【51CTO.com 綜合報道】新疆移動門戶及業務系統網站作為新疆移動對外展示與服務的窗口，代表著新疆移動的企業形象，隨著網絡環境的復雜及新疆移動各網站用戶的持續增長，新疆移動門戶及業務系統網站將會成為新疆具有極大影響力的網站。網站巨大的政治影響和商業利益將會帶來越來越多黑客的注意，被攻擊的可能性和被攻破的可能性大大增加。

新疆移動業務網機房的部分在線業務服務器運行在互聯網開放的網絡環境中，存在著一定的安全隱患。即使現有業務網已部署了防火墻等安全設備，但由于網絡層安全設備的功能局限性，如果攻擊者利用應用層及以上的安全漏洞進行攻擊，各業務系統仍存在著被攻擊或被篡改等安全事件的發生。因此，對門戶及業務系統網站進行安全加固，防患于未然就顯得非常重要。

本次項目針對新疆移動兩個系統：新疆移動彩鈴PORTAL區以及自有業務區進行網頁防篡改防護建設。針對新疆移動門戶網站現狀分析，系統存在一下安全隱患及風險：

攻擊方式分析

隨著Web應用越來越為豐富，Web Server以其強大的計算能力和處理性能逐漸成為攻擊的目標。網頁篡改、敏感信息泄露、拒絕服務、蠕蟲等等直接影響了網站的正常工作。

以常見的Web攻擊為例，共分為兩類：一是利用Web服務器的漏洞進行攻擊，如CGI緩沖區溢出、非法輸入、強制訪問、目錄遍歷漏洞利用等攻擊；二是利用網頁自身的安全漏洞進行攻擊，如SQL注入、跨站腳本攻擊等。這些攻擊基于web應用的安全漏洞，數量多，變化快，防護困難，給用戶造成很大的威脅。

防火墻的局限

絕大多數人在談到網絡安全時，首先會想到“防火墻”。防火墻得到了廣泛的部署，企業一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經無法滿足Web應用防護的需求。防火墻的不足主要體現在： 傳統的防火墻作為訪問控制設備，主要基于IP報文進行檢測。有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應用層防御能力，但局限于最初產品的定位以及對Web應用攻擊的研究深度不夠，只能提供有限的Web應用防護，難以解決當前眾多的Web應用安全問題，如SQL注入、跨站腳本引發的網頁篡改及敏感信息泄露等。

網站脆弱性分析

我們將安全脆弱性分為如下層次進行分析：

物理層次：目前網站主要還是依賴一臺服務器提供服務，且線路也是唯一出口，這存在一定的單點故障。
網絡層次：網絡層面的攻擊主要集中在網絡設備的漏洞方面，對于整個網站所連接的交換路由以及防火墻會存在一定的脆弱性。
系統層次：系統層次上主要是不斷發現的各種安全漏洞，包括本地溢出，遠程溢出等脆弱性問題。由于操作系統都不可避免的存在bug，包括安全方面的bug，因此系統本身的脆弱性是不可能完全避免的，只能在一定時間內減少和降低危害。
應用層次：應用層次的脆弱性最為復雜，包括了常見應用，如WWW服務程序中可能存在的安全漏洞，WEB開發中的安全隱患以及網站管理系統都可能成為被攻擊者所利用。
管理層次：管理層次上面臨的脆弱性主要包括安全制度缺乏，安全制度執與監督不力，沒有統一的安全策略，密碼管理及驗證和機房管理松懈等。

針對新疆移動網頁防篡改系統建設項目的需求，我們采取UnisGurard網頁防篡改系統進行實行防護，從關鍵技術上徹底解決網站安全隱患問題，保證新疆移動門戶網站安全運行。

網頁防篡改系統設計

根據對新疆移動門戶網站的需求分析，系統需在彩鈴Portal及自有業務兩個區域分別部署UnisGurard網頁防篡改保護系統，保證網站內容不會惡意篡改，完善網站安全防護體系。

我們本次方案采用的UnisGurard網頁防篡改產品需為新疆移動門戶網站提供完整保護，采用目前最先進的系統驅動級文件保護技術，基于事件觸發式監測機制，高效實現了網頁監測與實時內容恢復功能，徹底杜絕了網站被非法篡改的可能。其性能、靈活性以及安全性遠遠高于傳統類防護技術，恢復時間達到毫秒級，支持各類網頁格式，占用系統資源極少，低于2%，無需增加額外設備，不改變現有網絡架構。

操作系統類型支持windows/Linux/Unix等。采用基于文件過濾驅動保護技術和事件觸發機制相結合方式。控制臺與客戶端之間的管理方式，分為一對一（即一個控制臺僅可管理一個客戶端）、一對多（即一個控制臺可同時管理多個客戶端）和多對多模式。#p#

