【51CTO.com 綜合報道】新疆移動門戶及業(yè)務(wù)系統(tǒng)網(wǎng)站作為新疆移動對外展示與服務(wù)的窗口，代表著新疆移動的企業(yè)形象，隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜及新疆移動各網(wǎng)站用戶的持續(xù)增長，新疆移動門戶及業(yè)務(wù)系統(tǒng)網(wǎng)站將會成為新疆具有極大影響力的網(wǎng)站。網(wǎng)站巨大的政治影響和商業(yè)利益將會帶來越來越多黑客的注意，被攻擊的可能性和被攻破的可能性大大增加。

新疆移動業(yè)務(wù)網(wǎng)機房的部分在線業(yè)務(wù)服務(wù)器運行在互聯(lián)網(wǎng)開放的網(wǎng)絡(luò)環(huán)境中，存在著一定的安全隱患。即使現(xiàn)有業(yè)務(wù)網(wǎng)已部署了防火墻等安全設(shè)備，但由于網(wǎng)絡(luò)層安全設(shè)備的功能局限性，如果攻擊者利用應(yīng)用層及以上的安全漏洞進行攻擊，各業(yè)務(wù)系統(tǒng)仍存在著被攻擊或被篡改等安全事件的發(fā)生。因此，對門戶及業(yè)務(wù)系統(tǒng)網(wǎng)站進行安全加固，防患于未然就顯得非常重要。

本次項目針對新疆移動兩個系統(tǒng)：新疆移動彩鈴PORTAL區(qū)以及自有業(yè)務(wù)區(qū)進行網(wǎng)頁防篡改防護建設(shè)。針對新疆移動門戶網(wǎng)站現(xiàn)狀分析，系統(tǒng)存在一下安全隱患及風(fēng)險：

攻擊方式分析

隨著Web應(yīng)用越來越為豐富，Web Server以其強大的計算能力和處理性能逐漸成為攻擊的目標。網(wǎng)頁篡改、敏感信息泄露、拒絕服務(wù)、蠕蟲等等直接影響了網(wǎng)站的正常工作。

以常見的Web攻擊為例，共分為兩類：一是利用Web服務(wù)器的漏洞進行攻擊，如CGI緩沖區(qū)溢出、非法輸入、強制訪問、目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁自身的安全漏洞進行攻擊，如SQL注入、跨站腳本攻擊等。這些攻擊基于web應(yīng)用的安全漏洞，數(shù)量多，變化快，防護困難，給用戶造成很大的威脅。

防火墻的局限

絕大多數(shù)人在談到網(wǎng)絡(luò)安全時，首先會想到“防火墻”。防火墻得到了廣泛的部署，企業(yè)一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無法滿足Web應(yīng)用防護的需求。防火墻的不足主要體現(xiàn)在： 傳統(tǒng)的防火墻作為訪問控制設(shè)備，主要基于IP報文進行檢測。有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對Web應(yīng)用攻擊的研究深度不夠，只能提供有限的Web應(yīng)用防護，難以解決當(dāng)前眾多的Web應(yīng)用安全問題，如SQL注入、跨站腳本引發(fā)的網(wǎng)頁篡改及敏感信息泄露等。

網(wǎng)站脆弱性分析

我們將安全脆弱性分為如下層次進行分析：

物理層次：目前網(wǎng)站主要還是依賴一臺服務(wù)器提供服務(wù)，且線路也是唯一出口，這存在一定的單點故障。
網(wǎng)絡(luò)層次：網(wǎng)絡(luò)層面的攻擊主要集中在網(wǎng)絡(luò)設(shè)備的漏洞方面，對于整個網(wǎng)站所連接的交換路由以及防火墻會存在一定的脆弱性。
系統(tǒng)層次：系統(tǒng)層次上主要是不斷發(fā)現(xiàn)的各種安全漏洞，包括本地溢出，遠程溢出等脆弱性問題。由于操作系統(tǒng)都不可避免的存在bug，包括安全方面的bug，因此系統(tǒng)本身的脆弱性是不可能完全避免的，只能在一定時間內(nèi)減少和降低危害。
應(yīng)用層次：應(yīng)用層次的脆弱性最為復(fù)雜，包括了常見應(yīng)用，如WWW服務(wù)程序中可能存在的安全漏洞，WEB開發(fā)中的安全隱患以及網(wǎng)站管理系統(tǒng)都可能成為被攻擊者所利用。
管理層次：管理層次上面臨的脆弱性主要包括安全制度缺乏，安全制度執(zhí)與監(jiān)督不力，沒有統(tǒng)一的安全策略，密碼管理及驗證和機房管理松懈等。

