SkyGuard网页防篡改保护系统
一、系统简介
    “SkyGuard网页防篡改保护系统”是对网站服务器的数字资源(包括网页文件与数据库记录)与代码进行实时保护,防止被非法篡改的信息安全产品;
网页被篡改怎么办系统设计的总体目标是最大限度保障网站内容的安全性,保证网站的正常运营。
    系统能够对网站数字资源(静态内容的网页文件,动态内容的数据库记录等等)与代码的攻击(黑客的恶意篡改,病毒,木马攻击等等),按设置的策略与方式(实时软件消息,手机短信,E_Mail,语音电话等等)向管理员进行报警, 同时自动屏蔽非法篡改,保障合法内容的正常服务;
同时,对网站数字资源的正常更新,进行数字签名的,加密,增量式记录,可以回放网站内容的变更轨迹,显示每一步修改的责任人,并保证其不可否认性;
系统使用简易便捷,对网站访问用户是透明,即完全不影响网络用户正常浏览网站、不改变网站的访问方式,不改变原有的网站结构。
    该产品是北京空中点击科技有限责任公司设计开发的系列网站(包括B/S服务器)安全保障产品之一,
严格遵循相关国家与行业标准协议。
该系统广泛应用于加强政府机关、企事业单位以及商业机构等各类Web 站点的安全,维护政府、权威机构网站的内容完整、形象与尊严,可以发挥至关重要的核心作用。
二、功能特性
监控进程不可见,不产生系统服务,监控进程无法查杀,具备极强隐蔽性和自我保护性;
自动实时监控多个网站;
监控端与管理中心实行双向连接认证,保证通信可靠;
自动实时监控多个文件目录(虚拟站点);
实时阻断篡改文件的请求从根本上杜绝文件被更改;
允许多客户端同时对不同网站进行维护;
基于系统文件驱动层监控技术,支持各种Web应用平台;
允许对动态网页文件在内的各种文件进行监控保护;
日志直观详细,可对文件篡改保护及网络攻击防护两种不同日志的统一查询审计能;
技术先进,安全、稳定、可靠;
采取先进的多重防护技术,杜绝篡改;
完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品;
汲取广大网管员建议,操作及其简便,大大提高工作人员效率;
对服务器安全性能实时监控,确保服务器安全稳定运行;
对Web服务运行状态进行安全监控,保证Web服务不受异常事件干扰;
不限制网站发布服务器类型,实现高可用性和高扩展性;
支持所有主流操作系统,与Web发布服务类型无关,与CMS系统无缝结合;
支持保护Web服务器配置文件,杜绝网站指向遭到修改;
三、技术特性
3.1系统文件驱动级防篡改技术
    基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;
    内核级事件触发技术,大大减少系统额外开支;
    完全防护技术,支持大规模连续篡改攻击防护;
    系统后台自动运行,支持断线状态下阻止篡改;
    操作系统文件驱动技术完全杜绝页面文件被篡改;
    支持单独文件、文件夹及多级文件夹目录内容篡改保护;
3.2保障Web站点安全运行
    保护Web服务器的相关重要配置文件不被篡改;
    服务器性能监控阀值报警,预知攻击发生;
    服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作;
3.3网站动态自适应攻击防护
    支持SQL注入攻击防护;
    支持跨站脚本攻击防护;
    支持对系统文件的访问防护;
    支持特殊字符构成的URL利用防护;
    支持对危险系统路径的访问防护;
    支持构造危险的Cookie攻击防护;
    各类攻击的变种防护;
    支持自定义检测库;
3.4增量发布安全可靠
    支持网页文件自动上传功能和增量发布;
    支持异地文件快速同步功能,极大的增加网站可维护性;
    支持网页自动同步新增、修改、删除、下载等功能;
3.5日志事件报警
    自动检测文件攻击记录,并实时记入日志,支持导出excel报表;
    支持服务运行状态记录,并实时记入日志,支持导出excel报表;
    支持多种告警方式,日志告警、邮件告警或定制其他告警方式;
    自身操作审计日志记录,详细记录操作管理员的操作管理行为;
3.6部署结构灵活
    支持多站点、跨平台分布式部署,统一集中管理功能;
    支持大规模虚拟机、双机热备网站系统部署架构;
    支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多,多对多等各类灵活网站架构;
3.7操作管理安全、方便
    支持多用户分权管理功能,方便操作;
    系统采用C/S结构,确保高可靠性;
    支持多个策略管理,策略设置支持即时生效,无需重启;
    数据传输采用加密传输,安全可靠;
    支持网页格式类型分类,便于分类管理;
    系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统初始配
置,大大提高工作效率;
四、技术实现
4.1系统文件驱动与事件触发技术
