號百 各 平臺數(shù)據(jù) 信息 安全解決方案 2009-4-8 翁清順 目 錄 1.1 概述 . 3 1.2 系統(tǒng)級安全與策略 . 3 1.2.1 實施 VPN 策略 . 4 1.2.2 高效配置防火墻 . 4 1.3 網(wǎng)絡(luò)層安全與策略 . 4 1.3.1 嚴格設(shè)置防火墻： . 5 1.3.2 其他安全策略： . 5 1.4 數(shù)據(jù)信息安全與策略 . 6 1.4.1 首先介紹下網(wǎng)絡(luò)蜘蛛爬蟲原理： . 7 1.4.2 正則表達式（正則表達式介紹，請見附件中） . 9 1.4.3 解決方案一： 在系統(tǒng)根目錄下配置 robots.txt 文件 . 9 1.4.4 解 決方案二： 用戶密碼登錄 +圖片驗證碼認證登陸系統(tǒng) . 9 1.4.5 解決方案三： 采用動態(tài)不規(guī)則的 html/wml 模版和標簽 . 10 1.4.6 解決方案四：采取防盜鏈措施 . 10 1.4.7 解決方案五： URL 重寫，隱藏真實 URL 地址 . 13 1.4.8 解決方案六： 通過圖片驗證碼認證后，才能查看內(nèi)容 . 14 1.4.9 解決方案七： 通過下發(fā)手機短信認證后，才能查看內(nèi)容 . 14 1.4.10 解決方案八： 采用圖片形式來呈現(xiàn)數(shù)據(jù)信息內(nèi)容 . 15 1.5 應(yīng)用級安全與策略 . 23 1.5.1 安全與策略 . 23 1.5.2 采用第三方安全工具進行掃描 . 24 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 3 頁 共 28 頁 1.1 概述 隨著 計算機 信息 系統(tǒng)的廣泛應(yīng)用 ,帶來極大方便的同時，也帶來了 諸多 安全方面的問題 ， 廣泛應(yīng)用的 TCP/IP 協(xié)議是在可信環(huán)境下為 網(wǎng)絡(luò) 互聯(lián)專門設(shè)計的，加上黑客的攻擊及病毒的干擾，使得網(wǎng)絡(luò)存在很多不安全因素 。 如 ： 網(wǎng)絡(luò)蜘蛛爬蟲對企業(yè)重要機密信息的大量挖掘、 SQL 入注漏洞、 javascript 腳本攻擊、開發(fā)商人為制作黑夾子、 TCP端口盜用、對域名系統(tǒng)和基礎(chǔ)設(shè)施破壞、利用 Web 破壞數(shù)據(jù)庫、傳輸數(shù)據(jù)被竊聽或篡改 、 連接盜用 、 郵件炸彈、病 毒攜帶等 。使得許多重要數(shù)據(jù)信息完全暴露在用戶的面前，然而，在市場經(jīng)濟條件下，數(shù)據(jù)信息已經(jīng)成為一種極其重要的“商品”，許多企業(yè)大量重要信息輕易被競爭對手獲得，給企業(yè)帶來巨大損失。（如：目前市場上有許多TRS、 BI、 SP/CP 等 公司專業(yè) 從事 數(shù)據(jù)采集、分析出有價值的大量數(shù)據(jù)進行交易）?，F(xiàn)大家越來越重視數(shù)據(jù)信息的安全性，為了防止數(shù)據(jù)泄露，采取了各種辦法來保護數(shù)據(jù) 。 安全存在隱患大致可分為 4 大塊： 1、系統(tǒng) 級 安全； 2、網(wǎng)絡(luò) 層 安全； 3、數(shù)據(jù)信息 安全 ； 4、 應(yīng)用級 安全。 1.2 系統(tǒng)級安全 與策略 信息 平臺 應(yīng)用 服務(wù)器 運行在 UNIX 或 Windows 系統(tǒng)平臺上。對于系統(tǒng)級安全的實現(xiàn)，通過科學(xué)合理的設(shè)置來充分利用 UNIX 和 Windows 操作系統(tǒng)本身提供的安全機制，彌補操作系統(tǒng)的安全漏洞； 從物理安全、登錄安全、用戶安全、文件系統(tǒng)、數(shù)據(jù)安全、各應(yīng)用系統(tǒng)安全等方面制定強化安全的措施。 Linux/Unix 平臺具有良好的穩(wěn)定性和病毒免疫力，系統(tǒng)關(guān)鍵節(jié)點采用 Unix 或 Linux 操作系統(tǒng)。 利用主機監(jiān) 控與保護來增強實際運行安全 ； 操作系統(tǒng)的安全是整個防病毒的關(guān)鍵，每個操作系統(tǒng)都存在安全的漏洞，為了最大限度的防止操作系統(tǒng)的漏洞，就需要即使安裝最新的操作系統(tǒng)的補丁，將漏洞的危險降到最低。 另外操作系統(tǒng)的用戶和密碼也是操作系統(tǒng)容易出問題的部分，為了避免由于用戶和密碼的原因，需要盡量減少系統(tǒng)的用戶，將不需要的用戶和密碼刪除，并且密碼長度要求 8 位以上，密碼的組成為數(shù)字、字母、特殊字符的組合，避免密碼被攻破。 以下是一些采取的策略： 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 4 頁 共 28 頁 1.2.1 實施 VPN策略 采用 VPN 方案，通過使用一臺 VPN 服務(wù)器 既能夠?qū)崿F(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。 