网页防篡改系统

网页防篡改系统 HUISIN 网页防篡改系统技术白皮书 第1章 技术背景................................................................................................................. 3 1.1 什么是 网页防篡改系统 .......................................................................................... 3 1.1.1 网站篡改原因 ................................................................................................. 3 1.1.2 网络安全设备 ................................................................................................. 4 1.1.3 专业网页防篡改系统 ..................................................................................... 4 第2章 技术原理 ..................................................................................................................... 5 2.1 PKI公开密钥体系 ..................................................................................................... 5 2.1.1 PKI ................................................................................................................... 5 2.1.2 防篡改 ............................................................................................................. 5 2.1.3 防窃听 ............................................................................................................. 5 2.1.4 身份鉴别 ......................................................................................................... 5 2.2 Web系统核心内嵌技术 ............................................................................................. 6 2.2.1 核心内嵌模块的位置 ..................................................................................... 6 2.2.2 应用防护模块 ................................................................................................. 7 2.2.3 篡改检测技术 ................................................................................................. 8 第3章 产品规格 ..................................................................................................................... 9 3.1 产品组成 .................................................................................................................... 9 3.1.1 两台服务器 ..................................................................................................... 9 3.1.2 发布服务器 ..................................................................................................... 9 3.1.3 Web服务器.................................................................................................... 10 3.2 平台支持 .................................................................................................................. 