网页防篡改系统

第 1 页 共 24 页 HUISIN 网页防篡改系统技术白皮书网页防篡改系统技术白皮书 第 1 章 技术背景 3 1 1 什么是 网页防篡改系统 3 1 1 1 网站篡改原因 3 1 1 2 网络安全设备 4 1 1 3 专业网页防篡改系统 4 第 2 章 技术原理 5 2 1 PKI 公开密钥体系 5 2 1 1 PKI 5 2 1 2 防篡改 5 2 1 3 防窃听 5 2 1 4 身份鉴别 5 2 2 Web 系统核心内嵌技术 6 2 2 1 核心内嵌模块的位置 6 2 2 2 应用防护模块 7 2 2 3 篡改检测技术 8 第 3 章 产品规格 9 3 1 产品组成 9 3 1 1 两台服务器 9 3 1 2 发布服务器 9 3 1 3 Web 服务器 10 3 2 平台支持 10 3 2 1 发布服务器端 10 3 2 2 Web 服务器端 10 3 3 产品型号 11 第 4 章 产品部署 12 4 1 标准部署 12 4 1 1 内容管理系统 12 第 2 页 共 24 页 4 1 2 部署示例 12 4 1 3 无内容管理系统 14 4 1 4 更复杂的部署情形 14 4 2 冗余部署 14 4 2 1 概况 14 4 2 2 Web 服务器集群 16 4 2 3 发布服务器双机 16 第 5 章 技术实现 18 5 1 内部结构 18 5 1 1 逻辑组成 18 5 2 核心技术 19 5 2 1 实现原理 19 5 2 2 核心优势 19 5 2 3 关键流程 21 5 3 双引擎防护 22 5 4 安全技术 22 5 4 1 安全传输 22 5 4 2 身份鉴别 23 5 4 3 自动同步 23 5 4 4 部署方便 23 5 4 5 硬件支持 23 第 6 章 功能和性能 24 6 1 功能列表 24 6 1 1 篡改检测和恢复 24 6 1 2 自动发布和恢复 24 第 3 页 共 24 页 第 1 章 技术背景 1 1 什么是 网页防篡改系统 HUISIN 网页防篡改系统是完全保护 Web 网站不发送被篡改内容并进行自动恢复的 Web 页面保护软件 HUISIN 网页防篡改系统采用先进的 Web 服务器核心内嵌技术 将篡改检测模块和数 据库防护模块内嵌于 Web 服务器内部 并辅助以增强型事件触发检测技术 不仅实现了对 静态网页和脚本的实时检测和恢复 更可以保护数据库中的动态内容免受来自于 Web 的攻 击和篡改 彻底解决网页防篡改问题 HUISIN 网页防篡改系统的篡改检测模块使用密码技术 为网页对象计算出唯一性的 数字水印 公众每次访问网页时 都将网页内容与数字水印进行对比 一旦发现网页被非 法修改 即进行自动恢复 保证非法网页内容不被公众浏览 同时 HUISIN 网页防篡改 系统的数据库防护模块也对用户输入的 URL 地址和提交的表单内容进行检查 任何对数据 库的注入式攻击都能够被实时阻断 HUISIN 网页防篡改系统 全面保护网站的静态网页和动态网页 其安全性从根本上 大大优于同类产品 HUISIN 网页防篡改系统支持网页的自动发布 篡改检测 应用保护 警告和自动恢复 保证传输 鉴别 地址访问 表单提交 审计等各个环节的安全 完全 实时地杜绝篡改后的网页被访问的可能性 也杜绝任何使用 Web 方式对后台数据库的篡改 HUISIN 网页防篡改系统支持所有主流的操作系统 包括 Windows Linux FreeBSD Unix Solaris HP UX AIX 支持常用的 Web 系统 包括 IIS Apache SunONE Weblogic WebSphere 等 保护所有常用的数据库系统 包括 SQL Server Oracle MySQL Access 等 1 1 1 网站篡改原因 网站的网页之所以存在被篡改的可能性 有客观和主观两方面的原因 