第5章 基于內(nèi)容的應(yīng)用安全技術(shù)2網(wǎng)頁(yè)防篡改技術(shù)

網(wǎng)頁(yè)防篡改技術(shù)網(wǎng)頁(yè)防篡改技術(shù)大多數(shù)網(wǎng)站的內(nèi)容安全的監(jiān)控還處于手工階段，從而無(wú)法及時(shí)有效的偵測(cè)到網(wǎng)站被攻擊，網(wǎng)頁(yè)被篡改，從而造成不良的政治影響。另外，網(wǎng)站內(nèi)部人員一旦疏忽發(fā)布了敏感信息，各監(jiān)管部門(mén)又難以及時(shí)發(fā)現(xiàn)，這樣必將造成重大損失。因此，對(duì)于影響力強(qiáng)，瀏覽人數(shù)眾多的網(wǎng)站，特別是權(quán)威的政府和媒體網(wǎng)站來(lái)說(shuō)，它們所發(fā)布的消息都是與普通老百姓的生活息息相關(guān)的，要是網(wǎng)站上哪一環(huán)節(jié)出了差錯(cuò)，勢(shì)必對(duì)公眾造成不良后果，這就需要一款專(zhuān)門(mén)的網(wǎng)頁(yè)防篡改系統(tǒng)來(lái)保護(hù)自己網(wǎng)站和網(wǎng)頁(yè)內(nèi)容的安全。網(wǎng)頁(yè)防篡改技術(shù)雖然目前已有防火墻、入侵檢測(cè)等安全防范手段，但各類(lèi)web應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮、防不勝防，黑客入侵和篡改頁(yè)面的事件時(shí)有發(fā)生。據(jù)中國(guó)被黑站點(diǎn)統(tǒng)計(jì)系統(tǒng)數(shù)據(jù)分析，截至2006年7月25日10時(shí)，2006年登記在案的被篡改網(wǎng)站數(shù)量已達(dá)5304個(gè)(其中有很多網(wǎng)站是多次被篡改)，平均每天約有25個(gè)站點(diǎn)被篡改且被舉報(bào);又據(jù)CNCERT/CC(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)統(tǒng)計(jì)，2006年3月，全球被篡改網(wǎng)站數(shù)量超過(guò)3萬(wàn)個(gè)，平均每1.5分鐘，就有一個(gè)網(wǎng)站被篡改……

Web網(wǎng)站攻擊來(lái)源統(tǒng)計(jì)（資料來(lái)源：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)全年共有22萬(wàn)臺(tái)境外主機(jī)曾對(duì)我國(guó)發(fā)動(dòng)攻擊07年中國(guó)大陸被篡改網(wǎng)頁(yè)統(tǒng)計(jì)CNCERT/CC的2007年度安全報(bào)告2007年，CNCERT/CC監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)累積達(dá)61228個(gè)，比2006年增加了1.5倍以上統(tǒng)計(jì)數(shù)據(jù)均基于報(bào)案事件，且只是網(wǎng)頁(yè)被篡改，未報(bào)案、或者網(wǎng)站掛馬事件不包含在其中。06年政府網(wǎng)站篡改情況（資料來(lái)源：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）政府門(mén)戶(hù)網(wǎng)站的重要性政府門(mén)戶(hù)網(wǎng)站成為政府應(yīng)用信息技術(shù)履行職能的重要形式對(duì)促進(jìn)政務(wù)公開(kāi)，改進(jìn)行政管理，提高行政效能具有重要意義互聯(lián)網(wǎng)網(wǎng)站是電子政務(wù)建設(shè)的重要組成部分典型事件-國(guó)內(nèi)中國(guó)青少年基金會(huì)網(wǎng)站武漢市武昌區(qū)政府網(wǎng)站《北京青年報(bào)》網(wǎng)絡(luò)版陜西省公安廳廣州市物價(jià)局江民網(wǎng)站、金山、神州數(shù)碼吉林市政府網(wǎng)站……河南省人事廳&成都檔案局遭入侵2006年11月6日，國(guó)家公務(wù)員報(bào)考確認(rèn)時(shí)間，河南省人事廳網(wǎng)站（）的網(wǎng)上確認(rèn)程序突然中斷，造成問(wèn)題的原因并非是考生同時(shí)登陸報(bào)名，而是由于黑客采用SQL注入的方式進(jìn)行入侵