10 3.2.1 发布服务器端 ............................................................................................... 10 3.2.2 Web服务器端................................................................................................ 10 3.3 产品型号 .................................................................................................................. 11 第4章 产品部署 ................................................................................................................... 12 4.1 标准部署 .................................................................................................................. 12 4.1.1 内容管理系统 ............................................................................................... 12 第 1 页 共 24 页 4.1.2 部署示例 ....................................................................................................... 12 4.1.3 无内容管理系统 ........................................................................................... 14 4.1.4 更复杂的部署情形 ....................................................................................... 14 4.2 冗余部署 .................................................................................................................. 14 4.2.1 概况 ............................................................................................................... 14 4.2.2 Web服务器集群 ............................................................................................ 16 4.2.3 发布服务器双机 ........................................................................................... 16 技术实现 ................................................................................................................... 18 第5章 5.1 内部结构 .................................................................................................................. 18 18 5.1.1 逻辑组成 .......................................................................................................5.2 核心技术 .................................................................................................................. 19 5.2.1 实现原理 ....................................................................................................... 19 5.2.2 核心优势 ....................................................................................................... 19 5.2.3 关键流程 ....................................................................................................... 21 5.3 双引擎防护 .............................................................................................................. 22 5.4 安全技术 .................................................................................................................. 22 5.4.1 安全传输 ....................................................................................................... 22 5.4.2 身份鉴别 ....................................................................................................... 23 5.4.3 自动同步 ....................................................................................................... 23 5.4.4 部署方便 ....................................................................................................... 23 5.4.5 硬件支持 ....................................................................................................... 23 第6章 功能和性能 ............................................................................................................... 24 6.1 功能列 .................................................................................................................. 24 6.1.1 篡改检测和恢复 ........................................................................................... 24 6.1.2 自动发布和恢复 ........................................................................................... 24 第 2 页 共 24 页 第1章 技术背景 1.1 什么是 网页防篡改系统 HUISIN网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。 HUISIN网页防篡改系统采用先进的Web服务器核心内嵌技术，将篡改检测模块和数据库防护模块内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问。 HUISIN网页防篡改系统的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比;一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，HUISIN网页防篡改系统的数据库防护模块也对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。 HUISIN网页防篡改系统，全面保护网站的静态网页和动态网页，其安全性从根本上大大优于同类产品。HUISIN网页防篡改系统支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。 HUISIN网页防篡改系统支持所有主流的操作系统，包括:Windows、Linux/FreeBSD、Unix(Solaris、HP-UX、AIX);支持常用的Web系统，包括:IIS、Apache、SunONE、Weblogic、WebSphere等;保护所有常用的数据库系统，包括:SQL Server、Oracle、MySQL、Access等。 1.1.1 网站篡改原因 网站的网页之所以存在被篡改的可能性，有客观和主观两方面的原因。 就客观而言，因为存在以下原因，现有技术架构下网站漏洞将长期存在: , 操作系统复杂性:已公布超过1万多个系统漏洞。 , 漏洞与补丁:系统漏洞从发现到被利用为5天，补丁的发布时间为47天。 , 应用系统漏洞:各种注入式攻击，多个应用系统不同的开发者。 就主观而言，过于苛刻的安全管理要求，通常网络管理员难以完全实现: 第 3 页 共 24 页 , 密码管理:合格密码需要8位以上复杂字符并定期改变。 , 漏洞补丁:操作系统、中间件、应用系统的定期更新。 , 上网控制:钓鱼、木马、间谍软件。 1.1.2 网络安全设备 大部分网站系统都使用了防火墙和入侵检测系统等网络安全设备来保护自身的安全。 防火墙是一种成熟和应用广泛的网络安全设备，但是，Web服务器通常是部署在防火墙的DMZ区域，防火墙完全向外部网络开放Web应用端口，这种方式对与Web应用没有任何的保护作用。即使使用http代理型的防火墙，防火墙也只是验证http协议本身的合法性，完全不能理解http协议所承载的数据，也无从判断对http服务器的访问行为是否合法。 