呂美敬 周濤 楊翠翠

摘 要：隨著互聯(lián)網(wǎng)、云計(jì)算以及大數(shù)據(jù)技術(shù)的快速發(fā)展，越來越多的個(gè)人信息發(fā)布在各種網(wǎng)絡(luò)平臺(tái)和網(wǎng)站系統(tǒng)中。近年來，海外黑客聯(lián)盟攻擊國內(nèi)網(wǎng)站活動(dòng)日益頻繁且無規(guī)律，高校和政府的網(wǎng)站相繼被黑客攻擊，網(wǎng)站頁面遭到篡改，造成不良的社會(huì)影響。高校網(wǎng)站的仿冒網(wǎng)站逐年增長，不僅給家長及考生帶來經(jīng)濟(jì)損失，也影響了高校的社會(huì)聲譽(yù)。對(duì)于高校信息化工作者而言，如何保證網(wǎng)站頁面正常運(yùn)行，防止不法黑客惡意篡改網(wǎng)站頁面，及時(shí)恢復(fù)被篡改網(wǎng)頁頁面和內(nèi)容是高校信息化建設(shè)工作中的重要任務(wù)。論文闡述了高校網(wǎng)站信息安全現(xiàn)狀，對(duì)高校網(wǎng)站被篡改的問題進(jìn)行分析，對(duì)目前流行的網(wǎng)頁防篡改系統(tǒng)技術(shù)進(jìn)行對(duì)比分析，并對(duì)網(wǎng)頁防篡改系統(tǒng)的部署進(jìn)行簡單介紹。

關(guān)鍵詞：高校網(wǎng)站；網(wǎng)絡(luò)安全；網(wǎng)頁防篡改

中圖分類號(hào)：TP309.0 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With the development of Internet， cloud computing and large data technology， more and more personal information is concentrated in various network platform systems. In recent years， overseas hacker alliances have attacked domestic websites more and more frequently and irregularly. The websites of universities and governments have been attacked by hackers one after another and the pages of websites have been tampered has bad impact to society. The number of counterfeit websites in colleges and universities increase year by year， it brings economic losses not only to parents but also candidates. For university information workers， how to ensure the normal operation of website pages and prevent illegal hackers from maliciously tampering with website pages， timely recovery of tampered pages and content is an important task in the construction of university informationization.This paper expounds the current situation of information security of University websites， analyzes the tampering problems of University websites， compares and analyzes the popular technology of Web tamper-proof system， and briefly introduces the deployment of Web tamper-proof system.

Key words： university website；network security； web page tamper proofing

1 引言

隨著互聯(lián)網(wǎng)、云計(jì)算以及大數(shù)據(jù)技術(shù)的快速發(fā)展，越來越多的個(gè)人信息發(fā)布在各種網(wǎng)絡(luò)平臺(tái)和網(wǎng)站系統(tǒng)中。近年來，海外黑客聯(lián)盟攻擊國內(nèi)網(wǎng)站活動(dòng)日益頻繁且無規(guī)律，高校和政府的網(wǎng)站相繼被黑客攻擊，網(wǎng)站頁面遭到篡改，造成不良的社會(huì)影響。根據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的統(tǒng)計(jì)數(shù)據(jù)，2017年我國境內(nèi)被篡改的網(wǎng)站數(shù)量為20111個(gè)（去重后），較2016年的16758個(gè)增長20.0%，其中2016年和2017年教育機(jī)構(gòu)類（.edu）網(wǎng)站占比均為0.1%，我國教育機(jī)構(gòu)類網(wǎng)站被篡改比例未變，但是數(shù)量有所增加。高校網(wǎng)站的仿冒網(wǎng)站逐年增長，不僅給家長及考生帶來經(jīng)濟(jì)損失，也影響了高校的社會(huì)聲譽(yù)。對(duì)于高校信息化工作者而言，如何保證網(wǎng)站頁面正常運(yùn)行，防止不法黑客惡意篡改網(wǎng)站頁面，及時(shí)恢復(fù)被篡改網(wǎng)頁頁面和內(nèi)容是高校信息化建設(shè)工作中的重要任務(wù)。

2 高校網(wǎng)站被篡改問題分析

為防止黑客惡性軟件或非法授權(quán)的入侵與攻擊，大部分高校采取了相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施，但攻擊者依然通過SQL注入等Web應(yīng)用程序漏洞篡改Web系統(tǒng)數(shù)據(jù)，通過構(gòu)造特殊的網(wǎng)站頁面或鏈接引誘用戶點(diǎn)擊瀏覽，以達(dá)到竊取用戶個(gè)人數(shù)據(jù)的目的。

