鹰眼主页防篡改系统技术白皮书.docx

鹰眼主页防篡改系统技术白皮书.docx

《鹰眼主页防篡改系统技术白皮书.docx》由会员分享，可在线阅读，更多相关《鹰眼主页防篡改系统技术白皮书.docx（16页珍藏版）》请在冰豆网上搜索。

鹰眼主页防篡改系统技术白皮书

鹰眼主页防篡改系统

技术白皮书

版权声明

成都三零盛安信息系统有限公司©2004-2008版权所有，保留一切权力。

未经成都三零盛安信息系统有限公司书面同意不得擅自拷贝、传播、复制、泄漏或复写本文档的全部或部分内容。

本文档中的所有信息归成都三零盛安信息系统有限公司所有并受中国知识产权法和国际公约的保护。

“鹰眼”是成都三零盛安信息系统有限公司的注册商标，不得侵犯。

信息更新

本文档及其相关软件文档仅用于为最终用户提供信息，并且随时可由三零盛安信息系统有限公司（下称“三零盛安”）更改或者撤回。

信息反馈

如果您有任何宝贵意见，请反馈至：

⏹公司地址：

成都高新区创业路6号

⏹邮编：

610041

⏹电子邮箱：

support-cd@

⏹电话：

86-28-85169419

免责条款

根据国家适用法律的许可范围，三零盛安按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的的适用性或无侵害性。

在任何情况下，三零盛安都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使三零盛安明确得知这些损失或损坏，这些损失包括（但不局限于）利润损失、业务中断、信誉或数据丢失。

本白皮书中所有引用产品的使用及其本白皮书均受最终用户可适用的特许协议约束。

出版时间

本白皮书由成都三零盛安信息系统有限公司于200811月制作出版。

目录

1.公司简介4

2.产品概述5

3.鹰眼主页防篡改系统的定位和价值6

4.产品架构7

4.1.产品组成7

4.2.系统结构7

4.3.系统需求8

5.产品功能8

5.1.基于操作系统核心的实时监测8

5.2.支持通配符的规则制定9

5.3.管理功能10

5.3.1.分布式远程管理与集中控制能力10

5.3.2.日志管理11

5.3.3.实时报警12

5.3.4.用户管理12

6.产品特性13

6.1.基于核心内嵌的实时防护13

6.2.优异的规则匹配效率13

6.3.低系统资源占用13

6.4.可对多个Web站点进行实时并发监测13

6.5.提供多种报警方式，能够满足不同用户需求14

6.6.完善的日志功能14

6.7.动态网页防护14

6.8.多级安全机制14

6.9.部署方便15

7.与其他网页防篡改解决方案的比较16

8.鹰眼主页防篡改系统的主要技术指标17

9.支持与服务18

1.

公司简介

三零盛安信息系统有限公司是有中国电子科技集团公司第三十研究所控股的成都三零信息系统工程有限公司（三零信息）于四川卫士安全软件（安全软件）有限公司合并组建而成，是专业从事信息系统安全产品研发、安全信息系统集成、行业应用软件及信息安全服务的高科技企业。

创建于1965年的中国电子科技集团公司第三十研究所是有国家认定的，唯一以全所力量从事信息安全和保密通信网络研究及工程建设的专业研究所，建有博士后流动站和国家及的“国防科技保密通信重点实验室”。

三零盛安作为中国电子科技集团公司第三十研究所产业创新的重要承担者，肩负着开拓信息安全新领域的重任。

公司竭诚为用户提供构建安全信息系统所需的全面的、动态的解决方案和整体服务，包括安全咨询服务、安全平台软件、网络安全产品、相关行业应用软件以及工程实施和外包服务，并能根据不同的用户需求提供各类定制产品和服务。

目前公司的业务已覆盖了电子政务、电子商务以及金融、电信、电力、交通、教育、科研院所等领域，客户遍及全国并向海外延伸。

公司已在北京、上海、西藏、兰州等地设立了分公司或办事机构，为用户就近提供方便优质的服务。

三零盛安是国家首批认定的软件企业和高新技术企业，公司严格按照ISO9001、CMM质量保证体系管理软硬件产品的研发、生产、销售以及工程、服务等。

公司不仅先后获得了渉密计算机网络设计及施工定点单位、信息安全服务等方面的资质，而且还是国家计委信息安全专项、科技部国家863信息安全专项承担单位。

公司研发的产品均已通过了个领域信息安全产品测评机构的测评认证。

三零盛安高度重视与战略伙伴的合作，先后与HP、IBM、Lucent、Cisco、Oracle、Symantec、TurboLinux、CA等国际知名公司建立了良好的合作伙伴关系。

