天融信深度解析:第三代网页防篡改技术

2013-01-14 12:26:53 hsx

  现在,互联网已经成为信息交流、传播和存储的重要手段,网站也成为政府职能部门的重要宣传手段,在树立政府形象、宣传新政策和引导舆论等方面发挥着重要的作用。随着网络信息量增长速度的加快,网站对我们生活的影响也逐渐加大,对网站信息的安全保护也就相当重要,但也更加困难。目前互联网是一个开放性的网络,网页信息都可以在一定时间内进行查询、下载、阅读或者转载。由于网站信息复制比较容易,使用比较广泛,如果网站信息被恶意篡改并大肆传播,将会严重影响政府、公众和企业的形象。可能会造成重大的经济损失以及比较恶劣的社会影响。

  针对以上情况,网页防篡改系统应运而生。经过多年的发展,网页防篡改系统采用的技术也在不断的更新迭代,过程如图1所示。从最初原始的人工对比监测,到进入自动化时代的时间轮巡技术。从高级检测时代的事件触发+密码水印技术再到多因子检测时代的事件触发+文件驱动级保护技术。防篡改技术的发展一步一个台阶,在研究及实践中逐步完善。目前,天融信网页防篡改技术已经发展到多因子检测时代,即第三代网页防篡改技术。

图1:防篡改技术发展

  第三代防篡改技术实现双重防护方案

  第三代网页防篡改技术是文件驱动级保护技术与事件触发技术的结合,具体如下:

  l文件驱动级保护技术:这是新兴的一种防篡改技术,其原理是采用操作系统底层文件过滤驱动技术,拦截与分析IRP流,对所有受保护的网站目录的写操作都立即截断,该技术是典型的“先发制人”,在篡改写入文件之前就阻止。

  l事件触发技术:这是目前主流的防篡改技术之一,该技术以稳定、可靠、占用资源极少著称,其原理是监控网站目录,如果目录中有篡改发生,监控程序就能得到系统通知事件,随后程序根据相关规则判定是否是非法篡改,如果是非法篡改就立即给予恢复。可以看出,与“文件级驱动保护技术”的“先发制人”相反,该技术是典型的“后发制人”,即非法篡改已经发生后可进行恢复。

  以上两种技术相结合,可以在篡改事件发生的两个阶段对网站实施双重防护:第一重防护——采用文件驱动级保护技术,实现进程式篡改检测引擎,阻断非法进程对网站的篡改。第二重防护——采用事件触发技术,实现触发式篡改检测引擎,瞬间清除被非法篡改的网页,并实时恢复。这种事中阻止,事后恢复的双重防护方案可以做到网站防御的滴水不漏。

  第三代防篡改技术优势

  随着WEB应用的发展,网站系统也变得越来越复杂。第一代防篡改技术(时间轮巡)已不再适用,被市场所淘汰。目前市场中的网页防篡改产品多数采用的是第二代或第三代防篡改技术。与第二代防篡改技术(以下简称“第二代技术”)相比,第三代防篡改技术(以下简称“第三代技术”)在安全性、执行效率及易用性等方面有独到优势。具体如下:

  l真正的“防”篡改

  第二代防篡改核心技术是数字水印技术。其原理是:对每一个流出的网页进行数字水印(数字指纹)检查,如果发现相关水印和之前备份的水印不同,则可断定该文件被篡改,并且阻止其继续流出,并传唤恢复程序进行恢复。所以,第二代技术其实不是真正的“防”,而是一种恢复的技术。第三代技术阻断非法进程对网站的写操作,是真正意义上的“防”篡改。

  l连续篡改攻击防护

  第二代技术在发生大规模连续篡改时,需要每次通过应用层插件计算校验匹配,由于不能阻止篡改发生,系统需要不停的重复恢复原始网页内容,极大的占用系统资源和网络资源,并可能造成显示错误页给访问用户。对于大规模连续的篡改,第三代技术在检测到首个非法操作后就会实时阻断其后续其他的篡改操作。防篡改软件系统针对来源和操作行为,提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用,极大的降低了应用程序的处理负担,有效的提高了应有工作效率。

  l断线监控保护

  当WEB服务器和备份服务器断开时,第三代技术通过内嵌到WEB服务器底层的监控程序,仍然可以阻止一切对网页文件的非法操作。而第二代技术的恢复机制在网络断开的情况下将无法发挥作用,最终导致篡改后的网页流出被公众访问。

  l不影响网页正常访问

  第二代技术是每次用户浏览网页时,才检查该网页是否被篡改。如果发现篡改就做恢复动作。每次打开网页都要增加防篡改系统的处理时间,尤其当网页文件较大时,防篡改的比对处理时间很长,导致用户浏览网页时的延迟很明显。第三代技术是底层监控文件,发现篡改马上恢复,用户每次浏览网页时,没有额外处理,所以不会产生延迟。

  l服务器资源低占用

  由于第二代技术在每次用户浏览时都要截停数据流并做数据对比,所以网页访问量越大占用的系统资源也越多。第三代技术在底层监控文件系统,消耗的服务器资源很低,且是个固定值,不随网站访问量变化。

  l不依赖WEB服务器软件

  第二代技术是内嵌到WEB服务器软件中的,如IIS、weblogic、tomcat等,所以如果web服务器软件重装、修改、配置变更,均需要调整或者重装防篡改软件系统。第三代技术内嵌于操作系统底层,不依赖WEB服务器软件,只有重装整个操作系统时才需要重装防篡改软件系统。

  识别第三代防篡改技术的方法

  目前,网页防篡改产品市场如火如荼,产品质量良莠不齐,品牌多而繁杂,不少厂商都宣称自己的产品采用的是第三代防篡改技术。让网站管理者们产生迷惑。其实,识别第三代防篡改技术的方法很简单:如果网页被篡改后可以马上恢复,即是第三代技术。因为第二代技术在网页被篡改后不会立即恢复,需要等到有用户访问该网页后才可恢复。

  测试方法:将防篡改软件系统的防护功能关掉,只开启篡改后恢复功能。然后更改一个网页并确定更改成功。在用户没有访问被更改网页的情况下,如果网页没有恢复,则是第二代技术,如果网页很快就恢复了,则是第三代技术。( 作者:杨斌)


来源: 飞象网