网页防篡改系统
HUISIN 网页防篡改系统技术白皮书
第1章 技术背景 ................................................................................................................ 3 1.1 什么是 网页防篡改系统 .......................................................................................... 3
1.1.1 网站篡改原因 ................................................................................................. 3 1.1.2 网络安全设备 ................................................................................................. 4 1.1.3 专业网页防篡改系统 ..................................................................................... 4
第2章 技术原理 ..................................................................................................................... 5
2.1 PKI公开密钥体系 ..................................................................................................... 5
2.1.1 PKI ................................................................................................................... 5 2.1.2 防篡改 ............................................................................................................. 5 2.1.3 防窃听 ............................................................................................................. 5 2.1.4 身份鉴别 ......................................................................................................... 5 2.2 Web系统核心内嵌技术 ............................................................................................. 6
2.2.1 核心内嵌模块的位置 ..................................................................................... 6 2.2.2 应用防护模块 ................................................................................................. 7 2.2.3 篡改检测技术 ................................................................................................. 8
第3章 产品规格 ..................................................................................................................... 9
3.1 产品组成 .................................................................................................................... 9
3.1.1 两台服务器 ..................................................................................................... 9 3.1.2 发布服务器 ..................................................................................................... 9 3.1.3 Web服务器 .................................................................................................... 10 3.2 平台支持 .................................................................................................................. 10
3.2.1 发布服务器端 ............................................................................................... 10 3.2.2 Web服务器端 ................................................................................................ 10 3.3 产品型号 .................................................................................................................. 11 第4章 产品部署 ................................................................................................................... 12
4.1 标准部署 .................................................................................................................. 12
4.1.1 内容管理系统 ............................................................................................... 12
1 / 24
网页防篡改系统
4.1.2 部署示例 ....................................................................................................... 12 4.1.3 无内容管理系统 ........................................................................................... 14 4.1.4 更复杂的部署情形 ....................................................................................... 14 4.2 冗余部署 .................................................................................................................. 14
4.2.1 概况 ............................................................................................................... 14 4.2.2 Web服务器集群 ............................................................................................ 16 4.2.3 发布服务器双机 ........................................................................................... 16
第5章 技术实现 ................................................................................................................... 18
5.1 内部结构 .................................................................................................................. 18
