门户网站防篡改解决方案.docVIP

门户网站防篡改解决方案 2011年第l3期SCIENCEamp;TECHNOLOGYINFORMATION0IT论坛0科技信|lI 1核心内容 门户网站防篡改解决方案 黄鎏吉 (上海交通大学中国上海200240) 企业的门户网站,是企业向各类客户提供产品资讯,业务介绍,最 新动态,客户服务,公司简介,新闻动态,企业文化等各方面信息的重 要渠道,是客户了解企业各方面信息的重要窗!Zl. 但随着互联网技术的不断发展,各类新型的网络攻击手段也层出 不穷.而企业的门户网站由于直接暴露在互联网之上,在企业向客户 提供通过浏览器访问企业信息功能的同时,企业所面临的风险也在不 断增加,也就成了各类攻击者所攻击的主要对象.如今,以网页篡改和 针对Web应用程序安全漏洞的网络攻击的安全事件正在大幅攀升. 网页篡改事件的危害十分巨大.不仅会影响用户正常获取相关资 讯,若被篡改的内容涉及政治,淫秽色情等方面的内容,还将对企业产 生不可估量的负面影响:另外一些别有用心的人可能会利用对网页进 行语义篡改,散布谣言,引起民众不必要的恐慌和猜疑,这些都会直接 对企业形象造成严重损害. 纵览上海公司各类门户网站,均缺乏对直接篡改静态或动态网页 文件和通过SQL注入,跨站等方式将恶意代码植入后台数据库达到 动态篡改网页或网站挂马等攻击手段的有效防护.容易被不法分子利 用.进行页面篡改以达到传播反动,淫秽色情等内容的目的,影响用户 正常获取企业相关信息,并将对企业形象造成巨大的负面影响.在本 方案中将通过部署相关的安全防护软硬件.从主动和被动防御的角度 保,确保门户网站的安全稳定运行,充分保护门户网站页面免遭篡改． 护企业形象. 2实施论证 门户网站系统通常的网络结构模型如下图所示 一～ 一～ ～ ___一 螺眷喜量黧曩门户誊0雕务 1]户网站一2镍产强避唾 从上图可见.门户网站的安全防护通常依靠门户网站系统对外接 口处部署的防火墙以及核心网络部署的抗DDoS攻击设备进行安全 防护. 但传统防火墙作为访问控制设备,主要工作在OSI模型三,四层, 基于IP报文进行检测.设计之初,它就无需理解Web应用程序语言如 HTML及XML,也无需理解H11P会话.因此.它也不可能对HTML应 用程序用户端的输入进行验证,或是检测到一个已经被恶意修改过参 数的URL请求.恶意的攻击流量将封装为HrITI1P请求,从8O或443端 口顺利通过防火墙检测.所以防火墙对网页篡改,网页挂马,SQL注入, 跨站脚本等这类攻击手段无法采取有效防护.而抗DDoS攻击设备由 于也主要工作在OSI模型三,四层,也无法对应用层攻击进行防护. 攻击者往往通过直接篡改静态或动态网页文件或通过SQL注 入,跨站等方式将恶意代码植入后台数据库达到动态篡改网页或网站 挂马的目的,但由于传统防火墙和抗DDoS攻击设备无法对应用层攻 击进行防护,且Web服务器本身也没有相应的防护手段.容易使攻击 者有可乘之机. 根据上述分析.提出优化及安全加固解决方案如下: (1)将原有分散在各个门户网站系统中的内容发布服务器进行整 合.建设一台门户网站统一内容发布服务器.其上部署网页防篡改的 . 发布模块及监控模块软件． 1)发布模块实时检测需要发布内容的文件目录的变化,有文件删 除,修改,新增,发布模块都会通过SFTP方式同步到同步模块中进行 内容发布: 2)监控模块提供统一监控功能和界面,对各门户网站页面发布情 况以及各Web服务器上部署的同步模块和防篡改模块运行情况进行 集中监控,对发生的篡改事件进行记录和告警显示(并通过E—mail或 短信等方式实时将页面篡改告警发送给相关系统工程师进行进一步 查证和处理). 新建的门户网站系统也可以复用门户网站统一内容发布服务器. 使门户网站的部署和内容发布更加简便.且能做到集中管理,统一发 布和集中监控. (2)在各门户网站的Web服务器上安装部署网页防篡改模块(同 步模块)软件.根据文件的大小,日期,内容以及门户网站的标志等特 征信息生成文件的数字水印,并将数字水印以加密方式保存到数据库 中,用于对指定的网页目录和文件进行实时对比监测.当发现数字水 印产生变化时,则同步模块将会通过SFFP方式,从发布模块抓取原始 文件进行恢复. (3)部署一套Weh应用弱点扫描系统设备.用于对Web网站中所 存在的SQL注入漏洞,跨站脚本漏洞,恶意代码(木马)等进行安全扫 描检测.提供检测报告给系统工程师用于安全加固.该系统可用于门 户网站建设过程中的安全检测,对所有门户网站在割接入网前均需进 行严格的检测.确认不存在现有的安全