成都市檔案局網(wǎng)站被黑客篡改成土耳其國(guó)旗的圖片石家莊政府網(wǎng)攻擊紅十字會(huì)、地震局網(wǎng)站2008年5月18日下午，蘇州市公安局網(wǎng)警支隊(duì)接報(bào)：昆山市紅十字會(huì)網(wǎng)站遭人攻擊。警方立即組成專(zhuān)案組開(kāi)展偵查，發(fā)現(xiàn)當(dāng)日下午3時(shí)許，有人攻擊竊取了這個(gè)網(wǎng)站后臺(tái)管理賬號(hào)和密碼，將原網(wǎng)站頁(yè)面替換成虛假頁(yè)面，并在虛假頁(yè)面上發(fā)布捐款賬號(hào)。因有50多名網(wǎng)民瀏覽過(guò)這個(gè)詐騙網(wǎng)頁(yè)，為避免群眾受騙，警方及時(shí)將這個(gè)網(wǎng)站關(guān)閉。2008年6月，黑龍江、湖南、湖北等地個(gè)別不法分子利用互聯(lián)網(wǎng)惡意篡改紅十字會(huì)公布的募捐銀行賬號(hào)，企圖吞噬善款。經(jīng)縝密偵查，警方迅速將犯罪嫌疑人捉拿歸案，對(duì)此類(lèi)犯罪起到了極大的震懾作用。2008年5月29日晚上，黑客攻擊了陜西地震信息網(wǎng)站，在網(wǎng)站首頁(yè)上發(fā)布了“將有強(qiáng)烈地震發(fā)生”的虛假信息，陜西地震局緊急發(fā)布消息辟謠。28日晚陜西地震信息網(wǎng)遭遇了汶川地震以來(lái)的第一次黑客攻擊，黑客在網(wǎng)站首頁(yè)留下一條題為“網(wǎng)站出現(xiàn)重大安全漏洞”的信息，網(wǎng)站工作人員及時(shí)進(jìn)行了處理。5月29日20時(shí)53分前后，陜西地震信息網(wǎng)再次遭到黑客襲擊，網(wǎng)站主頁(yè)上被發(fā)布了“23時(shí)30分陜西等地會(huì)有強(qiáng)烈地震發(fā)生”的虛假信息。很快，陜西省地震局的電話(huà)就被打“爆”了，很多市民急切的希望求證這一“消息”是否真實(shí)。2008年5月31日、6月1日、2日，廣西地震局官方網(wǎng)站連續(xù)遭到黑客攻擊。黑客篡改網(wǎng)站數(shù)據(jù)資料，發(fā)布近期將發(fā)生地震的虛假信息。典型事件-國(guó)外美國(guó)白宮主頁(yè)美國(guó)司法部美國(guó)衛(wèi)生部美國(guó)勞工部雅虎新聞網(wǎng)《今日美國(guó)報(bào)》主頁(yè)韓國(guó)2300多個(gè)網(wǎng)站首頁(yè)……網(wǎng)頁(yè)篡改的動(dòng)機(jī)和目的純粹炫耀黑客技術(shù)增加自己網(wǎng)站點(diǎn)擊率加入木馬和病毒程序發(fā)布虛假信息獲利騙取用戶(hù)資料政治性的宣傳網(wǎng)頁(yè)篡改的特點(diǎn)和危害網(wǎng)頁(yè)篡改的特點(diǎn)傳播速度快、閱讀人群多復(fù)制容易，事后消除影響難作案環(huán)境和工具相對(duì)簡(jiǎn)單預(yù)先檢查和實(shí)時(shí)防范較難網(wǎng)頁(yè)篡改的危害破壞政府和公共機(jī)構(gòu)形象間接成為非法牟利的工具影響和諧社會(huì)的建設(shè)產(chǎn)生原因-客觀操作系統(tǒng)的復(fù)雜性已公布超過(guò)1萬(wàn)多個(gè)系統(tǒng)漏洞漏洞與補(bǔ)丁系統(tǒng)漏洞從發(fā)現(xiàn)到被利用最短為5天系統(tǒng)補(bǔ)丁的平均發(fā)布時(shí)間為47天應(yīng)用漏洞注入式攻擊多個(gè)應(yīng)用系統(tǒng)不同的開(kāi)發(fā)者現(xiàn)有技術(shù)架構(gòu)下，網(wǎng)站漏洞長(zhǎng)期存在產(chǎn)生原因-主觀密碼管理合格密碼：8位以上，定期改變35％的人與其他人共享密碼67％的人用同一密碼訪問(wèn)多個(gè)程序漏洞補(bǔ)丁定期更新上網(wǎng)控制釣魚(yú)、木馬、間諜軟件為業(yè)務(wù)服務(wù)還是為安全服務(wù)？其它現(xiàn)狀網(wǎng)站建設(shè)、維護(hù)力量薄弱很多網(wǎng)站沒(méi)有專(zhuān)門(mén)的網(wǎng)站建設(shè)部門(mén)，多采用外包形式?jīng)]有專(zhuān)門(mén)的維護(hù)人員的網(wǎng)站更是非常普遍，更別說(shuō)安全人員的配備黑客的低門(mén)檻“職業(yè)”性質(zhì)各種免費(fèi)黑客工具泛濫黑客工具使用教程更是比比皆是甚至工具使用的視頻教程也遍布互聯(lián)網(wǎng)什么是網(wǎng)頁(yè)防篡改系統(tǒng)網(wǎng)頁(yè)防篡改系統(tǒng)是這樣的一種網(wǎng)絡(luò)安全軟件，它實(shí)時(shí)監(jiān)控Web站點(diǎn)，當(dāng)Web站點(diǎn)上的文件受到破壞時(shí)，能迅速恢復(fù)被破壞的文件，并及時(shí)提交報(bào)告給系統(tǒng)管理員，從而保護(hù)Web站點(diǎn)的數(shù)據(jù)安全。網(wǎng)頁(yè)防篡改系統(tǒng)的核心技術(shù)有網(wǎng)站監(jiān)控功能、網(wǎng)站發(fā)布功能、內(nèi)容過(guò)濾功能及數(shù)字水印技術(shù)。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程1.(起始點(diǎn))人工對(duì)比檢測(cè)人工對(duì)比檢測(cè)，其實(shí)就是一種專(zhuān)門(mén)指派網(wǎng)絡(luò)管理人員，人工監(jiān)控需要保護(hù)的網(wǎng)站，一旦發(fā)現(xiàn)被篡改，然后以人力對(duì)其修改還原的手段。嚴(yán)格的說(shuō)來(lái)，人工對(duì)比檢測(cè)不能算是一種網(wǎng)頁(yè)防篡改系統(tǒng)采用的技術(shù)，而只能算是一種原始的應(yīng)對(duì)網(wǎng)頁(yè)被篡改的手段。