就客观而言 因为存在以下原因 现有技术架构下网站漏洞将长期存在 操作系统复杂性 已公布超过 1 万多个系统漏洞 漏洞与补丁 系统漏洞从发现到被利用为 5 天 补丁的发布时间为 47 天 应用系统漏洞 各种注入式攻击 多个应用系统不同的开发者 第 4 页 共 24 页 就主观而言 过于苛刻的安全管理要求 通常网络管理员难以完全实现 密码管理 合格密码需要 8 位以上复杂字符并定期改变 漏洞补丁 操作系统 中间件 应用系统的定期更新 上网控制 钓鱼 木马 间谍软件 1 1 2 网络安全设备 大部分网站系统都使用了防火墙和入侵检测系统等网络安全设备来保护自身的安全 防火墙是一种成熟和应用广泛的网络安全设备 但是 Web 服务器通常是部署在防火 墙的 DMZ 区域 防火墙完全向外部网络开放 Web 应用端口 这种方式对与 Web 应用没有 任何的保护作用 即使使用 http 代理型的防火墙 防火墙也只是验证 http 协议本身的合法 性 完全不能理解 http 协议所承载的数据 也无从判断对 http 服务器的访问行为是否合法 入侵检测技术同样工作在网络层上 对应用协议的理解和作用存在相当的局限性 对 于复杂的 http 会话和协议更是不能完整处理 由于需要预先构造攻击特征库来匹配网络数 据 入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击 一个最简单的例子就是在请求中包含 SQL 注入代码 或者提交可以完成获取他人用户 认证信息的跨站脚本 这些数据不管是在传统防火墙所处理的网络层和传输层 还是在代 理型防火墙所处理的协议会话层 或者是常规的入侵检测系统和增强的入侵防护系统 都 会认为是合法的 无法被阻挡或检出 1 1 3 专业网页防篡改系统 由前面的描述可以看出 所有的 Web 网站和 Web 应用系统除了使用一般的网络安全 设备外 需要有效的网页防篡改系统来专门对页面内容进行保护 防止来自外部或内部的 非授权人员对页面和内容进行篡改和非法添加 在所有网站中 高权威性 高更新率和高访问量的网站更经常性地受到黑客关注和攻 击 据国家计算机网络应急技术处理协调中心统计 2005 年在被篡改的网站中 有 22 是 政府网站 明显大于我国 cn 域名下的政府网站所占的 2 2 比例 因此 为巩固各类网站和 Web 应用的安全 特别是保证我国电子政务网站和电子商务 网站内容的完整性及尊严 有必要使用专业的网页防篡改系统 第 5 页 共 24 页 第 2 章 技术原理 2 1 PKI 公开密钥体系 2 1 1 PKI PKI Public Key Infrastructure 即 公开密钥体系 是一种基于公开密钥密码技术的 安全通信和服务体系 它能够为所有网络应用提供包括机密性 数据完整性 数据源认证 数字签名等多种安全服务 是网络安全应用的基础 HUISIN 网页防篡改系统的整体安全性建立在以 PKI 为核心的密码学体系上 2 1 2 防篡改 HUISIN 网页防篡改系统对所有的原始网页元素 包括静态页面 动态脚本 图像文 件 多媒体文件以及所有能以 URL 形式访问的实体 在发布时进行 128 位密钥的 HMAC MD5 RFC2104 计算 生成唯一的 不可逆转和不可伪造的数字水印 浏览者请求访问任一网页元素时 HUISIN 网页防篡改系统 的篡改检测模块 作为 Web 系统的一部分 读出网页元素的内容重新计算数字水印 并与之前存储的数字水印进 行比对 网页元素的任何篡改都能够被可靠地计算出来 2 1 3 防窃听 HUISIN 网页防篡改系统任何通信实体 包括发布服务器和 Web 服务器 控制台和发 布服务器 之间采用工业标准的 SSL3 0 TLS1 0 安全通讯协议 RFC2246 确保网页元素 文件和 特别是 数字水印数据流在通信过程中不被黑客窃取和分析 