InforGuard网页防篡改系统-技术白皮书.doc

InforGuard网页防篡改系统 技术白皮书 中创软件商用中间件股份有限公司 请不要删除后面的分节符 前言 中创软件商用中间件股份有限公司的网页防篡改系统InforGuard是国内技术最先进、功能最全面、应用最广泛的一款专注于网站信息内容安全，且唯一能够支撑SaaS模式的网页防篡改系统。InforGuard始终坚持以技术创新为导向，以国家863技术成果为基础，以成熟的中间件产品和技术为支撑，历经多年的积累和沉淀，业已成为网站内容安全领域最具技术领导力的产品系列。 本文档适合的对象 本文档适用于希望了解本系统技术指标的相关人员。 文档的组织 本手册第1章首先阐述了当前的网站安全形势，以及针对该形势中创软件商用中间件股份有限公司提出的解决方案。第2章从核心思想、技术框架、组成部署等多个方面对InforGuard进行了简要描述。第3章介绍了InforGuard的主要功能和性能。第4章介绍了InforGuard的显著特点。附录介绍了系统的基本概念、运行环境、符合的规范标准，以及资质、专利情况和公司概况。 公司联系方式 用户可以通过如下的联系方式详细了解该系统： 服务热线：400-618-6180 邮箱：sales@ 传真：0531网址：目录 第1章 网站安全现状及解决方案 1 1.1. 安全现状 1 1.2. 问题分析 1 1.3. 解决方案 2 第2章 系统概述 3 2.1. 基本定位 3 2.2. 核心思想 4 2.3. 技术架构 5 2.3.1. 总体架构 5 2.3.2. 分层模型 6 2.3.3. 软构件框架 6 2.4. 组成部署 7 2.5. 支持环境 8 2.6. 功能简介 8 2.6.1. 防篡改产品WS 8 2.6.2. 监管平台SP 9 第3章 显著特点 10 3.1. 四重保护，纵深防御 10 3.2. 环境普适，全面支持 10 3.3. 分布部署，集中监管 11 附录A 基本概念 12 四重防护 12 核心内嵌 12 事件触发 12 实时阻断 12 防SQL注入 12 正则表达式 12 附录B 运行环境 13 网页防篡改产品WS 13 监管平台SP 13 附录C 规范与标准 14 网络相关协议及标准 14 JEE?相关规范 14 Web Services相关规范 15 XML相关规范 15 附录D 主要资质及专利 16 资质 16 专利 16 附录E 关于中创软件商用中间件股份有限公司 17 图 11 国内网站安全形势 1 图 12 网站安全问题分析 2 图 21 系统基本定位 4 图 22 核心思想 4 图 23 系统总体架构 5 图 24 分层模型 6 图 25 软构件集成框架 7 图 26 系统整体部署示意图 7 图 27 支持的操作系统环境 8 图 28 支持的Web/应用服务器 8 图 41 四重防护示意图 10 图 42 集中管理示意图 11 表 B1 防篡改产品WS运行环境 13 表 B2 监管平台SP运行环境 13 请不要删除后面的分节符 网站安全现状及解决方案 安全现状 随着互联网应用的普及，信息的获取越来越依赖于网络，从而进一步推动了互联网应用和网站建设。但是，随着网站建设的规模化，网站安全问题迅速严峻。根据2008年初国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的统计报告，在目前所有造成严重危害的网络攻击事件中，网页篡改占到总数量的74%。从近几年CNCERT/CC的报告可以看出，随着互联网应用的普及，安全问题日益突出，针对网站的攻击，尤其是网站篡改事件迅猛膨胀，已经成为目前危害最为严重的网络安全问题，这一点从CNCERT/CC年初的报告可以看出，如下图统计数字： 图 11 国内网站安全形势 在这种情况下，为了保障网站安全及互联网信息的正确可信，公安部于2005年12月1号正式颁布了《互联网安全保护技术措施规定》，即公安部第82号令，并要求于2006年3月1号起开始实施。该规定在第九条第三款中明确指出：“开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复”。 问题分析 目前，网站安全建设主要是由防火墙、入侵检测构成的两层防护体系。出现如此严峻的网站安全问题，充分说明了该体系对于网站篡改攻击防范的局限性。国际权威调研机构Gartner的最新调查信息安全攻击有75%都是发生在 Web 应用而非网络层面上Web应用攻击。同时，数据也显示三分之二的 Web 站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。 图 12 网站安全问题分析 从技术角度分析网站安全问题，可以从设计思