|
網頁篡改是最為常見的一種黑客攻擊形式。網頁篡改是一種通過網頁應用中的漏洞獲取權限,非法篡改Web應用中的內容、植入暗鏈、傳播惡意信息,危害社會安全并牟取暴利的網絡攻擊行為。 近些年來,網頁篡改攻擊事件層出不窮,且具有以下四個特點:篡改網站頁面傳播速度快、閱讀人群多;篡改頁面容易,預先檢查、實時防范、事后消除影響難;網絡環境復雜,追查責任難;攻擊工具簡單,并且向智能化趨勢發展。 零時代:人工對比檢測 人工對比檢測,其實就是一種專門指派網絡管理人員,人工監控需要保護的網站,一旦發現被篡改,然后以人力對其修改還原的手段。嚴格說來,人工對比檢測不能算是一種網頁防篡改系統采用的技術,而只能算是一種原始的應對網頁被篡改的手段。但是其在網頁防篡改的技術發展歷程中存在一段相當久的時間。 這種手段非常原始且效果不佳,且不說人力成本較高,其最致命的缺陷在于人力監控不能達到即時性,也就是不能在第一時間發現網頁被篡改,也不能在第一時間做出還原,當管理人員發現網頁被篡改再做還原時,被篡改的網頁已在互聯網存在了一段時間,可能已經被一定數量的網民瀏覽,造成一定的負面影響。 第一代:時間輪詢技術 時間輪詢技術,也稱“外掛輪詢技術”。從這一代開始,網頁防篡技術已經擺脫了以人力檢測恢復為主體的原始手段,而是作為一種自動化的技術形式出現。時間輪詢技術是利用一個網頁檢測程序,以輪詢方式讀出要監控的網頁,與真實網頁相比較后,進行判斷網頁內容的完整性,對于被篡改的網頁進行報警和恢復。 采用時間輪詢式的網頁防篡改系統,對每個網頁來說,輪詢掃描存在著時間間隔,一般為數十分鐘。所以,在這數十分鐘的間隔中,黑客可以攻擊系統并使訪問者訪問到被篡改的網頁。 此類應用在過去網頁訪問量較少,具體網頁應用較少的情況下適用,目前網站頁面通常少則上百頁,檢測輪詢時間更長,且占用系統資源較大,該技術逐漸被淘汰。 第二代:事件觸發+核心內嵌技術 將事件觸發技術與核心內嵌技術兩種技術放在同一代來說,是因為這兩種網頁防篡改技術出現的時間差距不大,而且兩種技術常常被結合使用。 所謂核心內嵌技術,即密碼水印技術,最初先將網頁內容采取非對稱加密存放,在外來訪問請求時將經過加密驗證過的,進行解密對外發布,若未經過驗證,則拒絕對外發布,調用備份網站文件進行驗證解密后對外發布。此種技術通常要結合事件觸發機制對文件的部分屬性進行對比,如大小、頁面生成時間等做判斷,無法更準確的進行其它屬性的判斷。其最大的特點就是相對外掛輪詢技術安全性大大提高,但其美中不足是加密計算會占用大量服務器資源,系統反映較慢。 核心內嵌技術避免了時間輪詢技術的輪詢間隔這個缺點。但是由于這種技術是對每個流出網頁都進行完整檢查,占用巨大的系統資源,給服務器造成較大負載。而且,因為對網頁正常發布流程作了更改,整個網站需要重新架構,增加新的發布服務器替代原先的服務器。 隨著IT技術發展以及網上各類應用的增多,對服務器的負載資源簡直可以用“苛刻”來形容,任何占用服務器資源的部分都要淘汰,來確保網站的高效率訪問和網頁防篡改技術追蹤率,如此一來,內嵌技術最終也被淘汰。 第三代:過濾驅動+事件觸發技術 技術發展到二十一世紀初,第三代文件網頁防篡技術:過濾驅動+事件觸發技術應運而生。 文件過濾驅動技術的最初應用于保密系統,作為文件保護技術和各類審計技術,甚至被應用于“流氓軟件”。在網頁防篡改技術革新當中,該技術找到了其發展的空間。與事件觸發技術結合,形成了第三代網頁防篡改保護技術。 