天融信網(wǎng)頁(yè)防篡改系統(tǒng)助力電信IDC機(jī)房安全建設(shè)
EP電力信息化網(wǎng)記者李東波報(bào)道:網(wǎng)頁(yè)防篡改是IDC安全建設(shè)中的重要一環(huán)
隨著大數(shù)據(jù)時(shí)代的來(lái)臨,IDC機(jī)房建設(shè)不斷升級(jí),IDC安全已成為各大電信運(yùn)營(yíng)商競(jìng)爭(zhēng)和關(guān)注的焦點(diǎn)。特別是隨著企業(yè)信息化程度的提高,其自身的數(shù)據(jù)安全和信息網(wǎng)絡(luò)安全也越來(lái)越被關(guān)注。
近幾年,IDC機(jī)房在信息安全方面采取了一系列安全措施,初步實(shí)現(xiàn)了對(duì)部分關(guān)鍵業(yè)務(wù)系統(tǒng)的基本保護(hù),并降低了病毒和黑客等攻擊源對(duì)系統(tǒng)安全性造成破壞的可能性。但由于IDC機(jī)房網(wǎng)絡(luò)信息系統(tǒng)結(jié)構(gòu)的復(fù)雜性和龐大性,而且各種應(yīng)用系統(tǒng)的建設(shè)受到當(dāng)時(shí)條件的限制缺乏統(tǒng)一的遠(yuǎn)景規(guī)劃,導(dǎo)致在網(wǎng)絡(luò)信息系統(tǒng)管理和技術(shù)上還遺留了很多安全問(wèn)題和隱患,使得Web應(yīng)用系統(tǒng)仍然存在很多來(lái)自外部或內(nèi)部引起的安全風(fēng)險(xiǎn)。
目前在國(guó)內(nèi),針對(duì)Web應(yīng)用的攻擊問(wèn)題相當(dāng)嚴(yán)重,網(wǎng)頁(yè)遭受非法篡改的事件時(shí)有發(fā)生。托管到IDC機(jī)房的用戶網(wǎng)站,一旦某些重要網(wǎng)頁(yè)被篡改后被公眾瀏覽到,將會(huì)對(duì)客戶單位及IDC機(jī)房的形象造成巨大的負(fù)面影響。為了保證現(xiàn)有業(yè)務(wù)系統(tǒng)安全,必須對(duì)現(xiàn)有的IDC機(jī)房的Web網(wǎng)站進(jìn)行專業(yè)有效的安全防護(hù),能夠有效防止黑客對(duì)網(wǎng)站頁(yè)面的篡改攻擊,保障客戶網(wǎng)站安全。
特殊環(huán)境決定IDC機(jī)房網(wǎng)頁(yè)防篡改建設(shè)原則
考慮到IDC機(jī)房的特殊性,IDC機(jī)房的用戶數(shù)量龐大,網(wǎng)站應(yīng)用所使用的OS平臺(tái)、Web服務(wù)器種類、后臺(tái)發(fā)布系統(tǒng)、后臺(tái)數(shù)據(jù)庫(kù)等種類繁多,技術(shù)水平參差不齊。要對(duì)整個(gè)機(jī)房的所有Web網(wǎng)站系統(tǒng)進(jìn)行統(tǒng)一的防篡改建設(shè),首要考慮的因素是可實(shí)施性;針對(duì)不同的Web網(wǎng)站系統(tǒng),能夠簡(jiǎn)單有效的實(shí)現(xiàn)網(wǎng)頁(yè)防篡改目的,達(dá)到用戶實(shí)際需求。另外,還需遵循以下原則:
方案先進(jìn)原則:系統(tǒng)要求功能完善、技術(shù)先進(jìn)、安全可靠、服務(wù)領(lǐng)先;
系統(tǒng)安全原則:系統(tǒng)自身安全包括物理安全、系統(tǒng)安全、數(shù)據(jù)安全和運(yùn)行安全等;
可擴(kuò)展原則:統(tǒng)一規(guī)劃,兼顧長(zhǎng)遠(yuǎn),既要滿足現(xiàn)有的需求,又要兼顧系統(tǒng)的可擴(kuò)展性,保證分布實(shí)施的延續(xù)性。系統(tǒng)在結(jié)構(gòu)、規(guī)模、應(yīng)用能力等各個(gè)方面都必須具備很強(qiáng)的擴(kuò)展能力;