但是其在網(wǎng)頁(yè)防篡改的技術(shù)發(fā)展歷程中存在一段相當(dāng)?shù)臅r(shí)間;所以在這里我們把它作為網(wǎng)頁(yè)防篡改技術(shù)發(fā)展的起始點(diǎn)，單獨(dú)拿出來(lái)講。這種手段非常原始且效果不佳，且不說(shuō)人力成本較高，其最致命的缺陷在于人力監(jiān)控不能達(dá)到即時(shí)性，也就是不能在第一時(shí)間發(fā)現(xiàn)網(wǎng)頁(yè)被篡改也不能在第一時(shí)間做出還原，當(dāng)管理人員發(fā)現(xiàn)網(wǎng)頁(yè)被篡改再做還原時(shí)，被篡改的網(wǎng)頁(yè)已在互聯(lián)網(wǎng)存在了一段時(shí)間，可能已經(jīng)被一定數(shù)量的網(wǎng)民瀏覽。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程2.(第一代)時(shí)間輪巡技術(shù)時(shí)間輪巡技術(shù)(也可稱(chēng)為“外掛輪巡技術(shù)”)。我們?cè)谶@里將其稱(chēng)為網(wǎng)頁(yè)防篡改技術(shù)的第一代。從這一代開(kāi)始，網(wǎng)頁(yè)防篡技術(shù)已經(jīng)擺脫了以人力檢測(cè)恢復(fù)為主體的原始手段而作為一種自動(dòng)化的技術(shù)形式出現(xiàn)。時(shí)間輪詢(xún)技術(shù)是利用一個(gè)網(wǎng)頁(yè)檢測(cè)程序，以輪詢(xún)方式讀出要監(jiān)控的網(wǎng)頁(yè)，與真實(shí)網(wǎng)頁(yè)相比較，來(lái)判斷網(wǎng)頁(yè)內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁(yè)進(jìn)行報(bào)警和恢復(fù)。但是，采用時(shí)間輪詢(xún)式的網(wǎng)頁(yè)防篡改系統(tǒng)，對(duì)每個(gè)網(wǎng)頁(yè)來(lái)說(shuō)，輪詢(xún)掃描存在著時(shí)間間隔，一般為數(shù)十分鐘，在這數(shù)十分鐘的間隔中，黑客可以攻擊系統(tǒng)并使訪問(wèn)者訪問(wèn)到被篡改的網(wǎng)頁(yè)。此類(lèi)應(yīng)用在過(guò)去網(wǎng)頁(yè)訪問(wèn)量較少，具體網(wǎng)頁(yè)應(yīng)用較少的情況下適用，目前網(wǎng)站頁(yè)面通常少則上百頁(yè)，檢測(cè)輪巡時(shí)間更長(zhǎng)，且占用系統(tǒng)資源較大，該技術(shù)逐漸被淘汰。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)所謂核心內(nèi)嵌技術(shù)即密碼水印技術(shù)，最初先將網(wǎng)頁(yè)內(nèi)容采取非對(duì)稱(chēng)加密存放，在外來(lái)訪問(wèn)請(qǐng)求時(shí)將經(jīng)過(guò)加密驗(yàn)證過(guò)的，進(jìn)行解密對(duì)外發(fā)布，若未經(jīng)過(guò)驗(yàn)證，則拒絕對(duì)外發(fā)布，調(diào)用備份網(wǎng)站文件進(jìn)行驗(yàn)證解密后對(duì)外發(fā)布。此種技術(shù)通常要結(jié)合事件觸發(fā)機(jī)制對(duì)文件的部分屬性進(jìn)行對(duì)比，如大小，頁(yè)面生成時(shí)間等做判斷，無(wú)法更準(zhǔn)確的進(jìn)行其它屬性的判斷。其最大的特點(diǎn)就是安全性相對(duì)外掛輪巡技術(shù)安全性大大提高，但不足是加密計(jì)算會(huì)占用大量服務(wù)器資源，系統(tǒng)反映較慢。核心內(nèi)嵌技術(shù)就避免了時(shí)間輪巡技術(shù)的輪巡間隔這個(gè)缺點(diǎn)。但是由于這種技術(shù)是對(duì)每個(gè)流出網(wǎng)頁(yè)都進(jìn)行完整檢查，占用巨大的系統(tǒng)資源，給服務(wù)器造成較大負(fù)載。且對(duì)網(wǎng)頁(yè)正常發(fā)布流程作了更改，整個(gè)網(wǎng)站需要重新架構(gòu)，增加新的發(fā)布服務(wù)器替代原先的服務(wù)器。隨著技術(shù)發(fā)展以及網(wǎng)上各類(lèi)應(yīng)用的增多，對(duì)服務(wù)器的負(fù)載資源簡(jiǎn)直可以用“苛刻”來(lái)形容，任何占用服務(wù)器資源的部分都要淘汰，來(lái)確保網(wǎng)站的高訪問(wèn)效率，如此一來(lái)，內(nèi)嵌技術(shù)(即密碼技術(shù))最終將被淘汰。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)核心內(nèi)嵌技術(shù):一個(gè)標(biāo)準(zhǔn)的Web服務(wù)器的體系結(jié)構(gòu)如下圖所示：網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)核心內(nèi)嵌技術(shù):Web服務(wù)器核心內(nèi)嵌技術(shù)簡(jiǎn)稱(chēng)核心內(nèi)嵌技術(shù)是指將安全模塊內(nèi)嵌在Web服務(wù)器軟件（IIS/Apache/Weblogic/Websphere/…）中，這個(gè)模塊針對(duì)不同的Web服務(wù)器軟件使用相應(yīng)的核心內(nèi)嵌技術(shù)實(shí)現(xiàn)，例如：ISAPI、Apache-module、NSAPI、JAVA-filter等，如圖所示：網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)核心內(nèi)嵌模塊的優(yōu)點(diǎn)

