網(wǎng)頁篡改是最為常見的一種黑客攻擊形式�。網(wǎng)頁篡改是一種通過網(wǎng)頁應(yīng)用中的漏洞獲取權(quán)限�,非法篡改Web應(yīng)用中的內(nèi)容、植入暗鏈��、傳播惡意信息���,危害社會(huì)安全并牟取暴利的網(wǎng)絡(luò)攻擊行為����。
近些年來�����,網(wǎng)頁篡改攻擊事件層出不窮���,且具有以下四個(gè)特點(diǎn):篡改網(wǎng)站頁面?zhèn)鞑ニ俣瓤�、閱讀人群多;篡改頁面容易����,預(yù)先檢查����、實(shí)時(shí)防范、事后消除影響難;網(wǎng)絡(luò)環(huán)境復(fù)雜��,追查責(zé)任難;攻擊工具簡單�,并且向智能化趨勢(shì)發(fā)展。
零時(shí)代:人工對(duì)比檢測(cè)
人工對(duì)比檢測(cè)����,其實(shí)就是一種專門指派網(wǎng)絡(luò)管理人員,人工監(jiān)控需要保護(hù)的網(wǎng)站����,一旦發(fā)現(xiàn)被篡改,然后以人力對(duì)其修改還原的手段���。嚴(yán)格說來�,人工對(duì)比檢測(cè)不能算是一種網(wǎng)頁防篡改系統(tǒng)采用的技術(shù),而只能算是一種原始的應(yīng)對(duì)網(wǎng)頁被篡改的手段����。但是其在網(wǎng)頁防篡改的技術(shù)發(fā)展歷程中存在一段相當(dāng)久的時(shí)間。
這種手段非常原始且效果不佳���,且不說人力成本較高����,其最致命的缺陷在于人力監(jiān)控不能達(dá)到即時(shí)性��,也就是不能在第一時(shí)間發(fā)現(xiàn)網(wǎng)頁被篡改�,也不能在第一時(shí)間做出還原,當(dāng)管理人員發(fā)現(xiàn)網(wǎng)頁被篡改再做還原時(shí)���,被篡改的網(wǎng)頁已在互聯(lián)網(wǎng)存在了一段時(shí)間��,可能已經(jīng)被一定數(shù)量的網(wǎng)民瀏覽,造成一定的負(fù)面影響���。
第一代:時(shí)間輪詢技術(shù)
時(shí)間輪詢技術(shù),也稱“外掛輪詢技術(shù)”�����。從這一代開始����,網(wǎng)頁防篡技術(shù)已經(jīng)擺脫了以人力檢測(cè)恢復(fù)為主體的原始手段,而是作為一種自動(dòng)化的技術(shù)形式出現(xiàn)。時(shí)間輪詢技術(shù)是利用一個(gè)網(wǎng)頁檢測(cè)程序�����,以輪詢方式讀出要監(jiān)控的網(wǎng)頁�����,與真實(shí)網(wǎng)頁相比較后����,進(jìn)行判斷網(wǎng)頁內(nèi)容的完整性�����,對(duì)于被篡改的網(wǎng)頁進(jìn)行報(bào)警和恢復(fù)��。
采用時(shí)間輪詢式的網(wǎng)頁防篡改系統(tǒng)���,對(duì)每個(gè)網(wǎng)頁來說,輪詢掃描存在著時(shí)間間隔����,一般為數(shù)十分鐘。所以����,在這數(shù)十分鐘的間隔中��,黑客可以攻擊系統(tǒng)并使訪問者訪問到被篡改的網(wǎng)頁。
此類應(yīng)用在過去網(wǎng)頁訪問量較少�����,具體網(wǎng)頁應(yīng)用較少的情況下適用����,目前網(wǎng)站頁面通常少則上百頁,檢測(cè)輪詢時(shí)間更長��,且占用系統(tǒng)資源較大����,該技術(shù)逐漸被淘汰。
第二代:事件觸發(fā)+核心內(nèi)嵌技術(shù)
將事件觸發(fā)技術(shù)與核心內(nèi)嵌技術(shù)兩種技術(shù)放在同一代來說����,是因?yàn)檫@兩種網(wǎng)頁防篡改技術(shù)出現(xiàn)的時(shí)間差距不大�����,而且兩種技術(shù)常常被結(jié)合使用�。
所謂核心內(nèi)嵌技術(shù),即密碼水印技術(shù)�����,最初先將網(wǎng)頁內(nèi)容采取非對(duì)稱加密存放,在外來訪問請(qǐng)求時(shí)將經(jīng)過加密驗(yàn)證過的�����,進(jìn)行解密對(duì)外發(fā)布����,若未經(jīng)過驗(yàn)證,則拒絕對(duì)外發(fā)布���,調(diào)用備份網(wǎng)站文件進(jìn)行驗(yàn)證解密后對(duì)外發(fā)布����。此種技術(shù)通常要結(jié)合事件觸發(fā)機(jī)制對(duì)文件的部分屬性進(jìn)行對(duì)比���,如大小����、頁面生成時(shí)間等做判斷��,無法更準(zhǔn)確的進(jìn)行其它屬性的判斷�。其最大的特點(diǎn)就是相對(duì)外掛輪詢技術(shù)安全性大大提高��,但其美中不足是加密計(jì)算會(huì)占用大量服務(wù)器資源�,系統(tǒng)反映較慢����。
