淺談一種網(wǎng)頁防篡改技術(shù)在校園網(wǎng)中的實(shí)現(xiàn)

郭波濤

(仙桃職業(yè)學(xué)院，湖北仙桃433000)

淺談一種網(wǎng)頁防篡改技術(shù)在校園網(wǎng)中的實(shí)現(xiàn)

郭波濤

(仙桃職業(yè)學(xué)院，湖北仙桃433000)

校園網(wǎng)作為一種集合了科、教為一體的綜合性大型信息服務(wù)平臺(tái)，可以延伸開發(fā)更多的Web應(yīng)用級的產(chǎn)品。當(dāng)前隨著高校信息化建設(shè)的深入發(fā)展，校園網(wǎng)絡(luò)的安全問題也日益突顯出來，對校園網(wǎng)的攻擊，尤其是篡改網(wǎng)頁事件的頻發(fā)，已成為危害校園網(wǎng)安全的嚴(yán)重問題之一。對高校而言，如何提高校園網(wǎng)絡(luò)的安全性，減少和避免校園網(wǎng)頁的篡改事件，已成為校園信息建設(shè)工作中亟待解決的重要環(huán)節(jié)。針對防篡改系統(tǒng)的實(shí)現(xiàn)展開相關(guān)的分析。

校園網(wǎng)；防篡改；Web網(wǎng)頁；高校

現(xiàn)階段社會(huì)已步入信息化社會(huì)發(fā)展階段，在社會(huì)各領(lǐng)域中互聯(lián)網(wǎng)技術(shù)已成為重要的流通、交換和儲(chǔ)存手段。校園網(wǎng)是高校對外宣傳展示的主要平臺(tái)，具有宣傳政策、樹立形象等作用，所以校園網(wǎng)絡(luò)的安全問題一直被社會(huì)高度關(guān)注。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的相關(guān)檢測結(jié)果顯示，Web應(yīng)用的安全問題每年都在呈現(xiàn)不斷上升的發(fā)展趨勢，已成為嚴(yán)重危害校園網(wǎng)安全的重要問題之一。因此需要結(jié)合校園網(wǎng)部署相應(yīng)的防篡改系統(tǒng)，利用Web服務(wù)器核心內(nèi)嵌技術(shù)，在Web服務(wù)器內(nèi)部將篡改檢測模塊和應(yīng)用防護(hù)模塊內(nèi)嵌，并對其自定義配套的防篡改策略，進(jìn)而實(shí)現(xiàn)網(wǎng)頁以及數(shù)據(jù)的動(dòng)態(tài)監(jiān)測。

1 目前高校校園網(wǎng)安全存在的風(fēng)險(xiǎn)

1.1 終端工具存在漏洞

通常情況下，教育行業(yè)的網(wǎng)站應(yīng)用中，相關(guān)的網(wǎng)站維護(hù)人員常使用ftp、Pc anywhere、Telnet、CMS等終端工具，但是這些終端工具的使用還需要開設(shè)相應(yīng)的服務(wù)器端口，加之操作操作系統(tǒng)和網(wǎng)站漏洞較多，給一些黑客、病毒借助開放的端口和漏洞進(jìn)行破壞提供了便捷的條件。

1.2 缺乏有效的保護(hù)系統(tǒng)

Web應(yīng)用系統(tǒng)多采用asp開發(fā)，即便是在采用NET/JAVA開發(fā)時(shí)，網(wǎng)站自身的存在的漏洞以及上傳功能模塊等給木馬病毒的攻擊創(chuàng)造了有力的條件，并不能夠有效地確保網(wǎng)站被惡意的篡改。另外網(wǎng)絡(luò)的防火墻應(yīng)用的網(wǎng)絡(luò)安全設(shè)備都以較為成熟并廣泛應(yīng)用，但是Web服務(wù)器一般都被部署在防火墻的DMZ位置，且網(wǎng)絡(luò)防火墻必須要允許重要協(xié)議不限制的訪問Web應(yīng)用。如果攻擊代碼被嵌入到Web通信中，防火墻也只能是驗(yàn)證其協(xié)議的合法性，無法判斷應(yīng)用端口的訪問行為是否合法，由此可見，網(wǎng)絡(luò)防火站對Web沒有任何的保護(hù)作用。Web服務(wù)器在用戶請求的頁面中也缺乏完整性的保護(hù)機(jī)制，相應(yīng)的造成防火墻等網(wǎng)絡(luò)安全設(shè)備對應(yīng)用層面的保護(hù)效果并不理想[1]。

