淺論網頁篡改技術

范凱

[摘 要] 我國已經進入信息化時代，信息化給我們帶來便利的同時，也給我們帶來了煩惱。網頁由于受到攻擊使網站蒙受損失，同時還造成一定的社會負面影響。所以，提高網頁防篡技術就成為我們在信息化時代面臨的重要任務。本文對網頁篡改的原因進行分析，并對網頁防篡技術的發展進行論述，進而提出網頁防篡技術評估的方法。

[關鍵詞] 網頁防篡技術外掛輪詢技術核心內嵌技術文件過濾驅動技術

計算機技術的發展是當代經濟的重要標志。計算機技術廣泛應用于各個領域，比如建筑設計、教育、企業宣傳等。企業在向外界推廣自己的時候也會采用網絡推廣的方法，因為網絡的傳播速度快，接受人群也相對較多。但是，企業也會經常遇到網頁被篡改的事件，給企業帶來一定的麻煩，有的甚至讓企業蒙受損失。因此，提高網站的安全，保證網頁內容的完整，防止網頁被篡改就成為我們目前面臨的重要任務。

一、網頁篡改現象存在的原因

網頁被篡改的原因是多方面的，既有技術方面的原因，也有管理方面的原因，有時網頁被篡改是由于設備配置的原因。

1.在目前的網站建設中，存在漏洞，為黑客等提供了攻擊的突破口。現在已經公布的操作系統漏洞有一萬多個，系統漏洞從發現到被利用為5天，而修復漏洞的補丁的發布時間為47天。另外，應用系統漏洞也成為攻擊的對象。

2.網絡管理員難以完全實現安全管理要求。在網絡安全管理中，對安全管理的要求相當苛刻，比如，密碼管理合格密碼需要8位以上復雜字符并定期改變，漏洞補丁操作系統、中間件、應用系統的定期更新等，這對網絡安全管理人員來說，任務是非常重。

3.網絡設備防篡的不足為了保護網站的安全，大多數網站系統都使用了防火墻和入侵檢測系統等網絡安全設備來保護自身的安全。防火墻作為一種網絡安全設備被廣泛應用在網絡安全中，但是在防止網頁被篡改方面，防火墻起不到什么作用。因為防火墻完全向外部網絡開放web應用端口，對Web應用沒有任何的保護作用，即使使用http代理型的防火墻，防火墻也只是驗證http協議本身的合法性，完全不能理解http協議所承載的數據，也無從判斷對http服務器的訪問行為是否合法。入侵檢測技術與防火墻一樣，在應用協議的理解和作用方面具有局限性，對于復雜的http會話和協議更是不能完整處理，所以對攻擊網頁的行為，入侵檢測系統無法檢測和防御，修復被篡改的網頁就更談不上了。使用防火墻和入侵檢測技術對于網頁篡改來說是沒有效的，需要專業的防篡改網頁的設備和系統來對網頁進行保護，保證網頁的安全。

4.外部原因。除了上述原因外，網頁被篡改或受攻擊的直接原因就是黑客。黑客或者是為了展示自己高超的技術，或者是受雇與競爭對手，或者是受雇于非法組織，也有可能是員工對企業的不滿的一種情緒的宣泄。

二、網頁防篡技術的發展

網頁防篡技術發展到現在，已經發展到第三代，現就網頁防篡改技術的發展過程做一個介紹。

1. 起始階段——人工對比檢測

人工對比檢測是網絡管理員對要保護的網站進行人工監控，在監控過程中，如果發現有內容被篡改，要對網頁進行修改和還原。人工對比檢測不能算是應對網頁篡改的原始手段，嚴格第講并不是一種網頁防篡改技術，但是這種方法在真正的網頁防篡改系統出現以前的相當長時間內一直被使用。這種安全監控方法的效果并不好，對網頁的安全性保護沒有太大的作用。這種監控方法最大的缺點就是對網頁的安全不能進行即時監控。網絡管理員無法及時的發現被篡改，往往是被篡改一段時間后才被發現，即使發現以后也要花費一定的時間才能進行修復和還原。

2. 第一代——外掛輪詢技術

外掛輪詢技術是利用一個網頁檢測程序，以輪詢方式讀出要監控的網頁，通過與真實網頁相比較來判斷網頁內容的完整性，對于被篡改的網頁進行報警和恢復。這種監控方法比人工監控的效率大大提高。但是外掛輪詢技術也存在缺點，那就是在外掛輪詢技術在進行掃描時會有時間間隔的存在，大約時長為幾十分鐘。而在這段間隔期間，無法防止黑客對系統的攻擊，使網頁處于危險的境地。