來自中國反釣魚網(wǎng)站聯(lián)盟的統(tǒng)計(jì)數(shù)據(jù)顯示，根據(jù)往年教育類釣魚網(wǎng)站特點(diǎn)來看，經(jīng)常出現(xiàn)填報(bào)高考志愿、海外留學(xué)等釣魚網(wǎng)站，非法分子主要通過三種手段進(jìn)行詐騙。

一是發(fā)布以普通高校網(wǎng)站、在線填報(bào)志愿系統(tǒng)等為仿冒對(duì)象的釣魚網(wǎng)站，散播虛假的招生信息來獲取學(xué)生的個(gè)人信息，并將這些個(gè)人信息轉(zhuǎn)賣以獲取個(gè)人利益。

二是制作“冒牌高?！本W(wǎng)站，發(fā)布根本不存在的假的高校門戶網(wǎng)站，發(fā)布招生信息，引誘分?jǐn)?shù)較低、迫切找學(xué)校上的學(xué)生，騙取學(xué)生及家長錢財(cái)。

三是制作以專業(yè)取向測(cè)試或者志愿填報(bào)針對(duì)性測(cè)試等騙取敏感信息為目的的軟件程序，誘導(dǎo)學(xué)生點(diǎn)擊含有木馬或者病毒的網(wǎng)站，盜取學(xué)生個(gè)人信息。

高校門戶網(wǎng)站承擔(dān)著高等學(xué)校教育的重要責(zé)任并且包含重要的信息數(shù)據(jù)。很多高校的工作動(dòng)態(tài)、政策文件、審批事項(xiàng)、財(cái)政預(yù)決算、“三公”經(jīng)費(fèi)等信息均通過門戶網(wǎng)站發(fā)布。學(xué)籍管理系統(tǒng)、網(wǎng)上學(xué)生成績查詢、一卡通系統(tǒng)等包含重要的師生信息，一旦數(shù)據(jù)泄露，將對(duì)學(xué)校的聲譽(yù)帶來負(fù)面影響。

由于絕大部分高校缺乏對(duì)釣魚仿冒網(wǎng)站的主動(dòng)發(fā)現(xiàn)能力，并且即使發(fā)現(xiàn)了也不能及時(shí)反饋給監(jiān)管機(jī)構(gòu)，對(duì)釣魚仿冒網(wǎng)站進(jìn)行關(guān)停處置，造成教育類釣魚網(wǎng)站數(shù)量飛速增長，成為主要的安全威脅。

高校網(wǎng)站安全形勢(shì)堪憂，究其原因，主要存在五個(gè)方面的原因。

第一方面，大部分高校網(wǎng)站設(shè)計(jì)更多的考慮是滿足用戶業(yè)務(wù)的實(shí)現(xiàn)，軟件開發(fā)商和高校網(wǎng)站的系統(tǒng)運(yùn)維人員對(duì)網(wǎng)站攻擊技術(shù)不了解，日常的使用過程中不會(huì)發(fā)現(xiàn)可能存在的安全漏洞。黑客攻擊者一般可以較好地利用這些漏洞，為自己謀取利益。

第二方面，有些攻擊者通過篡改高校門戶網(wǎng)站頁面來傳播一些非法信息，但實(shí)際上，頁面在被篡改之前，黑客已經(jīng)利用漏洞獲得了相應(yīng)的Web控制權(quán)限，網(wǎng)站雖然還能繼續(xù)提供正常的服務(wù)，但實(shí)際上系統(tǒng)的訪問者正遭受著持續(xù)的危害。

第三方面，大部分高校網(wǎng)站或系統(tǒng)都有相應(yīng)的網(wǎng)絡(luò)安全防護(hù)措施，采用額訪問控制、WAF防火墻、入侵防御設(shè)備等各類安全設(shè)備抵制黑客攻擊，對(duì)于黑客在應(yīng)用層的攻擊效果不佳，沒有做到真正的防御。

第四方面，大部分高校網(wǎng)站或系統(tǒng)設(shè)計(jì)者或開發(fā)者對(duì)安全代碼設(shè)計(jì)方面的知識(shí)欠缺，系統(tǒng)安全出現(xiàn)問題和漏洞時(shí)，只能停留在頁面進(jìn)行恢復(fù)，很難針對(duì)網(wǎng)站或系統(tǒng)具體的漏洞原理對(duì)源代碼進(jìn)行改造，發(fā)現(xiàn)問題也不能及時(shí)徹底地解決。

