趙維佺 魏小銳 劉永波 熊輝

1 東莞理工學(xué)院 廣東 523808

2 深圳昂楷科技有限公司 廣東 518034

3長安大學(xué)信息工程學(xué)院 陜西 710064

0 序言

高等院校實驗中心隨著開放實驗室建設(shè)、對外交流的擴大和海量信息頻繁發(fā)布的需要，大多數(shù)實驗中心都建立了完善的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并不斷在加快網(wǎng)絡(luò)信息系統(tǒng)建設(shè)，構(gòu)建綜合型實驗教學(xué)信息平臺。隨著中心主頁訪問量的增加，安全問題擺在了我們面前，構(gòu)建一個高效的實驗中心主頁防篡改系統(tǒng)是保證實驗中心信息平臺安全穩(wěn)定運行的有效途徑。本文從網(wǎng)頁防篡改系統(tǒng)的設(shè)計原理入手，論述了適用于實驗中心主頁的網(wǎng)頁防篡改系統(tǒng)的關(guān)鍵實現(xiàn)技術(shù)，主要包括防篡改系統(tǒng)的典型部署方式、Web防火墻、實時阻斷模塊和BI智能分析模塊三大模塊的設(shè)計。

1 網(wǎng)頁防篡改系統(tǒng)的設(shè)計原理

1.1 網(wǎng)頁防篡改系統(tǒng)組成

網(wǎng)頁防篡改系統(tǒng)由管理控制端、監(jiān)控端和發(fā)布端組成。管理控制端可安裝在任何一臺服務(wù)器上，主要負(fù)責(zé)配置、管理和查看監(jiān)控端和發(fā)布端的各種信息，并下發(fā)站點安全規(guī)則到監(jiān)控端；監(jiān)控端安裝在Web服務(wù)器上，主要是對站點進(jìn)行保護備份和監(jiān)測；發(fā)布端安裝在更新服務(wù)器上，主要對站點文件進(jìn)行更新。

管理控制端主要用來配置和下發(fā)安全策略，提供管理員管理操作監(jiān)控端和發(fā)布端的Web管理界面，并通過傳輸服務(wù)模塊和通訊模塊負(fù)責(zé)和監(jiān)控端的文件傳輸、日志報警、系統(tǒng)狀態(tài)等數(shù)據(jù)。監(jiān)控端主要包含實時阻斷模塊和Web防火墻模塊。實時阻斷模塊主要對站點網(wǎng)頁文件或文件夾進(jìn)行實時保護，實現(xiàn)站點靜態(tài)區(qū)域文件的保護；Web防火墻模塊主要對網(wǎng)頁訪問進(jìn)行保護，如防止非法網(wǎng)頁請求和SQL注入攻擊等，實現(xiàn)站點動態(tài)區(qū)域文件的保護。

1.2 網(wǎng)頁防篡改系統(tǒng)部署

在部署網(wǎng)頁防篡改系統(tǒng)時，首先需要架設(shè)管理控制端，然后，在Web服務(wù)器上安裝監(jiān)控端軟件，通過在管理控制端的配置監(jiān)控端認(rèn)證信息，即可實現(xiàn)管理控制端和監(jiān)控端之間的安全連接。站點管理員通過管理控制端可以查看監(jiān)控端的運行情況及日志信息。發(fā)布端部署在更新服務(wù)器上，負(fù)責(zé)所有網(wǎng)頁內(nèi)容的更新。

由于管理控制端具有管理控制、站點備份的權(quán)力，一般在管理控制端前架設(shè)一臺應(yīng)用網(wǎng)關(guān)設(shè)備，用于站點管理員安全地連到管理控制端。根據(jù)用戶狀況、需求、提供環(huán)境的不同，網(wǎng)頁防篡改系統(tǒng)可采用六種不同的部署方式，分述如下。

