资源描述
iGuard网页防篡改系统
第一章 产品概述
1.1什么是iGuard
iGuard网页防篡改系统(以下简称iGuard)是目前国内唯一能够完全保护网站不发送被篡改的页面内容的Web页面保护软件。iGuard以国家863项目先进技术为基础,使得其性能和安全性大大优于同类产品。iGuard支持网页的自动发布、篡改检测、警告和自动恢复,保证传输、鉴别、审计等各个环节的安全。它支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统,支持IIS、Apache、iPlanet、SunONE、Weblogic、WebSphere等主流的Web服务器软件。
iGuard使用了先进和可靠的Web服务器核心内嵌技术,在部分操作系统上辅助以事件触发式技术,从而完全实时地杜绝篡改后的网页被访问的可能性。
1.2iGuard的特点
所有的Web网站都需要进行页面内容的保护,防止非授权人员随意篡改内容,对于一些更新快、容量大、受众多、权威性的网站就更需如此。
外部网站因需要被公众访问而暴露于因特网上,因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。iGuard通过Web服务器核心内嵌技术,使用密码技术,为每个需保护的对象(静态网页、执行脚本、二进制文件)计算出具有唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比计算;一旦发现网页被非法修改,则立即进行自动恢复,从而彻底地保证了非法网页内容不被公众浏览。另外,它也辅助使用了增强型事件触发式技术,从而能够在部分操作系统上防止常规的篡改行为。
它对于巩固各类网站的安全,特别保证我国电子政务网站和电子媒体网站内容的完整性及尊严,有着不可替代的意义。
1.3部分用户
iGuard网页防篡改系统自2002年推出以来,已被全国过家高端网站使用,保护的网页数超过30,00,000个,保护的日访问量超过70,000,000,是目前主流的网页防篡改软件。
1.4 许可证
iGuard 获得国家信息安全测评认证中心的信息安全产品认证,并获得公安部计算机信息系统安全专用产品销售许可证。
第二章 系统规格
2.1产品组成
2.1.1硬件部署
iGuard部署在两台机器上:Web服务器和发布服务器。
n 发布服务器:位于内网中,有着较高的安全防护级别,其上运行自动发布程序和管理子系统。
n Web服务器:位于公网/DMZ中,容易受到篡改攻击,其上运行防篡改模块和同步服务器程序。
内容管理系统
(第三方软件)
发布服务器
(iGuard自动同步)
Web服务器
(iGuard篡改检测)
图表 0�1 iGuard硬件部署
为一个已有的Web站点部署iGuard时,Web服务器和内容管理系统(CMS)都沿用原来的机器,而需要在其间增加一台发布服务器。iGuard的自动同步机制完全与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。
发布服务器上具有与Web服务器上的网站文件完全相同的目录结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。
网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,由自动发布子系统将其同步到Web服务器上。无论什么情况下,不允许直接变更Web服务器上的页面文件。
iGuard一般情况下与内容管理系统分开部署,当然它也可以与内容管理系统部署在一台机器上,在这种情形下,iGuard还可以提供接口,与内容管理系统进行互相的功能调用,以实现整合性更强的功能。
2.1.2逻辑组成
从逻辑上,iGuard由三个子系统组成,包括:Web服务器
Web服务器软件
(第三方软件)
iGuard页面保护子系统
(防篡改模块)
iGuard自动发布子系统
(同步服务器)
发布服务器
iGuard自动发布子系统
(自动发布程序)
iGuard管理子系统
网页发布系统
(第三方软件)
浏览器
图表 0�2 系统部件示意图
1.页面保护子系统
