趙維佺 魏小銳 劉永波 熊輝

1 東莞理工學(xué)院 廣東 523808

2 深圳昂楷科技有限公司 廣東 518034

3長安大學(xué)信息工程學(xué)院 陜西 710064

0 序言

高等院校實(shí)驗(yàn)中心隨著開放實(shí)驗(yàn)室建設(shè)、對(duì)外交流的擴(kuò)大和海量信息頻繁發(fā)布的需要，大多數(shù)實(shí)驗(yàn)中心都建立了完善的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并不斷在加快網(wǎng)絡(luò)信息系統(tǒng)建設(shè)，構(gòu)建綜合型實(shí)驗(yàn)教學(xué)信息平臺(tái)。隨著中心主頁訪問量的增加，安全問題擺在了我們面前，構(gòu)建一個(gè)高效的實(shí)驗(yàn)中心主頁防篡改系統(tǒng)是保證實(shí)驗(yàn)中心信息平臺(tái)安全穩(wěn)定運(yùn)行的有效途徑。本文從網(wǎng)頁防篡改系統(tǒng)的設(shè)計(jì)原理入手，論述了適用于實(shí)驗(yàn)中心主頁的網(wǎng)頁防篡改系統(tǒng)的關(guān)鍵實(shí)現(xiàn)技術(shù)，主要包括防篡改系統(tǒng)的典型部署方式、Web防火墻、實(shí)時(shí)阻斷模塊和BI智能分析模塊三大模塊的設(shè)計(jì)。

1 網(wǎng)頁防篡改系統(tǒng)的設(shè)計(jì)原理

1.1 網(wǎng)頁防篡改系統(tǒng)組成

網(wǎng)頁防篡改系統(tǒng)由管理控制端、監(jiān)控端和發(fā)布端組成。管理控制端可安裝在任何一臺(tái)服務(wù)器上，主要負(fù)責(zé)配置、管理和查看監(jiān)控端和發(fā)布端的各種信息，并下發(fā)站點(diǎn)安全規(guī)則到監(jiān)控端；監(jiān)控端安裝在Web服務(wù)器上，主要是對(duì)站點(diǎn)進(jìn)行保護(hù)備份和監(jiān)測(cè)；發(fā)布端安裝在更新服務(wù)器上，主要對(duì)站點(diǎn)文件進(jìn)行更新。

管理控制端主要用來配置和下發(fā)安全策略，提供管理員管理操作監(jiān)控端和發(fā)布端的Web管理界面，并通過傳輸服務(wù)模塊和通訊模塊負(fù)責(zé)和監(jiān)控端的文件傳輸、日志報(bào)警、系統(tǒng)狀態(tài)等數(shù)據(jù)。監(jiān)控端主要包含實(shí)時(shí)阻斷模塊和Web防火墻模塊。實(shí)時(shí)阻斷模塊主要對(duì)站點(diǎn)網(wǎng)頁文件或文件夾進(jìn)行實(shí)時(shí)保護(hù)，實(shí)現(xiàn)站點(diǎn)靜態(tài)區(qū)域文件的保護(hù)；Web防火墻模塊主要對(duì)網(wǎng)頁訪問進(jìn)行保護(hù)，如防止非法網(wǎng)頁請(qǐng)求和SQL注入攻擊等，實(shí)現(xiàn)站點(diǎn)動(dòng)態(tài)區(qū)域文件的保護(hù)。

1.2 網(wǎng)頁防篡改系統(tǒng)部署

在部署網(wǎng)頁防篡改系統(tǒng)時(shí)，首先需要架設(shè)管理控制端，然后，在Web服務(wù)器上安裝監(jiān)控端軟件，通過在管理控制端的配置監(jiān)控端認(rèn)證信息，即可實(shí)現(xiàn)管理控制端和監(jiān)控端之間的安全連接。站點(diǎn)管理員通過管理控制端可以查看監(jiān)控端的運(yùn)行情況及日志信息。發(fā)布端部署在更新服務(wù)器上，負(fù)責(zé)所有網(wǎng)頁內(nèi)容的更新。

由于管理控制端具有管理控制、站點(diǎn)備份的權(quán)力，一般在管理控制端前架設(shè)一臺(tái)應(yīng)用網(wǎng)關(guān)設(shè)備，用于站點(diǎn)管理員安全地連到管理控制端。根據(jù)用戶狀況、需求、提供環(huán)境的不同，網(wǎng)頁防篡改系統(tǒng)可采用六種不同的部署方式，分述如下。

