联软-网页防篡改与自动恢复系统技术白皮书

一. 前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现，正深刻影响人们生活与工作的方式。

与此同时，信息安全的重要性也在不断提升。

目前，网页篡改问题成为各类网站极为关注的安全问题。

网页篡改，即通过一定攻击手段对网页内容进行非法修改。

一旦攻击得逞，一方面会影响WEB业务的正常开展，从而影响网站声誉甚而引发重大的政治影响和不良的社会影响。

另一方面，网页篡改可视为一种重要的晴雨表，用于评估网站上存在的可被利用漏洞。

面临来自网页篡改的安全挑战，早期国内市场主要有基于网页防篡改软件的解决方案，适用于静态网页环境。

随着现今WEB应用发生的巨大变化，对此类解决方案产生了动态网页环境下的防护需求。

本文内容将包含如下部分：◆网页篡改现状◆网页篡改防护解决思路◆绿盟WEB应用防火墙（主机版）解决方案二. 网页篡改现状2.1 概述中国互联网络信息中心（CNNIC）《第24 次中国互联网络发展状况统计报告》①表明：截至2009年6月30日，中国网民规模达到3.38亿人，普及率达到25.5%。

中国的域名总量达到16,259,562 个，其中域名已有52,477个。

中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）达到306 万个。

相较中国互联网持续快速的发展，国内网络安全基础设施建设、民众的网络安全意识培养处于滞后的状态，网络安全形势严峻。

来自《中国互联网网络安全报告（2008 年上半年）》①/html/Dir/2009/07/15/5637.htm②数据显示：网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。

2008 年上半年，中国大陆被篡改网站总数达到35113 个，同比增加了23.7%。

2008 年1 月至6 月期间，中国大陆政府网站被篡改数量基本保持平稳，各月累计达2242个。

与2007年上半年同期监测情况相比，增加了41%。

X W AREAHardware Product9100100%防护网站篡改与非法入侵现状网站被攻击，页面打开缓慢、被篡改、被挂马、客户资料被盗、重要数据泄漏等，虽然安装了防火墙和入侵检测系统，依然无法保证100%安全。

是什么在持续影响您网站的收益？解决方案使用“玄武域”一站式网站安全防护系统，只需简单的部署与配置，即可实现100%的网站防篡改与入侵防护，从此不再为网站安全担忧。

优势▪稳定性极强▪配置极简▪防护能力出众▪无法非法篡改▪效率极高，加速原有应用▪化繁为简，一台设备解决全部问题技术创新▪Speeder检测模型▪流量克隆▪基于客户端识别的CC防护▪自学习白名单1 内容提要从2001年至2010年，网络安全事件频繁发生，网站入侵和被篡改事件逐年上升，虽然机构使用了繁杂的安全软件与安全设备，依然无法有效阻止网站被非法入侵。

机构迫切需要一种能保证获得100%网站安全的解决方案，该方案需要极其稳定、极其简单同时极其高效，化繁为简却不失防护重心，并能真正为机构提供持续有效的安全防护。

玄武域一站式网站安全防护系统以下简称玄武域系统就是依据以上迫切需求产生的一款真正能够保证机构网站100%安全的安全防护系统。

使用玄武域系统即为机构提供4个100%安全保障：▪100%不被非法篡改；▪100%不被CC攻击；▪100%不被非法渗透；▪100%系统稳定性；提供以上保障是因为玄武域系统采用了革命性的技术设计，从架构上彻底颠覆传统网站安全设备的种种局限性，真正为您的网站提供全程的保驾护航，让您彻底无忧。

2 任务与目的由于目前机构面临的安全挑战，迫切需要一种设备能够满足机构网站的安全需求，该设备能够提供如下功能：▪部署简单，不需要改动现有的网络部署；▪稳定性极强，不能丝毫影响机构的正常业务；▪上手速度快，使用者无需前置知识即可快速上手；▪能够实现高并发下的防护拓展，即实现Web服务器的负载均衡；▪能够实现Web应用程序的快速响应，即Web应用加速；▪能有效阻挡外部黑客渗透与发动暴力攻击，即防护目前已知攻击以及对未知攻击实现主动防御；▪能够实现网站名誉无损，即实现指定页面的防篡改；▪能够实现网站在大流量下的正常访问；▪能够保护隐私，不和Web服务器和数据库服务器有任何耦合性。

