宗 興

（遼河油田勘探開發(fā)研究院,遼寧 盤錦 124010）

1 概述

隨著網(wǎng)站的迅速增長(zhǎng)，隨之而來的安全問題也日益突出，針對(duì)網(wǎng)站主要表現(xiàn)手段的網(wǎng)頁攻擊也越來越多，已經(jīng)成為危害最為嚴(yán)重的網(wǎng)絡(luò)安全問題。黑客攻擊和計(jì)算機(jī)病毒主要破壞網(wǎng)站的完整性和可用性，其通過對(duì)主頁進(jìn)行篡改以及盜取系統(tǒng)文件、修改系統(tǒng)文件，伺機(jī)影響其他用戶。

2 網(wǎng)站安全保護(hù)技術(shù)和方法

2.1 人工對(duì)比檢測(cè)。該種對(duì)比檢測(cè)的方式從本質(zhì)上講即由專門等管理人員對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控，并保護(hù)受保護(hù)網(wǎng)站的安全，一旦出現(xiàn)篡改現(xiàn)象。若出現(xiàn)網(wǎng)頁篡改現(xiàn)象，則必須對(duì)其進(jìn)行還原以及修改。其實(shí)該種方式不能夠算是網(wǎng)頁防篡技術(shù)，只能算作一種手段，用于網(wǎng)頁的防篡。但是該種方式所取得的效果還是同現(xiàn)實(shí)具有較大的差距。該種屬于最原始的方式，并且工作效率較低。首先不提成本問題，單單從人力監(jiān)控方面講，該種方式無法及時(shí)的對(duì)網(wǎng)頁篡改現(xiàn)象予以制止、了解，也無法第一時(shí)間對(duì)篡改網(wǎng)頁進(jìn)行修改。若網(wǎng)頁被篡改后管理員發(fā)現(xiàn)該問題時(shí)，很多訪客已經(jīng)訪問了該頁面。

2.2 時(shí)間輪詢。該項(xiàng)技術(shù)又被叫做外掛輪詢，原始的網(wǎng)頁篡改預(yù)防檢測(cè)主要依賴于人力檢測(cè)，但是該項(xiàng)技術(shù)打破了這一常規(guī)的檢測(cè)手段，而以一種新的自動(dòng)化的形式對(duì)網(wǎng)頁防篡技術(shù)予以革新。

該項(xiàng)技術(shù)的原理是通過網(wǎng)頁檢測(cè)程序，對(duì)被監(jiān)控網(wǎng)頁進(jìn)行輪詢讀取，網(wǎng)頁的內(nèi)容是否完整則是通過輪詢結(jié)果同實(shí)際網(wǎng)頁情況進(jìn)行對(duì)比得出，從而達(dá)到網(wǎng)頁的防篡預(yù)警以及網(wǎng)頁恢復(fù)的目的。不過該技術(shù)在對(duì)網(wǎng)頁進(jìn)行監(jiān)控的過程中，會(huì)在每個(gè)網(wǎng)頁的檢驗(yàn)上存在一個(gè)時(shí)間間隔，即掃面間隔。一般這一間隔時(shí)間能夠達(dá)到數(shù)十分鐘，而在這一間隔中，黑客仍舊有機(jī)會(huì)繼續(xù)攻擊系統(tǒng)，并令被篡改網(wǎng)頁受到訪問。該技術(shù)的應(yīng)用較為適合一些訪問以及應(yīng)用較少的網(wǎng)頁防篡中，即過去訪問量少，并且網(wǎng)頁應(yīng)用也不多。并且隨著網(wǎng)頁制作復(fù)雜程度的提升，通過該技術(shù)對(duì)網(wǎng)頁進(jìn)行檢測(cè)掃描會(huì)耗費(fèi)更長(zhǎng)的時(shí)間，且系統(tǒng)資源利用較多，因此該項(xiàng)技術(shù)在逐步的被新技術(shù)所取代。

2.3 核心內(nèi)遷嵌。平常所說的密碼水印技術(shù)即核心內(nèi)嵌，該項(xiàng)技術(shù)首先會(huì)將網(wǎng)頁的內(nèi)容進(jìn)行加密，且加密的方式具有非對(duì)稱性，當(dāng)對(duì)該內(nèi)容進(jìn)行訪問時(shí)則需要通過加密驗(yàn)證，驗(yàn)證通過后對(duì)內(nèi)容再次進(jìn)行解密，繼而發(fā)布。若驗(yàn)證未通過，則發(fā)布被拒絕，對(duì)備用網(wǎng)站文件進(jìn)行調(diào)用，經(jīng)過解密后予以發(fā)布。事件觸發(fā)機(jī)制是該項(xiàng)技術(shù)需要用到的，只有經(jīng)過觸發(fā)，對(duì)文件屬性進(jìn)行對(duì)比后才能予以訪問，例如對(duì)大小的對(duì)比以及頁面生成時(shí)間的對(duì)比等。同外掛輪詢技術(shù)相比其安全性得到了有效的提高，但是仍舊存在不足之處，即服務(wù)資源會(huì)被加密計(jì)算占用很多，系統(tǒng)的反映速度會(huì)受到影響。

該項(xiàng)技術(shù)對(duì)輪詢間隔這一事件輪詢技術(shù)無法避免的缺陷予以有效的規(guī)避，但是該技術(shù)會(huì)對(duì)所有的網(wǎng)頁在流出時(shí)進(jìn)行完整檢查，因此會(huì)令系統(tǒng)資源被大量的占用，加大了服務(wù)器負(fù)載。另外也更改了網(wǎng)頁的發(fā)布正常流程，需要重新構(gòu)架網(wǎng)頁，并利用新服務(wù)器在網(wǎng)頁發(fā)布中發(fā)揮作用。

