亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        實驗中心主頁防篡改系統(tǒng)的研究及實現(xiàn)

        2012-08-06 12:51:34趙維佺魏小銳劉永波熊輝
        關(guān)鍵詞:管理控制網(wǎng)頁站點

        趙維佺 魏小銳 劉永波 熊輝

        1 東莞理工學(xué)院 廣東 523808

        2 深圳昂楷科技有限公司 廣東 518034

        3長安大學(xué)信息工程學(xué)院 陜西 710064

        0 序言

        高等院校實驗中心隨著開放實驗室建設(shè)、對外交流的擴大和海量信息頻繁發(fā)布的需要,大多數(shù)實驗中心都建立了完善的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,并不斷在加快網(wǎng)絡(luò)信息系統(tǒng)建設(shè),構(gòu)建綜合型實驗教學(xué)信息平臺。隨著中心主頁訪問量的增加,安全問題擺在了我們面前,構(gòu)建一個高效的實驗中心主頁防篡改系統(tǒng)是保證實驗中心信息平臺安全穩(wěn)定運行的有效途徑。本文從網(wǎng)頁防篡改系統(tǒng)的設(shè)計原理入手,論述了適用于實驗中心主頁的網(wǎng)頁防篡改系統(tǒng)的關(guān)鍵實現(xiàn)技術(shù),主要包括防篡改系統(tǒng)的典型部署方式、Web防火墻、實時阻斷模塊和BI智能分析模塊三大模塊的設(shè)計。

        1 網(wǎng)頁防篡改系統(tǒng)的設(shè)計原理

        1.1 網(wǎng)頁防篡改系統(tǒng)組成

        網(wǎng)頁防篡改系統(tǒng)由管理控制端、監(jiān)控端和發(fā)布端組成。管理控制端可安裝在任何一臺服務(wù)器上,主要負(fù)責(zé)配置、管理和查看監(jiān)控端和發(fā)布端的各種信息,并下發(fā)站點安全規(guī)則到監(jiān)控端;監(jiān)控端安裝在Web服務(wù)器上,主要是對站點進(jìn)行保護備份和監(jiān)測;發(fā)布端安裝在更新服務(wù)器上,主要對站點文件進(jìn)行更新。

        管理控制端主要用來配置和下發(fā)安全策略,提供管理員管理操作監(jiān)控端和發(fā)布端的Web管理界面,并通過傳輸服務(wù)模塊和通訊模塊負(fù)責(zé)和監(jiān)控端的文件傳輸、日志報警、系統(tǒng)狀態(tài)等數(shù)據(jù)。監(jiān)控端主要包含實時阻斷模塊和Web防火墻模塊。實時阻斷模塊主要對站點網(wǎng)頁文件或文件夾進(jìn)行實時保護,實現(xiàn)站點靜態(tài)區(qū)域文件的保護;Web防火墻模塊主要對網(wǎng)頁訪問進(jìn)行保護,如防止非法網(wǎng)頁請求和SQL注入攻擊等,實現(xiàn)站點動態(tài)區(qū)域文件的保護。

        1.2 網(wǎng)頁防篡改系統(tǒng)部署

        在部署網(wǎng)頁防篡改系統(tǒng)時,首先需要架設(shè)管理控制端,然后,在Web服務(wù)器上安裝監(jiān)控端軟件,通過在管理控制端的配置監(jiān)控端認(rèn)證信息,即可實現(xiàn)管理控制端和監(jiān)控端之間的安全連接。站點管理員通過管理控制端可以查看監(jiān)控端的運行情況及日志信息。發(fā)布端部署在更新服務(wù)器上,負(fù)責(zé)所有網(wǎng)頁內(nèi)容的更新。

        由于管理控制端具有管理控制、站點備份的權(quán)力,一般在管理控制端前架設(shè)一臺應(yīng)用網(wǎng)關(guān)設(shè)備,用于站點管理員安全地連到管理控制端。根據(jù)用戶狀況、需求、提供環(huán)境的不同,網(wǎng)頁防篡改系統(tǒng)可采用六種不同的部署方式,分述如下。

        (1) 簡單部署方式

        如圖1所示,簡單部署方式把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端、發(fā)布端和管理控制端軟件部署在一臺Web服務(wù)器上。Web服務(wù)器既接收網(wǎng)頁發(fā)布,也對外提供Web服務(wù)。另外,如果網(wǎng)站管理員需要遠(yuǎn)程到Web服務(wù)器進(jìn)行維護和更新,可以采用VPN或FTP的方式。該部署方式比較適合那些小型的、需要租用專門機構(gòu)的Web服務(wù)器的機構(gòu)。