路由器 雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進行限制。但是企業(yè)網(wǎng)絡(luò)管理人員通過使用 VPN 服務(wù)器 ，指定只有符合特定身份要求的用戶才能連接 VPN 服務(wù)器獲得訪問敏感信息的權(quán)利。此外，可以對所有 VPN 數(shù)據(jù)進行加密，從而確保數(shù)據(jù)的安全性，沒有訪問權(quán)利的用戶無法看到部門的局域網(wǎng)絡(luò)。 1.2.2 高效配置防火墻 防火墻是現(xiàn)今企業(yè)網(wǎng)中應(yīng)用最多的安全產(chǎn)品。因此建議高效地利用防火墻的功能 ： 啟用防火墻的高級管理特性。默認狀態(tài)下，用戶拿到的防火墻產(chǎn)品只做了基本的安全配置，這需要進行更加完善的配置以利用其高級特性。 實施網(wǎng)絡(luò)防病 毒系統(tǒng)。病毒對企業(yè)網(wǎng)的危害是有目共睹的，尤以今年為盛。據(jù)統(tǒng)計，全球每年遭受病毒的損失正成幾何級數(shù)增長。因此建立一套完善的防病毒系統(tǒng)是企業(yè)信息網(wǎng)絡(luò)建設(shè)的首要任務(wù)。 一套完善的防病毒系統(tǒng)應(yīng)由以下部件組成： 文件服務(wù)器防病毒系統(tǒng)（ File Server Protection）：用于文件服務(wù)器的防病毒組件； 桌面防病毒系統(tǒng)（ Desktop Protection）：用于工作站的防病毒組件； 電子郵件防病毒系統(tǒng)（ Email Protection）：用于電子郵件系統(tǒng)的防病毒組件； Internet 網(wǎng)關(guān)防病毒系統(tǒng)（ Internet Gateway Protection）：用于 Internet 出口的防病毒組件； 無線網(wǎng)絡(luò)防病毒系統(tǒng)（ Wireless Protection）：用于無線網(wǎng)絡(luò)設(shè)備連接到防病毒組件； 防病毒控制中心（ Management Control Center）：用于以上防病毒組件的代碼、病毒庫的自動或強制更新和管理的組件。 以上組件缺一不可，方能構(gòu)成一套完善的防病毒系統(tǒng)。 1.3 網(wǎng)絡(luò)層安全與策略 網(wǎng)絡(luò)的安全是保證系統(tǒng)安全的基本， 主要內(nèi)容包括內(nèi)部安全管理、安全審計、病毒防范以及防止外部侵入等。 現(xiàn)在很多病毒、木馬、蠕 蟲都是通過網(wǎng)絡(luò)來傳播，因此網(wǎng)絡(luò)的安全就額外重要 。 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 5 頁 共 28 頁 1.3.1 嚴格設(shè)置防火墻： 解決網(wǎng)絡(luò)層安全的總體思路是業(yè)務(wù)隔離，分層實施。 網(wǎng)絡(luò)完全的保證主要由雙層防火墻來保證將內(nèi)網(wǎng)和外網(wǎng)分離，平臺將所有服務(wù)器放置在內(nèi)網(wǎng)，在防火墻上僅可開放必要的端口，這樣的結(jié)構(gòu)能夠很好的防止網(wǎng)絡(luò)的攻擊。在防火墻上不開放 不必要的端口和協(xié)議，嚴格設(shè)置防火墻的訪問策略以保證網(wǎng)絡(luò)的安全。 通過定制設(shè)備安全策略、部署防火墻和 IPS（入侵檢測系統(tǒng)）、部署網(wǎng)管系統(tǒng)和日志系統(tǒng)、日常維護流程保證等措施來保障網(wǎng)絡(luò)層的安全。 確保網(wǎng)絡(luò)系統(tǒng)的正常運行，包括網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng) 的正常運行、信息 存儲 和傳輸?shù)陌踩涂煽俊?防火墻用于維護網(wǎng)絡(luò)系統(tǒng)內(nèi)局域網(wǎng)邊界的安全，如果使用支持多網(wǎng)段劃分的防火墻，可同時實現(xiàn)局域網(wǎng)內(nèi)部各網(wǎng)段的隔離與相互的訪問控制。采用的防火墻產(chǎn)品具有以下功能： 基于狀態(tài)檢測的分組過濾； 多級的立體訪問控制機制； 面向?qū)ο蟮墓芾頇C制； 持多種連接方式，透明、路由； 支持 OSPF、 IPX、 NETBEUI、 SNMP 等協(xié)議； 具有雙向的地址轉(zhuǎn)換能力； 透 明應(yīng)用代理功能； 次性口令認證機制； 帶寬管理能力； 內(nèi)置了一定的入侵檢測功能或能夠與入侵檢測設(shè)備聯(lián)動； 遠程管理能力； 靈活的審計、日志功能。 