一種基于文件強(qiáng)制訪問控制的網(wǎng)站防護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域,具體地說是一種基于文件強(qiáng)制訪問控制的網(wǎng)站防護(hù)方法�。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的普及和應(yīng)用,博客�、論壇、網(wǎng)店�����、內(nèi)容管理等網(wǎng)站層出不窮��,人們間的溝通�����、交易����、展示越來越依靠網(wǎng)絡(luò)。網(wǎng)絡(luò)在給大家?guī)矸奖愕耐瑫r(shí)也存在著各種風(fēng)險(xiǎn)��,如各類網(wǎng)站掛馬�����、惡意網(wǎng)站破壞�、信息泄露等?����,F(xiàn)有技術(shù)中��,網(wǎng)站防護(hù)策略主要基于應(yīng)用層�、網(wǎng)絡(luò)層�����,并基于黑名單的規(guī)則匹配來實(shí)現(xiàn)�,雖然能夠起到一定的防護(hù)作用���,但效果并不理想����。如何保證網(wǎng)站的安全引起了大家越來越多的關(guān)注����。
[0003]為了保障系統(tǒng)安全,主機(jī)安全增強(qiáng)系統(tǒng)�,如浪潮主機(jī)安全增強(qiáng)系統(tǒng)(簡稱SSR)已得到該用應(yīng)用。該系統(tǒng)是基于對(duì)主機(jī)的內(nèi)核級(jí)安全增強(qiáng)防護(hù)��,當(dāng)未經(jīng)授權(quán)的內(nèi)、外網(wǎng)用戶進(jìn)入了主機(jī)內(nèi)部�����,它通過對(duì)原有系統(tǒng)管理員的權(quán)力進(jìn)行分散���,使其不再具有對(duì)系統(tǒng)自身安全構(gòu)成威脅的能力����,從而達(dá)到從根本上保障系統(tǒng)安全的目的��。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的技術(shù)任務(wù)是針對(duì)上述現(xiàn)有技術(shù)的不足��,提供一種基于文件強(qiáng)制訪問控制的網(wǎng)站防護(hù)方法�����。
[0005]本發(fā)明的技術(shù)任務(wù)是按以下方式實(shí)現(xiàn)的:一種基于文件強(qiáng)制訪問控制的網(wǎng)站防護(hù)方法�,其特點(diǎn)是通過對(duì)已知漏洞和高危文件的分析,得到不同網(wǎng)站類型中的關(guān)鍵文件列表�����,并做成基于主機(jī)安全增強(qiáng)系統(tǒng)的文件規(guī)則模版,然后通過浪潮主機(jī)安全增強(qiáng)系統(tǒng)的文件強(qiáng)制訪問控制功能進(jìn)行規(guī)則配置和下發(fā)��,實(shí)現(xiàn)對(duì)網(wǎng)站的底層防護(hù)��。
[0006]當(dāng)前使用率較高的網(wǎng)站類型主要有以下幾類:IIS+ASP����、Apache+PHP、Tomcat+JSP�����、Weblogic+JSPo
[0007]下面分別針對(duì)這四類網(wǎng)站分別說明其網(wǎng)站目錄下的文件防護(hù)策略:
[0008](一 )所述網(wǎng)站類型為IIS+ASP時(shí)����,文件規(guī)則模版采用以下文件防護(hù)策略:
[0009]為了保護(hù)用戶的網(wǎng)站動(dòng)態(tài)腳本,避免攻擊者修改網(wǎng)站動(dòng)態(tài)腳本插入后門或者上傳Webshell���,設(shè)置:.ASP、.ASPX,.ASA�����、.CDX�����、.CER、.HTR格式的文件對(duì)于所有進(jìn)程均只有讀權(quán)限���;
[0010]為了防止利用IIS文件名解析漏洞�����,上傳類似于xx.asp ;jpg格式的惡意代碼文件�,設(shè)置:.ASP ;*���、.ASPX ;*��、.ASA ;*�����、.CDX ;*�、.CER ;*�����、.HTR ;*格式的文件對(duì)于所有進(jìn)程只有讀權(quán)限���;
[0011]為了防止網(wǎng)站樣式表被惡意修改掛馬或毀壞����,設(shè)置:.CSS格式的文件對(duì)所有進(jìn)程只有讀權(quán)限。
[0012]( 二)所述網(wǎng)站類型為Apache+PHP時(shí)�,文件規(guī)則模版采用以下文件防護(hù)策略:
[0013]為了保護(hù)用戶的網(wǎng)站動(dòng)態(tài)腳本,避免攻擊者修改網(wǎng)站動(dòng)態(tài)腳本插入后門或者上傳Webshell����,設(shè)置:.PHP,.PHP3、.PHP4����、.CDX、.CER格式的文件對(duì)于所有進(jìn)程只有讀權(quán)限���;
[0014]防止利用Apache文件名解析漏洞�,上傳類似于xx.php.jpg格式的惡意代碼文件����,設(shè)置:.PHP.*��、.PHP3.*�����、.PHP4.*格式的文件(星號(hào)為通配符)對(duì)于所有進(jìn)程只有讀權(quán)限;
[0015]為了防止網(wǎng)站樣式表被惡意修改掛馬或毀壞�,設(shè)置:.CSS格式的文件對(duì)所有進(jìn)程只有讀權(quán)限。
[0016](三)所述網(wǎng)站類型為Tomcat+JSP時(shí)�����,文件規(guī)則模版采用以下文件防護(hù)策略:
[0017]為了保護(hù)用戶的網(wǎng)站動(dòng)態(tài)腳本�����,避免攻擊者修改網(wǎng)站動(dòng)態(tài)腳本插入后門或者上傳Webshell���,設(shè)置:.JSP格式的文件對(duì)于所有進(jìn)程只有讀權(quán)限�;
[0018]為了防止網(wǎng)站JS腳本被惡意修改掛馬�,設(shè)置:.JS格式的文件對(duì)于所有進(jìn)程只有讀權(quán)限;
[0019]為了防止網(wǎng)站樣式表被惡意修改掛馬或毀壞����,設(shè)置:.CSS格式的文件對(duì)所有進(jìn)程只有讀權(quán)限;
[0020]為了保護(hù)Web應(yīng)用部署描述文件�,防止惡意修改造成應(yīng)用異常,設(shè)置:WEB_INF目錄中的web.xml文件對(duì)所有進(jìn)程只有讀權(quán)限�����。
[0021](四)所述網(wǎng)站類型為Weblogic+JSP時(shí),文件規(guī)則模版采用以下文件防護(hù)策略:
[0022]為了保護(hù)用戶的網(wǎng)站動(dòng)態(tài)腳本��,避免攻擊者修改網(wǎng)站動(dòng)態(tài)腳本插入后門或者上傳Webshell���,設(shè)置:.JSP格式的文件對(duì)于所有進(jìn)程只有讀權(quán)限�;
[0023]為了防止網(wǎng)站JS腳本被惡意修改掛馬��,設(shè)置:.JS格式的文件對(duì)于所有進(jìn)程只有讀權(quán)限���;
[0024]為了防止網(wǎng)站樣式表被惡意修改掛馬或毀壞����,設(shè)置:.CSS格式的文件對(duì)所有進(jìn)程只有讀權(quán)限��;
[0025]為了保護(hù)Web應(yīng)用部署描述文件��,防止惡意修改造成應(yīng)用異常�,設(shè)置:WEB_INF目錄中的web.xml文件對(duì)所有進(jìn)程只有讀權(quán)限;
[0026]plan, xml文件是Weblogic的部署計(jì)劃相關(guān)文件��,指明了應(yīng)用的訪問路徑��,為防止惡意修改造成應(yīng)用訪問失敗�����,設(shè)置其對(duì)所有進(jìn)程只有讀權(quán)限�����。
[0027]將以上4種網(wǎng)站的各自規(guī)則��,做成基于主機(jī)安全增強(qiáng)系統(tǒng)的文件規(guī)則模版后����,根據(jù)實(shí)際環(huán)境中的網(wǎng)站類型和路徑,修改文件規(guī)則模版路徑���,然后將規(guī)則文件導(dǎo)入�����,即可按照規(guī)則對(duì)網(wǎng)站目錄進(jìn)行內(nèi)核級(jí)的強(qiáng)制訪問控制�����。
[0028]上述方法的實(shí)現(xiàn)包括以下步驟:
[0029](一 )在服務(wù)器上部署網(wǎng)站�����,并安裝主機(jī)安全增強(qiáng)系統(tǒng)客戶端����;
[0030]( 二)在本地PC上安裝主機(jī)安全增強(qiáng)系統(tǒng)控制端,然后確定系統(tǒng)中的網(wǎng)站目錄����,并修改提前制定好的文件規(guī)則模版中文件的路徑;
[0031](三)使用主機(jī)安全增強(qiáng)系統(tǒng)的規(guī)則導(dǎo)入功能���,將網(wǎng)站文件規(guī)則導(dǎo)入�����,從而實(shí)現(xiàn)對(duì)網(wǎng)站關(guān)鍵文件的保護(hù)��。
[0032]本發(fā)明的基于文件強(qiáng)制訪問控制的網(wǎng)站防護(hù)方法基于白名單�����,與現(xiàn)有技術(shù)中基于黑名單形式的防護(hù)手段形成了互補(bǔ)�����,且實(shí)現(xiàn)于內(nèi)核層�,作為網(wǎng)站防護(hù)體系中的最后一道防線,對(duì)網(wǎng)站關(guān)鍵文件進(jìn)行最后一層防護(hù)���,從最根本上防止惡意上傳和破壞,保證網(wǎng)站的安全和穩(wěn)定運(yùn)行���。
【附圖說明】
[0033]附圖1是本發(fā)明實(shí)施例網(wǎng)站防護(hù)方案流程圖��;
[0034]附圖2是本發(fā)明實(shí)施例系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D����。
【具體實(shí)施方式】
[0035]參照說明書附圖以具體實(shí)施例對(duì)本發(fā)明的基于文件強(qiáng)制訪問控制的網(wǎng)站防護(hù)方法作以下詳細(xì)地說明���。
[0036]實(shí)施例:
[0037]步驟一��、通過對(duì)已知漏洞和高危文件的分析��,針對(duì)當(dāng)然使用率較高的IIS+ASP���、Apache+PHP、Tomcat+JSP�����、Weblogic+JSP等四類網(wǎng)站制定網(wǎng)站目錄下的文件防護(hù)策略:
[0038](1)IIS+ASP
[0039]為了保護(hù)用戶的網(wǎng)站動(dòng)態(tài)腳本,避免攻擊者修改網(wǎng)站動(dòng)態(tài)腳本插入后門或者上傳Webshell��,設(shè)置:.ASP�、.ASPX,.ASA、.CDX�、.CER、.HTR格式的文件對(duì)于所有進(jìn)程均只有讀權(quán)限�����;
[0040]為了防止利用IIS文件名解析漏洞�,上傳類似于xx.asp ;jpg格式的惡意代碼文件,設(shè)置:.ASP ;*���、.ASPX