网页防篡改系统.doc

。HUISIN 网页防篡改系统技术白皮书第1章 技术背景31.1 什么是 网页防篡改系统31.1.1 网站篡改原因31.1.2 网络安全设备41.1.3 专业网页防篡改系统4第2章 技术原理52.1 PKI公开密钥体系52.1.1 PKI52.1.2 防篡改52.1.3 防窃听52.1.4 身份鉴别52.2 Web系统核心内嵌技术62.2.1 核心内嵌模块的位置62.2.2 应用防护模块72.2.3 篡改检测技术8第3章 产品规格93.1 产品组成93.1.1 两台服务器93.1.2 发布服务器93.1.3 Web服务器103.2 平台支持103.2.1 发布服务器端103.2.2 Web服务器端103.3 产品型号11第4章 产品部署124.1 标准部署124.1.1 内容管理系统124.1.2 部署示例124.1.3 无内容管理系统144.1.4 更复杂的部署情形144.2 冗余部署144.2.1 概况144.2.2 Web服务器集群164.2.3 发布服务器双机16第5章 技术实现185.1 内部结构185.1.1 逻辑组成185.2 核心技术195.2.1 实现原理195.2.2 核心优势195.2.3 关键流程215.3 双引擎防护225.4 安全技术225.4.1 安全传输225.4.2 身份鉴别235.4.3 自动同步235.4.4 部署方便235.4.5 硬件支持23第6章 功能和性能246.1 功能列表246.1.1 篡改检测和恢复246.1.2 自动发布和恢复24第1章 技术背景1.1 什么是 网页防篡改系统HUISIN网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。HUISIN网页防篡改系统采用先进的Web服务器核心内嵌技术，将篡改检测模块和数据库防护模块内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。HUISIN网页防篡改系统的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，HUISIN网页防篡改系统的数据库防护模块也对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。HUISIN网页防篡改系统，全面保护网站的静态网页和动态网页，其安全性从根本上大大优于同类产品。HUISIN网页防篡改系统支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。HUISIN网页防篡改系统支持所有主流的操作系统，包括：Windows、Linux/FreeBSD、Unix(Solaris、HP-UX、AIX)；支持常用的Web系统，包括：IIS、Apache、SunONE、Weblogic、WebSphere等；保护所有常用的数据库系统，包括：SQL Server、Oracle、MySQL、Access等。1.1.1 网站篡改原因网站的网页之所以存在被篡改的可能性，有客观和主观两方面的原因。就客观而言，因为存在以下原因，现有技术架构下网站漏洞将长期存在：n 操作系统复杂性：已公布超过1万多个系统漏洞。n 漏洞与补丁：系统漏洞从发现到被利用为5天，补丁的发布时间为47天。n 应用系统漏洞：各种注入式攻击，多个应用系统不同的开发者。就主观而言，过于苛刻的安全管理要求，通常网络管理员难以完全实现：n 密码管理：合格密码需要8位以上复杂字符并定期改变。n 漏洞补丁：操作系统、中间件、应用系统的定期更新。n 上网控制：钓鱼、木马、间谍软件。1.1.2 网络安全设备大部分网站系统都使用了防火墙和入侵检测系统等网络安全设备来保护自身的安全。防火墙是一种成熟和应用广泛的网络安全设备，但是，Web服务器通常是部署在防火墙的DMZ区域，防火墙完全向外部网络开放Web应用端口，这种方式对与Web应用没有任何的保护作用。即使使用http代理型的防火墙，防火墙也只是验证http协议本身的合法性，完全不能理解http协议所承载的数据，也无从判断对http服务器的访问行为是否合法。入侵检测技术同样工作在网络层上，对应用协议的理解和作用存在相当的局限性，对于复杂的http会话和协议更是不能完整处理。由于需要预先构造攻击特征库来匹配网络数据，入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击。一个最简单的例子就是在请求中包含SQL注入代码，或者提交可以完成获取他人用户认证信息的跨站脚本，这些数据不管是在传统防火墙所处理的网络层和传输层，还是在代理型防火墙所处理的协议会话层，或者是常规的入侵检测系统和增强的入侵防护系统，都会认为是合法的，无法被阻挡或检出。