网站防篡改系统调研
1.InforGuard
产品特点:
四重防护技术
一重防护:实时阻断
实时阻断技术,能够阻断对受保护网页的非法操作,此项技术有效地甄别合法进程和非法进程,
阻断非法进程对网页的篡改,将非法进程直接挡于门外。
二重防护:事件触发
事件触发技术,InforGuard 具备触发式篡改检验引擎,针对受保护网站文件的增删改操作,一触
即发,校验修改的合法性,瞬间清除被非法篡改的网页,实时恢复正确网页。事件触发技术一个最突
出的特点就是确保任何时候网站文件的合法性。
三重防护:核心内嵌
核心内嵌技术, InforGuard 内嵌式篡改检测引擎运行于 Web 服务器内部,与 Web 服务器无缝
结合。 InforGuard 检测每一个 Web 请求访问的页面,进行水印校验,从而能够实时地确保每个对外
发送网页的正确性。
四重防护:服务器联动
服务器联动,是一种紧急情况应急处理机制。当网站受到持续性攻击时,可能会耗费服务器大量
资源。 InforGuard 会自动启动应急处理机制,从根本上阻断来自外部的攻击。
产品功能
作为网页防篡改系统, InforGuard 提供网站监控与恢复、发布与同步、报警、日志、备份、服务器
联动、用户认证、篡改分析和审计等功能,并可以根据用户实际环境灵活构建复杂的网站防护系统。
监控与恢复功能
• 四重防护 ( 实时阻断、事件触发、核心内嵌、服务器联动 )
• 支持所有类型文件的自动监控 / 保护 / 自动恢复
• 预先禁止非法程序对备份目录的添加 / 删除 / 修改 / 更名 / 属性变更等操作
• 预先禁止非法程序对保护目录的添加 / 删除 / 修改 / 更名 / 属性变更等操作
• 对文件保护 / 恢复不依赖网站请求
• 支持断线状态下的自动监控与保护
• 支持网页发送时的水印比较,确保网页的合法性
• 支持多 Web/ 应用服务器的并发验证
日志功能
• 支持日志查询 / 统计 / 保存 / 打印
备份功能
• 支持自动备份
• 支持增量备份
服务器联动功能
• 支持封锁服务端口联动
• 支持断开网络联动
• 支持关闭服务器联动
• 支持停止 Web 服务联动
• 支持自定义联动条件和联动措施
发布与同步功能
• 支持自动 / 手动精确同步
• 支持自动 / 手动增量同步
• 支持集群、多机热备,自动执行多个 Web/ 应用服务器的同步
• 支持多虚拟主机 / 目录的并发同步
• 支持各种发布工具或发布方式
• 支持内容管理系统
• 支持文件 / 目录的增加 / 删除 / 修改 / 重命名
• 支持网络异常的自动恢复
• 支持发布失败的自动重新发布
• 支持 SSL 安全协议进行通信和文件传输,保证通信过程安全性
报警功能
• 支持报警级别设置(级别分为四级:所有 / 失败 / 关键 / 非法)
• 支持声音提示 / 电子邮件 / 手机短信 / 电话铃声报警模式
篡改分析工具
• 能够提供可疑篡改源 IP 列表
• 提供网站所有访问的信息
• 支持可疑请求查询
• 支持黑名单设置
• 支持扩展分析规则
审计功能
• 能够对管理员操作进行跟踪、审计
• 能够对网站维护人员操作进行跟踪、审计
用户认证功能
• 支持网站维护人员操作权限管理
• 支持网站维护人员登陆认证
• 支持私钥的硬件存储
优势
1. 四重防护技术
2. 高效同步技术
3. 安全传输
2.WEB 猫—网页放篡改监控系统
简要描述:
提供实时监控和通知服务,监控对象包含:篡改/删除/覆盖/增加/重命名
环境要求:
Windows XP SP1 或之后版本 + .NET1.1
Windows 2000 SP3 或之后版本 + .NET1.1
Windows Server 2003 全系列(自带.NET1.1) + .NET1.1
Windows XP SP1 或之后版本 + .NET2.0
Windows 2000 SP3 或之后版本 + .NET2.0
Windows Server 2003 全系列 + .NET2.0
主要模块及功能特点:
模块
Windows 双守护进程
工业级无驱短信 modem
独立邮件自动发送引擎
功能特点
保护监控进程不被非授权人员、进程停止、卸载
提供快捷、安全的短信通知,不需要额外安装驱动
由于定义网站改动事件发生,即发送邮件通知,报告详细改动情
况
短信实时收发精灵
实时发送短信通知、收取短信控制码
优势:
1. 短信+独立邮件报警
2. 通过手机远程控制
3. 防止挂载木马
劣势:
1. 仅提供简单的监控及实时通知功能(包含记录日志),依赖管理员进行网站篡改防止和恢复
2. 仅支持 windows 平台
3.iGuard 网页防篡改系统
简要描述:
采用先进的 Web 服务器核心内嵌机制,将篡改检测模块(数字水印技术)和应用防护模块(请
求检测攻击)内嵌于 Web 服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静
态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于 Web 的攻击和
篡改。
运行平台:
系统功能组成:
模块
功能特点
页面保护子系统 系统的核心,内嵌在 Web 服务器软件里(即前述的核心内嵌模块),包含应用防
护模块和篡改检测模块:
A.应用防护模块对每个用户的请求进行安全性检查:如果正常则发送
给 Web 服务器软件;如果发现有攻击特征码,即刻中止此次请求并进行报
警。
B.篡改检测模块对每个发送的网页进行即时的完整性检查:如果网页
正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警
和恢复。
C.对于 Windows 系统和 Linux 系统,页面保护子系统还包括一个增强
型事件触发式检测模块,该模块驻留于操作系统内核,阻止大部分常规篡
自动发布子系统 负责页面的自动发布,由发送端和接收端组成:
改手段。
A.发送端位于发布服务器上,称之为自动发布程序,它监测到文件系
统变化即进行计算该文件水印,并进行 SSL 发送;
B.接收端位于 Web 服务器上,称之为同步服务器,它接收到网页和水
印后,将网页存放在文件系统中,将水印存放在安全数据库里。
C.所有合法网页的增加、修改和删除都通过自动发布子系统进行。
监控管理子系统 负责篡改后自动恢复,也提供系统管理员的使用界面。其功能包括:手工上传、
查看警告、检测系统运行情况、修改配置、查看和处理日志等。
该系统运行依赖于两台服务器: 发布服务器、WEB 服务器。
发布服务器必须部署在安全性较高的内网中,所有的合法操作都必须通过发布服务器,而
WEB 服务器中的所有修改操作都无效。
网站防篡改的核心技术主要有以下三种:
时间轮询
利用一个程序不断遍历要监控的网站,读出页面与后台备份比较,判断其完整性,
并对被篡改页面进行报警和恢复。
优点:实现简单。
缺点:每一次轮询都有时间间隔漏洞,并且要消耗大量的服务器资源。
文件检测
从文件操作的层面检测 WEB 无夫妻的指定目录和页面的操作,当文件内容属性变化
时,检测系统立刻进行授权校验检查,如果非授权,则立刻通过备份恢复。整个检测校
验行为是由事件触发的。
核心内嵌
在 WEB 服务器上嵌入放篡改检测模块,每次外部访问都对要访问的页面进行完整性
检查,如果正常则发送页面,否则提示用户该页面错误。与此同时,服务器会通知后台
管理服务器,请求恢复。
在防止网站攻击和篡改上,总结得出可行的方法有:
1. 对用户请求进行检查,如果带有攻击特征码则对此次请求进行报警。
2. 对每一个发送的网站进行完整性检查,将网站数据 hash 值与备份数据 hash 值比较
是否有被修改。(要保证备份数据 hash 值的安全、正确、完整)
3. 事件触发,一旦受保护网站文件有增删改操作,则立刻触发校验检查修改的合法性,
瞬间清除被非法篡改的网页,从备份数据库实时恢复正确网页。
4. 管理服务器的登入必须进行授权检查,要通过特定的第三方管理软件,验证用户名、
密码(包含授权有效证书),尤其要注意登录和管理过程中信息的安全保密传输。
5. 从管理服务器到网站服务器的信息安全传输,要防止在内外网间传输时受到黑客的
信息截取和篡改。(后两款软件采用 SSL 传输)
参考文献
[1] 湖 南 长 信 畅 中 科 技 有 限 公 司 产 品 - 网 站 防 篡 改 系 统 InforGuard
http://www.changx.com/N_ShowArticle_cp.jsp?id=3285
[2]
网
站
防
篡
改
解
决
方
案
http://tech.sina.com.cn/smb/2008-12-04/1903900174.shtml,2008 年 12 月 04 日
[3] 上 海 天 存 信 息 技 术 有 限 公 司 产 品 -
iGuard 网 页 防 篡 改 系 统
http://www.tcxa.com.cn/iguard_introduce.html