基于快照轮询的批量网站网页防篡改系统设计.pptVIP

* * * * * We can divide the traffic into several categories. * We can divide the traffic into several categories. * We can divide the traffic into several categories. * * * * Template created by Giorgio Camilleri, March 2006 Template created by Giorgio Camilleri, March 2006 2010-10 基于快照轮询的批量网站网页防篡改系统设计 Design of batch web sites pages tamper-resistant system based on snapshot polling 阮宏玮,李华,敖腾河,谢辉 目 录 一、问题说明 二、解决方案 三、测试评价 四、结论 五、下一步工作方向 一、问题说明 1.1 背景（1） 校园网发展迅速，多表现为基础建设，软环境相对滞后。 网络服务体系需求迥异，内容繁多。 网络监控服务需求紧、类型杂；自主研发风险大（经费少、投入多、要求高、成品率低、验收维护难），实施采购条件多（需求、品牌、功能、市场、售后、价格 ）。 网络信息安全要求高、投入与控制难度大。其中以网页篡改造成的影响面大。 一、问题说明 1.1 背景（2） 网页防篡改主要在于如何及时监控网页状态、及时修复被篡改网页以及通知管理员，核心是对于网页的监控。采用的技术主要有三种： 外挂轮询 核心内嵌 事件触发 作为产品，不仅要‘监’，还要‘控’（被改了能自动改回），还要‘防’，还能‘售’，所以多集中在单个网站上！ 一、问题说明 1.2 现状（1） 我校各单位网站认识与管理不一，经多年形成下面的现状： 各自设计或采用了平台、架构很不相同的网站或管理信息系统，操作系统与实现方案技术五花八门，涵盖了从早期到现今几乎所有的流行设计。 各自购置价格性能不等的服务器，自负责内容发布；不仅有托管的，也有自维护的。 网络中心提供基础网络连接服务，没有更多的权限或能力管理其他网站。 一、问题说明 1.2 现状（2） 关于网页防篡改的商业解决方案很多（而可实用的开源成熟方案却没有），实施困难（统一领导、资金支持、部门配合、网管支撑），需要长时间磨合论证。 但有一点是肯定的，网管中心责任还要负，工作还要做。 任务：同时监控学校至少数十个部门网站 要求：时间紧、少投入、快见效 希望：省人、省钱、省事、能用 问题：前面介绍的技术，面对的这样的任务和要求，在这样的现状下，力不从心，是不适合实用的。 二、解决方案 2.1 设计前提 各级网管已采取相当措施尽力保护。 网站可能被挂马，但被篡改概率很低，而连续被篡改更是小。 网站首页在各页中权重最高，影响面最大，被篡改可能性最高，其余被篡改的可能性较低。 学校多数网站安全管理级别不高，影响有限。配有专职管理员，且经常被访问，被篡改后很快会发现并更正。 基于以上前提条件，可以设计一个既满足需求又无需大投入的系统以供使用。 二、解决方案 2.2 设计原理 由于我们只关注每个网站的首页，而且各个网站源码并没有实际放置在所控制范围之内，其变更也不受我们控制，原本的外挂轮询代码比对并不合适，而基于web核心内嵌与事件触发方式对于大量且类型众多管理分散的网站并不适合实现与部署，所以，基于并改造外挂轮询技术，可以每次轮询各网站首页并生成快照，生成下一个期间显示上一个结果，全部生成之后轮转显示；间隔周期时间后重复。对于不同级别的网站定义间隔不等的轮询周期。网管人员可以在空闲时段观察一下快照，若发现有某快照大面积异常，则及时做出响应。 二、解决方案 2.3.1 实现方法技术要点 采用B/S架构。由于需要靠人工辨识图片，所以为取得最好的用户感受与视觉效果，达到实用要求，应用了目前所有主流的方式（HTML、.NET、j2ee以及php，这四种结构类似，只是各自具体的捕获快照方法有所不同，其结果质量也有区别，导致应用有差别）分别实现了系统原型。 经综合比对，最终实际应用的是采用php方式（具体技术分析请见论文）。 二、解决方案 2.3.1 实现方法网站列表数据组织（1） 由于不同网站关注级别不等，