安全系列之網頁防篡改系統

3手裡的一個雲項目交付了半年，客戶業務系統也順利通過了雲上等保測評二級，為了提前為等保三級做好準備，客戶擬購買一些雲上的安全服務，需要服務商提供安全諮詢，為此我們認真研究了一系列安全服務的工作原理，以提升安全服務能力。今天我們從比較簡單的網頁防篡改系統入手。

一、為什麼需要網頁防篡改

網頁相當於是一個企業的臉面，如果發生了黑客惡意修改網頁，造成惡性事件，將對企業形象造成影響。因此在等保評測過程中以及日常的運營過程中，網頁防篡改系統被提到一個高度，成為一個必備安全產品。

網頁防火牆WAF也能夠日常的安全運營過程中發生作用，但WAF不能替代網頁防篡改產品，因為有太多的辦法可以繞過WAF，造成實質性的網站攻擊。因為網頁防篡改產品才能真實防止惡性事件發生後對網頁的快速恢復。

網頁防篡改主要有兩大功能：攻擊事件的監測並防止修改，修改後能夠快速自動恢復。

二、網頁防篡改有哪些解決方案

1、外掛輪詢技術

在web Server上安裝一個外掛監測程序，定時對網站目錄的數據與備份數據進行對比，如果發現異常，則用備份數據恢復至網站目錄真實文件。

該方法簡單，但一個大型網站上百萬個網頁，輪詢時間太長，發生問題時往往已過去了一段時間。

2、密碼水印技術

在html文件發佈時加上水印，每次網頁讀取流出時，通過在web服務器的解析程序篡改檢測模塊進行水印檢查。

3、事件觸發技術

通過操作系統的文件修改事件觸發，對來自合法程序的修改通過，非法即阻斷。

4、文件底層過濾驅動技術

通過在web Server中安裝監測程序，只允許合法的應用新增、修改文件，一旦發現異常文件屬性變化，馬上用備份端的文件覆蓋。基於該方法，所有對Web服務器上文件的訪問都需要經過防篡改軟件的安全過濾。

通過底層文件驅動技術，整個文件複製過程毫秒級，其所消耗的內存和CPU佔用率也遠遠低於其他防篡改技術，是一種簡單、高效、安全性又極高的一種防篡改技術。

三、目前主流解決方案的實踐

接下來，我們重點介紹文件底層過濾驅動技術的系統架構。

1、搭建好防篡改系統後，管理員上傳web網頁是通過Server端服務器，該服務器自動將文件同步至真實的Client服務器。

2、Client端的監測程序如果發現異常，就自動調用Server端的文件覆蓋指令。

3、互聯網用戶真實訪問的服務器是Client端的Web程序。

四、真實項目中使用網頁防篡改有哪些注意事項

1、需新增一台雲服務器用於服務端

真實的網頁應用服務器作為防篡改系統的Client客戶端，而需要新增一台服務器（管理端）用於管理、發佈使用。

2、網頁的更新習慣有變化

部份防篡改系統上線後，網頁的變更不在原來真實的網頁應用服務器，而需要到新增的管理端進行網頁更新。管理端將自動將網頁同步到真實的網頁服務器（Client端）中。

3、服務商有通過鏡像提供軟件的場景，需要注意避免犯低級錯誤

為提高效率，服務商將網頁防篡改系統有按照鏡像、軟件包的方式提供安全，如果是按鏡像方式安裝軟件，將覆蓋原客戶的所有數據（含操作系統及數據）。因此在用業務系統中新使用篡改系統，建議使用軟件包。