1.3.2 其他 安全 策略 ： （ 1） 通過冗余措施保證系統(tǒng)的可靠性，具體包括線路冗余、設(shè)備備份、負載均衡措施。 （ 2） 在外部網(wǎng)與 Internet 互連區(qū)采用符合安全標準的可靠的防火墻。 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 6 頁 共 28 頁 （ 3） 在兩個方面防范。一方面建立完整的網(wǎng)絡(luò)防毒機制。另一方面建立嚴格完善的防毒管理規(guī)范。 （ 4） 確保必須的網(wǎng)絡(luò)服務(wù)的安全和可靠性，如 DNS；對其它網(wǎng)絡(luò)基本服務(wù)，限制使用范圍，建立嚴格的使用管理規(guī)定，防止被黑客利用，絕對 禁止匿名FTP 服務(wù)，對需要使用又必須保證安全的場合，要經(jīng)過身份認證、訪問授權(quán)和審計記錄機制的控制。 （ 5） 在兩個層次保證應(yīng)用系統(tǒng)的安全。一方面采用通用安全應(yīng)用平臺，為各種業(yè)務(wù)應(yīng)用提供統(tǒng)一的安全機制；另一方面結(jié)合應(yīng)用系統(tǒng)自身專有的安全機制。 （ 6） 在兩個方面防護黑客攻擊。一方面在 Internet 互聯(lián)區(qū)域及與內(nèi)部廣域網(wǎng)互連區(qū)域設(shè)置防火墻。另一方面采用防黑客攻擊 軟件 ，實現(xiàn)安全漏洞的掃描，結(jié)合系統(tǒng)管理及 時修補安全漏洞；提供網(wǎng)絡(luò)實時入侵檢測，在一定程度上實現(xiàn)對內(nèi)部網(wǎng)與外部網(wǎng)用戶的入侵阻隔；做好攻擊的跟蹤審計 （ 7） 制定嚴格完善的安全管理制度及規(guī)范。一方面確保技術(shù)措施正常發(fā)揮作用，另一方面對技術(shù)措施進行補充 1.4 數(shù)據(jù)信息安全與策略 數(shù)據(jù)庫的安全也是系統(tǒng)安全的重要的一環(huán)，數(shù)據(jù)庫是整個系統(tǒng)的核心，數(shù)據(jù)的安全是數(shù)據(jù)庫安全的根本。數(shù)據(jù)庫的安全的保證需要及時的安裝數(shù)據(jù)庫的補丁，嚴格控制數(shù)據(jù)庫的用戶和密碼，以及各個用戶的權(quán)限。每天檢查防火墻、操作系統(tǒng)、數(shù)據(jù)庫的日志，及時發(fā)現(xiàn)問題，針對問題及時解決。 要做數(shù)據(jù)庫的 備份解決方案 ： 一種 是基于 LAN 環(huán)境的備份結(jié)構(gòu)，在該備份架構(gòu)下，數(shù)據(jù)流將經(jīng)過局域網(wǎng)并通過備份服務(wù)器備往帶庫或者是磁盤；另外一種是基于SAN 環(huán)境的備份結(jié)構(gòu)，在該備份架構(gòu)下，數(shù)據(jù)流將通過 LAN-Free 的備份方式直接備往帶庫或者是磁盤。 針對系統(tǒng)情況，提出如下建議： 1. 磁帶備份與恢復(fù)速度較慢，系統(tǒng)數(shù)據(jù)量較大，推薦采用磁盤或者虛擬帶庫進行備份數(shù)據(jù)存儲，不建議采用磁帶。 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 7 頁 共 28 頁 2. 在獨享千兆交換機的情況下 ,通過網(wǎng)絡(luò)進行備份 ,備份速度平均在 40M/s,無法滿足本系統(tǒng)的備份恢復(fù)要求 ,不建議采用 LAN 方式進行備份。 建議：備份通過 LAN free 的方式來實現(xiàn) ,避免與生產(chǎn)網(wǎng)絡(luò)搶占網(wǎng)絡(luò)資源。 Oracle 在歸檔模式下運行，軟件調(diào)用 ORACLE RMAN 進行在線的熱備份 .針對Oracle 的總數(shù)據(jù)量和增量數(shù)據(jù)量大小，可以利用 Oracle 的備份機制，結(jié)合軟件的備份數(shù)據(jù)追蹤尋址能力和介質(zhì)管理功能，制定靈活的備份策略，實現(xiàn)全自動的備份數(shù)據(jù)的全生命周期管理。 全量備份期間，每天都做數(shù)據(jù)庫歸檔日志、控制文件和 CATALOG 用戶所有對象的備份，每周做兩次全備份，保留前面一周期和當前周期的備份，每個周期有兩份冗余。對于 Oracle 系統(tǒng)的數(shù)據(jù)備份和恢復(fù)的性能，可以通 過開辟多個 Oracle 數(shù)據(jù)備份通道和多重數(shù)據(jù)遷移的技術(shù)得到保障。 對于以上的備份文件文件，根據(jù)管理的要求設(shè)定其保存時間，當此類數(shù)據(jù)過期時， 軟件將自動進行清理，無須管理人員參與。以上備份通過軟件的定時機制自動完成。 除以上從數(shù)據(jù)庫方面考慮外，數(shù)據(jù) 信息 受到被 竊取的威脅，造成商業(yè)機密泄漏 ，也是及其重要的安全問題。如 網(wǎng)絡(luò)蜘蛛爬蟲對企業(yè)重要機密信息的大量挖掘。 