网页防篡改解决方案- 网络安全与维护- 神刀网
[ At 2010-1-26 By 神刀   ]

 

1.1 什么是iGuard
iGuard页面防篡改系统(以下简称iGuard)是目前国内{wy}能够xx保护网站不发送被篡改的页面内容的Web页面保护软件。iGuard以国家863项目先进技术为基础,使得其性能和安全性大大优于同类产品。iGuard支持网页的自动发布、篡改检测、警告和自动恢复,保证传输、鉴别、审计等各个环节的安全。它支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统,支持IIS、Apache、iPlanet、SunONE、Weblogic、WebSphere等主流的Web服务器软件。
iGuard使用了先进和可靠的Web服务器核心内嵌技术,在部分操作系统上辅助以事件触发式技术,从而xx实时地杜绝篡改后的网页被访问的可能性。(石家庄网络公司)


1.2 iGuard的特点
所有的Web网站都需要进行页面内容的保护,防止非授权人员随意篡改内容,对于一些更新快、容量大、受众多、xx性的网站就更需如此。
外部网站因需要被公众访问而暴露于因特网上,因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。iGuard通过Web服务器核心内嵌技术,使用密码技术,为每个需保护的对象(静态网页、执行脚本、二进制文件)计算出具有{wy}性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比计算;一旦发现网页被非法修改,则立即进行自动恢复,从而彻底地保证了非法网页内容不被公众浏览。另外,它也辅助使用了增强型事件触发式技术,从而能够在部分操作系统上防止常规的篡改行为。
它对于巩固各类网站的安全,特别保证我国电子政务网站和电子媒体网站内容的完整性及尊严,有着不可替代的意义。
1.3 部分用户
iGuard网页防篡改系统自2002年推出以来,已被全国近百家xx网站使用,保护的网页数超过10,000,000个,保护的日访问量超过30,000,000,是目前主流的网页防篡改软件。


1.4 许可证
iGuard 获得国家信息安全测评认证中心的信息安全产品认证(CNISTEC2002TYP164),并获得公安部计算机信息系统安全专用产品销售许可证(XKC30270)。
第2章 系统规格

2.1 产品组成
2.1.1 硬件部署
iGuard部署在两台机器上:Web服务器和发布服务器。
发布服务器:位于内网中,有着较高的安全防护级别,其上运行自动发布程序和管理子系统。
Web服务器:位于公网/DMZ中,容易受到篡改攻击,其上运行防篡改模块和同步服务器程序。

iGuard系统部署

 


图表 1 iGuard硬件部署
为一个已有的Web站点部署iGuard时,Web服务器和内容管理系统(CMS)都沿用原来的机器,而需要在其间增加一台发布服务器。iGuard的自动同步机制xx与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。
发布服务器上具有与Web服务器上的网站文件xx相同的目录结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。
网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,由自动发布子系统将其同步到Web服务器上。无论什么情况下,不允许直接变更Web服务器上的页面文件。
iGuard一般情况下与内容管理系统分开部署,当然它也可以与内容管理系统(CMS)部署在一台机器上,在这种情形下,iGuard还可以提供接口,与内容管理系统(CMS)进行互相的功能调用,以实现整合性更强的功能。

2.1.2 逻辑组成
从逻辑上,iGuard由三个子系统组成,包括:

 

 

图表 2-2 系统部件示意图
1.页面保护子系统
页面保护子系统是系统的核心,内嵌在Web服务器软件里。子系统依据不同的Web服务器使用不同的内嵌技术实现,例如:ISAPI、Apache-Module、NSAPI、JAVA-class等。
页面内容保护子系统对每个发送的网页进行即时的完整性检查:如果网页正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警和恢复。
对于Windows/Linux系统,页面保护子系统还包括一个增强型事件触发式检测模块,该模块驻留于操作系统内核,使得大部分常规篡改手段失效。

2.自动发布子系统
自动发布子系统负责页面的自动发布,由发送端和接收端组成:发送端位于发布服务器上,称之为自动发布程序,它监测到文件系统变化即进行计算该文件水印,并进行SSL发送;接收端位于Web服务器上,称之为同步服务器,它接收到网页和水印后,将网页存放在文件系统中,将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。
3.监控管理子系统

负责篡改后自动恢复,也提供系统管理员的使用界面。其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等
2.2 平台支持
2.2.1 Web服务器端
支持以下操作系统:
Microsoft/Windows NT/2000/XP/2003
Linux
Sun/Solaris
HP/HP-UX
IBM/AIX
支持以下Web服务器:
IIS
Apache
iPlanet
SunONE
Weblogic
WebSphere
resin
tomcat
HP-AS

2.2.2 发布服务器端
需要如下软硬件:
CPU:Intel PIII或以上
内存:256M或以上
硬盘:整个网站容量 + 5G
操作系统:Windows 2000 / Linux / Solari
s
2.3 冗余部署
2.3.1 概况
Web站点运行的稳定性是最关键的。iGuard支持所有部件的多机工作和热备:可以有多台安装了iGuard防篡改模块和同步服务软件的Web服务器,也可以有多台安装了iGuard发布服务软件的发布服务器。它实现了mXn的同步机制(m为发布服务器,n为Web服务器),当m或n的单点失效xx不影响系统的正常运行,且在修复后自动工作。

 

 

 

图表 2-3 冗余部署示意图
2.3.2 多台Web服务器
iGuard发布服务器支持对多台Web服务器的内容同步,严格保证多台Web服务器内容相同。当单台Web服务器失效时,由于Web服务器集群前端通常有负载均衡设备,因此,它并不影响公众访问网站。同时,它的失效也不影响iGuard发布服务器向其他正常工作的Web服务器提供内容同步。在失效期间,iGuard发布服务器会尝试连接这台Web服务器,一旦它修复后重新工作,即可自动进行连接,并自动进行内容同步。
因此,Web服务器的单点失效不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。

2.3.3 多台发布服务器
iGuard支持多台发布服务器集群的冗余工作,这种情形下,内容管理系统(CMS)需要将内容同时发布到多台iGuard服务器上。iGuard发布服务器集群自动选用一台服务器作为主发布服务器,由它对所有Web服务器进行内容同步,集群内其他发布服务器作为热备使用。显然,热备发布服务器失效不影响系统运作,一旦在它修复后可以从主发布服务器恢复数据,进入正常热备状态。主发布服务器如果失效(即不发心跳信号),集群中的另一台发布服务器会接管工作,成为新的主发布服务器;当原有主发布服务器修复后,自动恢复数据,然后作为热备机使用。


原创文章如转载,请注明:转载自
原文地址:

  • 相关文章:
  •   (2010-1-26 19:19:9)

      (2010-1-26 19:17:30)

      (2010-1-26 19:16:13)

      (2010-1-26 18:42:55)

      (2010-1-26 18:42:17)

      (2010-1-26 18:41:5)

      (2010-1-26 18:39:59)

      (2010-1-26 18:37:21)

      (2010-1-26 14:41:40)

      (2010-1-26 14:40:31)

郑重声明:资讯 【网页防篡改解决方案- 网络安全与维护- 神刀网】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——