范凱

[摘 要] 我國(guó)已經(jīng)進(jìn)入信息化時(shí)代，信息化給我們帶來便利的同時(shí)，也給我們帶來了煩惱。網(wǎng)頁由于受到攻擊使網(wǎng)站蒙受損失，同時(shí)還造成一定的社會(huì)負(fù)面影響。所以，提高網(wǎng)頁防篡技術(shù)就成為我們?cè)谛畔⒒瘯r(shí)代面臨的重要任務(wù)。本文對(duì)網(wǎng)頁篡改的原因進(jìn)行分析，并對(duì)網(wǎng)頁防篡技術(shù)的發(fā)展進(jìn)行論述，進(jìn)而提出網(wǎng)頁防篡技術(shù)評(píng)估的方法。

[關(guān)鍵詞] 網(wǎng)頁防篡技術(shù)外掛輪詢技術(shù)核心內(nèi)嵌技術(shù)文件過濾驅(qū)動(dòng)技術(shù)

計(jì)算機(jī)技術(shù)的發(fā)展是當(dāng)代經(jīng)濟(jì)的重要標(biāo)志。計(jì)算機(jī)技術(shù)廣泛應(yīng)用于各個(gè)領(lǐng)域，比如建筑設(shè)計(jì)、教育、企業(yè)宣傳等。企業(yè)在向外界推廣自己的時(shí)候也會(huì)采用網(wǎng)絡(luò)推廣的方法，因?yàn)榫W(wǎng)絡(luò)的傳播速度快，接受人群也相對(duì)較多。但是，企業(yè)也會(huì)經(jīng)常遇到網(wǎng)頁被篡改的事件，給企業(yè)帶來一定的麻煩，有的甚至讓企業(yè)蒙受損失。因此，提高網(wǎng)站的安全，保證網(wǎng)頁內(nèi)容的完整，防止網(wǎng)頁被篡改就成為我們目前面臨的重要任務(wù)。

一、網(wǎng)頁篡改現(xiàn)象存在的原因

網(wǎng)頁被篡改的原因是多方面的，既有技術(shù)方面的原因，也有管理方面的原因，有時(shí)網(wǎng)頁被篡改是由于設(shè)備配置的原因。

1.在目前的網(wǎng)站建設(shè)中，存在漏洞，為黑客等提供了攻擊的突破口?，F(xiàn)在已經(jīng)公布的操作系統(tǒng)漏洞有一萬多個(gè)，系統(tǒng)漏洞從發(fā)現(xiàn)到被利用為5天，而修復(fù)漏洞的補(bǔ)丁的發(fā)布時(shí)間為47天。另外，應(yīng)用系統(tǒng)漏洞也成為攻擊的對(duì)象。

2.網(wǎng)絡(luò)管理員難以完全實(shí)現(xiàn)安全管理要求。在網(wǎng)絡(luò)安全管理中，對(duì)安全管理的要求相當(dāng)苛刻，比如，密碼管理合格密碼需要8位以上復(fù)雜字符并定期改變，漏洞補(bǔ)丁操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)的定期更新等，這對(duì)網(wǎng)絡(luò)安全管理人員來說，任務(wù)是非常重。

3.網(wǎng)絡(luò)設(shè)備防篡的不足為了保護(hù)網(wǎng)站的安全，大多數(shù)網(wǎng)站系統(tǒng)都使用了防火墻和入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備來保護(hù)自身的安全。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備被廣泛應(yīng)用在網(wǎng)絡(luò)安全中，但是在防止網(wǎng)頁被篡改方面，防火墻起不到什么作用。因?yàn)榉阑饓ν耆蛲獠烤W(wǎng)絡(luò)開放web應(yīng)用端口，對(duì)Web應(yīng)用沒有任何的保護(hù)作用，即使使用http代理型的防火墻，防火墻也只是驗(yàn)證http協(xié)議本身的合法性，完全不能理解http協(xié)議所承載的數(shù)據(jù)，也無從判斷對(duì)http服務(wù)器的訪問行為是否合法。入侵檢測(cè)技術(shù)與防火墻一樣，在應(yīng)用協(xié)議的理解和作用方面具有局限性，對(duì)于復(fù)雜的http會(huì)話和協(xié)議更是不能完整處理，所以對(duì)攻擊網(wǎng)頁的行為，入侵檢測(cè)系統(tǒng)無法檢測(cè)和防御，修復(fù)被篡改的網(wǎng)頁就更談不上了。使用防火墻和入侵檢測(cè)技術(shù)對(duì)于網(wǎng)頁篡改來說是沒有效的，需要專業(yè)的防篡改網(wǎng)頁的設(shè)備和系統(tǒng)來對(duì)網(wǎng)頁進(jìn)行保護(hù)，保證網(wǎng)頁的安全。