到目前為止，無論是國內(nèi)還是國外，市場上現(xiàn)還沒有能有效抵制的產(chǎn)品 。以下我將 著重從數(shù)據(jù)反扒角度 提出一些可行性的有效解決方案。 1.4.1 首先介紹下網(wǎng)絡(luò)蜘蛛爬蟲原理： 網(wǎng)絡(luò) 爬蟲是一個自動提取網(wǎng)頁的程序，通過分析 http 的頭包信息，并結(jié)合正則表達式來挖掘所需要的數(shù)據(jù)，它為搜索引擎從 Internet 網(wǎng)上下載網(wǎng)頁，是搜索引擎的重要組成。傳統(tǒng)爬蟲從一個或若干初始網(wǎng)頁的 URL 開始，獲得初始網(wǎng)頁上的 URL，在抓取網(wǎng)頁的過程中，不斷從當前頁面上抽取新的 URL 放入隊列 ,直到滿足系統(tǒng)的一定停止條件。聚焦爬蟲的工作流程較為復(fù)雜，需要根據(jù)一定的網(wǎng)頁分析算法過濾與主題無關(guān)的鏈接，保留有用的鏈接并將其放入等待抓取的 URL 隊列。然后，它將根據(jù)一定的搜索策略從隊列中選擇下一步要抓取的網(wǎng)頁 URL，并重復(fù)上述 過程，直到達到系統(tǒng)的某一條件時停止，另外，所有被爬蟲抓取的網(wǎng)頁將會被系統(tǒng)存貯，進行一定的分析、過濾，并建立索引，以便之后的查詢和檢索；對于聚焦爬蟲來說，這一過程所得到的分析結(jié)果還可能對以后的抓取過程給出反饋和指導(dǎo)。 歸納下三個過程： (1) 對 URL 的搜索策略： 網(wǎng)頁的抓取策略可以分為深度優(yōu)先、廣度優(yōu)先和最佳優(yōu)先三種。目前常見的是廣度優(yōu)先和最佳優(yōu)先方法。最佳優(yōu)先方法，可以自定義所要采號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 8 頁 共 28 頁 集的目標 (2) 對抓取目標的描述或定義；（定義 html/wml 標簽、模板） (3) 對網(wǎng)頁或數(shù)據(jù)的分析與過濾 . 網(wǎng)絡(luò)蜘蛛爬蟲，它具有： 1）網(wǎng)絡(luò)爬蟲高度可設(shè)置性。 2）網(wǎng)絡(luò)爬蟲能解析抓到的網(wǎng)頁里的鏈接 3）網(wǎng)絡(luò)爬蟲有簡單的存儲設(shè)置 4）網(wǎng)絡(luò)爬蟲擁有智能的根據(jù)網(wǎng)頁更新分析功能 5）網(wǎng)絡(luò)爬蟲的效率相當?shù)母?以下是 HTTP 的頭包部分分析 : get （請求） GET /Styles/eSales.css HTTP/1.1 Accept: */* Referer: http:/localhost:81/Login.aspx?ReturnUrl=%2fDefault.aspx User-Agent: Mozilla/4.0 (compatible； MSIE 6.0； Windows NT 5.2； SV1； .NET CLR 1.1.4322； .NET CLR 2.0.50727； .NET CLR 3.0.04506.648； .NET CLR 3.5.21022) Post（請求） POST /Login.aspx?ReturnUrl=%2fDefault.aspx HTTP/1.1 Referer: http:/localhost:81/Login.aspx?ReturnUrl=%2fDefault.aspx User-Agent: Mozilla/4.0 (compatible； MSIE 6.0； Windows NT 5.2； SV1； .NET CLR 1.1.4322； .NET CLR 2.0.50727； .NET CLR 3.0.04506.648； .NET CLR 3.5.21022) Host: localhost:81 _VIEWSTATE=%2FwEPDwUKLTgzOTg3NTIzOWQYAQUeXha6o%3D&txtUserName=wqs&txtPassword=wqs&_EVENTVALIDATION=%2FwEWBALB%2BLXUDQKl1bKzCQK1qbSRCwKC3IeGDI4I%2BI94GJOR%2FJGT%2Bal36hFD7z4v&btnLogin.x=37&btnLogin.y=14 返回 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 9 頁 共 28 頁 Location: /Default.aspx Set-Cookie: spoa.ASPXAUTH=46D9B8AC2C252FDC5E95E502E0954E68A42； path=/； 1.4.2 正則表達式（正則表達式介紹，請見附件中） 1.4.3 解決方案 一： 在系統(tǒng)根目錄下配置 robots.txt 文件 幾乎所有的搜索引擎類的網(wǎng)絡(luò)蜘蛛都遵循 robots.txt 給出的爬行規(guī)則，協(xié)議規(guī)定最先進入某個網(wǎng)站平臺的入口即是該網(wǎng)站平臺的 robots.txt，為防止搜索引擎類爬行器（如：百度 baiduspide 網(wǎng)絡(luò)蜘蛛爬蟲器、 Google 的 GoogleBot 網(wǎng)絡(luò)蜘蛛爬蟲器、雅虎 Yahoo! Slurp 及 Yahoo! China Slurp）等爬蟲器對重要數(shù)據(jù)信息的爬取，要各數(shù)據(jù)平臺在軟件應(yīng)用系統(tǒng)的根目錄下存放個配置 robots.txt 文件，用于告訴網(wǎng)絡(luò)蜘蛛 ,哪些內(nèi)容不能被抓取。 