1、iGuard 网 页 防 篡 改 系 统第一章 产品概述1.1 什么是 iGuardiGuard 网页防篡改系统(以下简称 iGuard)是目前国内唯一能够完全保护网站不发送被篡改的页面内容的 Web 页面保护软件。iGuard 以国家 863 项目先进技术为基础,使得其性能和安全性大大优于同类产品。iGuard 支持网页的自动发布、篡改检测、警告和自动恢复,保证传输、鉴别、审计等各个环节的安全。它支持 Windows、Linux 和 Solaris、HP-UX、AIX 等多种 Unix 操作系统,支持IIS、Apache、 iPlanet、SunONE、Weblogic、WebSphere
2、等主流的 Web 服务器软件。iGuard 使用了先进和可靠的 Web 服务器核心内嵌技术,在部分操作系统上辅助以事件触发式技术,从而完全实时地杜绝篡改后的网页被访问的可能性。1.2iGuard 的特点所有的 Web 网站都需要进行页面内容的保护,防止非授权人员随意篡改内容,对于一些更新快、容量大、受众多、权威性的网站就更需如此。外部网站因需要被公众访问而暴露于因特网上,因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。iGuard 通过 Web 服务器核心内嵌技术,使用密码技
3、术,为每个需保护的对象(静态网页、执行脚本、二进制文件)计算出具有唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比计算;一旦发现网页被非法修改,则立即进行自动恢复,从而彻底地保证了非法网页内容不被公众浏览。另外,它也辅助使用了增强型事件触发式技术,从而能够在部分操作系统上防止常规的篡改行为。它对于巩固各类网站的安全,特别保证我国电子政务网站和电子媒体网站内容的完整性及尊严,有着不可替代的意义。1.3 部分用户iGuard 网页防篡改系统自 2002 年推出以来,已被全国过家高端网站使用,保护的网页数超过 30,00,000 个,保护的日访问量超过 70,000,000,是目
4、前主流的网页防篡改软件。1.4 许可证iGuard 获得国家信息安全测评认证中心的信息安全产品认证,并获得公安部计算机信息系统安全专用产品销售许可证。第二章 系统规格2.1 产品组成2.1.1 硬件部署iGuard 部署在两台机器上:Web 服务器和发布服务器。 发布服务器:位于内网中,有着较高的安全防护级别,其上运行自动发布程序和管理子系统。 Web 服务器:位于公网/DMZ 中,容易受到篡改攻击,其上运行 防篡改模块和同步服务器程序。图表 0-1 iGuard 硬件部署为一个已有的 Web 站点部署 iGuard 时,Web 服务器和内容管理系统(CMS)都沿用原来的机器,而需要在其间增加
5、一台发布服务器。iGuard 的自动同步机制完全与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。内容管理系统(第三方软件)发布服务器(iGuard 自动同步)Web 服务器(iGuard 篡改检测)发布服务器上具有与 Web 服务器上的网站文件完全相同的目录结构,任何文件 /目录的变化都会自动映射到 Web 服务器的相应位置上。网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP 、NFS 、文件共享等) 。网页变更后,由自动发布子系统将其同步到 Web 服务器上。无论什么情况下
6、,不允许直接变更 Web 服务器上的页面文件。iGuard 一般情况下与内容管理系统分开部署,当然它也可以与内容管理系统部署在一台机器上,在这种情形下,iGuard 还可以提供接口,与内容管理系统进行互相的功能调用,以实现整合性更强的功能。2.1.2 逻辑组成从逻辑上,iGuard 由三个子系统组成,包括:图表 0-2 系统部件示意图1.页面保护子系统页面保护子系统是系统的核心,内嵌在 Web 服务器软件里。子系统依据不同的 Web服务器使用不同的内嵌技术实现,例如:ISAPI、Apache-Module、NSAPI、JAVA-class 等。页面内容保护子系统对每个发送的网页进行即时的完整性