1.1.3 专业网页防篡改系统由前面的描述可以看出，所有的Web网站和Web应用系统除了使用一般的网络安全设备外，需要有效的网页防篡改系统来专门对页面内容进行保护，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。在所有网站中，高权威性、高更新率和高访问量的网站更经常性地受到黑客关注和攻击。据国家计算机网络应急技术处理协调中心统计，2005年在被篡改的网站中，有22%是政府网站，明显大于我国.cn域名下的政府网站所占的2.2%比例。因此，为巩固各类网站和Web应用的安全，特别是保证我国电子政务网站和电子商务网站内容的完整性及尊严，有必要使用专业的网页防篡改系统。第2章 技术原理2.1 PKI公开密钥体系2.1.1 PKIPKI（Public Key Infrastructure）即“公开密钥体系”，是一种基于公开密钥密码技术的安全通信和服务体系，它能够为所有网络应用提供包括机密性、数据完整性、数据源认证、数字签名等多种安全服务，是网络安全应用的基础。HUISIN网页防篡改系统的整体安全性建立在以PKI为核心的密码学体系上。2.1.2 防篡改HUISIN网页防篡改系统对所有的原始网页元素（包括静态页面、动态脚本、图像文件、多媒体文件以及所有能以URL形式访问的实体）在发布时进行128位密钥的HMAC-MD5（RFC2104）计算，生成唯一的、不可逆转和不可伪造的数字水印。浏览者请求访问任一网页元素时，HUISIN网页防篡改系统 的篡改检测模块（作为Web系统的一部分）读出网页元素的内容重新计算数字水印，并与之前存储的数字水印进行比对，网页元素的任何篡改都能够被可靠地计算出来。2.1.3 防窃听HUISIN网页防篡改系统任何通信实体（包括发布服务器和Web服务器、控制台和发布服务器）之间采用工业标准的SSL3.0/TLS1.0安全通讯协议（RFC2246），确保网页元素文件和（特别是）数字水印数据流在通信过程中不被黑客窃取和分析。此外，HMAC的128位密钥以加密形式存在于操作系统的安全存储区内。2.1.4 身份鉴别HUISIN网页防篡改系统通信实体间进行强身份鉴别。首先，Web服务器要确保上传文件的发布服务器的身份真实性，不能接受伪造的发布服务器上传的文件；其次，发布服务器要确保是在与Web服务器通信，确保发送的文件能够到Web服务器上。因此，双方彼此都进了身份鉴别。亦即：发布服务器采用客户端数字证书与Web服务器通讯，同时也验证Web服务器数字证书的真实性。2.2 Web系统核心内嵌技术2.2.1 核心内嵌模块的位置一个标准的Web服务器的体系结构如图表2-1所示：Web系统（IIS/Apache/Weblogic/Websphere/Resin/Tomcat）操作系统（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）硬件平台（X86/sparc/ItaniumII/PowerPC/PA-RISC）图表 21 Web服务器的体系结构Web系统核心内嵌技术（以下简称核心内嵌技术）是指将安全模块内嵌在Web系统软件（IIS/Apache/Weblogic/Websphere/）中，这个模块针对不同的Web系统使用相应的核心内嵌技术实现，例如：ISAPI、Apache-module、NSAPI、JAVA-filter等，如图表2-2所示。硬件平台（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系统（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web系统核心内嵌模块（ISAPI/Apache-module/NSAPI/JAVA-filter）图表 22 Web系统核心内嵌模块的位置安全模块内嵌于Web系统即与Web系统完全整合，其优点在于：n 不存在独立的安全模块运行进程，入侵者无法找到和中止安全模块的运行。n 精准理解和分析Web服务传入和传出的数据，进行充分可靠的安全检查。n 完全与Web服务的运行进程融合，处理效率高，稳定性和兼容性强。n 与操作系统及硬件无关，全面控制Web系统软件和服务。HUISIN网页防篡改系统的核心内嵌模块包含了应用防护模块（防注入攻击）和篡改检测模块（数字水印）两项技术，分别针对动态网页和静态网页进行保护。2.2.2 应用防护模块应用防护模块对来自于客户的Web访问请求进行分析，检查其中的表单输入和URL输入中是否含有非法字符/关键字构成注入式攻击，如图表2-3所示。Web系统核心内嵌模块应用防护模块request特征库图表 23 应用防护模块检查点为：n 用户提交的http请求（request）到达Web服务器，尚未进行其他处理时。