淺論網(wǎng)頁篡改技術(shù)

范凱

[摘 要] 我國已經(jīng)進(jìn)入信息化時代，信息化給我們帶來便利的同時，也給我們帶來了煩惱。網(wǎng)頁由于受到攻擊使網(wǎng)站蒙受損失，同時還造成一定的社會負(fù)面影響。所以，提高網(wǎng)頁防篡技術(shù)就成為我們在信息化時代面臨的重要任務(wù)。本文對網(wǎng)頁篡改的原因進(jìn)行分析，并對網(wǎng)頁防篡技術(shù)的發(fā)展進(jìn)行論述，進(jìn)而提出網(wǎng)頁防篡技術(shù)評估的方法。

[關(guān)鍵詞] 網(wǎng)頁防篡技術(shù)外掛輪詢技術(shù)核心內(nèi)嵌技術(shù)文件過濾驅(qū)動技術(shù)

計算機技術(shù)的發(fā)展是當(dāng)代經(jīng)濟(jì)的重要標(biāo)志。計算機技術(shù)廣泛應(yīng)用于各個領(lǐng)域，比如建筑設(shè)計、教育、企業(yè)宣傳等。企業(yè)在向外界推廣自己的時候也會采用網(wǎng)絡(luò)推廣的方法，因為網(wǎng)絡(luò)的傳播速度快，接受人群也相對較多。但是，企業(yè)也會經(jīng)常遇到網(wǎng)頁被篡改的事件，給企業(yè)帶來一定的麻煩，有的甚至讓企業(yè)蒙受損失。因此，提高網(wǎng)站的安全，保證網(wǎng)頁內(nèi)容的完整，防止網(wǎng)頁被篡改就成為我們目前面臨的重要任務(wù)。

一、網(wǎng)頁篡改現(xiàn)象存在的原因

網(wǎng)頁被篡改的原因是多方面的，既有技術(shù)方面的原因，也有管理方面的原因，有時網(wǎng)頁被篡改是由于設(shè)備配置的原因。

1.在目前的網(wǎng)站建設(shè)中，存在漏洞，為黑客等提供了攻擊的突破口?，F(xiàn)在已經(jīng)公布的操作系統(tǒng)漏洞有一萬多個，系統(tǒng)漏洞從發(fā)現(xiàn)到被利用為5天，而修復(fù)漏洞的補丁的發(fā)布時間為47天。另外，應(yīng)用系統(tǒng)漏洞也成為攻擊的對象。

2.網(wǎng)絡(luò)管理員難以完全實現(xiàn)安全管理要求。在網(wǎng)絡(luò)安全管理中，對安全管理的要求相當(dāng)苛刻，比如，密碼管理合格密碼需要8位以上復(fù)雜字符并定期改變，漏洞補丁操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)的定期更新等，這對網(wǎng)絡(luò)安全管理人員來說，任務(wù)是非常重。

3.網(wǎng)絡(luò)設(shè)備防篡的不足為了保護(hù)網(wǎng)站的安全，大多數(shù)網(wǎng)站系統(tǒng)都使用了防火墻和入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備來保護(hù)自身的安全。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備被廣泛應(yīng)用在網(wǎng)絡(luò)安全中，但是在防止網(wǎng)頁被篡改方面，防火墻起不到什么作用。因為防火墻完全向外部網(wǎng)絡(luò)開放web應(yīng)用端口，對Web應(yīng)用沒有任何的保護(hù)作用，即使使用http代理型的防火墻，防火墻也只是驗證http協(xié)議本身的合法性，完全不能理解http協(xié)議所承載的數(shù)據(jù)，也無從判斷對http服務(wù)器的訪問行為是否合法。入侵檢測技術(shù)與防火墻一樣，在應(yīng)用協(xié)議的理解和作用方面具有局限性，對于復(fù)雜的http會話和協(xié)議更是不能完整處理，所以對攻擊網(wǎng)頁的行為，入侵檢測系統(tǒng)無法檢測和防御，修復(fù)被篡改的網(wǎng)頁就更談不上了。使用防火墻和入侵檢測技術(shù)對于網(wǎng)頁篡改來說是沒有效的，需要專業(yè)的防篡改網(wǎng)頁的設(shè)備和系統(tǒng)來對網(wǎng)頁進(jìn)行保護(hù)，保證網(wǎng)頁的安全。