1.3 網(wǎng)站系統(tǒng)缺乏實(shí)時(shí)性的保護(hù)模塊

網(wǎng)站發(fā)布目錄根本不存在實(shí)時(shí)性的保護(hù)以及報(bào)警機(jī)制，所以在日常使用中，一旦有非法操作入侵，網(wǎng)站管理人員很難及時(shí)地了解網(wǎng)站的運(yùn)行情況，導(dǎo)致某些非法的文件長期的保留在網(wǎng)站的服務(wù)器中，久而遠(yuǎn)之，給校園網(wǎng)帶來了極大的危害性[2]。

2 防篡改技術(shù)概述

在分析黑客篡改網(wǎng)頁的目的時(shí)，可以將網(wǎng)頁篡改操作分為經(jīng)濟(jì)型和政治型兩類，經(jīng)濟(jì)型是以獲取經(jīng)濟(jì)利益為目的的篡改，常見于商業(yè)網(wǎng)站，具有較大的危害性，如果處理不到位往往會(huì)給商家?guī)韲?yán)重的損失。而且在現(xiàn)階段較多的被攻擊的商業(yè)網(wǎng)站機(jī)構(gòu)都是缺失對該問題的重視，存在僥幸心理，最后陷入困局。政治型的篡改較之經(jīng)濟(jì)型篡改，其問題更為嚴(yán)重，常見于政府機(jī)構(gòu)、宗教組織以及民間組織等，該種類型的網(wǎng)頁受眾較多，具有極強(qiáng)的傳播性和權(quán)威性特點(diǎn)，如果發(fā)生網(wǎng)頁惡性篡改事件則會(huì)造成非常惡劣的影響[3]。所以針對異常篡改造成的嚴(yán)重影響，社會(huì)各界采取了一定的防篡改技術(shù)，并取得一定的成效，以下對四種常見的防篡改技術(shù)進(jìn)行相關(guān)的論述：

第一，外掛輪詢技術(shù)，也被稱為定時(shí)循環(huán)掃描技術(shù)，借助網(wǎng)頁檢測程序?qū)⒈粰z測網(wǎng)頁文件和網(wǎng)頁文件夾通過輪詢方式讀出，然后與制定的文件進(jìn)行對比判別文件是否被篡改，如果發(fā)現(xiàn)篡改的文件則立即恢復(fù)。但是運(yùn)用到內(nèi)容豐富的校園網(wǎng)頁上，輪詢周期過長，存在較大的系統(tǒng)資源浪費(fèi)。

第二，核心內(nèi)嵌技術(shù)，指通過B/S模式提出網(wǎng)頁修改的請求，先通過加密算法驗(yàn)證，如果通過驗(yàn)證則進(jìn)行修改。該技術(shù)對服務(wù)器具有較高的運(yùn)算資源要求，不適用于校園網(wǎng)正常的修改。

第三，事件觸發(fā)技術(shù)，編寫具有帶有檢測功能的程序，對網(wǎng)站的目錄以及網(wǎng)頁進(jìn)行實(shí)時(shí)性的查看，可以對非法性的修改發(fā)出警報(bào)并能恢復(fù)。但是建立在“網(wǎng)頁不會(huì)私自篡改”基礎(chǔ)上的安全技術(shù)手段，對沒有觸發(fā)的網(wǎng)頁無法展開檢查，故此訪問者極有可能訪問到被惡意篡改的網(wǎng)頁。

第四，文件過濾驅(qū)動(dòng)技術(shù)，在Web服務(wù)器放入對篡改行為進(jìn)行檢測的內(nèi)置散列快速算法的監(jiān)測程序，實(shí)現(xiàn)觸發(fā)方式下的自動(dòng)監(jiān)測，如果發(fā)現(xiàn)屬性則通過非協(xié)議性的手段進(jìn)行變更。與操作系統(tǒng)進(jìn)行配合可以實(shí)現(xiàn)文件的過濾和保護(hù)，達(dá)到頁面防止篡改的目的[4]。