此外 HMAC 的 128 位密钥以加密形式存在于操作系统的安全存储区内 2 1 4 身份鉴别 HUISIN 网页防篡改系统通信实体间进行强身份鉴别 首先 Web 服务器要确保上传 文件的发布服务器的身份真实性 不能接受伪造的发布服务器上传的文件 其次 发布服 务器要确保是在与 Web 服务器通信 确保发送的文件能够到 Web 服务器上 因此 双方 彼此都进了身份鉴别 亦即 发布服务器采用客户端数字证书与 Web 服务器通讯 同时也 验证 Web 服务器数字证书的真实性 第 6 页 共 24 页 2 2 Web 系统核心内嵌技术 2 2 1 核心内嵌模块的位置 一个标准的 Web 服务器的体系结构如图表 2 1 所示 图表 2 1 Web 服务器的体系结构 Web 系统核心内嵌技术 以下简称核心内嵌技术 是指将安全模块内嵌在 Web 系统软 件 IIS Apache Weblogic Websphere 中 这个模块针对不同的 Web 系统使用相应的核 心内嵌技术实现 例如 ISAPI Apache module NSAPI JAVA filter 等 如图表 2 2 所 示 图表 2 2 Web 系统核心内嵌模块的位置 安全模块内嵌于 Web 系统即与 Web 系统完全整合 其优点在于 不存在独立的安全模块运行进程 入侵者无法找到和中止安全模块的运行 精准理解和分析 Web 服务传入和传出的数据 进行充分可靠的安全检查 完全与 Web 服务的运行进程融合 处理效率高 稳定性和兼容性强 与操作系统及硬件无关 全面控制 Web 系统软件和服务 HUISIN 网页防篡改系统的核心内嵌模块包含了应用防护模块 防注入攻击 和篡改 Web 系统 IIS Apache Weblogic Websphere Resin Tomcat 操作系统 Windows Linux FreeBSD Solaris AIX HP UX 硬件平台 X86 sparc ItaniumII PowerPC PA RISC Web 系统 操作系统 Windows Linux FreeBSD Solaris AIX HP UX 硬件平台 X86 sparc ItaniumII PowerPC PA RISC 核心内嵌模块核心内嵌模块 ISAPI Apache module NSAPI JAVA filter 第 7 页 共 24 页 检测模块 数字水印 两项技术 分别针对动态网页和静态网页进行保护 2 2 2 应用防护模块 应用防护模块对来自于客户的 Web 访问请求进行分析 检查其中的表单输入和 URL 输入中是否含有非法字符 关键字构成注入式攻击 如图表 2 3 所示 图表 2 3 应用防护模块 检查点为 用户提交的 http 请求 request 到达 Web 服务器 尚未进行其他处理时 检查对象为 GET 数据 URL 和表单 POST 数据 表单 检查方式为 与注入式攻击特征库比对检查 小知识小知识 什么是注入式攻击 注入式攻击的全称是 SQL 注入式攻击 它是指攻击者利用网站动态网页程序设计上的 漏洞 在目标的 Web 服务器上运行 SQL 命令以及进行其他方式的攻击 攻击的目的包括 绕过登录身份检查 获得系统管理员密码 非法获取数据 非法篡改数据 生成非法文件 非法执行命令等 动态生成 SQL 命令时没有对用户输入的数据进行验证是 SQL 注入攻击 得逞的主要原因 如果没有专用产品防护 每个应用系统的开发者都必须在服务器端对表 单输入进行详尽的字符检查 Web 系统 核心内嵌模块 应用防护模块应用防护模块 request 特征库 第 8 页 共 24 页 2 2 3 篡改检测技术 篡改检测技术是指 Web 服务器在对外发送网页时 利用数字水印技术对其进行完整性 检查 如图表 2 4 所示 图表 2 4 篡改检测模块 检查点为 