校園網安全防護中網頁防篡改系統的應用策略研究*

烏蓓華，陳 婷

（華東政法大學信息化辦公室 上海200042）

1 引言

隨著信息技術的不斷發展，互聯網已經成為信息傳播、流通、交換及存儲的重要手段。而校園網作為學校對外宣傳的重要陣地，在樹立形象、宣傳政策、引導輿論等各方面發揮了較大的作用。因此，校園網絡安全也越來越引起大家的關注。據國家互聯網應急中心監測結果顯示，Web應用安全問題每年以2～3倍的速度遞增。當前，針對學校網站的攻擊，特別是網頁篡改事件的迅猛增長，已經成為危害校園網安全最為嚴重的問題之一。如何能更有效地減少學校網站被攻擊篡改，提高校園網絡安全成為我們亟待解決的問題。因此，部署網頁防篡改系統，采用Web服務器核心內嵌技術，將篡改檢測模塊和應用防護模塊內嵌于Web服務器內部，自定義相應的防篡改策略，實現網頁和數據內容的實時監測和保護，不僅可以提高校園網站安全性，同時也為安全事件發生后的調查取證提供有價值的線索和依據。

2 校園網安全防護現存問題

目前，大部分高校的校園網安全建設主要使用網絡防火墻、入侵檢測系統（IDS）和入侵防御系統（IPS）等網絡安全設備。

網絡防火墻是較為成熟和廣泛應用的網絡安全設備。但是Web服務器通常部署在防火墻的DMZ區域，網絡防火墻規則集必須允許重要協議（如HTTP/HTTPS）不受限制地訪問Web應用，即完全向外部網絡開放HTTP/HTTPS應用端口。而且，如果攻擊代碼被嵌入Web通信中，防火墻也只是驗證HTTP協議本身的合法性，無法判斷對HTTP服務器的訪問行為是否合法。此時，網絡防火墻對Web應用起不到任何保護作用。

[1]指出入侵檢測技術同樣工作在網絡層上，對應用協議的理解和作用存在相當的局限性，對于復雜的HTTP會話和協議更不能完整處理。由于需要預先構造攻擊特征庫來匹配網絡數據，入侵檢測系統不能檢測和防御未知攻擊和不能有效提取攻擊特征的攻擊。

由于Web服務器對用戶請求的頁面缺乏完整性保護機制，而防火墻、入侵檢測系統以及入侵防御系統等網絡安全設備對應用層面的攻擊防范效果也并不理想，面對嚴峻的網站安全形勢，需要應用網頁防篡改系統構建一個較為完善的網絡安全體系，進一步解決傳統兩層防護體系存在的安全漏洞。

3 網頁防篡改系統應用策略

3.1 網頁防篡改系統體系結構

為提高校園網絡安全性，同時也為安全事件發生后的調查取證提供有價值的線索和依據，基于現有的網絡架構部署網頁防篡改系統，采用Web服務器核心內嵌技術，將篡改檢測模塊和應用防護模塊內嵌于Web服務器內部，自定義防篡改策略，實現網頁和數據內容的實時監測和保護，具有重要意義。圖1為網頁防篡改系統部署后的系統結構。

如圖1所示，當用戶使用CMS系統通過FTP協議將網頁上傳到發布服務器上，管理和監控子系統會實時監測到網站目錄結構和文件系統的變化，自動發布子系統隨即對相關文件進行128位密鑰的HMAC-MD5計算，生成惟一的、不可逆轉的和不可偽造的數字水印，并與Web服務器上的網站文件進行比對。如果發現文件內容有變化，自動發布程序將網頁和數字水印通過SSL協議安全傳輸到Web服務器，更新原有網站內容，同時將數字水印保存在加密水印庫中。

當用戶瀏覽網站時，頁面保護子系統中的應用防護模塊首先會對用戶請求進行安全性檢查。如果用戶請求中包含非法字符，防篡改系統會終止該會話的處理，并在日志中記錄相關攻擊事件。如果用戶請求合法，頁面保護子系統中的篡改檢測模塊則會對Web服務器上用戶請求的頁面內容進行檢測，比對該頁面的數字水印和加密水印庫中保存的水印是否一致。如果沒找到數字水印或數字水印比對失敗，那么該頁面可能是被非法篡改的網頁，防篡改系統會調用管理子系統進行自動恢復，將發布服務器上備份目錄中的相應文件重新傳輸到Web服務器上，并記錄恢復日志。如果檢測正常，則Web服務器會將頁面框架及其相應的數據庫信息反饋給網頁瀏覽者。