冰之眼网络入侵保护系统产品白皮书© 2019 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■商标信息绿盟科技、NSFOCUS、冰之眼是绿盟科技的商标。

目录一. 前言 .................................................................................................................... 错误！未定义书签。

二. 为什么需要入侵保护系统................................................................................. 错误！未定义书签。

2.1防火墙的局限................................................................................................. 错误！未定义书签。

2.2入侵检测系统的不足..................................................................................... 错误！未定义书签。

2.3入侵保护系统的特点..................................................................................... 错误！未定义书签。

三. 如何评价入侵保护系统..................................................................................... 错误！未定义书签。

深入解析网页防篡改技术“深空®网页防篡改系统”研发团队目前,网页防篡改产品(后面简称“防篡改产品”)市场如火如荼,产品质量良莠不齐,品牌多而繁杂,让人看了不知所措.本文着重从技术角度分析各种类型的网页防篡改技术(后面简称“防篡改技术”),给广大管理员作为参考.首先,归纳列举下目前市面上的防篡改产品使用的技术:1.定时循环扫描技术(即“外挂轮询”)：使用程序按用户设定的间隔，对网站目录进行定时扫描比对，如果发现篡改，就用备份进行恢复。

2.事件触发技术:使用程序对网站目录进行实时监控,稍有“风吹草动”就进行检查是否是非法篡改。

3.核心内嵌技术（即“数字水印”或“数字指纹”）：在用户请求访问网页之后，在系统正式提交网页内容给用户之前，对网页进行完整性检查。

4.文件过滤驱动技术：采用系统底层文件过滤驱动技术，拦截与分析IRP流。

现在，我们来逐个分析下各技术的特点与安全隐患。

如果有必要，会对安全隐患同时给出相关Proof Of Concept(POC,概念性证明)程序。

这里对POC程序作下说明:在计算机安全领域内，安全专家为了能证明某个漏洞的存在，而又能防止恶意用户拿去危害公众而写的程序叫做POC程序。

第一种，定时循环扫描技术：这是早期使用的技术,比较落后,已经被淘汰了,原因是:现在的网站少则几千个文件,大则几万,几十万个文件,如果采用定时循环扫描,从头扫到尾,不仅需要耗费大量的时间,还会大大影响服务器性能。

在扫描的间隙或者扫描过程中，如果有文件被二次篡改，那么在下次循环扫描到该文件之前，文件就一直是被篡改的，公众访问到的也将是被篡改的网页，这是一段“盲区”，“盲区”的时长由网站文件数量、磁盘性能、CPU性能等众多客观因素来决定。

该技术由于过于简单，其安全隐患相信读者看完上面的说明就能完全领会明白，故而在此不给出POC程序。

第二种，事件触发技术：这是目前主流的防篡改技术之一，该技术以稳定、可靠、占用资源极少著称，其原理是监控网站目录，如果目录中有篡改发生，监控程序就能得到系统通知事件，随后程序根据相关规则判定是否是非法篡改，如果是非法篡改就立即给予恢复。

网页防篡改系统产品说明远江盛邦（北京）信息技术有限公司目 录目录 (I)1. 系统简介 (1)2.系统组成 (2)3.主要功能特性 (3)3.1第三代内核驱动防篡改技术 (3)3.2W EB站点安全运行保障 (4)3.3部署结构灵活 (4)3.4安全可靠增量发布 (4)3.5日志事件报警 (4)3.6操作管理安全、方便 (4)4.主要技术实现 (5)4.1系统实现原理 (5)4.2核心优势描述 (7)4.2.1基于内核驱动保护技术 (7)4.2.2 动态网页脚本保护 (7)4.2.3连续篡改攻击保护 (7)4.2.4全方位兼容的安全自动增量发布 (8)4.2.5服务器安全运行可靠性管理 (8)4.2.6 部署实施操作简单 (8)4.2.7安全传输 (8)4.2.8 支持多虚拟目录 (8)4.2.9 支持日志导出查询 (9)5.部署结构 (10)5.1单台W EB服务器部署 (10)5.2新增发布服务器 (11)6.运行环境 (12)1.系统简介近几年我国信息化发展迅猛，各行各业根据自身需要大都进行了网站建设，用于信息发布、网上电子商务、网上办公、信息查询等等，网站在实际应用中发挥着重要作用。

