第1章 电信SOC网站安全需求概要
1.1. 背景
随着互联网的发展,网站攻击事件日益猖獗,根据CNCERT(国家计算机网络应急技术处理协调中心)的统计,在所有网站攻击事件中,网站篡改所占比例尤为突出,高达74%,从近两年的数据来看,我国每天被篡改的网站超过150个。根据CNCERT最新统计,2008年1至7月份平均每月遭到篡改的网站数量高达5859个,其中3月份更是高达9055个。网站篡改带来的不仅仅是经济上、业务上的损失,还严重损害政府、企业的形象和声誉。
图示 1 CNCERT国内网站严重危害事件分类统计
图示 2 CNCERT国内遭篡改网站最新统计
为此,国家有关部门对网站安全,尤其是网站篡改问题高度关注。在这种背景下,公安部于2006年3月正式颁布82号,其中明确规定:“开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复”。
电信运营商作为国内最大的网站运维管理单位,承担着越来越巨大的责任与压力,尤其是网站的安全保障方面。面对如此严峻的网站安全形势,运营商越来越迫切的需要通过技术平台的支撑来解决网站安全问题,在这样一种大环境下,针对电信运营商的特点,中创软件提出了具有行业领导性的解决方案——电信SOC网站安全监测与防护系统,该方案以中创软件自主知识产权的网页防篡改产品InforGuard V5为支撑,提供了一个完整的针对电信级网站运维的安全监管平台。
1.2. 系统建设目标
维护电信所负责各类网站的信息安全,保障其网站内容的完整性和正确性。
以此为目标,根据电信目前的网站运维及管理特点,逐步规划和建设覆盖全省/国的互联网网站安全监测与防护系统,建立集中式网站安全监测与防护平台,为各级管理机构加强网站安全管理,应对安全事件提供有效的工具支持,为网站篡改事故的发现、报警、恢复、分析等管理工作提供依据和支持。
1.3. 总体描述
1.3.1. 基本功能需求
根据目前电信的实际业务需求,该系统应支持如下两种模式的网站安全监测与防护,如图所示:
图示 3 电信网站安全运营需求示意图
1. 支持电信IDC目前所管理各类网站的安全监测与防护。
1) 网站受保护信息的备份数据保存在电信数据中心;
2) 网站的正常更新维护仍旧由网站所有者进行,但是文件发布由过去直接发布到网站空间改为发布到备份空间;
3) 网站的监控、报警等配置管理工作由运营方统一负责,策略内容由网站所有者提供;
4) 系统可以将需要保护的大量网站按照合理的分组原则进行分组管理,每组网站的数据备份和系统管理归属特定中心(初级中心)负责;
5) 系统提供分级管理能力,安全运营中心可以借助该系统提供的一级中心对下属中心进行部分管理功能;
6) 系统提供信息逐级呈报能力,安全运营中心可以借助该系统提供的一级中心对所有下属中心的管理信息,网站的报警、维护信息等内容进行审计。
2. 支持托管网站的安全监测与防护。
1) 网站受保护信息的备份数据保存在网站所有者局域网;
2) 网站的正常更新维护由网站所有者进行,但是文件发布由过去直接发布到网站空间改为发布到备份空间;
3) 网站的监控、报警等日常管理工作由网站所有者自己负责或委托运营方代管;
4) 该类用户的管理中心属于初级中心,系统应为运营商提供对该用户的网站保护能力进行基本的控制管理能力。
1.3.2. 性能需求概要
1. 良好的安全性,能够确保受保护网站的文件安全。
2. 良好的稳定性,能够对受保护网站提供7*24监控及发布服务。
3. 良好的实时性,能够对受保护网站的监控、报警及发布提供较好实时性能。
1.3.3. 其他方面
1. 系统具备良好的兼容性。
1) 能够支持各种主流操作系统平台,包括Windows、Linux、Unix;
2) 能够支持各种主流Web/应用服务器软件;
3) 能够支持多种网站维护方式,如CMS、Ftp等。
2. 系统具有良好的可扩展性。
1) 能够方便地增加、删除下级中心;
2) 能够方便地增加、删除受保护网站;
3) 能够方便快捷地扩展报警服务平台。
3. 系统具备较高的易用性。
1) 安装、部署、调试简便;