(1) 簡單部署方式

如圖1所示，簡單部署方式把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端、發(fā)布端和管理控制端軟件部署在一臺Web服務(wù)器上。Web服務(wù)器既接收網(wǎng)頁發(fā)布，也對外提供Web服務(wù)。另外，如果網(wǎng)站管理員需要遠(yuǎn)程到Web服務(wù)器進(jìn)行維護和更新，可以采用VPN或FTP的方式。該部署方式比較適合那些小型的、需要租用專門機構(gòu)的Web服務(wù)器的機構(gòu)。

圖1 簡單部署方式示例

在安全考慮上，由于Web服務(wù)器對外提供Web服務(wù)，需要暴露在外網(wǎng)中。因此，Web服務(wù)所在的網(wǎng)頁目錄更容易遭到攻擊。這種部署方式能夠在一定程度上防止對網(wǎng)頁的直接篡改。但是，由于發(fā)布目錄和Web服務(wù)目錄都在Web服務(wù)器上(雖然在不同目錄下)，有可能會被黑客發(fā)現(xiàn)并加以篡改。因此，這種部署方式并不能完全發(fā)揮網(wǎng)頁防篡改系統(tǒng)的安全防護作用。一般情況下，并不建議這種部署方式。

(2) 基本部署方式

如圖2所示，基本部署方式需要兩臺服務(wù)器，把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端軟件安裝在一臺Web服務(wù)器上，發(fā)布端和管理控制端軟件安裝在另一臺服務(wù)器上，用來發(fā)布、更新站點文件的內(nèi)容。一般來說，發(fā)布服務(wù)器位于內(nèi)網(wǎng)中，處于相對安全的環(huán)境中。所有網(wǎng)頁的合法變更(包括增加、修改、刪除、重命名)都在發(fā)布端進(jìn)行，啟用監(jiān)控端的自動發(fā)布功能，發(fā)布服務(wù)器上的任何文件/目錄的變化都會自動并立即反映到Web服務(wù)器上的相應(yīng)位置。因此，這種方式具有很好的Web安全防護效果。如果網(wǎng)站管理員需要遠(yuǎn)程到Web服務(wù)器進(jìn)行維護和更新，可以采用VPN或FTP的方式。這樣，發(fā)布服務(wù)器會自動對前段站點進(jìn)行更新，同時也保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

圖2 基本部署方式示例

基本部署方式既可以實現(xiàn)具有統(tǒng)一網(wǎng)站編輯部門的組織或機構(gòu)的集中發(fā)布，也可以滿足具有多個下屬部門獨立制作，需要通過互聯(lián)網(wǎng)遠(yuǎn)程發(fā)布的組織或機構(gòu)的分布式發(fā)布要求。

(3) 擴展部署方式

如圖3所示，擴展部署方式是基本部署方式的擴展，網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端軟件分別安裝在兩臺獨立服務(wù)器上。

圖3 擴展部署方式示例

(4) 標(biāo)準(zhǔn)部署方式

由于現(xiàn)今大多數(shù)網(wǎng)站都使用了內(nèi)容管理系統(tǒng)(Content Management System)進(jìn)行網(wǎng)頁的編輯、審核、簽發(fā)和合成等工作，為了滿足這些機構(gòu)組織的需求，提供了適應(yīng)該環(huán)境的標(biāo)準(zhǔn)部署方式。如圖4所示，該部署方式把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端軟件安裝在一臺Web服務(wù)器上，發(fā)布端和管理控制端直接安裝在CMS上，把CMS發(fā)布的目錄作為發(fā)布端的發(fā)布目錄，這樣，無需更改CMS的端口，即可實現(xiàn)發(fā)布端對Web服務(wù)器文件/目錄的更新。

圖4 標(biāo)準(zhǔn)部署方式示例

(5) 多Web服務(wù)器部署方式

多Web服務(wù)器部署方式適合于大型門戶網(wǎng)站，它具有多臺獨立的Web服務(wù)器，其網(wǎng)絡(luò)地址、網(wǎng)絡(luò)內(nèi)容不同，操作系統(tǒng)也可以不同。它們可以使用同一套或不同套CMS。部署方式如圖5所示，在CMS上安裝網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端，用于更新主站點Web服務(wù)器上的內(nèi)容；在主站點的Web服務(wù)器上安裝發(fā)布端和監(jiān)控端，其中的發(fā)布端用來更新分站點上Web服務(wù)器上的內(nèi)容；在各個分站點上需要安裝網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端。