核心內(nèi)嵌技術(shù)避免了時(shí)間輪詢技術(shù)的輪詢間隔這個(gè)缺點(diǎn)。但是由于這種技術(shù)是對(duì)每個(gè)流出網(wǎng)頁都進(jìn)行完整檢查�����,占用巨大的系統(tǒng)資源���,給服務(wù)器造成較大負(fù)載����。而且��,因?yàn)閷?duì)網(wǎng)頁正常發(fā)布流程作了更改�,整個(gè)網(wǎng)站需要重新架構(gòu)��,增加新的發(fā)布服務(wù)器替代原先的服務(wù)器���。
隨著IT技術(shù)發(fā)展以及網(wǎng)上各類應(yīng)用的增多����,對(duì)服務(wù)器的負(fù)載資源簡直可以用“苛刻”來形容,任何占用服務(wù)器資源的部分都要淘汰�����,來確保網(wǎng)站的高效率訪問和網(wǎng)頁防篡改技術(shù)追蹤率,如此一來���,內(nèi)嵌技術(shù)最終也被淘汰�。
第三代:過濾驅(qū)動(dòng)+事件觸發(fā)技術(shù)
技術(shù)發(fā)展到二十一世紀(jì)初���,第三代文件網(wǎng)頁防篡技術(shù):過濾驅(qū)動(dòng)+事件觸發(fā)技術(shù)應(yīng)運(yùn)而生���。
文件過濾驅(qū)動(dòng)技術(shù)的最初應(yīng)用于保密系統(tǒng)���,作為文件保護(hù)技術(shù)和各類審計(jì)技術(shù),甚至被應(yīng)用于“流氓軟件”���。在網(wǎng)頁防篡改技術(shù)革新當(dāng)中�����,該技術(shù)找到了其發(fā)展的空間�。與事件觸發(fā)技術(shù)結(jié)合���,形成了第三代網(wǎng)頁防篡改保護(hù)技術(shù)。
其原理是將篡改監(jiān)測(cè)的核心程序,利用微軟文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到Web服務(wù)器中�,通過事件觸發(fā)方式,對(duì)文件夾的所有文件內(nèi)容��,對(duì)照其底層文件屬性���,經(jīng)過內(nèi)置散列快速算法�����,實(shí)時(shí)進(jìn)行監(jiān)測(cè)�。若發(fā)現(xiàn)屬性變更,則通過非協(xié)議方式,將純文件安全拷貝���,備份路徑文件夾內(nèi)容拷貝到監(jiān)測(cè)文件夾相應(yīng)文件位置���,通過底層文件驅(qū)動(dòng)技術(shù),整個(gè)文件復(fù)制過程毫秒級(jí)����,使得公眾無法看到被篡改頁面,其運(yùn)行性能和檢測(cè)實(shí)時(shí)性都達(dá)到較高水準(zhǔn)����。該頁面防篡改模塊采用Web服務(wù)器底層文件過濾驅(qū)動(dòng)級(jí)保護(hù)技術(shù)���,與操作系統(tǒng)緊密結(jié)合,所監(jiān)測(cè)的文件類型不限,可以是一個(gè)html文件��,也可以是一段動(dòng)態(tài)代碼�����,執(zhí)行準(zhǔn)確率較高���。
這樣就不僅完全杜絕了輪詢掃描式頁面��,防篡改軟件的掃描間隔中被篡改內(nèi)容被訪問的可能���,其所消耗的內(nèi)存和CPU占用率也遠(yuǎn)遠(yuǎn)低于文件輪詢掃描式或核心內(nèi)嵌式的同類軟件����?梢哉f是一種簡單、高效��、安全性又極高的防篡改技術(shù)。
第四代:“五重防護(hù)”技術(shù)
目前����,國內(nèi)專注于保密與非密領(lǐng)域的分級(jí)保護(hù)、等級(jí)保護(hù)�����、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)——國聯(lián)易安更是基于“高效同步”���、“安全傳輸”兩項(xiàng)技術(shù)����,研發(fā)出了具備獨(dú)特的“五重防護(hù)”新特性�����,支持網(wǎng)頁的全自動(dòng)發(fā)布�����、網(wǎng)頁監(jiān)控、報(bào)警和自動(dòng)恢復(fù)�,提供強(qiáng)大的網(wǎng)頁安全管理維護(hù)功能的網(wǎng)頁防篡改保護(hù)系統(tǒng)。
