网页防篡改最新技术解析

安全咖啡漫　蕊羹防篡藏最薪我寨　网站在信息发展中起到了重要　的作用，已经渗透到了各个角落，根　据ＣＮＮＩＣ调查报告显示，截至２００６　年１月。我国的上网用户总数高达　１．１亿，国内网站数量达６７万，庞大　的网民数量和网站群为互联网应用　面传播速度快、阅读人群多；复制容　易，事后消除影响难；预先检查和实　时防范较难；网络环境复杂难以追查　责任，攻击工具简单且向智能化趋势　发展。　２、网页防篡改技术的发展历程　但是，采用时间轮询式的网页防　篡改系统，对每个网页来说，轮询扫　描存在着时间间隔，一般为数十分　钟，在这数十分钟的间隔中，黑客可　以攻击系统并使访问者访问到被篡　改的网页。　的快速发展奠定了良好的基础。网页　的地位也得到了空前的提高，对一个　（１）起始点——人工对比检测　人工对比检测，其实就是一种专　此类应用在过去网页访问量较　少，具体网页应用较少的情况下适　企业对一个政府机构网页无异于自　己的门面。　虽然目前已有防火墙、入侵检测　等安全防范手段，但各类ｗｅｂ应用系　统的复杂性和多样性导致系统漏洞　层　不穷、防不胜防，黑客人侵和篡　改页面的事件时有发生。据中国被黑　站点统计系统数据分析，截至７月２５　日１０时．２００６年登记在案的被篡改　网站数量已达５３０４个（其中有很多　网站是多次被篡改），平均每天约有　２５个站点被篡改且被举报；又据　ＣＮＣＥＲＴ／ＣＣ（国家计算机网络应急　技术处理协调中心）统计，２００６年３　月．全球被篡改网站数量超过３万　个。平均每１．５分钟，就有一个网站被　篡改……。　针对这些情况，网页防篡改系统　应运而生。经过多年的发展，网页防　篡改系统采用的技术也在不断的发　展和更新，到目前为止，网页防篡改　技术已经发展到了第三代。以下，我　门指派网络管理人员，人工监控需要　保护的网站，一旦发现被篡改，然后　以人力对其修改还原的手段。　人工对比检测不能算是一种网　页防篡改系统采用的技术，而只能算　是一种原始的应对网页被篡改的手　段。但是其在网页防篡改的技术发展　历程中存在一段相当的时间；所以在　这里我们把它作为网页防篡改技术　发展的起始点，单独拿出来讲。　这种手段非常原始且效果不佳，　且不说人力成本较高，其最致命的缺　陷在于人力监控不能达到即时性，也　就是不能在第一时间发现网页被篡　改也不能在第一时间做出还原，当管　理人员发现网页被篡改再做还原时，　被篡改的网页已在互联网存在了一　段时间，可能已经被一定数量的网民　浏览。　（２）第一代——时间轮巡技术　时间轮巡技术（也可称为“外挂　轮巡技术”）。我们在这里将其称为网　用，目前网站页面通常少则上百页，　检测轮巡时间更长，且占用系统资源　较大，该技术逐渐被淘汰。　（３）第二代——事件触发技术＆　核心内迁嵌技术　我们将事件触发技术与核心内　嵌技术两种技术放在同一代来说，因　为这两种网页防篡改技术出现的时　间差距不大，而且两种技术常常被结　合使用。　所谓核心内嵌技术即密码水印　技术，最初先将网页内容采取非对称　加密存放，在外来访问请求时将经过　加密验证过的，进行解密对外发布，　若未经过验证，则拒绝对外发布，调　用备份网站文件进行验证解密后对　外发布。此种技术通常要结合事件触　发机制对文件的部分属性进行对比，　如大小，页面生成时间等做判断，无　法更准确的进行其它属性的判断。其　最大的特点就是安全性相对外挂轮　巡技术安全性大大提高，但不足是加　们就来分析一下网页防篡改技术由　来的发展历程，以及每代技术的优缺　点比较。　１、网页被篡改的原因和特点　黑客强烈的表现，国内外非法组　织的不法企图，商业竞争对手的恶意　攻击，不满情绪离职员工的发泄等　等都将导致网页被“变脸”。网页篡改　页防篡改技术的第一代。从这一代开　始，网页防篡技术已经摆脱了以人力　检测恢复为主体的原始手段而作为　一种自动化的技术形式出现。　时间轮询技术是利用一个网页　检测程序，以轮询方式读出要监控的　网页，与真实网页相比较，来判断网　页内容的完整性，对于被篡改的网页　密计算会占用大量服务器资源，系统　反映较慢。　核心内嵌技术就避免了时间轮　巡技术的轮巡间隔这个缺点。但是由　于这种技术是对每个流出网页都进　行完整检查，占用巨大的系统资源，　给服务器造成较大负载。且对网页正　常发布流程作了更改，整个网站需要　攻寺事件具有以下特点：篡改网站页　进行比对修改。　重新架构，增加新的发布服务器替代　（ｉ－／－算机与厨络》２０１０年第１７期　安全咖啡屋　提高Ｕｎｕｘ系统蜜垒性的嚣要谈　Ｌｉｎｕｘ是一种操作系统，但问题的　关键是连接到网络上，因此，这意味着　它也需要采取安全措施。作为一种操作　系统，它是相当安全的，但没有操作系　统是百分之百安全的，因此，我们需要　注意下面的内容。