高校门户网站内容安全解决方案.docx

高校门户网站内容安全解决方案.docx

《高校门户网站内容安全解决方案.docx》由会员分享，可在线阅读，更多相关《高校门户网站内容安全解决方案.docx（16页珍藏版）》请在冰点文库上搜索。

高校门户网站内容安全解决方案

高校门户网站内容安全

解决方案

成都诚盟科技有限公司技术部

2010/9

前言

高校教育门户网站，不仅是学校的宣传窗口，更重要的是为了促进依法行政，提高办事效率，积极发挥“信息公开”、“在线服务”及“公众参与”三大功能，同时四川省教育厅把教育门户网站建设管理纳入年度综合目标管理考核内容，因此高校以及教育行政部门加强对自己的门户网站建设。

保障其稳定、安全运行是必要的。

目前学校各部门网站绝大多数都部署在一台web服务器上，通过IIS设置虚拟目录接入网络；还有就是学校的分院以及部门二级部门需要他们有对自己的网站有一定的管理权限，就单独的提供服务器，建自己部门的网站，在学校的网站上提供链接。

这样既不利于对网站的管理和维护，同时也不可避免的存在病毒、漏洞攻击等各种各样的潜在危险。

一旦，某一个网站的文件被病毒侵害，则整个学校的网站都要受到严重的威胁,将面临全校网站都无法访问等问题。

同时对网站的内容不能进行统一有效的监控，会出现一些非法的链接，发布一些非法信息等。

根据以上情况，本公司提供服务器虚拟化产品Virtuozzo和网清网络内容监控系统的解决方案。

产品简介

Virtuozzo服务器虚拟化系统

Virtuozzo是一项服务器虚拟化和自动化技术，利用Virtuozzo可以在一台服务器上创建多个相互隔离的虚拟专用服务器（VirtualPrivateServer,VPS）。

这些VPS以最大化的效率共享硬件、软件许可证以及管理资源。

对其用户和应用程序来讲，每一个VPS平台的运行和管理都与一台独立主机完全相同，因为每一个VPS均可独立进行重启并拥有自己的root访问权限、用户、IP地址、内存、过程、文件、应用程序、系统函数库以及配置文件。