检查对象为：n GET数据（URL和表单）。n POST数据（表单）。检查方式为：n 与注入式攻击特征库比对检查。小知识：什么是注入式攻击？注入式攻击的全称是“SQL注入式攻击”，它是指攻击者利用网站动态网页程序设计上的漏洞，在目标的Web服务器上运行SQL命令以及进行其他方式的攻击，攻击的目的包括：绕过登录身份检查、获得系统管理员密码、非法获取数据、非法篡改数据、生成非法文件、非法执行命令等。动态生成SQL命令时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因。如果没有专用产品防护，每个应用系统的开发者都必须在服务器端对表单输入进行详尽的字符检查。2.2.3 篡改检测技术篡改检测技术是指Web服务器在对外发送网页时，利用数字水印技术对其进行完整性检查，如图表2-4所示。Web系统核心内嵌模块篡改检测模块response水印库图表 24 篡改检测模块检查点为：n Web服务器准备向用户发送网页时（网页文件已读入，尚未投放到网络上）。检查对象为：n 静态网页文件（HTML/CSS文件）。n 图像文件（GIF/JPG/PNG/BMP文件）。n 动态脚本文件（ASP/JSP/PL/PHP文件）n 多媒体文件（WAV/MP3/ FLS/MPEG文件）n 二进制可执行实体（CGI/DLL/EXE文件）。n 其他所有可以在URL中访问/下载的文件。检查方式为：n 计算对象的数字水印，与水印库中的数据进行比较。第3章 产品规格3.1 产品组成3.1.1 两台服务器部署HUISIN网页防篡改系统至少需要两台服务器：n 发布服务器：位于内网中，本身处在相对安全的环境中，其上部署HUISIN网页防篡改系统的发布服务器软件。n Web服务器：位于公网/DMZ中，本身处在不安全的环境中，其上部署HUISIN网页防篡改系统的Web服务器端软件。它们之间的关系如图表3-1，后续小节详细描述它们。FTPIntranetDMZInternetHTTPSSL发布服务器软件发布服务器Web服务器端软件Web服务器图表 31 HUISIN网页防篡改系统两台服务器3.1.2 发布服务器发布服务器上运行HUISIN网页防篡改系统的“发布服务器软件”（Staging Server）。所有网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行。发布服务器上具有与Web服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相应位置上，文件/目录变更的方法可以是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等）。网页变更后，发布服务器软件将其同步到Web服务器上。发布服务器是部署HUISIN网页防篡改系统时新增添的机器，原则需要一台独立的服务器；对于网页更新不太频繁的网站，也可以用普通PC机或者与担任其他工作的服务器共用。发布服务器为PC服务器，其本身的硬件配置无特定要求，操作系统可选择Windows（一般网站）或Linux（大型网站）。3.1.3 Web服务器Web服务器上除了原本运行的Web系统（如IIS、Apache、SunONE、Weblogic、Websphere等）外，还运行有HUISIN网页防篡改系统的“Web服务器端软件”（由“同步服务器”和“核心内嵌模块”组成）。HUISIN网页防篡改系统同步服务器负责与HUISIN网页防篡改系统发布服务器通信，将发布服务器上的所有网页文件变更同步到Web服务器本地；HUISIN网页防篡改系统核心内嵌模块作为Web系统的一个插件运行。需要对Web系统作适当配置，以使其生效。Web服务器是用户网站原有的机器，HUISIN网页防篡改系统可适应于任何操作系统。3.2 平台支持3.2.1 发布服务器端支持如下软硬件：n CPU：Intel PIII或以上n 内存：256M或以上n 硬盘：整个网站容量 + 5Gn 操作系统：Windows 2000 / Windows 2003 / Linux 3.2.2 Web服务器端支持以下操作系统：n Microsoft/Windows NT/2000/XP/2003n Linux支持以下Web服务器：n IISn Apachen Weblogicn WebSpheren tomcat支持以下后台数据库：n SQL Servern Oraclen MySQLn Access3.3 