易操作原則:網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)的使用、維護(hù)、管理等方面要易操作;
高效原則:系統(tǒng)的處理能力要求能滿足現(xiàn)階段的實(shí)際需求,保證系統(tǒng)的高效運(yùn)行,并能根據(jù)系統(tǒng)的發(fā)展進(jìn)行不斷提升;
功能完整原則:網(wǎng)頁(yè)防篡改保護(hù)系統(tǒng)的功能完整,應(yīng)用安全擴(kuò)展系統(tǒng)功能完整;
靈活性原則:整個(gè)系統(tǒng)的擴(kuò)展方面必須滿足靈活性要求。
天融信推出IDC機(jī)房網(wǎng)頁(yè)防篡改方案
結(jié)合上述分析,天融信公司應(yīng)用安全團(tuán)隊(duì)通過(guò)對(duì)網(wǎng)站安全多年的研究經(jīng)驗(yàn),針對(duì)Web應(yīng)用安全提出了全新的安全防護(hù)方式,采用天融信網(wǎng)頁(yè)防篡改系統(tǒng)對(duì)IDC機(jī)房的網(wǎng)站系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃建設(shè),達(dá)到IDC機(jī)房的防篡改保護(hù)要求。天融信網(wǎng)頁(yè)防篡改系統(tǒng)采用當(dāng)前最先進(jìn)的系統(tǒng)底層文件驅(qū)動(dòng)技術(shù),通過(guò)驅(qū)動(dòng)層面的訪問(wèn)控制手段,實(shí)現(xiàn)對(duì)網(wǎng)站頁(yè)面的全面保護(hù),直接阻止非法用戶對(duì)網(wǎng)站頁(yè)面的篡改行為,真正意義上做到了事前防篡改。
由于IDC機(jī)房的特殊性,采用當(dāng)前市面上傳統(tǒng)的防篡改產(chǎn)品,使用傳統(tǒng)的部署模式無(wú)法滿足IDC機(jī)房的技術(shù)要求;當(dāng)前傳統(tǒng)的防篡改系統(tǒng)都是采用分布式部署,集中管理模式部署,在部署防篡改的時(shí)候,需要對(duì)原網(wǎng)站系統(tǒng)進(jìn)行完全備份,用于后期網(wǎng)站更新發(fā)布及篡改恢復(fù)。但此類防篡改系統(tǒng)針對(duì)IDC機(jī)房的龐大用戶群體,根本無(wú)法有效推廣,具體來(lái)看,存在以下問(wèn)題:
1) 傳統(tǒng)防篡改系統(tǒng)部署模式需要對(duì)原網(wǎng)站進(jìn)行備份,IDC如此龐大的網(wǎng)站數(shù)量,備份網(wǎng)站需要極大的磁盤空間,需要耗費(fèi)極大的資源。
2) 傳統(tǒng)防篡改系統(tǒng)采用集中管控方式,數(shù)以萬(wàn)計(jì)的防篡改客戶端集中于一個(gè)管理平臺(tái),對(duì)軟件的可靠性及可用性提出了嚴(yán)峻的考驗(yàn),環(huán)境過(guò)于復(fù)雜后,可能根本無(wú)法實(shí)現(xiàn)。
3) 傳統(tǒng)防篡改部署后,網(wǎng)站發(fā)布需要在防篡改指定的備份目錄進(jìn)行發(fā)布,發(fā)布后由防篡改系統(tǒng)把數(shù)據(jù)信息同步到對(duì)應(yīng)的Web目錄,IDC機(jī)房的客戶都是遠(yuǎn)程維護(hù)信息,如果采用此模式,所有用戶發(fā)布都必須經(jīng)過(guò)防篡改備份端,必須考慮防篡改備份服務(wù)器的安全性、可靠性及對(duì)應(yīng)服務(wù)器的性能。如此多的用戶使用同一臺(tái)或幾臺(tái)備份服務(wù)器,如何控制對(duì)應(yīng)的用戶權(quán)限?如何保證用戶發(fā)布的習(xí)慣,保證用戶發(fā)布的信息能及時(shí)同步到對(duì)應(yīng)的Web應(yīng)用?