2) 支持互联网方式(B/S)管理;
3) 管理过程多采用向导方式。
4. 系统具备较高的灵活性。
1) 监控、报警、同步策略灵活;
2) 异构环境下灵活配置。
第2章 总体规划
2.1. 行业特点分析
1. 电信运营商管理的网站呈现了分布部署的局面,即网站部署在跨互联网的多个网络节点上,各网站的发布更新服务也呈现分布部署的状况。针对这样一个特点,平台的监控点和备份点需要相应地部署在跨互联网的多个网络节点上。但是,为了便于运维管理,降低管理成本,因此平台的管理是需要统一的。
2. 电信运营商维护着大量的网站设备,且有可能分布在多个分中心或IDC机房。出于运维效率的考虑,往往需要对各分中心、各IDC机房进行统一的管理。
概括来讲,其主要特点是网站部署上呈现分布式,但是其管理上呈现集中的特点。
2.2. 系统方案
对应电信运营商的网站安全运营需求,中创软件网页防篡改系统InforGuard V5作为其运营平台的部署示意图如下:
图示 5 电信网站安全运营InforGuard部署示意图
在电信安全运营中心部署TMC(InforGuard管理总中心),负责管理所有下属分中心(初级中心),初级中心首先包括电信数据中心部署的一至多个MC(InforGuard管理中心),此外,还可以包括分布在互联网上的其他单位的MC。每个MC负责管理同一局域网内部的若干个MA(InforGuard监控代理)和BS(InforGuard备份服务)。MA安装部署在网站服务器上,负责网站文件的实时监控保护,BS部署在同一网络内的其他设备,负责文件同步与自动恢复。
第3章 中创软件网页防篡改系统简介
3.1. 产品概述
InforGuard网页防篡改系统是目前国内技术最先进,功能最全面,服务最专业,应用最广泛的一款网页防篡改产品。我们坚持以技术创新、持续发展、规范服务为宗旨,不断满足用户需求。
该产品以国家863技术成果为基础,以成熟的中间件产品和技术为支撑,为用户提供了强大的网站保护与维护功能,以及告警、审计等全面服务。
InforGuard网页防篡改系统历经多年积累和沉淀,已在政府、军事、电力、金融、教育、新闻媒体、企业等诸多行业拥有了大量的成功案例,截至2008年1月累积保护网页文件数量约1,260,000,000。
最新推出的InforGuard V5版本采用先进的Web2.0技术,实现了支持多级分布部署和B/S管理方式,从而极大地提高了产品的应用领域和范围,满足了用户需求。
3.2. 功能简介
该系统覆盖了此类产品的所有基本功能和高级功能,总结分类包括监控与恢复、备份与同步、报警、审计、防sql注入、自身安全等六大方面,如下图所示。此外,InforGuard V5版本还针对电信运营商的需求增加了多级统一管理、用户授权管理、B/S模式远程管理、自动报表等多个功能。
图示 6 InforGuard主要功能分类
3.3. 体系架构
3.3.1. 设计理念
本产品在遵循国际标准协议或规范的基础上,以成熟稳定的理念和架构为支撑,将涉及的各种关键技术有机的融合,产品的设计思路如下图所示:
图示 7 系统总体设计思路
InforGuard遵循TCP/IP标准网络协议,从而为实现跨异构网络创建了一个坚实的基础,同时,本产品还遵循X.509规范,这是实现安全的加密传输以及认证的核心;此外,产品在WEB嵌入式开发中遵循Servlet2.4规范,基于此规范,产品屏蔽了各种应用服务器的差异性,实现了Servlet过滤器的统一。
InforGuard在设计中充分体现了软总线、软构件的理念。产品在网络交互方面采用了消息总线的设计思路,从而屏蔽复杂的网络环境和交互过程,为上层业务实现了无网络差异的软总线。产品根据软件分层原则将复杂业务处理划分为多个相对独立的逻辑层,每一层又由一个或多个相对独立的模块/组件构成,从而提高了产品的可复用程度和可维护性,充分体现了软构件设计理念;此外,产品对于众多模块或组件采用插件化管理方式,由统一的框架实现具体功能模块/组件的组装调配,这样的设计方式提高了产品在应对需求变更时的可扩展能力。
3.3.2. 总体架构
