网页防篡改技术白皮书

WGS网页防篡改系统

技

术

白

皮

书

深圳市赛蓝科技有限公司

Shenzhen Cylan Technology Co., Ltd

2009年6月

一、网络安全现状....................................................................................3

1.1.网站安全背景介绍.........................................................................................3

1.2.赛蓝网站安全解决方案.................................................................................4

二、网页防篡改产品简介........................................................................5

三、赛蓝网页防篡改系统组成及部署....................................................5

3.1.赛蓝网页防篡改组成.....................................................................................5

3.2.赛蓝网页防篡改网络部署.............................................................................6

四、赛蓝网页防篡改系统运行环境........................................................7

五、赛蓝网页防篡改系统工作原理........................................................7

六、核心模块介绍....................................................................................9

6.1.WEB 防火墙.....................................................................................................9

6.1.1 恶意扫描、SQL注入攻击.....................................................................................9

6.1.2 非法访问请求.....................................................................................................10

6.1.3 关键字过滤.........................................................................................................10

6.2.事件触发保护...............................................................................................10

6.3.实时阻断.......................................................................................................11

6.4.流出检测.......................................................................................................12

6.5网站备份和还原............................................................................................13

6.6.站点保护.......................................................................................................13

七、防篡改产品功能及特点..................................................................14

一、网络安全现状

1.1.网站安全背景介绍

随着互联网建设的飞速发展，接入INTERNET的网民日益倍增，用户在体验互联网带来的无尽的共享资源的同时，网络威胁也随之而来，病毒感染，木马入侵，黑客攻击等时时刻刻都在进行着，对于网站来说，也存在同样的问题。据专业调查机构研究，发现站点目前存在最大的威胁是网页篡改问题，很多政府网站的站点安全也越来越紧急。

在计算机网络应急技术处理协调中心（CNCERT/CC）的统计报告中，2008 年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。国家互联网应急中心(CNCERT)监测到中国大陆被篡改网站总数达到35113 个，同比增加了

23.7%。按月统计情况如图所示：

互联网日益庞大的使用人群,渗透到世界各个角落。上网已成为人类生活密不可分的一部分，网站逐渐成为政府和企业对外形象的第一窗口。网页篡改事件的屡屡发生，不仅会给

政府的公信力和企业的形象造成不良影响，也会给人民群众带去不安定的因素。

1.2.赛蓝网站安全解决方案

一般的网站安全防范是架设专业防火墙来进行网站保护，但防火墙是依靠病毒或攻击数据库来防御的，黑客可以利用数据库更新的时间差来进行攻击，对此，防火墙显然是无力的，

特别是对于应用层的攻击，四层防火墙基本上起不了作用。

对此，赛蓝网页防篡改系统给出了一套安全的解决方案。首先，赛蓝防篡改系统在站点采用了四种防范方法，一是在站点架设WEB防火墙，针对于WEB攻击，扫描，非法请求等操作进行拦截；二是在站点内部进行文件实时监控，发现有对网页进行修改，删除等非法操作时，进行保护，并进行报警；三是采取事件触发技术，首先为每一个站点页面做一个水印备份，保存于更新服务器中，当监控端有文件更变信息时，即触发对文件的检查操作，如发现当前页面信息被篡改，立即进行恢复操作；四是对站点流出的网页作水印校验，发现网页和以前备份的不同时，进行拦截，报警，并且，自动还原被改过的文件。赛蓝网页防篡改系统，采取了多层次，多方位，全面地保护站点的安全，自动监控，自动还原，全智能化的防范体系，为站点提供了安全方便的保护机制。

二、网页防篡改产品简介

赛蓝网页防篡改是基于WINDOWS和LINUX内核驱动的方式，对用户站点的文件进行保护，通过WEB防火墙、实时阻断、事件触发、流出检测等方式进行网页保护，可以有效地防止WEB非法访问，SQL注入攻击，网页文件篡改等操作，对于被新技术侵入篡改的页面文件，也可以做到第一时间报警和恢复处理。此外，还可以监控站点服务器的资源使用情况和系统安全情况，如CPU、内存的使用率，系统账号的监控，文件系统的监控等，日志记录和报警可以让管理员实时了解当前的站点运行情况，站点自动恢复使得维护更加方便。

三、赛蓝网页防篡改系统组成及部署

3.1.赛蓝网页防篡改组成

赛蓝网页防篡改系统由监控端、更新服务器和管理控制端组成，监控代理端是安装在站点服务器上的，主要是对站点进行保护和监测；更新服务器安装另一台电脑上，作备份/镜像及更新站点；管理控制端是用来下发安全规则和管理监控端的，管理员可以通过管理控制端来配置和查看站点监控端的情况，可以通过管理控制端对站点监控端进行管理和配置。

站点上安装监控代理，主要模块有文件保护模块，传输模块，WEB防火墙模块和通讯模块，文件保护驱动主要对网页文件进行实时保护，WEB防火墙模块主要对网页访问进行保护，如防止非法网页请求和SQL注入攻击等，管理控制端主要模块有WEB管理界面，传输服务模块和通讯模块，WEB管理界面是提供给管理员的管理操作界面，传输服务模块和通讯模块负责和监控代理端进行文件传输和日志报警等数据传递。