robots.txt 文件名必須全部小寫，內(nèi)容為： 禁止所有搜索引擎爬行器訪問系統(tǒng)的任何部分 User-agent: * Disallow: / 或 禁止所有搜索引擎訪問網(wǎng)站的幾個目錄下（下例中的 Admin、 Manager 目錄） User-agent: * Disallow: /Admin/ Disallow: /Manager/ 1.4.4 解決方案 二： 用戶密碼登錄 +圖片驗證碼認證登陸系統(tǒng) 所有需要用戶賬號登錄、 注冊 的平臺，建議都要求 +圖片驗證碼認證，以防 有人利用機器人自動批量注冊、對特定的注冊用戶用特定程序暴力破解方式進行不斷的登陸、灌水 、用戶和密碼猜測破解。因為 驗證碼是一組電腦隨機生成的數(shù)字或符號，具有安全保護作用 。 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 10 頁 共 28 頁 1.4.5 解決方案 三： 采用動態(tài)不規(guī)則的 html/wml 模版和標簽 對要顯示重要數(shù)據(jù)信息部分的 html/wml 模版，建議都采用動態(tài)不規(guī)則的 動態(tài) 、 標簽。如 。因為采用動態(tài)不規(guī)則模版和標簽，使爬行器事先制定的固定模版失效，采集到的數(shù)據(jù)為空。 1.4.6 解決方案 四： 采取防盜鏈措施 防盜鏈原理： http 標準協(xié)議中有專門的字段記錄 referer ， 一來可以追溯上一個入站地址是什么 ； 二來對于資源文件，可以跟蹤到包含顯示他的網(wǎng)頁地址是什么。 因此所有防盜鏈方法都是基于這個 Referer 字段 。 網(wǎng)絡(luò)蜘蛛爬蟲器的特點都是事先定義好的 URL 直接入侵的，而通過采取防 盜鏈措施，只允許通過本平臺層層鏈接，才能查看信息；通過讀取請求，來判斷該訪問者的請求是否是來自本平臺網(wǎng)站層層鏈接的，從而限制網(wǎng)絡(luò)蜘蛛爬蟲器的攻擊。 1、 java 環(huán)境下 ,利用 Apache 防盜鏈 實現(xiàn)， 主要有兩種方法實現(xiàn)： 1).利用 rewrite 確認你的 apache 能使用 rewrite mod RewriteEngine on 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 11 頁 共 28 頁 RewriteCond %HTTP_REFERER !http:/118114.cn/size/.*$ NC RewriteCond %HTTP_REFERER !http:/118114.cn$ NC RewriteCond %HTTP_REFERER !/.*$ NC RewriteCond %HTTP_REFERER !$ NC RewriteRule .*.(gif|jpb|png|css|js|swf)$ R,NC 其中有色的地方都是要改為你的： 紅色 ：就是改為你提 供下載頁面的地址，也就是只有通過這個地址才可以下載你所提供的東東。 藍色 ：就是要保護文件的擴展名 (以 |分開 )，也就是說以這些為擴展名的文件只有通過 紅色 的地址才可以訪問。 紫色 ：如果不是通過 紅色 的地址訪問 藍色 這些為擴展名的文件時就回重定向到 紫色 地址上。 2).利用 SetEnvIfNoCase 和 access SetEnvIfNoCase Referer “ http:/118114.cn” local_ref=1 SetEnvIfNoCase Referer “ ” local_ref=1 Order Allow,Deny Allow from env=local_ref 紅色 為信任站點， 藍色 為受保護的文件擴展名。 2、 .net 環(huán)境下 防盜鏈 實現(xiàn) ： 利用 Request.ServerVariables(HTTP_REFERER) 下面我舉個 .net 的例子： if (!Page.IsPostBack) 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 12 頁 共 28 頁 string onlyURL = ； string from = ； 來源 from = Request.ServerVariablesHttp_Referer； onlyURL = Request.ServerVariablesServer_Name； Response.Write(只有 : + onlyURL + 才能訪問 )； Response.Write(你的 IP 是 : + Request.ServerVariablesremote_addr)； Response.Write(Request.ServerVariablesHTTP_url)； 訪問的文件路徑 )； if (from = null) Response.Write(你是直接輸入網(wǎng)址或采集者，我們拒絕你 !)