门户网站防篡改解决方案2011年第l3期SCIENCE&TECHNOLOGYINFORMATION0IT论坛0科技信|lI1核心内容门户网站防篡改解决方案黄鎏吉(上海交通大学中国上海200240)企业的门户网站,是企业向各类客户提供产品资讯,业务介绍,最新动态,客户服务,公司简介,新闻动态,企业文化等各方面信息的重要渠道,是客户了解企业各方面信息的重要窗!Zl.但随着互联网技术的不断发展,各类新型的网络攻击手段也层出不穷.而企业的门户网站由于直接暴露在互联网之上,在企业向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险也在不断增加,也就成了各类攻击者所攻击的主要对象.如今,以网页篡改和针对Web应用程序安全漏洞的网络攻击的安全事件正在大幅攀升.网页篡改事件的危害十分巨大.不仅会影响用户正常获取相关资讯,若被篡改的内容涉及政治,淫秽色情等方面的内容,还将对企业产生不可估量的负面影响:另外一些别有用心的人可能会利用对网页进行语义篡改,散布谣言,引起民众不必要的恐慌和猜疑,这些都会直接对企业形象造成严重损害.纵览上海公司各类门户网站,均缺乏对直接篡改静态或动态网页文件和通过SQL注入,跨站等方式将恶意代码植入后台数据库达到动态篡改网页或网站挂马等攻击手段的有效防护.容易被不法分子利用.进行页面篡改以达到传播反动,淫秽色情等内容的目的,影响用户正常获取企业相关信息,并将对企业形象造成巨大的负面影响.在本方案中将通过部署相关的安全防护软硬件.从主动和被动防御的角度充分保护门户网站页面免遭篡改,确保门户网站的安全稳定运行,保护企业形象.2实施论证门户网站系统通常的网络结构模型如下图所示一～一～～___一螺眷喜量黧曩门户誊0雕务1]户网站一2镍产强避唾从上图可见.门户网站的安全防护通常依靠门户网站系统对外接口处部署的防火墙以及核心网络部署的抗DDoS攻击设备进行安全防护.但传统防火墙作为访问控制设备,主要工作在OSI模型三,四层,基于IP报文进行检测.设计之初,它就无需理解Web应用程序语言如HTML及XML,也无需理解H11'P会话.因此.它也不可能对HTML应用程序用户端的输入进行验证,或是检测到一个已经被恶意修改过参数的URL请求.恶意的攻击流量将封装为HrITI1P请求,从8O或443端口顺利通过防火墙检测.所以防火墙对网页篡改,网页挂马,SQL注入,跨站脚本等这类攻击手段无法采取有效防护.而抗DDoS攻击设备由于也主要工作在OSI模型三,四层,也无法对应用层攻击进行防护.攻击者往往通过直接篡改静态或动态网页文件或通过SQL注入,跨站等方式将恶意代码植入后台数据库达到动态篡改网页或网站挂马的目的,但由于传统防火墙和抗DDoS攻击设备无法对应用层攻击进行防护,且Web服务器本身也没有相应的防护手段.容易使攻击者有可乘之机.根据上述分析.提出优化及安全加固解决方案如下:(1)将原有分散在各个门户网站系统中的内容发布服务器进行整合.建设一台门户网站统一内容发布服务器.其上部署网页防篡改的发布模块及监控模块软件.1)发布模块实时检测需要发布内容的文件目录的变化,有文件删除,修改,新增,发布模块都会通过SFTP方式同步到同步模块中进行内容发布:2)监控模块提供统一监控功能和界面,对各门户网站页面发布情况以及各Web服务器上部署的同步模块和防篡改模块运行情况进行集中监控,对发生的篡改事件进行记录和告警显示(并通过E—mail或短信等方式实时将页面篡改告警发送给相关系统工程师进行进一步查证和处理).新建的门户网站系统也可以复用门户网站统一内容发布服务器.使门户网站的部署和内容发布更加简便.且能做到集中管理,统一发布和集中监控.(2)在各门户网站的Web服务器上安装部署网页防篡改模块(同步模块)软件.