事件的发生数量依然居高不下。
分析网页篡改事件频发的原因,我们发现国内大多数网站还没有采用网页防篡改措施,这使黑客有了可乘之机。人们一直依赖传统的防火墙产品和入侵检测产品构筑的两层安全防护体系来预防网页被篡改。而事实上,无论是防火墙还是入侵检测,其设计在理念上虽然能够预防攻击,但在当今的IT安全领域,每一次安全技术的革新总是以安全漏洞造成的巨大灾难为动力的。因此,以防火墙和入侵检测构筑的两层安全体系,远远无法保证用户网站的真正安全。在这种环境下,网页防篡改产品随之出现,并在网站保护方面起到了主导作用。防篡改系统在其设计理念上既可以与防火墙、入侵检测系统相兼容,共同构筑网站的保护层,也可以独挡一面,确保网站正常运行,不受非法侵害。
当前网络安全产品所采用的技术有三类,主要包括扫描技术、核心内嵌技术以及事件触发技术,其具体的技术以及性能指标如下表所示。InforGuard网页防篡改产品实现方案采用了比扫描技术、核心内嵌技术更为先进的事件触发技术,系统根据所在网络位置和作用分为以下三个子系统。
监控中心MC(Monitor center,以下简称MC):MC作为InforGuard系统中的控制中心,主要负责管理监控代理和备份文件,以及监控信息、报警信息的审计、处理等工作。
监控代理MA(Monitor Agent,以下简称MA):它在InforGuard系统中作为监控引擎,负责监控文件系统的变化、并以此作为事件源进行分析,确定文件变化的合法性。
维护终端MT(Maintenance Terminal,以下简称MT): MT是InforGuard为了方便用户使用而提供的客户端工具,通过它的Windows标准界面,用户可以更加安全、便利地对网站系统进行远程维护。
通常情况下,InforGuard各子系统所在网络位置如下: 用户在需要保护的服务器上安装监控代理MA,在用户网络中安全位置的某设备上安装监控中心MC,而维护终端MT可以安装在用户网络或Internet的任何位置。
1.监控与恢复过程
用户在MC端添加MA之后,首先进行网站备份,将网站服务器需要保护的文件备份到监控中心所在的设备上。备份操作仅在用户最初进行InforGuard配置时用到。此后,用户在MC端对某一MA启动监控,该MA负责监控服务器的文件系统(所有文件类型,包括动态网页文件),分析文件系统变化,确定文件变化的合法性,如果是非法变化,则提交报警信息给监控中心MC,MC会实时以备份的合法文件恢复被非法篡改的文件,这就是监控与恢复的核心过程。
2.网站正常维护过程
部署InforGuard之后的网站维护基本流程如下图所示。InforGuard支持三种方式对网站进行远程维护:
(1) 直接对MC端本地备份目录进行操作。
(2) 通过维护终端MT对网站进行远程更新。采用此方式进行网站远程维护,需要由InforGuard管理人员为用户颁发权限证书,具备强认证功能和加密功能。如果网站维护人员位于局域网之外,例如通过Internet或宽带进行维护,那么需要信息中心开设防火墙相应端口。
(3) 通过用户自己的发布工具,如FTP等,将待更新的文件传至监控中心MC的备份目录中,MC会自动同步更新网站服务器。该方式适用于带自动发布(CMS)的网站系统。
当然,用户可以根据自己的实际需求选择其中一种对网站进行维护,或者几种方式共同使用。无论采用哪一种方式进行网站维护,InforGuard均支持多用户并发操作。
专家点评
优点 中创软件公司以网页防篡改系统建设为主要内容,以信息安全支撑环境为特点,提供了一个面向互联网站的安全解决方案。该方案以网页防篡改系统为主要思路,以网页信息内容监控、监控代理和自动恢复等功能为主要环节,吸收了国际上网站安全的经验,在一定程度上满足了网站建设的实际需求,为网站建设管理者设计安全方案提供了一种解决方案,使网站建设管理者可以增强其网站的安全管理能力,有助于实现系统安全管理的总体目标。
该方案在网页内容监管、监管代理、监控下的自动恢复等集成化的解决方案方面有一定的特色,所选用的产品也具有一定的先进性和成熟度,方案具有可操作性。方案对防网页被篡改产品的需求所做的分析比较明确,反映了对网页防篡改产品需求的迫切性。在技术上采用了较为先进“事件触发”技术,该技术是中创软件中间件公司独立研究的产品。
它是一种主动、实时、高效、低耗的文件系统监控技术,在报警准确性、报警实时性、资源占用等多个关键方面更优于传统的扫描技术、核心内嵌技术,保证了监控软件的实时性能、低耗性能。
不足 该方案的不足主要在于对网站安全解决方案的整体性理解深度尚有欠缺, 希望能够进一步和用户深入沟通,提出更加符合不同层次用户的解决方案。文中提到的系统具备高性能,但却没有对具体的效率和性能做定量的分析。在案例介绍部分,只介绍了系统的部署,并未体现运行的效果。
