烏蓓華，陳 婷

（華東政法大學(xué)信息化辦公室 上海200042）

1 引言

隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲的重要手段。而校園網(wǎng)作為學(xué)校對外宣傳的重要陣地，在樹立形象、宣傳政策、引導(dǎo)輿論等各方面發(fā)揮了較大的作用。因此，校園網(wǎng)絡(luò)安全也越來越引起大家的關(guān)注。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測結(jié)果顯示，Web應(yīng)用安全問題每年以2～3倍的速度遞增。當(dāng)前，針對學(xué)校網(wǎng)站的攻擊，特別是網(wǎng)頁篡改事件的迅猛增長，已經(jīng)成為危害校園網(wǎng)安全最為嚴(yán)重的問題之一。如何能更有效地減少學(xué)校網(wǎng)站被攻擊篡改，提高校園網(wǎng)絡(luò)安全成為我們亟待解決的問題。因此，部署網(wǎng)頁防篡改系統(tǒng)，采用Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，自定義相應(yīng)的防篡改策略，實現(xiàn)網(wǎng)頁和數(shù)據(jù)內(nèi)容的實時監(jiān)測和保護(hù)，不僅可以提高校園網(wǎng)站安全性，同時也為安全事件發(fā)生后的調(diào)查取證提供有價值的線索和依據(jù)。

2 校園網(wǎng)安全防護(hù)現(xiàn)存問題

目前，大部分高校的校園網(wǎng)安全建設(shè)主要使用網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）等網(wǎng)絡(luò)安全設(shè)備。

網(wǎng)絡(luò)防火墻是較為成熟和廣泛應(yīng)用的網(wǎng)絡(luò)安全設(shè)備。但是Web服務(wù)器通常部署在防火墻的DMZ區(qū)域，網(wǎng)絡(luò)防火墻規(guī)則集必須允許重要協(xié)議（如HTTP/HTTPS）不受限制地訪問Web應(yīng)用，即完全向外部網(wǎng)絡(luò)開放HTTP/HTTPS應(yīng)用端口。而且，如果攻擊代碼被嵌入Web通信中，防火墻也只是驗證HTTP協(xié)議本身的合法性，無法判斷對HTTP服務(wù)器的訪問行為是否合法。此時，網(wǎng)絡(luò)防火墻對Web應(yīng)用起不到任何保護(hù)作用。

[1]指出入侵檢測技術(shù)同樣工作在網(wǎng)絡(luò)層上，對應(yīng)用協(xié)議的理解和作用存在相當(dāng)?shù)木窒扌?，對于?fù)雜的HTTP會話和協(xié)議更不能完整處理。由于需要預(yù)先構(gòu)造攻擊特征庫來匹配網(wǎng)絡(luò)數(shù)據(jù)，入侵檢測系統(tǒng)不能檢測和防御未知攻擊和不能有效提取攻擊特征的攻擊。

由于Web服務(wù)器對用戶請求的頁面缺乏完整性保護(hù)機制，而防火墻、入侵檢測系統(tǒng)以及入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備對應(yīng)用層面的攻擊防范效果也并不理想，面對嚴(yán)峻的網(wǎng)站安全形勢，需要應(yīng)用網(wǎng)頁防篡改系統(tǒng)構(gòu)建一個較為完善的網(wǎng)絡(luò)安全體系，進(jìn)一步解決傳統(tǒng)兩層防護(hù)體系存在的安全漏洞。

3 網(wǎng)頁防篡改系統(tǒng)應(yīng)用策略

3.1 網(wǎng)頁防篡改系統(tǒng)體系結(jié)構(gòu)

為提高校園網(wǎng)絡(luò)安全性，同時也為安全事件發(fā)生后的調(diào)查取證提供有價值的線索和依據(jù)，基于現(xiàn)有的網(wǎng)絡(luò)架構(gòu)部署網(wǎng)頁防篡改系統(tǒng)，采用Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，自定義防篡改策略，實現(xiàn)網(wǎng)頁和數(shù)據(jù)內(nèi)容的實時監(jiān)測和保護(hù)，具有重要意義。圖1為網(wǎng)頁防篡改系統(tǒng)部署后的系統(tǒng)結(jié)構(gòu)。

