防篡改技術(shù)在網(wǎng)頁中的應(yīng)用

吳梅麗

【關(guān)鍵詞】防篡改技術(shù) 網(wǎng)頁 應(yīng)用

防篡改技術(shù)并非一個獨立的技術(shù)，其發(fā)展與網(wǎng)頁安全息息相關(guān)。由于Web應(yīng)用存在著嚴(yán)重的安全漏洞、問題，各種諸如XSS攻擊、SQL注入等Web攻擊技術(shù)應(yīng)用而生，促使Web防御手段不斷完善，防篡改技術(shù)是其中十分典型的一種防御技術(shù)。

1 網(wǎng)站安全現(xiàn)狀

近些年來，隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)在各行各業(yè)的應(yīng)用深度不斷朝著縱深方向發(fā)展。為了更好地獲取信息，網(wǎng)站建設(shè)步伐不斷加快，但網(wǎng)站建設(shè)的不斷發(fā)展引發(fā)了另一個問題，即安全問題。為了保障網(wǎng)站的安全性，必須借助于各種現(xiàn)代化信息安全技術(shù)、產(chǎn)品，但是，依據(jù)我國CNCERT/CC的統(tǒng)計報告，當(dāng)前所引發(fā)的嚴(yán)重網(wǎng)絡(luò)攻擊安全事件中，網(wǎng)頁篡改事件占據(jù)安全事件總量的74%。由此可見，在網(wǎng)站安全問題日趨嚴(yán)峻的今天，必須有效地應(yīng)對網(wǎng)頁篡改等問題。《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》是公安部為保障互聯(lián)網(wǎng)安全可信、網(wǎng)站信息正確頒布的，其中明確規(guī)定：“開辦新聞網(wǎng)站、門戶網(wǎng)站以及電子商務(wù)網(wǎng)站的，應(yīng)當(dāng)具備防范網(wǎng)頁、網(wǎng)站被篡改功能，且被篡改后可以自動恢復(fù)”。當(dāng)前，面對形式嚴(yán)峻的網(wǎng)站安全威脅，需要構(gòu)建一個科學(xué)、完善的互聯(lián)網(wǎng)安全體系，也是重點研究的課題之一。

2 網(wǎng)頁防篡改技術(shù)的應(yīng)用

2.1 典型防篡改技術(shù)

2.1.1 密碼學(xué)技術(shù)

該技術(shù)是密碼編碼學(xué)、分析學(xué)兩種的合稱，針對的是如何對密碼進(jìn)行編制、破譯的技術(shù)，其主要包括基本術(shù)語、密碼體制、保密系統(tǒng)三大部分的內(nèi)容。其中，基本術(shù)語主要包括明文、密文、加密、解密、密鑰等。對于密碼系統(tǒng)而言，為實現(xiàn)加密、解密等功能，所用的密碼方案即所謂的“密碼體制”。如今，該技術(shù)在Web安全防御體系中有十分重要的應(yīng)用。

2.1.2 防火墻技術(shù)

防火墻，主要位于兩個或多個網(wǎng)絡(luò)之間，通過控制訪問實現(xiàn)安全防御的組件集合，通常而言，包括計算機(jī)、路由器、防火墻盒等，其作為網(wǎng)絡(luò)訪問的唯一路徑，無論對于外部網(wǎng)絡(luò)數(shù)據(jù)，還是內(nèi)部數(shù)據(jù)流，都必須經(jīng)過這道關(guān)口，由其對該請求是否合法進(jìn)行判斷，只有滿足安全策略，數(shù)據(jù)流方可順利通過。防火墻包括四大類：一是包過濾型。這是最為常見的防火墻結(jié)構(gòu)，主要是通過過濾、封包等方式，對其是否能夠進(jìn)入網(wǎng)絡(luò)進(jìn)行判斷，只有滿足安全準(zhǔn)則的封包，方可通過；二是狀態(tài)監(jiān)測型。通過構(gòu)建狀態(tài)連接表，對封包包頭內(nèi)容、傳送前后關(guān)聯(lián)性等進(jìn)行檢查；三是應(yīng)用層網(wǎng)關(guān)。就不同網(wǎng)絡(luò)協(xié)議而言，都需要借助于代理程序?qū)W(wǎng)絡(luò)連接來源、目的端進(jìn)行模擬，若內(nèi)部用戶需要實現(xiàn)與外部網(wǎng)絡(luò)的連接時，必須連接至某個中繼站，完成相應(yīng)的封包交換活動，以防直接接收到該封包；四是網(wǎng)絡(luò)地址轉(zhuǎn)換。該技術(shù)能夠?qū)?nèi)部網(wǎng)絡(luò)服務(wù)器位置加以隱藏，防止其受到黑客的攻擊。

2.1.3 蜜罐技術(shù)