入侵检测技术同样工作在网络层上，对应用协议的理解和作用存在相当的局限性，对于复杂的http会话和协议更是不能完整处理。由于需要预先构造攻击特征库来匹配网络数据，入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击。 一个最简单的例子就是在请求中包含SQL注入代码，或者提交可以完成获取他人用户认证信息的跨站脚本，这些数据不管是在传统防火墙所处理的网络层和传输层，还是在代理型防火墙所处理的协议会话层，或者是常规的入侵检测系统和增强的入侵防护系统，都会认为是合法的，无法被阻挡或检出。 1.1.3 专业网页防篡改系统 由前面的描述可以看出，所有的Web网站和Web应用系统除了使用一般的网络安全设备外，需要有效的网页防篡改系统来专门对页面内容进行保护，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。 在所有网站中，高权威性、高更新率和高访问量的网站更经常性地受到黑客关注和攻击。据国家计算机网络应急技术处理协调中心统计，2005年在被篡改的网站中，有22%是政府网站，明显大于我国.cn域名下的政府网站所占的2.2%比例。 因此，为巩固各类网站和Web应用的安全，特别是保证我国电子政务网站和电子商务网站内容的完整性及尊严，有必要使用专业的网页防篡改系统。 第 4 页 共 24 页 第2章 技术原理 2.1 PKI公开密钥体系 2.1.1 PKI PKI(Public Key Infrastructure)即“公开密钥体系”，是一种基于公开密钥密码技术的安全通信和服务体系，它能够为所有网络应用提供包括机密性、数据完整性、数据源认证、数字签名等多种安全服务，是网络安全应用的基础。 HUISIN网页防篡改系统的整体安全性建立在以PKI为核心的密码学体系上。 2.1.2 防篡改 HUISIN网页防篡改系统对所有的原始网页元素(包括静态页面、动态脚本、图像文件、多媒体文件以及所有能以URL形式访问的实体)在发布时进行128位密钥的HMAC-MD5(RFC2104)计算，生成唯一的、不可逆转和不可伪造的数字水印。 浏览者请求访问任一网页元素时，HUISIN网页防篡改系统 的篡改检测模块(作为Web系统的一部分)读出网页元素的内容重新计算数字水印，并与之前存储的数字水印进行比对，网页元素的任何篡改都能够被可靠地计算出来。 2.1.3 防窃听 HUISIN网页防篡改系统任何通信实体(包括发布服务器和Web服务器、控制台和发布服务器)之间采用工业标准的SSL3.0/TLS1.0安全通讯协议(RFC2246)，确保网页元素文件和(特别是)数字水印数据流在通信过程中不被黑客窃取和分析。 此外，HMAC的128位密钥以加密形式存在于操作系统的安全存储区内。 2.1.4 身份鉴别 HUISIN网页防篡改系统通信实体间进行强身份鉴别。首先，Web服务器要确保上传文件的发布服务器的身份真实性，不能接受伪造的发布服务器上传的文件;其次，发布服务器要确保是在与Web服务器通信，确保发送的文件能够到Web服务器上。因此，双方彼此都进了身份鉴别。亦即:发布服务器采用客户端数字证书与Web服务器通讯，同时也验证Web服务器数字证书的真实性。 第 5 页 共 24 页 2.2 Web系统核心内嵌技术 2.2.1 核心内嵌模块的位置 一个标准的Web服务器的体系结构如图表2-1所示: (IIS/Apache/Weblogic/Websphere/Resin/Tomcat) Web系统 操作系统(Windows/Linux/FreeBSD/Solaris/AIX/HP-UX) 硬件平台(X86/sparc/ItaniumII/PowerPC/PA-RISC) 图表 2-1 Web服务器的体系结构 Web系统核心内嵌技术(以下简称核心内嵌技术)是指将安全模块内嵌在Web系统软件(IIS/Apache/Weblogic/Websphere/…)中，这个模块针对不同的Web系统使用相应的核心内嵌技术实现，例如:ISAPI、Apache-module、NSAPI、JAVA-filter等，如图表2-2所示。 核心内嵌模块 Web系统 (ISAPI/Apache-module/NSAPI/JAVA-filter) 操作系统(Windows/Linux/FreeBSD/Solaris/AIX/HP-UX) 硬件平台(X86/sparc/ItaniumII/PowerPC/PA-RISC) 图表 2-2 Web系统核心内嵌模块的位置 安全模块内嵌于Web系统即与Web系统完全整合，其优点在于: , 不存在独立的安全模块运行进程，入侵者无法找到和中止安全模块的运行。 , 精准理解和分析Web服务传入和传出的数据，进行充分可靠的安全检查。 , 完全与Web服务的运行进程融合，处理效率高，稳定性和兼容性强。 , 与操作系统及硬件无关，全面控制Web系统软件和服务。 HUISIN网页防篡改系统的核心内嵌模块包含了应用防护模块(防注入攻击)和篡改检测模块(数字水印)两项技术，分别针对动态网页和静态网页进行保护。 第 6 页 共 24 页 2.2.2 应用防护模块 应用防护模块对来自于客户的Web访问请求进行分析，检查其中的表单输入和URL输 -3所示。 入中是否含有非法字符/关键字构成注入式攻击，如图表2 核心内嵌模块 Web系统 request 应用防护模块 特征库 图表 2-3 应用防护模块 检查点为: , 用户提交的http请求(request)到达Web服务器，尚未进行其他处理时。 检查对象为: , GET数据(URL和表单)。 , POST数据(表单)。 检查方式为: , 与注入式攻击特征库比对检查。 