Web 服务器准备向用户发送网页时 网页文件已读入 尚未投放到网络上 检查对象为 静态网页文件 HTML CSS 文件 图像文件 GIF JPG PNG BMP 文件 动态脚本文件 ASP JSP PL PHP 文件 多媒体文件 WAV MP3 FLS MPEG 文件 二进制可执行实体 CGI DLL EXE 文件 其他所有可以在 URL 中访问 下载的文件 检查方式为 计算对象的数字水印 与水印库中的数据进行比较 Web 系统 核心内嵌模块 篡改检测模块篡改检测模块 response 水印库 第 9 页 共 24 页 第 3 章 产品规格 3 1 产品组成 3 1 1 两台服务器 部署 HUISIN 网页防篡改系统至少需要两台服务器 发布服务器发布服务器 位于内网中 本身处在相对安全的环境中 其上部署 HUISIN 网 页防篡改系统的发布服务器软件 WebWeb 服务器服务器 位于公网 DMZ 中 本身处在不安全的环境中 其上部署 HUISIN 网页防篡改系统的 Web 服务器端软件 它们之间的关系如图表 3 1 后续小节详细描述它们 图表 3 1 HUISIN 网页防篡改系统两台服务器 3 1 2 发布服务器 发布服务器上运行 HUISIN 网页防篡改系统的 发布服务器软件 Staging Server 所 有网页的合法变更 包括增加 修改 删除 重命名 都在发布服务器上进行 发布服务器上具有与 Web 服务器上的网页文件完全相同的目录结构 发布服务器上的 任何文件 目录的变化都会自动和立即地反映到 Web 服务器的相应位置上 文件 目录变更 的方法可以是任意方式的 例如 FTP SFTP RCP NFS 文件共享等 网页变更后 发布服务器软件将其同步到 Web 服务器上 发布服务器是部署 HUISIN 网页防篡改系统时新增添的机器 原则需要一台独立的服 务器 对于网页更新不太频繁的网站 也可以用普通 PC 机或者与担任其他工作的服务器 共用 发布服务器为 PC 服务器 其本身的硬件配置无特定要求 操作系统可选择 FTP IntranetDMZInternet HTTP SSL 发布服务器软件 发布服务器 Web 服务器端软件 Web 服务器 第 10 页 共 24 页 Windows 一般网站 或 Linux 大型网站 3 1 3 Web 服务器 Web 服务器上除了原本运行的 Web 系统 如 IIS Apache SunONE Weblogic Websphere 等 外 还运行有 HUISIN 网页防篡改系统 的 Web 服务器端软件 由 同步服务器 和 核心内嵌模块 组成 HUISIN 网页防篡改系统同步服务器负责与 HUISIN 网页防篡改系统发布服务器通信 将发布服务器上的所有网页文件变更同步到 Web 服务器本地 HUISIN 网页防篡改系统核 心内嵌模块作为 Web 系统的一个插件运行 需要对 Web 系统作适当配置 以使其生效 Web 服务器是用户网站原有的机器 HUISIN 网页防篡改系统可适应于任何操作系统 3 2 平台支持 3 2 1 发布服务器端 支持如下软硬件 CPU Intel PIII 或以上 内存 256M 或以上 硬盘 整个网站容量 5G 操作系统 Windows 2000 Windows 2003 Linux 3 2 2 Web 服务器端 支持以下操作系统 Microsoft Windows NT 2000 XP 2003 Linux 支持以下 Web 服务器 IIS Apache Weblogic WebSphere tomcat 支持以下后台数据库 SQL Server Oracle 第 11 页 共 24 页 MySQL Access 3 3 产品型号 HUISIN 网页防篡改系统 版本 2 0 分为动态版和静态版两个型号 它们的适用范围 和特性如下 