(1) 簡單部署方式

如圖1所示，簡單部署方式把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端、發(fā)布端和管理控制端軟件部署在一臺(tái)Web服務(wù)器上。Web服務(wù)器既接收網(wǎng)頁發(fā)布，也對(duì)外提供Web服務(wù)。另外，如果網(wǎng)站管理員需要遠(yuǎn)程到Web服務(wù)器進(jìn)行維護(hù)和更新，可以采用VPN或FTP的方式。該部署方式比較適合那些小型的、需要租用專門機(jī)構(gòu)的Web服務(wù)器的機(jī)構(gòu)。

圖1 簡單部署方式示例

在安全考慮上，由于Web服務(wù)器對(duì)外提供Web服務(wù)，需要暴露在外網(wǎng)中。因此，Web服務(wù)所在的網(wǎng)頁目錄更容易遭到攻擊。這種部署方式能夠在一定程度上防止對(duì)網(wǎng)頁的直接篡改。但是，由于發(fā)布目錄和Web服務(wù)目錄都在Web服務(wù)器上(雖然在不同目錄下)，有可能會(huì)被黑客發(fā)現(xiàn)并加以篡改。因此，這種部署方式并不能完全發(fā)揮網(wǎng)頁防篡改系統(tǒng)的安全防護(hù)作用。一般情況下，并不建議這種部署方式。

(2) 基本部署方式

如圖2所示，基本部署方式需要兩臺(tái)服務(wù)器，把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端軟件安裝在一臺(tái)Web服務(wù)器上，發(fā)布端和管理控制端軟件安裝在另一臺(tái)服務(wù)器上，用來發(fā)布、更新站點(diǎn)文件的內(nèi)容。一般來說，發(fā)布服務(wù)器位于內(nèi)網(wǎng)中，處于相對(duì)安全的環(huán)境中。所有網(wǎng)頁的合法變更(包括增加、修改、刪除、重命名)都在發(fā)布端進(jìn)行，啟用監(jiān)控端的自動(dòng)發(fā)布功能，發(fā)布服務(wù)器上的任何文件/目錄的變化都會(huì)自動(dòng)并立即反映到Web服務(wù)器上的相應(yīng)位置。因此，這種方式具有很好的Web安全防護(hù)效果。如果網(wǎng)站管理員需要遠(yuǎn)程到Web服務(wù)器進(jìn)行維護(hù)和更新，可以采用VPN或FTP的方式。這樣，發(fā)布服務(wù)器會(huì)自動(dòng)對(duì)前段站點(diǎn)進(jìn)行更新，同時(shí)也保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

圖2 基本部署方式示例

基本部署方式既可以實(shí)現(xiàn)具有統(tǒng)一網(wǎng)站編輯部門的組織或機(jī)構(gòu)的集中發(fā)布，也可以滿足具有多個(gè)下屬部門獨(dú)立制作，需要通過互聯(lián)網(wǎng)遠(yuǎn)程發(fā)布的組織或機(jī)構(gòu)的分布式發(fā)布要求。

(3) 擴(kuò)展部署方式

如圖3所示，擴(kuò)展部署方式是基本部署方式的擴(kuò)展，網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端軟件分別安裝在兩臺(tái)獨(dú)立服務(wù)器上。

圖3 擴(kuò)展部署方式示例

(4) 標(biāo)準(zhǔn)部署方式

由于現(xiàn)今大多數(shù)網(wǎng)站都使用了內(nèi)容管理系統(tǒng)(Content Management System)進(jìn)行網(wǎng)頁的編輯、審核、簽發(fā)和合成等工作，為了滿足這些機(jī)構(gòu)組織的需求，提供了適應(yīng)該環(huán)境的標(biāo)準(zhǔn)部署方式。如圖4所示，該部署方式把網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端軟件安裝在一臺(tái)Web服務(wù)器上，發(fā)布端和管理控制端直接安裝在CMS上，把CMS發(fā)布的目錄作為發(fā)布端的發(fā)布目錄，這樣，無需更改CMS的端口，即可實(shí)現(xiàn)發(fā)布端對(duì)Web服務(wù)器文件/目錄的更新。

圖4 標(biāo)準(zhǔn)部署方式示例

(5) 多Web服務(wù)器部署方式

多Web服務(wù)器部署方式適合于大型門戶網(wǎng)站，它具有多臺(tái)獨(dú)立的Web服務(wù)器，其網(wǎng)絡(luò)地址、網(wǎng)絡(luò)內(nèi)容不同，操作系統(tǒng)也可以不同。它們可以使用同一套或不同套CMS。部署方式如圖5所示，在CMS上安裝網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端，用于更新主站點(diǎn)Web服務(wù)器上的內(nèi)容；在主站點(diǎn)的Web服務(wù)器上安裝發(fā)布端和監(jiān)控端，其中的發(fā)布端用來更新分站點(diǎn)上Web服務(wù)器上的內(nèi)容；在各個(gè)分站點(diǎn)上需要安裝網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端。

