http://it.rising.com.cn/safe/2013-03-29/13435.html
引子
2013年1月15日,中国互联网络信息中心(CNNIC)在京发布第31次《中国互联网络发展状况统计报告》(以下简称《报告》)。报告显示,截至2012年12月底,我国网民规模达到5.64亿,互联网普及率为42.1%.
规模化的网民数量和网站为互联网应用快速发展奠定了良好的基础。网页的地位也得到了空前的提高,对政府、企事业来说,网页无异于自己的脸面。虽然目前已经有防火墙、入侵检测等安全防范手段,但各类Web应用系统的复杂性和多样性导致系其统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。
CNCERT运行部主任、中国互联网协会网络安全工作委员会秘书长周勇林在接受媒体采访时表示,2011年我国受攻击被篡改的网站数量达36000多个,涉及到政府网站。gov.cn为2800多个。
针对这些情况,网页防篡改系统应运而生。但经过多年的发展,网页防篡改系统的技术也在不断的发展和更新。
网页防篡改技术的前世
黑客强烈的表现欲望,国内外非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪离职员工的发泄等等都将导致网页被“变脸”。网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难;预先检查和实时防范难;网络环境复杂难以追查责任,攻击工具简单,并且向智能化趋势发展。
零时代:人工对比检测
人工对比检测,其实就是一种专门指派网络管理人员,人工监控需要保护的网站,一旦发现被篡改,然后以人力对其修改还原的手段。严格说来,人工对比检测不能算是一种网页防篡改系统采用的技术,而只能算是一种原始的应对网页被篡改的手段。但是其在网页防篡改的技术发展历程中存在一段相当的时间。
这种手段非常原始且效果不佳,且不说人力成本较高,其最致命的缺陷在于人力监控不能达到即时性,也就是不能在第一时间发现网页被篡改也不能在第一时间做出还原,当管理人员发现网页被篡改再做还原时,被篡改的网页已在互联网存在了一段时间,可能已经被一定数量的网民浏览。
第一代:时间轮询技术
时间轮询技术(有的也可称“外挂轮询技术”)。从这一代开始,网页防篡技术已经摆脱了以人力检测恢复为主体的原始手段,而是作为一种自动化的技术形式出现。时间轮询技术是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。
采用时间轮询式的网页防篡改系统,对每个网页来说,轮询扫描存在着时间间隔,一般为数十分钟,在这数十分钟的间隔中,黑客可以攻击系统并使访问者访问到被篡改的网页。
此类应用在过去网页访问量较少,具体网页应用较少的情况下适用,目前网站页面通常少则上百页,检测轮询时间更长,且占用系统资源较大,该技术逐渐被淘汰。
第二代:事件触发技术、核心内嵌技术
将事件触发技术与核心内嵌技术两种技术放在同一代来说,是因为这两种网页防篡改技术出现的时间差距不大,而且两种技术常常被结合使用。所谓核心内嵌技术,即密码水印技术,最初先将网页内容采取非对称加密存放,在外来访问请求时将经过加密验证过的,进行解密对外发布,若未经过验证,则拒绝对外发布,调用备份网站文件进行验证解密后对外发布。
此种技术通常要结合事件触发机制对文件的部分属性进行对比,如大小、页面生成时间等做判断,无法更准确的进行其它属性的判断。其最大的特点就是安全性相对外挂轮询技术安全性大大提高,但其美中不足是加密计算会占用大量服务器资源,系统反映较慢。而核心内嵌技术就避免了时间轮询技术的轮询间隔这个缺点。
但是由于这种技术是对每个流出网页都进行完整检查,占用巨大的系统资源,给服务器造成较大负载。且对网页正常发布流程作了更改,整个网站需要重新架构,增加新的发布服务器替代原先的服务器。
随着技术发展以及网上各类应用的增多,对服务器的负载资源简直可以用“苛刻”来形容,任何占用服务器资源的部分都要淘汰,来确保网站的高效率访问和网页防篡改技术追踪率,如此一来,内嵌技术(即密码技术)最终也将被淘汰。
网页防篡改技术的今生
技术发展到二十一世纪初,第三代文件网页防篡技术(过滤驱动技术+事件触发技术)应运而生。
文件过滤驱动技术的最初应用于军方和保密系统,作为文件保护技术和各类审计技术,甚至被一些狡猾好事者应用于“流氓软件”,该技术可以说是让人喜忧参半。在网页防篡改技术革新当中,该技术找到了其发展的空间。与事件触发技术结合,形成了目前的第三代网页防篡改保护技术。
其原理是将篡改监测的核心程序通过微软文件底层驱动技术应用到Web 服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高的水准。
页面防篡改模块采用Web 服务器底层文件过滤驱动级保护技术,与操作系统紧密结合,所监测的文件类型不限,可以是一个html 文件也可以是一段动态代码,执行准确率高。
这样不仅完全杜绝了轮询扫描式页面,防篡改软件的扫描间隔中被篡改内容被用户访问的可能,其所消耗的内存和CPU 占用率也远远低于文件轮询扫描式或核心内嵌式的同类软件。可以说是一种简单、高效、安全性又极高的一种防篡改技术。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
