此次81个政府网站遭到攻击,再次敲响了网络安全警钟。政府门户网站作为国家的行政管理机构发布的信息事关国计民生,一旦被篡改将造成多种严重的后果,主要表现在让政府形象受损,影响信息传达,甚至是恶意发布信息,还会造成木马病毒传播,严重者还会引发泄密事件。
互联网的无疆界性,不仅让电子政务遭受安全隐患,在电子商务尤为明显。网页被篡改的后果是严重的,站点所在的服务器的稳定性和安全性就成了关键因素。好在,有以国舜UnisGuard为代表的三大网页防篡改保护系统保驾护航,给了我们打好政府网站保卫战的信心。
一、软件介绍
1、UnisGuard产品概述
UnisGuard网页防篡改系统(以下简称UnisGuard)是一款采用目前采用国内最先进的第四代驱动级动静态结合防护技术的防篡改产品,是一款电信级安全产品,以稳定性、安全性、高效性著称。UnisGuard?的主要功能是通过文件底层驱动技术对Web站点目录提供全方位的保护,防止入侵者或病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。UnisGuard?保护网站安全运行,维护政府和企业形象,保障互联网业务的正常运营,彻底解决了网站的非法修改的问题,是高效、安全、易用的新一代网页防篡改系统。
UnisGuard网页防篡改保护系统于第十、十一届中国信息安全大会中得到了中国计算机学会计算机安全专业委员会、国家计算机病毒应急处理中心、中国电子信息产业发展研究院的一致认可,并凭借在业界广泛的影响力和良好的口碑荣获09及10年度“中国信息安全最值得信赖网页防篡改品牌奖”。同时,在09及10年度的中央国家机关采购项目供应商里,UnisGuard网页防篡改保护系统的全部三个版本成功入围中央政府“信息类产品协议供货通用软件组——网络监测及监控类”及“信息类产品协议供货信息安全组——WEB应用防护类”的采购名录。UnisGuard是中国移动集团网页防篡改测评的综合评分第一名,在运营商领域有绝对领先的占有率。
2、iGuard产品概述
iGuard网页防篡改系统(以下简称iGuard)是目前国内能够完全保护网站不发送被篡改的页面内容的Web页面保护软件。iGuard以国家863项目先进技术为基础,使得其性能和安全性大大优于同类产品。iGuard支持网页的自动发布、篡改检测、警告和自动恢复,保证传输、鉴别、审计等各个环节的安全。iGuard使用了先进和可靠的Web服务器核心内嵌技术,在部分操作系统上辅助以事件触发式技术,从而完全实时地杜绝篡改后的网页被访问的可能性。支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统,支持IIS、Apache、iPlanet、SunONE、Weblogic、WebSphere等主流的Web服务器软件。
3、InforGuard产品概述
InforGuard网页防篡改系统(以下简称InforGuard)是目前国内采用四重防护技术、既完全保护网站不发送被篡改的页面内容又保证网站内无被篡改页面滞留的Web页面保护软件。InforGuard的主要功能是实时监控用户的Web站点,洞察黑客、病毒等对网站的网页、电子文档、图片等文件进行破坏或非法修改。一旦文件遭到破坏,系统会立即恢复被破坏的文件,并向管理人员报警。InforGuard的四重防护技术使其在防篡改理念、安全性及性能等诸多方面远远领先于同类产品。支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统,支持IIS、Apache、Weblogic、WebSphere等主流的Web服务器软件。
二、技术比较
1、UnisGuard核心技术
UnisGuard?的核心技术是基于文件的驱动级保护技术,事件触发机制,确保系统资源不被浪费,不同于一些文件轮询扫描式或外挂式的页面防篡改系统,UnisGuard?的页面防篡改模块采用的是与Web服务器底层文件夹驱动级保护技术,与操作系统紧密结合。这样做不仅完全杜绝了轮询扫描式页面防篡改系统的扫描间隔中被篡改内容被用户访问的可能,其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或外挂式的同类系统。它能完全杜绝篡改内容流出,如果采用外挂轮询式的网页防篡改系统,对每个网页来说,轮询扫描存在着时间间隔,一般为数十分钟,在这数十分钟的间隔中,入侵者可以攻击系统并使访问者访问到被篡改的网页。而采用文件级驱动保护技术后,可以彻底杜绝网页被篡改的可能性,全面实时地保护网站的所有网页文件。
UnisGuard不影响原有网络结构,该系统的架构采用C/S方式,安全可靠,CenterServer端和Console端可以安装在任意指定的系统上,管理告警客户端本地无存储数据,日志只在需要时进行导出excel进行查询,大大降低了用户投资。
2、InforGuard四重防护
InforGuard采用了独特的四重防护技术,做到网站防御的滴水不漏。第一重防护——采用实时阻断技术,实现进程式篡改检测引擎,阻断非法进程对网站的篡改;第二重防护——采用事件触发技术,实现触发式篡改检测引擎,瞬间清除被非法篡改的网页,并实时恢复;第三重防护——采用核心内嵌技术,实现内嵌服务器式篡改检测引擎,实时确保每个对外发送的网页的正确性;第四重防护——结合事件触发技术,实现灾难型篡改检测引擎,与服务器联动,应对灾难式网络攻击事件。
