本发明属于网络安全领域,特别涉及一种文件防篡改系统架构。
背景技术:
当今世界信息化迅猛发展,在带给人们极大便利的同时也催生出众多网络安全挑战。以篡改文件为目的的黑客攻击总是能制造出最大最显著的破坏,比如:篡改某政府新闻网站的网页文件,借此散布各种违法信息;勒索病毒加密篡改毕业论文文件、工程图纸文件、程序源码文件等,借此向受害人勒索钱财。为抵御此类篡改文件/文件夹攻击,网络安全研发人员纷纷研制出各自的文件防篡改系统产品,有的只针对网页文件/文件夹进行防篡改保护,有的可对任意文件/文件夹进行防篡改保护。
目前的文件防篡改系统一般通过对文件/文件夹的各种访问控制,或者篡改后自动恢复的方法实现防篡改目的,其架构可分为c/s和b/s两种:
(1)c/s架构:见图1。在用户的网络中:首先对要保护的主机安装产品服务端程序,然后通过产品客户端程序直接连接到主机对产品进行管理。
(2)b/s架构:见图2。在用户的网络中:首先对要保护的主机安装产品服务端程序,然后搭建一个用于管理产品的私有管理站点,最后通过浏览器访问该管理站点即可管理产品(产品管理站点能和产品服务端通讯)。
现有c/s架构和b/s架构的共同缺点是:
(1)研发人员如发布了针对客户端或管理站点的安全升级补丁,则必须对所有用户的所有客户端或所有私有管理站点都进行升级。这些阻碍了升级效率,增加了升级时长,增加了故障发生概率。
(2)用户在主机批量迁移时候,比如把业务系统和数据从本地机房迁移到互联网云平台的新主机,则在每台新主机上重新安装完产品服务端后,还得人工重新配置产品或导入恢复产品配置。这些步骤繁琐而且对用户的专业技能有一定要求,增加了故障发生概率,增加了产品重新部署的时长和复杂度。
(3)用户启用短信报警时,则必须增加短信报警硬件设备。这些增加了硬件成本、增加了能源消耗、降低了产品整体系统的可靠性。因为每个用户都必须增加一个硬件报警设备,而报警不是每时每刻都有,所以宏观上降低了硬件资源使用率。
(4)用户启用邮件报警时,则必须额外配置诸如smtp地址、smtp用户名、smtp密码等信息,而且还需定期检查发送地址是否被列入垃圾邮件而无法正常发邮件。这些增加了时间维护成本。
(5)用户离开(比如出差时)原所在网络,又必须管理产品时,需要经过原网络的网关,网关此时需要开启nat端口映射的操作,在操作完成后还需及时关闭相关端口映射以免长时间开放被黑客利用。这些步骤繁琐而且对用户的专业技能有一定要求,且增加了安全隐患。
对现有c/s架构,其专有缺点是:研发人员需要针对用户不同的操作系统(比如windows、linux、macos、andorid、ios)开发不同版本的客户端程序,任何一个系统或设备出问题,如病毒、硬件损坏,都需要进行重新安装或维护,加之产品的更新换代、客户端的各种补丁和升级等,这些都会增加研发成本。
对现有b/s架构,其专有缺点是:由于新搭建私有的产品管理站点而带来下列日常使用时的额外步骤:
(1)所有用户的操作系统(比如windows、linux、macos、andorid、ios)中必须安装研发人员的私有根证书(否则浏览器无法识别私有管理站点的证书是否合法,无法确保通讯可信,甚至无法访问)。
(2)用户日常必须对这个管理站点做好基于网站的常见安全措施,比如:定期检查访问日志、定期用最新的检测工具扫描是否存在sql注入等漏洞、定期扫描是否有webshell等。
技术实现要素:
本发明的目的是提供一种文件防篡改系统架构,该架构是对现有架构的一种改进,能有效解决现有架构的缺点。
为实现上述目的,本发明采用以下技术方案:一种文件防篡改系统架构,其包括用户、产品服务端及公共产品管理平台;产品服务端为安装在需保护的主机的文件防篡改系统;公共产品管理平台为在某网络中搭建并维护的具有固定ip或域名的数据中心或站点;所有用户共用同一公共产品管理平台且用户之间相互隔离;用户在客户端上借助通讯信道登录所述公共产品管理平台后对相应的文件防篡改系统进行操作;所述公共产品管理平台自动存储每个用户在此公共管理平台上对各自文件防篡改系统的配置;产品服务端与公共产品管理平台通过通讯信道建立通讯,从而进行数据交互;所述公共产品管理平台将存储的文件防篡改系统配置自动下发给对应的产品服务端。
在本发明一实施例中,公共产品管理平台用于接收各个产品服务端上传的各种运行时信息,产品服务端运行出现报警时由公共产品管理平台将报警信息统一自动代发给对应用户。
在本发明一实施例中,公共产品管理平台通过短信或邮件将报警信息统一自动代发给对应用户。
在本发明一实施例中,当用户与产品服务端不在同一网络时,通过其他通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行管理、查看。
在本发明一实施例中,客户端包括浏览器或app或管理软件。
在本发明一实施例中,所述公共产品管理平台由相关研发人员搭建并维护。
在本发明一实施例中,所述公共产品管理平台使用可信根证书机构颁发的ssl证书。
在本发明一实施例中,公共产品管理平台提供新用户注册功能。
与现有技术相比,本发明具有以下优点:
1、本发明中公共的产品管理平台不再每个用户都单独部署,而是所有用户共用同一个,所以如果研发人员发布针对公共管理平台的补丁,那么无论多少用户都只需应用到一个公共管理平台即可,避免了现有架构中需要对所有客户的所有客户端或私有管理站点进行升级,整个操作过程也无需用户参与,所以提高了升级效率,减少了升级时长,降低了故障发生概率。