3.2.赛蓝网页防篡改网络部署

在部署网页防篡改系统时，先架设管理控制端，然后，在站点服务器上安装监控代理软件，这样，监控代理端会和管理控制端建立安全连接，然后进行数据通讯，由管理控制端下发站点安全规则到监控代理端，由监控代理端进行安全监控和日志报警到管理控制端，站点管理员通过管理控制端可以查看监控代理端的运行情况及日志信息，更新服务器负责所有网页内容的更新，并为每一个监控端站点建立水印备份信息，当监控端软件检测到网页有被篡改时，会自动要求与更新服务器做水印比对，并及时恢复正确网页信息。

由于管理控制端有着控制的权力及站点备份，一般在管理控制端前架设一台应用网关设备，用于站点管理员安全地连到管理控制端。

四、赛蓝网页防篡改系统运行环境

管理服务器(MS):

Windows操作系统: Windows2000, Windows XP ,Windows2003

更新服务器（US）：

Windows系统：Windows2000, Windows XP ,Windows2003

Linux系统: Redhat Linux、RedFlag Linux、Turbo Linux

监控代理(MA):

Windows系统: Windows2000, Windows XP ,Windows2003

Linux系统: Redhat Linux、RedFlag Linux、Turbo Linux

内嵌模块(EM):

IIS: 5.x, 6.x, 7.x

Apache：1.3, 2.0, 2.2

五、赛蓝网页防篡改系统工作原理

防篡改系统组成模块及工作流程如下图：

网页防篡改工作流程

用户访问网站时，首先要经过WEB防火墙的监控，对非法请求，恶意扫描及数据库注入攻击等进行拦截，只有合法的请求被传到WEB站点，然后，由WEB站点进行网页文件请求，此时，事件触发模块会实时检查网页文件受保护情况，通过水印比较，如果判断受保护文件有被篡改，会下发指令给网站服务器，要求与更新服务器进行文件恢复，同时，文件保护模块也会开始工作，对访问网页进行实时规则检查，对网页的篡改及删除等操作进行拦截，并且，产生日志及报警，并要求其和更新服务器进行校验。合法的请求被通过后，最后请求的网页传回到WEB防火墙，这时，WEB防火墙再对流出的网页进行水印比对，如发现网页和以前备份的不同，则进行拦截并下指令给web服务器进行网页校验更新，同时产生日志和报警，只有通过检查的网页才会最终传到用户的电脑。

六、核心模块介绍

6.1.WEB 防火墙

WEB防火墙模块主要对网页访问进行保护，是分析和拦截非法用户访问请求的第一道门槛。防止恶意扫描、非法网页请求、SQL

注入攻击和关键字过滤等。

6.1.1 恶意扫描、SQL注入攻击

恶意扫描是黑客们利用工具刺探网站程序漏洞信息，对网站采取不可预知的破坏的行为。黑客常用的攻击手段为SQL注入攻击，即绕过网站防护层，在web服务器上运行SQL命令，以达到获得数据、篡改页面文件、生成非法文件等非法目的。赛蓝web防火墙模块，可以截获每个访问被监控网页的Http请求，进行访问请求入侵检测规则匹配，从而杜绝SQL

注入等常见网页攻击。

6.1.2 非法访问请求

非法访问请求，即用户通过非法的途径访问网站，Web 防火墙可根据客户情况内置规则，对匹配规则的访问请求和访问端口开放，屏蔽其他一切访问请求。

6.1.3 关键字过滤

设置关键字过滤规则，用户提交页面数据中，如有涉及规定的关键字、敏感词，或包含攻击代码字段的信息，都会被web防火墙截获。阻隔其与数据库联系。

6.2.事件触发保护

事件触发保护模块部署在监控站点的防篡改监控端软件中，通过事件篡改检验机制，对监控端机器的事件特别是增删改操作进行监测，当非法篡改的事件发生时，事件触发技术能够以毫秒级速度报警，并及时与更新服务器取得联系，对比监控端网站服务器的水印信息，并在毫秒级时间内恢复。事件触发技术消耗系统资源较低，在正常监控状态下几乎不占用系统资源，在篡改事件发生和恢复时，也不会影响到系统运行和用户访问浏览。

6.3.实时阻断

实时阻断模块内嵌于Web服务器中，是一种主动和直接的网站文件保护方式。采用该技术，可以预先把网站目录文件保护起来，除了指定的合法进程和端口服务之外，禁止其它任何进程和端口访问对保护的目录及文件的所有更改操作，在非法进程开始侵入系统之前就切

断其连接，禁止其下一步行为。

6.4.流出检测

赛蓝网页防篡改系统通过核心内嵌技术，将篡改检测模块内嵌在Web服务器软件里，对每一个数据流出请求都进行完整性检查。

正常访问请求：

¾ 用户请求访问页面，经过内嵌篡改检测模块进行网页水印校验；

¾ 如果校对正确，访问页面与保存的水印信息相匹配，则正常响应用户请求；

访问被篡改界面:

¾ 用户请求访问页面，经过内嵌篡改检测模块进行网页水印校验；

¾ 被访问页面水印校验不匹配，则页面极有可能被篡改;

¾ 防篡改系统会要求web站点服务器的页面文件与更新服务器进行水印核对，

更新服务器将更新正确的页面信息到web站点服务器；

¾ 再响应用户访问请求。

对于数据流出请求中涉及到关键词、敏感词的，流出检测模块会及时的屏蔽，并

报警和日志记录。

6.5网站备份和还原

赛蓝WGS防篡改系统可以轻松地对网站进行备份和还原，利用发布服务器可以对站点进行首次站点备份，并进行站点镜像，与各种网站更新方式无缝集成，确保站点内容可以自动的更新，站点还原可以确保当有网页被改动时防篡改系统自动进行还原，无需人工操作。

发布服务器第一次做镜像时，会把站点有所有内容复制过来，并且对每个网页做水印记录存入水印库，当网页被改动时，防篡改系统会收到事件触发的通知，然后，对当前网页进行水印检测，如发现水印不同，则从镜像中将网页自动进行恢复，此外，当网页流出时，也会进行水印检测和关键字过滤，如发现不符合规则，则网页是不能流出的，这样，就可以确保站点的网页不被篡改和即时的恢复，保护了网站的正确性和权威性。

6.6.站点保护

站点保护集成在web服务器软件中，通过和防篡改软件中的特征库的比较，对监控网站服务器的漏洞和挂马程序等进行扫描，提醒用户进行系统升级。

服务器漏洞检测主要是针对主机权限、系统操作权限、站点文件权限和开发端口等信息检查，让客户对已搭建的web服务器系统情况有清晰的了解。

网页挂马是较为隐蔽的攻击行为，其攻击最终目标是各终端访问用户。黑客等不法分子在正常的web服务器端植入恶意代码。用户访问篡改页面时，网页恶意代码程序便会找寻客户端的漏洞，自动下载并执行攻击行为，盗取终端访问用户的私人信息（如帐号密码，机要文件等等），给网站声誉和终端用户都带来极大危害。

赛蓝网页防篡改特征库可随软件版本升级，或到特征库指定更新地址下载更新，可设置手动扫描和定时扫描等功能。

七、防篡改产品功能及特点

网页文件保护

通过web防火墙、事件触发检测、文件保护驱动（系统内核层的文件驱动）和流出检测等四重策略，对网页文件进行完美的保护。按照用户配置的进程及路径访问规则设置网站目录、文件的读写权限，为每一个页面内容作水印核对，限制文件目录的增删改操作行为，并在每一次网页流出时再做一次水印检测，确保网页文件不被非法篡改。

网络攻击防护

Web核心模块对每个请求进行合法性检测，只允许规则内合法的访问请求，对非法请求或恶意扫描请求，则立即进行屏蔽，防止SQL注入式攻击。Web 核心特征库会定期升级，保障其强大的检测能力。

集中管理

通过管理服务器集中管理多台站点服务器，监测多主机实时状态，制定保护规则，接收站点服务器的报警和日志信息。控制站点服务器的启用、关闭、禁用等状态，并可对站点服务器的日志和报警情况做统计分析。

安全网站发布

使用传输模块从管理服务器的镜像站点直接更新受保护的网站目录，数据通过SSL加密传输，杜绝传输过程的被篡改的可能。

网站备份还原

赛蓝网页防篡改系统支持监控站点数据备份还原功能，可对监控站点目录文件和数据库进行完整的备份。用户可以通过发布服务器，在不停止备份功能的前提下，自动更新网页，发布服务器会自动将这些内容更新到Web服务器上。

网页流出检查

在请求浏览客户端请求站点网页时触发网页流出检查机制，对被篡改的网页进行实时恢复，再次确保被篡改的网页不会被公众浏览。

实时报警

对非法篡改行为，系统会自动记录报警日志，并通过声音、手机短信、电子邮件等多种方式通知管理员。能对网站攻击做到快速响应，及时应变。

管理员权限分级

可对管理员及监控端分配不同的权限组合。

日志审计

提供管理员行为日志，包括：时间、事件、操作对象、行为、IP地址等详尽信息，方便区分正常更新过程还是篡改攻击行为；支持保护日志查询审计功能；用户不能进行日志修改、删除操作，确保日志的准确性与完整性。

站点保护

站点保护集成在web服务器软件中，通过和防篡改软件中的特征库的比较，对监控网站服务器的漏洞和挂马程序等进行扫描。

系统信息检测

管理端机器能记录所有监控端web服务器的CPU、内存、硬盘等应用情况，方便管理员根据提供的硬件信息做升级和维护调整。

系统自我保护

网页防篡改系统能够实时地保护自己，不被非法的删除、修改、卸载等，保证了即使服务器被非法入侵，也不能够对网站进行篡改，不能够对网站管理系统进行破坏。