PDF《中创中间件InforGuard》

863 技术成果为基础,以成熟的中间件产品和 技术为支撑,为互联网上的业务系统提供 破坏性防御 的安全方案――中创中间件 InforGuard 防篡改系统. 该系统采用 容灾为主, 以不变应万变 的安全理念, 弥补了 攻 击性防护 系统由于依赖特征库而导致的防御缺陷,能有效阻止黑客对受保护的系统进 行 勒索、潜伏、植入、篡改 的破坏行为发生,共同为业务系统打造一个立体型的防御 体系,防御图如下图示: 中创中间件防篡改产品6中创中间件 InforGuard 防篡改产品防御特征如下: 1. 防护功能不依赖于特征库,采用 强认证 机制确保内容正确性.因此,系统 不受网站攻击手段变化带来的负面影响. 2. 技术实现方面完全不同于防火墙、入侵检测等攻击性防御的产品,系统主要是 对应用内容信息的合法性关注.以实时阻断、事件触发、嵌入式过滤技术、文件监控技 术多种保护技术,针对网站文件进行全方位的防御. 2.2. 产品设计思路 产品在遵循国际标准和规范的基础上,借鉴先进理念和架构,以成熟稳定的中间件 系统为支撑,融合自主创新的多种安全领域技术设计实现.产品设计思路如下图所示: 中创中间件防篡改产品7InforGuard WebShield 遵循 TCP/IP 标准网络协议,从而为实现跨异构网络奠定了坚 实的基础,同时,本系统还遵循 X.509 规范,这是实现安全的加密传输以及数字证书认 证方式的核心;

此外,系统在 WEB 嵌入式开发中遵循 Servlet2.4 规范,基于此规范, 系统屏蔽了各种应用服务器的差异性,实现了 Servlet 过滤器的统一. InforGuard WebShield 在设计中充分体现了软总线、软构件的理念.系统在网络交 互方面采用了消息总线的设计思路,从而屏蔽复杂的网络环境和交互过程,为上层业务 实现了无网络差异的软总线. 系统根据软件分层原则将复杂业务处理划分为多个相对独 立的逻辑层, 每一层又由一个或多个相对独立的模块/组件构成, 从而提高了系统的可复 用程度和可维护性,充分体现了软构件设计理念;

此外,系统对于众多模块或组件采用 插件化管理方式, 由统一的框架实现具体功能模块/组件的组装调配, 该设计方式提高了 自身应对需求变更的可扩展能力. 2.3. 产品逻辑架构 InforGuard WebShield 采用先进的分层模型,在设计中将系统根据业界规范划分为 服务层、业务层和展示层.其中服务层之基础服务层由中创自主研发的国内领先的中间 件产品构成.合理的分层结构保证了系统的高可维护性,坚实的基础服务也造就了系统 卓越的稳定性和可靠性. 中创中间件防篡改产品8注:上图中 IAS 是InforSuite 产品家族中应用服务器 Application Server 的缩写.IB 是原有 Infor 系列产品中消息中间件 InforBroker 的缩写,目前已集成到 IAS 中.IRS 是InforSuite 产品家族中报表服务器 Report Server 的缩写. 2.4. 产品技术架构 如上图所示,系统整体架构以中间件为基础实现分层设计和层级管理模式. 中创中间件防篡改产品9?通过分布对象中间件 InforBus 实现分布部署,集中管理. ? 通过消息中间件 InforBroker 支撑跨互联网统一监管. 2.5. 产品主要组成 InforGuard WebShield 由监控代理(Monitor Agent)、发布代理(Synchronization Agent)、管理中心(Managerment Center)三个子系统组成. ? 监控代理(MA):部署于网站服务器,负责实时监控保护网站文件,发现篡 改企图或篡改操作实时阻断并立即告警,同时发送恢复请求. ? 发布代理(SA):部署于发布服务器,负责实时监控备份文件变更,将变更的 文件实时发布到网站服务器,同时实时监控并响应监控代理提交的恢复请求, 并根据请求执行向网站服务器的文件发布.注:发布服务器通常情况下是指 CMS 服务器或 FTP 服务器. ? 管理中心(MC):逻辑上部署于管理服务器,作为用户与系统之间的接口, 负责将操作指令传达给监控代理和发布代理;