中创软件电信SOC网站安全监测与防护系统技术解决方案

　　随着互联网的发展，网站攻击事件日益猖獗，根据CNCERT（国家计算机网络应急技术处理协调中心）的统计，在所有网站攻击事件中，网站篡改所占比例高达74%， 2008年1至7月份平均每月遭到篡改的网站数量高达5859个。

　　为此，公安部于2005年12月正式颁布82号令，明确规定：“开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复”。

　　电信运营商作为国内最大的网站运维管理单位，在网站的安全保障方面承担着重要的责任。面对如此严峻的网站安全形势，运营商迫切的需要通过技术平台的支撑来解决网站安全问题。

　　针对电信运营商的特点，中创软件提出了具有行业领导性的解决方案——电信SOC网站安全监测与防护系统，该方案以中创软件自主知识产权的网页防篡改产品InforGuard V5为支撑，提供了一个完整的针对电信级网站运维的安全监管平台。

　　二、系统建设目标

　　维护电信所负责各类网站的信息安全，保障其网站内容的完整性和正确性。

　　以此为目标，根据电信目前的网站运维及管理特点，逐步规划和建设覆盖全省/国的互联网网站安全监测与防护系统，建立集中式网站安全监测与防护平台，为各级管理机构加强网站安全管理，应对安全事件提供有效的工具支持，为网站篡改事故的发现、报警、恢复、分析等管理工作提供依据和支持。

　　三、功能需求

　　1、 基本功能需求

　　根据目前电信的实际业务需求，该系统应支持如下两种模式的网站安全监测与防护，如图所示：

　　1. 支持电信IDC目前所管理各类网站的安全监测与防护。

　　1) 网站受保护信息的备份数据保存在电信数据中心；

　　2) 网站的正常更新维护仍旧由网站所有者进行，但是文件发布由过去直接发布到网站空间改为发布到备份空间；

　　3) 网站的监控、报警等配置管理工作由运营方统一负责，策略内容由网站所有者提供；

　　4) 系统可以将需要保护的大量网站按照合理的分组原则进行分组管理，每组网站的数据备份和系统管理归属特定中心（初级中心）负责；

　　5) 系统提供分级管理能力，安全运营中心可以借助该系统提供的一级中心对下属中心进行部分管理功能；

　　6) 系统提供信息逐级呈报能力，安全运营中心可以借助该系统提供的一级中心对所有下属中心的管理信息，网站的报警、维护信息等内容进行审计。

　　2. 支持托管网站的安全监测与防护。

　　1) 网站受保护信息的备份数据保存在网站所有者局域网；

　　2) 网站的正常更新维护由网站所有者进行，但是文件发布由过去直接发布到网站空间改为发布到备份空间；

　　3) 网站的监控、报警等日常管理工作由网站所有者自己负责或委托运营方代管；

　　4) 该类用户的管理中心属于初级中心，系统应为运营商提供对该用户的网站保护能力进行基本的控制管理能力。

　　2、性能需求概要

　　安全性，能够确保受保护网站的文件安全。

　　稳定性，能够对受保护网站提供7*24监控及发布服务。

　　实时性，能够对受保护网站进行实时监控、报警及发布。

　　3、其他需求

　　良好的兼容性

　　支持各种主流操作系统平台；

　　支持各种主流Web/应用服务器软件；

　　支持多种网站维护方式。

　　良好的可扩展性。

　　方便地增加、删除下级中心；

　　方便地增加、删除受保护网站；

　　方便快捷地扩展报警服务平台。

　　易用性。

　　安装、部署、调试简便；

　　支持互联网方式（B/S）管理；

　　管理过程多采用向导方式。

　　灵活性。

　　监控、报警、同步策略灵活；

　　异构环境下灵活配置。

　　四、解决方案

　　电信运营商管理的网站呈现了分布部署的局面，即网站部署在跨互联网的多个网络节点上，各网站的发布更新服务也呈现分布部署的状况。针对这样一个特点，平台的监控点和备份点需要相应地部署在跨互联网的多个网络节点上。但是，为了便于运维管理，降低管理成本，因此平台的管理是需要统一的。

　　电信运营商维护着大量的网站设备，且有可能分布在多个分中心或IDC机房。出于运维效率的考虑，往往需要对各分中心、各IDC机房进行统一的管理。

　　概括来讲，其主要特点是网站部署上呈现分布式，但是其管理上呈现集中的特点。

　　对应电信运营商的网站安全运营需求，中创网页防篡改产品InforGuard V5作为其运营平台的部署示意图如下：

　　在电信安全运营中心部署TMC（InforGuard管理总中心），负责管理所有下属分中心（初级中心），初级中心首先包括电信数据中心部署的一至多个MC（InforGuard管理中心），此外，还可以包括分布在互联网上的其他单位的MC。每个MC负责管理同一局域网内部的若干个MA（InforGuard监控代理）和BS（InforGuard备份服务）。MA安装部署在网站服务器上，负责网站文件的实时监控保护，BS部署在同一网络内的其他设备，负责文件同步与自动恢复。

　　中创软件InforGuard是以国家863技术成果为基础，以成熟的中间件产品和技术为支撑，为用户提供了强大的网站保护与维护功能，以及告警、审计等全面服务。InforGuard产品主要特点包括：

　　实时阻断：阻断所有非法进程对受保护文件的写操作，将篡改直接拒之于门外。【专利技术——基于Windows系统文件过滤驱动的文件保护技术，专利号200810014285.9】

　　事件触发：实时发现受保护文件的任何变更，并依据判断结果触发相应的后续保护性处理。

　　核心内嵌：依据数字指纹技术，验证所有对外发布文件的合法性，确保无法浏览到被篡改网页。【专利技术——基于WebFilter的内容过滤机制，专利号200810014284.4】

　　防SQL注入：屏蔽网站恶意扫描，有效地抵御针对网站数据库资源的注入式攻击。