页面保护子系统是系统的核心,内嵌在Web服务器软件里。子系统依据不同的Web服务器使用不同的内嵌技术实现,例如:ISAPI、Apache-Module、NSAPI、JAVA-class等。
页面内容保护子系统对每个发送的网页进行即时的完整性检查:如果网页正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警和恢复。
对于Windows/Linux系统,页面保护子系统还包括一个增强型事件触发式检测模块,该模块驻留于操作系统内核,使得大部分常规篡改手段失效。
2.自动发布子系统
自动发布子系统负责页面的自动发布,由发送端和接收端组成:发送端位于发布服务器上,称之为自动发布程序,它监测到文件系统变化即进行计算该文件水印,并进行SSL发送;接收端位于Web服务器上,称之为同步服务器,它接收到网页和水印后,将网页存放在文件系统中,将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。
注意:基础版不支持自动发布子系统。
3.监控管理子系统
负责篡改后自动恢复,也提供系统管理员的使用界面。其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。
2.2平台支持
2.2.1 Web服务器端
支持以下操作系统:Microsoft/Windows NT/2000/XP/2003,Linux,Sun/Solaris,HP/HP-UX,IBM/AIX
支持以下Web服务器:IIS,Apache,iPlanet,SunONE,Weblogic,WebSphere,resin,tomcat,HP-AS
2.2.2 发布服务器端
需要如下软硬件:
n CPU:Intel PIII或以上
n 内存:256M或以上
n 硬盘:整个网站容量 + 5G
n 操作系统:Windows 2000 / Linux
2.3 冗余部署
2.3.1概况
Web站点运行的稳定性是最关键的。iGuard支持所有部件的多机工作和热备:可以有多台安装了iGuard防篡改模块和同步服务软件的Web服务器,也可以有两台安装了iGuard发布服务软件的发布服务器。它实现了2Xn的同步机制(2为发布服务器,n为Web服务器),当2或n的单点失效完全不影响系统的正常运行,且在修复后自动工作。
Web服务器1
Web服务器n-1
SSL安全通信
iGuard
发布服务器(备)
iGuard
同步服务器
防篡改模块
Web服务器2
Web服务器n
……
主备通信
CMS
内容管理系统
Socket/NFS
iGuard
发布服务器(主)
DMZ
Intranet
图表 0�3 冗余部署示意图
2.3.2Web服务器集群
iGuard发布服务器支持对多台Web服务器的内容同步,严格保证多台Web服务器内容相同。当单台Web服务器失效时,由于Web服务器集群前端通常有负载均衡设备,因此,它并不影响公众访问网站。同时,它的失效也不影响iGuard发布服务器向其他正常工作的Web服务器提供内容同步。在失效期间,iGuard发布服务器会尝试连接这台Web服务器,一旦它修复后重新工作,即可自动进行连接,并自动进行内容同步。
因此,Web服务器的单点失效不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。
注意:标准的发布服务器版本已支持Web服务器集群。
2.3.3发布服务器双机
iGuard支持发布服务器双机协同工作,即一台主发布服务器和一台热备发布服务器。在这种部署情形下,内容管理系统(CMS)需要将内容同时发布到两台iGuard服务器上。在正常状态下,iGuard主发布服务器工作,由它对所有Web服务器进行内容同步。显然,热备发布服务器失效不影响系统运作,一旦在它修复后可以从主发布服务器恢复数据,进入正常热备状态。主发布服务器如果失效(即不发心跳信号),热备发布服务器会接管工作,由它对所有Web服务器进行内容同步。当主发布服务器修复后,两机同时工作,经过一段时间的数据交接时间,热备发布服务器重新进入热备状态。
因此,iGuard发布服务器的单点失效也不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。