圖5 多Web服務(wù)器部署方式示例

(6) 多CMS部署方式

如圖6所示，多CMS部署方式適合大型的門戶網(wǎng)站，具有多個CMS和多個獨立、異構(gòu)的Web服務(wù)器。在各CMS上分別安裝網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端軟件，多個發(fā)布端合成并更新主站點Web服務(wù)器上的內(nèi)容；在主站點的Web服務(wù)器上安裝發(fā)布端和監(jiān)控端軟件，主站點Web服務(wù)器上的發(fā)布端用來更新分站點上Web服務(wù)器上的內(nèi)容；同樣，需要在各個分站點安裝網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端。

圖6 多CMS部署方式示例

1.3 網(wǎng)頁防篡改系統(tǒng)工作流程

用戶訪問網(wǎng)站時，首先要經(jīng)過Web防火墻的監(jiān)控，對非法請求、惡意掃描及數(shù)據(jù)庫注入攻擊等進(jìn)行攔截，只有合法的請求被傳到Web站點；然后，由Web站點進(jìn)行網(wǎng)頁文件請求，同時，實時阻斷模塊開始工作，對訪問網(wǎng)頁進(jìn)行實時規(guī)則檢查、對網(wǎng)頁的篡改及刪除等操作進(jìn)行攔截，并產(chǎn)生日志及報警；合法的請求被通過后，最終結(jié)果返回給用戶。網(wǎng)頁防篡改系統(tǒng)工作流程如圖7所示。

1.4 網(wǎng)頁防篡改系統(tǒng)三大核心模塊設(shè)計

1.4.1 Web防火墻

Web防火墻模塊主要對站點動態(tài)區(qū)域文件進(jìn)行保護，是分析和攔截非法用戶訪問請求的第一道門檻。通過Web防火墻中的SQL防注入、關(guān)鍵字過濾、IP范圍過濾、訪問時間過濾，可以防止SQL注入攻擊、惡意掃描、非法網(wǎng)頁請求等Web安全事件的發(fā)生。Web防火墻的作用如圖8所示。

圖8 Web防火墻的作用

(1) 防SQL注入攻擊

SQL的注入式攻擊主要是服務(wù)器端暴露的訪問SQL的方法和手段被客戶端所利用，進(jìn)而對SQL數(shù)據(jù)庫進(jìn)行非法操作的攻擊行為，由于數(shù)據(jù)庫本身的系統(tǒng)漏洞和網(wǎng)站編程人員的安全意識薄弱，數(shù)據(jù)庫存在注入攻擊的可能是很大的，因此，防止SQL注入攻擊成為網(wǎng)站安全的重中之重。

Web防火墻模塊中的SQL防注入功能，通過設(shè)定正則表達(dá)式的規(guī)則，可以有效的防止黑客通過注入SQL語句的方式從網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫中獲取、修改數(shù)據(jù)信息或攻擊數(shù)據(jù)庫，如攔截mdb文件上傳/下載、一般SQL注入猜測、SQL寫操作關(guān)鍵字、SQL存儲過程關(guān)鍵字、一般1=1注入測試及系統(tǒng)shell關(guān)鍵字等。

(2) 關(guān)鍵字過濾

通過設(shè)定關(guān)鍵字過濾規(guī)則，可以對站點訪問路徑、訪問文件、查詢串、提交內(nèi)容(POST)、主機域、瀏覽器(User-Agent串)、Cookie串等進(jìn)行限制。其中，設(shè)定訪問路徑過濾規(guī)則，可以過濾通過非法訪問路徑訪問網(wǎng)站的用戶非法訪問請求；設(shè)定訪問文件過濾規(guī)則，可以對用戶的非法文件上傳和下載進(jìn)行限制；設(shè)定查詢串過濾規(guī)則，可以對用戶的非法查詢行為進(jìn)行限制；設(shè)定POST過濾規(guī)則，可以對用戶提交的非法內(nèi)容進(jìn)行限制；設(shè)定主機域過濾規(guī)則，可以對用戶訪問的域名、IP地址進(jìn)行限制；設(shè)定瀏覽器過濾規(guī)則，可以對用戶訪問所使用的瀏覽器進(jìn)行限制；設(shè)定Cookie值，可以對用戶訪問記錄的保存情況進(jìn)行限制。

