作者简介:李建军,四川财经职业学院。
摘要:现代企业为了宣传企业文化或者开展电子商务活动,纷纷建立自己的门户网站。当用户正常访问企业网页的时候,网站也被一些“非正常”的用户关注。据国家计算机网络应急技术处理协调中心统计,在被篡改的网站中有22%是企业网站;在所有网站中,高权威性、高更新率和高访问量的政府和媒体网站更经常性地受到黑客关注和攻击。因此,为巩固各类网站和web应用的安全,网站内容的完整性及尊严,有必要使用专业的网页防篡改系统,进行网页防篡的实施。本文结合本学院网站的网页防篡的实现,介绍了从企业门户网站安全现状进行问题分析,并从技术上提出了网站防篡改的技术架构及实现方法,目的就是要解决网页防篡改的问题。
关键词:门户网站;网站安全;网页防篡改;iGuard网页防篡改系统
1企业门户网站运行现状及问题
现代企业为了宣传企业文化或者开展电子商务活动,纷纷建立自己的门户网站。当用户正常访问企业网页的时候,网站也被一些“非正常”的用户关注。据国家计算机网络应急技术处理协调中心统计,在被篡改的网站中有22%是企业网站;在所有网站中,高权威性、高更新率和高访问量的政府和媒体网站更经常性地受到黑客关注和攻击。
网站的网页之所以存在被篡改的可能性,有客观和主观两方面的原因。客观而言,现有技术架构下网站漏洞将长期存在:
①操作系统复杂性:已公布超过1万多个系统漏洞;
②漏洞与补丁:系统漏洞从发现到被利用为5天,补丁的发布时间为47天;
③应用系统漏洞:各种注入式攻击,多个应用系统不同的开发者;
就主观而言,过于苛刻的安全管理要求,网络管理员难以完全实现:
④密码管理合格密码需要8位以上复杂字符并定期改变;
⑤漏洞补丁操作系统、中间件、应用系统的定期更新;
⑥上网控制:钓鱼、木马、间谍软件;
因此,为巩固各类网站和web应用的安全,网站内容的完整性及企业尊严,有必要应用专业的网页防篡改系统,进行网页防篡的保护实施工作。
2网络设备防篡的不足
大多数企业门户网站系统都使用了防火墙和入侵检测系统等网络安全设备来保护自身的安全。
防火墙是一种成熟和应用广泛的网络安全设备。但防火墙完全向外部网络开放web应用端口,这种方式对与Web应用没有任何的保护作用,即使使用http代理型的防火墙,防火墙也只是验证http协议本身的合法性,完全不能理解http协议所承载的数据,也无从判断对http服务器的访问行为是否合法。
入侵检测技术同样工作在网络层上,对应用协议的理解和作用存在相当的局限性,对于复杂的http会话和协议更是不能完整处理,由于需要预先构造攻击特征来匹配网络数据,入侵检测系统不能检测和防御未知攻击和不能有效提取攻击特征的攻击。
例如,在请求中包含SQL注入代码、或者提交可以完成获取他人用户认证信息的跨站脚本,这些数据不管是在传统防火墙所处理的网络层和传输层,还是在代理型防火墙所处理的协议会话层,或者是常规的入侵检测系统和增强的入侵防护系统,都会认为是合法的,无法被阻挡或检出。因此,所有的web网站和Web应用系统,除了使用一般的网络安全设备外,需要有效的网页防篡改系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。
3网页防篡技术
当前常用的网页防篡技术有PKI公开密钥体系和Web系统核心内嵌技术体系。
①PKI公开密钥体系。PKI(PublicKeyInfrastructure)即“公开密钥体系”,是一种基于公开密钥密码技术的安全通信和服务体系,它能够为所有网络应用提供包括机密性、数据完整性、数据源认证、数字签名等多种安全服务,是网络安全应用的基础。
②Web系统核心内嵌技术。Web系统核心内嵌技术是指将安全模块内嵌在Web系统软件(IIS/Apache/Weblogic/Websphere/)中,针对不同的Web系统使用相应的核心内嵌技术实现,如:ISAPI、Apache-module,NSAPI、JAVA-filter等。
标准的web系统核心内嵌技术体系结构,包含核心内嵌模块、应用防护模块和篡改检测技术。
其中核心内嵌模块应用防护模块。应用防护模块对来自于客户的Web访问请求进行分析,检查其中的表单输入和URL输入中是否含有非法字符/关键字构成注入式攻击。
用户提交的http请求(request)到达Web服务器,尚未进行其他处理时。检查对象为GET数据(URL和表单)、POST数据(表单)。检查方式为:与注入式攻击特征库比对检查。
篡改检测技术。篡改检测技术是指Web服务器在对外发送网页时,利用数字水印技术对其进行完整性检查。
检查对象为:静态网页文件(HTML/CSS文件)、图像文件(GIF/IPG/PNG/BMP文件)、动态脚本文件(ASP/JSP/PL/PHP文件)、多媒体文件(WAV/MP3/FLS/MPEG文件)、二进制可执行实体(CGI/DLL/EXE文件)、其他所有可以在URL中访问/下载的文件。检查方式为:计算对象的数字水印,与水印库中的数据进行比较。