型号名称动态版静态版 适用情形网站以动态页面为主网站以静态页面为主 多 Web 服务器支持支持支持 多虚拟主机支持支持支持 Web 服务器操作系统Windows Linux UnixWindows Linux Unix 发布功能自动自动 发布服务器操作系统Windows LinuxWindows Linux 可选模块支持支持支持 表格 3 1 产品型号 第 12 页 共 24 页 第 4 章 产品部署 4 1 标准部署 4 1 1 内容管理系统 图表 4 1 标准部署图 目前 大部分网站都使用了内容管理系统 CMS 来管理网页产生的全过程 包括网 页的编辑 审核 签发和合成等 在网站的网络拓扑中 发布服务器发布服务器部署在原有的内容管内容管 理系统理系统和 WebWeb 服务器服务器之间 图表 4 1 表明了三者之间的关系 为一个已有的 Web 站点部署 HUISIN 网页防篡改系统时 Web 服务器和内容管理系统 CMS 都沿用原来的机器 而需要在其间增加一台发布服务器 HUISIN 网页防篡改系统的 自动同步机制完全与内容管理系统无关的 适合与所有的内容管理系统协同工作 而内容 管理系统本身无须作任何变动 发布服务器上具有与 Web 服务器上的网站文件完全相同的目录结构 任何文件 目录 的变化都会自动映射到 Web 服务器的相应位置上 网页的合法变更 包括增加 修改 删除 重命名 都在发布服务器上进行 变更的 手段可以是任意方式的 例如 FTP SFTP RCP NFS 文件共享等 网页变更后 由 自动发布子系统将其同步到 Web 服务器上 无论什么情况下 不允许直接变更 Web 服务 器上的页面文件 HUISIN 网页防篡改系统一般情况下与内容管理系统分开部署 当然它也可以与内容 管理系统部署在一台机器上 在这种情形下 HUISIN 网页防篡改系统还可以提供接口 与内容管理系统进行互相的功能调用 以实现整合性更强的功能 4 1 2 部署示例 图表 4 2 是一个标准的网站架构示意图 内容管理系统发布服务器Web 服务器 第 13 页 共 24 页 图表 4 2 基本网站结构 在图中 内容管理系统将合成的网页通过 FTP 或者 RCP 或者其他方式上传到 Web 服 务器上 部署 HUISIN 网页防篡改系统后的网站结构图见图表 4 3 图表 4 3 部署 HUISIN 网页防篡改系统后的网站结构 由上图可以看出 为一个标准的 Web 站点部署 HUISIN 网页防篡改系统时 Web 服务 器和内容管理系统都完全沿用原来的机器 而需要在其间增加一台发布服务器 HUISIN 网页防篡改系统的自动同步机制与内容管理系统无关的 适合与所有的内容管理系统协同 FTP RCP 文件共享 IntranetDMZ HTTP Web 系统 Web 服务器 内容管理系统 内容管理 数据库系统 FTP IntranetDMZ HTTPSSL 发布服务器发布服务器 发布服务器 同步服务器同步服务器 核心模块核心模块 Web 系统 Web 服务器 内容管理系统 内容管理 数据库系统 蓝色蓝色为增加的部件 第 14 页 共 24 页 工作 对内容管理系统内容管理系统唯一需要做的只是改变它的设置 将发布的目标服务器地址由 WebWeb 服服 务器务器地址改为发布服务器发布服务器地址即可 无须安装 HUISIN 网页防篡改系统任何组件 当然 根据内容管理系统内容管理系统所采用协议 发布服务器上需要对应安装这些协议的服务器 端 例如 FTP sftp 服务器 rcp 服务器或打开文件共享等 Web 服务器使用 SSL 服务和特定端口 默认为 38888 可修改配置选择其他端口 来接 收上传的网页文件 无须再开放内容管理系统所需的端口 例如 FTP 端口 为安全起见 强烈建议 Web 服务器仅开放 Web 服务端口和 HUISIN 