注意:标准的发布服务器版本中不包含此功能,发布服务器双机是独立的扩展模块。
第三章 技术实现
3.1核心技术
3.1.1实现原理
我们将篡改检测的核心内嵌到Web服务器中,仅在网页信息流出Web服务器时进行检测,而非采用其他产品通常使用的外挂式的轮询方式或单独采用的事件触发方式,使其运行性能和检测有效性都达到最高的水准。
另外,对于大量的针对Windows/Linux系统的常规篡改攻击,我们也提供了增强型事件触发检测方式,进一步加强检测和防范的实时性。
在具体计算上,我们使用安全散列函数为每个网页产生一个数字水印,此数字水印与网页内容相关联,并且无法伪造。检测时比对数字水印,无须比较整个网页文件,进一步提高了效率。
3.1.2核心优势
不同于一些文件轮询扫描式或事件触发式的页面防篡改软件,iGuard的页面防篡改模块是与Web服务器紧密结合的。它在Web服务器对外发送网页时进行网页防篡改检测,这样做不仅完全杜绝了在轮询扫描间隔和事件触发处理过程中被篡改内容被用户访问的可能性,也减少了轮询Web服务器文件系统所占用的网络带宽和CPU利用率。
相比起采用外挂轮询和事件触发式技术的同类产品,我们的核心内嵌技术的优势在于:
外挂轮询
事件触发
核心内嵌
访问被篡改网页
可能
可能
不可能
Web服务器负载
中
低
极低
带宽占用
中
无
无
检测时间
分钟级
接近实时
实时
绕过检测机制
不可能
可能
不可能
防范连续篡改攻击
不能
不支持
支持
保护所有网页
不能
能
能
动态网页脚本
不支持
支持
支持
适用操作系统
所有
受限
所有
上传时检测
不能
受限
能
断线时保护
不能
不能
能
表格 1 核心内嵌技术与其他技术比较
3.2双引擎防护
如前所述,单独的事件触发式技术是无法对网页篡改做到完全防护的,但是,对于Windows/Linux系统来说,它也是一种有益的补充检测方式。对于常规黑客攻击手段,事件触发式技术能够及时检测到这种攻击并发出警告。
iGuard使用了增强型事件触发式技术,截获所有写文件调用,对于其中的非法写行为实施了实时阻断,让常规黑客的篡改行为即时落空,同时发出报警。比起一般的“检测-恢复”方式的事件触发式技术,它对于网站保护的有效性有了更大的提高。
需要说明的是,由于事件触发式技术没有和Web服务器软件绑定,因此,它本身的弱点非常多,只能作为网页防篡改的补充技术,守住Web服务最后一道关口的仍是Web服务器核心内嵌技术。
采用核心内嵌技术后,用户每次访问每个受保护网页时,Web服务器在发送之前都进行完整性检查,保证网页的真实性。核心内嵌技术可以彻底杜绝篡改后的网页被访问的可能性,全面和实时地保护网站的所有网页文件。
注:采用核心内嵌技术的系统,可以直接从Web服务器上得到动态网页脚本,不受变化的内容影响,因而能够象静态网页一样保护动态网页脚本
3.3安全技术
3.3.1安全传输
合法网页的安全传输是系统安全的一个重要环节,iGuard使用了高安全强度的工业标准的SSL协议,保证了信息传输过程中完整性和私密性,用先进的密码技术防止来自内部和外部的篡改和偷窃。
3.3.2身份鉴别
系统各部分通信时需要对实体身份进行鉴别,iGuard使用PKI的数字证书技术,对通信实体的身份提供了高安全强度的鉴别方式。鉴别包括:服务器防篡改模块的真实性、页面自动发布服务器的真实性、系统监管员身份的真实性。
3.3.3自动同步
为高效网页的内容扫描、发布和恢复,iGuard使用了页面自动发布服务器。该服务器采用先进的算法检查本身文件系统的变化,自动将其同步到一台或多台安装了防篡改模块的目标Web服务器上,同时也能作为网页恢复时的基准内容,减少人工干预。
3.3.4部署方便
由于使用了自动发布服务器,iGuard可以很好地与已运行网站的原有的网站发布系统协同工作。清晰的系统结构有利于系统的部署、使用和维护,并且用户的原有系统和使用习惯也不必作任何改变。
3.3.5硬件支持
为达到高程度的安全,产生网页水印的密钥应该置于硬件中,iGuard支持PKCS#11和CSP两种接口形式的任何密码设备,从而为提供系统安全强度提供保证。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