7、检查:如果网页正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警和恢复。对于 Windows/Linux 系统,页面保护子系统还包括一个增强型事件触发式检测模块,该模块驻留于操作系统内核,使得大部分常规篡改手段失效。2.自动发布子系统自动发布子系统负责页面的自动发布,由发送端和接收端组成:发送端位于发布服务器上,称之为自动发布程序,它监测到文件系统变化即进行计算该文件水印,并进行 SSL发送;接收端位于 Web 服务器上,称之为同步服务器,它接收到网页和水印后,将网页存Web 服务器Web 服务器软件(第三方软件)iGuard 页面保护子系统(防篡改模块)iGuard 自动发布子
8、系统(同步服务器)发布服务器iGuard 自动发布子系统(自动发布程序)iGuard 管理子系统网页发布系统(第三方软件)浏览器放在文件系统中,将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。注意:基础版不支持自动发布子系统。3.监控管理子系统负责篡改后自动恢复,也提供系统管理员的使用界面。其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。2.2 平台支持2.2.1 Web 服务器端支持以下操作系统:Microsoft/Windows NT/2000/XP/2003,Linux,Sun/Solaris,HP/HP-UX ,IBM/A
9、IX支持以下 Web 服务器:IIS,Apache, iPlanet,SunONE,Weblogic,WebSphere,resin,tomcat,HP-AS2.2.2 发布服务器端需要如下软硬件: CPU:Intel PIII 或以上 内存:256M 或以上 硬盘:整个网站容量 + 5G 操作系统:Windows 2000 / Linux 2.3 冗余部署2.3.1 概况Web 站点运行的稳定性是最关键的。iGuard 支持所有部件的多机工作和热备:可以有多台安装了 iGuard 防篡改模块和同步服务软件的 Web 服务器,也可以有两台安装了iGuard 发布服务软件的发布服务器。它实现了
10、2Xn 的同步机制(2 为发布服务器,n 为Web 服务器) ,当 2 或 n 的单点失效完全不影响系统的正常运行,且在修复后自动工作。Web 服务器 1Web 服务器 n-1SSL 安全通信iGuard发布服务器( 备)iGuard同步服务器防篡改模块Web 服务器 2Web 服务器 n主备通信CMS内容管理系统Socket/NFSiGuard发布服务器( 主)DMZIntranet图表 0-3 冗余部署示意图2.3.2Web 服务器集群iGuard 发布服务器支持对多台 Web 服务器的内容同步,严格保证多台 Web 服务器内容相同。当单台 Web 服务器失效时,由于 Web 服务器集群前
11、端通常有负载均衡设备,因此,它并不影响公众访问网站。同时,它的失效也不影响 iGuard 发布服务器向其他正常工作的 Web 服务器提供内容同步。在失效期间,iGuard 发布服务器会尝试连接这台 Web 服务器,一旦它修复后重新工作,即可自动进行连接,并自动进行内容同步。因此,Web 服务器的单点失效不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。注意:标准的发布服务器版本已支持 Web 服务器集群。2.3.3 发布服务器 双机iGuard 支持发布服务器双机协同工作,即一台主发布服务器和一台热备发布服务器。在这种部署情形下,内容管理系统(CMS)需要将内容同时发布到两台
12、 iGuard 服务器上。在正常状态下,iGuard 主发布服务器工作,由它对所有 Web 服务器进行内容同步。显然,热备发布服务器失效不影响系统运作,一旦在它修复后可以从主发布服务器恢复数据,进入正常热备状态。主发布服务器如果失效(即不发心跳信号) ,热备发布服务器会接管工作,由它对所有 Web 服务器进行内容同步。当主发布服务器修复后,两机同时工作,经过一段时间的数据交接时间,热备发布服务器重新进入热备状态。因此,iGuard 发布服务器的单点失效也不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。注意:标准的发布服务器版本中不包含此功能,发布服务器双机是独立的扩展模块。