2、本发明中公共的产品管理平台自动存储用户的产品配置,所以当用户在主机批量迁移时候,只需在新主机中重新安装本产品即可,随后产品服务端将自动从公共管理平台下载属于自己的最新配置,整个过程避免了现有架构中需要用户人工重新配置或导入配置,所以降低了对用户专业技能的要求,降低了故障发生概率,减少了产品重新部署的时长和降低了复杂度。
3、本发明中公共的产品管理平台不再每个用户都单独部署,而是所有用户共用同一个公共管理平台,而且统一提供了代发各种报警信息(比如:短信报警、邮件报警)功能,所以避免了现有架构中用户需要新增短信报警硬件设备和定期检测邮件报警是否工作正常,所以减少了时间维护成本,减少了硬件成本、减少了能源消耗、提升了产品整体系统的可靠性、宏观上提升了硬件资源使用率。
4、本发明中公共的产品管理平台可以不在用户网络中(比如:可以在互联网中),所以用户离开(比如出差时)原所在网络对产品进行管理时,避免了现有架构中需要对原网络网关进行开、关nat端口映射的操作,所以降低了对用户专业技能的要求,减少了安全隐患。
5、本发明架构中可以直接使用浏览器当作客户端,所以能够避免现有c/s架构需要针对用户不同的操作系统(比如windows、linux、macos、andorid、ios)开发不同版本的客户端程序的缺点。
6、本发明中公共的产品管理平台具有固定ip或域名,所以可以使用可信根证书机构(比如verisign、globalsign)颁发的ssl证书,因为这个证书是可信根证书机构颁发所以能被所有操作系统识别为可信,所以避免了现有b/s架构中需要在用户的操作系统中安装私有根证书的操作步骤。
7、本发明中公共的产品管理平台是由产品研发人员搭建并维护,所以避免了现有b/s架构中需要用户对管理站点进行定期网站安全检测的操作步骤。
附图说明
图1为现有技术c/s架构结构示意图。
图2为现有技术b/s架构结构示意图。
图3为本发明一实施例的一种文件防篡改系统架构结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步解释说明。
一种文件防篡改系统架构,其包括用户、产品服务端及公共产品管理平台;产品服务端为安装在需保护的主机的文件防篡改系统;公共产品管理平台为在某网络中搭建并维护的具有固定ip或域名的数据中心或站点;所有用户共用同一公共产品管理平台且用户之间相互隔离;用户在客户端上借助通讯信道登录所述公共产品管理平台后对相应的文件防篡改系统进行操作;所述公共产品管理平台自动存储每个用户在此公共管理平台上对各自文件防篡改系统的配置;产品服务端与公共产品管理平台通过通讯信道建立通讯,从而进行数据交互;所述公共产品管理平台将存储的文件防篡改系统配置自动下发给对应的产品服务端。
文件防篡改系统为用于防止未授权篡改文件/文件夹的一种软件或硬件,一般通过对文件/文件夹的各种访问控制,或者篡改后自动恢复的方法实现防篡改目的,比如针对保护网页文件/文件夹的网页防篡改系统。可以根据需求选用现有技术。
在本发明一实施例中,公共产品管理平台用于接收各个产品服务端上传的各种运行时信息(比如产品日志、产品报警信息,),产品服务端运行出现报警时由公共产品管理平台将报警信息统一自动代发给对应用户。
在本发明一实施例中,公共产品管理平台通过短信或邮件将报警信息统一自动代发给对应用户。
在本发明一实施例中,当用户与产品服务端不在同一网络时,通过其他通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行管理、查看。
在本发明一实施例中,客户端包括浏览器或app或管理软件。
在本发明一实施例中,所述公共产品管理平台由相关研发人员搭建并维护。
在本发明一实施例中,所述公共产品管理平台使用可信根证书机构颁发的ssl证书。
在本发明一实施例中,公共产品管理平台提供新用户注册功能。
公共产品管理平台产品为研发人员在某网络中(比如互联网)搭建并维护一个具有固定ip或域名的公共的产品管理平台(比如一个数据中心或站点)并使用可信根证书机构(比如verisign、globalsign)颁发的ssl证书。
本发明将现有架构中每个用户都单独部署的客户端或私有的产品管理站点改进为所有用户都共用同一个公共产品管理平台(比如一个数据中心或站点)。该公共管理平台具有固定的ip或域名。该公共管理平台能自动下发产品策略。该公共管理平台能把各用户相互隔离。该公共管理平台能存储各用户产品配置。在该平台上能注册新用户,用户之间相互隔离,且自动存储每个用户在此公共管理平台上对各自产品的配置。
参见图3,本发明一实施例的一种文件防篡改系统架构结构示意图。在本发明一实施例中,产品服务端与公共产品管理平台通过通讯信道(比如互联网)建立通讯,从而进行数据交互。公共管理平台能被所有用户借助一定的通讯信道(比如互联网)通过客户端(比如浏览器或app或管理软件)登录,然后用户可管理各自的文件防篡改系统(比如对各自的文件防篡改系统进行策略编辑和下发、日志查看、状态查询等)。
在本发明一实施例中,用户可以产品服务端在同一网络也可以不在同一网络中,在同一网络中时,用户客户端与产品服务端通过同一路由器与公共产品管理平台进行通讯。当用户离开相应的用户网络时通过其他通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行管理、查看。
在本发明一实施例中,所述公共产品管理平台由相关研发人员搭建并维护。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。