通過(guò)以上分析可以得出,采用傳統(tǒng)的防篡改防護(hù)模式,根本無(wú)法滿足IDC機(jī)房的基本需求,天融信針對(duì)IDC機(jī)房的特殊性進(jìn)行全面分析,推出一套適用于IDC機(jī)房的防篡改安全防護(hù)方案,此方案簡(jiǎn)單有效,能夠全面適宜于IDC機(jī)房的特殊環(huán)境,便于大量推廣。
具體方案如下:
改變傳統(tǒng)的部署模式,把分布式部署,集中管理模式更改為針對(duì)單一服務(wù)器單獨(dú)部署。針對(duì)IDC機(jī)房的特殊情況,天融信推出一款專業(yè)用于IDC機(jī)房的防篡改系統(tǒng),該系統(tǒng)打破常規(guī),所有防護(hù)都基于單臺(tái)服務(wù)器來(lái)實(shí)現(xiàn),使管理模式變得簡(jiǎn)單易行。
天融信的防篡改核心技術(shù)采用第三代防篡改技術(shù):系統(tǒng)底層文件驅(qū)動(dòng)保護(hù)技術(shù),使用該技術(shù)能夠從系統(tǒng)底層對(duì)需要保護(hù)的網(wǎng)站文件或目錄進(jìn)行全面保護(hù),防止黑客篡改,做到事前防御。正是由于這種技術(shù)的先進(jìn)性,使得防篡改使用單機(jī)模式部署成為可選擇的一種部署方式,此方式能夠完美的滿足IDC機(jī)房的特殊環(huán)境要求,有效防護(hù)IDC用戶的Web網(wǎng)站。具體實(shí)現(xiàn)方式如下:
1) 在IDC機(jī)房需要進(jìn)行篡改防護(hù)的服務(wù)器上安裝天融信網(wǎng)頁(yè)防篡改系統(tǒng),通過(guò)防篡改策略,直接監(jiān)控網(wǎng)站目錄,阻止篡改攻擊,部署后即使非法用戶獲得管理員或SYSTEM權(quán)限,均無(wú)法對(duì)保護(hù)目錄下的網(wǎng)頁(yè)文件進(jìn)行篡改。
2) 部署防篡改系統(tǒng)后,網(wǎng)站需要發(fā)布更新,必須預(yù)留頁(yè)面更新通道,我們通過(guò)進(jìn)程許可的方式來(lái)實(shí)現(xiàn);所謂進(jìn)程許可就是把用戶用于網(wǎng)站更新發(fā)布的進(jìn)程添加到防篡改系統(tǒng)的許可列表,則該進(jìn)程可以往防篡改保護(hù)目錄更新網(wǎng)頁(yè)文件,除此進(jìn)程外的所有操作都被視為非法,防篡改系統(tǒng)將直接阻止。
3) 為便于集中監(jiān)控,天融信網(wǎng)頁(yè)防篡改系統(tǒng)對(duì)篡改日志可以提供syslog接口統(tǒng)一上報(bào)到IDC機(jī)房的統(tǒng)一監(jiān)控平臺(tái)。
方案優(yōu)勢(shì):
采用以上方案,無(wú)需增加額外設(shè)備,無(wú)需改變?cè)芯W(wǎng)絡(luò)架構(gòu),所有操作均針對(duì)單一服務(wù)器,安裝部署簡(jiǎn)單,防篡改防護(hù)只針對(duì)文件,與Web服務(wù)器無(wú)關(guān),適用于所有的Web服務(wù)器和所有的內(nèi)容管理系統(tǒng)。即便防篡改系統(tǒng)出現(xiàn)故障,不會(huì)影響Web網(wǎng)站正常運(yùn)行,有效保障業(yè)務(wù)系統(tǒng)的有效性和連續(xù)性。
責(zé)任編輯:和碩涵
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》