一重防護(hù):實(shí)時(shí)阻斷�����。 系統(tǒng)能夠阻斷對(duì)受保護(hù)網(wǎng)頁的非法操作�����,此項(xiàng)技術(shù)有效地甄別合法進(jìn)程和非法進(jìn)程���,阻斷非法進(jìn)程對(duì)網(wǎng)頁的篡改,將非法進(jìn)程直接阻斷����。
二重防護(hù):事件觸發(fā)。 系統(tǒng)具備觸發(fā)式檢驗(yàn)引擎�,針對(duì)受保護(hù)的文件增刪改操作,一觸即發(fā)�,校驗(yàn)修改的合法性���,瞬間清除被非法篡改的網(wǎng)頁�,實(shí)時(shí)恢復(fù)合法網(wǎng)頁。
三重防護(hù):核心內(nèi)嵌��。 系統(tǒng)內(nèi)嵌式篡改檢測(cè)引擎運(yùn)行于Web服務(wù)器內(nèi)部��,與Web服務(wù)器無縫結(jié)合���。系統(tǒng)檢測(cè)每一個(gè)Web請(qǐng)求訪問頁面,進(jìn)行水印校驗(yàn)���,確保發(fā)送網(wǎng)頁的正確性��。
四重防護(hù):主動(dòng)阻斷��。 當(dāng)網(wǎng)站受到持續(xù)性攻擊時(shí)���,系統(tǒng)會(huì)自動(dòng)啟動(dòng)積極防御機(jī)制,從根本上阻斷來自外部的攻擊����。
五重防護(hù):木馬檢測(cè)與查殺。 系統(tǒng)提供對(duì)被保護(hù)網(wǎng)頁是否已經(jīng)中木馬的檢測(cè)能力���,如果已經(jīng)中木馬可以查殺清除����。對(duì)未中木馬的網(wǎng)頁,能提供防止掛木馬的防護(hù)能力���。
結(jié)語
網(wǎng)頁防篡改主要有兩大功能:一是對(duì)攻擊事件進(jìn)行監(jiān)測(cè)與防護(hù)�����,二是網(wǎng)頁被篡改后實(shí)現(xiàn)快速恢復(fù)��。
網(wǎng)頁相當(dāng)于是一個(gè)組織機(jī)構(gòu)的臉面�,如果發(fā)生了黑客惡意篡改網(wǎng)頁����,造成惡性事件,將對(duì)組織機(jī)構(gòu)形象造成嚴(yán)重負(fù)面影響�。因此,無論在日常的網(wǎng)絡(luò)安全加固�,還是在等保評(píng)測(cè)過程中,網(wǎng)頁防篡改防護(hù)均被提到重要高度��,成為一個(gè)政府���、企事業(yè)單位必須采購的網(wǎng)絡(luò)安全產(chǎn)品��。
值得一提的是�����,雖然Web防火墻WAF也能夠在日常的安全運(yùn)營中發(fā)揮作用�,但WAF不能替代網(wǎng)頁防篡改產(chǎn)品。因?yàn)橛泻诳陀刑嗟霓k法可以繞過WAF���,造成網(wǎng)站被攻擊�。惟有網(wǎng)頁防篡改產(chǎn)品才能真正防止網(wǎng)頁篡改惡性事件發(fā)生�,或者在事后對(duì)網(wǎng)頁快速恢復(fù)�����。
關(guān)于國聯(lián)易安
北京國聯(lián)易安信息技術(shù)有限公司(原北京智恒聯(lián)盟科技有限公司)簡稱“國聯(lián)易安”�,成立于2006年,擁有“國聯(lián)易安”和“智恒聯(lián)盟”兩個(gè)品牌����,是國內(nèi)專注于保密與非密領(lǐng)域的分級(jí)保護(hù)、等級(jí)保護(hù)�、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)。公司多項(xiàng)安全技術(shù)補(bǔ)了國內(nèi)技術(shù)空白���,并且在政府�����、金融��、保密��、電信運(yùn)營商����、軍隊(duì)軍工、大中型企業(yè)��、能源��、教育����、醫(yī)療電商等領(lǐng)域得到廣泛應(yīng)用。
國聯(lián)易安除研發(fā)生產(chǎn)專業(yè)安全產(chǎn)品外��,還為客戶提供全面的檢測(cè)與防護(hù)方案專家咨詢�����、源代碼安全評(píng)估、安全運(yùn)維值守����、智能終端安全評(píng)估、安全滲透測(cè)試�、專業(yè)安全培訓(xùn)等專業(yè)安全服務(wù)。
(新媒體責(zé)編:wa12)
京公網(wǎng)安備 11010602130064號(hào)
