CN108460275A - 一种文件防篡改系统架构 - Google Patents
一种文件防篡改系统架构 Download PDFInfo
- Publication number
- CN108460275A CN108460275A CN201810189549.8A CN201810189549A CN108460275A CN 108460275 A CN108460275 A CN 108460275A CN 201810189549 A CN201810189549 A CN 201810189549A CN 108460275 A CN108460275 A CN 108460275A
- Authority
- CN
- China
- Prior art keywords
- product management
- management platform
- user
- tamper resistant
- public product
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种文件防篡改系统架构,其包括用户、产品服务端及公共产品管理平台;所有用户共用一个公共产品管理平台;公共产品管理平台为在某网络中搭建并维护的具有固定IP或域名的数据中心或站点;用户在客户端上借助通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行操作,且自动存储每个用户在此公共管理平台上对各自文件防篡改系统的配置;所述公共产品管理平台将存储的文件防篡改系统配置自动下发给对应的产品服务端。公共的产品管理平台不再每个用户都单独部署,避免了现有架构中需要对所有客户的所有客户端或私有管理站点进行升级,整个操作过程也无需用户参与,所以提高了升级效率,减少了升级时长,降低了故障发生概率。
Description
技术领域
本发明属于网络安全领域,特别涉及一种文件防篡改系统架构。
背景技术
当今世界信息化迅猛发展,在带给人们极大便利的同时也催生出众多网络安全挑战。以篡改文件为目的的黑客攻击总是能制造出最大最显著的破坏,比如:篡改某政府新闻网站的网页文件,借此散布各种违法信息;勒索病毒加密篡改毕业论文文件、工程图纸文件、程序源码文件等,借此向受害人勒索钱财。为抵御此类篡改文件/文件夹攻击,网络安全研发人员纷纷研制出各自的文件防篡改系统产品,有的只针对网页文件/文件夹进行防篡改保护,有的可对任意文件/文件夹进行防篡改保护。
目前的文件防篡改系统一般通过对文件/文件夹的各种访问控制,或者篡改后自动恢复的方法实现防篡改目的,其架构可分为C/S和B/S两种:
(1)C/S架构:见图1。在用户的网络中:首先对要保护的主机安装产品服务端程序,然后通过产品客户端程序直接连接到主机对产品进行管理。
(2)B/S架构:见图2。在用户的网络中:首先对要保护的主机安装产品服务端程序,然后搭建一个用于管理产品的私有管理站点,最后通过浏览器访问该管理站点即可管理产品(产品管理站点能和产品服务端通讯)。
现有C/S架构和B/S架构的共同缺点是:
(1)研发人员如发布了针对客户端或管理站点的安全升级补丁,则必须对所有用户的所有客户端或所有私有管理站点都进行升级。这些阻碍了升级效率,增加了升级时长,增加了故障发生概率。
(2)用户在主机批量迁移时候,比如把业务系统和数据从本地机房迁移到互联网云平台的新主机,则在每台新主机上重新安装完产品服务端后,还得人工重新配置产品或导入恢复产品配置。这些步骤繁琐而且对用户的专业技能有一定要求,增加了故障发生概率,增加了产品重新部署的时长和复杂度。
(3)用户启用短信报警时,则必须增加短信报警硬件设备。这些增加了硬件成本、增加了能源消耗、降低了产品整体系统的可靠性。因为每个用户都必须增加一个硬件报警设备,而报警不是每时每刻都有,所以宏观上降低了硬件资源使用率。
(4)用户启用邮件报警时,则必须额外配置诸如SMTP地址、SMTP用户名、SMTP密码等信息,而且还需定期检查发送地址是否被列入垃圾邮件而无法正常发邮件。这些增加了时间维护成本。
(5)用户离开(比如出差时)原所在网络,又必须管理产品时,需要经过原网络的网关,网关此时需要开启NAT端口映射的操作,在操作完成后还需及时关闭相关端口映射以免长时间开放被黑客利用。这些步骤繁琐而且对用户的专业技能有一定要求,且增加了安全隐患。
对现有C/S架构,其专有缺点是:研发人员需要针对用户不同的操作系统(比如Windows、Linux、MacOS、Andorid、iOS)开发不同版本的客户端程序,任何一个系统或设备出问题,如病毒、硬件损坏,都需要进行重新安装或维护,加之产品的更新换代、客户端的各种补丁和升级等,这些都会增加研发成本。
对现有B/S架构,其专有缺点是:由于新搭建私有的产品管理站点而带来下列日常使用时的额外步骤:
(1)所有用户的操作系统(比如Windows、Linux、MacOS、Andorid、iOS)中必须安装研发人员的私有根证书(否则浏览器无法识别私有管理站点的证书是否合法,无法确保通讯可信,甚至无法访问)。
(2)用户日常必须对这个管理站点做好基于网站的常见安全措施,比如:定期检查访问日志、定期用最新的检测工具扫描是否存在SQL注入等漏洞、定期扫描是否有webshell等。
发明内容
本发明的目的是提供一种文件防篡改系统架构,该架构是对现有架构的一种改进,能有效解决现有架构的缺点。