4.外部原因。除了上述原因外，網(wǎng)頁被篡改或受攻擊的直接原因就是黑客。黑客或者是為了展示自己高超的技術(shù)，或者是受雇與競爭對手，或者是受雇于非法組織，也有可能是員工對企業(yè)的不滿的一種情緒的宣泄。

二、網(wǎng)頁防篡技術(shù)的發(fā)展

網(wǎng)頁防篡技術(shù)發(fā)展到現(xiàn)在，已經(jīng)發(fā)展到第三代，現(xiàn)就網(wǎng)頁防篡改技術(shù)的發(fā)展過程做一個介紹。

1. 起始階段——人工對比檢測

人工對比檢測是網(wǎng)絡(luò)管理員對要保護(hù)的網(wǎng)站進(jìn)行人工監(jiān)控，在監(jiān)控過程中，如果發(fā)現(xiàn)有內(nèi)容被篡改，要對網(wǎng)頁進(jìn)行修改和還原。人工對比檢測不能算是應(yīng)對網(wǎng)頁篡改的原始手段，嚴(yán)格第講并不是一種網(wǎng)頁防篡改技術(shù)，但是這種方法在真正的網(wǎng)頁防篡改系統(tǒng)出現(xiàn)以前的相當(dāng)長時間內(nèi)一直被使用。這種安全監(jiān)控方法的效果并不好，對網(wǎng)頁的安全性保護(hù)沒有太大的作用。這種監(jiān)控方法最大的缺點就是對網(wǎng)頁的安全不能進(jìn)行即時監(jiān)控。網(wǎng)絡(luò)管理員無法及時的發(fā)現(xiàn)被篡改，往往是被篡改一段時間后才被發(fā)現(xiàn)，即使發(fā)現(xiàn)以后也要花費一定的時間才能進(jìn)行修復(fù)和還原。

2. 第一代——外掛輪詢技術(shù)

外掛輪詢技術(shù)是利用一個網(wǎng)頁檢測程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，通過與真實網(wǎng)頁相比較來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進(jìn)行報警和恢復(fù)。這種監(jiān)控方法比人工監(jiān)控的效率大大提高。但是外掛輪詢技術(shù)也存在缺點，那就是在外掛輪詢技術(shù)在進(jìn)行掃描時會有時間間隔的存在，大約時長為幾十分鐘。而在這段間隔期間，無法防止黑客對系統(tǒng)的攻擊，使網(wǎng)頁處于危險的境地。

3. 第二代——核心內(nèi)嵌技術(shù)

所謂核心內(nèi)嵌技術(shù)即密碼水印技術(shù)，即最初先將網(wǎng)頁內(nèi)容采取非對稱加密存放，在外來訪問請求時將經(jīng)過加密驗證過的文件進(jìn)行解密對外發(fā)布，若未經(jīng)過驗證，則拒絕對外發(fā)布，調(diào)用備份網(wǎng)站文件進(jìn)行驗證解密后對外發(fā)布。

核心內(nèi)嵌技術(shù)的安全性與外掛輪巡技術(shù)相比，大大提高，而且核心內(nèi)嵌技術(shù)在進(jìn)行網(wǎng)頁檢查時沒有時間間隔，從而可以使網(wǎng)頁一直在監(jiān)控之中。核心內(nèi)嵌技術(shù)如果要有效防止網(wǎng)頁被篡改，就必須對網(wǎng)頁的完整性進(jìn)行實時檢查，而這樣會占用系統(tǒng)資源，使服務(wù)器負(fù)載較大，導(dǎo)致系統(tǒng)反應(yīng)緩慢。同時該技術(shù)還使得網(wǎng)頁的發(fā)布流程發(fā)生了改變，這使得網(wǎng)站要對自身的架構(gòu)進(jìn)行重新設(shè)計，而且要更新服務(wù)器。

4.第三代——文件過濾驅(qū)動技術(shù)＋事件觸發(fā)技術(shù)

文件過濾驅(qū)動技術(shù)需要與事件觸發(fā)技術(shù)結(jié)合起來才能發(fā)揮防篡改的作用，它開始是被用在軍隊保密系統(tǒng)中。其原理是：將篡改監(jiān)測的核心程序通過微軟文件底層驅(qū)動技術(shù)應(yīng)用到Web服務(wù)器中，通過事件觸發(fā)方式進(jìn)行自動監(jiān)測，對文件夾的所有文件內(nèi)容，對照其底層文件屬性，經(jīng)過內(nèi)置散列快速算法，實時進(jìn)行監(jiān)測。若發(fā)現(xiàn)屬性變更，則通過非協(xié)議方式、純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測文件夾相應(yīng)文件位置。通過這種技術(shù)的應(yīng)用，可以使被篡改的網(wǎng)頁在很短的時間內(nèi)得到修改，用戶不會瀏覽到被篡改的網(wǎng)頁，從而使網(wǎng)頁正常運轉(zhuǎn)。