第五方面，由于高校人員編制有限、資金投入不足、技術(shù)能力欠缺，運(yùn)維管理人員安全意識(shí)相對(duì)薄弱，有的網(wǎng)站或信息系統(tǒng)甚至一直保持著初始用戶名和密碼，利用弱口令登錄，或者將師生個(gè)人信息等敏感數(shù)據(jù)直接上傳到網(wǎng)上，這給各單位信息安全保障體系的運(yùn)行造成了一定的負(fù)面影響。

3 網(wǎng)頁防篡改手段及技術(shù)分析

按照攻擊手段，網(wǎng)頁篡改可以分成顯式篡改和隱式篡改兩種。通過顯式網(wǎng)頁篡改，黑客可在政府或者高校的門戶網(wǎng)站上掛標(biāo)語或?qū)⒕W(wǎng)頁“變臉”，利用被篡改頁面?zhèn)鞑ニ俣瓤?、事后消除影響難的特點(diǎn)來炫耀自己的技術(shù)技巧，或達(dá)到聲明自己主張的目的；隱式篡改一般是在被攻擊網(wǎng)站的網(wǎng)頁中植入被鏈接到色情、詐騙等非法信息的暗鏈中，引誘網(wǎng)站瀏覽者點(diǎn)擊進(jìn)入，泄露個(gè)人信息，以助黑客謀取非法經(jīng)濟(jì)利益。黑客為了篡改網(wǎng)頁，一般需提前知曉網(wǎng)站的漏洞，并在網(wǎng)頁中植入后門，最終獲取網(wǎng)站的控制權(quán)。

網(wǎng)頁防篡改系統(tǒng)在市場環(huán)境的催化下應(yīng)運(yùn)而生。經(jīng)過多年的發(fā)展，網(wǎng)頁防篡改系統(tǒng)采用的技術(shù)在不斷的發(fā)展和更新，到目前為止，網(wǎng)頁防篡改技術(shù)已經(jīng)發(fā)展到了第三代。

3.1 人工對(duì)比檢測(cè)

人工對(duì)比檢測(cè)是最原始的網(wǎng)頁防篡改階段，通過指派一名網(wǎng)絡(luò)管理人員，人工監(jiān)測(cè)網(wǎng)站，一旦發(fā)現(xiàn)網(wǎng)頁被篡改，通過人力的方式對(duì)其修改復(fù)原的手段。

3.2 時(shí)間輪詢技術(shù)

從時(shí)間輪詢技術(shù)這一代開始，人們擺脫了用手動(dòng)的方式監(jiān)測(cè)網(wǎng)頁，開始用自動(dòng)化的方式，通過一個(gè)網(wǎng)頁讀取和檢測(cè)程序，以輪詢的方式讀出要監(jiān)控的網(wǎng)頁頁面，與實(shí)際的網(wǎng)頁頁面做對(duì)比，來判斷網(wǎng)頁內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁進(jìn)行報(bào)警和恢復(fù)。

3.3 核心內(nèi)嵌技術(shù)&事件觸發(fā)技術(shù)

將篡改檢測(cè)模塊內(nèi)嵌在Web服務(wù)器軟件里，它的每一個(gè)網(wǎng)頁流出時(shí)都進(jìn)行完整性檢查，對(duì)于篡改網(wǎng)頁進(jìn)行實(shí)時(shí)訪問阻斷，并予以報(bào)警和恢復(fù)。

3.4 文件過濾驅(qū)動(dòng)+事件觸發(fā)技術(shù)

利用操作系統(tǒng)的文件系統(tǒng)或者驅(qū)動(dòng)程度接口，在網(wǎng)頁文件的被修改時(shí)進(jìn)行合法性檢查，對(duì)于非法操作進(jìn)行報(bào)警和恢復(fù)。

4 網(wǎng)頁防篡改系統(tǒng)