网页防篡改系统端口 关闭其他所有端 口 4 1 3 无内容管理系统 一些简单的网站可能没有使用任何内容管理系统 而仅仅使用诸如 Dreamweaver 制作 和管理网站甚至直接编辑 html 文件 这种情形下 HUISIN 网页防篡改系统也完全适用 网页制作人员无须改变原来的工作方式 仅仅只是由原来直接修改 Web 服务器上的文件 改为修改发布服务器上的文件 4 1 4 更复杂的部署情形 更复杂的部署情形包括 多虚拟主机 Web 服务器部署 本地内容管理系统 Web 服务器托管 同机部署 这些情形下的 HUISIN 网页防篡改系统的部署见 HUISIN 网页防篡改系统部署指南 W 008 0202 D 4 2 冗余部署 4 2 1 概况 Web 站点运行的稳定性是最关键的 HUISIN 网页防篡改系统支持所有部件的多机工 作和热备 可以有多台安装了 HUISIN 网页防篡改系统防篡改模块和同步服务软件的 Web 服务器 也可以有两台安装了 HUISIN 网页防篡改系统发布服务软件的发布服务器 如图 表 4 4 所示 它实现了 2Xn 的同步机制 2 为发布服务器 n 为 Web 服务器 当 2 或 n 的 第 15 页 共 24 页 单点失效完全不影响系统的正常运行 且在修复后自动工作 第 16 页 共 24 页 图表 4 4 冗余部署示意图 4 2 2 Web 服务器集群 HUISIN 网页防篡改系统发布服务器支持对多台 Web 服务器的内容同步 严格保证多 台 Web 服务器内容相同 当单台 Web 服务器失效时 由于 Web 服务器集群前端通常有负 载均衡设备 因此 它并不影响公众访问网站 同时 它的失效也不影响 HUISIN 网页防 篡改系统发布服务器向其他正常工作的 Web 服务器提供内容同步 在失效期间 HUISIN 网页防篡改系统发布服务器会尝试连接这台 Web 服务器 一旦它修复后重新工作 即可自 动进行连接 并自动进行内容同步 因此 Web 服务器的单点失效不影响系统的完整性 并且在系统恢复时不需要对其余 机器作任何手工操作 4 2 3 发布服务器双机 HUISIN 网页防篡改系统支持发布服务器双机协同工作 即一台主发布服务器和一台 热备发布服务器 在这种部署情形下 内容管理系统 CMS 需要将内容同时发布到两台 HUISIN 网页防篡改系统服务器上 在正常状态下 HUISIN 网页防篡改系统主发布服务器 工作 由它对所有 Web 服务器进行内容同步 显然 热备发布服务器失效不影响系统运作 Web 服务器 1 Web 服务器 n 1 SSL 安全通信 发布服务器 备 同步服务器 防篡改模块 Web 服务器 2 Web 服务器 n 主备通信 CMS 内容管理系统 Socket NFS 发布服务器 主 DMZIntranet 第 17 页 共 24 页 一旦在它修复后可以从主发布服务器恢复数据 进入正常热备状态 主发布服务器如果失 效 即不发心跳信号 热备发布服务器会接管工作 由它对所有 Web 服务器进行内容同 步 当主发布服务器修复后 两机同时工作 经过一段时间的数据交接时间 热备发布服 务器重新进入热备状态 因此 HUISIN 网页防篡改系统发布服务器的单点失效也不影响系统的完整性 并且 在系统恢复时不需要对其余机器作任何手工操作 第 18 页 共 24 页 第 5 章 技术实现 5 1 内部结构 5 1 1 逻辑组成 从逻辑上 HUISIN 网页防篡改系统由页面保护子系统 自动发布子系统三个子系统 和监控管理子系统组成 如图表 5 1 所示 图表 5 1 系统部件示意图 1 1 页面保护子系统页面保护子系统 页面保护子系统是系统的核心 内嵌在 Web 系统里 即前述的核心内嵌模块 包含 应用防护模块和篡改检测模块 应用防护模块对每个用户的请求进行安全性检查 如果正常则发送给 Web 系统 如果 