校园网安全防护中网页防篡改系统的应用策略研究*

乌蓓华，陈 婷

（华东政法大学信息化办公室 上海200042）

1 引言

随着信息技术的不断发展，互联网已经成为信息传播、流通、交换及存储的重要手段。而校园网作为学校对外宣传的重要阵地，在树立形象、宣传政策、引导舆论等各方面发挥了较大的作用。因此，校园网络安全也越来越引起大家的关注。据国家互联网应急中心监测结果显示，Web应用安全问题每年以2～3倍的速度递增。当前，针对学校网站的攻击，特别是网页篡改事件的迅猛增长，已经成为危害校园网安全最为严重的问题之一。如何能更有效地减少学校网站被攻击篡改，提高校园网络安全成为我们亟待解决的问题。因此，部署网页防篡改系统，采用Web服务器核心内嵌技术，将篡改检测模块和应用防护模块内嵌于Web服务器内部，自定义相应的防篡改策略，实现网页和数据内容的实时监测和保护，不仅可以提高校园网站安全性，同时也为安全事件发生后的调查取证提供有价值的线索和依据。

2 校园网安全防护现存问题

目前，大部分高校的校园网安全建设主要使用网络防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）等网络安全设备。

网络防火墙是较为成熟和广泛应用的网络安全设备。但是Web服务器通常部署在防火墙的DMZ区域，网络防火墙规则集必须允许重要协议（如HTTP/HTTPS）不受限制地访问Web应用，即完全向外部网络开放HTTP/HTTPS应用端口。而且，如果攻击代码被嵌入Web通信中，防火墙也只是验证HTTP协议本身的合法性，无法判断对HTTP服务器的访问行为是否合法。此时，网络防火墙对Web应用起不到任何保护作用。

[1]指出入侵检测技术同样工作在网络层上，对应用协议的理解和作用存在相当的局限性，对于复杂的HTTP会话和协议更不能完整处理。由于需要预先构造攻击特征库来匹配网络数据，入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击。

由于Web服务器对用户请求的页面缺乏完整性保护机制，而防火墙、入侵检测系统以及入侵防御系统等网络安全设备对应用层面的攻击防范效果也并不理想，面对严峻的网站安全形势，需要应用网页防篡改系统构建一个较为完善的网络安全体系，进一步解决传统两层防护体系存在的安全漏洞。

3 网页防篡改系统应用策略

3.1 网页防篡改系统体系结构

为提高校园网络安全性，同时也为安全事件发生后的调查取证提供有价值的线索和依据，基于现有的网络架构部署网页防篡改系统，采用Web服务器核心内嵌技术，将篡改检测模块和应用防护模块内嵌于Web服务器内部，自定义防篡改策略，实现网页和数据内容的实时监测和保护，具有重要意义。图1为网页防篡改系统部署后的系统结构。

如图1所示，当用户使用CMS系统通过FTP协议将网页上传到发布服务器上，管理和监控子系统会实时监测到网站目录结构和文件系统的变化，自动发布子系统随即对相关文件进行128位密钥的HMAC-MD5计算，生成惟一的、不可逆转的和不可伪造的数字水印，并与Web服务器上的网站文件进行比对。如果发现文件内容有变化，自动发布程序将网页和数字水印通过SSL协议安全传输到Web服务器，更新原有网站内容，同时将数字水印保存在加密水印库中。

当用户浏览网站时，页面保护子系统中的应用防护模块首先会对用户请求进行安全性检查。如果用户请求中包含非法字符，防篡改系统会终止该会话的处理，并在日志中记录相关攻击事件。如果用户请求合法，页面保护子系统中的篡改检测模块则会对Web服务器上用户请求的页面内容进行检测，比对该页面的数字水印和加密水印库中保存的水印是否一致。如果没找到数字水印或数字水印比对失败，那么该页面可能是被非法篡改的网页，防篡改系统会调用管理子系统进行自动恢复，将发布服务器上备份目录中的相应文件重新传输到Web服务器上，并记录恢复日志。如果检测正常，则Web服务器会将页面框架及其相应的数据库信息反馈给网页浏览者。

