中创InforGuard企业网络安全解决方案

　　产品简介

　　InforGuard系统根据所在网络位置和作用分为三个子系统:

　　监控中心MC(Monitor center)，以下简称MC，MC作为InforGuard系统中的控制中心，主要负责管理监控代理和备份文件，以及监控信息、报警信息的审计、处理等工作。

　　监控代理MA(Monitor Agent)，以下简称MA，它在InforGuard系统中作为监控引擎，负责监控文件系统的变化、并以此作为事件源进行分析，确定文件变化的合法性。

　　维护终端MT(Maintenance Terminal)，以下简称MT，MT是InforGuard为了方便用户使用而提供的客户端工具，通过它的Windows标准界面，用户可以更加安全、便利的对网站系统进行远程维护。

　　通常情况下，InforGuard各子系统所在网络位置如下:用户在需要保护的服务器上安装监控代理MA;在用户网络中安全位置的某设备上安装监控中心MC;维护终端MT可以安装在用户网络或Internet的任何位置。

　　中创网页防篡改系统InforGuard工作原理简介

　　1.监控与恢复过程

　　用户在MC端添加MA之后，首先进行网站备份，将网站服务器需要保护的文件备份到监控中心所在的设备上(备份操作仅在用户最初进行InforGuard配置时用到)。然后，MC端对某一MA启动监控，该MA负责监控服务器的文件系统(所有文件类型，包括动态网页文件)，分析文件系统变化，确定文件变化的合法性，如果是非法变化，则提交报警信息给监控中心MC，MC会实时以备份的合法文件为依据恢复被非法篡改的文件(整个恢复过程为毫秒级)，这就是监控与恢复的核心过程。

　　2.网站正常维护过程

　　部署InforGuard之后的网站维护基本流程如下图所示:

　　InforGuard支持三种方式对网站进行远程维护:

　　1) 直接对MC端本地备份目录进行操作;

　　2) 通过我们的维护终端MT对网站进行远程更新。采用此方式进行网站远程维护，需要由InforGuard管理人员为用户颁发权限证书，具备强认证功能和加密功能。如果网站维护人员位于局域网之外，例如信息中心的托管网站用户通过Internet或宽带进行维护，那么需要信息中心开设防火墙相应端口;

　　3) 通过用户自己的发布工具，如ftp等，将待更新的文件传至监控中心MC的备份目录中，MC会自动同步更新网站服务器。该方式适用于带自动发布(CMS)的网站系统。

　　当然，用户可以根据自己的实际需求选择其中一种对网站进行维护，或者几种方式共同使用。无论采用哪一种方式进行网站维护，InforGuard均支持多用户并发操作。

　　实际环境下的InforGuard解决方案

　　部署InforGuard之前的网站结构

　　为了更清晰的描述企业网站的应用，我们以一个典型的企业网站拓扑图为例进行分析:

　　在这样的网站应用中，网站维护人员一般采用较为简单的维护方式，如采用网上共享、ftp工具对网站进行维护，或者直接在网站服务器上进行文件更新等操作。无论是哪一种方式，都只是对网站文件的更新，并没有针对文件变化的监控和保护，因此，这样的一种管理维护方式必然会带来如下一些问题:

　　1. 网站维护人员自选终端工具主要包括ftp、telnet、Pc anywhere、CMS或远程桌面等等，用户选择不同的网站维护工具和方式，就需要网站管理人员开辟相应的服务器端口，这就导致服务器开放众多端口，安全性自然大大降低，黑客、病毒会借助这些开放的端口对网站系统进行侵袭、破坏，最终导致网站服务出现异常，严重影响业务的正常开展，损坏网站用户的形象及利益。

　　2. 由于根本不存在网站发布目录的实时保护、报警机制，因此，发生非法事件之后，网站管理人员很难及时了解网站的情况，结果某些非法文件(如恶意页面、病毒、木马等)会较长时间驻留网站服务器，其危害是不言而喻的。

　　3. 网站维护人员自选终端工具众多，不具备统一的认证功能。除安全性问题之外，这还必然会增加网站管理部门的管理难度，增加管理成本。

　　4. 网站维护人员自选终端工具和维护方式通常不具备强加密功能，容易被蓄意攻击者捕获网络信息，甚至篡改网络信息，造成网站内容被破坏的现象发生。

　　部署InforGuard之后的网站结构

　　根据对上面拓扑结构以及发布流程的分析，并综合考虑在保证网站服务器安全的同时尽量维持用户习惯的工作方式。我们给出了以下解决方案，如下图:

　　用户在需要保护的网站服务器上安装监控代理MA，并作简单配置，如上图中标识为“运行MA”。

　　用户在网络中的某台普通的计算机设备上安装监控中心MC，该设备是由用户自行选定，如上图中标识为“运行MC”。经过添加代理MA的简单配置之后，分布于用户网络内的所有监控代理MA都由监控中心MC统一负责管理、维护;如果用户网络中的监控点较多，为保证网站维护的效率，建议用户配置多个监控中心MC，分别管理部分监控代理MA，实现负载均衡，提高效率。

　　对于网站服务器文件的远程维护可以通过用户网络中或Internet上的任何设备完成，用户可以使用InforGuard提供的网站维护工具MT实现网站远程维护，如上图中“运行MT”标识所示。所有文件合法更新只需发布到InforGuard监控中心既可，系统会自动同步更新网站服务器。

　　部署InforGuard之后，网站系统具备如下一些新的特点:

　　1. 网站管理人员仅需要开辟服务器的一个端口(随意选择)，就可以支持所有的网站维护人员对网站更新的需求，极大的提高了安全性。

　　2. 网站处于实时的监控与保护之中，一旦发生非法篡改，系统会立即恢复，同时以多种形式(如电话、短信、邮件、铃声等)进行报警，保证在第一时间通知网站相关人员。后者可以根据日志纪录分析网站应用漏洞、查找非法攻击者。

　　3. 化繁为简，原有的众多发布工具都统一为确定的一种工具——InforGuard维护终端MT，由InforGuard系统统一为所有用户颁发数字证书，自动进行远程维护的认证管理工作，因此大大降低了管理难度和成本。

　　4. InforGuard维护终端MT提供强加密功能，有效的杜绝传输过程中的各种网络信息篡改、欺骗，保证用户信息的绝对正确性和不可抵赖性。

　　InforGuard部署所需资源

　　如上图所展示，InforGuard部署应用仅需要增加一台计算机设备作为发布服务器(图中粉色边框区)，该设备的具体需求如下:

　　CPU:800MHZ以上 内存:256M以上

　　当然，该设备配置越高，InforGuard系统效率的优势就越发明显。用户也可以将MC与MA都安装于网站服务器上以节约部署费用。