(3) IP范圍和訪問時間過濾

IP范圍過濾規(guī)則主要對訪問用戶的來源地址的IP范圍進(jìn)行限定，訪問時間過濾規(guī)則主要對用戶訪問站點的時間范圍進(jìn)行限定。

需要指出的是，關(guān)鍵字過濾、IP范圍和訪問時間過濾規(guī)則之間是與的關(guān)系，即當(dāng)這三個規(guī)則同時成立時，過濾規(guī)則才生效。各種規(guī)則設(shè)置界面如圖9所示。

圖9 規(guī)則設(shè)置界面示例

1.4.2 實時阻斷模塊

實時阻斷模塊內(nèi)嵌于Web服務(wù)器中，是一種主動和直接的網(wǎng)站文件保護方式，它不僅可以實現(xiàn)多個站點文件的保護，還可以實現(xiàn)單個站點中文件夾或文件夾中單個文件的保護。采用該技術(shù)，可以預(yù)先把站點或站點目錄文件保護起來，除了指定的合法進(jìn)程和端口服務(wù)之外，禁止其它任何進(jìn)程和端口訪問對保護的目錄及文件的所有更改操作，在非法進(jìn)程開始侵入系統(tǒng)之前就切斷其連接，禁止其下一步行為。實時阻斷模塊的作用如圖10所示。

圖10 實時阻斷模塊作用

1.4.3 BI智能分析模塊

BI智能分析摸塊，是一種商業(yè)智能的網(wǎng)站分析模塊，它在網(wǎng)站日志分析的基礎(chǔ)上，應(yīng)用商業(yè)智能領(lǐng)域中的數(shù)據(jù)庫、在線分析處理以及數(shù)據(jù)挖掘三大技術(shù)，對網(wǎng)站進(jìn)行數(shù)據(jù)測量、評價預(yù)測，以及綜合性的分析，是一套先進(jìn)的交互式專業(yè)日志分析軟件。

2 總結(jié)

實驗中心主頁作為實驗中心信息發(fā)布、資源共享和對外交流的平臺，是中心的窗口和門戶，面對目前越來越多的網(wǎng)絡(luò)威脅，防止中心主頁被篡改已成為保護中心網(wǎng)站安全穩(wěn)定運行必不可少的措施。本文設(shè)計了一類網(wǎng)頁防篡改系，通過對網(wǎng)頁防篡改系統(tǒng)設(shè)計原理、典型模塊設(shè)計原理及過程的分析，指出了該類系統(tǒng)實現(xiàn)的原理和關(guān)鍵技術(shù)，希望對相關(guān)系統(tǒng)設(shè)計起到借鑒作用。

[1] CNCERT/CC.2010年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[EB/OL].http://www.cert.org.cn/articles/docs/common/2011042225342.s html.心建設(shè)—以東莞理工學(xué)院為例[J].實驗室研究與探索.2011.

[2] 蓋玲.防網(wǎng)頁篡改技術(shù)比較分析[J].圖書與情報.2007.

[3] 陳寧江,杜凡遠(yuǎn).網(wǎng)頁防篡改應(yīng)用技術(shù)分析[J].現(xiàn)代機械.2009.

[4] 張建華,李濤,張楠.Web頁面防篡改及防重放機制[J].計算機應(yīng)用.2006.

[5] 楊飛.網(wǎng)頁防篡改技術(shù)[J].計算機安全.2008.

[6] 姚瀅.網(wǎng)頁防篡改系統(tǒng)的研究與設(shè)計方案[J].計算機安全.2010.