网页防篡改项目总体建设方案

网页防篡改项目总体建设方案内容摘要：

（ 3）在工作人员管理主机上安装管理控制台（ IGuard Console），用来登录管理中心，进行策略调整，查阅日志等操作。 注：防火墙需要开放对应 TCP 通信端口。 系统影响 （ 1）安装 IGuard 对服务器现状的影响 安装 IGuard 不会影响网站的正常运行，不需要断开网络 ，不需要重启服务器，不会对服务器的运行现状产生不良影响。 （ 2）安装完成后系统资源占用情况 IGuard 网页防篡改系统是基于系统底层来做的，采用事件触发机制，占用系统资源很少，一般正常运行占用系统资源的 2%左右。 （ 3）网页发布方式的相应调整 部署完网页防篡改后，由于网站原始路径受到保护，默认不能再对该路径进行修改，必须通过备份路径来进行发布更新，备份路径可选择安装在本机其他路径或额外的备份服务器。 然后将现有发布系统的发布路径路径改为备份路径。 这样，以后网站发布需要首先将网站发布到备份路 径，再由网页防篡改系统把新发布的文件由备份路径实时同步到相应的 Web 服务器的原始路径。 当然，也可根据管理方式的不同灵活设定防护策略，可以针对 FTP 或特定发布系统进行放行，使原发布流程不做任何变更。 或者在发布更新时暂停保护，更新完成再开启保护等。 配合事项 （ 1）确认网页防篡改所需的管理中心部署服务器； （ 2）安装时网站系统管理人员到场，并提供需要防护的网站路径和相应服务器的 root 用户口令； （ 3）协调网站发布人员，调整网页防篡改发布方式，把原有网站发布路径指向备份路径； （ 4）部署完成后做发布测试，检测网站能否正常发布； （ 5）用户访问网站测试，确认网站能够正常提供服务，所有功能正常； （ 6）打开管理中心服务器的管理端口； （ 7）打开 Web 服务器的数据传输端口； 安装测试 防篡改系统实施完成后可按照如下步骤进行简单测试： （ 1）检查网站服务器主机是否运行正常。 （ 2）使用网站链接是否可以正常访问网站。 （ 3）对网站进行发布更新操作，检测网站是否正常显示更新。 （ 4）检查防篡改系统控制台（ console）是否可以登录管 理中心进行相关配臵操作，策略下发是否成功，是否有日志显示。 故障排除及回退 网页无法正常访问 （ 1）防篡改策略下发后，被保护的网站目录为只读权限，有部分网站应用在外部用户访问时会在保护目录的某个子目录下面产生一些临时文件，设定防篡改策略后，临时文件无 法生成，导致网页访问失败。 解决方案：网页防篡改系统有设臵许可的功能，可以把在外部访问时会产生临时文件的目录放在防篡改系统的配臵项里面，把它设为许可，该目录将具有可写权限，保证网站能够正常访问。 （ 2）防篡改策略下发后，网站目 录不可写，网站更新只能在备份端进行，直接在网站 目录做网站更新将无法更新， 导致发布的 更新页面不能访问。 解决方案：网页防篡改对网站目录进行保护，被保护的网站目录将不可写，只能通过备份目录来更新网站，需要在网站原始路径与实际发布系统之间增加一个备份路径，在该备份路径上做网站更新，防篡改系统能够把更新的内容实时增量同步到网站原始路径，实现正常的发布更新流程。 影响应用系统工作 IGuard 网页防篡改系统工作在系统层，一般不会对 Web 应用造成影响，如果 Web 应用出现问题，要在防篡改系统上查找原 因，可立即停止防篡改系统保护策略，并联系技术支 持人员进行排查。 因此，我们建议首先在正式部署防篡改系统前好备份，以便有问题可以及时恢复；部署完系统以后检查应用系统，看是否正常工作；若应用系统出现故障，可以立即停止防篡改系统监控进程，及时排查原因。 环境工具材料准备 在项目实施过程中，需要准备一部分工具及附助材料。 