3、iGuard双引擎防护
引擎1——实时阻断
iGuard使用了增强型事件触发式技术,截获所有写文件调用,对于其中的非法写行为实施了实时阻断,让常规黑客的篡改行为即时落空,同时发出报警。
引擎2——核心内嵌
将篡改检测的核心内嵌到Web服务器中,仅在网页信息流出Web服务器时进行检测。
三、主要功能比较
1、主要技术指标
功能列表 iGuard InforGuard UnisGuard 核心技术 核心内嵌技术 事件触发与核心内嵌入 文件驱动、事件触发及核心内嵌 适用所有操作系统 可以 可以 可以 抵御连续性攻击 弱 弱 强 操作性 需专业技术人员配置 需专业技术人员配置 强 稳定性 强 强 强 软件本身安全性 弱 弱 强 网站结构 不影响 不影响 不影响 是否可篡改 可以 可以 不可以 WEB服务器监控 无 有 有 网站访问速度 有影响 有影响 无影响 网络带宽占用 无 无 无 分级管理 不可以 可以 可以 多用户管理 无 有 有 所有网页检测 能 能 能 动态网页脚本 支持 支持 支持 断线时保护 能 能 能 防范连续篡改攻击 (一定程度上)能 能 能 检测时间 接近实时 实时或者接近实时 实时 断线状态下的自动监控与保护 支持(但不清除和恢复篡改文件) 支持(但是仅清除篡改文件,不恢复) 支持 是否可能漏过检测 不能 不能 不能 WEB服务器负载 低 低 低 保护文件类型 所有 所有 所有
2、发布与同步功能
功能列表 iGuard InforGuard UnisGuard 支持自动/手动精确同步 支持 支持 支持 支持自动/手动增量同步 支持 支持 支持 支持集群、多机热备,自动执行多个Web/应用服务器的同步 支持,但没有集群的概念 支持 支持 支持多虚拟主机/目录的并发同步 支持 支持 支持 支持各种发布工具或发布方式 不支持 支持 支持 支持内容管理系统 不支持 支持 支持 支持网络异常的自动恢复 支持 支持 支持 支持发布失败的自动重新发布 支持 支持 支持
3、备份
功能列表 iGuard InforGuard UnisGuard 自动备份 不支持 支持 支持 增量备份 不支持 支持 支持
4、日志及审计功能
功能列表
iGuard
InforGuard
UnisGuard
支持日志查询/统计/保存/打印
支持
支持
支持
能够对文件恢复、更新等操作进行跟踪、审计
支持
支持
支持
能够对网站维护人员操作进行跟踪、审计
支持
支持
支持
功能列表 iGuard InforGuard UnisGuard 支持网站维护人员操作权限管理 支持 支持 支持 支持网站维护人员登陆认证 不支持 支持 支持 是否依赖第三方软件 依赖 不依赖 不依赖 保护自身安全 不能 能 能
四、总结说明:
(一)核心内嵌技术存在的几点问题:
(1)不能保护网站内容不被篡改,只是在篡改后做恢复工作。
(2)针对连续性篡改,需要从备份服务器连续不断地调取相应的文件进行恢复,如果恢复速度赶不上篡改速度,会导致网站不可访问。
(3)系统自身安全依赖于WEB服务器软件的安全。
(4)系统会在用户访问某页面时,对某一页面先进行数字水印对比来确定页面是否被篡改过,所以在一定程度上会影响到网站的访问速度。
(二)UnisGuard与InforGuard技术点评:
A、在监控与恢复功能机制方面:
(1)InforGuard是在首次备份网站页面的同时,给每一个页面文件通过加密生成一个水印文件,此后,通过备份目录发布的所有文件都要生成水印,之后传输,再对监控端的管理上是直接登录到监控中心服务器上进行,Linux与Unix系统恢复机制是采用内核嵌入技术,根据网站web应用发布软件的不同而实施的方式不同。
(2)在产生篡改之后,只有在用户访问被篡改页面首次是无法打开页面同时恢复网站文件,第二次访问页面时,页面恢复正常,Windows系统是采用事件触发机制,再受保护文件被篡改后迅速恢复,从而确保网站被篡改后的信息无法被访问者浏览。
B、UnisGuard的主要优点:
(1)策略下发之后,是通过监控端系统磁盘权限限制,无需生成水印文件就可以完成保护。
(2)在管理方面可以通过console端多点连接管理中心服务器,对防篡改系统进行管理,方便了管理人员的管理工作。
(3)Linux与Unix系统实施简单,几乎不需要考虑网站web应用发布软件。
(4)UnisGuard的防篡改机制是只要启动策略后网站信息就无法被篡改,而InforGuard是在网站信息被篡改后再恢复正确内容。
(三)同步与备份功能比较
(1)InforGuard备份是将监控端的所有站点页面备份到监控中心服务器上,同步是将监控中心备份目录下的文件同步到web监控端。这样如果是监控服务器数量多的情况下,大量恢复数据有可能影响数据的回复速度。?(2)UnisGuard优于InforGuard之处:A、备份目录位置不受限制,可以放到web服务器本地,或者第三方。B、直接杜绝对监控目录内的文件篡改权限,所以不存在大量信息被篡改后恢复数据的传输问题与速度问题。
(三)小结
由以上点评可见,UnisGuard优于InforGuard,而iGuard与其它二家的高下早已判定,故不见点评。
5、其他
本文来源:郑岗 作者:佚名