【51CTO.com 綜合報(bào)道】新疆移動(dòng)門(mén)戶及業(yè)務(wù)系統(tǒng)網(wǎng)站作為新疆移動(dòng)對(duì)外展示與服務(wù)的窗口，代表著新疆移動(dòng)的企業(yè)形象，隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜及新疆移動(dòng)各網(wǎng)站用戶的持續(xù)增長(zhǎng)，新疆移動(dòng)門(mén)戶及業(yè)務(wù)系統(tǒng)網(wǎng)站將會(huì)成為新疆具有極大影響力的網(wǎng)站。網(wǎng)站巨大的政治影響和商業(yè)利益將會(huì)帶來(lái)越來(lái)越多黑客的注意，被攻擊的可能性和被攻破的可能性大大增加。

新疆移動(dòng)業(yè)務(wù)網(wǎng)機(jī)房的部分在線業(yè)務(wù)服務(wù)器運(yùn)行在互聯(lián)網(wǎng)開(kāi)放的網(wǎng)絡(luò)環(huán)境中，存在著一定的安全隱患。即使現(xiàn)有業(yè)務(wù)網(wǎng)已部署了防火墻等安全設(shè)備，但由于網(wǎng)絡(luò)層安全設(shè)備的功能局限性，如果攻擊者利用應(yīng)用層及以上的安全漏洞進(jìn)行攻擊，各業(yè)務(wù)系統(tǒng)仍存在著被攻擊或被篡改等安全事件的發(fā)生。因此，對(duì)門(mén)戶及業(yè)務(wù)系統(tǒng)網(wǎng)站進(jìn)行安全加固，防患于未然就顯得非常重要。

本次項(xiàng)目針對(duì)新疆移動(dòng)兩個(gè)系統(tǒng)：新疆移動(dòng)彩鈴PORTAL區(qū)以及自有業(yè)務(wù)區(qū)進(jìn)行網(wǎng)頁(yè)防篡改防護(hù)建設(shè)。針對(duì)新疆移動(dòng)門(mén)戶網(wǎng)站現(xiàn)狀分析，系統(tǒng)存在一下安全隱患及風(fēng)險(xiǎn)：

攻擊方式分析

隨著Web應(yīng)用越來(lái)越為豐富，Web Server以其強(qiáng)大的計(jì)算能力和處理性能逐漸成為攻擊的目標(biāo)。網(wǎng)頁(yè)篡改、敏感信息泄露、拒絕服務(wù)、蠕蟲(chóng)等等直接影響了網(wǎng)站的正常工作。

以常見(jiàn)的Web攻擊為例，共分為兩類：一是利用Web服務(wù)器的漏洞進(jìn)行攻擊，如CGI緩沖區(qū)溢出、非法輸入、強(qiáng)制訪問(wèn)、目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁(yè)自身的安全漏洞進(jìn)行攻擊，如SQL注入、跨站腳本攻擊等。這些攻擊基于web應(yīng)用的安全漏洞，數(shù)量多，變化快，防護(hù)困難，給用戶造成很大的威脅。

防火墻的局限

絕大多數(shù)人在談到網(wǎng)絡(luò)安全時(shí)，首先會(huì)想到“防火墻”。防火墻得到了廣泛的部署，企業(yè)一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿足Web應(yīng)用防護(hù)的需求。防火墻的不足主要體現(xiàn)在： 傳統(tǒng)的防火墻作為訪問(wèn)控制設(shè)備，主要基于IP報(bào)文進(jìn)行檢測(cè)。有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對(duì)Web應(yīng)用攻擊的研究深度不夠，只能提供有限的Web應(yīng)用防護(hù)，難以解決當(dāng)前眾多的Web應(yīng)用安全問(wèn)題，如SQL注入、跨站腳本引發(fā)的網(wǎng)頁(yè)篡改及敏感信息泄露等。

