高校網站的網頁防篡改問題研究與分析

呂美敬 周濤 楊翠翠

摘 要：隨著互聯網、云計算以及大數據技術的快速發展，越來越多的個人信息發布在各種網絡平臺和網站系統中。近年來，海外黑客聯盟攻擊國內網站活動日益頻繁且無規律，高校和政府的網站相繼被黑客攻擊，網站頁面遭到篡改，造成不良的社會影響。高校網站的仿冒網站逐年增長，不僅給家長及考生帶來經濟損失，也影響了高校的社會聲譽。對于高校信息化工作者而言，如何保證網站頁面正常運行，防止不法黑客惡意篡改網站頁面，及時恢復被篡改網頁頁面和內容是高校信息化建設工作中的重要任務。論文闡述了高校網站信息安全現狀，對高校網站被篡改的問題進行分析，對目前流行的網頁防篡改系統技術進行對比分析，并對網頁防篡改系統的部署進行簡單介紹。

關鍵詞：高校網站；網絡安全；網頁防篡改

中圖分類號：TP309.0 文獻標識碼：A

Abstract： With the development of Internet， cloud computing and large data technology， more and more personal information is concentrated in various network platform systems. In recent years， overseas hacker alliances have attacked domestic websites more and more frequently and irregularly. The websites of universities and governments have been attacked by hackers one after another and the pages of websites have been tampered has bad impact to society. The number of counterfeit websites in colleges and universities increase year by year， it brings economic losses not only to parents but also candidates. For university information workers， how to ensure the normal operation of website pages and prevent illegal hackers from maliciously tampering with website pages， timely recovery of tampered pages and content is an important task in the construction of university informationization.This paper expounds the current situation of information security of University websites， analyzes the tampering problems of University websites， compares and analyzes the popular technology of Web tamper-proof system， and briefly introduces the deployment of Web tamper-proof system.

Key words： university website；network security； web page tamper proofing

1 引言

隨著互聯網、云計算以及大數據技術的快速發展，越來越多的個人信息發布在各種網絡平臺和網站系統中。近年來，海外黑客聯盟攻擊國內網站活動日益頻繁且無規律，高校和政府的網站相繼被黑客攻擊，網站頁面遭到篡改，造成不良的社會影響。根據國家計算機網絡應急技術處理協調中心的統計數據，2017年我國境內被篡改的網站數量為20111個（去重后），較2016年的16758個增長20.0%，其中2016年和2017年教育機構類（.edu）網站占比均為0.1%，我國教育機構類網站被篡改比例未變，但是數量有所增加。高校網站的仿冒網站逐年增長，不僅給家長及考生帶來經濟損失，也影響了高校的社會聲譽。對于高校信息化工作者而言，如何保證網站頁面正常運行，防止不法黑客惡意篡改網站頁面，及時恢復被篡改網頁頁面和內容是高校信息化建設工作中的重要任務。

2 高校網站被篡改問題分析

為防止黑客惡性軟件或非法授權的入侵與攻擊，大部分高校采取了相應的網絡安全防護措施，但攻擊者依然通過SQL注入等Web應用程序漏洞篡改Web系統數據，通過構造特殊的網站頁面或鏈接引誘用戶點擊瀏覽，以達到竊取用戶個人數據的目的。

來自中國反釣魚網站聯盟的統計數據顯示，根據往年教育類釣魚網站特點來看，經常出現填報高考志愿、海外留學等釣魚網站，非法分子主要通過三種手段進行詐騙。

一是發布以普通高校網站、在線填報志愿系統等為仿冒對象的釣魚網站，散播虛假的招生信息來獲取學生的個人信息，并將這些個人信息轉賣以獲取個人利益。

二是制作“冒牌高校”網站，發布根本不存在的假的高校門戶網站，發布招生信息，引誘分數較低、迫切找學校上的學生，騙取學生及家長錢財。

三是制作以專業取向測試或者志愿填報針對性測試等騙取敏感信息為目的的軟件程序，誘導學生點擊含有木馬或者病毒的網站，盜取學生個人信息。

高校門戶網站承擔著高等學校教育的重要責任并且包含重要的信息數據。很多高校的工作動態、政策文件、審批事項、財政預決算、“三公”經費等信息均通過門戶網站發布。學籍管理系統、網上學生成績查詢、一卡通系統等包含重要的師生信息，一旦數據泄露，將對學校的聲譽帶來負面影響。

由于絕大部分高校缺乏對釣魚仿冒網站的主動發現能力，并且即使發現了也不能及時反饋給監管機構，對釣魚仿冒網站進行關停處置，造成教育類釣魚網站數量飛速增長，成為主要的安全威脅。

高校網站安全形勢堪憂，究其原因，主要存在五個方面的原因。

第一方面，大部分高校網站設計更多的考慮是滿足用戶業務的實現，軟件開發商和高校網站的系統運維人員對網站攻擊技術不了解，日常的使用過程中不會發現可能存在的安全漏洞。黑客攻擊者一般可以較好地利用這些漏洞，為自己謀取利益。

第二方面，有些攻擊者通過篡改高校門戶網站頁面來傳播一些非法信息，但實際上，頁面在被篡改之前，黑客已經利用漏洞獲得了相應的Web控制權限，網站雖然還能繼續提供正常的服務，但實際上系統的訪問者正遭受著持續的危害。

第三方面，大部分高校網站或系統都有相應的網絡安全防護措施，采用額訪問控制、WAF防火墻、入侵防御設備等各類安全設備抵制黑客攻擊，對于黑客在應用層的攻擊效果不佳，沒有做到真正的防御。