針對新疆移動網(wǎng)頁防篡改系統(tǒng)建設(shè)項目的需求，我們采取UnisGurard網(wǎng)頁防篡改系統(tǒng)進行實行防護，從關(guān)鍵技術(shù)上徹底解決網(wǎng)站安全隱患問題，保證新疆移動門戶網(wǎng)站安全運行。

網(wǎng)頁防篡改系統(tǒng)設(shè)計

根據(jù)對新疆移動門戶網(wǎng)站的需求分析，系統(tǒng)需在彩鈴Portal及自有業(yè)務(wù)兩個區(qū)域分別部署UnisGurard網(wǎng)頁防篡改保護系統(tǒng)，保證網(wǎng)站內(nèi)容不會惡意篡改，完善網(wǎng)站安全防護體系。

我們本次方案采用的UnisGurard網(wǎng)頁防篡改產(chǎn)品需為新疆移動門戶網(wǎng)站提供完整保護，采用目前最先進的系統(tǒng)驅(qū)動級文件保護技術(shù)，基于事件觸發(fā)式監(jiān)測機制，高效實現(xiàn)了網(wǎng)頁監(jiān)測與實時內(nèi)容恢復(fù)功能，徹底杜絕了網(wǎng)站被非法篡改的可能。其性能、靈活性以及安全性遠遠高于傳統(tǒng)類防護技術(shù)，恢復(fù)時間達到毫秒級，支持各類網(wǎng)頁格式，占用系統(tǒng)資源極少，低于2%，無需增加額外設(shè)備，不改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)。

操作系統(tǒng)類型支持windows/Linux/Unix等。采用基于文件過濾驅(qū)動保護技術(shù)和事件觸發(fā)機制相結(jié)合方式?？刂婆_與客戶端之間的管理方式，分為一對一（即一個控制臺僅可管理一個客戶端）、一對多（即一個控制臺可同時管理多個客戶端）和多對多模式。#p#

產(chǎn)品選型及服務(wù)器配置

（1） UnisGuard系統(tǒng)組成

UnisGuard網(wǎng)頁防篡改保護系統(tǒng)由四個關(guān)聯(lián)使用的子系統(tǒng)構(gòu)成，分別是：

管理中心（簡稱MC）

監(jiān)控代理（簡稱WA）

網(wǎng)絡(luò)事件監(jiān)控引擎（簡稱WSP）

文件客戶端（簡稱FC）

系統(tǒng)的總體結(jié)構(gòu)圖如下圖：

 
WA（監(jiān)控代理）

部署：運行在站點服務(wù)器上，一臺web服務(wù)器（指物理服務(wù)器，非邏輯服務(wù)器、虛擬服務(wù)器）需要且只需要部署一套WA。WA是一個后臺進程，系統(tǒng)啟動以后自動運行，不需要人為干預(yù)。

功能：WA設(shè)定的安全保護策略對本服務(wù)器上的站點（一個或多個，多個為虛擬站點）及數(shù)據(jù)庫進行保護，驗證客戶端系統(tǒng)用戶身份的合法性，防止非授權(quán)用戶對站點文件、目錄及數(shù)據(jù)庫進行非法操作和篡改；一旦網(wǎng)頁被篡改，與MC端合作實時恢復(fù)被篡改的網(wǎng)頁；系統(tǒng)為所有需保護的網(wǎng)頁計算出具有唯一性的數(shù)字水印。公眾每次訪問網(wǎng)頁/主頁時，系統(tǒng)都將訪問網(wǎng)頁與數(shù)字水印進行對比計算，一旦發(fā)現(xiàn)網(wǎng)頁/主頁被非法修改，則立即進行自動恢復(fù)，保證非法網(wǎng)頁/主頁內(nèi)容不被公眾瀏覽；

WSP(網(wǎng)絡(luò)事件監(jiān)控引擎)

部署：運行在站點服務(wù)器上，一臺web服務(wù)器（指物理服務(wù)器，非邏輯服務(wù)器、虛擬服務(wù)器）需要且只需要部署一套WSP。

功能：MC同時可以根據(jù)設(shè)置的關(guān)鍵詞對網(wǎng)站訪問者通過HTTP POST提交的信息進行匹配，如果命中關(guān)鍵詞，則可進行報警和阻止POST提交，保證非法信息不被發(fā)布；

MC（管理中心）

軟件版部署：根據(jù)維護工作需要，可運行在任意遠程網(wǎng)站維護終端上。

硬件版部署：B/S架構(gòu)。

功能：對用戶進行合法身份認證，對服務(wù)器端系統(tǒng)進行安全保護策略設(shè)定，與服務(wù)器端系統(tǒng)執(zhí)行通訊保護，負責(zé)管理監(jiān)控代理和備份文件，以及監(jiān)控信息、報警信息的審計、處理等工作。

