主题:政府网站网页防篡改应用解决方案

现阶段政府网站系统的安全措施还多数仅限于购置防火墙等对病毒的防护，但是网页非法篡改行为是利用操作系统的漏洞和管理的缺陷进行攻击，而政府机构原有的安全措施（如安装防火墙、入侵检测）则主要集中在网络层上，无法对网页篡改事件形成有效的监控和防护。

系统概述
Webguard系统是将篡改监测的核心程序通过微软文件底层驱动内嵌到Web服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容（包含html、as批、jsp、php、jpeg、gif、bmp、psd、png、flash等各类文件类型）对照其多个属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到同类软件中的最高的水准。

Webguard部署示意
Webguard，系统采用C/S结构，分为WebGuard Client（客户管理端）和WebGuard Server（服务器端）两部分。其中服务器端安装在政府网站发布服务器上，实时保护和恢复被恶意篡改的网页，并对每一次所受的攻击留下记录。客户管理端可以安装在任意一台可以连接到政府网站发布服务器的PC上。通过客户管理端可以轻松设置对发布服务器上的网站所在文件夹的保护设置，对网站内容的管理维护以及查看或导出受攻击记录。另外客户管理端内建ftp功能，不需要借助第三方软件，即可以轻松发布网站的更新内容

Webguard系统的核心优势
1)        基于文件夹驱动级保护技术，事件触发机制，确保系统资源不被浪费
不同于一些文件轮询扫描式或外挂式的页面防篡改软件，Webguard的页面防篡改模块采用的是与Web服务器底层文件夹驱动级保护技术，与操作系统（目前仅限于微软平台，支持windows 2000/xp/2003）紧密结合的。而且是在Web服务器对外发送网页时进行网页防篡改检测。这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能，其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或外挂式的同类软件。
2)        部署实施简便、操作简单
仅需要3分钟时间，即可部署完整套网页防篡改保护系统，部署完毕后，进行简单配置即可运行；
3)        不影响现有网络结构
该系统的架构简单，采用C/S方式，免除了用户额外采购硬件设施，在现有web网站基础上直接安装本系统即可，绿色软件，管理告警客户端本地无存储数据（日志只在需要时进行导出excel进行查询），大大降低了用户投资；
4)        完全杜绝篡改内容流出
采用文件级驱动保护技术后，用户每次访问每个受保护网页时，Web服务器在发送之前都进行完整性检查，保证网页的真实性，可以彻底杜绝篡改后的网页被访问的可能性，全面和实时地保护网站的所有网页文件。
采用外挂轮询式的网页防篡改系统：对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。
5)        动态网页脚本保护
目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web服务器上；网页内容则取自于数据库。
一般来说，数据库处在内部网中，没有外部地址，而且可以只接受来自内部指定地址的访问，因此一般不会受到攻击。而存在于Web服务器上的动态网页脚本则与静态网页一样，容易受到攻击。
采用文件驱动级技术的系统，可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。
采用外挂轮询技术的防篡改系统，所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。
6)        连续篡改攻击保护
有意进行恶意攻击的黑客可以利用外挂轮询技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。
由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页（例如网站首页）进行，因此即使外挂轮询技术的扫描时间间隔设置得再小（例如1分钟），也无法阻止篡改后的网页被公众访问到（例如重新篡改网页需要1秒钟，则公众在1分钟内的59秒里看到的都是篡改后的网页）。
这个过程往复下去，使公众只能看到被篡改的网页，而总是看不到真实的网页。除非管理者能够很快修补系统漏洞或停止提供Web服务，否则外挂轮询技术是无法阻止这种恶意的连续攻击。
而采用文件加底层驱动级技术的系统在每次输出网页时都进行完整性检查，如有变化则立即恢复。因此，无论连续攻击多么迅速，都无法使公众看到被篡改的网页。

WebGurad3.0网页防篡改保护系统采用目前最先进的系统驱动级文件保护技术，基于事件触发式监测机制，高效实现了网页监测与实时内容恢复功能，彻底杜绝了网站被非法篡改的可能。其性能、灵活性以及安全性远远高于传统类防护技术，恢复时间达到毫秒级，支持各类网页格式，占用系统资源极少，低于2%，无需增加额外设备，不改变现有网络架构。该系统还支持网页的上传、发布功能和远程管理等功能，WebGuard已经成为目前国内政府、各企事业单位网站防篡改保护的首选安全产品。
    传统的网页保护技术有基于轮询检测检测技术、内嵌技术、事件触发机制等，大量实践表明，轮询检测技术检测效率较低，对服务器负载以及带宽资源消耗较大，而且不能完全杜绝短时间出现外部访问到非法篡改后的网站，是第一代网页防篡改技术，在过去带宽资源相对不丰富，应用系统对系统应用资源较少的情况下使用，但不能实时对网页进行恢复，往往比较滞后；随着技术发展，网站上运行的各类应用逐渐增多，服务器负载将是网页防篡改技术面临的最大挑战，内嵌技术的应用在一定程度上降低了篡改的几率，但其部署方式较为复杂，加密算法的选择严重影响到了服务器的负载，而且时常会出现大量网页外部不可访问的状况，这属于第二代监测技术；基于事件触发机制被大量事实证明是服务器的负载最小的一种检测技术，简单，成熟，可靠，已经成为目前最主流的检测技术，基于文件过滤驱动级保护技术是第三代全新防篡改技术，通过文件底层驱动技术从根本上解决了文件检测的准确度，以及针对子文件夹的保护，程序后台运行监测程序，一旦发现文件属性变化，则立即从安全目录中（不对外提供访问）加以恢复，效率和安全性都得到了较好的保证，对大中型网站均可以起到很好的保护效果。

产品官方介绍：http://www.zhihengit.com/webguard.html

       适用于：各级政府门户网站、大中型企事业单位、金融、证券、教育、医疗、能源、科研院所、报社、科研院所等组织。