在安全领域我们正与多家著名安全产品厂商结成联盟，就多层次信息系统安全防护体系的建立进行惯犯合作，以满足用户日益增长的需求。

三零盛安依靠中国电子科技集团公司第三十研究所雄厚的基础理论研究和技术积淀，凝聚优秀的高科技人才群体，为铸造中华民族的信息长城而不懈努力。

2.产品概述

鹰眼主页防篡改系统是三零盛安公司自行研发的新一代针对WEB服务器的网页内容和目录结构进行实时监控，并防止对网页和目录文件非法操作的分布式安全保护系统。

随着多样化的互联网络业务日益迅猛地发展，电子商务和电子政务也日益普及，各个公司和政府部门在建设内部网络的同时，也在通过建立WEB网站宣传企业形象、开展网络业务，这些操作已经越来越多地成为政府办公和企业发展的重要手段。

然而人们在享受网络业务带来的便捷和机遇的同时，随着互联网的安全问题日益严峻，也越来越被黑客入侵事件所困扰，于是确保Web网站的安全就成为了亟需解决的问题。

鹰眼主页防篡改系统是三零盛安公司为满足国家政府机关、ICP、ISP、企事业单位对网站免遭外部黑客和内部员工攻击的需求而研发的。

结合核心驱动和高性多模匹配算法双重技术的各自优点，采用操作系统内核方式的控制技术，有效保障网站数据的安全性和真实性，为您的网站提供一天24小时、一周7天的实时自动的全方位。

全天候监护。

有效的保障网站数据的完整性和真实性。

3.鹰眼主页防篡改系统的定位和价值

三零盛安公司作为一个专业从事信息安全产品研发、安全信息系统集成、行业应用软件开发及信息安全服务的国家高新技术企业和软件企业。

为用户提供全方位的安全产品，三零盛安公司在为用户提供服务的过程中，从广大用户对WEB网站信息安全的强烈需求出发，集中技术力量研发了鹰眼主页防篡改系统系列产品。

三零盛安公司追踪用户不断更新的需求，适时改进和升级我们的产品。

目前本产品已经发展到单机版和分布式版本两大系列。

定位于建立了WEB网站的政府部门、企业和个人。

为用户的WEB信息安全筑起了一道安全之壁。

产品的关键特性和价值：

■采用系统核心驱动的方式，从系统底层的实时文件监控，对可能发生的非法篡改行为能够提供及时的阻止，保证文件内容不变化。

■支持通配符的规则定制，满足用户多样化的需求，适应多种环境。

■提供分布式三层架构的网络管理机制，允许用户灵活、方便的管理所有的主机监控端（Agent）。

用户可以在系统权限管理机制的基础上远程管理一台或者多台Web服务器上的鹰眼主页防篡改系统远程监控端（Agent），每台Web服务器的防篡改系统也可以接受多个用户的管理。