产品型号HUISIN网页防篡改系统（版本2.0）分为动态版和静态版两个型号，它们的适用范围和特性如下：型号名称动态版静态版适用情形网站以动态页面为主网站以静态页面为主多Web服务器支持支持支持多虚拟主机支持支持支持Web服务器操作系统Windows/Linux/UnixWindows/Linux/Unix发布功能自动自动发布服务器操作系统Windows/LinuxWindows/Linux可选模块支持支持支持表格 31 产品型号第4章 产品部署4.1 标准部署4.1.1 内容管理系统内容管理系统发布服务器Web服务器图表 41 标准部署图目前，大部分网站都使用了内容管理系统（CMS）来管理网页产生的全过程，包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中，发布服务器部署在原有的内容管理系统和Web服务器之间，图表4-1表明了三者之间的关系。为一个已有的Web站点部署HUISIN网页防篡改系统时，Web服务器和内容管理系统(CMS)都沿用原来的机器，而需要在其间增加一台发布服务器。HUISIN网页防篡改系统的自动同步机制完全与内容管理系统无关的，适合与所有的内容管理系统协同工作，而内容管理系统本身无须作任何变动。发布服务器上具有与Web服务器上的网站文件完全相同的目录结构，任何文件/目录的变化都会自动映射到Web服务器的相应位置上。网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进行，变更的手段可以是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等）。网页变更后，由自动发布子系统将其同步到Web服务器上。无论什么情况下，不允许直接变更Web服务器上的页面文件。HUISIN网页防篡改系统一般情况下与内容管理系统分开部署，当然它也可以与内容管理系统部署在一台机器上，在这种情形下，HUISIN网页防篡改系统还可以提供接口，与内容管理系统进行互相的功能调用，以实现整合性更强的功能。4.1.2 部署示例图表4-2是一个标准的网站架构示意图。内容管理系统内容管理Web系统Web服务器HTTPFTP/RCP/文件共享数据库系统DMZIntranet图表 42 基本网站结构在图中，内容管理系统将合成的网页通过FTP或者RCP或者其他方式上传到Web服务器上。部署HUISIN网页防篡改系统后的网站结构图见图表4-3。FTPIntranetDMZHTTPSSL发布服务器发布服务器同步服务器核心模块Web系统Web服务器内容管理系统内容管理数据库系统蓝色为增加的部件图表 43 部署HUISIN网页防篡改系统后的网站结构由上图可以看出，为一个标准的Web站点部署HUISIN网页防篡改系统时，Web服务器和内容管理系统都完全沿用原来的机器，而需要在其间增加一台发布服务器。HUISIN网页防篡改系统的自动同步机制与内容管理系统无关的，适合与所有的内容管理系统协同工作。对内容管理系统唯一需要做的只是改变它的设置，将发布的目标服务器地址由Web服务器地址改为发布服务器地址即可，无须安装HUISIN网页防篡改系统任何组件。当然，根据内容管理系统所采用协议，发布服务器上需要对应安装这些协议的服务器端，例如：FTP/sftp服务器、rcp服务器或打开文件共享等。Web服务器使用SSL服务和特定端口（默认为38888，可修改配置选择其他端口）来接收上传的网页文件，无须再开放内容管理系统所需的端口（例如FTP端口）。为安全起见，强烈建议Web服务器仅开放Web服务端口和HUISIN网页防篡改系统端口，关闭其他所有端口。4.1.3 无内容管理系统一些简单的网站可能没有使用任何内容管理系统，而仅仅使用诸如Dreamweaver制作和管理网站甚至直接编辑html文件。这种情形下，HUISIN网页防篡改系统也完全适用，网页制作人员无须改变原来的工作方式，仅仅只是由原来直接修改Web服务器上的文件，改为修改发布服务器上的文件。4.1.4 更复杂的部署情形更复杂的部署情形包括：n 多虚拟主机/Web服务器部署n 本地内容管理系统n Web服务器托管n 同机部署这些情形下的HUISIN网页防篡改系统的部署见HUISIN网页防篡改系统部署指南（W-008-0202-D）。4.2 冗余部署4.2.1 概况Web站点运行的稳定性是最关键的。HUISIN网页防篡改系统支持所有部件的多机工作和热备：可以有多台安装了HUISIN网页防篡改系统防篡改模块和同步服务软件的Web服务器，也可以有两台安装了HUISIN网页防篡改系统发布服务软件的发布服务器，如图表4-4所示。它实现了2Xn的同步机制（2为发布服务器，n为Web服务器），当2或n的单点失效完全不影响系统的正常运行，且在修复后自动工作。