； else int i = from.IndexOf(onlyURL, 0, from.Length)； if (i = 0) 返回 0 (沒有找到 ； Response.Write(你的來源是 : + from)； Response.Write(我們拒絕你 !)； else if (i = 7) Response.Write(來源 3: + from)； Response.Write(你來源正常，請查看我們的信息： )； Response.Write()； Response.Write( 新聞)； 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 13 頁 共 28 頁 else Response.Write(找到從第 : + i + 個 )； Response.Write(你的來源是盜鏈： : + from)； Response.Write(我們拒絕盜鏈 !)； 1.4.7 解決方案 五： URL 重寫，隱藏真實 URL 地址 通過采取 URL 重寫，隱藏真實 URL 地址，給 爬行器的采集制造難度。 舉例 /viewthread.jsp?id=1234 重寫后，可以用 /viewthread/1234.htm 訪問 使用 Tomcat+Apache，嘗試過三種重寫的方法： 一、 Tomcat 的過濾器 最典型的就是用 urlReweITe 的類庫。 首先要在 web.xml 中聲明一個 Filter UrlRewriteFilter org.tuckey.web.filters.urlrewrite.UrlRewriteFilter UrlRewriteFilter /* 然后在 WEB-INF 目錄下新建 urlrewrite.xml 在其中進行重寫規(guī)則的定義，它使用正則表達式來進行規(guī)則的定義。 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 14 頁 共 28 頁 /viewthread/(d+).htm$ /viewthread.jsp?id=$1 二、 使用 Apache 的 mod # 去掉這個前面的 #,啟用它 LoadModule rewrite_module modules/mod_rewrite.so # 其它的配置數(shù)據(jù) RewriteEngine On # 下面三行實現(xiàn)動態(tài)解析 RewriteRule /viewthread/(d+).htm$ /viewthread.jsp?id=$1 L,PT 第一種修改麻煩，但對于平穩(wěn)運行的系統(tǒng)，是個不錯的選擇 第二種需 要配置 Apache,但 Apache 的重啟速度很快，適合于有可能經(jīng)常變得情況，而且 Apache Mod 的效率還是不錯的 1.4.8 解決方案 六： 通過圖片驗證碼認證后，才能查看內(nèi)容 不用用戶賬號登陸系統(tǒng)，但要通過圖片驗證碼認證后，才能查看內(nèi)容。此方法增加了數(shù)據(jù)被采集的難度，可以防止大部分的網(wǎng)絡(luò)爬蟲采集器 1.4.9 解決方案 七： 通過下發(fā)手機短信認證后，才能查看內(nèi)容 通過圖片驗證碼認證后，才能查看重要信息內(nèi)容。此方法增加了數(shù)據(jù)被采集的難號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 15 頁 共 28 頁 度，可以防止絕大部分的網(wǎng)絡(luò)爬蟲采集器 1.4.10 解決方案 八： 采用圖片形式來呈現(xiàn)數(shù)據(jù)信息內(nèi)容 此方法用于對那些如：電話號碼、地址等比較簡短、但數(shù)據(jù)價值又比較敏感的信息內(nèi)容。增加了數(shù)據(jù)被采集的難度，對絕大部分網(wǎng)絡(luò)爬蟲采集器可以起到有效的防止。 