■强大的日志功能，方便对非法篡改网页事件的检测和跟踪。

■保障只有通过身份鉴别的用户才能进行相应操作。

■提供完善的权限管理机制。

超级用户可以将一个或者多个主机监控端（Agent）的管理权限授予某一或某几个用户，则只有这些用户才能够对被授权的主机监控端（Agent）进行操作。

4.产品架构

4.1.产品组成

鹰眼主页防篡改系统由三部分组成：

■主机监控端（Agent）

■管理服务器（ManageServer）

■管理终端（Console）

鹰眼主页防篡改系统的主机监控端（Agent）安装于被保护的WEB服务器之上。

主机监控端（Agent）与WEB服务器同步启动，保证WEB服务器能够随时得到保护。

管理服务器是整个系统的中枢，所有的管理功能和数据均在管理服务器上实现，管理服务器是管理终端和主机监控端的桥梁。

管理终端安装于用户的工作用机上，为用户提供远程管理操作。

4.2.系统结构

鹰眼主页防篡改系统的体系结构图如下：

4.3.系统需求

鹰眼主页防篡改产品的主机监控端系统需求：

■CPU：

Celeron366，推荐PIII650以上。

■内存：

128M内存，推荐256M内存以上。

■硬盘：

10M以上硬盘空间。

■操作系统：

window2000（32bit）,windows2003server（32bit）系列。

■WebServer：

IIS5.0，IIS6.0，apache1.3及其以上版本，其它web服务器。

鹰眼主页防篡改产品的管理服务器器系统需求：

■CPU：

Celeron366，推荐PIII650以上。

■内存：

128M内存，推荐256M内存以上。

■硬盘：

100M以上硬盘空间。

■操作系统：

window2000,windows2003server系列，windowsVista，WindowsXP。

鹰眼主页防篡改产品的管理终端系统需求：

■CPU：

Celeron366，推荐PIII650以上。

■内存：

128M内存，推荐256M内存以上。

■硬盘：

10M以上硬盘空间。

■操作系统：

推荐win2000及其以上操作系统。

5.产品功能

5.1.基于操作系统核心的实时监测

鹰眼主页防篡改系统监测引擎作为一种服务运行在服务器上，随系统启动而开启监测服务。

当开启监测服务后，鹰眼主页防篡改系统监测引擎立即实现从系统底层对被保护文件或者目录的实时监测。

包括文件内容、属性、名称的修改，目录内文件的增加、删除，以及目录属性的修改等一系列事件都会被鹰眼主页防篡改系统监测引擎实时监测到。

5.2.支持通配符的规则制定

鹰眼主页防篡改系统具备灵活的规则制定方式，用户设定某一应用程序对某一个文件的写操作是否允许，并对该操作确定是否进行日志处理。

在用户设定应用程序或者保护对象时，用户可以通过通配符“*”和“?

”符号，实现灵活的规则定制方式。

如下图所示：

规则语法：

1）支持通配符，如C:

\inetpub\wwwroot\*.html;C:

\inetpub\wwwroot\*.*

2）保护规则结构：

序号：

在规则链上的顺

程序：

指定某个程序，也支持通配符

对象：

要处理的对象

处理：

允许（写）或阻止（写）

策略：

日志|报警||无（不产生日志）

3）规则是有顺序的，如下这样的规则链（以第一种格式为例）

1§*§c:

\inetpub\wwwroot\*.html§阻止§日志

2§*§c:

\inetpub\wwwroot\test.html§允许§无动作

此时序号为2的规则，无法得到执行。

正确的顺序应该是

1§*§c:

\inetpub\wwwroot\test.html§允许§无动作

2§*§c:

\inetpub\wwwroot\*.html§阻止§日志

如上的规则，将不能监控到c:

\inetpub\wwwroot\下的新增文件操作，因此也是不完备的规则，

因此应变成这样的规则链：

1§*§c:

\inetpub\wwwroot\test.html§允许§无动作

2§*§c:

\inetpub\wwwroot\*§阻止§无动作

对于更新，应用如下的规则方式

1§C:

\serv-u\servu.exe§c:

\inetpub\wwwroot\*.html§允许§无动作

2§*§c:

\inetpub\wwwroot\test.html§允许§无动作

3§*§c:

\inetpub\wwwroot\*§阻止§无动作

上述规则链，表示利用serv-u可以更新且只能更新所有的*.html文件，

用户可以根据自己的需求，制定灵活的规则，满足实际需要。

5.3.管理功能

5.3.1.分布式远程管理与集中控制能力

⏹鹰眼主页防篡改系统支持多用户协同管理同一台WEB服务器

网站规模较大时，需要多人同时进行维护，鹰眼主页防篡改系统支持多用户协同工作方式，提供完善的机制满足协同工作时对WEB服务器的安全保护。

⏹鹰眼主页防篡改系统同时也支持一个管理服务器同时管理多个主机监控端

鹰眼主页防篡改系统支持对多个主机监控端的集中管理。

用户可以用一个管理终端同时管理多个需要监控的服务器，接收报警信息，查看报警日志，以及进行系统管理工作等。

5.3.2.日志管理

鹰眼主页防篡改系统提供多样化的日志记录，主要有系统日志、篡改日志、报警日志三种不同的日志类型，其中：

⏹篡改日志记录监测到的篡改行为，包括时间、时间来源、详细描述等信息。

⏹报警日志记录监测到的每次非法操作的详细信息，包括时间、操作类型、事件来源、详细描述等信息。

⏹系统日志记录有关系统操作的详细信息，包括服务启动、关闭，用户、用户组操作、日志操作等信息。

每种日志都包含了详细的事件信息，用户可以方便的对日志进行查看。

此外，系统也提供了日志的导入、导出功能，以方便日志的保存和查阅；系统还提供历史日志下载功能，允许用户审阅以前的日志记录。

5.3.3.实时报警

鹰眼主页防篡改系统能够对WEB服务器实现全方位的监测，并能够实时提供邮件报警、手机报警等多种报警方式（需要相应组件完成）。

方便用户在WEB网站遭到非法篡改后能在第一时间得到报警信息，采取相应的防范措施。

5.3.4.用户管理

鹰眼主页防篡改系统提供完善的用户管理和权限级别管理。

只有通过系统本身的身份鉴别并且被授予相应权限的用户才能执行相应的操作。

系统提供三种用户类型，分别拥有不同的操作权限：

⏹超级用户具有用户管理权限，Agent管理权限和系统管理权限。

超级用户本身可以维护和管理主机Agent，能查看Agent的报警日志、系统日志、并且能够清除这些日志等操作。

⏹用户管理员具有用户管理权限，主要管理用户的创建、用户基本信息的修改和用户的分配等。

用户管理员不能进行Agent的相关管理，也不能进行日志的相关管理。

⏹系统管理员具有对Agent的删除权利，但不能管理用户和日志。

⏹普通用户：

普通用户只有在被分配到Agent时，有用户管理员对其进行相关权限的设置。

这些权限包括日志浏览，日志删除，用户管理和规则管理权限。

普通用户对Agent的权限说明：

⏹日志浏览权限：

具备该权限的用户，可以浏览对应Agent上的日志

⏹日志删除权限：

具备该权限的用户，可以删除对应Agent上的日志

⏹用户管理权限：

具备该权限的用户，可以管理对应Agent上的各个用户的权限，但是不能删除用户，删除用户必须有具备用户管理权限的管理员来完成。

⏹规则管理权限：

具备该权限的用户，可以管理对应Agent上的规则。

6.

产品特性

6.1.基于核心内嵌的实时防护

一般的主页防篡改系统采用的是外挂轮询式技术，即周期性地从外部逐个访问网页，然后和备份库中的文件进行比较来判断网页真实性。

对于每个网页来说，根据轮询密度和网站规模的不同，轮询扫描间隔也存在少则数分钟，长者数十分钟的可能；在轮询时间间隔里，网页是没有保护的，黑客可以攻击系统并使公众访问到被篡改的网页；除此之外，外挂轮询方式也会带来网络带宽和系统资源的额外占用和消耗。

鹰眼主页防篡改系统采用先进的核心驱动技术，其篡改检测模块运行于操作系统核心，与操作系统无缝结合。

拦截对被保护的对象的非法篡改行为事件，进行阻断等处理，由于鹰眼主页防篡改系统采用了先进、高效的算法，因此能够实时、有效地确保每个网页的真实性。

6.2.优异的规则匹配效率

由于鹰眼主页防篡改系统的采用规则的方式进行定制，为了保证系统性能，当被保护对象（目录或文件）出现改变后，我们的系统将采用高效能的规则匹配算法，做到规则匹配的相应速度与规则数量无关。

6.3.低系统资源占用

由于鹰眼主页防篡改系统的检测服务工作于操作系统底层，在被保护文件系统没有发生变更时，此时鹰眼主页防篡改系统几乎不消耗系统CPU资源，系统的物理内存资源占用也处于极小的水平。

6.4.可对多个Web站点进行实时并发监测

鹰眼主页防篡改系统支持多Web站点实时并发防护。

6.5.提供多种报警方式，能够满足不同用户需求

系统提供了实时声光报警、windows信使服务报警、电子邮件报警、手机短信报警等方式向该站点的管理员发出警报。

用户可以根据实际情况，设置合适的报警合并策略，即合并报警消息的最大条数和合并时间间隔。

6.6.完善的日志功能

鹰眼主页防篡改系统提供了系统日志、篡改日志、报警日志三种类型的记录，方便用户对入侵者行为进行跟踪和分析。

系统针对每个非法操作事件，都会产生详尽的报警日志供管理员查看，信息内容包括报警事件、产生报警信息的计算机名称、非法操作事件的详细描述等等。

同时，系统还提供系统日志，对自身的安全事件，管理员和用户的历史操作等内容进行记录，以方便审查内部安全。

6.7.动态网页防护

鹰眼主页防篡改系统能够对静态页面、二进制文件、动态网页（例如JSP、ASP页面等）以及exe可执行文件等一系列文件进行保护，避免了其他外挂式网页保护软件对动态页面和ISAPI可执行文件无法进行保护的问题。