为实现上述目的,本发明采用以下技术方案:一种文件防篡改系统架构,其包括用户、产品服务端及公共产品管理平台;产品服务端为安装在需保护的主机的文件防篡改系统;公共产品管理平台为在某网络中搭建并维护的具有固定IP或域名的数据中心或站点;所有用户共用同一公共产品管理平台且用户之间相互隔离;用户在客户端上借助通讯信道登录所述公共产品管理平台后对相应的文件防篡改系统进行操作;所述公共产品管理平台自动存储每个用户在此公共管理平台上对各自文件防篡改系统的配置;产品服务端与公共产品管理平台通过通讯信道建立通讯,从而进行数据交互;所述公共产品管理平台将存储的文件防篡改系统配置自动下发给对应的产品服务端。
在本发明一实施例中,公共产品管理平台用于接收各个产品服务端上传的各种运行时信息,产品服务端运行出现报警时由公共产品管理平台将报警信息统一自动代发给对应用户。
在本发明一实施例中,公共产品管理平台通过短信或邮件将报警信息统一自动代发给对应用户。
在本发明一实施例中,当用户与产品服务端不在同一网络时,通过其他通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行管理、查看。
在本发明一实施例中,客户端包括浏览器或APP或管理软件。
在本发明一实施例中,所述公共产品管理平台由相关研发人员搭建并维护。
在本发明一实施例中,所述公共产品管理平台使用可信根证书机构颁发的SSL证书。
在本发明一实施例中,公共产品管理平台提供新用户注册功能。
与现有技术相比,本发明具有以下优点:
1、本发明中公共的产品管理平台不再每个用户都单独部署,而是所有用户共用同一个,所以如果研发人员发布针对公共管理平台的补丁,那么无论多少用户都只需应用到一个公共管理平台即可,避免了现有架构中需要对所有客户的所有客户端或私有管理站点进行升级,整个操作过程也无需用户参与,所以提高了升级效率,减少了升级时长,降低了故障发生概率。
2、本发明中公共的产品管理平台自动存储用户的产品配置,所以当用户在主机批量迁移时候,只需在新主机中重新安装本产品即可,随后产品服务端将自动从公共管理平台下载属于自己的最新配置,整个过程避免了现有架构中需要用户人工重新配置或导入配置,所以降低了对用户专业技能的要求,降低了故障发生概率,减少了产品重新部署的时长和降低了复杂度。
3、本发明中公共的产品管理平台不再每个用户都单独部署,而是所有用户共用同一个公共管理平台,而且统一提供了代发各种报警信息(比如:短信报警、邮件报警)功能,所以避免了现有架构中用户需要新增短信报警硬件设备和定期检测邮件报警是否工作正常,所以减少了时间维护成本,减少了硬件成本、减少了能源消耗、提升了产品整体系统的可靠性、宏观上提升了硬件资源使用率。
4、本发明中公共的产品管理平台可以不在用户网络中(比如:可以在互联网中),所以用户离开(比如出差时)原所在网络对产品进行管理时,避免了现有架构中需要对原网络网关进行开、关NAT端口映射的操作,所以降低了对用户专业技能的要求,减少了安全隐患。
5、本发明架构中可以直接使用浏览器当作客户端,所以能够避免现有C/S架构需要针对用户不同的操作系统(比如Windows、Linux、MacOS、Andorid、iOS)开发不同版本的客户端程序的缺点。
6、本发明中公共的产品管理平台具有固定IP或域名,所以可以使用可信根证书机构(比如VeriSign、GlobalSign)颁发的SSL证书,因为这个证书是可信根证书机构颁发所以能被所有操作系统识别为可信,所以避免了现有B/S架构中需要在用户的操作系统中安装私有根证书的操作步骤。
7、本发明中公共的产品管理平台是由产品研发人员搭建并维护,所以避免了现有B/S架构中需要用户对管理站点进行定期网站安全检测的操作步骤。
附图说明
图1为现有技术C/S架构结构示意图。
图2为现有技术B/S架构结构示意图。
图3为本发明一实施例的一种文件防篡改系统架构结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步解释说明。
一种文件防篡改系统架构,其包括用户、产品服务端及公共产品管理平台;产品服务端为安装在需保护的主机的文件防篡改系统;公共产品管理平台为在某网络中搭建并维护的具有固定IP或域名的数据中心或站点;所有用户共用同一公共产品管理平台且用户之间相互隔离;用户在客户端上借助通讯信道登录所述公共产品管理平台后对相应的文件防篡改系统进行操作;所述公共产品管理平台自动存储每个用户在此公共管理平台上对各自文件防篡改系统的配置;产品服务端与公共产品管理平台通过通讯信道建立通讯,从而进行数据交互;所述公共产品管理平台将存储的文件防篡改系统配置自动下发给对应的产品服务端。
文件防篡改系统为用于防止未授权篡改文件/文件夹的一种软件或硬件,一般通过对文件/文件夹的各种访问控制,或者篡改后自动恢复的方法实现防篡改目的,比如针对保护网页文件/文件夹的网页防篡改系统。可以根据需求选用现有技术。
在本发明一实施例中,公共产品管理平台用于接收各个产品服务端上传的各种运行时信息(比如产品日志、产品报警信息,),产品服务端运行出现报警时由公共产品管理平台将报警信息统一自动代发给对应用户。
在本发明一实施例中,公共产品管理平台通过短信或邮件将报警信息统一自动代发给对应用户。
在本发明一实施例中,当用户与产品服务端不在同一网络时,通过其他通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行管理、查看。
