在上一篇文章中，我們提到后門攻擊是攻防演練中常見的攻擊方法。想象一下，如果有人在后臺程序里留了后門，可以直接注入一段腳本代碼操作數(shù)據(jù)庫，修改賬戶余額，然后進行非法提現(xiàn)或者商品買賣。或者是公司里有數(shù)據(jù)庫權限的同學，可以登進數(shù)據(jù)，然后直接操作把賬戶余額改掉。這兩種情況非常刺激，但是使用區(qū)塊鏈系統(tǒng)來存儲敏感數(shù)據(jù)信息，就不會出現(xiàn)這種情況。即使出現(xiàn)了，也會被區(qū)塊鏈系統(tǒng)自動檢測到，然后把這筆被篡改的記錄從鏈上踢掉，并從其他存儲節(jié)點上，把健康的交易數(shù)據(jù)同步過來。

八分量持續(xù)免疫系統(tǒng)的區(qū)塊鏈防篡改模塊，基于區(qū)塊鏈技術，為靜態(tài)資源提供持續(xù)性防篡改服務，最大限度保證用戶的應用程序、文件、圖片、視頻、數(shù)據(jù)等內容的安全和可控。

實現(xiàn)原理

區(qū)塊鏈是一種按照時間順序將數(shù)據(jù)區(qū)塊以順序相連接，并以密碼學方式保證的不可篡改和不可偽造的分布式賬本（也稱數(shù)據(jù)庫）。它具有不可篡改、防偽、可追溯等特性。

在區(qū)塊鏈中，每個區(qū)塊都包含上一個區(qū)塊所有數(shù)據(jù)包的哈希值。計算當前區(qū)塊的哈希值時，同時包含了上一個區(qū)塊的哈希值，形成鏈接關系。所以，一旦任何某個區(qū)塊數(shù)據(jù)產(chǎn)生變動，后續(xù)所有區(qū)塊的哈希值都會變動，從而讓所有人發(fā)現(xiàn)數(shù)據(jù)被篡改，并且丟棄那些無效數(shù)據(jù)。這就保證了區(qū)塊鏈數(shù)據(jù)的不可篡改。

核心要點

持續(xù)免疫系統(tǒng)的區(qū)塊鏈防篡改模塊利用自主研發(fā)的可信區(qū)塊鏈技術，保障白名單、審計日志、配置文件等對所有鏈上數(shù)據(jù)不被篡改。

一方面，開啟主機目錄保護，可以鎖定目錄、文件，讓入侵者無法繼續(xù)破壞重要數(shù)據(jù)。另一方面，系統(tǒng)自動備份主機目錄文件，可按任意時間恢復異常文件，提升數(shù)據(jù)抗災能力。

首先，我們通過賬號信息登錄安全管理平臺。點擊左側菜單欄的“區(qū)塊鏈服務”，選擇子菜單“區(qū)塊鏈防篡改”，自動登錄防篡改子系統(tǒng)。

可以看到，防篡改服務包含6個主要功能模塊：

1.用戶管理，該模塊提供了為指定的普通用戶在目標主機上新增保護目錄、分配已存在的保護目錄，以及取消指定用戶對目錄的操作授權。普通用戶只有被授權指定目錄的操作權限后，才能對其進行資源管理。管理員具備所有目標主機上所有目錄的操作權限。此外，該模塊還提供了凍結和啟用普通用戶的功能。

2.文件管理，該模塊提供對指定的目標主機上的被保護的目錄的資源管理的功能。用戶可完成對文件和目錄新增、刪除、移動和重命名的操作。每次操作均會生成新的版本記錄，這是完成對目錄下資源管理的兩個途徑之一。另外，該模塊提供了對指定根目錄的暫停和啟動保護的功能。只有暫停保護后，用戶才能直接在目標主機上完成手動的資源變更。啟動保護后，會自動識別變更并形成新的版本。

3.版本信息維護，該模塊提供了保護目錄的版本信息維護功能，可查看所有的歷史版本信息，并提供了版本恢復的功能。用戶每次通過防篡改服務變更文件，或暫停根目錄保護手動變更，再重啟防篡改服務均會生成對應的版本記錄。

4.防篡改狀態(tài)監(jiān)視，該模塊提供了對目標主機上的防篡改服務狀態(tài)，用戶可查看所有部署了防篡改服務的目標主機的運行狀態(tài)。運行狀態(tài)包括正常和心跳超時等。

5.用戶操作日志，該模塊提供了對用戶通過防篡改服務的操作日志查看功能。主要包含用戶的啟動/暫停根目錄保護，新增、刪除、移動和重命名的操作記錄。

6.客戶端防篡改日志，該模塊提供了針對目標主機上被保護目錄的篡改操作的記錄功能。監(jiān)控的篡改包括新增、刪除、修改和移動目錄或文件的4類篡改操作。

需要注意的是，防篡改服務保護的對象需為靜態(tài)文件，指的是在網(wǎng)站正常運行下，文件內容不會發(fā)生頻繁變更（如圖片、電影等）。

所以，在使用前，請務必確保被保護的目錄下文件內容在網(wǎng)站正常運行下不會頻繁變更。如果要更新靜態(tài)文件，請通過防篡改的服務端進行更新，或先暫停對目錄的保護，手動變更完成后再啟動目錄保護。

具體實踐

接下來，進行一次區(qū)塊鏈在數(shù)據(jù)安全防護中的工作流程演示。

1.新增保護目錄。點擊管理員admin用戶的【用戶詳情】，進入管理員的主機目錄管理頁面。點擊【新建根目錄】，并選擇目標主機，輸入根目錄名稱和絕對路徑，并點擊【新建根目錄】完成根目錄的新建工作。

2.分配保護目錄。將新增的目錄分配給普通用戶trust。同樣的，點擊【用戶詳情】進入trust的主機和目錄管理頁面。點擊【分配根目錄】，選擇192.168.20.59這個目標機器，再為用戶trust分配該目標機器上的test這個目錄。

3.取消目錄授權。首先，在根目錄列表中選擇一個或多個根目錄，然后點擊【取消授權】。

4.文件上傳。點擊指定根目錄（如home），即可看到該根目錄下的第一層子

熱點：防止比特幣 比特幣文件 文件nft nft文件 如何比特幣