        圖1 簡單部署方式示例

        在安全考慮上,由于Web服務(wù)器對外提供Web服務(wù),需要暴露在外網(wǎng)中。因此,Web服務(wù)所在的網(wǎng)頁目錄更容易遭到攻擊。這種部署方式能夠在一定程度上防止對網(wǎng)頁的直接篡改。但是,由于發(fā)布目錄和Web服務(wù)目錄都在Web服務(wù)器上(雖然在不同目錄下),有可能會被黑客發(fā)現(xiàn)并加以篡改。因此,這種部署方式并不能完全發(fā)揮網(wǎng)頁防篡改系統(tǒng)的安全防護作用。一般情況下,并不建議這種部署方式。

        (2) 基本部署方式

        如圖2所示,基本部署方式需要兩臺服務(wù)器,把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端軟件安裝在一臺Web服務(wù)器上,發(fā)布端和管理控制端軟件安裝在另一臺服務(wù)器上,用來發(fā)布、更新站點文件的內(nèi)容。一般來說,發(fā)布服務(wù)器位于內(nèi)網(wǎng)中,處于相對安全的環(huán)境中。所有網(wǎng)頁的合法變更(包括增加、修改、刪除、重命名)都在發(fā)布端進(jìn)行,啟用監(jiān)控端的自動發(fā)布功能,發(fā)布服務(wù)器上的任何文件/目錄的變化都會自動并立即反映到Web服務(wù)器上的相應(yīng)位置。因此,這種方式具有很好的Web安全防護效果。如果網(wǎng)站管理員需要遠(yuǎn)程到Web服務(wù)器進(jìn)行維護和更新,可以采用VPN或FTP的方式。這樣,發(fā)布服務(wù)器會自動對前段站點進(jìn)行更新,同時也保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

        圖2 基本部署方式示例

        基本部署方式既可以實現(xiàn)具有統(tǒng)一網(wǎng)站編輯部門的組織或機構(gòu)的集中發(fā)布,也可以滿足具有多個下屬部門獨立制作,需要通過互聯(lián)網(wǎng)遠(yuǎn)程發(fā)布的組織或機構(gòu)的分布式發(fā)布要求。

        (3) 擴展部署方式

        如圖3所示,擴展部署方式是基本部署方式的擴展,網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端軟件分別安裝在兩臺獨立服務(wù)器上。

        圖3 擴展部署方式示例

        (4) 標(biāo)準(zhǔn)部署方式

        由于現(xiàn)今大多數(shù)網(wǎng)站都使用了內(nèi)容管理系統(tǒng)(Content Management System)進(jìn)行網(wǎng)頁的編輯、審核、簽發(fā)和合成等工作,為了滿足這些機構(gòu)組織的需求,提供了適應(yīng)該環(huán)境的標(biāo)準(zhǔn)部署方式。如圖4所示,該部署方式把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端軟件安裝在一臺Web服務(wù)器上,發(fā)布端和管理控制端直接安裝在CMS上,把CMS發(fā)布的目錄作為發(fā)布端的發(fā)布目錄,這樣,無需更改CMS的端口,即可實現(xiàn)發(fā)布端對Web服務(wù)器文件/目錄的更新。

        圖4 標(biāo)準(zhǔn)部署方式示例

        (5) 多Web服務(wù)器部署方式

        多Web服務(wù)器部署方式適合于大型門戶網(wǎng)站,它具有多臺獨立的Web服務(wù)器,其網(wǎng)絡(luò)地址、網(wǎng)絡(luò)內(nèi)容不同,操作系統(tǒng)也可以不同。它們可以使用同一套或不同套CMS。部署方式如圖5所示,在CMS上安裝網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端,用于更新主站點Web服務(wù)器上的內(nèi)容;在主站點的Web服務(wù)器上安裝發(fā)布端和監(jiān)控端,其中的發(fā)布端用來更新分站點上Web服務(wù)器上的內(nèi)容;在各個分站點上需要安裝網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端。

        圖5 多Web服務(wù)器部署方式示例

        (6) 多CMS部署方式

        如圖6所示,多CMS部署方式適合大型的門戶網(wǎng)站,具有多個CMS和多個獨立、異構(gòu)的Web服務(wù)器。在各CMS上分別安裝網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端軟件,多個發(fā)布端合成并更新主站點Web服務(wù)器上的內(nèi)容;在主站點的Web服務(wù)器上安裝發(fā)布端和監(jiān)控端軟件,主站點Web服務(wù)器上的發(fā)布端用來更新分站點上Web服務(wù)器上的內(nèi)容;同樣,需要在各個分站點安裝網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端。

