在上篇我们有提到过，后门攻击是攻防演练中常见的一种攻击方法。试想如果有人在后台程序里留了后门，可以直接注入一段脚本代码，操作数据库，修改账户余额，然后进行非法提现或者商品买卖。或者是，公司里有数据库权限的同学，可以登进数据，然后直接操作把账户余额改掉。这两种情况，是不是非常刺激？

但是，使用区块链系统来存储敏感数据信息，就不会出现这种情况。即使出现了，也会被区块链系统自动检测到，然后把这笔被篡改的记录从链上踢掉，然后从其他的存储节点，把健康的交易数据同步过来。

八分量持续免疫系统的区块链防篡改模块，基于区块链技术，为静态资源提供持续性防篡改服务，最大限度的保证用户的应用程序、文件、图片、视频、数据等内容安全、可控。

一、实现原理

区块链是一种按照时间顺序将数据区块以顺序相连接、并以密码学方式保证的不可篡改和不可伪造的分布式账本（也称数据库）。它具有不可篡改、防伪、可追溯等特性。

在区块链中，每个区块都包含上一个区块所有数据包的哈希值，计算当前区块的哈希值时，同时包含了上一个区块的哈希值，形成链接关系。

所以，一旦任何某个区块数据产生变动，后续所有区块的哈希值都会变动，所有人都能发现数据被篡改，并丢弃且不认可这种无效数据。这就保证了区块链数据的不可篡改。

二、核心要点

持续免疫系统的区块链防篡改模块，利用自主研发的可信区块链技术，保障白名单、审计日志、配置文件等所有链上数据不被篡改。

一方面，开启主机目录保护，可以锁定目录、文件，让入侵者无法继续破坏重要数据；另一方面，系统自动备份主机目录文件，可按任意时间恢复异常文件，提升数据抗灾能力。

首先，我们通过账号信息登录安全管理平台。点击左侧菜单栏的“区块链服务”，选择子菜单“区块链防篡改”，自动登录防篡改子系统。

可以看到，防篡改服务包含6个主要功能模块：

1用户管理

该模块主要提供了为指定的普通用户在目标主机上新增保护目录、分配已存在的保护目录，以及取消指定用户对目录的操作授权。普通用户只有被授权指定目录的操作权限后，才能对其进行资源管理。管理员具备所有目标主机上所有目录的操作权限。

此外，该模块还提供了冻结和启用普通用户的功能。

2文件管理

该模块提供对指定的目标主机上的被保护的目录的资源管理的功能。用户可完成对文件和目录新增、删除、移动和重命名的操作，每次操作均会生成新的版本记录，这是完成对目录下资源管理的两个途径之一。

另外，该模块提供了对指定根目录的暂停和启动保护的功能。只有暂停保护后，用户才能直接在目标主机上完成手动的资源变更。启动保护后，会自动识别变更并形成新的版本。

3版本信息维护

该模块提供了保护目录的版本信息维护功能，可查看所有的历史版本信息，并提供了版本恢复的功能。用户每次通过防篡改服务变更文件，或暂停根目录保护手动变更，再重启防篡改服务均会生成对应的版本记录。

4防篡改状态监视

该模块提供了对目标主机上的防篡改服务状态，用户可查看所有部署了防篡改服务的目标主机的运行状态。运行状态包括正常和心跳超时等。

5用户操作日志

该模块提供了对用户通过防篡改服务的操作日志查看功能。主要包含用户的启动/暂停根目录保护，新增、删除、移动和重命名等操作记录。

6客户端防篡改日志

该模块提供了针对目标主机上被保护目录的篡改操作的记录功能。监控的篡改包括新增、删除、修改和移动目录或文件的4类篡改操作。

需要注意的是，防篡改服务保护的对象需为静态文件，指的是在网站正常运行下，文件内容不会发生频繁变更（如图片、电影等）。

所以，使用前，请务必确保被保护的目录下文件内容在网站正常运行下不会频繁变更，如果要更新静态文件，请通过防篡改的服务端进行更新，或先暂停对目录的保护，手动变更完成后再启动目录保护。

三、具体实践

接下来，进行一次区块链在数据安全防护中的工作流程演示。

1.新增保护目录

点击管理员admin用户的【用户详情】，进入管理员的主机目录管理页面。点击【新建根目录】，并选择目标主机，输入根目录名称和绝对路径，并点击【新建根目录】完成根目录的新建工作。

新增保护目录

2.分配保护目录

将新增的目录分配给普通用户trust。同样的，点击【用户详情】进入trust的主机和目录管理页面。点击【分配根目录】，选择192.168.20.59这个目标机器，再为用户trust分配该目标机器上的test这个目录。

分配保护目录

3.取消目录授权

首先，在根目录列表中选择一个或多个根目录，然后点击【取消授权】。

取消目录授权

4.文件上传

点击指定根目录（如home），即可看到该根目录下的第一层子目录和文件情况。选择文件后，点击【上传】并点击【确认】即可将文件上传到该目录下。

文件上传

以上四个步骤，完成了数据安全防护的第一步——上链。后期，用户可以通过版本信息模块、防篡改状态监视模块、用户操作日志模块、客户端防篡改日志模块，查看所有部署了防篡改服务的主机的相关操作记录。

因为用户每次通过防篡改服务变更文件，或暂停根目录保护手动变更，再重启防篡改服务均会生成对应的版本记录。如果想要回到以前版本，可以在主机和目录列表部分依次选择指定的主机和目录，然后选择某一指定版本，点击【回滚到此版本】，再点击【开始回滚】，即可完成回滚操作。

版本回滚