圖5 多Web服務(wù)器部署方式示例

(6) 多CMS部署方式

如圖6所示，多CMS部署方式適合大型的門戶網(wǎng)站，具有多個(gè)CMS和多個(gè)獨(dú)立、異構(gòu)的Web服務(wù)器。在各CMS上分別安裝網(wǎng)頁防篡改系統(tǒng)的發(fā)布端和管理控制端軟件，多個(gè)發(fā)布端合成并更新主站點(diǎn)Web服務(wù)器上的內(nèi)容；在主站點(diǎn)的Web服務(wù)器上安裝發(fā)布端和監(jiān)控端軟件，主站點(diǎn)Web服務(wù)器上的發(fā)布端用來更新分站點(diǎn)上Web服務(wù)器上的內(nèi)容；同樣，需要在各個(gè)分站點(diǎn)安裝網(wǎng)頁防篡改系統(tǒng)的監(jiān)控端。

圖6 多CMS部署方式示例

1.3 網(wǎng)頁防篡改系統(tǒng)工作流程

用戶訪問網(wǎng)站時(shí)，首先要經(jīng)過Web防火墻的監(jiān)控，對(duì)非法請(qǐng)求、惡意掃描及數(shù)據(jù)庫注入攻擊等進(jìn)行攔截，只有合法的請(qǐng)求被傳到Web站點(diǎn)；然后，由Web站點(diǎn)進(jìn)行網(wǎng)頁文件請(qǐng)求，同時(shí)，實(shí)時(shí)阻斷模塊開始工作，對(duì)訪問網(wǎng)頁進(jìn)行實(shí)時(shí)規(guī)則檢查、對(duì)網(wǎng)頁的篡改及刪除等操作進(jìn)行攔截，并產(chǎn)生日志及報(bào)警；合法的請(qǐng)求被通過后，最終結(jié)果返回給用戶。網(wǎng)頁防篡改系統(tǒng)工作流程如圖7所示。

1.4 網(wǎng)頁防篡改系統(tǒng)三大核心模塊設(shè)計(jì)

1.4.1 Web防火墻

Web防火墻模塊主要對(duì)站點(diǎn)動(dòng)態(tài)區(qū)域文件進(jìn)行保護(hù)，是分析和攔截非法用戶訪問請(qǐng)求的第一道門檻。通過Web防火墻中的SQL防注入、關(guān)鍵字過濾、IP范圍過濾、訪問時(shí)間過濾，可以防止SQL注入攻擊、惡意掃描、非法網(wǎng)頁請(qǐng)求等Web安全事件的發(fā)生。Web防火墻的作用如圖8所示。

圖8 Web防火墻的作用

(1) 防SQL注入攻擊

SQL的注入式攻擊主要是服務(wù)器端暴露的訪問SQL的方法和手段被客戶端所利用，進(jìn)而對(duì)SQL數(shù)據(jù)庫進(jìn)行非法操作的攻擊行為，由于數(shù)據(jù)庫本身的系統(tǒng)漏洞和網(wǎng)站編程人員的安全意識(shí)薄弱，數(shù)據(jù)庫存在注入攻擊的可能是很大的，因此，防止SQL注入攻擊成為網(wǎng)站安全的重中之重。

Web防火墻模塊中的SQL防注入功能，通過設(shè)定正則表達(dá)式的規(guī)則，可以有效的防止黑客通過注入SQL語句的方式從網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫中獲取、修改數(shù)據(jù)信息或攻擊數(shù)據(jù)庫，如攔截mdb文件上傳/下載、一般SQL注入猜測(cè)、SQL寫操作關(guān)鍵字、SQL存儲(chǔ)過程關(guān)鍵字、一般1=1注入測(cè)試及系統(tǒng)shell關(guān)鍵字等。

(2) 關(guān)鍵字過濾

通過設(shè)定關(guān)鍵字過濾規(guī)則，可以對(duì)站點(diǎn)訪問路徑、訪問文件、查詢串、提交內(nèi)容(POST)、主機(jī)域、瀏覽器(User-Agent串)、Cookie串等進(jìn)行限制。其中，設(shè)定訪問路徑過濾規(guī)則，可以過濾通過非法訪問路徑訪問網(wǎng)站的用戶非法訪問請(qǐng)求；設(shè)定訪問文件過濾規(guī)則，可以對(duì)用戶的非法文件上傳和下載進(jìn)行限制；設(shè)定查詢串過濾規(guī)則，可以對(duì)用戶的非法查詢行為進(jìn)行限制；設(shè)定POST過濾規(guī)則，可以對(duì)用戶提交的非法內(nèi)容進(jìn)行限制；設(shè)定主機(jī)域過濾規(guī)則，可以對(duì)用戶訪問的域名、IP地址進(jìn)行限制；設(shè)定瀏覽器過濾規(guī)則，可以對(duì)用戶訪問所使用的瀏覽器進(jìn)行限制；設(shè)定Cookie值，可以對(duì)用戶訪問記錄的保存情況進(jìn)行限制。