網(wǎng)站脆弱性分析

我們將安全脆弱性分為如下層次進(jìn)行分析：

物理層次：目前網(wǎng)站主要還是依賴一臺(tái)服務(wù)器提供服務(wù)，且線路也是唯一出口，這存在一定的單點(diǎn)故障。
網(wǎng)絡(luò)層次：網(wǎng)絡(luò)層面的攻擊主要集中在網(wǎng)絡(luò)設(shè)備的漏洞方面，對(duì)于整個(gè)網(wǎng)站所連接的交換路由以及防火墻會(huì)存在一定的脆弱性。
系統(tǒng)層次：系統(tǒng)層次上主要是不斷發(fā)現(xiàn)的各種安全漏洞，包括本地溢出，遠(yuǎn)程溢出等脆弱性問(wèn)題。由于操作系統(tǒng)都不可避免的存在bug，包括安全方面的bug，因此系統(tǒng)本身的脆弱性是不可能完全避免的，只能在一定時(shí)間內(nèi)減少和降低危害。
應(yīng)用層次：應(yīng)用層次的脆弱性最為復(fù)雜，包括了常見(jiàn)應(yīng)用，如WWW服務(wù)程序中可能存在的安全漏洞，WEB開(kāi)發(fā)中的安全隱患以及網(wǎng)站管理系統(tǒng)都可能成為被攻擊者所利用。
管理層次：管理層次上面臨的脆弱性主要包括安全制度缺乏，安全制度執(zhí)與監(jiān)督不力，沒(méi)有統(tǒng)一的安全策略，密碼管理及驗(yàn)證和機(jī)房管理松懈等。

針對(duì)新疆移動(dòng)網(wǎng)頁(yè)防篡改系統(tǒng)建設(shè)項(xiàng)目的需求，我們采取UnisGurard網(wǎng)頁(yè)防篡改系統(tǒng)進(jìn)行實(shí)行防護(hù)，從關(guān)鍵技術(shù)上徹底解決網(wǎng)站安全隱患問(wèn)題，保證新疆移動(dòng)門(mén)戶網(wǎng)站安全運(yùn)行。

網(wǎng)頁(yè)防篡改系統(tǒng)設(shè)計(jì)

根據(jù)對(duì)新疆移動(dòng)門(mén)戶網(wǎng)站的需求分析，系統(tǒng)需在彩鈴Portal及自有業(yè)務(wù)兩個(gè)區(qū)域分別部署UnisGurard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)，保證網(wǎng)站內(nèi)容不會(huì)惡意篡改，完善網(wǎng)站安全防護(hù)體系。

我們本次方案采用的UnisGurard網(wǎng)頁(yè)防篡改產(chǎn)品需為新疆移動(dòng)門(mén)戶網(wǎng)站提供完整保護(hù)，采用目前最先進(jìn)的系統(tǒng)驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)，基于事件觸發(fā)式監(jiān)測(cè)機(jī)制，高效實(shí)現(xiàn)了網(wǎng)頁(yè)監(jiān)測(cè)與實(shí)時(shí)內(nèi)容恢復(fù)功能，徹底杜絕了網(wǎng)站被非法篡改的可能。其性能、靈活性以及安全性遠(yuǎn)遠(yuǎn)高于傳統(tǒng)類防護(hù)技術(shù)，恢復(fù)時(shí)間達(dá)到毫秒級(jí)，支持各類網(wǎng)頁(yè)格式，占用系統(tǒng)資源極少，低于2%，無(wú)需增加額外設(shè)備，不改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)。

操作系統(tǒng)類型支持windows/Linux/Unix等。采用基于文件過(guò)濾驅(qū)動(dòng)保護(hù)技術(shù)和事件觸發(fā)機(jī)制相結(jié)合方式。控制臺(tái)與客戶端之間的管理方式，分為一對(duì)一（即一個(gè)控制臺(tái)僅可管理一個(gè)客戶端）、一對(duì)多（即一個(gè)控制臺(tái)可同時(shí)管理多個(gè)客戶端）和多對(duì)多模式。#p#

產(chǎn)品選型及服務(wù)器配置

（1） UnisGuard系統(tǒng)組成

UnisGuard網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)由四個(gè)關(guān)聯(lián)使用的子系統(tǒng)構(gòu)成，分別是：

管理中心（簡(jiǎn)稱MC）

監(jiān)控代理（簡(jiǎn)稱WA）

網(wǎng)絡(luò)事件監(jiān)控引擎（簡(jiǎn)稱WSP）

文件客戶端（簡(jiǎn)稱FC）

系統(tǒng)的總體結(jié)構(gòu)圖如下圖：

 
WA（監(jiān)控代理）

部署：運(yùn)行在站點(diǎn)服務(wù)器上，一臺(tái)web服務(wù)器（指物理服務(wù)器，非邏輯服務(wù)器、虛擬服務(wù)器）需要且只需要部署一套WA。WA是一個(gè)后臺(tái)進(jìn)程，系統(tǒng)啟動(dòng)以后自動(dòng)運(yùn)行，不需要人為干預(yù)。