VPS的运行和管理与独立主机完全相同

每一个VPS拥有其独立的过程、用户、文件并提供完全ROOT访问权限

每一个VPS可以拥有独立IP地址、端口号码、表单、以及过滤和路由规则

每个VPS可以拥有其自己的系统配置文件并能够装载一个应用程序

每个VPS可以拥有自己的系统函数库版本或者修改现有的系统函数库版本

示例：

单个服务器可运行多个版本的Linux系统

为每一个VPS提供专用SLA以保证服务质量

标准服务：

包括CPU、磁盘空间和网络I/O保证

独有服务：

内存保证–用户和内核、物理服务器和虚拟服务器

独有服务：

磁盘I/O保证和更多其它关键资源保证（超过20个）

VPS不是虚拟机（VM）！

仅以同样的操作系统作为root操作系统–LinuxonLinux,WindowsonWindws

10-100倍提高效率，LB和更多动态QoS变化

VPS在不改变软件的条件下运行现有软件

VPS产品优势：

隔离分区

√彻底消除单用户拖垮整台服务器的风险；

√彻底隔离不同用户，保证服务器运行并维系用户；

√增加安全性，甚至高于独立主机的安全性；

√保障每个用户的网络资源；

√增强了网络安全性，甚至高于独立主机的安全性，不至于被其他用户影响；

资源管理

√极少关于服务质量的投诉电话；

√更多的资源成为用户快乐的源泉；

√能够做出资源保证，让用户得到独立主机般的体验；

√允许使用空闲的资源以提供比独立主机更好的服务；

√客服响应提高，增加客户满意度；

√更多的资源成为用户快乐的源泉；

√能够做出资源保证，让用户得到独立主机般的体验；

服务器虚拟化

√彻底消除定期维护的停机时间；

√使用户的升级更加简便容易；

管理工具

√减少对服务器的管理时间；

√在几秒钟内创建VPS；

√在几秒钟内轻而易举部署和更新应用软件；

√整合备份功能；

√全面的版本和服务器资源工具；

终端用户工具

√用户的自助管理降低了技术支持成本；

√提供内置的备份、恢复、重启和故障排查工具，提供比独立主机服务更优的服务；

网清网络内容监控系统

网清网络内容监控系统，是新一代的网络内容智能监控系统。

网清首创的“语义关联深度搜索算法引擎”达到了检索精度和性能的最优化平衡，针对数据中心的WEB服务器集群提供了高效和全面的内容监控手段。

网清采用在机的内容过滤方式，不仅可以屏蔽不良信息，而且可以随时对检出的不良网站进行关停控制，以防为主，防治结合，达到了“监”与“控”的完美结合。

网清采用了先进的集中管理方式，关键词发布、系统升级等任务全部实现了自动化，使内容监控任务变得无比轻松。

功能列表

功能大类

功能子类

功能点

功能描述

备注

内容监控

网页监控

关键词监控

根据用户定义的关键词，对流入流出服务器的内容进行高速搜索，对命中内容可以进行替换、拦截和记录日志等多种手段处理。

动态规则保护

使用动态规则，对于多次命中统一规则的行为将在设定的一定时间内丌再处理，直接返回提示信息，必要监控效率，极大降低服务器性能资源的占用

访问控制

根据来源IP、访问URL、网站等访问控制对象，建立快速处理的黑白名单，极大优化了系统效率。

搜索深度控制

可设置关键字搜索深度，有效杜绝关键字中加特殊字符以逃避监控的行为。

误判排除设置

根据中文是孤立语系，必须依赖于上下文的特点，提供关键词排除功能，有效避免误判的可能。

监测信息警示及相关统计

告警信息及时提醒管理员。

随时统计命中次数较多的高危网站和高命中率的关键词。

提供关键词、网站、以及访问IP的统计图表，清晰而且直观。

图像监控

色情图像扫描引擎

扫描服务器和站点图片文件中存在的色情等非法内容，多级组合神经网络和向量机分类器，进行多级输出，符合人类模糊判别的特点，超越简单的人体肤色判别，结合轮廓和局部提取体征，多达55个特征点的判别，识别率>98%,误判率<2%.

色情信息统计

可对服务器和站点分别统计和图示。

分检中心

基于人类对于色情图像的判断标准丌确定性，提供实时缩略的分拣中心，方便管理员对结果进行人工分拣。

安全监控

安全防护

防SQL注入

防止SQL注入攻击网站应用。

可根据攻击特征，自行添加和维护需要拦截的sql语句组合，便于管理员维护和管理

防盗链

设置禁止特定后缀的URL只能从本服务器被引用。

可根据需要保护的文件后缀，自行添加和维护需要保护的文件链接。

防溢出

限制HTTP请求的长度，防止缓冲区溢出攻击。

HTTP请求类型控制

可以分别设置是否允许以下http请求类型，PUT、DELETE、TRACE、DEBUG、HEAD、POST、GET。

文件类型控制

对于譬如.mdb之类的数据库文件，可以设定为禁止从WEB访问，从而保证敏感文件的安全。

URL重定向

URL重定向

设置特定网站／ＵRL访问自动重定向到指定地址

泛绑定

实现*按预设规则转发到特定站点的作用。

减少在Windows虚拟主机上对于独立IP的占用。

网站备案

网站备案查询

自动查询服务器上各站点的备案情况

IIS保护

IIS目录解析漏洞

防止命名为类似abc.asp的目录被当作ASP解析执行。

应用程序池监控

实时监控应用程序池，对于意外关闭的应用程序池进行重置和开启

性能监控

性能监控

网站访问监控

针对服务器或站点，查看流入流出数据量，平均带宽，点击数等网站访问信息，并实现实时统计网站流量和访问次数，进行排名。

WEB性能监控

实时监控CPU，磁盘，内存，进程，网络等各方面资源，并生成图表，为机房性能管理提供了方便有效的监控手段。

系统特性

系统特性

分布式集中管理

使用分布式集中管理架构，1个集中管理的控制中心管理多个分布式被监控服务器，管理员可以通过控制中心管理所有被控服务器，无须登录所有被控服务器操作，极大的方便系统管理，提高效率，并可由控制中心自动进行调度，分发，和日志的收集。

