烏蓓華，陳 婷

（華東政法大學(xué)信息化辦公室 上海200042）

1 引言

隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲(chǔ)的重要手段。而校園網(wǎng)作為學(xué)校對(duì)外宣傳的重要陣地，在樹(shù)立形象、宣傳政策、引導(dǎo)輿論等各方面發(fā)揮了較大的作用。因此，校園網(wǎng)絡(luò)安全也越來(lái)越引起大家的關(guān)注。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)結(jié)果顯示，Web應(yīng)用安全問(wèn)題每年以2～3倍的速度遞增。當(dāng)前，針對(duì)學(xué)校網(wǎng)站的攻擊，特別是網(wǎng)頁(yè)篡改事件的迅猛增長(zhǎng)，已經(jīng)成為危害校園網(wǎng)安全最為嚴(yán)重的問(wèn)題之一。如何能更有效地減少學(xué)校網(wǎng)站被攻擊篡改，提高校園網(wǎng)絡(luò)安全成為我們亟待解決的問(wèn)題。因此，部署網(wǎng)頁(yè)防篡改系統(tǒng)，采用Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，自定義相應(yīng)的防篡改策略，實(shí)現(xiàn)網(wǎng)頁(yè)和數(shù)據(jù)內(nèi)容的實(shí)時(shí)監(jiān)測(cè)和保護(hù)，不僅可以提高校園網(wǎng)站安全性，同時(shí)也為安全事件發(fā)生后的調(diào)查取證提供有價(jià)值的線索和依據(jù)。

2 校園網(wǎng)安全防護(hù)現(xiàn)存問(wèn)題

目前，大部分高校的校園網(wǎng)安全建設(shè)主要使用網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）等網(wǎng)絡(luò)安全設(shè)備。

網(wǎng)絡(luò)防火墻是較為成熟和廣泛應(yīng)用的網(wǎng)絡(luò)安全設(shè)備。但是Web服務(wù)器通常部署在防火墻的DMZ區(qū)域，網(wǎng)絡(luò)防火墻規(guī)則集必須允許重要協(xié)議（如HTTP/HTTPS）不受限制地訪問(wèn)Web應(yīng)用，即完全向外部網(wǎng)絡(luò)開(kāi)放HTTP/HTTPS應(yīng)用端口。而且，如果攻擊代碼被嵌入Web通信中，防火墻也只是驗(yàn)證HTTP協(xié)議本身的合法性，無(wú)法判斷對(duì)HTTP服務(wù)器的訪問(wèn)行為是否合法。此時(shí)，網(wǎng)絡(luò)防火墻對(duì)Web應(yīng)用起不到任何保護(hù)作用。

[1]指出入侵檢測(cè)技術(shù)同樣工作在網(wǎng)絡(luò)層上，對(duì)應(yīng)用協(xié)議的理解和作用存在相當(dāng)?shù)木窒扌裕瑢?duì)于復(fù)雜的HTTP會(huì)話和協(xié)議更不能完整處理。由于需要預(yù)先構(gòu)造攻擊特征庫(kù)來(lái)匹配網(wǎng)絡(luò)數(shù)據(jù)，入侵檢測(cè)系統(tǒng)不能檢測(cè)和防御未知攻擊和不能有效提取攻擊特征的攻擊。

由于Web服務(wù)器對(duì)用戶請(qǐng)求的頁(yè)面缺乏完整性保護(hù)機(jī)制，而防火墻、入侵檢測(cè)系統(tǒng)以及入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備對(duì)應(yīng)用層面的攻擊防范效果也并不理想，面對(duì)嚴(yán)峻的網(wǎng)站安全形勢(shì)，需要應(yīng)用網(wǎng)頁(yè)防篡改系統(tǒng)構(gòu)建一個(gè)較為完善的網(wǎng)絡(luò)安全體系，進(jìn)一步解決傳統(tǒng)兩層防護(hù)體系存在的安全漏洞。

3 網(wǎng)頁(yè)防篡改系統(tǒng)應(yīng)用策略

3.1 網(wǎng)頁(yè)防篡改系統(tǒng)體系結(jié)構(gòu)

為提高校園網(wǎng)絡(luò)安全性，同時(shí)也為安全事件發(fā)生后的調(diào)查取證提供有價(jià)值的線索和依據(jù)，基于現(xiàn)有的網(wǎng)絡(luò)架構(gòu)部署網(wǎng)頁(yè)防篡改系統(tǒng)，采用Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，自定義防篡改策略，實(shí)現(xiàn)網(wǎng)頁(yè)和數(shù)據(jù)內(nèi)容的實(shí)時(shí)監(jiān)測(cè)和保護(hù)，具有重要意義。圖1為網(wǎng)頁(yè)防篡改系統(tǒng)部署后的系統(tǒng)結(jié)構(gòu)。