13、第三章 技术实现3.1 核心技术3.1.1 实现原理我们将篡改检测的核心内嵌到 Web 服务器中,仅在网页信息流出 Web 服务器时进行检测,而非采用其他产品通常使用的外挂式的轮询方式或单独采用的事件触发方式,使其运行性能和检测有效性都达到最高的水准。另外,对于大量的针对 Windows/Linux 系统的常规篡改攻击,我们也提供了增强型事件触发检测方式,进一步加强检测和防范的实时性。在具体计算上,我们使用安全散列函数为每个网页产生一个数字水印,此数字水印与网页内容相关联,并且无法伪造。检测时比对数字水印,无须比较整个网页文件,进一步提高了效率。3.1.2 核心优势不同于一些文件轮询扫描式或事
14、件触发式的页面防篡改软件,iGuard 的页面防篡改模块是与 Web 服务器紧密结合的。它在 Web 服务器对外发送网页时进行网页防篡改检测,这样做不仅完全杜绝了在轮询扫描间隔和事件触发处理过程中被篡改内容被用户访问的可能性,也减少了轮询 Web 服务器文件系统所占用的网络带宽和 CPU 利用率。相比起采用外挂轮询和事件触发式技术的同类产品,我们的核心内嵌技术的优势在于:外挂轮询 事件触发 核心内嵌访问被篡改网页 可能 可能 不可能Web 服务器负载 中 低 极低带宽占用 中 无 无检测时间 分钟级 接近实时 实时绕过检测机制 不可能 可能 不可能防范连续篡改攻击 不能 不支持 支持保护所有网
15、页 不能 能 能动态网页脚本 不支持 支持 支持适用操作系统 所有 受限 所有上传时检测 不能 受限 能断线时保护 不能 不能 能表格 1 核心内嵌技术与其他技术比较3.2 双引擎防护如前所述,单独的事件触发式技术是无法对网页篡改做到完全防护的,但是,对于Windows/Linux 系统来说,它也是一种有益的补充检测方式。对于常规黑客攻击手段,事件触发式技术能够及时检测到这种攻击并发出警告。iGuard 使用了增强型事件触发式技术,截获所有写文件调用,对于其中的非法写行为实施了实时阻断,让常规黑客的篡改行为即时落空,同时发出报警。比起一般的“检测-恢复”方式的事件触发式技术,它对于网站保护的有
16、效性有了更大的提高。需要说明的是,由于事件触发式技术没有和 Web 服务器软件绑定,因此,它本身的弱点非常多,只能作为网页防篡改的补充技术,守住 Web 服务最后一道关口的仍是 Web 服务器核心内嵌技术。采用核心内嵌技术后,用户每次访问每个受保护网页时,Web 服务器在发送之前都进行完整性检查,保证网页的真实性。核心内嵌技术可以彻底杜绝篡改后的网页被访问的可能性,全面和实时地保护网站的所有网页文件。注:采用核心内嵌技术的系统,可以直接从 Web 服务器上得到动态网页脚本,不受变化的内容影响,因而能够象静态网页一样保护动态网页脚本3.3 安全技术3.3.1 安全传输合法网页的安全传输是系统安全
17、的一个重要环节,iGuard 使用了高安全强度的工业标准的 SSL 协议,保证了信息传输过程中完整性和私密性,用先进的密码技术防止来自内部和外部的篡改和偷窃。3.3.2 身份鉴别系统各部分通信时需要对实体身份进行鉴别,iGuard 使用 PKI 的数字证书技术,对通信实体的身份提供了高安全强度的鉴别方式。鉴别包括:服务器防篡改模块的真实性、页面自动发布服务器的真实性、系统监管员身份的真实性。3.3.3 自动同步为高效网页的内容扫描、发布和恢复,iGuard 使用了页面自动发布服务器。该服务器采用先进的算法检查本身文件系统的变化,自动将其同步到一台或多台安装了防篡改模块的目标 Web 服务器上,同时也能作为网页恢复时的基准内容,减少人工干预。3.3.4 部署方便由于使用了自动发布服务器,iGuard 可以很好地与已运行网站的原有的网站发布系统协同工作。清晰的系统结构有利于系统的部署、使用和维护,并且用户的原有系统和使用习惯也不必作任何改变。3.3.5 硬件支持为达到高程度的安全,产生网页水印的密钥应该置于硬件中,iGuard 支持 PKCS#11和 CSP 两种接口形式的任何密码设备,从而为提供系统安全强度提供保证。