3 網(wǎng)頁防篡改系統(tǒng)應(yīng)用的實(shí)現(xiàn)

3.1 校園網(wǎng)頁防篡改系統(tǒng)的設(shè)計(jì)

網(wǎng)站安全問題的形勢較為嚴(yán)峻，應(yīng)從應(yīng)用層角度出發(fā)解決網(wǎng)站的安全問題，基于現(xiàn)有的網(wǎng)絡(luò)架構(gòu)來部署針對性的網(wǎng)頁防篡改系統(tǒng)，使用Web服務(wù)器核心內(nèi)嵌技術(shù)，在Web服務(wù)器內(nèi)部嵌入篡改監(jiān)測模塊和應(yīng)用防護(hù)模塊，并對防篡改策略進(jìn)行自定義，進(jìn)而實(shí)現(xiàn)網(wǎng)頁和數(shù)據(jù)內(nèi)容的實(shí)時(shí)性監(jiān)測和保護(hù)功能。該系統(tǒng)的功能設(shè)計(jì)如下：

1)監(jiān)控和恢復(fù)功能設(shè)計(jì)，為了確保網(wǎng)站文件安全的保障機(jī)制，對監(jiān)控網(wǎng)站文件進(jìn)行實(shí)時(shí)性的變更，降低篡改操作的發(fā)生概率。并且能夠在發(fā)生篡改操作時(shí)，對文件進(jìn)行自動(dòng)實(shí)時(shí)性的恢復(fù)。另外將所有互聯(lián)網(wǎng)訪問進(jìn)行內(nèi)容過濾處理，確保發(fā)布內(nèi)容的正確性。

2)同步和備份功能設(shè)計(jì)，無縫集成各類網(wǎng)站的發(fā)布方式，如：CMS、Telnet等，確保網(wǎng)站內(nèi)容能夠?qū)崿F(xiàn)更新維護(hù)的自動(dòng)化和實(shí)時(shí)性。建立網(wǎng)站備份功能?？梢杂行У卦谙到y(tǒng)實(shí)施過程中的初始化不借助第三方軟件進(jìn)行。

3)告警和日志功能設(shè)計(jì)，對于網(wǎng)站發(fā)生的各類篡改操作或者企圖篡改行為，系統(tǒng)能夠?qū)崿F(xiàn)實(shí)時(shí)性的報(bào)警，并將詳細(xì)的信息借助告警的方式上傳至網(wǎng)站管理人員。而日志功能可以將篡改操作進(jìn)行記錄，便于追究和落實(shí)篡改責(zé)任，對網(wǎng)站管理人員而言，也為了解和掌握網(wǎng)頁安全和系統(tǒng)運(yùn)行等基本信息提供了資料[5]。

4)擁護(hù)權(quán)限的管理功能設(shè)計(jì)，網(wǎng)站管理的安全性提高可以設(shè)置多用戶管理機(jī)制，對不同擁護(hù)的權(quán)限按照實(shí)際需求分別進(jìn)行操作控制。網(wǎng)頁防篡改系統(tǒng)根據(jù)邏輯部署位置以及不同的職責(zé)分為4部分：監(jiān)控代理(MA)、同步代理(SA)、客戶端管理(MC)以及管理平臺(tái)(SP)。MA在網(wǎng)站服務(wù)器上進(jìn)行部署，具有實(shí)時(shí)監(jiān)控保護(hù)網(wǎng)站文件的作用，對篡改操作和篡改企圖實(shí)時(shí)發(fā)送恢復(fù)請求并提交告警提示信心；SA在同步服務(wù)器上部署，職責(zé)為處理監(jiān)控代理提交的恢復(fù)請求，分析請求執(zhí)行與網(wǎng)站服務(wù)器的文件進(jìn)行同步；MC在網(wǎng)站管理元的計(jì)算機(jī)上安裝，是用戶和系統(tǒng)之間的接口，具有傳達(dá)操作指令的功能，將實(shí)時(shí)接收來自各代理端的告警信息及時(shí)通知到用戶；SP是更高一級的管理子系統(tǒng)，于總中心的管理服務(wù)器進(jìn)行部署，其作用是負(fù)責(zé)接收在管轄范圍內(nèi)監(jiān)控中心提交的所有各類關(guān)鍵信息[6]。