(3) IP范圍和訪問時(shí)間過濾

IP范圍過濾規(guī)則主要對(duì)訪問用戶的來源地址的IP范圍進(jìn)行限定，訪問時(shí)間過濾規(guī)則主要對(duì)用戶訪問站點(diǎn)的時(shí)間范圍進(jìn)行限定。

需要指出的是，關(guān)鍵字過濾、IP范圍和訪問時(shí)間過濾規(guī)則之間是與的關(guān)系，即當(dāng)這三個(gè)規(guī)則同時(shí)成立時(shí)，過濾規(guī)則才生效。各種規(guī)則設(shè)置界面如圖9所示。

圖9 規(guī)則設(shè)置界面示例

1.4.2 實(shí)時(shí)阻斷模塊

實(shí)時(shí)阻斷模塊內(nèi)嵌于Web服務(wù)器中，是一種主動(dòng)和直接的網(wǎng)站文件保護(hù)方式，它不僅可以實(shí)現(xiàn)多個(gè)站點(diǎn)文件的保護(hù)，還可以實(shí)現(xiàn)單個(gè)站點(diǎn)中文件夾或文件夾中單個(gè)文件的保護(hù)。采用該技術(shù)，可以預(yù)先把站點(diǎn)或站點(diǎn)目錄文件保護(hù)起來，除了指定的合法進(jìn)程和端口服務(wù)之外，禁止其它任何進(jìn)程和端口訪問對(duì)保護(hù)的目錄及文件的所有更改操作，在非法進(jìn)程開始侵入系統(tǒng)之前就切斷其連接，禁止其下一步行為。實(shí)時(shí)阻斷模塊的作用如圖10所示。

圖10 實(shí)時(shí)阻斷模塊作用

1.4.3 BI智能分析模塊

BI智能分析摸塊，是一種商業(yè)智能的網(wǎng)站分析模塊，它在網(wǎng)站日志分析的基礎(chǔ)上，應(yīng)用商業(yè)智能領(lǐng)域中的數(shù)據(jù)庫、在線分析處理以及數(shù)據(jù)挖掘三大技術(shù)，對(duì)網(wǎng)站進(jìn)行數(shù)據(jù)測(cè)量、評(píng)價(jià)預(yù)測(cè)，以及綜合性的分析，是一套先進(jìn)的交互式專業(yè)日志分析軟件。

2 總結(jié)

實(shí)驗(yàn)中心主頁作為實(shí)驗(yàn)中心信息發(fā)布、資源共享和對(duì)外交流的平臺(tái)，是中心的窗口和門戶，面對(duì)目前越來越多的網(wǎng)絡(luò)威脅，防止中心主頁被篡改已成為保護(hù)中心網(wǎng)站安全穩(wěn)定運(yùn)行必不可少的措施。本文設(shè)計(jì)了一類網(wǎng)頁防篡改系，通過對(duì)網(wǎng)頁防篡改系統(tǒng)設(shè)計(jì)原理、典型模塊設(shè)計(jì)原理及過程的分析，指出了該類系統(tǒng)實(shí)現(xiàn)的原理和關(guān)鍵技術(shù)，希望對(duì)相關(guān)系統(tǒng)設(shè)計(jì)起到借鑒作用。

[1] CNCERT/CC.2010年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[EB/OL].http://www.cert.org.cn/articles/docs/common/2011042225342.s html.心建設(shè)—以東莞理工學(xué)院為例[J].實(shí)驗(yàn)室研究與探索.2011.

[2] 蓋玲.防網(wǎng)頁篡改技術(shù)比較分析[J].圖書與情報(bào).2007.

[3] 陳寧江,杜凡遠(yuǎn).網(wǎng)頁防篡改應(yīng)用技術(shù)分析[J].現(xiàn)代機(jī)械.2009.

[4] 張建華,李濤,張楠.Web頁面防篡改及防重放機(jī)制[J].計(jì)算機(jī)應(yīng)用.2006.

[5] 楊飛.網(wǎng)頁防篡改技術(shù)[J].計(jì)算機(jī)安全.2008.

[6] 姚瀅.網(wǎng)頁防篡改系統(tǒng)的研究與設(shè)計(jì)方案[J].計(jì)算機(jī)安全.2010.