浅谈一种网页防篡改技术在校园网中的实现

郭波涛

(仙桃职业学院，湖北仙桃433000)

浅谈一种网页防篡改技术在校园网中的实现

郭波涛

(仙桃职业学院，湖北仙桃433000)

校园网作为一种集合了科、教为一体的综合性大型信息服务平台，可以延伸开发更多的Web应用级的产品。当前随着高校信息化建设的深入发展，校园网络的安全问题也日益突显出来，对校园网的攻击，尤其是篡改网页事件的频发，已成为危害校园网安全的严重问题之一。对高校而言，如何提高校园网络的安全性，减少和避免校园网页的篡改事件，已成为校园信息建设工作中亟待解决的重要环节。针对防篡改系统的实现展开相关的分析。

校园网；防篡改；Web网页；高校

现阶段社会已步入信息化社会发展阶段，在社会各领域中互联网技术已成为重要的流通、交换和储存手段。校园网是高校对外宣传展示的主要平台，具有宣传政策、树立形象等作用，所以校园网络的安全问题一直被社会高度关注。根据国家互联网应急中心的相关检测结果显示，Web应用的安全问题每年都在呈现不断上升的发展趋势，已成为严重危害校园网安全的重要问题之一。因此需要结合校园网部署相应的防篡改系统，利用Web服务器核心内嵌技术，在Web服务器内部将篡改检测模块和应用防护模块内嵌，并对其自定义配套的防篡改策略，进而实现网页以及数据的动态监测。

1 目前高校校园网安全存在的风险

1.1 终端工具存在漏洞

通常情况下，教育行业的网站应用中，相关的网站维护人员常使用ftp、Pc anywhere、Telnet、CMS等终端工具，但是这些终端工具的使用还需要开设相应的服务器端口，加之操作操作系统和网站漏洞较多，给一些黑客、病毒借助开放的端口和漏洞进行破坏提供了便捷的条件。

1.2 缺乏有效的保护系统

Web应用系统多采用asp开发，即便是在采用NET/JAVA开发时，网站自身的存在的漏洞以及上传功能模块等给木马病毒的攻击创造了有力的条件，并不能够有效地确保网站被恶意的篡改。另外网络的防火墙应用的网络安全设备都以较为成熟并广泛应用，但是Web服务器一般都被部署在防火墙的DMZ位置，且网络防火墙必须要允许重要协议不限制的访问Web应用。如果攻击代码被嵌入到Web通信中，防火墙也只能是验证其协议的合法性，无法判断应用端口的访问行为是否合法，由此可见，网络防火站对Web没有任何的保护作用。Web服务器在用户请求的页面中也缺乏完整性的保护机制，相应的造成防火墙等网络安全设备对应用层面的保护效果并不理想[1]。

1.3 网站系统缺乏实时性的保护模块

网站发布目录根本不存在实时性的保护以及报警机制，所以在日常使用中，一旦有非法操作入侵，网站管理人员很难及时地了解网站的运行情况，导致某些非法的文件长期的保留在网站的服务器中，久而远之，给校园网带来了极大的危害性[2]。

2 防篡改技术概述

在分析黑客篡改网页的目的时，可以将网页篡改操作分为经济型和政治型两类，经济型是以获取经济利益为目的的篡改，常见于商业网站，具有较大的危害性，如果处理不到位往往会给商家带来严重的损失。而且在现阶段较多的被攻击的商业网站机构都是缺失对该问题的重视，存在侥幸心理，最后陷入困局。政治型的篡改较之经济型篡改，其问题更为严重，常见于政府机构、宗教组织以及民间组织等，该种类型的网页受众较多，具有极强的传播性和权威性特点，如果发生网页恶性篡改事件则会造成非常恶劣的影响[3]。所以针对异常篡改造成的严重影响，社会各界采取了一定的防篡改技术，并取得一定的成效，以下对四种常见的防篡改技术进行相关的论述：