以下舉個以圖片形式顯示電話號碼 、地址 的例子： 1./加密類 請見附件中“ 3DES加密算法 .rar” 2.test.jsp 文件 圖片加密 3.test3.jsp 文件 電 話： 地 址： 4./電話號碼 生成圖片類 255) fc=255； if(bc255) bc=255； int r=fc+random.nextInt(bc-fc)； int g=fc+random.nextInt(bc-fc)； int b=fc+random.nextInt(bc-fc)； return new Color(r,g,b)； Color getBackColor()/給定范圍獲得隨機顏色 return new Color(206,231,255)； % 15) width = 190； else if(sRand.length()13 & sRand.length()=15) width = 170； else width = 140； BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB)； / 獲取圖形上下文 Graphics g = image.getGraphics()； /生成隨機類 Random random = new Random()； 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 19 頁 共 28 頁 / 設(shè)定背景色 g.setColor(getBackColor()； g.fillRect(0, 0, width, height)； /設(shè)定字體 g.setFont(new Font(Times New Roman,Font.PLAIN,18)； /畫邊框 /g.setColor(new Color()； /g.drawRect(0,0,width-1,height-1)； / 隨機產(chǎn)生 155條干擾線，使圖象中的認證碼不易被其它程序探測到 g.setColor(getRandColor(160,200)； for (int i=0；i155；i+) int x = random.nextInt(width)； int y = random.nextInt(height)； int xl = random.nextInt(12)； int yl = random.nextInt(12)； g.drawLine(x,y,x+xl,y+yl)； for (int i=0；i 5./電話號碼 生成圖片類 package com.besttone.tool； import java.io.IOException； import java.io.PrintWriter； import java.io.*； import java.awt.*； import java.awt.image.*； import javax.servlet.*； import javax.servlet.http.*； import com.sun.image.codec.jpeg.*； /* * author Liao Xue Feng */ 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 21 頁 共 28 頁 public class CreateImageServlet extends HttpServlet protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException response.setContentType(image/jpeg)； createImage(response.getOutputStream()； private void createImage(OutputStream out) String text =上海市四川北路 61號 14樓 ； int width = 300； int height =30 ；/text.length()/20*20 BufferedImage bi = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB)； Graphics2D g = bi.createGraphics()； / set background: g.setBackground(Color.GREEN)； g.clearRect(0, 0, width, height)； Font mFont = new Font(宋體 ,Font.PLAIN,20)；/默認字體 g.setColor(new Color(Integer.parseInt(000000,16)； g.setFont(mFont)； int x=3； int y=3； int count = text.length()； int i = 0； 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 22 頁 共 28 頁 String getone = null； while(count 0) getone = text.substring(i,i+1)； if(i % 27 = 0) y = y + 20； x = 10； /g.drawString(Integer.toString(i),x,y)； g.drawString(getone,x,y)； x = x + 20； i+ ； count-； / end draw: g.dispose()； bi.flush()； / encode: JPEGImageEncoder encoder = JPEGCodec.createJPEGEncoder(out)； JPEGEncodeParam param = encoder.getDefaultJPEGEncodeParam(bi)； param.setQuality(1.0f, false)； encoder.setJPEGEncodeParam(param)； try encoder.encode(bi)； catch(IOException ioe) ioe.printStackTrace()； 號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 23 頁 共 28 頁 6./在 web.xml中加 CreateImage com.besttone.tool.CreateImageServlet debug true CreateImage /servlet/adminCreateImage 1.5 應(yīng)用級安全與策略 1.5.1 安全與策略 主要通過分權(quán)分域管理、加強操作系統(tǒng)自身安全、雙機集群、用戶數(shù)據(jù)加密存儲、接口數(shù)據(jù)加密傳輸?shù)确绞健?分權(quán)分域：對操作員實施分權(quán)分域管理，涉及操作員的角色（權(quán)限）設(shè)置、地區(qū)設(shè)置和可管理信息類別設(shè)置。 操作系統(tǒng)自身安全：加強操作系統(tǒng)用戶管理、關(guān)閉不常用的端口和服務(wù)、及時安裝操作系統(tǒng)補丁。 雙機集群 （ F5 負載均衡） ：系統(tǒng)中的消息業(yè)務(wù)服務(wù)器采用雙機群集技術(shù)，可以保證 當任何一臺主機出現(xiàn)故障的時候，另一臺主機可以接替援用，將原來運行在該主機號百綜合數(shù)據(jù)平臺數(shù)據(jù)信息安全解決方案 中國電信集團號百信息服務(wù)有限公司 第 24 頁 共 28 頁 上的應(yīng)用軟件包接管過來，從而確保對用戶的不間斷服務(wù)。同時中心服務(wù)器上的硬盤都應(yīng)支持熱插拔，當出現(xiàn)故障時，可以在不斷電、不停機的情況下替換這些部件。從而保證局部的故障不會影響整個系統(tǒng)的運行，同時也方便系統(tǒng)的維護。 用戶數(shù)據(jù)加密存儲：任何系統(tǒng)維護人員都不能直接看到用戶數(shù)據(jù)。而只能的得到系統(tǒng)的統(tǒng)計結(jié)果。同時對用戶關(guān)鍵數(shù)據(jù)，如密碼等采用不可逆的加密算法如 MD5 進行加密存儲。 接口數(shù)據(jù)加密傳輸：在和其它外部系統(tǒng)接口交換數(shù)據(jù)過程中，接口數(shù)據(jù)采用BASE64 編碼，或也采用加密算法進行加密傳輸。 1.5.2 采用第三方安全工具進行掃描 目前市場上有較成熟的 應(yīng)用級安全監(jiān)控 產(chǎn)品，如： HP 的 WebInspect、 IBM 的Rational AppScan、還有 WebRavor 等。 以下介紹其中的一個產(chǎn)品 :HP的 WebInspect。 1） HP Webinspect 介紹 HP WebInspect 是一款易用、可擴展、精確的 Web 應(yīng)用安全評估軟件，能幫助專業(yè)安全人員和入門者查找與發(fā)現(xiàn) web 應(yīng)用和服務(wù)中存在的高風險安全漏洞。 支持最復(fù)雜的環(huán)境 大多數(shù)應(yīng)用掃描程序面向原有的 web 技術(shù)，無法自動掃描使用 Ajax、 SOAP、JavaScript 和 Flash 技術(shù)開發(fā)的新型 Web 2.0 應(yīng)用。而 HP WebInspect 能對如今的 web 應(yīng)用技術(shù)，包括使用雙重身份鑒定及其它改進技術(shù)的內(nèi)容豐富的網(wǎng)站進行分析。其架構(gòu)支持 HP WebInspect 查看整個應(yīng)用，減少漏報（ false negative）現(xiàn)象。 快速分析應(yīng)用與 web 服務(wù) 通過有向?qū)е笇?dǎo)的直觀界面，您可以指定要分析的應(yīng)用或 web 服務(wù)。此外，您還可以選擇評估類型以及評估 web 應(yīng)用的安全策略。 企業(yè)安全評估 HP WebInspect 可以 和 HP Assessment Managemen Platform 軟件集成，能對整個企業(yè)進行分散式評估。 HP Assessment Management Platform 具有可擴展特性，能對用戶權(quán)限、安全策略和遠程掃描管理實施集中控制，可全面了解整個組織的應(yīng)用安全狀態(tài)。此外， HWebInspect 還能將漏洞直接提交給 HP Quality Center軟件，為開發(fā)和質(zhì)量保證（ QA）團隊查找、管理和修復(fù)安全缺陷以及其它應(yīng)用缺陷提供幫助。 號百綜合數(shù)據(jù)