【文章內(nèi)容簡(jiǎn)介】 能被輸出，被篡改的非法網(wǎng)頁(yè)將被鎖定，不會(huì)被用戶看見。網(wǎng)頁(yè)篡改事件被檢測(cè)到后，將觸發(fā)網(wǎng)頁(yè)恢復(fù)操作，還原被修改的頁(yè)面。 ② 存儲(chǔ)檢測(cè)技術(shù) 內(nèi)核防篡改模塊。 位于操作系統(tǒng)的文件驅(qū)動(dòng)層 之上 ，通過(guò)對(duì)指定的文件夾進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)非法更改，對(duì)修改動(dòng)作進(jìn)行阻止，并記錄非法修改網(wǎng)頁(yè)的進(jìn)程、 IP 地址、內(nèi)容。通過(guò)對(duì)進(jìn)程和 IP 地址進(jìn)行合法性檢查 ，保證正常更新能夠進(jìn)行，非法修改能被識(shí)別。 用戶可以指定需要防篡改的目錄和對(duì)該目錄有正常使用權(quán)限的 (進(jìn)程名稱、訪問(wèn) IP 地址 ). 動(dòng)態(tài)頁(yè)面安全防護(hù)技術(shù) ① 動(dòng)態(tài) 腳本掃描 檢查技術(shù) 減少動(dòng)態(tài)腳本中的安全漏洞。降低攻擊者通過(guò)腳本進(jìn)行 SQL 注入式攻擊和緩沖區(qū)溢出攻擊成功的機(jī)會(huì)。 腳本掃描模塊， 位于發(fā)布服務(wù)器上，接受用戶制作的腳本和頁(yè)面。對(duì)用戶發(fā)布的腳本網(wǎng)頁(yè)進(jìn)行安全性檢查，識(shí)別不安全因素。 減少 因?yàn)槟_本漏洞和不安全導(dǎo)致的篡改行為。 ② 動(dòng)態(tài)腳本防注入式攻擊技術(shù) SQL 防注入攻擊模塊。位于 Web 服務(wù)器和用戶接口之間，對(duì)用 戶輸入的請(qǐng)求做執(zhí)行前的檢查。防范利用動(dòng)態(tài)頁(yè)面漏洞，而形成的攻擊。 JHData WebDefender 網(wǎng)頁(yè)防篡改 技術(shù)白皮書 武漢江翰科技有限公司 Tel： 02752108568 13072777189 公司網(wǎng)址： 7 第三章 網(wǎng)頁(yè)防篡改系統(tǒng)設(shè)計(jì)方案 網(wǎng)頁(yè)防篡改系統(tǒng)部署方法 網(wǎng)頁(yè)防篡改系統(tǒng)部署方法如圖 所示。 圖 網(wǎng)頁(yè)防篡改系統(tǒng)部署圖 實(shí)際使用中，網(wǎng)頁(yè)防篡改系統(tǒng)通常需要部署在兩臺(tái)機(jī)器上： Web 服務(wù)器和發(fā)布服務(wù)器。發(fā)布服務(wù)器：位于內(nèi)網(wǎng)中，有著較高的安全防護(hù)級(jí)別，其上運(yùn)行自動(dòng)發(fā)布程序和管理子系統(tǒng) 。Web 服務(wù)器：位于公網(wǎng) /DMZ 中，容易受到篡改攻擊，其上運(yùn)行頁(yè)面保護(hù)子系統(tǒng)（防篡改模塊）和同步服務(wù)器程序 。 網(wǎng) 頁(yè)的合法變更（包括增加、修改、刪除、重命名）都在發(fā)布服務(wù)器上進(jìn)行，變更的手段可以是任意方式的（例如： FTP、 SFTP、 RCP、 NFS、文件共享等）。網(wǎng)頁(yè)變更后，由自動(dòng)發(fā)布子系統(tǒng)將其同步到 Web 服務(wù)器上。 該 系統(tǒng)可與政府網(wǎng)站內(nèi)容管理系統(tǒng)（ CMS）分開部署，也可與網(wǎng)站內(nèi)容管理系統(tǒng)部署在一臺(tái)機(jī)器上。 網(wǎng)頁(yè)防篡改系統(tǒng)邏輯結(jié)構(gòu) 網(wǎng)頁(yè)防篡改系統(tǒng)主要由網(wǎng)頁(yè)防篡改服務(wù)器及 Web 服務(wù)器組成，如圖 所示。 JHData WebDefender 網(wǎng)頁(yè)防篡改 技術(shù)白皮書 武漢江翰科技有限公司 Tel： 02752108568 13072777189 公司網(wǎng)址： 8 圖 網(wǎng)頁(yè)防篡改系統(tǒng)組成圖 頁(yè)面保護(hù)子系統(tǒng) 頁(yè)面保護(hù)子系統(tǒng)包括 嵌入式防篡改模塊 和 內(nèi)核防篡改模塊 。 嵌入式防篡改模塊內(nèi)嵌在 Web 服務(wù)器軟件里，作為 WEB 服務(wù)器的服務(wù)組件運(yùn)行。子系統(tǒng)依據(jù)不同的 Web 服務(wù)器使用不同的內(nèi)嵌技術(shù)實(shí)現(xiàn)，例如： ISAPI、 ApacheModule、 NSAPI、JAVAclass 等。嵌入式防篡改模塊對(duì)每個(gè)發(fā)送的網(wǎng)頁(yè)進(jìn)行即時(shí)的完整性檢查：如果網(wǎng)頁(yè)正常則對(duì)外發(fā)送；如果被篡改則阻斷對(duì)外發(fā)送，并依照一定策略進(jìn)行報(bào)警和恢復(fù)。