Web服务器1Web服务器n-1SSL安全通信发布服务器(备)同步服务器防篡改模块Web服务器2Web服务器n主备通信CMS内容管理系统Socket/NFS发布服务器(主)DMZIntranet图表 44 冗余部署示意图4.2.2 Web服务器集群HUISIN网页防篡改系统发布服务器支持对多台Web服务器的内容同步，严格保证多台Web服务器内容相同。当单台Web服务器失效时，由于Web服务器集群前端通常有负载均衡设备，因此，它并不影响公众访问网站。同时，它的失效也不影响HUISIN网页防篡改系统发布服务器向其他正常工作的Web服务器提供内容同步。在失效期间，HUISIN网页防篡改系统发布服务器会尝试连接这台Web服务器，一旦它修复后重新工作，即可自动进行连接，并自动进行内容同步。因此，Web服务器的单点失效不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。4.2.3 发布服务器双机HUISIN网页防篡改系统支持发布服务器双机协同工作，即一台主发布服务器和一台热备发布服务器。在这种部署情形下，内容管理系统（CMS）需要将内容同时发布到两台HUISIN网页防篡改系统服务器上。在正常状态下，HUISIN网页防篡改系统主发布服务器工作，由它对所有Web服务器进行内容同步。显然，热备发布服务器失效不影响系统运作，一旦在它修复后可以从主发布服务器恢复数据，进入正常热备状态。主发布服务器如果失效（即不发心跳信号），热备发布服务器会接管工作，由它对所有Web服务器进行内容同步。当主发布服务器修复后，两机同时工作，经过一段时间的数据交接时间，热备发布服务器重新进入热备状态。因此，HUISIN网页防篡改系统发布服务器的单点失效也不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。第5章 技术实现5.1 内部结构5.1.1 逻辑组成从逻辑上，HUISIN网页防篡改系统由页面保护子系统、自动发布子系统三个子系统和监控管理子系统组成，如图表5-1所示：Web服务器Web系统（第三方软件）页面保护子系统（应用防护/篡改检测）自动发布子系统（同步服务器）发布服务器自动发布子系统（自动发布程序）d管理子系统内容管理系统（第三方软件）浏览器图表 51 系统部件示意图1 页面保护子系统页面保护子系统是系统的核心，内嵌在Web系统里（即前述的核心内嵌模块），包含应用防护模块和篡改检测模块。应用防护模块对每个用户的请求进行安全性检查：如果正常则发送给Web系统；如果发现有攻击特征码，即刻中止此次请求并进行报警。篡改检测模块对每个发送的网页进行即时的完整性检查：如果网页正常则对外发送；如果被篡改则阻断对外发送，并依照一定策略进行报警和恢复。对于Windows系统，页面保护子系统还包括一个增强型事件触发式检测模块，该模块驻留于操作系统内核，阻止大部分常规篡改手段。2 自动发布子系统自动发布子系统负责页面的自动发布，由发送端和接收端组成：发送端位于发布服务器上，称之为自动发布程序，它监测到文件系统变化即进行计算该文件水印，并进行SSL发送；接收端位于Web服务器上，称之为同步服务器，它接收到网页和水印后，将网页存放在文件系统中，将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。3 监控管理子系统负责篡改后自动恢复，也提供系统管理员的使用界面。其功能包括：手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。5.2 核心技术5.2.1 实现原理我们将篡改检测的核心内嵌到Web服务器中，仅在网页信息流出Web服务器时进行检测，而非采用其他产品通常使用的外挂式的轮询方式或单独采用的事件触发方式，使其运行性能和检测有效性都达到最高的水准。另外，对于大量的针对Windows/Linux系统的常规篡改攻击，我们也提供了增强型事件触发检测方式，进一步加强检测和防范的实时性。在具体计算上，我们使用安全散列函数为每个网页产生一个数字水印，此数字水印与网页内容相关联，并且无法伪造。检测时比对数字水印，无须比较整个网页文件，进一步提高了效率。5.2.2 核心优势不同于一些文件轮询扫描式或事件触发式的页面防篡改软件，HUISIN网页防篡改系统的页面防篡改模块是与Web服务器紧密结合的。它在Web服务器对外发送网页时进行网页防篡改检测，这样做不仅完全杜绝了在轮询扫描间隔和事件触发处理过程中被篡改内容被用户访问的可能性，也减少了轮询Web服务器文件系统所占用的网络带宽和CPU利用率。