如何防治網頁篡改現象

宗興

摘 要：網頁會對站內文件進行保護，并有效的對網頁篡改進行描述，提出了網頁保護的有效方式方法。

關鍵詞：網頁；篡改；保護；技術

中圖分類號：TP39 文獻標識碼：B

1 概述

隨著網站的迅速增長，隨之而來的安全問題也日益突出，針對網站主要表現手段的網頁攻擊也越來越多，已經成為危害最為嚴重的網絡安全問題。黑客攻擊和計算機病毒主要破壞網站的完整性和可用性，其通過對主頁進行篡改以及盜取系統文件、修改系統文件，伺機影響其他用戶。

2 網站安全保護技術和方法

2.1人工對比檢測。該種對比檢測的方式從本質上講即由專門等管理人員對網絡系統進行監控，并保護受保護網站的安全，一旦出現篡改現象。若出現網頁篡改現象，則必須對其進行還原以及修改。其實該種方式不能夠算是網頁防篡技術，只能算作一種手段，用于網頁的防篡。但是該種方式所取得的效果還是同現實具有較大的差距。該種屬于最原始的方式，并且工作效率較低。首先不提成本問題，單單從人力監控方面講，該種方式無法及時的對網頁篡改現象予以制止、了解，也無法第一時間對篡改網頁進行修改。若網頁被篡改后管理員發現該問題時，很多訪客已經訪問了該頁面。

2.2時間輪詢。該項技術又被叫做外掛輪詢，原始的網頁篡改預防檢測主要依賴于人力檢測，但是該項技術打破了這一常規的檢測手段，而以一種新的自動化的形式對網頁防篡技術予以革新。

該項技術的原理是通過網頁檢測程序，對被監控網頁進行輪詢讀取，網頁的內容是否完整則是通過輪詢結果同實際網頁情況進行對比得出，從而達到網頁的防篡預警以及網頁恢復的目的。不過該技術在對網頁進行監控的過程中，會在每個網頁的檢驗上存在一個時間間隔，即掃面間隔。一般這一間隔時間能夠達到數十分鐘，而在這一間隔中，黑客仍舊有機會繼續攻擊系統，并令被篡改網頁受到訪問。該技術的應用較為適合一些訪問以及應用較少的網頁防篡中，即過去訪問量少，并且網頁應用也不多。并且隨著網頁制作復雜程度的提升，通過該技術對網頁進行檢測掃描會耗費更長的時間，且系統資源利用較多，因此該項技術在逐步的被新技術所取代。

2.3核心內遷嵌。平常所說的密碼水印技術即核心內嵌，該項技術首先會將網頁的內容進行加密，且加密的方式具有非對稱性，當對該內容進行訪問時則需要通過加密驗證，驗證通過后對內容再次進行解密，繼而發布。若驗證未通過，則發布被拒絕，對備用網站文件進行調用，經過解密后予以發布。事件觸發機制是該項技術需要用到的，只有經過觸發，對文件屬性進行對比后才能予以訪問，例如對大小的對比以及頁面生成時間的對比等。同外掛輪詢技術相比其安全性得到了有效的提高，但是仍舊存在不足之處，即服務資源會被加密計算占用很多，系統的反映速度會受到影響。

該項技術對輪詢間隔這一事件輪詢技術無法避免的缺陷予以有效的規避，但是該技術會對所有的網頁在流出時進行完整檢查，因此會令系統資源被大量的占用，加大了服務器負載。另外也更改了網頁的發布正常流程，需要重新構架網頁，并利用新服務器在網頁發布中發揮作用。

2.4文件的過濾驅動。該種技術的初始應用階段主要在軍方以及一些高度機密系統中被應用，主要作用是審計以及對文件的保護，后來被一些好事者用于流氓軟件中，可以說該項技術的應用優劣各有一半。后來在網頁篡改的預防中該項技術得到了發展和應用，并發揮其重要的作用。在網頁的篡改預防中，該項技術的安全性、高效性以及便捷性得到了一致的認可。

3防篡改安全防護功能

3.1網頁文件的安全保護。網頁的文件可以通過文件保護這項功能實現動態的實時的保護，若訪問為非法的未授權訪問則會進行攔截，以此避免受保護的文件受到非法用戶的惡意刪除以及篡改，保證網頁文件保持完整。這項保護功能的實現，需要由網站維護人員以及相關管理人員事先進行設置，通過保護策略對某一目錄進行保護屬性的設定，從而使得網站該目錄下的文件受到保護，不經過特殊的授權對其無權進行刪改。并且若增加、刪改操作屬于未授權操作，這里包括修改文件的命名以及屬性、移動文件等操作，系統會自動發出警報。

3.2網絡攻擊防護。黑客還可以利用多種工具對網站進行攻擊，這些攻擊包括：（1）利用網站應用漏洞使用SQL注入或跨站攻擊等方式，獲得系統或數據庫管理員權限，從而達到網頁篡改或破壞網頁的目的；（2）XSS攻擊，即跨站腳本攻擊。惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的；（3）利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞系統利用系統漏洞；（4）使用緩沖區溢出方式獲得管理員權限，從而任意修改網站內容，竊取信息；（5）利用DoS、DDoS等方式，造成服務癱瘓。所以需要對網站進行攻擊防護，防護的手段有多種，比如防火墻、IPS、防病毒軟件等。

3.3雙擊熱備。網站系統采用雙機進行熱備，從而提高系統的穩定性和可靠性。兩臺為主機和從機，在主機工作的同時，從機處于實時監控主機的工作狀態，當主機因不可抗力而工作異常時，從機能夠及時發現問題并立即接替主機的工作，并發出報警通知網絡管理員。

同時，用戶可以通過的備份服務器，在不停止備份功能的前提下，自動更新網頁，備份服務器與網頁內容發布系統無縫集成，內容發布系統可以將內容直接發布到備份服務器，備份服務器會自動將這些內容更新到Web服務器上。

3.4屏蔽內容。若在內容頁或者主頁關鍵詞上出現敏感性內容時，系統就會對該網頁實行屏蔽處理，那么對于該特殊內容頁用戶是無法進行正常的訪問的，從而保證受到影響的網頁不會被訪問。

結語

文章主要針對網站篡改的防護以及相關篡改技術予以討論，通過對篡改方式以及防止措施的介紹，對網站安全性的提高提出了相關意見，以期能夠為網站運行的安全穩定提供助力。

參考文獻

[1]張領，劉勝珍，楊曉華.校園網頁被篡改的研究與防范[J].電腦知識與技術，2008（34）.

[2]楊勇.一種動態網頁保護系統的設計與實現[J].辦公自動化，2011（08）.

[3]趙莉，梁靜.網頁防篡改中分布式文件同步復制系統[J].電子設計工程，2012（23）.