为此，根据系统内容，以及本工程的进度计划、质量目标，需要制定产品、材料、工具的准备计划。 在项目实施开始前一周， 海康 将跟据工程规模、机房及实施产品的实际情况准备实施相关的辅 助材料及工具，保证满足项目实施的工期安排，计划安排应充分考虑设备的生产周期以及运输周期，不得影响工期需求。 预计需要采购的材料、工具如下： 序号 材料、工具名称 规格描述 1 千兆以太网跳线 符合 1000BASET标准 2 百兆以太网跳线 符合 100BASET 标准 3 网线钳 适用压接电话端子之种类 (可剥圆孔线 ) 4 RJ45/RJ11 测线仪 采用自动扫描方式，快速测试，流线型外形，符合人体工程学设计。 项目施工进度计划 本期项目要求按照 2020 年 11 月底为项目启动（清单小签）时间点， 2020年 12 月底为设备上线和基本业务开展的时间点进行进度计划安排，因此本期施工进度计划安排按照 15 个工作日内系统上线进入试运行阶段计算。 项目预计自设备供货完毕后（供货周期为 5 个工作日）， 15 个工作日内完成系统实施进入试运行阶段，具体时间进度安排： 序号 项目细节 5 日 4 日 4 日 4 日 4 日 4 日 N 日 1 设备到货 2 产品到货验收 3 系统安装 4 策略配臵 5 系统独立测试 6 系统联调 7 实施文档准备 8 试运行阶段 说明： 1：本进度表为项目工期进度表。 2：试运行周期根据工程实施总进度及合同相关规定。 项目人员安排情况 海康 将针对本项目建立专门的项目管理团队，以全方位与用户实现高速接口，管理组织人员名单如下： 序号 姓名 项目 职能 所在地 职位 从业经验（年） 1 董全宇 项目经理 哈尔滨 分公司经理 12 2 李倩 项目变更控制 及商务审核 北京 商务 经理 5 3 杨泽辉 产品技术咨询 北京 技术总监 8 4 朱铁男 技术 顾问 及安全顾问 北京 咨询 顾问 4 5 梁冬娟 文档 管理 及 QA质量审计 北京 文档 工程师 3 6 刘媛 测试组 北京 测试工程师 3 海康作为系统 原厂商，在工程实施过程中， 将 提供及时的 技术支持 服务， 技术支持 人员名单如下： 序号 姓名 项目 职能 所在地 职 位 从业经验（年） 1 潘志超 项目实施工程师 哈尔滨 工 程师 3 2 史帅 项目实施工程师 哈尔滨 工程师 4 3 杨梦端 项目实施工程师 哈尔滨 工程师 3 4 李波 远程支持工程师 北京 工程师 2 5 张吉州 远程支持工程师 北京 工程师 3 二 、功能特性 网站因需要被公众访问而暴露于因特网上，因此最容易成为黑客的攻击目标。 IGuard 通过操作系统底层驱动技术，对保护的对象（静态网页、动态执行脚本、 文件夹）实时监测其属性，一旦 发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理客户端，如果发生文件篡改现象，系统也会自动从备份端进行恢复，使用双重机制保证了网页内容的安全。 IGuard网页防篡改保护系统采用基于文件驱动级的保护技术 —— 内核事件触发保护机制，确保系统资源不被浪费。 不同于其他防篡改软件的 Web 事件触发机制， IGuard 的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术，与操作系统紧密结合。 这样做完全杜绝了普通 Web 内嵌防篡改软件可能发生的计算校验占用系统资源过多，校验值计算不正确，篡改备份后无法恢 复等一系列的风险。 系统动态防护模块支持对 SQL 注入攻击、跨站攻击、溢出代码攻击等构造类网络攻击方式的检测，能够进行有效的阻止与保护。 在面对大规模连续的篡改时， IG。