相比起采用外挂轮询和事件触发式技术的同类产品，我们的核心内嵌技术的优势在于：外挂轮询事件触发核心内嵌访问被篡改网页可能可能不可能防护动态内容不能不能可以Web服务器负载中低极低带宽占用中无无检测时间分钟级接近实时实时绕过检测机制不可能可能不可能防范连续篡改攻击不能不支持支持保护所有网页不能能能动态网页脚本不支持支持支持适用操作系统所有受限所有上传时检测不能受限能断线时保护不能不能能表格 51 核心内嵌技术与其他技术比较1 完全杜绝篡改内容流出采用核心内嵌技术后，用户每次访问每个受保护网页时，Web服务器在发送之前都进行完整性检查，保证网页的真实性。核心内嵌技术可以彻底杜绝篡改后的网页被访问的可能性，全面和实时地保护网站的所有网页文件。采用外挂轮询式的网页防篡改系统，对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。单独采用事件触发式的网页防篡改系统，仍是一种被动式的策略，不能保证外界看不到篡改后的网页。如果黑客采用大规模的篡改活动，这种响应机制将变得很慢而不可取。更重要的是，事件触发方式并不能确保捕获对文件的所有方式的修改（例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等），非常容易被专业黑客很容易绕过；而且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒工具（以黑防黑）而不是专门针对网站保护的系统，这也是它不能支持Unix平台的原因。2 连续篡改攻击保护有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页（例如网站首页）进行，因此即使外挂轮询技术的扫描时间间隔设置得再小（例如1分钟），也无法阻止篡改后的网页被公众访问到（例如重新篡改网页需要1秒钟，则公众在1分钟内的59秒里看到的都是篡改后的网页）。这个过程往复下去，使公众只能看到被篡改的网页，而总是看不到真实的网页。除非管理者能够很快修补系统漏洞或停止提供Web服务，否则外挂轮询技术是无法阻止这种恶意的连续攻击。事件触发技术对Web系统没有控制能力，它发现篡改后没有办法去协调Web服务器工作，对于大规模或精心策划的攻击是无能为力的。例如：如果黑客中断了Web服务器和备份网页服务器的连接，这个被篡改的网页就没法即时恢复，而与此同时，大量的公众可能已经访问到了这个网页，造成严重后果。而采用核心内嵌技术的系统在每次输出网页时都进行完整性检查，如有变化则阻断发送。因此，无论连续攻击多么迅速和频繁，都无法使公众看到被篡改的网页。3 动态网页全面保护目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web服务器上；网页内容则取自于数据库。采用核心内嵌技术的系统，可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。进一步地，它还能通过阻挡对数据库的注入式攻击来保护动态网页内容的安全，从脚本到内容全面保护动态网页安全。采用事件触发技术的系统，虽然可以对网页脚本提供一定的防护功能，但是由于它仅工作在操作系统层面上，未和Web系统发生关联，因此根本无法检测到用户非法请求，对动态内容的篡改则是完全无能为力的。采用外挂轮询技术的系统，所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。5.2.3 关键流程1 正常上传网页1) 用户使用自己的内容管理系统将网页上传到发布服务器上；2) 自动发布程序监测到文件系统的变化；3) 自动发布程序使用安全散列函数HMAC计算网页的数字水印；4) 自动发布程序对Web服务器进行身份鉴别；5) 同步服务器对发布服务器进行身份鉴别；6) 自动发布程序将网页和数字水印使用SSL协议安全传输到同步服务器；7) 同步服务器将数字水印存放在安全数据库里，并在文件系统中完成网页的更新。2 内容保护过程1) 公众发出网页浏览请求。2) 应用防护模块得到请求内容，与攻击特征库中的特征相比对。u 如果比对成功（即符合攻击模式），即是企图进行注入式攻击的用户请求。终止Web系统对该会话的处理，中断该用户的连接，并进行报警。3) Web服务器将网页内容取得后，交给篡改检测模块进行检测。4) 篡改检测模块使用安全散列函数HMAC-MD5计算出欲发出的网页的数字水印，并与安全数据库中的数字水印相比对。u 如果没找到数字水印或数字水印比对失败，即是可疑或被非法篡改的网页，系统调用管理子系统进行自动恢复的同时向监管者报警，并且可以执行用户自定义的外部命令或程序。5) Web服务器将正确的网页发送给网页浏览者。5.3 双引擎防护如前所述，单独的事件触发式技术是无法对网页篡改做到完全防护的，但是，对于Windows/Linux系统来说，它也是一种有益的补充检测方式。对于常规黑客攻击手段，事件触发式技术能够及时检测到这种攻