网页防篡改技术探究

网页篡改是最为常见的一种黑客攻击形式。网页篡改是一种通过网页应用中的漏洞获取权限，非法篡改Web应用中的内容、植入暗链、传播恶意信息，危害社会安全并牟取暴利的网络攻击行为。

近些年来，网页篡改攻击事件层出不穷，且具有以下四个特点：篡改网站页面传播速度快、阅读人群多；篡改页面容易，预先检查、实时防范、事后消除影响难；网络环境复杂，追查责任难；攻击工具简单，并且向智能化趋势发展。

零时代：人工对比检测

人工对比检测，其实就是一种专门指派网络管理人员，人工监控需要保护的网站，一旦发现被篡改，然后以人力对其修改还原的手段。严格说来，人工对比检测不能算是一种网页防篡改系统采用的技术，而只能算是一种原始的应对网页被篡改的手段。但是其在网页防篡改的技术发展历程中存在一段相当久的时间。

这种手段非常原始且效果不佳，且不说人力成本较高，其最致命的缺陷在于人力监控不能达到即时性，也就是不能在第一时间发现网页被篡改，也不能在第一时间做出还原，当管理人员发现网页被篡改再做还原时，被篡改的网页已在互联网存在了一段时间，可能已经被一定数量的网民浏览，造成一定的负面影响。

第一代：时间轮询技术

时间轮询技术，也称“外挂轮询技术”。从这一代开始，网页防篡技术已经摆脱了以人力检测恢复为主体的原始手段，而是作为一种自动化的技术形式出现。时间轮询技术是利用一个网页检测程序，以轮询方式读出要监控的网页，与真实网页相比较后，进行判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

采用时间轮询式的网页防篡改系统，对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟。所以，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。

此类应用在过去网页访问量较少，具体网页应用较少的情况下适用，目前网站页面通常少则上百页，检测轮询时间更长，且占用系统资源较大，该技术逐渐被淘汰。

第二代：事件触发+核心内嵌技术

将事件触发技术与核心内嵌技术两种技术放在同一代来说，是因为这两种网页防篡改技术出现的时间差距不大，而且两种技术常常被结合使用。

所谓核心内嵌技术，即密码水印技术，最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的，进行解密对外发布，若未经过验证，则拒绝对外发布，调用备份网站文件进行验证解密后对外发布。此种技术通常要结合事件触发机制对文件的部分属性进行对比，如大小、页面生成时间等做判断，无法更准确的进行其它属性的判断。其最大的特点就是相对外挂轮询技术安全性大大提高，但其美中不足是加密计算会占用大量服务器资源，系统反映较慢。

核心内嵌技术避免了时间轮询技术的轮询间隔这个缺点。但是由于这种技术是对每个流出网页都进行完整检查，占用巨大的系统资源，给服务器造成较大负载。而且，因为对网页正常发布流程作了更改，整个网站需要重新架构，增加新的发布服务器替代原先的服务器。

随着IT技术发展以及网上各类应用的增多，对服务器的负载资源简直可以用“苛刻”来形容，任何占用服务器资源的部分都要淘汰，来确保网站的高效率访问和网页防篡改技术追踪率，如此一来，内嵌技术最终也被淘汰。

第三代：过滤驱动 事件触发技术

技术发展到二十一世纪初，第三代文件网页防篡技术:过滤驱动 事件触发技术应运而生。

文件过滤驱动技术的最初应用于保密系统，作为文件保护技术和各类审计技术，甚至被应用于“流氓软件”。在网页防篡改技术革新当中，该技术找到了其发展的空间。与事件触发技术结合，形成了第三代网页防篡改保护技术。

其原理是将篡改监测的核心程序，利用微软文件底层驱动技术应用到Web服务器中，通过事件触发方式，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测。若发现属性变更，则通过非协议方式，将纯文件安全拷贝，备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到较高水准。该页面防篡改模块采用Web服务器底层文件过滤驱动级保护技术，与操作系统紧密结合，所监测的文件类型不限，可以是一个html文件，也可以是一段动态代码，执行准确率较高。

这样就不仅完全杜绝了轮询扫描式页面，防篡改软件的扫描间隔中被篡改内容被访问的可能，其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或核心内嵌式的同类软件。可以说是一种简单、高效、安全性又极高的防篡改技术。

第四代：“五重防护”技术

目前，国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安更是基于“高效同步”、“安全传输”两项技术，研发出了具备独特的“五重防护”新特性，支持网页的全自动发布、网页监控、报警和自动恢复，提供强大的网页安全管理维护功能的网页防篡改保护系统。

一重防护：实时阻断。系统能够阻断对受保护网页的非法操作，此项技术有效地甄别合法进程和非法进程，阻断非法进程对网页的篡改，将非法进程直接阻断。

二重防护：事件触发。系统具备触发式检验引擎，针对受保护的文件增删改操作，一触即发，校验修改的合法性，瞬间清除被非法篡改的网页，实时恢复合法网页。

三重防护：核心内嵌。系统内嵌式篡改检测引擎运行于Web服务器内部，与Web服务器无缝结合。系统检测每一个Web请求访问页面，进行水印校验，确保发送网页的正确性。

四重防护：主动阻断。当网站受到持续性攻击时，系统会自动启动积极防御机制，从根本上阻断来自外部的攻击。

五重防护：木马检测与查杀。系统提供对被保护网页是否已经中木马的检测能力，如果已经中木马可以查杀清除。对未中木马的网页，能提供防止挂木马的防护能力。

结语

网页防篡改主要有两大功能：一是对攻击事件进行监测与防护，二是网页被篡改后实现快速恢复。

网页相当于是一个组织机构的脸面，如果发生了黑客恶意篡改网页，造成恶性事件，将对组织机构形象造成严重负面影响。因此，无论在日常的网络安全加固，还是在等保评测过程中，网页防篡改防护均被提到重要高度，成为一个政府、企事业单位必须采购的网络安全产品。

值得一提的是，虽然Web防火墙WAF也能够在日常的安全运营中发挥作用，但WAF不能替代网页防篡改产品。因为有黑客有太多的办法可以绕过WAF，造成网站被攻击。惟有网页防篡改产品才能真正防止网页篡改恶性事件发生，或者在事后对网页快速恢复。

关于国联易安

北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”，成立于2006年，拥有“国联易安”和“智恒联盟”两个品牌，是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。公司多项安全技术补了国内技术空白，并且在政府、金融、保密、电信运营商、军队军工、大中型企业、能源、教育、医疗电商等领域得到广泛应用。

国联易安除研发生产专业安全产品外，还为客户提供全面的检测与防护方案专家咨询、源代码安全评估、安全运维值守、智能终端安全评估、安全渗透测试、专业安全培训等专业安全服务。