文件過濾驅(qū)動技術(shù)可以監(jiān)測的所有的文件類型，而且執(zhí)行準(zhǔn)確率高。文件過濾驅(qū)動技術(shù)可以完全避免外掛輪詢技術(shù)的輪詢間隔，并且使用戶無法看到被篡改的內(nèi)容，極大第提高了網(wǎng)頁的安全性。同時，文件過濾驅(qū)動技術(shù)比核心內(nèi)嵌式技術(shù)消耗的內(nèi)存和CPU占用率要低得多。

三、網(wǎng)頁防篡技術(shù)評估

一般用戶在網(wǎng)絡(luò)上瀏覽的網(wǎng)頁可以分成靜態(tài)網(wǎng)頁和動態(tài)網(wǎng)頁兩種。靜態(tài)網(wǎng)頁是用戶直接看到的界面，動態(tài)網(wǎng)頁是Web服務(wù)器上的腳本文件（如jsp文件）經(jīng)過執(zhí)行后，將其執(zhí)行的結(jié)果反饋給公眾。比如，我們在點擊一個連接時就會在后臺運行腳本，執(zhí)行之后在界面上顯示出結(jié)果。腳本通常會讀取數(shù)據(jù)庫中的數(shù)據(jù)，因此最后生成的網(wǎng)頁可以認(rèn)為是腳本文件和數(shù)據(jù)庫內(nèi)容的綜合。由此可知，要防止網(wǎng)頁被篡改，實質(zhì)就是保護(hù)文件（無論是靜態(tài)網(wǎng)頁文件還是腳本文件）和數(shù)據(jù)庫的安全。

因此，一個有效的網(wǎng)頁防篡改系統(tǒng)必須達(dá)到以下兩個方面的要求：

1. 實現(xiàn)對網(wǎng)頁文件的完整性檢查和保護(hù)，并達(dá)到100%的防護(hù)效果，即被篡改網(wǎng)頁不可能被訪問到。

2. 實現(xiàn)對已知的來自于Web的數(shù)據(jù)庫攻擊手段的防范。

為了對網(wǎng)頁防篡技術(shù)的評估，可以對技術(shù)按照這兩方面的要求進(jìn)行測試。例如：文件保護(hù)可以通過直接修改Web服務(wù)器上的文件，再用瀏覽器訪問該文件來測試是否達(dá)到了100%可靠的防護(hù)效果；數(shù)據(jù)庫保護(hù)則可以通過一些黑客工具（NBSI、HDSI等等）對受保護(hù)網(wǎng)站進(jìn)行模擬攻擊。

四、結(jié)束語

網(wǎng)頁被篡改會引起一系列的麻煩，對于企業(yè)來說，可能會泄漏企業(yè)機密，而對于政府網(wǎng)站來說，可能會對政府的形象帶來負(fù)面影響。所以，防止網(wǎng)頁被篡改，提高網(wǎng)頁防篡技術(shù)是信息化時代的要求。我們必須加大對技術(shù)研究的力度，從各個方面對技術(shù)研究進(jìn)行支持，使網(wǎng)頁防篡技術(shù)可以保證網(wǎng)頁的安全。

參考文獻(xiàn)：

[1] 蓋玲防網(wǎng)頁篡改技術(shù)比較分析圖書與情報 2007年第2期.

[2] 余明華網(wǎng)頁安全防范策略的研究與實施科技信息（學(xué)術(shù)研究） 2006年第6期.

[3] 羅利民網(wǎng)頁防篡改技術(shù)的一種實現(xiàn)福建電腦 2008年第11期.

[4] 趙曉云，穆慧敏山西省地震局網(wǎng)頁防篡改技術(shù)應(yīng)用及應(yīng)急預(yù)案研究山西地震 2011年第7期.

[5] 占明艷企業(yè)網(wǎng)絡(luò)安全對策研究軟件導(dǎo)刊 2008年第9期.

[6] 楊敏，網(wǎng)頁防篡改安全研究中國高新技術(shù)企業(yè) 2010年第9期.