如圖1所示，當(dāng)用戶使用CMS系統(tǒng)通過FTP協(xié)議將網(wǎng)頁上傳到發(fā)布服務(wù)器上，管理和監(jiān)控子系統(tǒng)會實時監(jiān)測到網(wǎng)站目錄結(jié)構(gòu)和文件系統(tǒng)的變化，自動發(fā)布子系統(tǒng)隨即對相關(guān)文件進(jìn)行128位密鑰的HMAC-MD5計算，生成惟一的、不可逆轉(zhuǎn)的和不可偽造的數(shù)字水印，并與Web服務(wù)器上的網(wǎng)站文件進(jìn)行比對。如果發(fā)現(xiàn)文件內(nèi)容有變化，自動發(fā)布程序?qū)⒕W(wǎng)頁和數(shù)字水印通過SSL協(xié)議安全傳輸?shù)絎eb服務(wù)器，更新原有網(wǎng)站內(nèi)容，同時將數(shù)字水印保存在加密水印庫中。

當(dāng)用戶瀏覽網(wǎng)站時，頁面保護(hù)子系統(tǒng)中的應(yīng)用防護(hù)模塊首先會對用戶請求進(jìn)行安全性檢查。如果用戶請求中包含非法字符，防篡改系統(tǒng)會終止該會話的處理，并在日志中記錄相關(guān)攻擊事件。如果用戶請求合法，頁面保護(hù)子系統(tǒng)中的篡改檢測模塊則會對Web服務(wù)器上用戶請求的頁面內(nèi)容進(jìn)行檢測，比對該頁面的數(shù)字水印和加密水印庫中保存的水印是否一致。如果沒找到數(shù)字水印或數(shù)字水印比對失敗，那么該頁面可能是被非法篡改的網(wǎng)頁，防篡改系統(tǒng)會調(diào)用管理子系統(tǒng)進(jìn)行自動恢復(fù)，將發(fā)布服務(wù)器上備份目錄中的相應(yīng)文件重新傳輸?shù)絎eb服務(wù)器上，并記錄恢復(fù)日志。如果檢測正常，則Web服務(wù)器會將頁面框架及其相應(yīng)的數(shù)據(jù)庫信息反饋給網(wǎng)頁瀏覽者。

圖1 網(wǎng)頁防篡改系統(tǒng)部署后的系統(tǒng)結(jié)構(gòu)

3.2 Web服務(wù)器核心內(nèi)嵌

參考文獻(xiàn)[2]提出Web服務(wù)器核心內(nèi)嵌技術(shù)是指將安全模塊內(nèi)嵌在Web服務(wù)器軟件 （IIS/Apache/Weblogic/Websphere）中，模塊針對不同的Web服務(wù)器軟件使用相應(yīng)的核心內(nèi)嵌技術(shù)實現(xiàn)。將URLScan Security Tool內(nèi)嵌于IIS的ISAP模塊中，可限制服務(wù)器處理某些特定的HTTP請求。參考文獻(xiàn)[3]在配置urlscan.ini文件時，定義get、head、post為允許的HTTP請求，設(shè)置asa、可執(zhí)行文件、批處理文件、日志文件、shtml、printer等擴展名文件為拒絕請求文件類型，還可配置【DenyUrlSequences】以禁止URL中包含某些敏感字符序列，例如“..”、“./”、“”、“:”、“%”、“&”。

URLScan與IIS鎖定工具協(xié)同工作，實現(xiàn)了與Web系統(tǒng)完全整合，處理效率高、穩(wěn)定性較強。由于不存在獨立的安全模塊運行進(jìn)程，黑客無法找到和中止安全模塊的運行，使系統(tǒng)能夠理解和分析Web服務(wù)傳入和傳出數(shù)據(jù)，有效地阻止部分Web攻擊，提高服務(wù)器安全性。