小知识:什么是注入式攻击, 注入式攻击的全称是“SQL注入式攻击”，它是指攻击者利用网站动态网页程序上的漏洞，在目标的Web服务器上运行SQL命令以及进行其他方式的攻击，攻击的目的包括:绕过登录身份检查、获得系统管理员密码、非法获取数据、非法篡改数据、生成非法文件、非法执行命令等。动态生成SQL命令时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因。如果没有专用产品防护，每个应用系统的开发者都必须在服务器端对表单输入进行详尽的字符检查。 第 7 页 共 24 页 2.2.3 篡改检测技术 篡改检测技术是指Web服务器在对外发送网页时，利用数字水印技术对其进行完整性 检查，如图表2-4所示。 核心内嵌模块 Web系统 response 篡改检测模块 水印库 图表 2-4 篡改检测模块 检查点为: , Web服务器准备向用户发送网页时(网页文件已读入，尚未投放到网络上)。 检查对象为: , 静态网页文件(HTML/CSS文件)。 , 图像文件(GIF/JPG/PNG/BMP文件)。 , 动态脚本文件(ASP/JSP/PL/PHP文件) , 多媒体文件(WAV/MP3/ FLS/MPEG文件) , 二进制可执行实体(CGI/DLL/EXE文件)。 , 其他所有可以在URL中访问/下载的文件。 检查方式为: , 计算对象的数字水印，与水印库中的数据进行比较。 第 8 页 共 24 页 第3章 产品规格 3.1 产品组成 3.1.1 两台服务器 部署HUISIN网页防篡改系统至少需要两台服务器: , 发布服务器:位于内网中，本身处在相对安全的环境中，其上部署HUISIN网页 防篡改系统的发布服务器软件。 , Web服务器:位于公网/DMZ中，本身处在不安全的环境中，其上部署HUISIN 网页防篡改系统的Web服务器端软件。 它们之间的关系如图表3-1，后续小节详细描述它们。 Web服务器端软件 发布服务器软件 FTP… HTTP SSL 发布服务器 Web服务器 Intranet DMZ Internet 图表 3-1 HUISIN网页防篡改系统两台服务器 3.1.2 发布服务器 发布服务器上运行HUISIN网页防篡改系统的“发布服务器软件”(Staging Server)。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。 发布服务器上具有与Web服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相应位置上，文件/目录变更的方法可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后，发布服务器软件将其同步到Web服务器上。 发布服务器是部署HUISIN网页防篡改系统时新增添的机器，原则需要一台独立的服务器;对于网页更新不太频繁的网站，也可以用普通PC机或者与担任其他工作的服务器共用。 发布服务器为PC服务器，其本身的硬件配置无特定要求，操作系统可选择Windows(一般网站)或Linux(大型网站)。 第 9 页 共 24 页 3.1.3 Web服务器 Web服务器上除了原本运行的Web系统(如IIS、Apache、SunONE、Weblogic、Websphere等)外，还运行有HUISIN网页防篡改系统的“Web服务器端软件”(由“同步服务器”和“核心内嵌模块”组成)。 HUISIN网页防篡改系统同步服务器负责与HUISIN网页防篡改系统发布服务器通信，将发布服务器上的所有网页文件变更同步到Web服务器本地;HUISIN网页防篡改系统核心内嵌模块作为Web系统的一个插件运行。需要对Web系统作适当配置，以使其生效。 Web服务器是用户网站原有的机器，HUISIN网页防篡改系统可适应于任何操作系统。 3.2 平台支持 3.2.1 发布服务器端 支持如下软硬件: , CPU:Intel PIII或以上 , 内存:256M或以上 , 硬盘:整个网站容量 + 5G , 操作系统:Windows 2000 / Windows 2003 / Linux 3.2.2 Web服务器端 支持以下操作系统: , Microsoft/Windows NT/2000/XP/2003 , Linux 支持以下Web服务器: , IIS , Apache , Weblogic , WebSphere , tomcat 支持以下后台数据库: , SQL Server , Oracle , MySQL , Access 第 10 页 共 24 页 3.3 产品型号 HUISIN网页防篡改系统(版本2.0)分为动态版和静态版两个型号，它们的适用范围和特性如下: 型号名称 动态版 静态版 适用情形 网站以动态页面为主 网站以静态页面为主 多Web服务器支持 支持 支持 多虚拟主机支持 支持 支持 Web服务器操作系统 Windows/Linux/Unix Windows/Linux/Unix 发布功能 自动 自动 发布服务器操作系统 Windows/Linux Windows/Linux 可选模块支持 支持 支持 表格 3-1 产品型号 第 11 页 共 24 页 第4章 产品部署 4.1 标准部署 4.1.1 内容管理系统 内容管理系统 发布服务器 Web服务器 图表 4-1 标准部署图 目前，大部分网站都使用了内容管理系统(CMS)来管理网页产生的全过程，包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中，发布服务器部署在原有的内容管理系统和Web服务器之间，图表4-1表明了三者之间的关系。 为一个已有的Web站点部署HUISIN网页防篡改系统时，Web服务器和内容管理系统(CMS)都沿用原来的机器，而需要在其间增加一台发布服务器。