网页防篡改系统在内蒙烟草网站中的应用研究

摘要：本文分析了内蒙古烟草网站的脆弱性，阐述了网页防篡改系统的特点和功能，并详细介绍了网页防篡改软件在内蒙古自治区烟草网站中的技术实现及系统部署情况。

关键词：网页；防篡改；内蒙烟草；网站

中图分类号：TP393 文献标识码：A 文章编号：1007-9599 (2011) 21-0000-01

The Application Study of Webpage Tamper-Proof System in Inner Mongolia Tobacco’s Website

Zhang Chunfang

(Inner Mongolia Tobacco Monopoly Administration,Hohhot 010010,China)

Abstract:This paper analyzes the vulnerability of Inner Mongolia tobacco website,generalized the characteristics and function of webpage tamper-proof system.Introduced the technology and deployment of webpage tamper-proof used in the Inner Mongolia Tobacco.

Keywords:Webpage;Tamper-proof;Inner Mongolia Tobacco;Website

一、内蒙烟草网站脆弱性分析

内蒙古自治区烟草专卖局外部网站是内蒙古烟草行业信息公开的重要载体，展示烟草行业形象的重要窗口和服务社会的重要平台。分析内蒙烟草网站的脆弱性，主要存在于网络层次与应用层次上。网络层面的攻击主要集中在网络设备的漏洞方面，而应用层次的脆弱性最为复杂，包括网站管理系统中的安全漏洞和WEB开发中的安全隐患，这些都可能被攻击者所利用。

二、网页防篡改系统的功能

所有的Web网站和Web应用系统除了使用一般的网络安全设备外，还需要有效的网页防篡改系统来专门对页面内容进行保护，防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。顾名思义，网页防篡改软件的主要功能就是防止网页被篡改，主要通过文件写保护、备份恢复、动态网页安全防护等方法实现。

网页防篡改系统在技术实现上完全不同于防火墙、入侵检测等产品，该系关注网站应用层面的安全问题，如SQL注入、跨站脚本引发的网页篡改及敏感信息泄露等。系统主要采用“强认证”机制，以嵌入式过滤技术、实时阻断、事件触发等多种预防性保护技术相结合，形成针对网站文件的多层次纵深防御体系，是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。

三、网页防篡改系统在内蒙烟草网站中的应用

目前，国内拥有自主知识产权并通过国家信息安全产品认证和销售许可的网页防篡改系统有多种，如：山东中创的InforGuard、上海天存的iGuard、北京国舜科技的UnisGuard以及深圳市联软科技的LeaGuard等〔2〕。内蒙烟草门户网站的实际需求，考虑到网站操作系统层面的安全性，网站服务器操作系统为Linux，中间件WebSphere，我们采用了山东中创的InforGurard网页防篡改系统来确保网站内容不被恶意篡改。

（一）系统组成

InforGuard网页防篡改系统采用四重防护技术，主要包括实时阻断、事件触发、核心内嵌和防SQL注入四种技术，具有网站监控与恢复、同步与备份、防sql注入、告警与审计等功能，支持linux操作系统与WebSphere应用服务器软件。系统共分为四个相对对立的子系统，分别是监控Monitor Agent（简称MA）、同步Synchronization Agent（简称SA）、管理中心Management Center（简称MC）和监管平台Supervision Platform（简称SP）〔3，4〕。

监控MA――部署于网站服务器，负责实时监控保护网站文件。

同步SA――部署于同步服务器，负责实时监控备份文件变更，以及监控提交的恢复请求，并根据请求执行向网站服务器的文件同步。

管理中心MC――逻辑上部署于管理服务器，负责将操作指令传达给监控和同步，同时负责实时接收来自端的各种告警信息并及时通知用户。

监管平台SP――逻辑上部署于总中心的管理服务器，负责接收所有管辖范围内的监控中心提交的各类关键信息。

（二）系统部署

综合考虑内蒙烟草目前互联网网络的拓扑结构、互联网出口安全的设备保障情况以及操作系统的安全情况，内蒙烟草外部网站防篡改软件系统并没有采取InforGuard产品的传统部署模式，而是采用了内外部网络独立运行模式。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intranet的其他的网络，影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时将公开的WEB服务器和内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还在互联网出口处添加了两道防火墙，对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。具体部署模式如图1所示。

首先监控MA需要部署在Web服务器上，也就是对外公布的网站服务器上，而同步SA和管理中心MC需要部署在服务器上。InforGuard部署之前，网站的维护方式是通过直接对网站服务器进行更新维护的；InforGuard部署之后，网站维护人员通过webpublish系统连接到同步服务器上，对服务器备份目录里相关内容进行维护，同步服务器提供的自动更新功能会实时的将更新的文件自动同步更新到网站服务器上。

四、结束语

随着黑客对网站攻击手段的不断变化，针对网站服务器自身操作系统和Web服务器的加固，配置防火墙等被动的防御技术已不能完全保障网站的绝对安全。内蒙烟草门户网站利用事后保护的网页防篡改系统可对网站页面进行实时监控，及时恢复被篡改网页，有效地保证了网站内容不被恶意篡改，完善了网站安全防护体系。

参考文献：

[1]申建明.网页防篡改技术探讨[J].山西电力,2008,5:44-46

[2]陈宁江,杜凡远.网页防篡改应用技术分析[J].计算机应用,2009,3:61-63

[3]罗利民.网页防篡改技术的研究与应用[D].中南大学,2008,3-4

[4]张瑜.网页防篡改系统的应用分析[J].内蒙古电力技术,2010,2(28):32-34