2.4 文件的過濾驅(qū)動(dòng)。該種技術(shù)的初始應(yīng)用階段主要在軍方以及一些高度機(jī)密系統(tǒng)中被應(yīng)用，主要作用是審計(jì)以及對(duì)文件的保護(hù)，后來被一些好事者用于流氓軟件中，可以說該項(xiàng)技術(shù)的應(yīng)用優(yōu)劣各有一半。后來在網(wǎng)頁篡改的預(yù)防中該項(xiàng)技術(shù)得到了發(fā)展和應(yīng)用，并發(fā)揮其重要的作用。在網(wǎng)頁的篡改預(yù)防中，該項(xiàng)技術(shù)的安全性、高效性以及便捷性得到了一致的認(rèn)可。

3 防篡改安全防護(hù)功能

3.1 網(wǎng)頁文件的安全保護(hù)。網(wǎng)頁的文件可以通過文件保護(hù)這項(xiàng)功能實(shí)現(xiàn)動(dòng)態(tài)的實(shí)時(shí)的保護(hù)，若訪問為非法的未授權(quán)訪問則會(huì)進(jìn)行攔截，以此避免受保護(hù)的文件受到非法用戶的惡意刪除以及篡改，保證網(wǎng)頁文件保持完整。這項(xiàng)保護(hù)功能的實(shí)現(xiàn)，需要由網(wǎng)站維護(hù)人員以及相關(guān)管理人員事先進(jìn)行設(shè)置，通過保護(hù)策略對(duì)某一目錄進(jìn)行保護(hù)屬性的設(shè)定，從而使得網(wǎng)站該目錄下的文件受到保護(hù)，不經(jīng)過特殊的授權(quán)對(duì)其無權(quán)進(jìn)行刪改。并且若增加、刪改操作屬于未授權(quán)操作，這里包括修改文件的命名以及屬性、移動(dòng)文件等操作，系統(tǒng)會(huì)自動(dòng)發(fā)出警報(bào)。

3.2 網(wǎng)絡(luò)攻擊防護(hù)。黑客還可以利用多種工具對(duì)網(wǎng)站進(jìn)行攻擊，這些攻擊包括：（1）利用網(wǎng)站應(yīng)用漏洞使用SQL注入或跨站攻擊等方式，獲得系統(tǒng)或數(shù)據(jù)庫(kù)管理員權(quán)限，從而達(dá)到網(wǎng)頁篡改或破壞網(wǎng)頁的目的；（2）XSS攻擊，即跨站腳本攻擊。惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的；（3）利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞系統(tǒng)利用系統(tǒng)漏洞；（4）使用緩沖區(qū)溢出方式獲得管理員權(quán)限，從而任意修改網(wǎng)站內(nèi)容，竊取信息；（5）利用DoS、DDoS等方式，造成服務(wù)癱瘓。所以需要對(duì)網(wǎng)站進(jìn)行攻擊防護(hù)，防護(hù)的手段有多種，比如防火墻、IPS、防病毒軟件等。

3.3 雙擊熱備。網(wǎng)站系統(tǒng)采用雙機(jī)進(jìn)行熱備，從而提高系統(tǒng)的穩(wěn)定性和可靠性。兩臺(tái)為主機(jī)和從機(jī)，在主機(jī)工作的同時(shí)，從機(jī)處于實(shí)時(shí)監(jiān)控主機(jī)的工作狀態(tài)，當(dāng)主機(jī)因不可抗力而工作異常時(shí)，從機(jī)能夠及時(shí)發(fā)現(xiàn)問題并立即接替主機(jī)的工作，并發(fā)出報(bào)警通知網(wǎng)絡(luò)管理員。

同時(shí)，用戶可以通過的備份服務(wù)器，在不停止備份功能的前提下，自動(dòng)更新網(wǎng)頁，備份服務(wù)器與網(wǎng)頁內(nèi)容發(fā)布系統(tǒng)無縫集成，內(nèi)容發(fā)布系統(tǒng)可以將內(nèi)容直接發(fā)布到備份服務(wù)器，備份服務(wù)器會(huì)自動(dòng)將這些內(nèi)容更新到Web服務(wù)器上。

3.4 屏蔽內(nèi)容。若在內(nèi)容頁或者主頁關(guān)鍵詞上出現(xiàn)敏感性內(nèi)容時(shí)，系統(tǒng)就會(huì)對(duì)該網(wǎng)頁實(shí)行屏蔽處理，那么對(duì)于該特殊內(nèi)容頁用戶是無法進(jìn)行正常的訪問的，從而保證受到影響的網(wǎng)頁不會(huì)被訪問。

結(jié)語

文章主要針對(duì)網(wǎng)站篡改的防護(hù)以及相關(guān)篡改技術(shù)予以討論，通過對(duì)篡改方式以及防止措施的介紹，對(duì)網(wǎng)站安全性的提高提出了相關(guān)意見，以期能夠?yàn)榫W(wǎng)站運(yùn)行的安全穩(wěn)定提供助力。

[1]張領(lǐng)，劉勝珍，楊曉華.校園網(wǎng)頁被篡改的研究與防范[J].電腦知識(shí)與技術(shù)，2008（34）.

[2]楊勇.一種動(dòng)態(tài)網(wǎng)頁保護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].辦公自動(dòng)化，2011（08）.

[3]趙莉，梁靜.網(wǎng)頁防篡改中分布式文件同步復(fù)制系統(tǒng)[J].電子設(shè)計(jì)工程，2012（23）.