１、密切关注密钥环　很多人认为，这项操作是非常烦琐　令，你可以了解用户密码是否到期的情　况。举例来说，你希望设定用户的密码　已经到期，需要他在下次登录时更新。　为了做到这一点，你可以输入命令ｓｕｄｏ　ｃｈａｇｅ　－ＥＥＸＰＬＩＣＩＴ　ＥＸＰＩＲＡ一　用户不应该以ｒｏｏｔ身份登录的重要性。　如果你需要对系统进行管理的话，利用　普通用户登录，使用ｓｕ命令，这样比利　用ｒｏｏｔ用户使用ｓｕｄｏ命令更合理。当　你以ｒｏｏｔ用户的身份登录时，就会给安　全带来重大的隐患，并且可以访问在普　通用户身份登录的情况下通常不会访　问的系统和子系统。因此，我不建议这　ＴＩＯＮ＿ＤＡＴＥ－ｍ　ＭＩＮＩＭＵＭ　ＡＧＥ—Ｍ　ＭＡＸＩＭＵＭ　ＡＧＥ　—Ｉ　ＩＮＡＣＴＩＶＩ一　ＴＹ—ＰＥＲＩＯＤ—ｗＤＡＹｓ』ＥＦＯＲＥ＿ＥＸ一　的。在登录到计算机上，并请求一条到网络（或轻量级目录访问协议（ＬＤＡＰ）￣］Ｅ　务器之类）上的链接后，必须输入你的　ＰＩＲＡＴＩＯＮ。如果你希望了解关于该命　令更详细信息的话，可以参阅手册页。　３、不要盲目禁用安全增强Ｌｉｎｕｘ　样做。最好的选择是利用经常使用的帐　户登录。　５、及时进行安全更新　密钥环密码。禁用该功能给用户带来了　非常大的诱惑．你只要使用内容为空的　密码并忽视警告信息即可，这样的话，　子系统类似密钥环，安全增强Ｌｉｎｕｘ子系　统的存在也是有原因的。ＳＥ代表了增　Ｌｉｎｕｘ和Ｗｉｎｄｏｗｓ在更新处理方式　上有着巨大的差别。对于Ｗｉｎｄｏｗｓ系　统来说，通常情况下，习惯于少量的大　就可以传输未加密的信息（包括密码在　内）。这可不是一个好主意。尽管你可能　认为这项功能是一项麻烦的事情。但它　强安全性，它提供了可以对应用访问进　行控制的机制。我已经读过大量涉及禁　用安全增强Ｌｉｎｕｘ子系统导致问题的”　规模更新，而使用Ｌｉｎｕｘ操作系统就意　味着经常进行较小范围的更新。忽视这　些更新没有将安全补丁正确地安装到　的存在是有原因的。可以对通过网络传　输的密码进行加密，防止泄露。　２、强制更新用户密码　当你在运行一个多用户环境（ｔ￣ｕｘ　用户习惯这样做）时，应该确保每位用　户都经常更新自己的密码。为了达到这　一解决方案”。但从真正解决方案的角度　来看，这样做只会导致更多更严重的问　题出现。如果某应用不能正常运行，我　们要做的应该是调整安全增强Ｌｉｎｕｘ　子系统的策略，以满足需求，而不是禁　用安全增强Ｌｉｎｕｘ子系统。　４、不要以ｒｏｏｔ身份登录　看起来我经常因为合乎情理的理　由违反这条规则。我不能不强调Ｌｉｎｕｘ　术革新当中，该技术找到了其发展的　空间。与事件触发技术结合，形成了今　系统中可能导致灾难性的后果。你必须　牢牢记住，这些更新中的一部分实际上　是安全补丁，需要立即启用。永远不要　忽略表示更新发布情况的图标。如果你　使用的是简化无图形界面（ＧＵＩ—Ｌｅｓｓ）服　务器，请确保已经设置了一条计划任　务，来检查更新情况，或者每天或每星　期手动进行检查。保持最新更新，这样　才可以让系统变得更安全。　运行性能和检测实时性都达到最高的　水准。　目的，你需要用到ｃｈａｇｅ命令。利用　ｓｕｄｏ　ｃｈａｇｅ—ｌ用户名（这里的用户名指　的是你希望进行检查的用户名称）命　原先的服务器。　随着技术发展以及网上各类应用　的增多，对服务器的负载资源简直可　以用“苛刻”来形容。任何占用服务器　资源的部分都要淘汰，来确保网站的　高访问效率，如此一来，内嵌技术（即　天的第三代网页防篡改保护技术。其　原理是：将篡改监测的核心程序通过　微软文件底层驱动技术应用到Ｗｅｂ　服务器中，通过事件触发方式进行自　页面防篡改模块采用Ｗｅｂ服务　器底层文件过滤驱动级保护技术，与　操作系统紧密结合，所监测的文件类　型不限，可以是一个ｈｔｍｌ文件也可以　密码技术）最终将被淘汰。　（４）第三代——文件过滤驱动技　术＋事件触发技术　文件过滤驱动技术的最初应用于　军方和保密系统。作为文件保护技术　和各类审计技术，甚至被一些狡猾好　事者应用于“流氓软件”，该技术可以　说是让人喜忧参半。在网页防篡改技　动监测，对文件夹的所有文件内容，对　照其底层文件属性，经过内置散列快　速算法，实时进行监测，若发现属性变　更，通过非协议方式，纯文件安全拷贝　方式将备份路径文件夹内容拷贝到监　测文件夹相应文件位置，通过底层文　件驱动技术，整个文件复制过程毫秒　级，使得公众无法看到被篡改页面，其　是一段动态代码，执行准确率高。这样　做不仅完全杜绝了轮询扫描式页面防　篡改软件的扫描间隔中被篡改内容被　用户访问的可能，其所消耗的内存和　ＣＰＵ占用率也远远低于文件轮询扫　描式或核心内嵌式的同类软件。可以　说是一种简单、高效、安全性又极高的　一种防篡改技术。　／　２０１０年第１７期《计算机与网络》