3. 第二代——核心內嵌技術

所謂核心內嵌技術即密碼水印技術，即最初先將網頁內容采取非對稱加密存放，在外來訪問請求時將經過加密驗證過的文件進行解密對外發布，若未經過驗證，則拒絕對外發布，調用備份網站文件進行驗證解密后對外發布。

核心內嵌技術的安全性與外掛輪巡技術相比，大大提高，而且核心內嵌技術在進行網頁檢查時沒有時間間隔，從而可以使網頁一直在監控之中。核心內嵌技術如果要有效防止網頁被篡改，就必須對網頁的完整性進行實時檢查，而這樣會占用系統資源，使服務器負載較大，導致系統反應緩慢。同時該技術還使得網頁的發布流程發生了改變，這使得網站要對自身的架構進行重新設計，而且要更新服務器。

4.第三代——文件過濾驅動技術＋事件觸發技術

文件過濾驅動技術需要與事件觸發技術結合起來才能發揮防篡改的作用，它開始是被用在軍隊保密系統中。其原理是：將篡改監測的核心程序通過微軟文件底層驅動技術應用到Web服務器中，通過事件觸發方式進行自動監測，對文件夾的所有文件內容，對照其底層文件屬性，經過內置散列快速算法，實時進行監測。若發現屬性變更，則通過非協議方式、純文件安全拷貝方式將備份路徑文件夾內容拷貝到監測文件夾相應文件位置。通過這種技術的應用，可以使被篡改的網頁在很短的時間內得到修改，用戶不會瀏覽到被篡改的網頁，從而使網頁正常運轉。

文件過濾驅動技術可以監測的所有的文件類型，而且執行準確率高。文件過濾驅動技術可以完全避免外掛輪詢技術的輪詢間隔，并且使用戶無法看到被篡改的內容，極大第提高了網頁的安全性。同時，文件過濾驅動技術比核心內嵌式技術消耗的內存和CPU占用率要低得多。

三、網頁防篡技術評估

一般用戶在網絡上瀏覽的網頁可以分成靜態網頁和動態網頁兩種。靜態網頁是用戶直接看到的界面，動態網頁是Web服務器上的腳本文件（如jsp文件）經過執行后，將其執行的結果反饋給公眾。比如，我們在點擊一個連接時就會在后臺運行腳本，執行之后在界面上顯示出結果。腳本通常會讀取數據庫中的數據，因此最后生成的網頁可以認為是腳本文件和數據庫內容的綜合。由此可知，要防止網頁被篡改，實質就是保護文件（無論是靜態網頁文件還是腳本文件）和數據庫的安全。

因此，一個有效的網頁防篡改系統必須達到以下兩個方面的要求：

1. 實現對網頁文件的完整性檢查和保護，并達到100%的防護效果，即被篡改網頁不可能被訪問到。

2. 實現對已知的來自于Web的數據庫攻擊手段的防范。

為了對網頁防篡技術的評估，可以對技術按照這兩方面的要求進行測試。例如：文件保護可以通過直接修改Web服務器上的文件，再用瀏覽器訪問該文件來測試是否達到了100%可靠的防護效果；數據庫保護則可以通過一些黑客工具（NBSI、HDSI等等）對受保護網站進行模擬攻擊。

四、結束語

網頁被篡改會引起一系列的麻煩，對于企業來說，可能會泄漏企業機密，而對于政府網站來說，可能會對政府的形象帶來負面影響。所以，防止網頁被篡改，提高網頁防篡技術是信息化時代的要求。我們必須加大對技術研究的力度，從各個方面對技術研究進行支持，使網頁防篡技術可以保證網頁的安全。

參考文獻：

[1] 蓋玲防網頁篡改技術比較分析圖書與情報 2007年第2期.

[2] 余明華網頁安全防范策略的研究與實施科技信息（學術研究） 2006年第6期.

[3] 羅利民網頁防篡改技術的一種實現福建電腦 2008年第11期.

[4] 趙曉云，穆慧敏山西省地震局網頁防篡改技術應用及應急預案研究山西地震 2011年第7期.

[5] 占明艷企業網絡安全對策研究軟件導刊 2008年第9期.

[6] 楊敏，網頁防篡改安全研究中國高新技術企業 2010年第9期.