丌仅能方便地进行关键词设定和监控服务器性能，而且，因为集中统计、集中对比，所以能更全面统计各关键词的命中率，对于丌良网站也能更快地检出。

多种消息提醒

可实现管理中心，邮件，短信等多种途径的消息提醒，减轻管理员的监控负担。

实现全天候的管理。

完备的日志功能

不仅有过滤日志，而且还记录有用户日志、任务日志、错误日志等，以满足系统维护的全面需求。

自动数据维护

能够对数据库进行自动维护，并自动清除过期数据，管理员可以通过管理中心做详细的维护计划。

完善的用户管理

详细划分了系统权限和用户角色，各操作界面都有权限控制，丌具备权限的用户无法越权使用。

兼顾特殊需求

主控服务器在管理上也兼顾了管理员对于特殊服务器，特殊网站的设置需求，对于集中管理下的各个服务器可以单独设置，统计时也可以选择需要查看的服务器进行单独统计。

系统结构

网清系统从整体上划分成两大部分：

集中控制中心和分布式被监控服务器。

控制中心

控制中心有控制中心后台、控制中心数据库和集中控制服务组成。

控制中心后台负责向前台工作在管理员客户端浏览器中的AJAX客户端程序提供各种管理服务和数据。

控制中心后台与集中控制服务之间，通过数据库进行交互。

集中控制服务提供各种操作的分发和任务调度。

并且与被控服务器上的被控服务通信，传递过滤规则和过滤日志等内容。

被控服务器

被控服务器上包含被控服务和网络内容过滤器两大部分。

二者之间通过配置文件和日志进行数据通信。

被控服务负责接受控制中心发来的命令，更新内容过滤规则和提交过滤的日志结果。

网络内容过滤器负责对服务器上的网络内容进行分析筛选和过滤操作。

集中化管理

网清系统中采用了集中化管理的方式。

本系统可能在机房中被部署在多台服务器上，甚至可能被部署在多个机房当中。

为了方便对系统进行有效的管理，必须采用集中化管理的方式。

网清系统中，无论被管理的有多少台服务器，管理员均在唯一的控制中心进行管理。

系统中的规则可以指定适用范围，有指定适用范围的规则将适用于整个系统中的所有服务器。

当有新的服务器被加入到系统中时，所有的全局规则讲自动的配置到新加入的服务器中，不需要人工进行指定。

最大程度的减少了管理员需要进行的管理工作量。

实施方案：

对web服务器采用服务器虚拟化产品Virtuozzo进行虚拟化后提供给二级部门，对二级部门的服务器、虚拟服务器（可以在同一机房，也可以不在同一机房）部署网清内容管理系统的被控端管理程序，再通过网清内容管理系统的管理端进行管理。

成功案例：

西南交通大学

使用服务器虚拟化产品Virtuozzo，通过对五台物理服务器虚拟成虚拟服务器200个以上，将提供给学校的二级部门放网站使用，解决了放一个物理服务器上共享IIS的情况，还保障二级部门有相当的自由度，还有余下的虚拟服务器进行测试软件的环境搭建等。

成都理工大学

使用服务器虚拟化产品Virtuozzo，通过对一台物理服务器虚拟成虚拟服务器30个以上，将提供给学校的二级部门放网站使用，解决了放一个物理服务器上共享IIS的情况，还保障二级部门有相当的自由度。

西华大学

使用服务器虚拟化产品Virtuozzo，通过对两台物理服务器虚拟成虚拟服务器60个以上，将提供给学校的二级部门放网站使用，，解决了放一个物理服务器上共享IIS的情况，还保障二级部门有相当的自由度。

四川外语学院

使用服务器虚拟化产品Virtuozzo，通过对四台物理服务器虚拟成虚拟服务器100个以上，将提供给学校的二级部门放网站使用，余下的还有进行测试软件的环境搭建。

中国移动WAP网关

中国移动WAP网关采用网清内容监控系统监听和抓取移动梦网的内容，由一组存储和分析服务器群分析多媒体内容，配合一定的人工筛选，收集不良内容违规证据，作为监管凭证。

2008年5月在广东移动正式上线，截至目前，已查处梦网89家不良SP，Freewap的575个入口网站，发挥了巨大的社会效益和经济效益。

中国电信新疆分公司

中国电信苏州分公司

中国联通长春分公司

中国联通青岛分公司

上海有孚网络有限公司

北京息壤网络有限公司