网站安全成焦点 网页防篡改技术追踪


  网站在信息发展中起到了重要的作用,已经渗透到了各个角落,根据CNNIC调查报告显示,截至2006年1月,我国的上网用户总数高达1.1亿,国内网站数量达67万,庞大的网民数量和网站群为互联网应用的快速发展奠定了良好的基础。网页的地位也得到了空前的提高,对一个企业对一个政府机构网页无异于自己的门面。

  虽然目前已有防火墙、入侵检测等安全防范手段,但各类web应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。据中国被黑站点统计系统数据分析,截至7月25日10时,2006年登记在案的被篡改网站数量已达5304个(其中有很多网站是多次被篡改),平均每天约有25个站点被篡改且被举报;又据CNCERT/CC(国家计算机网络应急技术处理协调中心)统计,2006年3月,全球被篡改网站数量超过3万个,平均每1.5分钟,就有一个网站被篡改……

  针对这些情况,网页防篡改系统应运而生。经过多年的发展,网页防篡改系统采用的技术也在不断的发展和更新,到目前为止,网页防篡改技术已经发展到了第三代。以下,我们就来分析一下网页防篡改技术由来的发展历程,以及每代技术的优缺点比较。

  一、 网页被篡改的原因和特点

  黑客强烈的表现欲望,国内外非法组织的不法企图,商业竞争对手的恶意攻击, 不满情绪离职员工的发泄等等都将导致网页被“变脸”。网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难;预先检查和实时防范较难;网络环境复杂难以追查责任,攻击工具简单且向智能化趋势发展;

  二、 网页防篡改技术的发展历程

  1. (起始点)人工对比检测

  人工对比检测,其实就是一种专门指派网络管理人员,人工监控需要保护的网站,一旦发现被篡改,然后以人力对其修改还原的手段。

  严格的说来,人工对比检测不能算是一种网页防篡改系统采用的技术,而只能算是一种原始的应对网页被篡改的手段。但是其在网页防篡改的技术发展历程中存在一段相当的时间;所以在这里我们把它作为网页防篡改技术发展的起始点,单独拿出来讲。

  这种手段非常原始且效果不佳,且不说人力成本较高,其最致命的缺陷在于人力监控不能达到即时性,也就是不能在第一时间发现网页被篡改也不能在第一时间做出还原,当管理人员发现网页被篡改再做还原时,被篡改的网页已在互联网存在了一段时间,可能已经被一定数量的网民浏览。

  2. (第一代)时间轮巡技术

  时间轮巡技术(也可称为“外挂轮巡技术”)。我们在这里将其称为网页防篡改技术的第一代。从这一代开始,网页防篡技术已经摆脱了以人力检测恢复为主体的原始手段而作为一种自动化的技术形式出现。

  时间轮询技术是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。

  但是,采用时间轮询式的网页防篡改系统,对每个网页来说,轮询扫描存在着时间间隔,一般为数十分钟,在这数十分钟的间隔中,黑客可以攻击系统并使访问者访问到被篡改的网页。

  此类应用在过去网页访问量较少,具体网页应用较少的情况下适用,目前网站页面通常少则上百页,检测轮巡时间更长,且占用系统资源较大,该技术逐渐被淘汰。

  3. (第二代)事件触发技术&核心内迁嵌技术

  我们将事件触发技术与核心内嵌技术两种技术放在同一代来说,因为这两种网页防篡改技术出现的时间差距不大,而且两种技术常常被结合使用。

  所谓核心内嵌技术即密码水印技术,最初先将网页内容采取非对称加密存放,在外来访问请求时将经过加密验证过的,进行解密对外发布,若未经过验证,则拒绝对外发布,调用备份网站文件进行验证解密后对外发布。此种技术通常要结合事件触发机制对文件的部分属性进行对比,如大小,页面生成时间等做判断,无法更准确的进行其它属性的判断。其最大的特点就是安全性相对外挂轮巡技术安全性大大提高,但不足是加密计算会占用大量服务器资源,系统反映较慢。

  核心内嵌技术就避免了时间轮巡技术的轮巡间隔这个缺点。但是由于这种技术是对每个流出网页都进行完整检查,占用巨大的系统资源,给服务器造成较大负载。且对网页正常发布流程作了更改,整个网站需要重新架构,增加新的发布服务器替代原先的服务器。

  随着技术发展以及网上各类应用的增多,对服务器的负载资源简直可以用“苛刻”来形容,任何占用服务器资源的部分都要淘汰,来确保网站的高访问效率,如此一来,内嵌技术(即密码技术)最终将被淘汰。

  4. (第三代)文件过滤驱动技术+事件触发技术

  文件过滤驱动技术的最初应用于军方和保密系统,作为文件保护技术和各类审计技术,甚至被一些狡猾好事者应用于“流氓软件”,该技术可以说是让人喜忧参半。在网页防篡改技术革新当中,该技术找到了其发展的空间。与事件触发技术结合,形成了今天的第三代网页防篡改保护技术。其原理是:将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高的水准。

  页面防篡改模块采用Web服务器底层文件过滤驱动级保护技术,与操作系统紧密结合,所监测的文件类型不限,可以是一个html文件也可以是一段动态代码,执行准确率高。这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能,其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或核心内嵌式的同类软件。可以说是一种简单、高效、安全性又极高的一种防篡改技术。

  北京智恒联盟科技有限公司目前推出的WebGurad3.0网页防篡改技术,正是第三代防篡改技术的全新应用,在全国各行各业的应用中,得到了很多用户的好评,用户反映使用了该系统后,服务器运行更加稳定,已经成为各类网站应用的标配安全保护系统。

Reference: http://homepage.yesky.com/315/3045815.shtml

posted on 2007-01-18 21:35  Gardener  阅读(734)  评论(0编辑  收藏  举报