;*、.ASA ;*、.CDX ;*、.CER ;*、.HTR ;* 格式的文件(星号为通配符)对于所有进程只有读权限;
[0041]为了防止网站样式表被恶意修改挂马或毁坏,设置:.CSS格式的文件对所有进程只有读权限。
[0042](2) Apache+PHP
[0043]为了保护用户的网站动态脚本,避免攻击者修改网站动态脚本插入后门或者上传Webshell,设置:.PHP、.PHP3、.PHP4、.CDX、.CER格式的文件对于所有进程只有读权限;
[0044]为了防止利用Apache文件名解析漏洞,上传类似于xx.php.jpg格式的恶意代码文件,设置:.PHP.*、.PHP3.*、.PHP4.*格式的文件(星号为通配符)对于所有进程只有读权限;
[0045]为了防止网站样式表被恶意修改挂马或毁坏,设置:.CSS格式的文件对所有进程只有读权限。
[0046](3) Tomcat+JSP
[0047]为了保护用户的网站动态脚本,避免攻击者修改网站动态脚本插入后门或者上传Webshell,设置:.JSP格式的文件对于所有进程只有读权限;
[0048]为了防止网站JS脚本被恶意修改挂马,设置:.JS格式的文件对于所有进程只有读权限;
[0049]为了防止网站样式表被恶意修改挂马或毁坏,设置:.CSS格式的文件对所有进程只有读权限;
[0050]为了保护Web应用部署描述文件,防止恶意修改造成应用异常,设置:WEB_INF目录中的web.xml文件对所有进程只有读权限。
[0051](4) Weblogic+JSP
[0052]为了保护用户的网站动态脚本,避免攻击者修改网站动态脚本插入后门或者上传Webshell,设置:.JSP格式的文件对于所有进程只有读权限;
[0053]为了防止网站JS脚本被恶意修改挂马,设置:.JS格式的文件对于所有进程只有读权限;
[0054]为了防止网站样式表被恶意修改挂马或毁坏,设置:.CSS格式的文件对所有进程只有读权限;
[0055]为了保护Web应用部署描述文件,防止恶意修改造成应用异常,设置:WEB_INF目录中的web.xml文件对所有进程只有读权限;
[0056]plan, xml文件是Weblogic的部署计划相关文件,指明了应用的访问路径,为防止恶意修改造成应用访问失败,设置其对所有进程只有读权限。
[0057]步骤二、将以上4种网站的各自规则,做成基于浪潮主机安全增强系统(简称SSR)的文件规则模版,根据实际环境中的网站类型和路径,修改规则路径,然后将规则文件导入,从而按照规则对网站目录进行内核级的强制访问控制。
[0058]下面,以IIS+ASP网站为例对上述方法的实现过程(如附图1所示)作进一步说明:
[0059]步骤一、在服务器上部署IIS+ASP网站,然后安装浪潮主机安全增强系统(简称SSR)客户端。
[0060]步骤二、在本地PC上安装浪潮主机安全增强系统控制端。系统网络拓扑如附图2所示。
[0061]步骤三、确定系统中的网站目录,并修改提前制定好的IIS+ASP网站的防护规则模版中文件的路径。
[0062]步骤四、使用SSR的规则导入功能,将网站防护策略导入,从而实现对网站关键文件的保护。
[0063]此时,即使攻击者突破了防火墙、IPS、WAF等防护设备,获取了系统的管理员权限,准备上传木马或修改、破坏网站文件时,基于内核层文件强制访问控制的网站防护策略会阻止其恶意行为,从而使网站环境不受破坏,同时赢得宝贵的漏洞修复和攻击溯源时间。
【主权项】
1.一种基于文件强制访问控制的网站防护方法,其特征在于:该方法通过对已知漏洞和高危文件的分析,得到不同网站类型中的关键文件列表,并做成基于主机安全增强系统的文件规则模版,然后通过浪潮主机安全增强系统的文件强制访问控制功能进行规则配置和下发,实现对网站的底层防护。
2.根据权利要求1所述的基于文件强制访问控制的网站防护方法,其特征在于:所述网站类型为IIS+ASP时,文件规则模版采用以下文件防护策略: 设置:.ASP、.ASPX,.ASA、.CDX、.CER、.HTR格式的文件对于所有进程均只有读权限; 设置:.ASP ;*、.ASPX ;*、.ASA ;*、.CDX ;*、.CER ;*、.HTR ;* ; 设置:.CSS格式的文件对所有进程只有读权限。
3.根据权利要求1所述的基于文件强制访问控制的网站防护方法,其特征在于:所述网站类型为Apache+PHP时,文件规则模版采用以下文件防护策略: 设置:.PHP、.PHP3、.PHP4、.⑶X、.CER格式的文件对于所有进程只有读权限; 设置:.PHP.*、.PHP3.*、.PHP4.*格式的文件对于所有进程只有读权限; 设置:.CSS格式的文件对所有进程只有读权限。
4.根据权利要求1所述的基于文件强制访问控制的网站防护方法,其特征在于:所述网站类型为Tomcat+JSP时,文件规则模版采用以下文件防护策略: 设置:.JSP格式的文件对于所有进程只有读权限; 设置:.JS格式的文件对于所有进程只有读权限; 设置:.CSS格式的文件对所有进程只有读权限; 设置:WEB-1NF目录中的web.xml文件对所有进程只有读权限。
5.根据权利要求1所述的基于文件强制访问控制的网站防护方法,其特征在于:所述网站类型为Weblogic+JSP时,文件规则模版采用以下文件防护策略: 设置:.JSP格式的文件对于所有进程只有读权限; 设置:.JS格式的文件对于所有进程只有读权限; 设置:.CSS格式的文件对所有进程只有读权限; 设置:WEB-1NF目录中的web.xml文件对所有进程只有读权限; 设置:plan.xml文件对所有进程只有读权限。
6.根据权利要求2、3、4或5所述的基于文件强制访问控制的网站防护方法,其特征在于:根据实际环境中的网站类型和路径,修改文件规则模版路径,然后将规则文件导入,即可按照规则对网站目录进行内核级的强制访问控制。
【专利摘要】本发明公开了一种基于文件强制访问控制的网站防护方法,属于数据安全领域。该通过对已知漏洞和高危文件的分析,得到各种网站类型中的关键文件列表,然后通过主机安全增强系统的文件强制访问控制功能进行规则配置和下发,实现对网站的底层防护。与现有技术相比,本发明方法基于白名单,与其他黑名单形式的防护手段形成了互补,且实现与内核层,作为网站防护体系中的最后一道防线,保证了网站的安全稳定,具有很好的推广应用价值。
【IPC分类】H04L29-06, H04L29-08
【公开号】CN104702620
【申请号】CN201510137222
【发明人】刘雁鸣
【申请人】浪潮集团有限公司
【公开日】2015年6月10日
【申请日】2015年3月26日