安全系列之網頁防篡改系統

3手裡的乙個雲專案交付了半年，客戶業務系統也順利通過了雲上等保測評二級，為了提前為等保**做好準備，客戶擬購買一些雲上的安全服務，需要服務商提供安全諮詢，為此我們認真研究了一系列安全服務的工作原理，以提公升安全服務能力。今天我們從比較簡單的網頁防篡改系統入手。

一、為什麼需要網頁防篡改

網頁相當於是乙個企業的臉面，如果發生了黑客惡意修改網頁，造成惡性事件，將對企業形象造成影響。因此在等保評測過程中以及日常的運營過程中，網頁防篡改系統被提到乙個高度，成為乙個必備安全產品。

網頁防火牆waf也能夠日常的安全運營過程中發生作用，但waf不能替代網頁防篡改產品，因為有太多的辦法可以繞過waf，造成實質性的**攻擊。因為網頁防篡改產品才能真實防止惡性事件發生後對網頁的快速恢復。

網頁防篡改主要有兩大功能：攻擊事件的監測並防止修改，修改後能夠快速自動恢復。

二、網頁防篡改有哪些解決方案

1、外掛程式輪詢技術

在web server上安裝乙個外掛程式監測程式，定時對**目錄的資料與備份資料進行對比，如果發現異常，則用備份資料恢復至**目錄真實檔案。

該方法簡單，但乙個大型**上百萬個網頁，輪詢時間太長，發生問題時往往已過去了一段時間。

2、密碼水印技術

在html檔案發布時加上水印，每次網頁讀取流出時，通過在web伺服器的解析程式篡改檢測模組進行水印檢查。

3、事件觸發技術

通過作業系統的檔案修改事件觸發，對來自合法程式的修改通過，非法即阻斷。

4、檔案底層過濾驅動技術

通過在web server中安裝監測程式，只允許合法的應用新增、修改檔案，一旦發現異常檔案屬性變化，馬上用備份端的檔案覆蓋。基於該方法，所有對web伺服器上檔案的訪問都需要經過防篡改軟體的安全過濾。

通過底層檔案驅動技術，整個檔案複製過程毫秒級，其所消耗的記憶體和cpu佔用率也遠遠低於其他防篡改技術，是一種簡單、高效、安全性又極高的一種防篡改技術。

三、目前主流解決方案的實踐

接下來，我們重點介紹檔案底層過濾驅動技術的系統架構。

1、搭建好防篡改系統後，管理員上傳web網頁是通過server端伺服器，該伺服器自動將檔案同步至真實的client伺服器。

2、client端的監測程式如果發現異常，就自動呼叫server端的檔案覆蓋指令。

3、網際網路使用者真實訪問的伺服器是client端的web程式。

四、真實專案中使用網頁防篡改有哪些注意事項

1、需新增一台雲伺服器用於服務端

真實的網頁應用伺服器作為防篡改系統的client客戶端，而需要新增一台伺服器（管理端）用於管理、發布使用。

2、網頁的更新習慣有變化

部份防篡改系統上線後，網頁的變更不在原來真實的網頁應用伺服器，而需要到新增的管理端進行網頁更新。管理端將自動將網頁同步到真實的網頁伺服器（client端）中。

3、服務商有通過映象提供軟體的場景，需要注意避免犯低階錯誤

為提高效率，服務商將網頁防篡改系統有按照映象、軟體包的方式提供安全，如果是按映象方式安裝軟體，將覆蓋原客戶的所有資料（含作業系統及資料）。因此在用業務系統中新使用篡改系統，建議使用軟體包。