EP電力信息化網記者李東波報道:網頁防篡改是IDC安全建設中的重要一環
隨著大數據時代的來臨，IDC機房建設不斷升級，IDC安全已成為各大電信運營商競爭和關注的焦點。特別是隨著企業信息化程度的提高，其自身的數據安全和信息網絡安全也越來越被關注。

近幾年，IDC機房在信息安全方面采取了一系列安全措施，初步實現了對部分關鍵業務系統的基本保護，并降低了病毒和黑客等攻擊源對系統安全性造成破壞的可能性。但由于IDC機房網絡信息系統結構的復雜性和龐大性，而且各種應用系統的建設受到當時條件的限制缺乏統一的遠景規劃，導致在網絡信息系統管理和技術上還遺留了很多安全問題和隱患，使得Web應用系統仍然存在很多來自外部或內部引起的安全風險。

目前在國內，針對Web應用的攻擊問題相當嚴重，網頁遭受非法篡改的事件時有發生。托管到IDC機房的用戶網站，一旦某些重要網頁被篡改后被公眾瀏覽到，將會對客戶單位及IDC機房的形象造成巨大的負面影響。為了保證現有業務系統安全，必須對現有的IDC機房的Web網站進行專業有效的安全防護，能夠有效防止黑客對網站頁面的篡改攻擊，保障客戶網站安全。

特殊環境決定IDC機房網頁防篡改建設原則

考慮到IDC機房的特殊性，IDC機房的用戶數量龐大，網站應用所使用的OS平臺、Web服務器種類、后臺發布系統、后臺數據庫等種類繁多，技術水平參差不齊。要對整個機房的所有Web網站系統進行統一的防篡改建設，首要考慮的因素是可實施性;針對不同的Web網站系統，能夠簡單有效的實現網頁防篡改目的，達到用戶實際需求。另外，還需遵循以下原則：
方案先進原則：系統要求功能完善、技術先進、安全可靠、服務領先;
系統安全原則：系統自身安全包括物理安全、系統安全、數據安全和運行安全等;
可擴展原則：統一規劃，兼顧長遠，既要滿足現有的需求，又要兼顧系統的可擴展性，保證分布實施的延續性。系統在結構、規模、應用能力等各個方面都必須具備很強的擴展能力;
易操作原則：網頁防篡改保護系統的使用、維護、管理等方面要易操作;
高效原則：系統的處理能力要求能滿足現階段的實際需求，保證系統的高效運行，并能根據系統的發展進行不斷提升;
功能完整原則：網頁防篡改保護系統的功能完整，應用安全擴展系統功能完整;
靈活性原則：整個系統的擴展方面必須滿足靈活性要求。
天融信推出IDC機房網頁防篡改方案
結合上述分析，天融信公司應用安全團隊通過對網站安全多年的研究經驗，針對Web應用安全提出了全新的安全防護方式，采用天融信網頁防篡改系統對IDC機房的網站系統進行統一規劃建設，達到IDC機房的防篡改保護要求。天融信網頁防篡改系統采用當前最先進的系統底層文件驅動技術，通過驅動層面的訪問控制手段，實現對網站頁面的全面保護，直接阻止非法用戶對網站頁面的篡改行為，真正意義上做到了事前防篡改。
由于IDC機房的特殊性，采用當前市面上傳統的防篡改產品，使用傳統的部署模式無法滿足IDC機房的技術要求;當前傳統的防篡改系統都是采用分布式部署，集中管理模式部署，在部署防篡改的時候，需要對原網站系統進行完全備份，用于后期網站更新發布及篡改恢復。但此類防篡改系統針對IDC機房的龐大用戶群體，根本無法有效推廣，具體來看，存在以下問題：
1) 傳統防篡改系統部署模式需要對原網站進行備份，IDC如此龐大的網站數量，備份網站需要極大的磁盤空間，需要耗費極大的資源。
2) 傳統防篡改系統采用集中管控方式，數以萬計的防篡改客戶端集中于一個管理平臺，對軟件的可靠性及可用性提出了嚴峻的考驗，環境過于復雜后，可能根本無法實現。
3) 傳統防篡改部署后，網站發布需要在防篡改指定的備份目錄進行發布，發布后由防篡改系統把數據信息同步到對應的Web目錄，IDC機房的客戶都是遠程維護信息，如果采用此模式，所有用戶發布都必須經過防篡改備份端，必須考慮防篡改備份服務器的安全性、可靠性及對應服務器的性能。如此多的用戶使用同一臺或幾臺備份服務器，如何控制對應的用戶權限？如何保證用戶發布的習慣，保證用戶發布的信息能及時同步到對應的Web應用？
通過以上分析可以得出，采用傳統的防篡改防護模式，根本無法滿足IDC機房的基本需求，天融信針對IDC機房的特殊性進行全面分析，推出一套適用于IDC機房的防篡改安全防護方案，此方案簡單有效，能夠全面適宜于IDC機房的特殊環境，便于大量推廣。
具體方案如下：
改變傳統的部署模式，把分布式部署，集中管理模式更改為針對單一服務器單獨部署。針對IDC機房的特殊情況，天融信推出一款專業用于IDC機房的防篡改系統，該系統打破常規，所有防護都基于單臺服務器來實現，使管理模式變得簡單易行。
天融信的防篡改核心技術采用第三代防篡改技術：系統底層文件驅動保護技術，使用該技術能夠從系統底層對需要保護的網站文件或目錄進行全面保護，防止黑客篡改，做到事前防御。正是由于這種技術的先進性，使得防篡改使用單機模式部署成為可選擇的一種部署方式，此方式能夠完美的滿足IDC機房的特殊環境要求，有效防護IDC用戶的Web網站。具體實現方式如下：
1) 在IDC機房需要進行篡改防護的服務器上安裝天融信網頁防篡改系統，通過防篡改策略，直接監控網站目錄，阻止篡改攻擊，部署后即使非法用戶獲得管理員或SYSTEM權限，均無法對保護目錄下的網頁文件進行篡改。
2) 部署防篡改系統后，網站需要發布更新，必須預留頁面更新通道，我們通過進程許可的方式來實現;所謂進程許可就是把用戶用于網站更新發布的進程添加到防篡改系統的許可列表，則該進程可以往防篡改保護目錄更新網頁文件，除此進程外的所有操作都被視為非法，防篡改系統將直接阻止。
3) 為便于集中監控，天融信網頁防篡改系統對篡改日志可以提供syslog接口統一上報到IDC機房的統一監控平臺。

方案優勢：

采用以上方案，無需增加額外設備，無需改變原有網絡架構，所有操作均針對單一服務器，安裝部署簡單，防篡改防護只針對文件，與Web服務器無關，適用于所有的Web服務器和所有的內容管理系統。即便防篡改系統出現故障，不會影響Web網站正常運行，有效保障業務系統的有效性和連續性。