        圖6 多CMS部署方式示例

        1.3 網(wǎng)頁防篡改系統(tǒng)工作流程

        用戶訪問網(wǎng)站時,首先要經(jīng)過Web防火墻的監(jiān)控,對非法請求、惡意掃描及數(shù)據(jù)庫注入攻擊等進(jìn)行攔截,只有合法的請求被傳到Web站點;然后,由Web站點進(jìn)行網(wǎng)頁文件請求,同時,實時阻斷模塊開始工作,對訪問網(wǎng)頁進(jìn)行實時規(guī)則檢查、對網(wǎng)頁的篡改及刪除等操作進(jìn)行攔截,并產(chǎn)生日志及報警;合法的請求被通過后,最終結(jié)果返回給用戶。網(wǎng)頁防篡改系統(tǒng)工作流程如圖7所示。

        1.4 網(wǎng)頁防篡改系統(tǒng)三大核心模塊設(shè)計

        1.4.1 Web防火墻

        Web防火墻模塊主要對站點動態(tài)區(qū)域文件進(jìn)行保護,是分析和攔截非法用戶訪問請求的第一道門檻。通過Web防火墻中的SQL防注入、關(guān)鍵字過濾、IP范圍過濾、訪問時間過濾,可以防止SQL注入攻擊、惡意掃描、非法網(wǎng)頁請求等Web安全事件的發(fā)生。Web防火墻的作用如圖8所示。

        圖8 Web防火墻的作用

        (1) 防SQL注入攻擊

        SQL的注入式攻擊主要是服務(wù)器端暴露的訪問SQL的方法和手段被客戶端所利用,進(jìn)而對SQL數(shù)據(jù)庫進(jìn)行非法操作的攻擊行為,由于數(shù)據(jù)庫本身的系統(tǒng)漏洞和網(wǎng)站編程人員的安全意識薄弱,數(shù)據(jù)庫存在注入攻擊的可能是很大的,因此,防止SQL注入攻擊成為網(wǎng)站安全的重中之重。

        Web防火墻模塊中的SQL防注入功能,通過設(shè)定正則表達(dá)式的規(guī)則,可以有效的防止黑客通過注入SQL語句的方式從網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫中獲取、修改數(shù)據(jù)信息或攻擊數(shù)據(jù)庫,如攔截mdb文件上傳/下載、一般SQL注入猜測、SQL寫操作關(guān)鍵字、SQL存儲過程關(guān)鍵字、一般1=1注入測試及系統(tǒng)shell關(guān)鍵字等。

        (2) 關(guān)鍵字過濾

        通過設(shè)定關(guān)鍵字過濾規(guī)則,可以對站點訪問路徑、訪問文件、查詢串、提交內(nèi)容(POST)、主機域、瀏覽器(User-Agent串)、Cookie串等進(jìn)行限制。其中,設(shè)定訪問路徑過濾規(guī)則,可以過濾通過非法訪問路徑訪問網(wǎng)站的用戶非法訪問請求;設(shè)定訪問文件過濾規(guī)則,可以對用戶的非法文件上傳和下載進(jìn)行限制;設(shè)定查詢串過濾規(guī)則,可以對用戶的非法查詢行為進(jìn)行限制;設(shè)定POST過濾規(guī)則,可以對用戶提交的非法內(nèi)容進(jìn)行限制;設(shè)定主機域過濾規(guī)則,可以對用戶訪問的域名、IP地址進(jìn)行限制;設(shè)定瀏覽器過濾規(guī)則,可以對用戶訪問所使用的瀏覽器進(jìn)行限制;設(shè)定Cookie值,可以對用戶訪問記錄的保存情況進(jìn)行限制。

        (3) IP范圍和訪問時間過濾

        IP范圍過濾規(guī)則主要對訪問用戶的來源地址的IP范圍進(jìn)行限定,訪問時間過濾規(guī)則主要對用戶訪問站點的時間范圍進(jìn)行限定。

        需要指出的是,關(guān)鍵字過濾、IP范圍和訪問時間過濾規(guī)則之間是與的關(guān)系,即當(dāng)這三個規(guī)則同時成立時,過濾規(guī)則才生效。各種規(guī)則設(shè)置界面如圖9所示。

        圖9 規(guī)則設(shè)置界面示例

        1.4.2 實時阻斷模塊

        實時阻斷模塊內(nèi)嵌于Web服務(wù)器中,是一種主動和直接的網(wǎng)站文件保護方式,它不僅可以實現(xiàn)多個站點文件的保護,還可以實現(xiàn)單個站點中文件夾或文件夾中單個文件的保護。采用該技術(shù),可以預(yù)先把站點或站點目錄文件保護起來,除了指定的合法進(jìn)程和端口服務(wù)之外,禁止其它任何進(jìn)程和端口訪問對保護的目錄及文件的所有更改操作,在非法進(jìn)程開始侵入系統(tǒng)之前就切斷其連接,禁止其下一步行為。實時阻斷模塊的作用如圖10所示。