尤其是我国电子政务、电子商务的大力开展，网站建设得到了空前发展，与此同时随着网民数量的快速增长，通过网站来了解新闻、在线处理业务、查询关键信息等对网站的发展也起到了关键性的促进作用，网站的社会舆论效益逐步显现，已经引起了社会的广泛关注。

然而不幸的是，黑客强烈的表现欲望，国内外各种非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。

网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多，复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂难以追查责任。

另外，攻击工具泛滥且向智能自动化趋势发展，据不完全统计，我国98%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，尤其是政府、金融类网站最易成为攻击目标。

.黑盾WEB应用防护抗攻击系统技术白皮书福建省海峡信息技术有限公司文档信息文档名称黑盾WEB应用防护抗攻击系统技术白皮书文档编号HDWAF-WhitePaper-V1.2保密级别商密制作日期2010-9作者LCM 版本号V1.2 复审人复审日期修订项修订者版本号修订内容概述复审人发布日期扩散范围扩散批准人版权说明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属福建省海峡信息技术有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经福建省海峡信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

福建省海峡信息技术有限公司- 2 -目录文档信息 (2)版权说明 (2)1. 应用背景 (4)2. 产品概述 (5)3. 产品特色 (6)4. 产品特性 (8)5. 部署模式 (11)6. 服务支持 (11)福建省海峡信息技术有限公司- 3 -1.应用背景随着计算及业务逐渐向数据中心高度集中发展，Web业务平台已经在各类政府、企业机构的核心业务区域，如电子政务、电子商务、运营商的增值业务等中得到广泛应用。

当Web应用越来越为丰富的同时，Web 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。

SQL注入、网页篡改、网页挂马等安全事件，频繁发生。

据CNCERT/CC的统计数据显示，2009年全年，我国大陆有4.2万个网站被黑客篡改，其中被篡改的政府网站2765个。

这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。

各类网站客户已逐渐意识到Web 安全问题的重要性，但传统安全设备（防火墙/UTM/IPS）解决Web应用安全问题存在局限性，而整改网站代码需要付出较高代价从而变得较难实现.防火墙，UTM，IPS能否解决问题？企业一般采用防火墙作为安全保障体系的第一道防线。

但是，在现实中，他们存在这样那样的问题。

防火墙的不足主要体现在：1)传统的防火墙作为访问控制设备，主要工作在OSI模型三、四层，基于IP报文进行检测。

WebRay网页防篡改系统错误!未指定书签。

技术白皮书错误!未指定书签。

W目录WebRay网页防篡改系统 ---------------------------------------------------------------------------------- 1技术白皮书------------------------------------------------------------------------------------------------------ 1 1前言--------------------------------------------------------------------------------------------------------- 3 2背景--------------------------------------------------------------------------------------------------------- 3 3产品概念--------------------------------------------------------------------------------------------------- 3 4产品特点--------------------------------------------------------------------------------------------------- 45技术特色--------------------------------------------------------------------------------------------------- 46产品组成--------------------------------------------------------------------------------------------------- 66.1防篡改系统结构 -------------------------------------------------------------------------------- 66.2Web服务器端支持系统列表 ---------------------------------------------------------------- 76.3产品型号------------------------------------------------------------------------------------------ 76.4产品部署------------------------------------------------------------------------------------------ 8 7产品应用--------------------------------------------------------------------------------------------------- 9 8功能列表--------------------------------------------------------------------------------------------------- 98.1Web服务器防篡改----------------------------------------------------------------------------- 98.2集中监控中心 ----------------------------------------------------------------------------------- 9 9售后服务------------------------------------------------------------------------------------------------- 101 前言随着信息技术的不断发展，互联网已经越来越成为人们传递消息的必要手段。