宗 興

（遼河油田勘探開發(fā)研究院,遼寧 盤錦 124010）

1 概述

隨著網(wǎng)站的迅速增長，隨之而來的安全問題也日益突出，針對網(wǎng)站主要表現(xiàn)手段的網(wǎng)頁攻擊也越來越多，已經(jīng)成為危害最為嚴(yán)重的網(wǎng)絡(luò)安全問題。黑客攻擊和計算機病毒主要破壞網(wǎng)站的完整性和可用性，其通過對主頁進行篡改以及盜取系統(tǒng)文件、修改系統(tǒng)文件，伺機影響其他用戶。

2 網(wǎng)站安全保護技術(shù)和方法

2.1 人工對比檢測。該種對比檢測的方式從本質(zhì)上講即由專門等管理人員對網(wǎng)絡(luò)系統(tǒng)進行監(jiān)控，并保護受保護網(wǎng)站的安全，一旦出現(xiàn)篡改現(xiàn)象。若出現(xiàn)網(wǎng)頁篡改現(xiàn)象，則必須對其進行還原以及修改。其實該種方式不能夠算是網(wǎng)頁防篡技術(shù)，只能算作一種手段，用于網(wǎng)頁的防篡。但是該種方式所取得的效果還是同現(xiàn)實具有較大的差距。該種屬于最原始的方式，并且工作效率較低。首先不提成本問題，單單從人力監(jiān)控方面講，該種方式無法及時的對網(wǎng)頁篡改現(xiàn)象予以制止、了解，也無法第一時間對篡改網(wǎng)頁進行修改。若網(wǎng)頁被篡改后管理員發(fā)現(xiàn)該問題時，很多訪客已經(jīng)訪問了該頁面。

2.2 時間輪詢。該項技術(shù)又被叫做外掛輪詢，原始的網(wǎng)頁篡改預(yù)防檢測主要依賴于人力檢測，但是該項技術(shù)打破了這一常規(guī)的檢測手段，而以一種新的自動化的形式對網(wǎng)頁防篡技術(shù)予以革新。

該項技術(shù)的原理是通過網(wǎng)頁檢測程序，對被監(jiān)控網(wǎng)頁進行輪詢讀取，網(wǎng)頁的內(nèi)容是否完整則是通過輪詢結(jié)果同實際網(wǎng)頁情況進行對比得出，從而達(dá)到網(wǎng)頁的防篡預(yù)警以及網(wǎng)頁恢復(fù)的目的。不過該技術(shù)在對網(wǎng)頁進行監(jiān)控的過程中，會在每個網(wǎng)頁的檢驗上存在一個時間間隔，即掃面間隔。一般這一間隔時間能夠達(dá)到數(shù)十分鐘，而在這一間隔中，黑客仍舊有機會繼續(xù)攻擊系統(tǒng)，并令被篡改網(wǎng)頁受到訪問。該技術(shù)的應(yīng)用較為適合一些訪問以及應(yīng)用較少的網(wǎng)頁防篡中，即過去訪問量少，并且網(wǎng)頁應(yīng)用也不多。并且隨著網(wǎng)頁制作復(fù)雜程度的提升，通過該技術(shù)對網(wǎng)頁進行檢測掃描會耗費更長的時間，且系統(tǒng)資源利用較多，因此該項技術(shù)在逐步的被新技術(shù)所取代。

2.3 核心內(nèi)遷嵌。平常所說的密碼水印技術(shù)即核心內(nèi)嵌，該項技術(shù)首先會將網(wǎng)頁的內(nèi)容進行加密，且加密的方式具有非對稱性，當(dāng)對該內(nèi)容進行訪問時則需要通過加密驗證，驗證通過后對內(nèi)容再次進行解密，繼而發(fā)布。若驗證未通過，則發(fā)布被拒絕，對備用網(wǎng)站文件進行調(diào)用，經(jīng)過解密后予以發(fā)布。事件觸發(fā)機制是該項技術(shù)需要用到的，只有經(jīng)過觸發(fā)，對文件屬性進行對比后才能予以訪問，例如對大小的對比以及頁面生成時間的對比等。同外掛輪詢技術(shù)相比其安全性得到了有效的提高，但是仍舊存在不足之處，即服務(wù)資源會被加密計算占用很多，系統(tǒng)的反映速度會受到影響。

該項技術(shù)對輪詢間隔這一事件輪詢技術(shù)無法避免的缺陷予以有效的規(guī)避，但是該技術(shù)會對所有的網(wǎng)頁在流出時進行完整檢查，因此會令系統(tǒng)資源被大量的占用，加大了服務(wù)器負(fù)載。另外也更改了網(wǎng)頁的發(fā)布正常流程，需要重新構(gòu)架網(wǎng)頁，并利用新服務(wù)器在網(wǎng)頁發(fā)布中發(fā)揮作用。