其原理是將篡改監測的核心程序,利用微軟文件底層驅動技術應用到Web服務器中,通過事件觸發方式,對文件夾的所有文件內容,對照其底層文件屬性,經過內置散列快速算法,實時進行監測。若發現屬性變更,則通過非協議方式,將純文件安全拷貝,備份路徑文件夾內容拷貝到監測文件夾相應文件位置,通過底層文件驅動技術,整個文件復制過程毫秒級,使得公眾無法看到被篡改頁面,其運行性能和檢測實時性都達到較高水準。該頁面防篡改模塊采用Web服務器底層文件過濾驅動級保護技術,與操作系統緊密結合,所監測的文件類型不限,可以是一個html文件,也可以是一段動態代碼,執行準確率較高。 這樣就不僅完全杜絕了輪詢掃描式頁面,防篡改軟件的掃描間隔中被篡改內容被訪問的可能,其所消耗的內存和CPU占用率也遠遠低于文件輪詢掃描式或核心內嵌式的同類軟件。可以說是一種簡單、高效、安全性又極高的防篡改技術。 第四代:“五重防護”技術 目前,國內專注于保密與非密領域的分級保護、等級保護、業務連續性安全和大數據安全產品解決方案與相關技術研究開發的領軍企業——國聯易安更是基于“高效同步”、“安全傳輸”兩項技術,研發出了具備獨特的“五重防護”新特性,支持網頁的全自動發布、網頁監控、報警和自動恢復,提供強大的網頁安全管理維護功能的網頁防篡改保護系統。 一重防護:實時阻斷。系統能夠阻斷對受保護網頁的非法操作,此項技術有效地甄別合法進程和非法進程,阻斷非法進程對網頁的篡改,將非法進程直接阻斷。 二重防護:事件觸發。系統具備觸發式檢驗引擎,針對受保護的文件增刪改操作,一觸即發,校驗修改的合法性,瞬間清除被非法篡改的網頁,實時恢復合法網頁。 三重防護:核心內嵌。系統內嵌式篡改檢測引擎運行于Web服務器內部,與Web服務器無縫結合。系統檢測每一個Web請求訪問頁面,進行水印校驗,確保發送網頁的正確性。 四重防護:主動阻斷。當網站受到持續性攻擊時,系統會自動啟動積極防御機制,從根本上阻斷來自外部的攻擊。 五重防護:木馬檢測與查殺。系統提供對被保護網頁是否已經中木馬的檢測能力,如果已經中木馬可以查殺清除。對未中木馬的網頁,能提供防止掛木馬的防護能力。 結語 網頁防篡改主要有兩大功能:一是對攻擊事件進行監測與防護,二是網頁被篡改后實現快速恢復。 網頁相當于是一個組織機構的臉面,如果發生了黑客惡意篡改網頁,造成惡性事件,將對組織機構形象造成嚴重負面影響。因此,無論在日常的網絡安全加固,還是在等保評測過程中,網頁防篡改防護均被提到重要高度,成為一個政府、企事業單位必須采購的網絡安全產品。 值得一提的是,雖然Web防火墻WAF也能夠在日常的安全運營中發揮作用,但WAF不能替代網頁防篡改產品。因為有黑客有太多的辦法可以繞過WAF,造成網站被攻擊。惟有網頁防篡改產品才能真正防止網頁篡改惡性事件發生,或者在事后對網頁快速恢復。 關于國聯易安 北京國聯易安信息技術有限公司(原北京智恒聯盟科技有限公司)簡稱“國聯易安”,成立于2006年,擁有“國聯易安”和“智恒聯盟”兩個品牌,是國內專注于保密與非密領域的分級保護、等級保護、業務連續性安全和大數據安全產品解決方案與相關技術研究開發的領軍企業。公司多項安全技術補了國內技術空白,并且在政府、金融、保密、電信運營商、軍隊軍工、大中型企業、能源、教育、醫療電商等領域得到廣泛應用。 國聯易安除研發生產專業安全產品外,還為客戶提供全面的檢測與防護方案專家咨詢、源代碼安全評估、安全運維值守、智能終端安全評估、安全滲透測試、專業安全培訓等專業安全服務。 |