发现有攻击特征码 即刻中止此次请求并进行报警 篡改检测模块对每个发送的网页进行即时的完整性检查 如果网页正常则对外发送 如果被篡改则阻断对外发送 并依照一定策略进行报警和恢复 对于 Windows 系统 页面保护子系统还包括一个增强型事件触发式检测模块 该模块 Web 服务器 Web 系统 第三方软件 页面保护子系统 应用防护 篡改检测 自动发布子系统 同步服务器 发布服务器 自动发布子系统 自动发布程序 d 管理子系统 内容管理系统 第三方软件 浏览器 第 19 页 共 24 页 驻留于操作系统内核 阻止大部分常规篡改手段 2 2 自动发布子系统自动发布子系统 自动发布子系统负责页面的自动发布 由发送端和接收端组成 发送端位于发布服务 器上 称之为自动发布程序 它监测到文件系统变化即进行计算该文件水印 并进行 SSL 发送 接收端位于 Web 服务器上 称之为同步服务器 它接收到网页和水印后 将网页存 放在文件系统中 将水印存放在安全数据库里 所有合法网页的增加 修改和删除都通过 自动发布子系统进行 3 3 监控管理子系统监控管理子系统 负责篡改后自动恢复 也提供系统管理员的使用界面 其功能包括 手工上传 查看 警告 检测系统运行情况 修改配置 查看和处理日志等 5 2 核心技术 5 2 1 实现原理 我们将篡改检测的核心内嵌到 Web 服务器中 仅在网页信息流出 Web 服务器时进行 检测 而非采用其他产品通常使用的外挂式的轮询方式或单独采用的事件触发方式 使其 运行性能和检测有效性都达到最高的水准 另外 对于大量的针对 Windows Linux 系统的常规篡改攻击 我们也提供了增强型事 件触发检测方式 进一步加强检测和防范的实时性 在具体计算上 我们使用安全散列函数为每个网页产生一个数字水印 此数字水印与 网页内容相关联 并且无法伪造 检测时比对数字水印 无须比较整个网页文件 进一步 提高了效率 5 2 2 核心优势 不同于一些文件轮询扫描式或事件触发式的页面防篡改软件 HUISIN 网页防篡改系 统的页面防篡改模块是与 Web 服务器紧密结合的 它在 Web 服务器对外发送网页时进行 网页防篡改检测 这样做不仅完全杜绝了在轮询扫描间隔和事件触发处理过程中被篡改内 容被用户访问的可能性 也减少了轮询 Web 服务器文件系统所占用的网络带宽和 CPU 利 用率 相比起采用外挂轮询和事件触发式技术的同类产品 我们的核心内嵌技术的优势在于 第 20 页 共 24 页 外挂轮询外挂轮询事件触发事件触发核心内嵌核心内嵌 访问被篡改网页可能可能不可能不可能 防护动态内容不能不能可以可以 Web 服务器负载中低极低 带宽占用中无无 检测时间分钟级接近实时实时 绕过检测机制不可能可能不可能 防范连续篡改攻击不能不支持支持 保护所有网页不能能能 动态网页脚本不支持支持支持 适用操作系统所有受限所有 上传时检测不能受限能 断线时保护不能不能能 表格 5 1 核心内嵌技术与其他技术比较 1 1 完全杜绝篡改内容流出完全杜绝篡改内容流出 采用核心内嵌技术后 用户每次访问每个受保护网页时 Web 服务器在发送之前都进 行完整性检查 保证网页的真实性 核心内嵌技术可以彻底杜绝篡改后的网页被访问的可 能性 全面和实时地保护网站的所有网页文件 采用外挂轮询式的网页防篡改系统 对每个网页来说 轮询扫描存在着时间间隔 一 般为数十分钟 在这数十分钟的间隔中 黑客可以攻击系统并使访问者访问到被篡改的网 页 单独采用事件触发式的网页防篡改系统 仍是一种被动式的策略 不能保证外界看不 到篡改后的网页 如果黑客采用大规模的篡改活动 这种响应机制将变得很慢而不可取 更重要的是 事件触发方式并不能确保捕获对文件的所有方式的修改 例如直接写磁 盘 直接写内核驱动程序 利用操作系统漏洞等 非常容易被专业黑客很容易绕过 而且 一旦成功 它没有任何手段来察觉和恢复 