据国家计算机网络应急技术处理协调中心统计,2004年11月和12月,网页篡改事件排在各类网络安全事件的首位,约占46%。2005年2月以来,政府和企业网站网页被篡改的事件更是频繁发生,严重影响了政府形象和企事业单位正常业务的开展。目前,网页篡改事件的发生数量依然居高不下。
分析网页篡改事件频发的原因,我们发现国内大多数网站还没有采用网页防篡改措施,这使黑客有了可乘之机。人们一直依赖传统的防火墙产品和入侵检测产品构筑的两层安全防护体系来预防网页被篡改。而事实上,无论是防火墙还是入侵检测,其设计在理念上虽然能够预防攻击,但在当今的IT安全领域,每一次安全技术的革新总是以安全漏洞造成的巨大灾难为动力的。因此,以防火墙和入侵检测构筑的两层安全体系,远远无法保证用户网站的真正安全。在这种环境下,网页防篡改产品随之出现,并在网站保护方面起到了主导作用。防篡改系统在其设计理念上既可以与防火墙、入侵检测系统相兼容,共同构筑网站的保护层,也可以独挡一面,确保网站正常运行,不受非法侵害。
当前网络安全产品所采用的技术有三类,主要包括扫描技术、核心内嵌技术以及事件触发技术,其具体的技术以及性能指标如下表所示。InforGuard网页防篡改产品实现方案采用了比扫描技术、核心内嵌技术更为先进的事件触发技术,系统根据所在网络位置和作用分为以下三个子系统。
监控中心MC(Monitor center,以下简称MC):MC作为InforGuard系统中的控制中心,主要负责管理监控代理和备份文件,以及监控信息、报警信息的审计、处理等工作。
监控代理MA(Monitor Agent,以下简称MA):它在InforGuard系统中作为监控引擎,负责监控文件系统的变化、并以此作为事件源进行分析,确定文件变化的合法性。
维护终端MT(Maintenance Terminal,以下简称MT): MT是InforGuard为了方便用户使用而提供的客户端工具,通过它的Windows标准界面,用户可以更加安全、便利地对网站系统进行远程维护。
通常情况下,InforGuard各子系统所在网络位置如下: 用户在需要保护的服务器上安装监控代理MA,在用户网络中安全位置的某设备上安装监控中心MC,而维护终端MT可以安装在用户网络或Internet的任何位置。
1.监控与恢复过程
用户在MC端添加MA之后,首先进行网站备份,将网站服务器需要保护的文件备份到监控中心所在的设备上。备份操作仅在用户最初进行InforGuard配置时用到。此后,用户在MC端对某一MA启动监控,该MA负责监控服务器的文件系统(所有文件类型,包括动态网页文件),分析文件系统变化,确定文件变化的合法性,如果是非法变化,则提交报警信息给监控中心MC,MC会实时以备份的合法文件恢复被非法篡改的文件,这就是监控与恢复的核心过程。
2.网站正常维护过程
部署InforGuard之后的网站维护基本流程如下图所示。InforGuard支持三种方式对网站进行远程维护:
(1) 直接对MC端本地备份目录进行操作。
(2) 通过维护终端MT对网站进行远程更新。采用此方式进行网站远程维护,需要由InforGuard管理人员为用户颁发权限证书,具备强认证功能和加密功能。如果网站维护人员位于局域网之外,例如通过Internet或宽带进行维护,那么需要信息中心开设防火墙相应端口。
(3) 通过用户自己的发布工具,如FTP等,将待更新的文件传至监控中心MC的备份目录中,MC会自动同步更新网站服务器。该方式适用于带自动发布(CMS)的网站系统。
当然,用户可以根据自己的实际需求选择其中一种对网站进行维护,或者几种方式共同使用。无论采用哪一种方式进行网站维护,InforGuard均支持多用户并发操作。
专家点评
优点 中创软件公司以网页防篡改系统建设为主要内容,以信息安全支撑环境为特点,提供了一个面向互联网站的安全解决方案。该方案以网页防篡改系统为主要思路,以网页信息内容监控、监控代理和自动恢复等功能为主要环节,吸收了国际上网站安全的经验,在一定程度上满足了网站建设的实际需求,为网站建设管理者设计安全方案提供了一种解决方案,使网站建设管理者可以增强其网站的安全管理能力,有助于实现系统安全管理的总体目标。
该方案在网页内容监管、监管代理、监控下的自动恢复等集成化的解决方案方面有一定的特色,所选用的产品也具有一定的先进性和成熟度,方案具有可操作性。方案对防网页被篡改产品的需求所做的分析比较明确,反映了对网页防篡改产品需求的迫切性。在技术上采用了较为先进“事件触发”技术,该技术是中创软件中间件公司独立研究的产品。
它是一种主动、实时、高效、低耗的文件系统监控技术,在报警准确性、报警实时性、资源占用等多个关键方面更优于传统的扫描技术、核心内嵌技术,保证了监控软件的实时性能、低耗性能。
不足 该方案的不足主要在于对网站安全解决方案的整体性理解深度尚有欠缺, 希望能够进一步和用户深入沟通,提出更加符合不同层次用户的解决方案。文中提到的系统具备高性能,但却没有对具体的效率和性能做定量的分析。在案例介绍部分,只介绍了系统的部署,并未体现运行的效果。