不存在獨(dú)立的安全模塊運(yùn)行進(jìn)程，入侵者無(wú)法找到和中止模塊運(yùn)行。精準(zhǔn)理解和分析Web服務(wù)請(qǐng)求數(shù)據(jù)，進(jìn)行充分可靠的安全檢查。完全與Web服務(wù)的運(yùn)行進(jìn)程融合，穩(wěn)定性和兼容性強(qiáng)。二進(jìn)制代碼，處理效率高，與應(yīng)用系統(tǒng)使用的腳本語(yǔ)言無(wú)關(guān)。與操作系統(tǒng)及硬件無(wú)關(guān)，全面控制Web系統(tǒng)軟件和服務(wù)。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)事件觸發(fā)技術(shù)利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動(dòng)程序接口，在網(wǎng)頁(yè)文件的被修改時(shí)進(jìn)行合法性檢查，對(duì)于非法操作進(jìn)行報(bào)警和恢復(fù)。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(1)Web服務(wù)器與大樓

我們把Web服務(wù)器看成是一個(gè)美術(shù)館大樓，目錄是大樓的樓層和房間，每個(gè)網(wǎng)頁(yè)文件都是房間掛著的畫(huà)作。這些畫(huà)作每天在由工作人員不斷更新，每天也有成千上萬(wàn)的借閱者通過(guò)借閱口來(lái)取出和閱讀這些畫(huà)作。網(wǎng)頁(yè)防篡改系統(tǒng)的目標(biāo)就是保證人們看到的是真實(shí)的畫(huà)作，而不是贗品甚至反動(dòng)宣傳品。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(2)外掛輪詢(xún)技術(shù)大樓配備了一個(gè)檢查員進(jìn)行巡檢，他以一個(gè)普通借閱者的身份不停地在借閱處調(diào)取每個(gè)房間的每副畫(huà)作，與手里的真實(shí)畫(huà)作相比較里進(jìn)行檢查，發(fā)現(xiàn)有可疑物品即進(jìn)行報(bào)警。