功能：WA設(shè)定的安全保護(hù)策略對(duì)本服務(wù)器上的站點(diǎn)（一個(gè)或多個(gè)，多個(gè)為虛擬站點(diǎn)）及數(shù)據(jù)庫(kù)進(jìn)行保護(hù)，驗(yàn)證客戶端系統(tǒng)用戶身份的合法性，防止非授權(quán)用戶對(duì)站點(diǎn)文件、目錄及數(shù)據(jù)庫(kù)進(jìn)行非法操作和篡改；一旦網(wǎng)頁(yè)被篡改，與MC端合作實(shí)時(shí)恢復(fù)被篡改的網(wǎng)頁(yè)；系統(tǒng)為所有需保護(hù)的網(wǎng)頁(yè)計(jì)算出具有唯一性的數(shù)字水印。公眾每次訪問(wèn)網(wǎng)頁(yè)/主頁(yè)時(shí)，系統(tǒng)都將訪問(wèn)網(wǎng)頁(yè)與數(shù)字水印進(jìn)行對(duì)比計(jì)算，一旦發(fā)現(xiàn)網(wǎng)頁(yè)/主頁(yè)被非法修改，則立即進(jìn)行自動(dòng)恢復(fù)，保證非法網(wǎng)頁(yè)/主頁(yè)內(nèi)容不被公眾瀏覽；

WSP(網(wǎng)絡(luò)事件監(jiān)控引擎)

部署：運(yùn)行在站點(diǎn)服務(wù)器上，一臺(tái)web服務(wù)器（指物理服務(wù)器，非邏輯服務(wù)器、虛擬服務(wù)器）需要且只需要部署一套WSP。

功能：MC同時(shí)可以根據(jù)設(shè)置的關(guān)鍵詞對(duì)網(wǎng)站訪問(wèn)者通過(guò)HTTP POST提交的信息進(jìn)行匹配，如果命中關(guān)鍵詞，則可進(jìn)行報(bào)警和阻止POST提交，保證非法信息不被發(fā)布；

MC（管理中心）

軟件版部署：根據(jù)維護(hù)工作需要，可運(yùn)行在任意遠(yuǎn)程網(wǎng)站維護(hù)終端上。

硬件版部署：B/S架構(gòu)。

功能：對(duì)用戶進(jìn)行合法身份認(rèn)證，對(duì)服務(wù)器端系統(tǒng)進(jìn)行安全保護(hù)策略設(shè)定，與服務(wù)器端系統(tǒng)執(zhí)行通訊保護(hù)，負(fù)責(zé)管理監(jiān)控代理和備份文件，以及監(jiān)控信息、報(bào)警信息的審計(jì)、處理等工作。

FC（文件客戶端）

部署：該工具可以在任意一臺(tái)windows系統(tǒng)上安裝運(yùn)行；

功能：主要負(fù)責(zé)對(duì)監(jiān)控網(wǎng)站進(jìn)行遠(yuǎn)程維護(hù)，進(jìn)行網(wǎng)頁(yè)文件的上傳、刪除和修改。

（2）UnisGuard功能介紹

網(wǎng)頁(yè)文件保護(hù):服務(wù)器端保護(hù)系統(tǒng)模塊采用動(dòng)態(tài)訪問(wèn)控制技術(shù)，對(duì)網(wǎng)頁(yè)文件提供實(shí)時(shí)、動(dòng)態(tài)保護(hù)，未經(jīng)授權(quán)的非法訪問(wèn)行為一律進(jìn)行攔截，從而防止非法人員篡改、刪除受保護(hù)的文件，確保網(wǎng)頁(yè)文件的完整性。具有實(shí)時(shí)報(bào)警和記錄詳細(xì)日志等其他功能。支持監(jiān)控保護(hù)動(dòng)態(tài)網(wǎng)頁(yè)文件，如符合JSP、ASP、PHP、Servlet 等技術(shù)規(guī)范的文件。

網(wǎng)絡(luò)攻擊防護(hù)：系統(tǒng)實(shí)現(xiàn)基于內(nèi)嵌于各種Web服務(wù)器中的插件，這些插件可以截獲每個(gè)訪問(wèn)被監(jiān)控網(wǎng)頁(yè)的Http請(qǐng)求，訪問(wèn)請(qǐng)求進(jìn)行入侵檢測(cè)規(guī)則匹配，可以防止SQL注入等常見(jiàn)網(wǎng)頁(yè)攻擊。并實(shí)時(shí)報(bào)警、并且記錄詳細(xì)日志，在入侵企圖的情況下，將自動(dòng)通過(guò)E-MCil、SMS等多種方式報(bào)警，通知網(wǎng)站服務(wù)器管理員。