該技術(shù)主要負(fù)責(zé)“誘騙”非法進(jìn)入系統(tǒng)的黑客而設(shè)置的資源，使網(wǎng)絡(luò)運行受到嚴(yán)密的監(jiān)控，通過被探測、攻擊、攻陷等，使其在蜜罐上過度地浪費大量時間，如此拖延其對于真正內(nèi)部網(wǎng)絡(luò)目標(biāo)的攻擊。該技術(shù)還能對未知攻擊進(jìn)行檢測。如可通過離開蜜罐的網(wǎng)絡(luò)流量，對系統(tǒng)是否受到漏洞威脅進(jìn)行檢測。該技術(shù)的應(yīng)用有助于迷惑攻擊者，使其思路混亂。

2.2 動態(tài)網(wǎng)頁防篡改技術(shù)

動態(tài)網(wǎng)頁防篡改，保障了Web網(wǎng)站所發(fā)送網(wǎng)頁內(nèi)容的正確的、完整性，主要利用網(wǎng)絡(luò)安全設(shè)備、專業(yè)化的防篡改系統(tǒng)達(dá)到這一目的。主要包括兩種：

2.2.1 信息加密技術(shù)

該技術(shù)是確保網(wǎng)頁信息安全性的核心技術(shù)。由于網(wǎng)頁防篡改過程涉及很多動態(tài)數(shù)據(jù)傳輸、存儲等過程，因此，如何有效保護(hù)網(wǎng)頁動態(tài)數(shù)據(jù)的安全性，是防止網(wǎng)頁被篡改的關(guān)鍵，因而需要借助于完善的加密機(jī)制，方可避免非法用戶對文件傳輸過程進(jìn)行監(jiān)聽、偽造、篡改、攻擊。加密機(jī)制通過很小的代價，為網(wǎng)絡(luò)數(shù)據(jù)提供了極大的保障，根據(jù)作用的不同，該技術(shù)主要包括數(shù)據(jù)存儲加密、傳輸加密、密鑰管理三大類技術(shù)。就數(shù)據(jù)存儲加密而言，旨在負(fù)責(zé)保障重要數(shù)據(jù)存儲過程中不被攻擊、泄露，多采用存取控制、密文存儲兩大途徑。前者負(fù)責(zé)對用戶資格進(jìn)行嚴(yán)密審核，避免非授權(quán)用戶存取，后者負(fù)責(zé)借助于加密模塊、算法、密碼等進(jìn)行防御。對于數(shù)據(jù)傳輸加密而言，主要通過對傳輸數(shù)據(jù)流進(jìn)行加密，實現(xiàn)防御。主要包括鏈路、結(jié)點到結(jié)點、端到端三種加密方式。就密鑰管理而言，通過在授權(quán)方間構(gòu)建密鑰關(guān)系，實現(xiàn)系統(tǒng)密鑰的安全性，確保密鑰的可鑒別性，避免非法用戶使用密鑰。

2.2.2 完整性鑒別技術(shù)

該技術(shù)指的是數(shù)據(jù)在傳送、存取、處理等過程之中，就所涉及用戶身份加以認(rèn)證，并就數(shù)據(jù)、密鑰等信息加以驗證的技術(shù)。驗證時通常通過將該對象的特征輸入，設(shè)置參數(shù)對比，判斷其吻合與否等實現(xiàn)。其中，典型的完整性鑒別技術(shù)即哈希函數(shù)算法、數(shù)字水印技術(shù)。前者通過對數(shù)據(jù)構(gòu)建相應(yīng)的“數(shù)字指紋”，就數(shù)據(jù)傳輸過程的完整性進(jìn)行驗證，針對特定數(shù)據(jù)而言，其Hash值惟一，一旦數(shù)據(jù)存在篡改情況，其數(shù)字指紋也相應(yīng)改變。因此，通過就數(shù)字指紋進(jìn)行檢驗，可以明確數(shù)據(jù)是否完整。后者是在用戶對網(wǎng)頁訪問發(fā)出請求后，在將網(wǎng)頁內(nèi)容提交用戶前就網(wǎng)頁完整性加以監(jiān)測。該技術(shù)包括水印嵌入、提取兩大過程，一旦數(shù)據(jù)的內(nèi)容存在變化，此類水印信息也會改變，這樣能夠?qū)υ紨?shù)據(jù)篡改與否進(jìn)行判斷。

3 結(jié)束語

綜上所述，在網(wǎng)站系統(tǒng)信息的安全保障和加強(qiáng)中，部署防篡改技術(shù)系統(tǒng)對網(wǎng)站安全起到了非常重要的作用。在網(wǎng)絡(luò)日益發(fā)達(dá)的今天，對網(wǎng)絡(luò)安全性、真實性和可靠性的要求也越來越高，因此，防篡改技術(shù)在網(wǎng)頁應(yīng)用方面具有良好的發(fā)展前景。

參考文獻(xiàn)

[1]馬杏池,劉亮.高級加密標(biāo)準(zhǔn)(Rijndael 算法)介紹與探討[J].裝備指揮技術(shù)學(xué)院學(xué)報,2011,23(18):392-395.

[2]白建坤,張玉清.Linux下網(wǎng)頁監(jiān)控與恢復(fù)系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機(jī)工程與設(shè)計,2010,12(24):210-213.