這種方式的顯著弱點(diǎn)是：當(dāng)大樓規(guī)模很大，房間和畫(huà)作很多時(shí)，他會(huì)忙不過(guò)來(lái)。對(duì)于特定的一幅畫(huà)作，兩次檢查的時(shí)間間隔會(huì)很長(zhǎng)，不法分子完全有機(jī)會(huì)更換畫(huà)作，對(duì)借閱者造成嚴(yán)重影響。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(3)事件觸發(fā)技術(shù)

大樓在正門(mén)進(jìn)口處配備一個(gè)檢查員，他對(duì)每一個(gè)進(jìn)入的畫(huà)作進(jìn)行檢查，發(fā)現(xiàn)有可疑物品即進(jìn)行報(bào)警。

這種方式的顯著優(yōu)點(diǎn)是：防范成本很低，但缺點(diǎn)是：美術(shù)館大樓的結(jié)構(gòu)非常復(fù)雜，不法分子通常不會(huì)選擇正門(mén)進(jìn)來(lái)，他會(huì)從天花板、下水道甚至利用大樓結(jié)構(gòu)的薄弱處自己挖個(gè)洞進(jìn)來(lái)，并且還不斷會(huì)有新的門(mén)路被發(fā)現(xiàn)，可見(jiàn)防守進(jìn)口的策略是不能做到萬(wàn)無(wú)一失的。另外，非法畫(huà)作一旦混進(jìn)了大樓，就再也沒(méi)有機(jī)會(huì)進(jìn)行安全檢查了。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)(4)核心內(nèi)嵌技術(shù)大樓在借閱口處配備一個(gè)檢查員，他對(duì)每一個(gè)調(diào)出的畫(huà)作進(jìn)行檢查，發(fā)現(xiàn)有可疑畫(huà)作即阻止它的流出。

這種方式的顯著優(yōu)點(diǎn)是：每副畫(huà)作在流出時(shí)都進(jìn)行檢查，因此可疑畫(huà)作完全沒(méi)有被借閱者看到的可能；相應(yīng)弱點(diǎn)是，由于存在檢查手續(xù)，畫(huà)作在流出時(shí)會(huì)耽誤時(shí)間。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