3.2 校園網(wǎng)頁防篡改系統(tǒng)解決方案的實(shí)現(xiàn)

系統(tǒng)實(shí)現(xiàn)的原理為：將網(wǎng)站的文件分成兩份，一份是備份文件，一份用于對外發(fā)布提供用戶訪問的內(nèi)容。網(wǎng)站管理人員可以借助后臺(tái)管理平臺(tái)對發(fā)布的文件進(jìn)行修改，并自動(dòng)同步到備份文件中，如果有惡意篡改或者刪除操作時(shí)，備份文件自動(dòng)對篡改和刪除的文件進(jìn)行還原操作，從而實(shí)現(xiàn)了網(wǎng)頁防止篡改的目的。根據(jù)前文分析的防篡改系統(tǒng)設(shè)計(jì)的特點(diǎn)，高?？梢越Y(jié)合自身校園網(wǎng)的情況，在學(xué)校主頁網(wǎng)站等重要的服務(wù)器上部署網(wǎng)頁防篡改系統(tǒng)，將MC和發(fā)布服務(wù)器在同一服務(wù)器上設(shè)置，通過網(wǎng)站服務(wù)器實(shí)現(xiàn)防篡改的管理。在日常管理中結(jié)合系統(tǒng)運(yùn)行的情況防止外部的各類攻擊操作，增強(qiáng)了提供公共信息服務(wù)器的可靠性[7]。

3.3 自定義防篡改和事件觸發(fā)機(jī)制實(shí)時(shí)阻斷

在Web服務(wù)器內(nèi)部嵌入篡改檢測模塊和應(yīng)用防護(hù)模塊，應(yīng)用防護(hù)模塊可以將用戶提交的請求和攻擊特征數(shù)據(jù)庫中的特征碼進(jìn)行對比，檢測請求提示中是否含有非法字符。為提高校園網(wǎng)站的安全性，可以對防篡改系統(tǒng)中的安全策略進(jìn)行自定義設(shè)計(jì)，對輸入字段增加字符類型的判斷，進(jìn)而強(qiáng)化用戶提交信息的敏感字符過濾功能。

網(wǎng)頁防篡改系統(tǒng)對網(wǎng)頁受保護(hù)文件夾中的所有文件借助事件觸發(fā)機(jī)制開展自動(dòng)監(jiān)測，通過內(nèi)置散列快速計(jì)算法對底層文件屬性，如果發(fā)現(xiàn)屬性變更，系統(tǒng)立即阻斷對外發(fā)送過程，由底層文件驅(qū)動(dòng)技術(shù)獎(jiǎng)備份文件中的內(nèi)容自動(dòng)的恢復(fù)到被篡改的目錄中，進(jìn)而確保網(wǎng)頁的真實(shí)性，整個(gè)文件的恢復(fù)過程可以通過毫秒級計(jì)算。另外，根據(jù)校園網(wǎng)的實(shí)際運(yùn)行現(xiàn)狀，可以對一些特殊的目錄和文件專門設(shè)置單獨(dú)的同步策略。例如：一些需要在服務(wù)器本機(jī)中進(jìn)行實(shí)時(shí)性更改的數(shù)據(jù)庫文件、自動(dòng)生成的靜態(tài)頁面，可以在同步策略中設(shè)置過濾列表，一旦有文件內(nèi)容發(fā)生變化時(shí)，防篡改系統(tǒng)則自動(dòng)將過濾列表以外的文件目錄進(jìn)行自動(dòng)的同步和更新[8]。

3.4 校園網(wǎng)頁防篡改系統(tǒng)應(yīng)用優(yōu)點(diǎn)

