网页防篡改系统

网页防篡改系统

Web服务器2 发布服务器(主) Web服务器1 CMS 内容管理系统 Socket/NFS SSL安全通信 同步服务器 主备通信 …… 防篡改模块 Web服务器n-1 发布服务器(备) Web服务器n Intranet DMZ 图表 4-4 冗余部署示意图

4.2.2 Web服务器集群

HUISIN网页防篡改系统发布服务器支持对多台Web服务器的内容同步，严格保证多台Web服务器内容相同。当单台Web服务器失效时，由于Web服务器集群前端通常有负载均衡设备，因此，它并不影响公众访问网站。同时，它的失效也不影响HUISIN网页防篡改系统发布服务器向其他正常工作的Web服务器提供内容同步。在失效期间，HUISIN网页防篡改系统发布服务器会尝试连接这台Web服务器，一旦它修复后重新工作，即可自动进行连接，并自动进行内容同步。

因此，Web服务器的单点失效不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。

4.2.3 发布服务器双机

HUISIN网页防篡改系统支持发布服务器双机协同工作，即一台主发布服务器和一台热备发布服务器。在这种部署情形下，内容管理系统（CMS）需要将内容同时发布到两台HUISIN网页防篡改系统服务器上。在正常状态下，HUISIN网页防篡改系统主发布服务器工作，由它对所有Web服务器进行内容同步。显然，热备发布服务器失效不影响系统运作，

16 / 24

网页防篡改系统

一旦在它修复后可以从主发布服务器恢复数据，进入正常热备状态。主发布服务器如果失效（即不发心跳信号），热备发布服务器会接管工作，由它对所有Web服务器进行内容同步。当主发布服务器修复后，两机同时工作，经过一段时间的数据交接时间，热备发布服务器重新进入热备状态。

因此，HUISIN网页防篡改系统发布服务器的单点失效也不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。

17 / 24

网页防篡改系统

第5章 技术实现

5.1 内部结构

5.1.1 逻辑组成

从逻辑上，HUISIN网页防篡改系统由页面保护子系统、自动发布子系统三个子系统和监控管理子系统组成，如图表5-1所示：

d管理子系统 页面保护子系统 （应用防护/篡改检测） 自动发布子系统 （自动发布程序） 自动发布子系统 （同步服务器） 内容管理系统 （第三方软件） 发布服务器 浏览器 Web系统 （第三方软件） Web服务器 图表 5-1 系统部件示意图

1．页面保护子系统

页面保护子系统是系统的核心，内嵌在Web系统里（即前述的核心内嵌模块），包含应用防护模块和篡改检测模块。

应用防护模块对每个用户的请求进行安全性检查：如果正常则发送给Web系统；如果发现有攻击特征码，即刻中止此次请求并进行报警。

篡改检测模块对每个发送的网页进行即时的完整性检查：如果网页正常则对外发送；如果被篡改则阻断对外发送，并依照一定策略进行报警和恢复。

对于Windows系统，页面保护子系统还包括一个增强型事件触发式检测模块，该模块

18 / 24

网页防篡改系统

驻留于操作系统内核，阻止大部分常规篡改手段。 2．自动发布子系统

自动发布子系统负责页面的自动发布，由发送端和接收端组成：发送端位于发布服务器上，称之为自动发布程序，它监测到文件系统变化即进行计算该文件水印，并进行SSL发送；接收端位于Web服务器上，称之为同步服务器，它接收到网页和水印后，将网页存放在文件系统中，将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。 3．监控管理子系统

负责篡改后自动恢复，也提供系统管理员的使用界面。其功能包括：手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。

5.2 核心技术

5.2.1 实现原理

我们将篡改检测的核心内嵌到Web服务器中，仅在网页信息流出Web服务器时进行检测，而非采用其他产品通常使用的外挂式的轮询方式或单独采用的事件触发方式，使其运行性能和检测有效性都达到最高的水准。

另外，对于大量的针对Windows/Linux系统的常规篡改攻击，我们也提供了增强型事件触发检测方式，进一步加强检测和防范的实时性。

在具体计算上，我们使用安全散列函数为每个网页产生一个数字水印，此数字水印与网页内容相关联，并且无法伪造。检测时比对数字水印，无须比较整个网页文件，进一步提高了效率。

5.2.2 核心优势

不同于一些文件轮询扫描式或事件触发式的页面防篡改软件，HUISIN网页防篡改系统的页面防篡改模块是与Web服务器紧密结合的。它在Web服务器对外发送网页时进行网页防篡改检测，这样做不仅完全杜绝了在轮询扫描间隔和事件触发处理过程中被篡改内容被用户访问的可能性，也减少了轮询Web服务器文件系统所占用的网络带宽和CPU利用率。

相比起采用外挂轮询和事件触发式技术的同类产品，我们的核心内嵌技术的优势在于： 外挂轮询 事件触发 核心内嵌 19 / 24

网页防篡改系统

访问被篡改网页 防护动态内容 Web服务器负载 带宽占用 检测时间 绕过检测机制 防范连续篡改攻击 保护所有网页 动态网页脚本 适用操作系统 上传时检测 断线时保护 可能 不能 中 中 分钟级 不可能 不能 不能 不支持 所有 不能 不能 可能 不能 低 无 接近实时 可能 不支持 能 支持 受限 受限 不能 不可能 可以 极低 无 实时 不可能 支持 能 支持 所有 能 能 表格 5-1 核心内嵌技术与其他技术比较

1．完全杜绝篡改内容流出

采用核心内嵌技术后，用户每次访问每个受保护网页时，Web服务器在发送之前都进行完整性检查，保证网页的真实性。核心内嵌技术可以彻底杜绝篡改后的网页被访问的可能性，全面和实时地保护网站的所有网页文件。

采用外挂轮询式的网页防篡改系统，对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。

单独采用事件触发式的网页防篡改系统，仍是一种被动式的策略，不能保证外界看不到篡改后的网页。如果黑客采用大规模的篡改活动，这种响应机制将变得很慢而不可取。

更重要的是，事件触发方式并不能确保捕获对文件的所有方式的修改（例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等），非常容易被专业黑客很容易绕过；而且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒工具（以黑防黑）而不是专门针对网站保护的系统，这也是它不能支持Unix平台的原因。 2．连续篡改攻击保护

有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。

由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页（例如网站首页）

20 / 24