網(wǎng)頁防篡改系統(tǒng)是為了保護(hù)網(wǎng)站，防止被惡意篡改的內(nèi)容發(fā)布到網(wǎng)站上，并能夠自動(dòng)恢復(fù)已篡改的網(wǎng)頁頁面。為保護(hù)高校網(wǎng)站不被黑客非法篡改，我們采用第三代網(wǎng)頁防篡改技術(shù)的網(wǎng)頁防篡改系統(tǒng)即采用即事件觸發(fā)和文件驅(qū)動(dòng)級(jí)保護(hù)相結(jié)合，第三代網(wǎng)頁防篡改技術(shù)的原理是：將篡改監(jiān)測(cè)的核心程序通過微軟文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到Web服務(wù)器軟件（IIS/Apache/Weblogic/Websphere/….）中，通過事件觸發(fā)的方式進(jìn)行自動(dòng)監(jiān)測(cè)，對(duì)文件夾的所有內(nèi)容，對(duì)照其底層文件屬性，通過基于規(guī)則的快速比較算法，實(shí)時(shí)進(jìn)行監(jiān)控，若發(fā)現(xiàn)屬性變更，通過非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測(cè)文件夾相應(yīng)文件位置，通過底層文件驅(qū)動(dòng)技術(shù)，整個(gè)文件復(fù)制過程毫秒級(jí)，使得公眾無法看到被篡改頁面，其運(yùn)行性能和檢測(cè)實(shí)時(shí)性都達(dá)到最高的水準(zhǔn)。為高效網(wǎng)頁的內(nèi)容掃描、發(fā)布和恢復(fù)，防篡改系統(tǒng)采用頁面同步發(fā)布服務(wù)器，發(fā)布服務(wù)器采用先進(jìn)的基于DFA的匹配算法檢查本身文件系統(tǒng)的變化，自動(dòng)將其同步到已安裝網(wǎng)頁防篡改系統(tǒng)得到網(wǎng)站服務(wù)器上。

網(wǎng)頁防篡改系統(tǒng)部署分為控制中心和客戶端?？蛻舳朔譃楸环雷o(hù)網(wǎng)站服務(wù)器和發(fā)布服務(wù)器。部署網(wǎng)頁防篡改系統(tǒng)之后，對(duì)于網(wǎng)站目錄的更新操作需要在新創(chuàng)建的發(fā)布服務(wù)器上進(jìn)行文件的增加、刪除、修改操作。用戶可以登錄到發(fā)布服務(wù)器和網(wǎng)站服務(wù)器。如需更新文件，選擇發(fā)布服務(wù)器上對(duì)應(yīng)的網(wǎng)站目錄。在發(fā)布服務(wù)器的網(wǎng)站目錄里進(jìn)行增加、刪除、修改等操作，操作完成后，數(shù)據(jù)會(huì)定時(shí)自動(dòng)同步到被防護(hù)的網(wǎng)站目錄上。完成網(wǎng)站目錄更新后，可以登錄到被防護(hù)的網(wǎng)站服務(wù)器進(jìn)行查看。

5 結(jié)束語

本文闡述了高校網(wǎng)站信息安全現(xiàn)狀，對(duì)高校網(wǎng)站被篡改的問題進(jìn)行分析，對(duì)目前流行的網(wǎng)頁防篡改系統(tǒng)技術(shù)進(jìn)行對(duì)比分析，并對(duì)網(wǎng)頁防篡改系統(tǒng)的部署進(jìn)行簡單介紹。高校網(wǎng)站安全形勢(shì)依舊非常嚴(yán)峻，對(duì)于高校信息化工作者而言，防止黑客非法篡改網(wǎng)站頁面，及時(shí)恢復(fù)被篡改的網(wǎng)站頁面和內(nèi)容，保障高校的聲譽(yù)，依舊是高校信息化建設(shè)任務(wù)的重中之重。

參考文獻(xiàn)

[1] 丁勝.網(wǎng)站安全防篡改系統(tǒng)的研究與實(shí)現(xiàn)[D].上海交通大學(xué)， 2009.

[2] 國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.網(wǎng)絡(luò)安全報(bào)告[Z]. 2016.

[3] Zetao Jiang，Hongwu Zhang. A web application tamper proof method based on text and image watermarking[P]. Computing and Networking Technology （ICCNT）， 2012 8th International Conference on， 2012.

[4] 郭波濤.淺談一種網(wǎng)頁防篡改技術(shù)在校園網(wǎng)中的實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)， 2017.

[5] 李學(xué)龍，郝文英.基于IT治理的高校校園安全網(wǎng)絡(luò)框架設(shè)計(jì)研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（02）：103-104.

[6] 于莉潔，王松盛，唐麗華，胡瑩.高校信息化建設(shè)中的信息安全問題研究[J].信息安全與技術(shù)，2016，7（03）：8-11.