FC（文件客戶端）

部署：該工具可以在任意一臺windows系統(tǒng)上安裝運行；

功能：主要負責(zé)對監(jiān)控網(wǎng)站進行遠程維護，進行網(wǎng)頁文件的上傳、刪除和修改。

（2）UnisGuard功能介紹

網(wǎng)頁文件保護:服務(wù)器端保護系統(tǒng)模塊采用動態(tài)訪問控制技術(shù)，對網(wǎng)頁文件提供實時、動態(tài)保護，未經(jīng)授權(quán)的非法訪問行為一律進行攔截，從而防止非法人員篡改、刪除受保護的文件，確保網(wǎng)頁文件的完整性。具有實時報警和記錄詳細日志等其他功能。支持監(jiān)控保護動態(tài)網(wǎng)頁文件，如符合JSP、ASP、PHP、Servlet 等技術(shù)規(guī)范的文件。

網(wǎng)絡(luò)攻擊防護：系統(tǒng)實現(xiàn)基于內(nèi)嵌于各種Web服務(wù)器中的插件，這些插件可以截獲每個訪問被監(jiān)控網(wǎng)頁的Http請求，訪問請求進行入侵檢測規(guī)則匹配，可以防止SQL注入等常見網(wǎng)頁攻擊。并實時報警、并且記錄詳細日志，在入侵企圖的情況下，將自動通過E-MCil、SMS等多種方式報警，通知網(wǎng)站服務(wù)器管理員。

通過中心端進行站點的管理：可以通過中心端直接對各個站點進行運行狀態(tài)監(jiān)控和管理。包括站點的狀態(tài)查看，對各個站點進行遠程關(guān)閉，禁用和啟用。下發(fā)報警和安全保護策略，接收客戶端的報警信息，對控管信息和報警信息進行統(tǒng)計分析。

網(wǎng)站發(fā)布：用戶通過MC系統(tǒng)發(fā)布頁面將網(wǎng)頁上傳到MC上， MC使用安全散列函數(shù)計算出網(wǎng)頁的數(shù)字水印，作為網(wǎng)頁篡改鑒別的依據(jù)。MC與WA進行相互的身份鑒別，然后MC將用戶上傳的網(wǎng)頁傳到Web服務(wù)器上相應(yīng)的站點目錄中。

網(wǎng)站的備份還原：系統(tǒng)提供了站點數(shù)據(jù)的備份還原的功能，可對站點目錄文件和數(shù)據(jù)庫進行完整的備份，必要時可以即時還原，從多層面保障網(wǎng)站數(shù)據(jù)的安全。

非法網(wǎng)頁內(nèi)容屏蔽：在網(wǎng)頁因為意外原因被篡改的情況下，系統(tǒng)自動屏蔽“非法網(wǎng)頁”，確保這些非法網(wǎng)頁不被客戶訪問，避免造成不良影響。針對不同種類的Web服務(wù)器、同一種Web服務(wù)器的不同版本編制不同插件；這個功能對每個訪問被監(jiān)控網(wǎng)頁的Http請求都要進行校驗。

網(wǎng)站及論壇信息自動收集：對網(wǎng)站服務(wù)器上的發(fā)布的信息內(nèi)容包括論壇信息內(nèi)容進行自動收集，并將其存儲到MC系統(tǒng)數(shù)據(jù)庫中。

敏感信息自動預(yù)警和處置：系統(tǒng)實現(xiàn)基于內(nèi)嵌于各種Web服務(wù)器中的插件，這些插件可以截獲每個post請求，檢測，如果發(fā)現(xiàn)這些網(wǎng)頁提交或發(fā)貼內(nèi)容中包含預(yù)先設(shè)置的敏感關(guān)鍵詞，則會對相應(yīng)的post請求終止處理，避免造成不良影響。

同時UnisGuard還提供實時報警、用戶管理、日志管理等多項功能。

在網(wǎng)站被攻擊的各類情況中，網(wǎng)站頁面被篡改、被掛馬等事件給公司及用戶都帶來不利的影響，影響面廣，用戶感知大，性質(zhì)惡劣。針對目前新疆移動門戶業(yè)務(wù)網(wǎng)站的安全現(xiàn)狀，根據(jù)總集團信息辦的相關(guān)要求及建議，結(jié)合相關(guān)省份的應(yīng)用經(jīng)驗，為有效的保障現(xiàn)有各生產(chǎn)系統(tǒng)的安全，新疆移動部署了目前在其他省份部署比較廣泛的網(wǎng)頁防篡改系統(tǒng)(UnisGuard)作為有效的應(yīng)用層安全防護體系及有效的防護機制，來保障業(yè)務(wù)的安全穩(wěn)定運行。

【編輯推薦】

1. 網(wǎng)頁防篡改技術(shù)如何保護網(wǎng)站安全