3.3 自定義防篡改策略

網(wǎng)頁防篡改系統(tǒng)將篡改檢測模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，其中應(yīng)用防護(hù)模塊會將用戶發(fā)來的請求與攻擊特征庫中的特征碼相比對，檢測其是否包含非法字符。為提高網(wǎng)站安全性，可自定義防篡改系統(tǒng)中的安全策略，增加對輸入字段的字符類型判斷，加強對用戶提交信息的敏感字符過濾。

敏感字符過濾規(guī)則實例如下：

上述規(guī)則是指如在參數(shù)id、pagenumber傳遞內(nèi)容中發(fā)現(xiàn)非數(shù)值型的字符，頁面自動跳轉(zhuǎn)至url指向頁面。

如果過濾規(guī)則制定的過于嚴(yán)密，有時會影響網(wǎng)站功能的正常使用。故可以對某些特殊頁面設(shè)置單獨的過濾策略，例如：

上述規(guī)則是指對于save.asp忽略編號為11103的過濾策略。

3.4 事件觸發(fā)機制實現(xiàn)實時阻斷

網(wǎng)頁防篡改系統(tǒng)通過事件觸發(fā)機制對受保護(hù)文件夾中的所有文件進(jìn)行自動監(jiān)測，經(jīng)過內(nèi)置散列快速算法對照其底層文件屬性，一旦發(fā)現(xiàn)屬性變更，防篡改系統(tǒng)則實時阻斷對外發(fā)送，并通過底層文件驅(qū)動技術(shù)將備份路徑文件夾內(nèi)容自動恢復(fù)到相應(yīng)被篡改的目錄，確保網(wǎng)頁的真實性，整個文件復(fù)制過程達(dá)毫秒級。參考文獻(xiàn)[4]指出頁面防篡改模塊采用Web服務(wù)器底層文件過濾驅(qū)動級保護(hù)技術(shù)，與操作系統(tǒng)緊密結(jié)合，這樣不但完全杜絕了輪詢掃描式頁面防篡改軟件掃描間隔中篡改內(nèi)容被用戶訪問的可能，同時也大大減少了內(nèi)存消耗和CPU占用率。

同時，根據(jù)網(wǎng)站的實際運行情況，我們也可對一些特殊的目錄和文件設(shè)置單獨的同步策略。比如，對于需在服務(wù)器本機上實時更改的數(shù)據(jù)庫文件、自動生成的靜態(tài)頁面，在同步策略中設(shè)置過濾列表，當(dāng)文件內(nèi)容發(fā)生改變時，系統(tǒng)會將過濾列表之外的文件目錄自動同步更新。

4 結(jié)束語

隨著學(xué)校信息化建設(shè)的不斷發(fā)展和提高，許多重要應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)都通過門戶網(wǎng)站開展業(yè)務(wù)，因此保護(hù)Web應(yīng)用系統(tǒng)安全變得越來越重要。在現(xiàn)有校園網(wǎng)安全防護(hù)的基礎(chǔ)上部署網(wǎng)頁防篡改系統(tǒng)，采用Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時監(jiān)測和恢復(fù)，也可以保護(hù)數(shù)據(jù)庫中的動態(tài)內(nèi)容免受Web攻擊和篡改。同時，網(wǎng)頁防篡改系統(tǒng)詳細(xì)的日志信息也為我們?nèi)粘５陌踩S護(hù)工作提供幫助。一旦發(fā)生安全事件，防篡改系統(tǒng)還將為之后的調(diào)查取證工作提供有價值的線索和依據(jù)。

參考文獻(xiàn)

1 iGuard網(wǎng)頁防篡改系統(tǒng)白皮書.http://www.tcxa.com.cn/

2 張磊，王麗娜，王德軍.一種網(wǎng)頁防篡改的系統(tǒng)模型.武漢大學(xué)學(xué)報（理學(xué)版），2009，55（1）

3 How to configure the URLScan Tool,http://support.microsoft.com/kb/326444/en-us

4 崔娟.數(shù)據(jù)安全防篡改解決方案研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（12）