图1 网页防篡改系统部署后的系统结构

3.2 Web服务器核心内嵌

参考文献[2]提出Web服务器核心内嵌技术是指将安全模块内嵌在Web服务器软件 （IIS/Apache/Weblogic/Websphere）中，模块针对不同的Web服务器软件使用相应的核心内嵌技术实现。将URLScan Security Tool内嵌于IIS的ISAP模块中，可限制服务器处理某些特定的HTTP请求。参考文献[3]在配置urlscan.ini文件时，定义get、head、post为允许的HTTP请求，设置asa、可执行文件、批处理文件、日志文件、shtml、printer等扩展名文件为拒绝请求文件类型，还可配置【DenyUrlSequences】以禁止URL中包含某些敏感字符序列，例如“..”、“./”、“”、“:”、“%”、“&”。

URLScan与IIS锁定工具协同工作，实现了与Web系统完全整合，处理效率高、稳定性较强。由于不存在独立的安全模块运行进程，黑客无法找到和中止安全模块的运行，使系统能够理解和分析Web服务传入和传出数据，有效地阻止部分Web攻击，提高服务器安全性。

3.3 自定义防篡改策略

网页防篡改系统将篡改检测模块和应用防护模块内嵌于Web服务器内部，其中应用防护模块会将用户发来的请求与攻击特征库中的特征码相比对，检测其是否包含非法字符。为提高网站安全性，可自定义防篡改系统中的安全策略，增加对输入字段的字符类型判断，加强对用户提交信息的敏感字符过滤。

敏感字符过滤规则实例如下：

上述规则是指如在参数id、pagenumber传递内容中发现非数值型的字符，页面自动跳转至url指向页面。

如果过滤规则制定的过于严密，有时会影响网站功能的正常使用。故可以对某些特殊页面设置单独的过滤策略，例如：

上述规则是指对于save.asp忽略编号为11103的过滤策略。

3.4 事件触发机制实现实时阻断

网页防篡改系统通过事件触发机制对受保护文件夹中的所有文件进行自动监测，经过内置散列快速算法对照其底层文件属性，一旦发现属性变更，防篡改系统则实时阻断对外发送，并通过底层文件驱动技术将备份路径文件夹内容自动恢复到相应被篡改的目录，确保网页的真实性，整个文件复制过程达毫秒级。参考文献[4]指出页面防篡改模块采用Web服务器底层文件过滤驱动级保护技术，与操作系统紧密结合，这样不但完全杜绝了轮询扫描式页面防篡改软件扫描间隔中篡改内容被用户访问的可能，同时也大大减少了内存消耗和CPU占用率。

同时，根据网站的实际运行情况，我们也可对一些特殊的目录和文件设置单独的同步策略。比如，对于需在服务器本机上实时更改的数据库文件、自动生成的静态页面，在同步策略中设置过滤列表，当文件内容发生改变时，系统会将过滤列表之外的文件目录自动同步更新。

4 结束语

随着学校信息化建设的不断发展和提高，许多重要应用系统和业务数据都通过门户网站开展业务，因此保护Web应用系统安全变得越来越重要。在现有校园网安全防护的基础上部署网页防篡改系统，采用Web服务器核心内嵌技术，将篡改检测模块和应用防护模块内嵌于Web服务器内部，不仅实现了对静态网页和脚本的实时监测和恢复，也可以保护数据库中的动态内容免受Web攻击和篡改。同时，网页防篡改系统详细的日志信息也为我们日常的安全维护工作提供帮助。一旦发生安全事件，防篡改系统还将为之后的调查取证工作提供有价值的线索和依据。

参考文献

1 iGuard网页防篡改系统白皮书.http://www.tcxa.com.cn/

2 张磊，王丽娜，王德军.一种网页防篡改的系统模型.武汉大学学报（理学版），2009，55（1）

3 How to configure the URLScan Tool,http://support.microsoft.com/kb/326444/en-us

4 崔娟.数据安全防篡改解决方案研究.网络安全技术与应用，2007（12）