根据文件的大小,日期,内容以及门户网站的标志等特征信息生成文件的数字水印,并将数字水印以加密方式保存到数据库中,用于对指定的网页目录和文件进行实时对比监测.当发现数字水印产生变化时,则同步模块将会通过SFFP方式,从发布模块抓取原始文件进行恢复.(3)部署一套Weh应用弱点扫描系统设备.用于对Web网站中所存在的SQL注入漏洞,跨站脚本漏洞,恶意代码(木马)等进行安全扫描检测.提供检测报告给系统工程师用于安全加固.该系统可用于门户网站建设过程中的安全检测,对所有门户网站在割接入网前均需进行严格的检测.确认不存在现有的安全问题后才能发布使用.并且在门户网站的运营过程中,还可定期对门户网站进行安全扫描,通过更新最新的安全插件以发现新出现的安全漏洞.并进行及时加固.(4)在核心网络出口处部署Web应用深度防御系统设备,对进入各门户网站系统的外部请求等进行7x24小时的实时主动监控,对非法攻击流量进行过滤.抵御通过SQL注入,跨站等方式将恶意代码植入后台数据库达到动态篡改网页或网站挂马的攻击.并且对于一些新出现但还未在门户网站中完成安全加固的漏洞隐患.可以起到预防的作用.优化和安全加固后的门户网站网络结构模型如下图所示:(下转第58页)2011年第13期SCIENCE&TECHNOLOGYINFORMATIONOIT论坛.科技信J|L种"爆炸"可以以用户看不见的方式发作,比如将系统中的某些数据进行非法的复制和转移:也可以产生明显的效果,如系统中的重要文件被破坏,整个系统瘫痪等.3.4.4蠕虫rw0m卜一蠕虫是一种智能化,自动化的计算机程序,不需要计算机使用者干涉.它通过安全系统的漏洞进人计算机系统.和病毒相同,蠕虫也进行自我复制.它与病毒不同的是,蠕虫不需要附在文档或者可执行文件上来进行复制.目前常见的蠕虫都是通过lntemet上的电子邮件或者是Web浏览器的系统漏洞来传播的.它传到一台计算机上之后.利用该机器上的某些数据,比如该用户的电子邮件地址簿中的其他的邮件用户的地址以传递给其他系统.目前蠕虫是破坏系统正常运行的主要手段之一.Internet上的大多数蠕虫并不对系统进行破坏,但它会占用系统大量的时间和空间资源,使系统性能大大降低,甚至导致系统关闭或重新启动如冲击波,震荡波.4计算机病毒的发展趋势计算机病毒经过多年的发展,破坏性和感染性都得到了增强,种类也越来越多,但由于计算机网络程度的大幅度提高,计算机病毒也将出现了新的发展趋势:4.1计算机的联网成为计算机病毒的主要传播途径计算机病毒早期只通过文件拷贝传播,主要靠的传播媒介是软盘和盗版光碟.随着计算机网络的发展,目前计算机病毒可通过计算机联网利用很多种方式(比如电子邮件,网页,即时通讯软件等)进行传播.计算机联网技术有助予计算机病毒的传播速度大大提高,感染的范围也越来越广.可以说,Intemet已经成为计算机病毒的发布和快速蔓延的有效平台.4.2计算机病毒变形(变种)的速度极快并向混合型,多样化发展如今计算机病毒已经不再是单一特征的计算机病毒了,它将发展成多种特征积聚一身的复杂病毒,从非常简单的,感染文件的病毒到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫,病毒的快速传播机制和生存技术得到了快速的发展.如红色代码病毒(CodeRed)就是综合了文件型,蠕虫型病毒的特性,这种发展趋势会造成反病毒工作更加困难.2004年1月27日,一种新型蠕虫病毒在企业电子邮件系统中传播,导致邮件数量暴增,从而阻塞网络.不同反病毒厂商将其命名为Novarg,Mraoom,SCO炸弹, 诺威格,小邮差变种等.该病毒采用的是病毒和垃圾邮件相结合的少见战术.4.3攻击动机复杂化早期的计算机病毒的攻击目的比较简单,主要是对计算机技术感兴趣或爱好者的搞恶作剧或是展现自己的才华而对别人计算机攻击. 