第一，外挂轮询技术，也被称为定时循环扫描技术，借助网页检测程序将被检测网页文件和网页文件夹通过轮询方式读出，然后与制定的文件进行对比判别文件是否被篡改，如果发现篡改的文件则立即恢复。但是运用到内容丰富的校园网页上，轮询周期过长，存在较大的系统资源浪费。

第二，核心内嵌技术，指通过B/S模式提出网页修改的请求，先通过加密算法验证，如果通过验证则进行修改。该技术对服务器具有较高的运算资源要求，不适用于校园网正常的修改。

第三，事件触发技术，编写具有带有检测功能的程序，对网站的目录以及网页进行实时性的查看，可以对非法性的修改发出警报并能恢复。但是建立在“网页不会私自篡改”基础上的安全技术手段，对没有触发的网页无法展开检查，故此访问者极有可能访问到被恶意篡改的网页。

第四，文件过滤驱动技术，在Web服务器放入对篡改行为进行检测的内置散列快速算法的监测程序，实现触发方式下的自动监测，如果发现属性则通过非协议性的手段进行变更。与操作系统进行配合可以实现文件的过滤和保护，达到页面防止篡改的目的[4]。

3 网页防篡改系统应用的实现

3.1 校园网页防篡改系统的设计

网站安全问题的形势较为严峻，应从应用层角度出发解决网站的安全问题，基于现有的网络架构来部署针对性的网页防篡改系统，使用Web服务器核心内嵌技术，在Web服务器内部嵌入篡改监测模块和应用防护模块，并对防篡改策略进行自定义，进而实现网页和数据内容的实时性监测和保护功能。该系统的功能设计如下：

1)监控和恢复功能设计，为了确保网站文件安全的保障机制，对监控网站文件进行实时性的变更，降低篡改操作的发生概率。并且能够在发生篡改操作时，对文件进行自动实时性的恢复。另外将所有互联网访问进行内容过滤处理，确保发布内容的正确性。

2)同步和备份功能设计，无缝集成各类网站的发布方式，如：CMS、Telnet等，确保网站内容能够实现更新维护的自动化和实时性。建立网站备份功能。可以有效地在系统实施过程中的初始化不借助第三方软件进行。

3)告警和日志功能设计，对于网站发生的各类篡改操作或者企图篡改行为，系统能够实现实时性的报警，并将详细的信息借助告警的方式上传至网站管理人员。而日志功能可以将篡改操作进行记录，便于追究和落实篡改责任，对网站管理人员而言，也为了解和掌握网页安全和系统运行等基本信息提供了资料[5]。

4)拥护权限的管理功能设计，网站管理的安全性提高可以设置多用户管理机制，对不同拥护的权限按照实际需求分别进行操作控制。网页防篡改系统根据逻辑部署位置以及不同的职责分为4部分：监控代理(MA)、同步代理(SA)、客户端管理(MC)以及管理平台(SP)。MA在网站服务器上进行部署，具有实时监控保护网站文件的作用，对篡改操作和篡改企图实时发送恢复请求并提交告警提示信心；SA在同步服务器上部署，职责为处理监控代理提交的恢复请求，分析请求执行与网站服务器的文件进行同步；MC在网站管理元的计算机上安装，是用户和系统之间的接口，具有传达操作指令的功能，将实时接收来自各代理端的告警信息及时通知到用户；SP是更高一级的管理子系统，于总中心的管理服务器进行部署，其作用是负责接收在管辖范围内监控中心提交的所有各类关键信息[6]。

3.2 校园网页防篡改系统解决方案的实现

系统实现的原理为：将网站的文件分成两份，一份是备份文件，一份用于对外发布提供用户访问的内容。网站管理人员可以借助后台管理平台对发布的文件进行修改，并自动同步到备份文件中，如果有恶意篡改或者删除操作时，备份文件自动对篡改和删除的文件进行还原操作，从而实现了网页防止篡改的目的。根据前文分析的防篡改系统设计的特点，高校可以结合自身校园网的情况，在学校主页网站等重要的服务器上部署网页防篡改系统，将MC和发布服务器在同一服务器上设置，通过网站服务器实现防篡改的管理。在日常管理中结合系统运行的情况防止外部的各类攻击操作，增强了提供公共信息服务器的可靠性[7]。