它的技术特点决定了它类似于防病毒工具 以 黑防黑 而不是专门针对网站保护的系统 这也是它不能支持 Unix 平台的原因 第 21 页 共 24 页 2 2 连续篡改攻击保护连续篡改攻击保护 有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击 即在 网页被恢复后立即重新篡改网页 由于重篡改过程可以利用程序自动和连续进行 并只针对一个重要网页 例如网站首 页 进行 因此即使外挂轮询技术的扫描时间间隔设置得再小 例如 1 分钟 也无法阻止 篡改后的网页被公众访问到 例如重新篡改网页需要 1 秒钟 则公众在 1 分钟内的 59 秒里 看到的都是篡改后的网页 这个过程往复下去 使公众只能看到被篡改的网页 而总是看不到真实的网页 除非 管理者能够很快修补系统漏洞或停止提供 Web 服务 否则外挂轮询技术是无法阻止这种恶 意的连续攻击 事件触发技术对 Web 系统没有控制能力 它发现篡改后没有办法去协调 Web 服务器 工作 对于大规模或精心策划的攻击是无能为力的 例如 如果黑客中断了 Web 服务器和 备份网页服务器的连接 这个被篡改的网页就没法即时恢复 而与此同时 大量的公众可 能已经访问到了这个网页 造成严重后果 而采用核心内嵌技术的系统在每次输出网页时都进行完整性检查 如有变化则阻断发 送 因此 无论连续攻击多么迅速和频繁 都无法使公众看到被篡改的网页 3 3 动态网页全面保护动态网页全面保护 目前的网站越来越多地使用动态技术 例如 ASP JSP PHP 来输出网页 动态网 页由网页脚本和内容组成 网页脚本以文件形式存在于 Web 服务器上 网页内容则取自于 数据库 采用核心内嵌技术的系统 可以直接从 Web 服务器上得到动态网页脚本 不受变化的 内容影响 因而能够象静态网页一样保护动态网页脚本 进一步地 它还能通过阻挡对数 据库的注入式攻击来保护动态网页内容的安全 从脚本到内容全面保护动态网页安全 采用事件触发技术的系统 虽然可以对网页脚本提供一定的防护功能 但是由于它仅 工作在操作系统层面上 未和 Web 系统发生关联 因此根本无法检测到用户非法请求 对 动态内容的篡改则是完全无能为力的 采用外挂轮询技术的系统 所监测到的动态网页是网页脚本和内容混合后的结果 而 网页内容是根据访问情况时时在变化的 外挂轮询技术又无法区分网页脚本和内容 因此 无法实现对动态网页的防篡改保护 第 22 页 共 24 页 5 2 3 关键流程 1 1 正常上传网页正常上传网页 1 用户使用自己的内容管理系统内容管理系统将网页上传到发布服务器发布服务器上 2 自动发布程序自动发布程序监测到文件系统的变化 3 自动发布程序自动发布程序使用安全散列函数 HMAC 计算网页的数字水印 4 自动发布程序自动发布程序对 WebWeb 服务器服务器进行身份鉴别 5 同步服务器同步服务器对发布服务器发布服务器进行身份鉴别 6 自动发布程序自动发布程序将网页和数字水印使用 SSL 协议安全传输到同步服务器同步服务器 7 同步服务器同步服务器将数字水印存放在安全数据库里 并在文件系统中完成网页的更新 2 2 内容保护过程内容保护过程 1 公众发出网页浏览请求 2 应用防护模块应用防护模块得到请求内容 与攻击特征库中的特征相比对 如果比对成功 即符合攻击模式 即是企图进行注入式攻击的用户请求 终止 Web 系统 对该会话的处理 中断该用户的连接 并进行报警 3 Web 服务器将网页内容取得后 交给篡改检测模块篡改检测模块进行检测 4 篡改检测模块篡改检测模块使用安全散列函数 HMAC MD5 计算出欲发出的网页的数字水印 并与安全数据库中的数字水印相比对 如果没找到数字水印或数字水印比对失败 即是可疑或被非法篡改的网页 系统调用管理管理 子系统子系统进行自动恢复的同时向监管者报警