外掛輪詢(xún)技術(shù)事件觸發(fā)技術(shù)核心內(nèi)嵌技術(shù)訪問(wèn)篡改網(wǎng)頁(yè)可能可能不可能保護(hù)動(dòng)態(tài)內(nèi)容不能不能能服務(wù)器負(fù)載中低低帶寬占用中無(wú)無(wú)檢測(cè)時(shí)間分鐘級(jí)秒級(jí)實(shí)時(shí)繞過(guò)檢測(cè)機(jī)制不可能可能不可能防范連續(xù)篡改攻擊不能不能能保護(hù)所有網(wǎng)頁(yè)不能能能動(dòng)態(tài)網(wǎng)頁(yè)腳本不支持支持支持適用操作系統(tǒng)所有受限所有上傳時(shí)檢測(cè)不能受限能斷線(xiàn)時(shí)保護(hù)不能不能能網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

訪問(wèn)被篡改網(wǎng)頁(yè)外掛輪詢(xún)技術(shù)：無(wú)法阻止公眾訪問(wèn)到被篡改網(wǎng)頁(yè)，它只能在被篡改后一段時(shí)間發(fā)現(xiàn)和進(jìn)行恢復(fù)，因此公眾有很大可能訪問(wèn)到被篡改網(wǎng)頁(yè)。事件觸發(fā)技術(shù)：將安全保障建立在“網(wǎng)頁(yè)不可能被隱秘地篡改”這種假設(shè)上，因此也沒(méi)有對(duì)網(wǎng)頁(yè)流出進(jìn)行任何檢查，在一些情形下，公眾是有可能訪問(wèn)到被篡改網(wǎng)頁(yè)的。核心內(nèi)嵌技術(shù)：守住Web網(wǎng)頁(yè)流出的最后一道關(guān)口，因此能夠完全杜絕被篡改的網(wǎng)頁(yè)被公眾訪問(wèn)到，真正做到萬(wàn)無(wú)一失。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

保護(hù)動(dòng)態(tài)內(nèi)容外掛輪詢(xún)技術(shù)：所監(jiān)測(cè)到的動(dòng)態(tài)網(wǎng)頁(yè)是網(wǎng)頁(yè)腳本和內(nèi)容混合后的結(jié)果，而網(wǎng)頁(yè)內(nèi)容是根據(jù)訪問(wèn)情況時(shí)時(shí)在變化的，外掛輪詢(xún)技術(shù)又無(wú)法區(qū)分網(wǎng)頁(yè)腳本和內(nèi)容，因此無(wú)法實(shí)現(xiàn)對(duì)動(dòng)態(tài)網(wǎng)頁(yè)的防篡改保護(hù)。事件觸發(fā)技術(shù)：事件觸發(fā)僅工作在操作系統(tǒng)層面上，未和Web服務(wù)器軟件發(fā)生關(guān)聯(lián)，因此無(wú)法獲得用戶(hù)的Web請(qǐng)求數(shù)據(jù)，對(duì)動(dòng)態(tài)內(nèi)容的篡改則是完全無(wú)能為力的。核心內(nèi)嵌技術(shù)：內(nèi)嵌于Web服務(wù)器軟件內(nèi)部，能夠完全截獲用戶(hù)請(qǐng)求數(shù)據(jù)，通過(guò)阻擋對(duì)數(shù)據(jù)庫(kù)的注入式攻擊來(lái)保護(hù)動(dòng)態(tài)網(wǎng)頁(yè)內(nèi)容的安全。

網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

服務(wù)器負(fù)載外掛輪詢(xún)技術(shù)：由于從外部不斷地和獨(dú)立地掃描Web服務(wù)器文件，因此對(duì)Web服務(wù)器形成相當(dāng)?shù)呢?fù)載，并且掃描頻度（亦即安全程度）和負(fù)載總是矛盾的。事件觸發(fā)技術(shù)：由于只在正常網(wǎng)頁(yè)發(fā)布時(shí)進(jìn)行安全檢查，因此對(duì)網(wǎng)頁(yè)訪問(wèn)的影響幾乎為零，額外占用的服務(wù)器負(fù)載也基本上為零。核心內(nèi)嵌技術(shù)：篡改檢測(cè)模塊內(nèi)嵌于Web服務(wù)器軟件里，Web服務(wù)器軟件讀出網(wǎng)頁(yè)文件后，由篡改檢測(cè)模塊進(jìn)行水印比對(duì)，因此要占用一定CPU計(jì)算時(shí)間。但這個(gè)計(jì)算是在內(nèi)存中進(jìn)行的，比起Web服務(wù)器軟件從硬盤(pán)中讀取網(wǎng)頁(yè)文件的操作來(lái)，額外產(chǎn)生的負(fù)載是非常小的。