如圖1所示，當(dāng)用戶使用CMS系統(tǒng)通過(guò)FTP協(xié)議將網(wǎng)頁(yè)上傳到發(fā)布服務(wù)器上，管理和監(jiān)控子系統(tǒng)會(huì)實(shí)時(shí)監(jiān)測(cè)到網(wǎng)站目錄結(jié)構(gòu)和文件系統(tǒng)的變化，自動(dòng)發(fā)布子系統(tǒng)隨即對(duì)相關(guān)文件進(jìn)行128位密鑰的HMAC-MD5計(jì)算，生成惟一的、不可逆轉(zhuǎn)的和不可偽造的數(shù)字水印，并與Web服務(wù)器上的網(wǎng)站文件進(jìn)行比對(duì)。如果發(fā)現(xiàn)文件內(nèi)容有變化，自動(dòng)發(fā)布程序?qū)⒕W(wǎng)頁(yè)和數(shù)字水印通過(guò)SSL協(xié)議安全傳輸?shù)絎eb服務(wù)器，更新原有網(wǎng)站內(nèi)容，同時(shí)將數(shù)字水印保存在加密水印庫(kù)中。

當(dāng)用戶瀏覽網(wǎng)站時(shí)，頁(yè)面保護(hù)子系統(tǒng)中的應(yīng)用防護(hù)模塊首先會(huì)對(duì)用戶請(qǐng)求進(jìn)行安全性檢查。如果用戶請(qǐng)求中包含非法字符，防篡改系統(tǒng)會(huì)終止該會(huì)話的處理，并在日志中記錄相關(guān)攻擊事件。如果用戶請(qǐng)求合法，頁(yè)面保護(hù)子系統(tǒng)中的篡改檢測(cè)模塊則會(huì)對(duì)Web服務(wù)器上用戶請(qǐng)求的頁(yè)面內(nèi)容進(jìn)行檢測(cè)，比對(duì)該頁(yè)面的數(shù)字水印和加密水印庫(kù)中保存的水印是否一致。如果沒(méi)找到數(shù)字水印或數(shù)字水印比對(duì)失敗，那么該頁(yè)面可能是被非法篡改的網(wǎng)頁(yè)，防篡改系統(tǒng)會(huì)調(diào)用管理子系統(tǒng)進(jìn)行自動(dòng)恢復(fù)，將發(fā)布服務(wù)器上備份目錄中的相應(yīng)文件重新傳輸?shù)絎eb服務(wù)器上，并記錄恢復(fù)日志。如果檢測(cè)正常，則Web服務(wù)器會(huì)將頁(yè)面框架及其相應(yīng)的數(shù)據(jù)庫(kù)信息反饋給網(wǎng)頁(yè)瀏覽者。

圖1 網(wǎng)頁(yè)防篡改系統(tǒng)部署后的系統(tǒng)結(jié)構(gòu)

3.2 Web服務(wù)器核心內(nèi)嵌

參考文獻(xiàn)[2]提出Web服務(wù)器核心內(nèi)嵌技術(shù)是指將安全模塊內(nèi)嵌在Web服務(wù)器軟件 （IIS/Apache/Weblogic/Websphere）中，模塊針對(duì)不同的Web服務(wù)器軟件使用相應(yīng)的核心內(nèi)嵌技術(shù)實(shí)現(xiàn)。將URLScan Security Tool內(nèi)嵌于IIS的ISAP模塊中，可限制服務(wù)器處理某些特定的HTTP請(qǐng)求。參考文獻(xiàn)[3]在配置urlscan.ini文件時(shí)，定義get、head、post為允許的HTTP請(qǐng)求，設(shè)置asa、可執(zhí)行文件、批處理文件、日志文件、shtml、printer等擴(kuò)展名文件為拒絕請(qǐng)求文件類(lèi)型，還可配置【DenyUrlSequences】以禁止URL中包含某些敏感字符序列，例如“..”、“./”、“”、“:”、“%”、“&”。

URLScan與IIS鎖定工具協(xié)同工作，實(shí)現(xiàn)了與Web系統(tǒng)完全整合，處理效率高、穩(wěn)定性較強(qiáng)。由于不存在獨(dú)立的安全模塊運(yùn)行進(jìn)程，黑客無(wú)法找到和中止安全模塊的運(yùn)行，使系統(tǒng)能夠理解和分析Web服務(wù)傳入和傳出數(shù)據(jù)，有效地阻止部分Web攻擊，提高服務(wù)器安全性。