4.外部原因。除了上述原因外，網(wǎng)頁被篡改或受攻擊的直接原因就是黑客。黑客或者是為了展示自己高超的技術(shù)，或者是受雇與競(jìng)爭(zhēng)對(duì)手，或者是受雇于非法組織，也有可能是員工對(duì)企業(yè)的不滿的一種情緒的宣泄。

二、網(wǎng)頁防篡技術(shù)的發(fā)展

網(wǎng)頁防篡技術(shù)發(fā)展到現(xiàn)在，已經(jīng)發(fā)展到第三代，現(xiàn)就網(wǎng)頁防篡改技術(shù)的發(fā)展過程做一個(gè)介紹。

1. 起始階段——人工對(duì)比檢測(cè)

人工對(duì)比檢測(cè)是網(wǎng)絡(luò)管理員對(duì)要保護(hù)的網(wǎng)站進(jìn)行人工監(jiān)控，在監(jiān)控過程中，如果發(fā)現(xiàn)有內(nèi)容被篡改，要對(duì)網(wǎng)頁進(jìn)行修改和還原。人工對(duì)比檢測(cè)不能算是應(yīng)對(duì)網(wǎng)頁篡改的原始手段，嚴(yán)格第講并不是一種網(wǎng)頁防篡改技術(shù)，但是這種方法在真正的網(wǎng)頁防篡改系統(tǒng)出現(xiàn)以前的相當(dāng)長(zhǎng)時(shí)間內(nèi)一直被使用。這種安全監(jiān)控方法的效果并不好，對(duì)網(wǎng)頁的安全性保護(hù)沒有太大的作用。這種監(jiān)控方法最大的缺點(diǎn)就是對(duì)網(wǎng)頁的安全不能進(jìn)行即時(shí)監(jiān)控。網(wǎng)絡(luò)管理員無法及時(shí)的發(fā)現(xiàn)被篡改，往往是被篡改一段時(shí)間后才被發(fā)現(xiàn)，即使發(fā)現(xiàn)以后也要花費(fèi)一定的時(shí)間才能進(jìn)行修復(fù)和還原。

2. 第一代——外掛輪詢技術(shù)

外掛輪詢技術(shù)是利用一個(gè)網(wǎng)頁檢測(cè)程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，通過與真實(shí)網(wǎng)頁相比較來判斷網(wǎng)頁內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁進(jìn)行報(bào)警和恢復(fù)。這種監(jiān)控方法比人工監(jiān)控的效率大大提高。但是外掛輪詢技術(shù)也存在缺點(diǎn)，那就是在外掛輪詢技術(shù)在進(jìn)行掃描時(shí)會(huì)有時(shí)間間隔的存在，大約時(shí)長(zhǎng)為幾十分鐘。而在這段間隔期間，無法防止黑客對(duì)系統(tǒng)的攻擊，使網(wǎng)頁處于危險(xiǎn)的境地。

3. 第二代——核心內(nèi)嵌技術(shù)

所謂核心內(nèi)嵌技術(shù)即密碼水印技術(shù)，即最初先將網(wǎng)頁內(nèi)容采取非對(duì)稱加密存放，在外來訪問請(qǐng)求時(shí)將經(jīng)過加密驗(yàn)證過的文件進(jìn)行解密對(duì)外發(fā)布，若未經(jīng)過驗(yàn)證，則拒絕對(duì)外發(fā)布，調(diào)用備份網(wǎng)站文件進(jìn)行驗(yàn)證解密后對(duì)外發(fā)布。

核心內(nèi)嵌技術(shù)的安全性與外掛輪巡技術(shù)相比，大大提高，而且核心內(nèi)嵌技術(shù)在進(jìn)行網(wǎng)頁檢查時(shí)沒有時(shí)間間隔，從而可以使網(wǎng)頁一直在監(jiān)控之中。核心內(nèi)嵌技術(shù)如果要有效防止網(wǎng)頁被篡改，就必須對(duì)網(wǎng)頁的完整性進(jìn)行實(shí)時(shí)檢查，而這樣會(huì)占用系統(tǒng)資源，使服務(wù)器負(fù)載較大，導(dǎo)致系統(tǒng)反應(yīng)緩慢。同時(shí)該技術(shù)還使得網(wǎng)頁的發(fā)布流程發(fā)生了改變，這使得網(wǎng)站要對(duì)自身的架構(gòu)進(jìn)行重新設(shè)計(jì)，而且要更新服務(wù)器。

4.第三代——文件過濾驅(qū)動(dòng)技術(shù)＋事件觸發(fā)技術(shù)

文件過濾驅(qū)動(dòng)技術(shù)需要與事件觸發(fā)技術(shù)結(jié)合起來才能發(fā)揮防篡改的作用，它開始是被用在軍隊(duì)保密系統(tǒng)中。其原理是：將篡改監(jiān)測(cè)的核心程序通過微軟文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到Web服務(wù)器中，通過事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測(cè)，對(duì)文件夾的所有文件內(nèi)容，對(duì)照其底層文件屬性，經(jīng)過內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測(cè)。若發(fā)現(xiàn)屬性變更，則通過非協(xié)議方式、純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測(cè)文件夾相應(yīng)文件位置。通過這種技術(shù)的應(yīng)用，可以使被篡改的網(wǎng)頁在很短的時(shí)間內(nèi)得到修改，用戶不會(huì)瀏覽到被篡改的網(wǎng)頁，從而使網(wǎng)頁正常運(yùn)轉(zhuǎn)。