但随着社会的发展,攻击者编写计算机病毒的目的越来越复杂化,其中物质利益将成为推动计算机病毒发展的最大动力.2004年6月初, 我国和其他国家都成功截获了针对银行网上用户账号和密码的计算机病毒.金山毒霸成功截获网银大盗最新变种B,该变种会盗取更多银行的网上账号和密码.可能会造成巨大的经济损失.5计算机病毒的预防计算机病毒的预防主要有以下预防措施:5.1安装实时监控杀毒软件.并且定期更新病毒库.设置定期检查硬盘,这样就能及时发现并消除病毒.5.2经常进行操作系统升级.安装操作系统的补丁程序.5.3安装好防火墙,设置适合的访问规则,并且过滤不安全的站点访问.5.4利用其它存储工具保存所有的重要软件的复制件,主要数据要定期备份.5.5给系统盘和文件加以写保护.目前的硬盘还原卡也可以起到一定的保护作用.5.6不要使用各种盗版软件,慎用公用软件和共享软件,慎装插件.慎用各种游戏软件.5.7外来软件和机器一定要检测病毒才能使用.6结束语总之,随着计算机的普及和应用的不断发展,计算机病毒攻击与防御手段也在不断地更新,随之必然会出现更多的计算机病毒,这些病毒将会以更巧妙更隐蔽的手段来破坏计算机系统的工作.因此,我们必须认识到计算机病毒的危害性,了解计算机病毒的基本特征,增强预防计算机病毒的意识,掌握清除计算机病毒的基本操作技能.只有这样,才能保持计算机的正常运行.l【参考文献】[1]叶铭洁浅谈计算机病毒的特征与防治明.计算机时代,2009(6):19-21.[2]邹磊,~pl,iK.论计算机病毒与防治的现实意义阢,科学之友,2010(22):149—150.[3]单士华,张林中.计算机病毒的危害与防治田.科技信息,2010(10):71.[4]冯珊_{十算机病毒分析与防治田.中国科技信息,2009(23):94.作者简介:李坤鹏(1981～),男,湖南新邵人,琼州学院,计算机助理实验师.主要研究方向为计算机维护,网络.(上接第62页)上述解决方案采用软件,硬件防护产品相结合的方式,实现对门户网站的实时防护.硬件产品的使用,在一定程度上减少了对服务器性能的影响;软件产品的部署又使Web服务器本身可以对各类网页文件或脚本进行实时的保护.此方案将主动防御(实时监测和过滤攻击请求流量),主动评估(定期进行Web应用弱点扫描),被动保护(通过数字水印技术监测网页文件和脚本是否被篡改),集中监控,统一发布,集中管理等多方面有机结合,真正做到"防患于未然",解决了门户网站所存在的页面篡改的隐患.3实施途径实现上述优化及安全加固方案可从下列几个方面着手实施:3.1硬件方面:3.1.1在核心网络的出口处部署一台Web应用深度防御系统设备: 3.1.2将各门户网站中的内容发布服务器进行整合,建设一台门户网站统一内容发布服务器;3.1|3部署一套Web应用弱点扫描系统设备.3.2软件方面:3.2.1门户网站统一内容发布服务器上安装发布模块和监控模块: [责任编辑:曹明明]3.2.2各门户网站Web服务器上安装网页防篡改模块(同步模块). 上述软硬件系统可与相关的安全厂商进行合作,利用现有的相关安全产品和技术进行定制开发.4预计成效4.1社会效益4.1.1保护企业形象不被恶意破坏:4.1.2可以确保各类客户能随时准确地获知企业的各类信息,确保各类客户服务工作可以持续不断地有序开展;4.1.3通过自动化监控及防护手段的应用,可以大大提高门户网站安全防护的工作效率,降低维护人员的工作压力.4.2经济效益4.2.1通过自动化监控及防护手段的应用,可以有效减少维护成本的支出;4.2.2通过实施安全防护,可以有效避免由于网站无法正常运营以及企业形象遭受破坏所带来的直接和间接经济损失.e[责任编辑:曹明明]。