HUISIN网页防篡改系统的自动同步机制完全与内容管理系统无关的，适合与所有的内容管理系统协同工作，而内容管理系统本身无须作任何变动。 发布服务器上具有与Web服务器上的网站文件完全相同的目录结构，任何文件/目录的变化都会自动映射到Web服务器的相应位置上。 网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行，变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后，由自动发布子系统将其同步到Web服务器上。无论什么情况下，不允许直接变更Web服务器上的页面文件。 HUISIN网页防篡改系统一般情况下与内容管理系统分开部署，当然它也可以与内容管理系统部署在一台机器上，在这种情形下，HUISIN网页防篡改系统还可以提供接口，与内容管理系统进行互相的功能调用，以实现整合性更强的功能。 4.1.2 部署示例 图表4-2是一个标准的网站架构示意图。 第 12 页 共 24 页 内容管理系统 Web系统 HTTP FTP/RCP/文件共享 内容管理 Web服务器 数据库系统 Intranet DMZ 图表 4-2 基本网站结构 在图中，内容管理系统将合成的网页通过FTP或者RCP或者其他方式上传到Web服务器上。部署HUISIN网页防篡改系统后的网站结构图见图表4-3。 同步服务器 发布服务器 内容管理系统 核心模块 Web系统 FTP… HTTP SSL 内容管理 发布服务器 Web服务器 数据库系统 蓝色为增加的部件 Intranet DMZ 图表 4-3 部署HUISIN网页防篡改系统后的网站结构 由上图可以看出，为一个标准的Web站点部署HUISIN网页防篡改系统时，Web服务器和内容管理系统都完全沿用原来的机器，而需要在其间增加一台发布服务器。HUISIN网页防篡改系统的自动同步机制与内容管理系统无关的，适合与所有的内容管理系统协同工 第 13 页 共 24 页 作。 对内容管理系统唯一需要做的只是改变它的设置，将发布的目标服务器地址由Web服务器地址改为发布服务器地址即可，无须安装HUISIN网页防篡改系统任何组件。 当然，根据内容管理系统所采用协议，发布服务器上需要对应安装这些协议的服务器端，例如:FTP/sftp服务器、rcp服务器或打开文件共享等。 Web服务器使用SSL服务和特定端口(默认为38888，可修改配置选择其他端口)来接收上传的网页文件，无须再开放内容管理系统所需的端口(例如FTP端口)。为安全起见，强烈建议Web服务器仅开放Web服务端口和HUISIN网页防篡改系统端口，关闭其他所有端口。 4.1.3 无内容管理系统 一些简单的网站可能没有使用任何内容管理系统，而仅仅使用诸如Dreamweaver制作和管理网站甚至直接编辑html文件。这种情形下，HUISIN网页防篡改系统也完全适用，网页制作人员无须改变原来的工作方式，仅仅只是由原来直接修改Web服务器上的文件，改为修改发布服务器上的文件。 4.1.4 更复杂的部署情形 更复杂的部署情形包括: , 多虚拟主机/Web服务器部署 , 本地内容管理系统 , Web服务器托管 , 同机部署 这些情形下的HUISIN网页防篡改系统的部署见《HUISIN网页防篡改系统部署指南》(W-008-0202-D)。 4.2 冗余部署 4.2.1 概况 Web站点运行的稳定性是最关键的。HUISIN网页防篡改系统支持所有部件的多机工作和热备:可以有多台安装了HUISIN网页防篡改系统防篡改模块和同步服务软件的Web服务器，也可以有两台安装了HUISIN网页防篡改系统发布服务软件的发布服务器，如图表4-4所示。它实现了2Xn的同步机制(2为发布服务器，n为Web服务器)，当2或n的单 第 14 页 共 24 页 点失效完全不影响系统的正常运行，且在修复后自动工作。 第 15 页 共 24 页 发布服务器(主) Web服务器1 Web服务器2 SSL安全通信 同步服务器 …… 防篡改模块 Socket/NFS 主备通信 CMS 内容管理系统 Web服务器n-1 发布服务器(备) Web服务器n Intranet DMZ 图表 4-4 冗余部署示意图 4.2.2 Web服务器集群 HUISIN网页防篡改系统发布服务器支持对多台Web服务器的内容同步，严格保证多台Web服务器内容相同。当单台Web服务器失效时，由于Web服务器集群前端通常有负载均衡设备，因此，它并不影响公众访问网站。同时，它的失效也不影响HUISIN网页防篡改系统发布服务器向其他正常工作的Web服务器提供内容同步。在失效期间，HUISIN网页防篡改系统发布服务器会尝试连接这台Web服务器，一旦它修复后重新工作，即可自动进行连接，并自动进行内容同步。 因此，Web服务器的单点失效不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。 4.2.3 发布服务器双机 HUISIN网页防篡改系统支持发布服务器双机协同工作，即一台主发布服务器和一台热备发布服务器。在这种部署情形下，内容管理系统(CMS)需要将内容同时发布到两台HUISIN网页防篡改系统服务器上。在正常状态下，HUISIN网页防篡改系统主发布服务器工作，由它对所有Web服务器进行内容同步。显然，热备发布服务器失效不影响系统运作， 第 16 页 共 24 页 一旦在它修复后可以从主发布服务器恢复数据，进入正常热备状态。主发布服务器如果失效(即不发心跳信号)，热备发布服务器会接管工作，由它对所有Web服务器进行内容同步。当主发布服务器修复后，两机同时工作，经过一段时间的数据交接时间，热备发布服务器重新进入热备状态。 