3.3 自定义防篡改和事件触发机制实时阻断

在Web服务器内部嵌入篡改检测模块和应用防护模块，应用防护模块可以将用户提交的请求和攻击特征数据库中的特征码进行对比，检测请求提示中是否含有非法字符。为提高校园网站的安全性，可以对防篡改系统中的安全策略进行自定义设计，对输入字段增加字符类型的判断，进而强化用户提交信息的敏感字符过滤功能。

网页防篡改系统对网页受保护文件夹中的所有文件借助事件触发机制开展自动监测，通过内置散列快速计算法对底层文件属性，如果发现属性变更，系统立即阻断对外发送过程，由底层文件驱动技术奖备份文件中的内容自动的恢复到被篡改的目录中，进而确保网页的真实性，整个文件的恢复过程可以通过毫秒级计算。另外，根据校园网的实际运行现状，可以对一些特殊的目录和文件专门设置单独的同步策略。例如：一些需要在服务器本机中进行实时性更改的数据库文件、自动生成的静态页面，可以在同步策略中设置过滤列表，一旦有文件内容发生变化时，防篡改系统则自动将过滤列表以外的文件目录进行自动的同步和更新[8]。

3.4 校园网页防篡改系统应用优点

针对设计的校园网页防篡改系统特点，采用了先进的Web服务器内嵌技术，在实际运用中结构有内网、DMZ以及公网，其中内网有维护终端、MC(管理中心)构成，DMZ由MA(监控代理)构成，分为主页和二级网站，公网为因特网。该结构中，监控终端能够查看新建、修改以及删除等篡改行为发生的时间、被篡改Web服务器的位置、文件名，系统能够分析篡改的情况并对篡改行为进行跟踪定位，将篡改后的文件在制定的目录下进行保存。由此可以看出，监控用户端查看网站的篡改报警信息不受地点的限制，有利于及时发现篡改事件。系统监控到网页被篡改后，能够自动的恢复网页并对篡改行为进行日志记录，有利于网站的正常运行和恢复。另外该系统还可以应用在监控系统文件中的篡改情况中，避免系统失效[9]。

4 结束语

总而言之，随着学校信息化建设的深入发展，有较多的应用系统和业务数据都需要借助校园门户网站进行，所以加强对Web应用系统安全保护至关重要。以校园网安全防护为基础，针对性的部署网页防篡改系统，借助Web服务器核心内嵌技术，达到对静态网页和脚本的动态性监测，有效避免了数据库中的信息内容免受不法的攻击和篡改操作。

[1]罗跃国.一种网页防篡改技术在校园网中的实现[J].西安文理学院学报:自然科学版,2011(1).

[2]苏树海,李娜.网页防篡改技术研究[J].中国高新技术企业, 2012(18).

[3]张溢.校园网网页防篡改技术探讨[J].数字技术与应用,2012 (12).

[4]李悦,孙健,沈宏.校园网网页防篡改技术研究与分析[J].电脑知识与技术,2010(36).

[5]乌蓓华,陈婷.校园网安全防护中网页防篡改系统的应用策略研究[J].电信科学,2010(S2).

[6]王伟萍.校园网主页防篡改系统研究与开发[D].华北电力大学,2013.

[7]尹力.网页防篡改系统在校园网中的应用研究[D].河北科技大学,2011.

[8]韩业欣.浅谈网页防篡改技术的应用[J].智能城市,2016(9).

[9]阮宏玮,李华,王小雨,等.基于快照轮询和文本检测的批量网页防篡改系统[J].广西大学学报:自然科学版,2011,36(z1).

TP393

A

1009-3044(2017)21-0057-02

2017-06-15

郭波涛(1980—)，男，湖北仙桃人，本科，讲师，研究方向为计算机网络技术。