嵌入式防篡改模塊還提供基于特征的 SQL 注入攻擊檢測(cè)子模塊，完成輸入檢測(cè)，識(shí)別和阻止攻擊行為。 內(nèi)核 防篡改模塊，該模塊駐留于 Windows/Linux 服務(wù)器操作系統(tǒng)內(nèi)核，使得大部分常規(guī)篡改手段失效。位于操作系統(tǒng)的文件驅(qū)動(dòng)層之上，通過(guò)對(duì)指定的文件夾進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)非法更改，對(duì)修改動(dòng)作進(jìn)行阻止，并記錄非法修改網(wǎng)頁(yè)的進(jìn)程、 IP 地址、內(nèi)容。通過(guò)對(duì)進(jìn)程和 IP 地址進(jìn)行合法性檢查，保證正常更新能夠進(jìn)行，非法修改能被識(shí)別。 自動(dòng)發(fā)布子系統(tǒng) 自動(dòng)發(fā)布子系統(tǒng)負(fù)責(zé)頁(yè)面的自動(dòng)發(fā)布以及頁(yè)面被篡改后的自動(dòng)恢復(fù)，由發(fā)送端和接收端組成：發(fā)送端位于發(fā)布服務(wù)器上，稱之為自動(dòng)發(fā)布程序；接收端位于 Web 服務(wù)器上，稱之為同步服務(wù)器 。 在正常發(fā)布網(wǎng)頁(yè)時(shí)，自動(dòng)發(fā)布程序監(jiān)測(cè)到文件系統(tǒng)變化即計(jì)算該文件水印，并進(jìn)行 SSL發(fā)送，同步服務(wù)器接收到網(wǎng)頁(yè)和水印后，將網(wǎng)頁(yè)存放在文件系統(tǒng)中，將水印存放在安全數(shù)據(jù)庫(kù)里；所有合法網(wǎng)頁(yè)的增加、修改和刪除都通過(guò)自動(dòng)發(fā)布子系統(tǒng)進(jìn)行。對(duì)于動(dòng)態(tài)數(shù)據(jù)庫(kù)更新，網(wǎng)頁(yè)防篡改 監(jiān)控管理子系統(tǒng) 頁(yè)面保護(hù)子系統(tǒng)（防篡改模塊） 自動(dòng)發(fā)布程序 同步服務(wù)器 內(nèi)核防篡改模塊 嵌入式防篡改模塊 網(wǎng)頁(yè)防篡改服務(wù)器 WEB 服務(wù)器 CMS 服務(wù)器 1n JHData WebDefender 網(wǎng)頁(yè)防篡改 技術(shù)白皮書 武漢江翰科技有限公司 Tel： 02752108568 13072777189 公司網(wǎng)址： 9 發(fā)布系統(tǒng)捕獲數(shù)據(jù)庫(kù)更改，并將 CMS 數(shù)據(jù)庫(kù)中的內(nèi)容同步到 Web 數(shù)據(jù)庫(kù)中，保證用戶訪問(wèn)到最新的內(nèi)容。 對(duì)于動(dòng)態(tài)腳本，系統(tǒng)采用腳本掃描技術(shù)，識(shí)別腳本中的安全漏洞，保證腳本發(fā)布的質(zhì)量。 監(jiān)控管理子系統(tǒng) 負(fù)責(zé)網(wǎng)頁(yè)被篡改后的自動(dòng)恢復(fù)，也提供系統(tǒng)管理員的使用界面，對(duì)整 個(gè)系統(tǒng)進(jìn)行管理控制。其功能包括：手工上傳、查看警告、檢測(cè)系統(tǒng)運(yùn)行情況、修改配置、查看和處理日志等。 網(wǎng)站備份子系統(tǒng) 負(fù)責(zé)網(wǎng)站的備份恢復(fù)，提供對(duì) WEB 服務(wù)器上的系統(tǒng)、文件和數(shù)據(jù)庫(kù)的綜合保護(hù)， web 服務(wù)器出現(xiàn)故障時(shí)，系統(tǒng)能夠提供裸機(jī)系統(tǒng)恢復(fù)和快速修復(fù)能力。 JHData WebDefender 網(wǎng)頁(yè)防篡改 技術(shù)白皮書 武漢江翰科技有限公司 Tel： 02752108568 13072777189 公司網(wǎng)址： 10 第四章 網(wǎng)頁(yè)防篡改系統(tǒng)實(shí)現(xiàn)方案 本系統(tǒng)主要包括五個(gè)模塊：頁(yè)面保護(hù)子系統(tǒng)、網(wǎng)頁(yè)發(fā)布與 同步子系統(tǒng)、監(jiān)控子系統(tǒng)和系統(tǒng)備份子系統(tǒng)組成。系統(tǒng)的工作流程如圖 所示。 圖 網(wǎng)頁(yè)防篡改系統(tǒng)設(shè)計(jì)圖 網(wǎng)頁(yè)發(fā)布管理流程 所有網(wǎng)頁(yè)的合法變更（包括增加、修改、刪除、重命名）都在發(fā)布服務(wù)器上進(jìn)行。發(fā)布服務(wù)器上具有與 Web 服務(wù)器上的網(wǎng)頁(yè)文件完全相同的目錄結(jié)構(gòu)，發(fā)布服務(wù)器上的任何文件 /目錄的變化都會(huì)自動(dòng)和立即地反映到 Web