因此，HUISIN网页防篡改系统发布服务器的单点失效也不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。 第 17 页 共 24 页 第5章 技术实现 5.1 内部结构 5.1.1 逻辑组成 从逻辑上，HUISIN网页防篡改系统由页面保护子系统、自动发布子系统三个子系统和 -1所示: 监控管理子系统组成，如图表5 自动发布子系统 自动发布子系统 (同步服务器) (自动发布程序) 页面保护子系统 d管理子系统 (应用防护/篡改检测) 浏览器 发布服务器 Web系统 (第三方软件) 内容管理系统 Web服务器 (第三方软件) 图表 5-1 系统部件示意图 1(页面保护子系统 页面保护子系统是系统的核心，内嵌在Web系统里(即前述的核心内嵌模块)，包含应用防护模块和篡改检测模块。 应用防护模块对每个用户的请求进行安全性检查:如果正常则发送给Web系统;如果发现有攻击特征码，即刻中止此次请求并进行报警。 篡改检测模块对每个发送的网页进行即时的完整性检查:如果网页正常则对外发送;如果被篡改则阻断对外发送，并依照一定策略进行报警和恢复。 对于Windows系统，页面保护子系统还包括一个增强型事件触发式检测模块，该模块 第 18 页 共 24 页 驻留于操作系统内核，阻止大部分常规篡改手段。 2(自动发布子系统 自动发布子系统负责页面的自动发布，由发送端和接收端组成:发送端位于发布服务器上，称之为自动发布程序，它监测到文件系统变化即进行计算该文件水印，并进行SSL发送;接收端位于Web服务器上，称之为同步服务器，它接收到网页和水印后，将网页存放在文件系统中，将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。 3(监控管理子系统 负责篡改后自动恢复，也提供系统管理员的使用界面。其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。 5.2 核心技术 5.2.1 实现原理 我们将篡改检测的核心内嵌到Web服务器中，仅在网页信息流出Web服务器时进行检测，而非采用其他产品通常使用的外挂式的轮询方式或单独采用的事件触发方式，使其运行性能和检测有效性都达到最高的水准。 另外，对于大量的针对Windows/Linux系统的常规篡改攻击，我们也提供了增强型事件触发检测方式，进一步加强检测和防范的实时性。 在具体计算上，我们使用安全散列函数为每个网页产生一个数字水印，此数字水印与网页内容相关联，并且无法伪造。检测时比对数字水印，无须比较整个网页文件，进一步提高了效率。 5.2.2 核心优势 不同于一些文件轮询扫描式或事件触发式的页面防篡改软件，HUISIN网页防篡改系统的页面防篡改模块是与Web服务器紧密结合的。它在Web服务器对外发送网页时进行网页防篡改检测，这样做不仅完全杜绝了在轮询扫描间隔和事件触发处理过程中被篡改内容被用户访问的可能性，也减少了轮询Web服务器文件系统所占用的网络带宽和CPU利用率。 相比起采用外挂轮询和事件触发式技术的同类产品，我们的核心内嵌技术的优势在于: 外挂轮询 事件触发 核心内嵌 第 19 页 共 24 页 访问被篡改网页 可能 可能 不可能 防护动态内容 不能 不能 可以 Web服务器负载 中 低 极低 带宽占用 中 无 无 检测时间 分钟级 接近实时 实时 绕过检测机制 不可能 可能 不可能 防范连续篡改攻击 不能 不支持 支持 保护所有网页 不能 能 能 动态网页脚本 不支持 支持 支持 适用操作系统 所有 受限 所有 上传时检测 不能 受限 能 断线时保护 不能 不能 能 表格 5-1 核心内嵌技术与其他技术比较 1(完全杜绝篡改内容流出 采用核心内嵌技术后，用户每次访问每个受保护网页时，Web服务器在发送之前都进行完整性检查，保证网页的真实性。核心内嵌技术可以彻底杜绝篡改后的网页被访问的可能性，全面和实时地保护网站的所有网页文件。 采用外挂轮询式的网页防篡改系统，对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。 单独采用事件触发式的网页防篡改系统，仍是一种被动式的策略，不能保证外界看不到篡改后的网页。如果黑客采用大规模的篡改活动，这种响应机制将变得很慢而不可取。 更重要的是，事件触发方式并不能确保捕获对文件的所有方式的修改(例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等)，非常容易被专业黑客很容易绕过;而且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒工具(以黑防黑)而不是专门针对网站保护的系统，这也是它不能支持Unix平台的原因。 2(连续篡改攻击保护 有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。 由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页(例如网站首页) 第 20 页 共 24 页 进行，因此即使外挂轮询技术的扫描时间间隔设置得再小(例如1分钟)，也无法阻止篡改后的网页被公众访问到(例如重新篡改网页需要1秒钟，则公众在1分钟内的59秒里看到的都是篡改后的网页)。 这个过程往复下去，使公众只能看到被篡改的网页，而总是看不到真实的网页。除非管理者能够很快修补系统漏洞或停止提供Web服务，否则外挂轮询技术是无法阻止这种恶意的连续攻击。 事件触发技术对Web系统没有控制能力，它发现篡改后没有办法去协调Web服务器工作，对于大规模或精心的攻击是无能为力的。例如:如果黑客中断了Web服务器和备份网页服务器的连接，这个被篡改的网页就没法即时恢复，而与此同时，大量的公众可能已经访问到了这个网页，造成严重后果。 