網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

帶寬占用外掛輪詢(xún)技術(shù)：從外部獨(dú)立檢測(cè)網(wǎng)頁(yè)，因此需要占用訪問(wèn)的網(wǎng)絡(luò)帶寬。事件觸發(fā)技術(shù)和核心內(nèi)嵌技術(shù)：檢測(cè)都在服務(wù)器本機(jī)上進(jìn)行，不占用網(wǎng)絡(luò)帶寬。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

繞過(guò)檢測(cè)機(jī)制外掛輪詢(xún)技術(shù)：由外部主機(jī)進(jìn)行，不可能繞過(guò)檢測(cè)。事件觸發(fā)技術(shù)：并不能確保捕獲對(duì)文件的所有方式的修改（例如直接寫(xiě)磁盤(pán)、直接寫(xiě)內(nèi)核驅(qū)動(dòng)程序、利用操作系統(tǒng)漏洞等），非常容易被專(zhuān)業(yè)黑客很容易繞過(guò)；而且一旦成功，它沒(méi)有任何手段來(lái)察覺(jué)和恢復(fù)。它的技術(shù)特點(diǎn)決定了它類(lèi)似于防病毒工具（以黑防黑）而不是專(zhuān)門(mén)針對(duì)網(wǎng)站保護(hù)的系統(tǒng)。核心內(nèi)嵌技術(shù)：整合在Web服務(wù)器軟件里的，對(duì)每一個(gè)網(wǎng)頁(yè)都進(jìn)行篡改檢查，不可能有網(wǎng)頁(yè)繞過(guò)檢測(cè)機(jī)制。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

連續(xù)篡改攻擊有意進(jìn)行惡意攻擊的黑客可以利用其他技術(shù)的掃描間隔來(lái)進(jìn)行連續(xù)的篡改攻擊，即在網(wǎng)頁(yè)被恢復(fù)后立即重新篡改網(wǎng)頁(yè)。外掛輪詢(xún)技術(shù)：由于重篡改過(guò)程可以利用程序自動(dòng)和連續(xù)進(jìn)行，并只針對(duì)一個(gè)重要網(wǎng)頁(yè)（例如網(wǎng)站首頁(yè)）進(jìn)行，因此即使的掃描時(shí)間間隔設(shè)置得再小（例如1分鐘），也無(wú)法阻止篡改后的網(wǎng)頁(yè)被公眾訪問(wèn)到。事件觸發(fā)技術(shù)：對(duì)Web服務(wù)器軟件沒(méi)有控制能力，它發(fā)現(xiàn)篡改后沒(méi)有辦法去協(xié)調(diào)Web服務(wù)器工作，對(duì)于大規(guī)?；蚓牟邉澋墓羰菬o(wú)能為力的。核心內(nèi)嵌技術(shù)：在每次輸出網(wǎng)頁(yè)時(shí)都進(jìn)行完整性檢查，如有變化則阻斷發(fā)送。因此，無(wú)論連續(xù)攻擊多么迅速和頻繁，都無(wú)法使公眾看到被篡改的網(wǎng)頁(yè)。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