6.8.多级安全机制

鹰眼主页防篡改系统在设计时就采用了具有高可靠性和高安全性的安全模型，主机监控端能够对自身的关键数据进行保护，这些数据对只有防篡改系统自身才能进行操作。

鹰眼主页防篡改系统对采用三层架构，即使管理服务器宕机，或者网络无法连通，主机监控端依然处于工作状态，对保护对象进行严密的保护。

鹰眼主页防篡改系统还提供了完整的多级权限机制和身份认证机制。

系统超级管理员可以按用户组织WEB站点管理权限，为每个用户分配能够管理的Web站点等权限。

除此之外，鹰眼主页防篡改系统还提供自身安全日志功能，对系统自身的安全事件、用户所做的操作等均做了详细的记录。

6.9.部署方便

鹰眼主页防篡改系统使用自动发布服务器，可以很好地与已运行网站的原有的网站发布系统协同工作。

清晰的系统结构有利于系统的部署、使用和维护，并且用户的原有系统和使用习惯也不必作任何改变。

7.

与其他网页防篡改解决方案的比较

在网页防篡改系统研究的早期，网页防篡改以外挂或者内置式轮询为主。

外挂式轮询需要专门的防篡改保护服务器，但是具有和操作系统和WEB平台无关性等优点，因此目前仍然有比较广泛的应用。

另外与鹰眼主页防篡改的核心内嵌的触发式工作方式相近的还有WEB服务器内嵌式主页防篡改，这种工作方式在每次用户通过服务器访问页面的时候都会对文件进行检测比对。

以上这些防篡改工作方式的技术特性对照请参见下表：

内核式

外挂轮询

内置轮询

WEB内嵌式

是否需要单独的防篡改服务器

不需要

需要

不需要

不需要

服务器负载情况

低，平时保护线程处于休眠状态。

中等

中高

中低（每次用户访问都会执行检测比对）

实时报警

有，一旦发现可能的篡改行为，立即报警。

无，根据轮询密度和站点规模，有几分钟到几十分钟的延迟。

无，根据轮询密度和站点规模有几分钟到几十分钟的延迟。

无，只有当用户访问到被非法篡改的页面才会报警

恢复时间

0，因为文件根本不可能被修改

从被篡改到自动恢复时间在分钟级。

从被篡改到自动恢复时间在分钟级。

用户一旦访问被篡改页面才进行恢复。

动态网页脚本防护

可以

不可以

不确定

可以

可执行文件防护

可以

不可以

不确定

可以

保护所有web文件

可以

不可以

不确定

可以

更新时检测和防护

有

无

有

有

网络忙或者断路时的检测

有

无

有

有

对重负荷WEB服务器的影响

极低。

当被保护对象没有发生变化时不占用CPU资源。

中等

中等

随着WEB服务器并发数目的增加而急剧增加

8.鹰眼主页防篡改系统的主要技术指标

1.可保护站点的文件和目录个数

鹰眼主页防篡改系统可保护站点的文件和目录数目和操作系统能够支持的文件和目录个数同数量级。

测试表明：

在被保护站点内部的文件和目录总数达到一千万时，响应速度和恢复速度仍然没有明显的降低。

2.可保护的目录深度

系统可保护的目录深度同样和操作系统能够支持的目录深度同级。

3.可保护的文件大小

同操作系统能够支撑的最大文件大小。

4.系统响应时间

实时响应，一旦遭到非法篡改，立即阻止。

响应时间为毫秒级。

9.支持与服务

成都三零盛安信息技术有限责任公司

地址：

成都高新区创业路6号

邮编610041

电话：

86－028－85169320

传真：

86－028－85156162

电子邮件：

products@

北京三零盛安信息技术有限责任公司

地址：

北京市车公庄大街甲4号物华大厦A1908室

邮编：

100044

电话：

86－028－68003099

传真：

86－010—68003099

电子邮件：

bjinfo@

上海三零盛安信息技术有限责任公司

地址：

浦东张江高科技园张衡路200号2号楼4F。

邮编：

201203

电话：

86－021－51313030

传真：

86－021－51313033

电子邮件：

shinfo@

西藏三零盛安信息技术有限责任公司

地址：

拉萨市宇拓路12号国贸大厦3F

邮编：

850000

电话：

86－0891－6364399

传真：

86－0891－6363931

电子邮件：

lsinfo@

重庆三零盛安信息技术有限责任公司

地址：

重庆北部新区龙湖西路135号西苑会所8111＃

邮编：

401407

电话：

86－023－67533302－8111

传真：

86－023－67539799

电子邮件：

cqinfo@

三零盛安信息技术有限责任公司西北办事处

地址：

西宁市兴海路10号广厦小区2栋1单元

邮编：

810000

电话：

86－0971－6128430

传真：

86－0971－6128430

电子邮件：

lzinfo@