在本发明一实施例中,客户端包括浏览器或APP或管理软件。
在本发明一实施例中,所述公共产品管理平台由相关研发人员搭建并维护。
在本发明一实施例中,所述公共产品管理平台使用可信根证书机构颁发的SSL证书。
在本发明一实施例中,公共产品管理平台提供新用户注册功能。
公共产品管理平台产品为研发人员在某网络中(比如互联网)搭建并维护一个具有固定IP或域名的公共的产品管理平台(比如一个数据中心或站点)并使用可信根证书机构(比如VeriSign、GlobalSign)颁发的SSL证书。
本发明将现有架构中每个用户都单独部署的客户端或私有的产品管理站点改进为所有用户都共用同一个公共产品管理平台(比如一个数据中心或站点)。该公共管理平台具有固定的IP或域名。该公共管理平台能自动下发产品策略。该公共管理平台能把各用户相互隔离。该公共管理平台能存储各用户产品配置。在该平台上能注册新用户,用户之间相互隔离,且自动存储每个用户在此公共管理平台上对各自产品的配置。
参见图3,本发明一实施例的一种文件防篡改系统架构结构示意图。在本发明一实施例中,产品服务端与公共产品管理平台通过通讯信道(比如互联网)建立通讯,从而进行数据交互。公共管理平台能被所有用户借助一定的通讯信道(比如互联网)通过客户端(比如浏览器或APP或管理软件)登录,然后用户可管理各自的文件防篡改系统(比如对各自的文件防篡改系统进行策略编辑和下发、日志查看、状态查询等)。
在本发明一实施例中,用户可以产品服务端在同一网络也可以不在同一网络中,在同一网络中时,用户客户端与产品服务端通过同一路由器与公共产品管理平台进行通讯。当用户离开相应的用户网络时通过其他通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行管理、查看。
在本发明一实施例中,所述公共产品管理平台由相关研发人员搭建并维护。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。
Claims (8)
1.一种文件防篡改系统架构,其特征在于:包括用户、产品服务端及公共产品管理平台;
产品服务端为安装在需保护的主机的文件防篡改系统;
公共产品管理平台为在某网络中搭建并维护的具有固定IP或域名的数据中心或站点;所有用户共用同一公共产品管理平台且用户之间相互隔离;
用户在客户端上借助通讯信道登录所述公共产品管理平台后对相应的文件防篡改系统进行操作;所述公共产品管理平台自动存储每个用户在此公共管理平台上对各自文件防篡改系统的配置;产品服务端与公共产品管理平台通过通讯信道建立通讯,从而进行数据交互;所述公共产品管理平台将存储的文件防篡改系统配置自动下发给对应的产品服务端。
2.根据权利要求1所述的文件防篡改系统架构,其特征在于:公共产品管理平台用于接收各个产品服务端上传的各种运行时信息,产品服务端运行出现报警时由公共产品管理平台将报警信息统一自动代发给对应用户。
3.根据权利要求2所述的文件防篡改系统架构,其特征在于:公共产品管理平台通过短信或邮件将报警信息统一自动代发给对应用户。
4.根据权利要求1所述的文件防篡改系统架构,其特征在于:当用户与产品服务端不在同一网络时,通过其他通讯信道登录所述公共产品管理平台后对各自的文件防篡改系统进行管理、查看。
5.根据权利要求1所述的文件防篡改系统架构,其特征在于:客户端包括浏览器或APP或管理软件。
6.根据权利要求1所述的文件防篡改系统架构,其特征在于:所述公共产品管理平台由相关研发人员搭建并维护。
7.根据权利要求1所述的文件防篡改系统架构,其特征在于:所述公共产品管理平台使用可信根证书机构颁发的SSL证书。
8.根据权利要求1所述的文件防篡改系统架构,其特征在于:公共产品管理平台提供新用户注册功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810189549.8A CN108460275A (zh) | 2018-03-08 | 2018-03-08 | 一种文件防篡改系统架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810189549.8A CN108460275A (zh) | 2018-03-08 | 2018-03-08 | 一种文件防篡改系统架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108460275A true CN108460275A (zh) | 2018-08-28 |
Family
ID=63217368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810189549.8A Pending CN108460275A (zh) | 2018-03-08 | 2018-03-08 | 一种文件防篡改系统架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108460275A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6289462B1 (en) * | 1998-09-28 | 2001-09-11 | Argus Systems Group, Inc. | Trusted compartmentalized computer operating system |