3.3 自定義防篡改策略

網(wǎng)頁(yè)防篡改系統(tǒng)將篡改檢測(cè)模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，其中應(yīng)用防護(hù)模塊會(huì)將用戶發(fā)來(lái)的請(qǐng)求與攻擊特征庫(kù)中的特征碼相比對(duì)，檢測(cè)其是否包含非法字符。為提高網(wǎng)站安全性，可自定義防篡改系統(tǒng)中的安全策略，增加對(duì)輸入字段的字符類(lèi)型判斷，加強(qiáng)對(duì)用戶提交信息的敏感字符過(guò)濾。

敏感字符過(guò)濾規(guī)則實(shí)例如下：

上述規(guī)則是指如在參數(shù)id、pagenumber傳遞內(nèi)容中發(fā)現(xiàn)非數(shù)值型的字符，頁(yè)面自動(dòng)跳轉(zhuǎn)至url指向頁(yè)面。

如果過(guò)濾規(guī)則制定的過(guò)于嚴(yán)密，有時(shí)會(huì)影響網(wǎng)站功能的正常使用。故可以對(duì)某些特殊頁(yè)面設(shè)置單獨(dú)的過(guò)濾策略，例如：

上述規(guī)則是指對(duì)于save.asp忽略編號(hào)為11103的過(guò)濾策略。

3.4 事件觸發(fā)機(jī)制實(shí)現(xiàn)實(shí)時(shí)阻斷

網(wǎng)頁(yè)防篡改系統(tǒng)通過(guò)事件觸發(fā)機(jī)制對(duì)受保護(hù)文件夾中的所有文件進(jìn)行自動(dòng)監(jiān)測(cè)，經(jīng)過(guò)內(nèi)置散列快速算法對(duì)照其底層文件屬性，一旦發(fā)現(xiàn)屬性變更，防篡改系統(tǒng)則實(shí)時(shí)阻斷對(duì)外發(fā)送，并通過(guò)底層文件驅(qū)動(dòng)技術(shù)將備份路徑文件夾內(nèi)容自動(dòng)恢復(fù)到相應(yīng)被篡改的目錄，確保網(wǎng)頁(yè)的真實(shí)性，整個(gè)文件復(fù)制過(guò)程達(dá)毫秒級(jí)。參考文獻(xiàn)[4]指出頁(yè)面防篡改模塊采用Web服務(wù)器底層文件過(guò)濾驅(qū)動(dòng)級(jí)保護(hù)技術(shù)，與操作系統(tǒng)緊密結(jié)合，這樣不但完全杜絕了輪詢掃描式頁(yè)面防篡改軟件掃描間隔中篡改內(nèi)容被用戶訪問(wèn)的可能，同時(shí)也大大減少了內(nèi)存消耗和CPU占用率。

同時(shí)，根據(jù)網(wǎng)站的實(shí)際運(yùn)行情況，我們也可對(duì)一些特殊的目錄和文件設(shè)置單獨(dú)的同步策略。比如，對(duì)于需在服務(wù)器本機(jī)上實(shí)時(shí)更改的數(shù)據(jù)庫(kù)文件、自動(dòng)生成的靜態(tài)頁(yè)面，在同步策略中設(shè)置過(guò)濾列表，當(dāng)文件內(nèi)容發(fā)生改變時(shí)，系統(tǒng)會(huì)將過(guò)濾列表之外的文件目錄自動(dòng)同步更新。

4 結(jié)束語(yǔ)

隨著學(xué)校信息化建設(shè)的不斷發(fā)展和提高，許多重要應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)都通過(guò)門(mén)戶網(wǎng)站開(kāi)展業(yè)務(wù)，因此保護(hù)Web應(yīng)用系統(tǒng)安全變得越來(lái)越重要。在現(xiàn)有校園網(wǎng)安全防護(hù)的基礎(chǔ)上部署網(wǎng)頁(yè)防篡改系統(tǒng)，采用Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊和應(yīng)用防護(hù)模塊內(nèi)嵌于Web服務(wù)器內(nèi)部，不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁(yè)和腳本的實(shí)時(shí)監(jiān)測(cè)和恢復(fù)，也可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受Web攻擊和篡改。同時(shí)，網(wǎng)頁(yè)防篡改系統(tǒng)詳細(xì)的日志信息也為我們?nèi)粘５陌踩S護(hù)工作提供幫助。一旦發(fā)生安全事件，防篡改系統(tǒng)還將為之后的調(diào)查取證工作提供有價(jià)值的線索和依據(jù)。

參考文獻(xiàn)

1 iGuard網(wǎng)頁(yè)防篡改系統(tǒng)白皮書(shū).http://www.tcxa.com.cn/

2 張磊，王麗娜，王德軍.一種網(wǎng)頁(yè)防篡改的系統(tǒng)模型.武漢大學(xué)學(xué)報(bào)（理學(xué)版），2009，55（1）

3 How to configure the URLScan Tool,http://support.microsoft.com/kb/326444/en-us

4 崔娟.數(shù)據(jù)安全防篡改解決方案研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（12）