動(dòng)態(tài)網(wǎng)頁(yè)腳本目前的網(wǎng)站越來(lái)越多地使用動(dòng)態(tài)技術(shù)（例如：ASP、JSP、PHP）來(lái)輸出網(wǎng)頁(yè)。動(dòng)態(tài)網(wǎng)頁(yè)由網(wǎng)頁(yè)腳本和內(nèi)容組成：網(wǎng)頁(yè)腳本以文件形式存在于Web服務(wù)器上；網(wǎng)頁(yè)內(nèi)容則取自于數(shù)據(jù)庫(kù)。外掛輪詢(xún)技術(shù)：所監(jiān)測(cè)到的動(dòng)態(tài)網(wǎng)頁(yè)是網(wǎng)頁(yè)腳本和內(nèi)容混合后的結(jié)果，而網(wǎng)頁(yè)內(nèi)容是根據(jù)訪問(wèn)情況時(shí)時(shí)在變化的，外掛輪詢(xún)技術(shù)又無(wú)法區(qū)分網(wǎng)頁(yè)腳本和內(nèi)容，因此無(wú)法實(shí)現(xiàn)對(duì)動(dòng)態(tài)網(wǎng)頁(yè)的防篡改保護(hù)。事件觸發(fā)技術(shù)和核心內(nèi)嵌技術(shù)：可以直接從Web服務(wù)器上得到動(dòng)態(tài)網(wǎng)頁(yè)腳本，不受變化的內(nèi)容影響，因而能夠象靜態(tài)網(wǎng)頁(yè)一樣保護(hù)動(dòng)態(tài)網(wǎng)頁(yè)腳本。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程3.(第二代)事件觸發(fā)技術(shù)&核心內(nèi)遷嵌技術(shù)技術(shù)對(duì)比

斷線(xiàn)時(shí)保護(hù)事件觸發(fā)技術(shù)：如果黑客中斷了Web服務(wù)器和備份網(wǎng)頁(yè)服務(wù)器的連接，這個(gè)被篡改的網(wǎng)頁(yè)就沒(méi)法即時(shí)恢復(fù)，而與此同時(shí)，大量的公眾可能已經(jīng)訪問(wèn)到了這個(gè)網(wǎng)頁(yè)，造成嚴(yán)重后果。核心內(nèi)嵌技術(shù)：即使在黑客中斷了Web服務(wù)器和備份網(wǎng)頁(yè)服務(wù)器連接的情況下，也可以阻止被篡改網(wǎng)頁(yè)的流出，最大程度達(dá)到保證效果。

網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程4.(第三代)文件過(guò)濾驅(qū)動(dòng)技術(shù)+事件觸發(fā)技術(shù)文件過(guò)濾驅(qū)動(dòng)技術(shù)的最初應(yīng)用于軍方和保密系統(tǒng)，作為文件保護(hù)技術(shù)和各類(lèi)審計(jì)技術(shù)，甚至被一些狡猾好事者應(yīng)用于“流氓軟件”，該技術(shù)可以說(shuō)是讓人喜憂(yōu)參半。在網(wǎng)頁(yè)防篡改技術(shù)革新當(dāng)中，該技術(shù)找到了其發(fā)展的空間。與事件觸發(fā)技術(shù)結(jié)合，形成了今天的第三代網(wǎng)頁(yè)防篡改保護(hù)技術(shù)。其原理是：將篡改監(jiān)測(cè)的核心程序通過(guò)微軟文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到Web服務(wù)器中，通過(guò)事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測(cè)，對(duì)文件夾的所有文件內(nèi)容，對(duì)照其底層文件屬性，經(jīng)過(guò)內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測(cè)，若發(fā)現(xiàn)屬性變更，通過(guò)非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測(cè)文件夾相應(yīng)文件位置，通過(guò)底層文件驅(qū)動(dòng)技術(shù)，整個(gè)文件復(fù)制過(guò)程毫秒級(jí)，使得公眾無(wú)法看到被篡改頁(yè)面，其運(yùn)行性能和檢測(cè)實(shí)時(shí)性都達(dá)到最高的水準(zhǔn)。網(wǎng)頁(yè)防篡改技術(shù)的發(fā)展歷程4.(第三代)文件過(guò)濾驅(qū)動(dòng)技術(shù)+事件觸發(fā)技術(shù)何謂文件系統(tǒng)過(guò)濾驅(qū)動(dòng)？文件系統(tǒng)過(guò)濾驅(qū)動(dòng)是一種可選的，為文件系統(tǒng)提供具有附加值功能的驅(qū)動(dòng)程序。文件系統(tǒng)過(guò)濾驅(qū)動(dòng)是一種核心模式組件，它作為WindowsNT執(zhí)行體的一部分運(yùn)行。

文件系統(tǒng)過(guò)濾驅(qū)動(dòng)可以過(guò)濾一個(gè)或多個(gè)文件系統(tǒng)或文件系統(tǒng)卷的I/O操作。按不同的種類(lèi)劃分，文件系統(tǒng)過(guò)濾驅(qū)動(dòng)可以分成日志記錄、系統(tǒng)監(jiān)測(cè)、數(shù)