第四方面，大部分高校網站或系統設計者或開發者對安全代碼設計方面的知識欠缺，系統安全出現問題和漏洞時，只能停留在頁面進行恢復，很難針對網站或系統具體的漏洞原理對源代碼進行改造，發現問題也不能及時徹底地解決。

第五方面，由于高校人員編制有限、資金投入不足、技術能力欠缺，運維管理人員安全意識相對薄弱，有的網站或信息系統甚至一直保持著初始用戶名和密碼，利用弱口令登錄，或者將師生個人信息等敏感數據直接上傳到網上，這給各單位信息安全保障體系的運行造成了一定的負面影響。

3 網頁防篡改手段及技術分析

按照攻擊手段，網頁篡改可以分成顯式篡改和隱式篡改兩種。通過顯式網頁篡改，黑客可在政府或者高校的門戶網站上掛標語或將網頁“變臉”，利用被篡改頁面傳播速度快、事后消除影響難的特點來炫耀自己的技術技巧，或達到聲明自己主張的目的；隱式篡改一般是在被攻擊網站的網頁中植入被鏈接到色情、詐騙等非法信息的暗鏈中，引誘網站瀏覽者點擊進入，泄露個人信息，以助黑客謀取非法經濟利益。黑客為了篡改網頁，一般需提前知曉網站的漏洞，并在網頁中植入后門，最終獲取網站的控制權。

網頁防篡改系統在市場環境的催化下應運而生。經過多年的發展，網頁防篡改系統采用的技術在不斷的發展和更新，到目前為止，網頁防篡改技術已經發展到了第三代。

3.1 人工對比檢測

人工對比檢測是最原始的網頁防篡改階段，通過指派一名網絡管理人員，人工監測網站，一旦發現網頁被篡改，通過人力的方式對其修改復原的手段。

3.2 時間輪詢技術

從時間輪詢技術這一代開始，人們擺脫了用手動的方式監測網頁，開始用自動化的方式，通過一個網頁讀取和檢測程序，以輪詢的方式讀出要監控的網頁頁面，與實際的網頁頁面做對比，來判斷網頁內容的完整性，對于被篡改的網頁進行報警和恢復。

3.3 核心內嵌技術&事件觸發技術

將篡改檢測模塊內嵌在Web服務器軟件里，它的每一個網頁流出時都進行完整性檢查，對于篡改網頁進行實時訪問阻斷，并予以報警和恢復。

3.4 文件過濾驅動+事件觸發技術

利用操作系統的文件系統或者驅動程度接口，在網頁文件的被修改時進行合法性檢查，對于非法操作進行報警和恢復。

4 網頁防篡改系統

網頁防篡改系統是為了保護網站，防止被惡意篡改的內容發布到網站上，并能夠自動恢復已篡改的網頁頁面。為保護高校網站不被黑客非法篡改，我們采用第三代網頁防篡改技術的網頁防篡改系統即采用即事件觸發和文件驅動級保護相結合，第三代網頁防篡改技術的原理是：將篡改監測的核心程序通過微軟文件底層驅動技術應用到Web服務器軟件（IIS/Apache/Weblogic/Websphere/….）中，通過事件觸發的方式進行自動監測，對文件夾的所有內容，對照其底層文件屬性，通過基于規則的快速比較算法，實時進行監控，若發現屬性變更，通過非協議方式，純文件安全拷貝方式將備份路徑文件夾內容拷貝到監測文件夾相應文件位置，通過底層文件驅動技術，整個文件復制過程毫秒級，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達到最高的水準。為高效網頁的內容掃描、發布和恢復，防篡改系統采用頁面同步發布服務器，發布服務器采用先進的基于DFA的匹配算法檢查本身文件系統的變化，自動將其同步到已安裝網頁防篡改系統得到網站服務器上。

網頁防篡改系統部署分為控制中心和客戶端。客戶端分為被防護網站服務器和發布服務器。部署網頁防篡改系統之后，對于網站目錄的更新操作需要在新創建的發布服務器上進行文件的增加、刪除、修改操作。用戶可以登錄到發布服務器和網站服務器。如需更新文件，選擇發布服務器上對應的網站目錄。在發布服務器的網站目錄里進行增加、刪除、修改等操作，操作完成后，數據會定時自動同步到被防護的網站目錄上。完成網站目錄更新后，可以登錄到被防護的網站服務器進行查看。

5 結束語

本文闡述了高校網站信息安全現狀，對高校網站被篡改的問題進行分析，對目前流行的網頁防篡改系統技術進行對比分析，并對網頁防篡改系統的部署進行簡單介紹。高校網站安全形勢依舊非常嚴峻，對于高校信息化工作者而言，防止黑客非法篡改網站頁面，及時恢復被篡改的網站頁面和內容，保障高校的聲譽，依舊是高校信息化建設任務的重中之重。

參考文獻

[1] 丁勝.網站安全防篡改系統的研究與實現[D].上海交通大學， 2009.

[2] 國家計算機網絡應急技術處理協調中心.網絡安全報告[Z]. 2016.

[3] Zetao Jiang，Hongwu Zhang. A web application tamper proof method based on text and image watermarking[P]. Computing and Networking Technology （ICCNT）， 2012 8th International Conference on， 2012.

[4] 郭波濤.淺談一種網頁防篡改技術在校園網中的實現[J].電腦知識與技術， 2017.

[5] 李學龍，郝文英.基于IT治理的高校校園安全網絡框架設計研究與實現[J].網絡安全技術與應用，2017（02）：103-104.

[6] 于莉潔，王松盛，唐麗華，胡瑩.高校信息化建設中的信息安全問題研究[J].信息安全與技術，2016，7（03）：8-11.