5.1.1 逻辑组成 ....................................................................................................... 18 5.2 核心技术 .................................................................................................................. 19
5.2.1 实现原理 ....................................................................................................... 19 5.2.2 核心优势 ....................................................................................................... 19 5.2.3 关键流程 ....................................................................................................... 21 5.3 双引擎防护 .............................................................................................................. 22 5.4 安全技术 .................................................................................................................. 22
5.4.1 安全传输 ....................................................................................................... 22 5.4.2 身份鉴别 ....................................................................................................... 23 5.4.3 自动同步 ....................................................................................................... 23 5.4.4 部署方便 ....................................................................................................... 23 5.4.5 硬件支持 ....................................................................................................... 23
第6章 功能和性能 ............................................................................................................... 24
6.1 功能列表 .................................................................................................................. 24
6.1.1 篡改检测和恢复 ........................................................................................... 24 6.1.2 自动发布和恢复 ........................................................................................... 24
2 / 24
网页防篡改系统
第1章 技术背景
1.1 什么是 网页防篡改系统
HUISIN网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。
HUISIN网页防篡改系统采用先进的Web服务器核心内嵌技术,将篡改检测模块和数据库防护模块内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
HUISIN网页防篡改系统的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览。同时,HUISIN网页防篡改系统的数据库防护模块也对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断。
HUISIN网页防篡改系统,全面保护网站的静态网页和动态网页,其安全性从根本上大大优于同类产品。HUISIN网页防篡改系统支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用Web方式对后台数据库的篡改。
HUISIN网页防篡改系统支持所有主流的操作系统,包括:Windows、Linux/FreeBSD、Unix(Solaris、HP-UX、AIX);支持常用的Web系统,包括:IIS、Apache、SunONE、Weblogic、WebSphere等;保护所有常用的数据库系统,包括:SQL Server、Oracle、MySQL、Access等。
1.1.1 网站篡改原因
网站的网页之所以存在被篡改的可能性,有客观和主观两方面的原因。 就客观而言,因为存在以下原因,现有技术架构下网站漏洞将长期存在: ? 操作系统复杂性:已公布超过1万多个系统漏洞。
? 漏洞与补丁:系统漏洞从发现到被利用为5天,补丁的发布时间为47天。 ? 应用系统漏洞:各种注入式攻击,多个应用系统不同的开发者。 就主观而言,过于苛刻的安全管理要求,通常网络管理员难以完全实现:
3 / 24
网页防篡改系统
? 密码管理:合格密码需要8位以上复杂字符并定期改变。 ? 漏洞补丁:操作系统、中间件、应用系统的定期更新。 ? 上网控制:钓鱼、木马、间谍软件。
1.1.2 网络安全设备
大部分网站系统都使用了防火墙和入侵检测系统等网络安全设备来保护自身的安全。 防火墙是一种成熟和应用广泛的网络安全设备,但是,Web服务器通常是部署在防火墙的DMZ区域,防火墙完全向外部网络开放Web应用端口,这种方式对与Web应用没有任何的保护作用。即使使用http代理型的防火墙,防火墙也只是验证http协议本身的合法性,完全不能理解http协议所承载的数据,也无从判断对http服务器的访问行为是否合法。
入侵检测技术同样工作在网络层上,对应用协议的理解和作用存在相当的局限性,对于复杂的http会话和协议更是不能完整处理。由于需要预先构造攻击特征库来匹配网络数据,入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击。
一个最简单的例子就是在请求中包含SQL注入代码,或者提交可以完成获取他人用户认证信息的跨站脚本,这些数据不管是在传统防火墙所处理的网络层和传输层,还是在代理型防火墙所处理的协议会话层,或者是常规的入侵检测系统和增强的入侵防护系统,都会认为是合法的,无法被阻挡或检出。
1.1.3 专业网页防篡改系统
由前面的描述可以看出,所有的Web网站和Web应用系统除了使用一般的网络安全设备外,需要有效的网页防篡改系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。
在所有网站中,高权威性、高更新率和高访问量的网站更经常性地受到黑客关注和攻击。据国家计算机网络应急技术处理协调中心统计,2005年在被篡改的网站中,有22%是政府网站,明显大于我国.cn域名下的政府网站所占的2.2%比例。
因此,为巩固各类网站和Web应用的安全,特别是保证我国电子政务网站和电子商务网站内容的完整性及尊严,有必要使用专业的网页防篡改系统。
4 / 24
网页防篡改系统
第2章 技术原理
2.1 PKI公开密钥体系
2.1.1 PKI
PKI(Public Key Infrastructure)即“公开密钥体系”,是一种基于公开密钥密码技术的安全通信和服务体系,它能够为所有网络应用提供包括机密性、数据完整性、数据源认证、数字签名等多种安全服务,是网络安全应用的基础。
HUISIN网页防篡改系统的整体安全性建立在以PKI为核心的密码学体系上。
2.1.2 防篡改
HUISIN网页防篡改系统对所有的原始网页元素(包括静态页面、动态脚本、图像文件、多媒体文件以及所有能以URL形式访问的实体)在发布时进行128位密钥的HMAC-MD5(RFC2104)计算,生成唯一的、不可逆转和不可伪造的数字水印。
浏览者请求访问任一网页元素时,HUISIN网页防篡改系统 的篡改检测模块(作为Web系统的一部分)读出网页元素的内容重新计算数字水印,并与之前存储的数字水印进行比对,网页元素的任何篡改都能够被可靠地计算出来。
2.1.3 防窃听
HUISIN网页防篡改系统任何通信实体(包括发布服务器和Web服务器、控制台和发布服务器)之间采用工业标准的SSL3.0/TLS1.0安全通讯协议(RFC2246),确保网页元素文件和(特别是)数字水印数据流在通信过程中不被黑客窃取和分析。
此外,HMAC的128位密钥以加密形式存在于操作系统的安全存储区内。
2.1.4 身份鉴别
HUISIN网页防篡改系统通信实体间进行强身份鉴别。首先,Web服务器要确保上传文件的发布服务器的身份真实性,不能接受伪造的发布服务器上传的文件;其次,发布服务器要确保是在与Web服务器通信,确保发送的文件能够到Web服务器上。因此,双方彼此都进了身份鉴别。亦即:发布服务器采用客户端数字证书与Web服务器通讯,同时也验证Web服务器数字证书的真实性。
5 / 24
网页防篡改系统