通過(guò)中心端進(jìn)行站點(diǎn)的管理：可以通過(guò)中心端直接對(duì)各個(gè)站點(diǎn)進(jìn)行運(yùn)行狀態(tài)監(jiān)控和管理。包括站點(diǎn)的狀態(tài)查看，對(duì)各個(gè)站點(diǎn)進(jìn)行遠(yuǎn)程關(guān)閉，禁用和啟用。下發(fā)報(bào)警和安全保護(hù)策略，接收客戶端的報(bào)警信息，對(duì)控管信息和報(bào)警信息進(jìn)行統(tǒng)計(jì)分析。

網(wǎng)站發(fā)布：用戶通過(guò)MC系統(tǒng)發(fā)布頁(yè)面將網(wǎng)頁(yè)上傳到MC上， MC使用安全散列函數(shù)計(jì)算出網(wǎng)頁(yè)的數(shù)字水印，作為網(wǎng)頁(yè)篡改鑒別的依據(jù)。MC與WA進(jìn)行相互的身份鑒別，然后MC將用戶上傳的網(wǎng)頁(yè)傳到Web服務(wù)器上相應(yīng)的站點(diǎn)目錄中。

網(wǎng)站的備份還原：系統(tǒng)提供了站點(diǎn)數(shù)據(jù)的備份還原的功能，可對(duì)站點(diǎn)目錄文件和數(shù)據(jù)庫(kù)進(jìn)行完整的備份，必要時(shí)可以即時(shí)還原，從多層面保障網(wǎng)站數(shù)據(jù)的安全。

非法網(wǎng)頁(yè)內(nèi)容屏蔽：在網(wǎng)頁(yè)因?yàn)橐馔庠虮淮鄹牡那闆r下，系統(tǒng)自動(dòng)屏蔽“非法網(wǎng)頁(yè)”，確保這些非法網(wǎng)頁(yè)不被客戶訪問(wèn)，避免造成不良影響。針對(duì)不同種類的Web服務(wù)器、同一種Web服務(wù)器的不同版本編制不同插件；這個(gè)功能對(duì)每個(gè)訪問(wèn)被監(jiān)控網(wǎng)頁(yè)的Http請(qǐng)求都要進(jìn)行校驗(yàn)。

網(wǎng)站及論壇信息自動(dòng)收集：對(duì)網(wǎng)站服務(wù)器上的發(fā)布的信息內(nèi)容包括論壇信息內(nèi)容進(jìn)行自動(dòng)收集，并將其存儲(chǔ)到MC系統(tǒng)數(shù)據(jù)庫(kù)中。

敏感信息自動(dòng)預(yù)警和處置：系統(tǒng)實(shí)現(xiàn)基于內(nèi)嵌于各種Web服務(wù)器中的插件，這些插件可以截獲每個(gè)post請(qǐng)求，檢測(cè)，如果發(fā)現(xiàn)這些網(wǎng)頁(yè)提交或發(fā)貼內(nèi)容中包含預(yù)先設(shè)置的敏感關(guān)鍵詞，則會(huì)對(duì)相應(yīng)的post請(qǐng)求終止處理，避免造成不良影響。

同時(shí)UnisGuard還提供實(shí)時(shí)報(bào)警、用戶管理、日志管理等多項(xiàng)功能。

在網(wǎng)站被攻擊的各類情況中，網(wǎng)站頁(yè)面被篡改、被掛馬等事件給公司及用戶都帶來(lái)不利的影響，影響面廣，用戶感知大，性質(zhì)惡劣。針對(duì)目前新疆移動(dòng)門(mén)戶業(yè)務(wù)網(wǎng)站的安全現(xiàn)狀，根據(jù)總集團(tuán)信息辦的相關(guān)要求及建議，結(jié)合相關(guān)省份的應(yīng)用經(jīng)驗(yàn)，為有效的保障現(xiàn)有各生產(chǎn)系統(tǒng)的安全，新疆移動(dòng)部署了目前在其他省份部署比較廣泛的網(wǎng)頁(yè)防篡改系統(tǒng)(UnisGuard)作為有效的應(yīng)用層安全防護(hù)體系及有效的防護(hù)機(jī)制，來(lái)保障業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

【編輯推薦】

1. 網(wǎng)頁(yè)防篡改技術(shù)如何保護(hù)網(wǎng)站安全