文件過濾驅(qū)動(dòng)技術(shù)可以監(jiān)測(cè)的所有的文件類型，而且執(zhí)行準(zhǔn)確率高。文件過濾驅(qū)動(dòng)技術(shù)可以完全避免外掛輪詢技術(shù)的輪詢間隔，并且使用戶無法看到被篡改的內(nèi)容，極大第提高了網(wǎng)頁的安全性。同時(shí)，文件過濾驅(qū)動(dòng)技術(shù)比核心內(nèi)嵌式技術(shù)消耗的內(nèi)存和CPU占用率要低得多。

三、網(wǎng)頁防篡技術(shù)評(píng)估

一般用戶在網(wǎng)絡(luò)上瀏覽的網(wǎng)頁可以分成靜態(tài)網(wǎng)頁和動(dòng)態(tài)網(wǎng)頁兩種。靜態(tài)網(wǎng)頁是用戶直接看到的界面，動(dòng)態(tài)網(wǎng)頁是Web服務(wù)器上的腳本文件（如jsp文件）經(jīng)過執(zhí)行后，將其執(zhí)行的結(jié)果反饋給公眾。比如，我們?cè)邳c(diǎn)擊一個(gè)連接時(shí)就會(huì)在后臺(tái)運(yùn)行腳本，執(zhí)行之后在界面上顯示出結(jié)果。腳本通常會(huì)讀取數(shù)據(jù)庫中的數(shù)據(jù)，因此最后生成的網(wǎng)頁可以認(rèn)為是腳本文件和數(shù)據(jù)庫內(nèi)容的綜合。由此可知，要防止網(wǎng)頁被篡改，實(shí)質(zhì)就是保護(hù)文件（無論是靜態(tài)網(wǎng)頁文件還是腳本文件）和數(shù)據(jù)庫的安全。

因此，一個(gè)有效的網(wǎng)頁防篡改系統(tǒng)必須達(dá)到以下兩個(gè)方面的要求：

1. 實(shí)現(xiàn)對(duì)網(wǎng)頁文件的完整性檢查和保護(hù)，并達(dá)到100%的防護(hù)效果，即被篡改網(wǎng)頁不可能被訪問到。

2. 實(shí)現(xiàn)對(duì)已知的來自于Web的數(shù)據(jù)庫攻擊手段的防范。

為了對(duì)網(wǎng)頁防篡技術(shù)的評(píng)估，可以對(duì)技術(shù)按照這兩方面的要求進(jìn)行測(cè)試。例如：文件保護(hù)可以通過直接修改Web服務(wù)器上的文件，再用瀏覽器訪問該文件來測(cè)試是否達(dá)到了100%可靠的防護(hù)效果；數(shù)據(jù)庫保護(hù)則可以通過一些黑客工具（NBSI、HDSI等等）對(duì)受保護(hù)網(wǎng)站進(jìn)行模擬攻擊。

四、結(jié)束語

網(wǎng)頁被篡改會(huì)引起一系列的麻煩，對(duì)于企業(yè)來說，可能會(huì)泄漏企業(yè)機(jī)密，而對(duì)于政府網(wǎng)站來說，可能會(huì)對(duì)政府的形象帶來負(fù)面影響。所以，防止網(wǎng)頁被篡改，提高網(wǎng)頁防篡技術(shù)是信息化時(shí)代的要求。我們必須加大對(duì)技術(shù)研究的力度，從各個(gè)方面對(duì)技術(shù)研究進(jìn)行支持，使網(wǎng)頁防篡技術(shù)可以保證網(wǎng)頁的安全。

參考文獻(xiàn)：

[1] 蓋玲防網(wǎng)頁篡改技術(shù)比較分析圖書與情報(bào) 2007年第2期.

[2] 余明華網(wǎng)頁安全防范策略的研究與實(shí)施科技信息（學(xué)術(shù)研究） 2006年第6期.

[3] 羅利民網(wǎng)頁防篡改技術(shù)的一種實(shí)現(xiàn)福建電腦 2008年第11期.

[4] 趙曉云，穆慧敏山西省地震局網(wǎng)頁防篡改技術(shù)應(yīng)用及應(yīng)急預(yù)案研究山西地震 2011年第7期.

[5] 占明艷企業(yè)網(wǎng)絡(luò)安全對(duì)策研究軟件導(dǎo)刊 2008年第9期.

[6] 楊敏，網(wǎng)頁防篡改安全研究中國(guó)高新技術(shù)企業(yè) 2010年第9期.