針對設(shè)計(jì)的校園網(wǎng)頁防篡改系統(tǒng)特點(diǎn)，采用了先進(jìn)的Web服務(wù)器內(nèi)嵌技術(shù)，在實(shí)際運(yùn)用中結(jié)構(gòu)有內(nèi)網(wǎng)、DMZ以及公網(wǎng)，其中內(nèi)網(wǎng)有維護(hù)終端、MC(管理中心)構(gòu)成，DMZ由MA(監(jiān)控代理)構(gòu)成，分為主頁和二級網(wǎng)站，公網(wǎng)為因特網(wǎng)。該結(jié)構(gòu)中，監(jiān)控終端能夠查看新建、修改以及刪除等篡改行為發(fā)生的時(shí)間、被篡改Web服務(wù)器的位置、文件名，系統(tǒng)能夠分析篡改的情況并對篡改行為進(jìn)行跟蹤定位，將篡改后的文件在制定的目錄下進(jìn)行保存。由此可以看出，監(jiān)控用戶端查看網(wǎng)站的篡改報(bào)警信息不受地點(diǎn)的限制，有利于及時(shí)發(fā)現(xiàn)篡改事件。系統(tǒng)監(jiān)控到網(wǎng)頁被篡改后，能夠自動(dòng)的恢復(fù)網(wǎng)頁并對篡改行為進(jìn)行日志記錄，有利于網(wǎng)站的正常運(yùn)行和恢復(fù)。另外該系統(tǒng)還可以應(yīng)用在監(jiān)控系統(tǒng)文件中的篡改情況中，避免系統(tǒng)失效[9]。

4 結(jié)束語

總而言之，隨著學(xué)校信息化建設(shè)的深入發(fā)展，有較多的應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)都需要借助校園門戶網(wǎng)站進(jìn)行，所以加強(qiáng)對Web應(yīng)用系統(tǒng)安全保護(hù)至關(guān)重要。以校園網(wǎng)安全防護(hù)為基礎(chǔ)，針對性的部署網(wǎng)頁防篡改系統(tǒng)，借助Web服務(wù)器核心內(nèi)嵌技術(shù)，達(dá)到對靜態(tài)網(wǎng)頁和腳本的動(dòng)態(tài)性監(jiān)測，有效避免了數(shù)據(jù)庫中的信息內(nèi)容免受不法的攻擊和篡改操作。

[1]羅躍國.一種網(wǎng)頁防篡改技術(shù)在校園網(wǎng)中的實(shí)現(xiàn)[J].西安文理學(xué)院學(xué)報(bào):自然科學(xué)版,2011(1).

[2]蘇樹海,李娜.網(wǎng)頁防篡改技術(shù)研究[J].中國高新技術(shù)企業(yè), 2012(18).

[3]張溢.校園網(wǎng)網(wǎng)頁防篡改技術(shù)探討[J].數(shù)字技術(shù)與應(yīng)用,2012 (12).

[4]李悅,孫健,沈宏.校園網(wǎng)網(wǎng)頁防篡改技術(shù)研究與分析[J].電腦知識(shí)與技術(shù),2010(36).

[5]烏蓓華,陳婷.校園網(wǎng)安全防護(hù)中網(wǎng)頁防篡改系統(tǒng)的應(yīng)用策略研究[J].電信科學(xué),2010(S2).

[6]王偉萍.校園網(wǎng)主頁防篡改系統(tǒng)研究與開發(fā)[D].華北電力大學(xué),2013.

[7]尹力.網(wǎng)頁防篡改系統(tǒng)在校園網(wǎng)中的應(yīng)用研究[D].河北科技大學(xué),2011.

[8]韓業(yè)欣.淺談網(wǎng)頁防篡改技術(shù)的應(yīng)用[J].智能城市,2016(9).

[9]阮宏瑋,李華,王小雨,等.基于快照輪詢和文本檢測的批量網(wǎng)頁防篡改系統(tǒng)[J].廣西大學(xué)學(xué)報(bào):自然科學(xué)版,2011,36(z1).

TP393

A

1009-3044(2017)21-0057-02

2017-06-15

郭波濤(1980—)，男，湖北仙桃人，本科，講師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)。