4网页防篡对策
4.1iGuard网页防篡改系统技术选择
iGuard网页防篡改系统是完全保护Web同站不发送被篡改内容并进行自动恢复的Web页面保护软件。iGuard网页防篡改系统自2002年推出以来,被全国近百家大型政府和媒体网站采用,被保护的网页总数超过800万,保护的日均访问量超过2000万,已成为目前政府和媒体应用最广泛的网页防篡改系统。iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术,将篡改检测模块和数据库防护模块内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
iGuard网页防篡改系统的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比,一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览,完全实时地杜绝篡改后的网页被访问的可能性。同时,iGuard的应用防护模块对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断,从而杜绝任何使用Web方式对后台数据库的篡改。
iGuard网页防篡改系统可实现下列功能:①防篡改。iGuard时所有的原始网页元素(包括静态页面、动态脚本、图像文件、多媒体文件以及所有能以URL形式访问的实体)在发布时进行128位密钥计算,生成唯一的、不可逆转和不可伪造的数字水印。浏览者请求访问任一同页元素时,iGuard的篡改检测模块读出网页元素的内容重新计算数字水印,并与之前存储的数字水印进行比对,网页元素的任何篡改都能够被可靠地计算出来。②防窃听。iGuard任何通信实体(包括发布服务器和Web服务器、控制台和发布服务器)之间采用工业标准的SSL3.0/TLS1.0安全通信协议,确保网页元素文件和数字水印数据流在通信过程中不被黑客窃取和分析。③身份鉴别。发布服务器采用客户端数字证书与web服务器通讯,同时也验证Web服务器数字证书的真实性。
4.2部署iGuarde服务器
①发布服务器:位于内网中,本身处在相对安全的环境中,其上部署iGuard的发布服务器软件。
②web服务器:位于公网/DNZ(隔离区)中,本身处在不安全的环境中,其上部署iGuard的Web服务器端软件。
发布服务器上运行iGuard的“发布服务器软件”(Stagingserver)。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。发布服务器上具有与Web服务器上的同页文件完全相同的目录结构,发布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相应位置上,文件/目录变更的方法可以是任意方式的(例如:FTP、sFTP、RCP、NFS、文件共享等)。网页变更后,发布服务器软件将其同步到Web服务器上。发布服务器是部署iGuard时新增添的机器,原则需要一台独立的服务器:对于网页更新不太频繁的网站,也可以用普通PC机或者与担任其他工作的服务器共用。发布服务器为PC服务器其本身的硬件配置无特定要求,操作系统可选择Windows(一般网站)或Linux(大型网站)。
Web服务器上除了原本运行的Web系统(如IIS、Apache、sunONE、Weblogic、Websphere等)外,同时运行iGuard的“Web服务器端软件”(由“同步服务器”和“核心内嵌模块”组成)。
4.3标准的网站架构
为一个已有的Web站点部署iGuard时,Web服务器和内容管理系统(CMS)都沿用原来的机器,而需要在其间增加一台发布服务器。iGuard的自动同步机制完全与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。发布服务器上具有与Web服务器上的网站文件完全相同的目录结构,任何文件、目录的变化都会自动映射到Web服务器的相应位置上。
对内容管理系统唯一需要做的只是改变它的设置,将发布的目标服务器地址由web服务器改为发布服务器即可,无需安装iGuard任何组件。当然,根据内容管理系统所采用协议,发布服务器上需要对应安装这些协议的服务器端。
参考文献:
[1]张荣.基于网站web服务器网络安全的分析与设计[D].四川大学,2006.
[2]高振栋.IPSecVPN动态密钥协商机制的设计与实现[D].苏州大学,2005.
[3]吴燕萍.身份认证与共享保密通信协议的研究与实现[D].合肥工业大学,2005.
[4]高延玲.网页保护系统综述[J].计算机工程,2006.
[5]罗利民.网页防篡改技术的一种实现[J].福建电脑,2008,(11).