| CN101061454A (zh) * | 2004-04-15 | 2007-10-24 | 清晰路径网络股份有限公司 | 用于管理网络的系统和方法 |
| CN105429808A (zh) * | 2015-12-31 | 2016-03-23 | 公安部第三研究所 | 基于可信计算的动态管理业务系统及方法 |
| CN107038392A (zh) * | 2017-04-28 | 2017-08-11 | 郑州云海信息技术有限公司 | 一种客户端完整性检测的方法 |
| CN107437037A (zh) * | 2017-07-31 | 2017-12-05 | 郑州云海信息技术有限公司 | 一种基于安全软件实现信息防泄露的方法 |
-
2018
- 2018-03-08 CN CN201810189549.8A patent/CN108460275A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6289462B1 (en) * | 1998-09-28 | 2001-09-11 | Argus Systems Group, Inc. | Trusted compartmentalized computer operating system |
| CN101061454A (zh) * | 2004-04-15 | 2007-10-24 | 清晰路径网络股份有限公司 | 用于管理网络的系统和方法 |
| CN105429808A (zh) * | 2015-12-31 | 2016-03-23 | 公安部第三研究所 | 基于可信计算的动态管理业务系统及方法 |
| CN107038392A (zh) * | 2017-04-28 | 2017-08-11 | 郑州云海信息技术有限公司 | 一种客户端完整性检测的方法 |
| CN107437037A (zh) * | 2017-07-31 | 2017-12-05 | 郑州云海信息技术有限公司 | 一种基于安全软件实现信息防泄露的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831327B (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
| CN104753936B (zh) | Opc安全网关系统 | |
| US9503468B1 (en) | Detecting suspicious web traffic from an enterprise network | |
| US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| DE60029643T2 (de) | Verfahren und Vorrichtung zur Verwendung eines virenfreien Dateizertifikats | |
| CN103413083B (zh) | 单机安全防护系统 | |
| EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| US20020078382A1 (en) | Scalable system for monitoring network system and components and methodology therefore | |
| US20030110392A1 (en) | Detecting intrusions | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| KR20090065267A (ko) | 침입 탐지 기법을 이용한 웹 서버 로그 분석 장치 및 방법 | |
| CN109587122B (zh) | 基于WAF系统功能实现自我保障Web子系统安全的系统及方法 | |
| CN103441926A (zh) | 数控机床网安全网关系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN112329054A (zh) | 一种提升软件权限的方法、装置、设备及存储介质 | |
| CN102333098A (zh) | 一种安全私有云系统的实现方法 | |
| KR101233934B1 (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
| CN101656632A (zh) | 大型网络内的病毒监控方法及装置 | |
| CN109039752B (zh) | 一种基于统一网关的soa架构系统的管理方法 | |
| CN108460275A (zh) | 一种文件防篡改系统架构 | |
| JP6933320B2 (ja) | サイバーセキュリティフレームワークボックス | |
| CN114745203A (zh) | 一种用户账号全生命周期的监控方法及装置 | |
| CN115277119A (zh) | 内部网络的访问方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180828 |
|
| RJ01 | Rejection of invention patent application after publication |