网页防篡改的安全需求

网站因需要被公众访问而暴露于因特网上，容易成为黑客的攻击目标。其中，黑客和不法分子对网站的网页（主页）内容的篡改是时常发生的，而这类事件对公众产生的负面影响又是非常严重的。

2008-04 CNCERT/CC监测到中国大陆被篡改网站总数达61,228个，比去年增加了1.5倍。
据国家计算机网络应急技术处理协调中心发布的报告，2006年监测到中国大陆被篡改网站总数达到24,477个，与2005年相比增长近一倍，占所有报告的网络安全事件的90%以上。

网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击，而目前大量的安全措施（如安装防火墙、入侵检测）集中在网络层上，它们无法有效阻止网页篡改事件发生。

因此，对于影响力强和受众多的网站，特别是权威的政府、媒体和大型企业的网站来说，需要专门的网页（主页）防篡改系统来保护网页和保障网站内容的安全。

专业的网页防篡改系统

iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术，将篡改检测模块和应用防护模块内嵌于Web服务器系统内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的SQL注入式攻击和篡改，彻底解决网页防篡改问题。

iGuard网页防篡改系统的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard的应用防护模块对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。

iGuard网页防篡改系统以国家863项目技术为基础，全面保护网站的静态网页和动态网页，其安全性从根本上大大优于同类产品。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。

iGuard网页防篡改系统采用可靠的Web服务器核心内嵌式技术（以下简称核心内嵌技术），其安全模块内嵌在Web服务器软件（IIS/Apache/Weblogic/Websphere/…）内部，与Web服务器无缝结合运行，其优点在于：

• 不存在独立的安全模块运行进程，入侵者无法找到和中止安全模块的运行。
• 精准理解和分析Web服务传入和传出的数据，进行充分可靠的安全检查。
• 完全与Web服务的运行进程融合，处理效率高，稳定性和兼容性强。
• 与操作系统及硬件无关，全面控制Web系统软件和服务。

iGuard的核心内嵌模块包含了篡改检测模块（数字水印）和应用防护模块（防注入攻击）两项技术，分别针对静态网页和动态网页进行保护。     

篡改检测模块

网页正常发布时，iGuard为其计算出唯一的加密的数字水印；而每次网页被浏览时，iGuard都对网页进行水印比对，实时地确保每个网页的真实性。

• 发布过程

1. 发布内嵌模块检测到文件创建/变化；
2. 为文件产生加密和不可逆转“水印”；
3. 通过加密通道传送到Web服务器。

• 检测过程

1. 公众浏览网页；
2. Web服务器内嵌模块检查“水印”完整性；
3. 如发现网页被篡改则进行警告和恢复。

应用防护模块

每次用户发出浏览请求或提交表单数据时，iGuard都对其内容进行扫描，实时阻止对动态内容的注入式攻击。

• 检测过程

1. 公众浏览网页或提交表单；
2. Web服务器内嵌模块检查URL和表单内容的合法性；
3. 如发现含有攻击字串则中断该用户连接并进行警告。

其他网页防篡改技术

外挂轮询技术：利用一个网页读取和检测程序，周期性地从外部逐个访问网页，来判断网页真实性。其最大的弱点是：对于每个网页来说，轮询扫描存在着时间间隔。在这个时间间隔里，黑客完全可以攻击系统并使公众访问到被篡改的网页。另外，它对于动态网页也无法处理。

事件触发技术：利用操作系统的文件系统接口，在网页文件的被修改时进行合法性检查。单独采用事件触发式的网页防篡改系统，不能保证外界看不到篡改后的网页。如果黑客采用大规模的篡改活动，这种响应机制将变得很慢而不可取。

更重要的是，事件触发方式并不能确保捕获对文件的所有方式的修改（例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等），非常容易被专业黑客很容易绕过；而且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒工具（以黑防黑）而不是专门针对网站保护的系统，这也是它不能支持Unix平台的原因。

高效同步技术

iGuard网页防篡改系统内置高效的多服务器文件同步机制，它可以将海量的网页文件/元素可靠和快速地发布到多台Web服务器上，确保多台Web服务器上内容的一致性。其发布端支持Windows和Linux，接收端则支持所有操作系统平台。支持多虚拟主机和虚拟目录，支持镜像和非镜像同步。

iGuard的发布功能具备增量同步模式和精确同步模式：前者用于网站正常运行时持续的发布网页，后者则可以用于诸如增加服务器、网站改版、首次部署等特殊场合。所有模式都会先进行文件比较后上传，兼顾了效率和准确性。iGuard高效的发布协议可以支持每天十万数量级别的网页发布。

iGuard发布功能特别为7*24小时运行的大型新闻和门户设计，支持自动重连、失败重传和任务断点续传，重传队列可容纳超过20万的上传任务，完全实现网页上传的无人值守和自动恢复。iGuard发布服务器还支持双机冗余部署，实现自动的主从切换。

iGuard网页防篡改系统以Web服务器核心内嵌技术为基础，采用了多项安全技术来保证整个系统的全面安全。

• 双引擎防护机制。
• 持续篡改检测和控制。
• 安全传输和审计。
• 硬件密码设备支持。

所有这些安全机制建立在天存公司对Web安全和PKI系统的深入研究之上。    

双引擎防护机制

单独的事件触发式技术是无法对网页篡改做到完全防护的，但是，对于Windows/Linux系统来说，它也是一种有益的补充检测方式。对于常规黑客攻击手段，事件触发式技术能够及时检测到这种攻击并发出警告。

iGuard使用了增强型事件触发式技术，它作为操作系统最底层的驱动程序，截获所有写文件调用，通过分析调用进程身份来确定合法性。对于其中的非法写行为实施了实时阻断，让常规黑客的篡改行为即时落空，同时发出报警。比起一般的“检测-恢复”方式的事件触发式技术，它对于网站保护的有效性有了更大的提高。

需要说明的是，由于事件触发式技术没有和Web服务器软件绑定，因此，它本身的弱点非常多，只能作为网页防篡改的补充技术，守住Web服务最后一道关口的仍是Web服务器核心内嵌技术。

持续篡改检测和控制

iGuard的防篡改检测模块在Web服务器内部透明运行，不依赖于网络连接，不影响正常的网页发布操作。因此，在断线和上传网页时都不影响篡改检测的有效性，也不需要作任何事前事后的设置变更。

事件触发式技术对Web服务器软件没有控制能力，它发现篡改后没有办法去协调Web服务器工作，例如：如果黑客中断了Web服务器和备份网页服务器的连接，这个被篡改的网页就没法即时恢复，而与此同时，大量的公众可能已经访问到了这个网页，造成严重后果。

安全传输和审计

iGuard在上传正常网页时，使用了SSL安全通信协议和证书，保证了传输过程的私密性、完整性和身份认证，防止黑客在网关上可能进行的截获-篡改攻击，较之通常的FTP上传有了极大的安全性。

iGuard日志审计系统记录了所有系统、发布、篡改检测和自动恢复等信息，可以分类分日期查看，并根据管理员的要求实现转储。日志记录还支持syslog，以实现与安全管理平台的接口。

密码硬件支持

按高强度的密码安全要求，产生网页水印的密钥应该置于硬件中，iGuard支持PKCS#11和CSP两种接口形式的任何密码设备，从而为不同密级的系统安全强度提供保证。