2.4 文件的過濾驅(qū)動。該種技術(shù)的初始應(yīng)用階段主要在軍方以及一些高度機密系統(tǒng)中被應(yīng)用，主要作用是審計以及對文件的保護，后來被一些好事者用于流氓軟件中，可以說該項技術(shù)的應(yīng)用優(yōu)劣各有一半。后來在網(wǎng)頁篡改的預(yù)防中該項技術(shù)得到了發(fā)展和應(yīng)用，并發(fā)揮其重要的作用。在網(wǎng)頁的篡改預(yù)防中，該項技術(shù)的安全性、高效性以及便捷性得到了一致的認(rèn)可。

3 防篡改安全防護功能

3.1 網(wǎng)頁文件的安全保護。網(wǎng)頁的文件可以通過文件保護這項功能實現(xiàn)動態(tài)的實時的保護，若訪問為非法的未授權(quán)訪問則會進行攔截，以此避免受保護的文件受到非法用戶的惡意刪除以及篡改，保證網(wǎng)頁文件保持完整。這項保護功能的實現(xiàn)，需要由網(wǎng)站維護人員以及相關(guān)管理人員事先進行設(shè)置，通過保護策略對某一目錄進行保護屬性的設(shè)定，從而使得網(wǎng)站該目錄下的文件受到保護，不經(jīng)過特殊的授權(quán)對其無權(quán)進行刪改。并且若增加、刪改操作屬于未授權(quán)操作，這里包括修改文件的命名以及屬性、移動文件等操作，系統(tǒng)會自動發(fā)出警報。

3.2 網(wǎng)絡(luò)攻擊防護。黑客還可以利用多種工具對網(wǎng)站進行攻擊，這些攻擊包括：（1）利用網(wǎng)站應(yīng)用漏洞使用SQL注入或跨站攻擊等方式，獲得系統(tǒng)或數(shù)據(jù)庫管理員權(quán)限，從而達(dá)到網(wǎng)頁篡改或破壞網(wǎng)頁的目的；（2）XSS攻擊，即跨站腳本攻擊。惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目的；（3）利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞系統(tǒng)利用系統(tǒng)漏洞；（4）使用緩沖區(qū)溢出方式獲得管理員權(quán)限，從而任意修改網(wǎng)站內(nèi)容，竊取信息；（5）利用DoS、DDoS等方式，造成服務(wù)癱瘓。所以需要對網(wǎng)站進行攻擊防護，防護的手段有多種，比如防火墻、IPS、防病毒軟件等。

3.3 雙擊熱備。網(wǎng)站系統(tǒng)采用雙機進行熱備，從而提高系統(tǒng)的穩(wěn)定性和可靠性。兩臺為主機和從機，在主機工作的同時，從機處于實時監(jiān)控主機的工作狀態(tài)，當(dāng)主機因不可抗力而工作異常時，從機能夠及時發(fā)現(xiàn)問題并立即接替主機的工作，并發(fā)出報警通知網(wǎng)絡(luò)管理員。

同時，用戶可以通過的備份服務(wù)器，在不停止備份功能的前提下，自動更新網(wǎng)頁，備份服務(wù)器與網(wǎng)頁內(nèi)容發(fā)布系統(tǒng)無縫集成，內(nèi)容發(fā)布系統(tǒng)可以將內(nèi)容直接發(fā)布到備份服務(wù)器，備份服務(wù)器會自動將這些內(nèi)容更新到Web服務(wù)器上。

3.4 屏蔽內(nèi)容。若在內(nèi)容頁或者主頁關(guān)鍵詞上出現(xiàn)敏感性內(nèi)容時，系統(tǒng)就會對該網(wǎng)頁實行屏蔽處理，那么對于該特殊內(nèi)容頁用戶是無法進行正常的訪問的，從而保證受到影響的網(wǎng)頁不會被訪問。

結(jié)語

文章主要針對網(wǎng)站篡改的防護以及相關(guān)篡改技術(shù)予以討論，通過對篡改方式以及防止措施的介紹，對網(wǎng)站安全性的提高提出了相關(guān)意見，以期能夠為網(wǎng)站運行的安全穩(wěn)定提供助力。

[1]張領(lǐng)，劉勝珍，楊曉華.校園網(wǎng)頁被篡改的研究與防范[J].電腦知識與技術(shù)，2008（34）.

[2]楊勇.一種動態(tài)網(wǎng)頁保護系統(tǒng)的設(shè)計與實現(xiàn)[J].辦公自動化，2011（08）.

[3]趙莉，梁靜.網(wǎng)頁防篡改中分布式文件同步復(fù)制系統(tǒng)[J].電子設(shè)計工程，2012（23）.