產品選型及服務器配置

（1） UnisGuard系統組成

UnisGuard網頁防篡改保護系統由四個關聯使用的子系統構成，分別是：

管理中心（簡稱MC）

監控代理（簡稱WA）

網絡事件監控引擎（簡稱WSP）

文件客戶端（簡稱FC）

系統的總體結構圖如下圖：

 
WA（監控代理）

部署：運行在站點服務器上，一臺web服務器（指物理服務器，非邏輯服務器、虛擬服務器）需要且只需要部署一套WA。WA是一個后臺進程，系統啟動以后自動運行，不需要人為干預。

功能：WA設定的安全保護策略對本服務器上的站點（一個或多個，多個為虛擬站點）及數據庫進行保護，驗證客戶端系統用戶身份的合法性，防止非授權用戶對站點文件、目錄及數據庫進行非法操作和篡改；一旦網頁被篡改，與MC端合作實時恢復被篡改的網頁；系統為所有需保護的網頁計算出具有唯一性的數字水印。公眾每次訪問網頁/主頁時，系統都將訪問網頁與數字水印進行對比計算，一旦發現網頁/主頁被非法修改，則立即進行自動恢復，保證非法網頁/主頁內容不被公眾瀏覽；

WSP(網絡事件監控引擎)

部署：運行在站點服務器上，一臺web服務器（指物理服務器，非邏輯服務器、虛擬服務器）需要且只需要部署一套WSP。

功能：MC同時可以根據設置的關鍵詞對網站訪問者通過HTTP POST提交的信息進行匹配，如果命中關鍵詞，則可進行報警和阻止POST提交，保證非法信息不被發布；

MC（管理中心）

軟件版部署：根據維護工作需要，可運行在任意遠程網站維護終端上。

硬件版部署：B/S架構。

功能：對用戶進行合法身份認證，對服務器端系統進行安全保護策略設定，與服務器端系統執行通訊保護，負責管理監控代理和備份文件，以及監控信息、報警信息的審計、處理等工作。

FC（文件客戶端）

部署：該工具可以在任意一臺windows系統上安裝運行；

功能：主要負責對監控網站進行遠程維護，進行網頁文件的上傳、刪除和修改。

（2）UnisGuard功能介紹

網頁文件保護:服務器端保護系統模塊采用動態訪問控制技術，對網頁文件提供實時、動態保護，未經授權的非法訪問行為一律進行攔截，從而防止非法人員篡改、刪除受保護的文件，確保網頁文件的完整性。具有實時報警和記錄詳細日志等其他功能。支持監控保護動態網頁文件，如符合JSP、ASP、PHP、Servlet 等技術規范的文件。

網絡攻擊防護：系統實現基于內嵌于各種Web服務器中的插件，這些插件可以截獲每個訪問被監控網頁的Http請求，訪問請求進行入侵檢測規則匹配，可以防止SQL注入等常見網頁攻擊。并實時報警、并且記錄詳細日志，在入侵企圖的情況下，將自動通過E-MCil、SMS等多種方式報警，通知網站服務器管理員。

通過中心端進行站點的管理：可以通過中心端直接對各個站點進行運行狀態監控和管理。包括站點的狀態查看，對各個站點進行遠程關閉，禁用和啟用。下發報警和安全保護策略，接收客戶端的報警信息，對控管信息和報警信息進行統計分析。

網站發布：用戶通過MC系統發布頁面將網頁上傳到MC上， MC使用安全散列函數計算出網頁的數字水印，作為網頁篡改鑒別的依據。MC與WA進行相互的身份鑒別，然后MC將用戶上傳的網頁傳到Web服務器上相應的站點目錄中。

網站的備份還原：系統提供了站點數據的備份還原的功能，可對站點目錄文件和數據庫進行完整的備份，必要時可以即時還原，從多層面保障網站數據的安全。

非法網頁內容屏蔽：在網頁因為意外原因被篡改的情況下，系統自動屏蔽“非法網頁”，確保這些非法網頁不被客戶訪問，避免造成不良影響。針對不同種類的Web服務器、同一種Web服務器的不同版本編制不同插件；這個功能對每個訪問被監控網頁的Http請求都要進行校驗。

網站及論壇信息自動收集：對網站服務器上的發布的信息內容包括論壇信息內容進行自動收集，并將其存儲到MC系統數據庫中。

敏感信息自動預警和處置：系統實現基于內嵌于各種Web服務器中的插件，這些插件可以截獲每個post請求，檢測，如果發現這些網頁提交或發貼內容中包含預先設置的敏感關鍵詞，則會對相應的post請求終止處理，避免造成不良影響。

同時UnisGuard還提供實時報警、用戶管理、日志管理等多項功能。

在網站被攻擊的各類情況中，網站頁面被篡改、被掛馬等事件給公司及用戶都帶來不利的影響，影響面廣，用戶感知大，性質惡劣。針對目前新疆移動門戶業務網站的安全現狀，根據總集團信息辦的相關要求及建議，結合相關省份的應用經驗，為有效的保障現有各生產系統的安全，新疆移動部署了目前在其他省份部署比較廣泛的網頁防篡改系統(UnisGuard)作為有效的應用層安全防護體系及有效的防護機制，來保障業務的安全穩定運行。

【編輯推薦】

1. 網頁防篡改技術如何保護網站安全