InforGuard采用先进的分层模型,在设计中将系统根据业界规范划分为服务层、业务层和展示层。其中服务层之基础服务层由中创软件自主研发的国内领先的中间件产品构成。合理的分层结构保证了系统的高可维护性,坚实的基础服务也造就了产品卓越的稳定性和可靠性。
图示 8 InforGuard分层模型
InforGuard采用先进的软构件技术框架【专利技术——构件协同引擎,专利号200810014286.3】,系统以背板模型作为构件基础框架,主要业务功能均以构件形态存在,并运行于框架之中。此架构体系支持“即插即用”的方式实现业务功能的灵活剪裁和扩展,从而为系统的可持续发展打下了坚实的基础。
图示 9 InforGuard基础框架
3.4. 显著特点
3.4.1. 四重保护,纵深防御
实时阻断:阻断所有非法进程对受保护文件的写操作,将篡改直接拒之于门外。【专利技术——基于Windows系统文件过滤驱动的文件保护技术,专利号200810014285.9】
事件触发:实时发现受保护文件的任何变更,并依据判断结果触发相应的后续保护性处理。
核心内嵌:依据数字指纹技术,验证所有对外发布文件的合法性,确保无法浏览到被篡改网页。【专利技术——基于WebFilter的内容过滤机制,专利号200810014284.4】
防SQL注入:屏蔽网站恶意扫描,有效地抵御针对网站数据库资源的注入式攻击。
图示 10 InforGuard独有的四重防护机制
3.4.2. 环境普适,全面支持
随着网站应用的深入,基于安全性、稳定性等方面的考虑,越来越多的高端网站在保留原有windows环境的基础上,新系统逐步向linux/unix平台迁移。因此,很多网站目前往往同时具备了windows、linux、unix等多种平台环境,除此之外,采用的web/应用服务器软件、发布软件更是种类繁多。在这种情况下,防篡改产品的环境兼容性就显得格外重要,InforGuard网页防篡改系统是目前国内同类产品中支持环境最全面、兼容性最完善的一款产品。
w 支持所有主流操作系统,包括windows、linux、unix等;
w 支持所有主流的web/应用服务器软件,包括IIS、Apache、IBM Http Server、iPlanet、WebSphere、WebLogic、SunOne、Oracle IAS 、Resin、Tomcat、JBoss、InforSuite AS、TongWeb、Apasic等。
w 支持诸多厂商的CMS发布系统,如TRS、方正翔宇、TurboCMS、PowerEasy CMS、大汉、南华中天、网达、颖源、ActiveContent、新锐开元KYCMS、风讯、FesendCMS、GPowerCMS、天创等。
3.4.3. 技术领先,品质保障
1. 资质
国家公安部计算机信息系统安全产品质量监督检验中心检验。
国家公安部计算机信息系统安全专用产品销售许可证。
国家保密局涉密信息系统产品检测证书。
国家保密局涉及国家秘密的计算机信息系统集成甲级资质。
国防科学技术工业委员会武器装备科研生产许可证。
2. 荣誉
在首届“中国信息安全产业界双十评选”中,中创软件商用中间件股份有限公司被信息安全与通信保密杂志社、国家信息安全评测认证中心评为“产品创新企业”。
Infor系列中间件被中国软件行业协会评为“中国软件最具应用价值的软件产品奖”。
InforGuard被中国计算机学会计算机安全专业委员会、中国计算机报社评为唯一“2005年度中国信息安全值得信赖网页防篡改产品品牌”。
InforGuard被计算机世界评为“最值得信赖的网页防篡改品牌”。
3.5. 应用情况
InforGuard网页防篡改系统经过五年的不断升级完善,从最初的1.0版本发展到如今的5.0版本,已经广泛应用于电子政务、电子商务、企业门户网站等各种信息化建设项目中。
w 超过300个成功案例
w 覆盖全国29个省、市、自治区
w 拥有20余家国家级、部委级用户
w 涉及政府、军事、电信、金融、新闻媒体、公共事业等十几个领域和行业
120
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