而采用核心内嵌技术的系统在每次输出网页时都进行完整性检查，如有变化则阻断发送。因此，无论连续攻击多么迅速和频繁，都无法使公众看到被篡改的网页。 3(动态网页全面保护 目前的网站越来越多地使用动态技术(例如:ASP、JSP、PHP)来输出网页。动态网页由网页脚本和内容组成:网页脚本以文件形式存在于Web服务器上;网页内容则取自于数据库。 采用核心内嵌技术的系统，可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。进一步地，它还能通过阻挡对数据库的注入式攻击来保护动态网页内容的安全，从脚本到内容全面保护动态网页安全。 采用事件触发技术的系统，虽然可以对网页脚本提供一定的防护功能，但是由于它仅工作在操作系统层面上，未和Web系统发生关联，因此根本无法检测到用户非法请求，对动态内容的篡改则是完全无能为力的。 采用外挂轮询技术的系统，所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。 5.2.3 关键流程 1(正常上传网页 1) 用户使用自己的内容管理系统将网页上传到发布服务器上; 2) 自动发布程序监测到文件系统的变化; 第 21 页 共 24 页 3) 自动发布程序使用安全散列函数HMAC计算网页的数字水印; 4) 自动发布程序对Web服务器进行身份鉴别; 5) 同步服务器对发布服务器进行身份鉴别; 6) 自动发布程序将网页和数字水印使用SSL协议安全传输到同步服务器; 7) 同步服务器将数字水印存放在安全数据库里，并在文件系统中完成网页的更新。 2(内容保护过程 1) 公众发出网页浏览请求。 2) 应用防护模块得到请求内容，与攻击特征库中的特征相比对。 如果比对成功(即符合攻击模式)，即是企图进行注入式攻击的用户请求。 终止Web系统对该会话的处理，中断该用户的连接，并进行报警。 3) Web服务器将网页内容取得后，交给篡改检测模块进行检测。 4) 篡改检测模块使用安全散列函数HMAC-MD5计算出欲发出的网页的数字水印，并 与安全数据库中的数字水印相比对。 如果没找到数字水印或数字水印比对失败，即是可疑或被非法篡改的网页， 系统调用管理子系统进行自动恢复的同时向监管者报警，并且可以执行用户 自定义的外部命令或程序。 5) Web服务器将正确的网页发送给网页浏览者。 5.3 双引擎防护 如前所述，单独的事件触发式技术是无法对网页篡改做到完全防护的，但是，对于Windows/Linux系统来说，它也是一种有益的补充检测方式。对于常规黑客攻击手段，事件触发式技术能够及时检测到这种攻击并发出警告。 HUISIN网页防篡改系统使用了增强型事件触发式技术，截获所有写文件调用，对于其中的非法写行为实施了实时阻断，让常规黑客的篡改行为即时落空，同时发出报警。比起一般的“检测-恢复”方式的事件触发式技术，它对于网站保护的有效性有了更大的提高。 需要说明的是，由于事件触发式技术没有和Web系统绑定，因此，它本身的弱点非常多，只能作为网页防篡改的补充技术，守住Web服务最后一道关口的仍是Web服务器核心内嵌技术。 5.4 安全技术 5.4.1 安全传输 合法网页的安全传输是系统安全的一个重要环节，HUISIN网页防篡改系统使用了高安全强度的工业标准的SSL协议，保证了信息传输过程中完整性和私密性，用先进的密码技 第 22 页 共 24 页 术防止来自内部和外部的篡改和偷窃。 5.4.2 身份鉴别 系统各部分通信时需要对实体身份进行鉴别，HUISIN网页防篡改系统使用PKI的数字证书技术，对通信实体的身份提供了高安全强度的鉴别方式。鉴别包括:服务器防篡改模块的真实性、页面自动发布服务器的真实性、系统监管员身份的真实性。 5.4.3 自动同步 为高效网页的内容扫描、发布和恢复，HUISIN网页防篡改系统使用了页面自动发布服务器。该服务器采用先进的算法检查本身文件系统的变化，自动将其同步到一台或多台安装了防篡改模块的目标Web服务器上，同时也能作为网页恢复时的基准内容，减少人工干预。 5.4.4 部署方便 由于使用了自动发布服务器，HUISIN网页防篡改系统可以很好地与已运行网站的原有的网站发布系统协同工作。清晰的系统结构有利于系统的部署、使用和维护，并且用户的原有系统和使用习惯也不必作任何改变。 5.4.5 硬件支持 为达到高程度的安全，产生网页水印的密钥应该置于硬件中，HUISIN网页防篡改系统支持PKCS#11和CSP两种接口形式的任何密码设备，从而为提供系统安全强度提供保证。 第 23 页 共 24 页 第6章 功能和性能 6.1 功能列表 6.1.1 篡改检测和恢复 , 支持安全散列检测方法; , 可检测静态页面/动态脚本/二进制实体; , 支持对注入式攻击的防护; , 网页发布同时自动更新水印值; , 网页发送时比较网页和水印值; , 支持断线/连线状态下篡改检测; , 支持连线状态下网页恢复; , 网页篡改时多种方式报警; , 网页篡改时可执行外部程序或命令; , 可以按不同容器选择待检测的网页; , 支持增强型事件触发检测技术; , 加密存放水印值数据库; , 支持各种私钥的硬件存储; , 支持使用外接安全密码算法。 6.1.2 自动发布和恢复 , 自动检测文件系统任何变化(基础版不支持); , 文件变化自动同步到多个Web服务器(基础版不支持); , 支持文件/目录的增加/删除/修改/更名; , 支持任何内容管理系统; , 支持虚拟目录/虚拟主机; , 支持页面包含文件; , 支持双机方式的冗余部署(需要企业版支持); , 断线后自动重联; , 上传失败后自动重试; , 使用SSL安全协议进行通信; , 保证通信过程不被篡改和不被窃听; , 通信实体使用数字证书进行身份鉴别; , 所有过程有详细的审计。 第 24 页 共 24 页