        圖10 實時阻斷模塊作用

        1.4.3 BI智能分析模塊

        BI智能分析摸塊,是一種商業(yè)智能的網(wǎng)站分析模塊,它在網(wǎng)站日志分析的基礎(chǔ)上,應(yīng)用商業(yè)智能領(lǐng)域中的數(shù)據(jù)庫、在線分析處理以及數(shù)據(jù)挖掘三大技術(shù),對網(wǎng)站進(jìn)行數(shù)據(jù)測量、評價預(yù)測,以及綜合性的分析,是一套先進(jìn)的交互式專業(yè)日志分析軟件。

        2 總結(jié)

        實驗中心主頁作為實驗中心信息發(fā)布、資源共享和對外交流的平臺,是中心的窗口和門戶,面對目前越來越多的網(wǎng)絡(luò)威脅,防止中心主頁被篡改已成為保護中心網(wǎng)站安全穩(wěn)定運行必不可少的措施。本文設(shè)計了一類網(wǎng)頁防篡改系,通過對網(wǎng)頁防篡改系統(tǒng)設(shè)計原理、典型模塊設(shè)計原理及過程的分析,指出了該類系統(tǒng)實現(xiàn)的原理和關(guān)鍵技術(shù),希望對相關(guān)系統(tǒng)設(shè)計起到借鑒作用。

        [1] CNCERT/CC.2010年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[EB/OL].http://www.cert.org.cn/articles/docs/common/2011042225342.s html.心建設(shè)—以東莞理工學(xué)院為例[J].實驗室研究與探索.2011.

        [2] 蓋玲.防網(wǎng)頁篡改技術(shù)比較分析[J].圖書與情報.2007.

        [3] 陳寧江,杜凡遠(yuǎn).網(wǎng)頁防篡改應(yīng)用技術(shù)分析[J].現(xiàn)代機械.2009.

        [4] 張建華,李濤,張楠.Web頁面防篡改及防重放機制[J].計算機應(yīng)用.2006.

        [5] 楊飛.網(wǎng)頁防篡改技術(shù)[J].計算機安全.2008.

        [6] 姚瀅.網(wǎng)頁防篡改系統(tǒng)的研究與設(shè)計方案[J].計算機安全.2010.

        猜你喜歡
        管理控制網(wǎng)頁站點
        工程造價管理控制探討
        建筑工程施工中的質(zhì)量管理控制探討
        基于Web站點的SQL注入分析與防范
        電子制作(2019年14期)2019-08-20 05:43:42
        2017~2018年冬季西北地區(qū)某站點流感流行特征分析
        基于CSS的網(wǎng)頁導(dǎo)航欄的設(shè)計
        電子制作(2018年10期)2018-08-04 03:24:38
        加強建筑工程施工管理控制探討
        基于URL和網(wǎng)頁類型的網(wǎng)頁信息采集研究
        電子制作(2017年2期)2017-05-17 03:54:56
        首屆歐洲自行車共享站點協(xié)商會召開
        中國自行車(2017年1期)2017-04-16 02:53:52
        怕被人認(rèn)出
        故事會(2016年21期)2016-11-10 21:15:15
        網(wǎng)頁制作在英語教學(xué)中的應(yīng)用
        電子測試(2015年18期)2016-01-14 01:22:58
        国产精品一区二区韩国av| 国内精品久久久久久久久久影院 | 亚洲av少妇一区二区在线观看| 深夜放纵内射少妇| 久久亚洲国产成人精品性色| 青青在线精品2022国产| 在线视频一区二区三区中文字幕| 在线观看 国产一区二区三区| 亚洲国产精品久久人人爱| 久久aⅴ无码av免费一区| 亚洲妇女av一区二区| 黄片小视频免费观看完整版| 人人爽久久涩噜噜噜丁香| 少妇AV射精精品蜜桃专区| 亚洲天堂色婷婷一区二区 | 国产98在线 | 免费| 亚洲粉嫩av一区二区黑人| 在线天堂中文一区二区三区| 亚洲一码二码在线观看| 亚洲97成人精品久久久 | 女优av性天堂网男人天堂| 国产欧美亚洲精品第一页| 亚洲性无码av在线| 妇女自拍偷自拍亚洲精品| 亚洲97成人在线视频| 亚洲国产成人片在线观看无码 | 高清国产一级毛片国语| 丰满人妻被持续侵犯中出在线| а√天堂8资源中文在线| 欧美日韩中文国产一区| 激情综合网缴情五月天| 极品粉嫩小仙女高潮喷水操av| 亚洲h在线播放在线观看h| 亚洲AV无码一区二区二三区我 | 人妻中文字幕在线中文字幕| 男人靠女人免费视频网站| 亚洲另在线日韩综合色| 亚洲国产精品激情综合色婷婷| 2020无码专区人妻系列日韩| 福利在线国产| 97久久国产精品成人观看|