圖1 網頁防篡改系統部署后的系統結構

3.2 Web服務器核心內嵌

參考文獻[2]提出Web服務器核心內嵌技術是指將安全模塊內嵌在Web服務器軟件 （IIS/Apache/Weblogic/Websphere）中，模塊針對不同的Web服務器軟件使用相應的核心內嵌技術實現。將URLScan Security Tool內嵌于IIS的ISAP模塊中，可限制服務器處理某些特定的HTTP請求。參考文獻[3]在配置urlscan.ini文件時，定義get、head、post為允許的HTTP請求，設置asa、可執行文件、批處理文件、日志文件、shtml、printer等擴展名文件為拒絕請求文件類型，還可配置【DenyUrlSequences】以禁止URL中包含某些敏感字符序列，例如“..”、“./”、“”、“:”、“%”、“&”。

URLScan與IIS鎖定工具協同工作，實現了與Web系統完全整合，處理效率高、穩定性較強。由于不存在獨立的安全模塊運行進程，黑客無法找到和中止安全模塊的運行，使系統能夠理解和分析Web服務傳入和傳出數據，有效地阻止部分Web攻擊，提高服務器安全性。

3.3 自定義防篡改策略

網頁防篡改系統將篡改檢測模塊和應用防護模塊內嵌于Web服務器內部，其中應用防護模塊會將用戶發來的請求與攻擊特征庫中的特征碼相比對，檢測其是否包含非法字符。為提高網站安全性，可自定義防篡改系統中的安全策略，增加對輸入字段的字符類型判斷，加強對用戶提交信息的敏感字符過濾。

敏感字符過濾規則實例如下：

上述規則是指如在參數id、pagenumber傳遞內容中發現非數值型的字符，頁面自動跳轉至url指向頁面。

如果過濾規則制定的過于嚴密，有時會影響網站功能的正常使用。故可以對某些特殊頁面設置單獨的過濾策略，例如：

上述規則是指對于save.asp忽略編號為11103的過濾策略。

3.4 事件觸發機制實現實時阻斷

網頁防篡改系統通過事件觸發機制對受保護文件夾中的所有文件進行自動監測，經過內置散列快速算法對照其底層文件屬性，一旦發現屬性變更，防篡改系統則實時阻斷對外發送，并通過底層文件驅動技術將備份路徑文件夾內容自動恢復到相應被篡改的目錄，確保網頁的真實性，整個文件復制過程達毫秒級。參考文獻[4]指出頁面防篡改模塊采用Web服務器底層文件過濾驅動級保護技術，與操作系統緊密結合，這樣不但完全杜絕了輪詢掃描式頁面防篡改軟件掃描間隔中篡改內容被用戶訪問的可能，同時也大大減少了內存消耗和CPU占用率。

同時，根據網站的實際運行情況，我們也可對一些特殊的目錄和文件設置單獨的同步策略。比如，對于需在服務器本機上實時更改的數據庫文件、自動生成的靜態頁面，在同步策略中設置過濾列表，當文件內容發生改變時，系統會將過濾列表之外的文件目錄自動同步更新。

4 結束語

隨著學校信息化建設的不斷發展和提高，許多重要應用系統和業務數據都通過門戶網站開展業務，因此保護Web應用系統安全變得越來越重要。在現有校園網安全防護的基礎上部署網頁防篡改系統，采用Web服務器核心內嵌技術，將篡改檢測模塊和應用防護模塊內嵌于Web服務器內部，不僅實現了對靜態網頁和腳本的實時監測和恢復，也可以保護數據庫中的動態內容免受Web攻擊和篡改。同時，網頁防篡改系統詳細的日志信息也為我們日常的安全維護工作提供幫助。一旦發生安全事件，防篡改系統還將為之后的調查取證工作提供有價值的線索和依據。

參考文獻

1 iGuard網頁防篡改系統白皮書.http://www.tcxa.com.cn/

2 張磊，王麗娜，王德軍.一種網頁防篡改的系統模型.武漢大學學報（理學版），2009，55（1）

3 How to configure the URLScan Tool,http://support.microsoft.com/kb/326444/en-us

4 崔娟.數據安全防篡改解決方案研究.網絡安全技術與應用，2007（12）