一、方案背景说明

　　随着我国政治文明的推进和社会信息化的发展，政府门户网站已成为政府应用信息技术履行职能的重要形式，它对促进政务公开，改进行政管理，提高行政效能具有重要意义，是我国电子政务建设的重要组成部分。

　　政府门户网站的网上信息具有权威性、准确性、全面性和严肃性的特点。但在另一方面，互联网网站处在一个相对开放的环境中，它在为公众提供便利服务的同时，也极易成为不法分子和敌对势力的攻击目标。在各种破坏行为中，以篡改网页最为恶劣：政府网站上出现虚假甚至反动信息直接损害了政府形象，在一定程度上影响了和谐社会的建设。另外，最新的趋势还表明，黑客经常上传恶意代码为其实施其他攻击大开方便之门。

　　从公开媒体的报道和我们掌握的情况来看，近年来我国各级政府的网站时常发生篡改事件，这一点在突发事件发生时尤为明显。Web平台（操作系统、Web服务器软件、各种第三方软件和网站应用自身）的漏洞层出不穷，病毒木马和恶意代码网上肆虐，攻击手段日益自动化、简单化等都是造成这一现象的重要原因。

　　从防护的角度来看，随着Web平台环境和网站应用本身的复杂程度越来越高，依靠人工、轮询监控等手段对网页文件、数据库信息提供应用安全保障的处理方式由于工作量巨大、处理效率低下已经不再适用，而一些传统的安全设备，如防火墙、入侵检测系统等，无法对日益泛滥的应用层攻击进行有效的防御。如果缺乏有效和有针对性的技术防护手段，网页篡改事件很难避免。因此，我们的政府门户网站有必要采用可靠的网页防篡改系统对网页文件、动态数据提供有力地保护，并对各种应用层攻击进行有效地防御。

　　二、网页防篡改解决方案概述

　　传统的网页防篡改软件，主要针对文件的完整性提供保护。但随着电子政务的发展，政府门户网站也逐渐从单一的信息发布发展成集政务公开、网上办事、行政审批等功能于一体的信息交互平台。因此，网页防篡改的范畴也随之发生变化，不仅仅要保护文件的完整性，更要对各种利用信息交互功能发起注入式攻击、跨站攻击等应用层攻击的黑客行为进行有效的防御和遏止。

　　针对政府门户的安全现状，结合多年来在Web应用安全领域积累的丰富经验，天存建议政府门户网站采用由iGuard网页防篡改系统和iWall应用防火墙组成的WEB应用安全防护平台来实现全面可靠的网页防篡改。

　　对于静态内容居多的门户网站主站点，采用iGuard网页防篡改系统标准动态版可以实现以下防篡改功能：

　　1. 使用增强型事件触发式技术，截获所有写文件调用，对于其中的非法写行为实施了实时阻断，让常规黑客的篡改行为即时落空，同时发出报警。比起一般的“检测-恢复”方式的事件触发式技术，它对于网站保护的有效性有了更大的提高。

　　2. 采用核心内嵌技术，用户每次访问每个受保护网页时，Web服务器在发送之前都进行完整性检查，保证网页的真实性。彻底杜绝篡改后的网页被访问的可能性，全面和实时地保护网站的所有网页文件。

　　3. 应用防护模块对来自于客户的Web访问请求进行分析，检查请求的各部分中是否含有非法字符/关键字构成注入式攻击等Web应用层攻击。任何被检测出的Web应用层攻击都将被实时阻断。

　　对于交互应用丰富的应用站点，采用iGuard网页防篡改系统标准版可以实现对动态脚本文件的高效可靠保护，其对文件的保护原理和主站点对文件的保护原理一样。但是由于应用站点交互应用较为丰富，需要采用功能更为强大的应用防护系统来实现对各种应用层攻击的全面防御，因此我们推荐采用iWall应用防火墙来实现以下功能：

　　1. 对HTTP请求的特性进行过滤和限制。例如对HTTP报文中请求头的名字和长度进行检查、限制对指定HTTP请求方法的访问、限制HTTP请求中的对指定文件类型的访问、限制对指定HTTP鉴别帐号的访问、限制对指定HTTP请求内容长度的访问等等。

　　2. 对HTTP请求的内容进行过滤和限制。例如对提交的URL请求中的字符进行限制、对GET方法提交的参数进行检查（包括注入式攻击和代码攻击）、对POST方法提交的数据进行检查（包括注入式攻击和代码攻击）、对Cookie内容进行检查、对指定的文件类型进行参考域的检查等等。

　　3. 可以分别为一台服务器上不同的应用制定不同的规则。

　　组合以上限制特性，可针对以下应用攻击及其变种进行有效防御：

　　? SQL注入式攻击

　　? SQL盲注

　　? 跨站脚本攻击

　　? 文件注入

　　? 命令注入

　　? LDAP注入

　　? SSI注入

　　? PHP注入

　　? ColdFusion注入

　　? UPDF跨站

　　? Email注入

　　? Session定置攻击

　　? 上传假冒文件

　　? 不安全本地存储

　　? 非法执行脚本

　　? 非法执行系统命令

　　? 脚本源代码泄露

　　? URL访问限制失效

　　? 网站资源盗链

　　? ……

文章作者：国脉电子政务网