    对于当代的操作系统来说,所有硬件、软件程序以及操作系统本身对磁盘文件的操作都要通过操作系统的文件驱动部分来进行,也仅有文件驱动层才能最终将要进行的修改操作传达给磁盘存储设备,从而改变其内容。通过控制这条唯一的途径,防篡改系统可以捕获所有的磁盘文件操作请求,从而对其进行判断过滤。
    当文件驱动接收到一个进行文件操作的请求,如读取、修改、删除等时,就产生一个文件操作事件,该事件将使系统的某些状态发生变化并最终指挥磁盘及其他设备协同完成任务。当操作系统产生一个磁盘文件操作事件时,防篡改系统就能够通过文件驱动捕获这一事件,通过识别其是否针对被保护目录以及操作是否合法,进行相应的放行或阻止操作。
4.2对网页文件篡改的检测及处理
    防篡改系统可以根据设定的网站主目录对其下的所有文件及目录进行保护,也可根据设置对其中的部分文件及目录进行保护。当有任何进程(或程序)企图对磁盘上该目录下的被保护文件及目录进行修改、删除或新增等操作时,相应的操作被发送到主机操作系统,而防篡改系统会在这时进行合法性检测。对于合法的操作进行放行,对于非法的操作进行阻止。由于任何对磁盘上文件进行的操作都是经过操作系统来进行的,SkyGuard防篡改系统利用这一特性在系统文件驱动层对所有针对被保护目录的修改、删除与新增等磁盘操作进行合法性检测,从而达到对网页文件篡改的检测及处理目的。
4.3网页文件被篡改后如何恢复
    SkyGuard防篡改系统使用系统文件驱动技术,首先对所有针对被保护目录的修改、删除与新增磁盘操作进行合法性检测,只有预先被管理人员设定的放行操作才能够成功,所有未经许可的操作都将被禁止,因此即使有入侵者通过各种途径获得系统管理员权限,也无法对该目录内被保护的文件及目录进行修改、删除或新增操作。
    当然,随着技术的发展,也不排除日后会产生新的技术可以绕过防篡改系统严格的检测过滤机制。因此,SkyGuard系统采用了事件触发与恢复相结合的方式判断被保护目录与备
份目录间的差异性。若系统根据文件操作的事件触发的改变判定被保护目录被非法修改,则会使用备份目录下的内容对被保护目录内容进行还原,所有被更改的文件或目录会在很短(毫秒级)的时间内被同步恢复。
    当管理人员需要手动操作备份目录或被保护目录时,可以登录管理中心后手动关闭相应的保护功能,在完成操作后选择重新备份或从备份恢复到被保护目录即可实现同步,同步完成后恢复系统的保护功能。
4.4确保浏览者能正常网页访问
    首先,SkyGuard防篡改系统对原有网站的正常浏览访问不造成任何影响。因为,防篡改系统对网站进行了注入攻击防护,使得所有攻击性的、非法的修改或查询数据库的行为都被禁止,而正常的查询与修改操作则不受影响;另一方面,对于页面文件来说,一般正常的访问不会导致网站页面的更改,而防篡改系统只有在检测到有对页面文件进行修改的行为时才会对该行为进行拦截,而其他的系统操作与防篡改系统无关,不受影响。假如网站使用特定的内容发布系统,则可在防篡改系统中进行相应设置,对该发布系统进程产生的文件操作不做检测直接放行,从而不会对原有发布流程产生任何影响。
    其次,防篡改系统能够有效的保护网站系统的内容不被非法篡改(非法修改、添加、删除),从而使得网站保持稳定的运行,浏览者所浏览到的网页都是合法的正常的网页。
4.5对数据库内容的防护功能
    SkyGuard防篡改系统的网络监控层能够捕获所有的Web连接请求,网络攻击防护模块可以对这些请求进行合法性检测,对于包含特定攻击语句(SQL注入、XSS跨站等)、非法数据库查询、更新、删除语句等特征的请求将被阻止,而正常的操作则不受影响。
4.6手动上传文件的方式及合法性
    根据客户原有更新方式的特点,防篡改系统可以作出相应设置以进行适应,达到尽量不改变客户操作流程的效果。
    比如,安装防篡改系统之前使用FTP方式更新文件,那么在防篡改系统中就可以设定将FTP进程的所有操作放行。这样就使得只有通过FTP方式进行的文件更新才是合法的,而通过其他的方式进行的更新操作都是非法的。
SkyGuard目前可以针对大部分的网站更新方式作出适应,包括主流的内容发布系统、FTP上传、控制台更新等。
4.7日志记录及报警功能
    一旦系统监测到非法操作行为,立即以预设的报警方式通知相关维护人员,报警方式包括声音,邮件,短信(短信报警需加装短信发送装置)。
    系统提供完整的日志记录(包括系统日志和报警日志),并支持对日志信息的查询和审计功能。系统日志记录了所有用户(包括超级用户和各个管理员)的操作记录,如更改策略、打开关闭保护、增删保护目录、备份恢复、增删管理员等。报警日志则记录了系统收集到的所有非法操作信息,以及进行的相应操作等。
五、核心技术解析
5.1基于文件驱动级保护技术
    SkyGuard采用基于文件驱动级的保护技术——内核事件触发保护机制,确保系统资源不
被浪费。不同于其他防篡改软件的Web事件触发机制,SkyGuard的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术,与操作系统紧密结合。这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多,校验值计算不正确,篡改后无法恢复等一系列的风险。
5.2动态网页脚本及防注入保护