配合网页防篡改系统部署的网站内容管理系统改造方案

叶扬

福建省教育管理信息中心 福建 350003

0 引言

目前大多数单位的网页防篡改系统是直接采购现成的系统，并且现有 CMS的设计没有考虑与网页防篡改系统相结合来应用，所以为了配合网页防篡改系统的部署，必须对CMS进行适当地改造。鉴于此，本文提出一种能与网页防篡改系统相配合的互动网站内容管理系统改造方案。

1 网页防篡改系统的实现原理及其局限性

1.1 网页防篡改技术的实现原理

首先来看看网页防篡改技术是如何实现的。网页防篡改系统可分为三个部分：备份端、监控端和控制端。备份端是网页源文件存放的服务器，通常部署有CMS；监控端是部署在面向互联网的WEB服务器上，监控端技术是网页防篡改技术的核心，目标是实现准确、迅速地检测、阻止或恢复对目标文件的非法修改、删除和添加；控制端是防篡改系统的管理工作站，负责与监控端建立连接，准确实时地获取并显示监控信息，发送监控命令，进行日志操作，获取报警信息等。

目前国内外常见的网页防篡改技术主要有：

(1) 时间轮询技术：利用一个网页检测程序，以轮询方式读出要监控的网页文件，与备份端网页文件相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

(2) 核心内嵌技术+事件触发技术：核心内嵌技术即密码水印技术，最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的网页进行解密对外发布，若未经过验证则拒绝对外发布，并调用备份端网页文件进行验证解密后对外发布。

(3) 文件过滤驱动技术+事件触发技术：将篡改监测的核心程序通过操作系统文件底层驱动技术应用到服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法进行实时监测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程达到毫秒级，使得公众无法看到被篡改页面。

1.2 网页防篡改系统部署的局限性

根据网页防篡改技术的实现原理可以知道，网页防篡改系统保证了监控端的文件与备份端的文件的一致性，所以为了WEB系统整体的安全性，必须是将备份端服务器部署在安全的内网，也就是产生备份端网页文件的 CMS也必须部署在内网。

然而很多网站的功能是丰富多采的，比如媒体类网站的“在线投稿”、政务类网站的“网上行政审批”等互动功能，必须要求CMS面向公众，面向互联网，这样就意味着CMS服务器必须部署在外网区，如此，做为数据源的备份端如果受到攻击，那么防篡改系统的保护就毫无意义了。

2 内容管理系统的改造方案

2.1 需求分析与设计思路

为了实现网站的互动功能，又不破坏防篡改系统的整体安全性，本文提出对现有 CMS进行轻量级地改造，将发布功能模块从 CMS系统中独立出来，且对用户操作透明的设计方案。以下就以在线投稿功能为例，阐述方案的设计思路。

先来看看在普通的CMS中，处理一篇投稿的工作流程。首先，在线投稿用户登录CMS提交稿件后，CMS将稿件页面的文字信息保存在后台数据库中，页面中的图片或其他附件则是上传到 CMS服务器本地。而后，网站审核员对该稿件进行审核确认后，CMS将自动生成对应的静态页面或动态页面，即在网站上发布了该稿件。在这投稿、审核、发布的流程当中，对于存储在数据库中的稿件文字信息的防护，网页防篡改系统是无能为力的，因此本文并不讨论对数据库信息的防护，而对于投稿用户提交的图片和其他类型的附件却是网页防篡改系统保护的本职所在。所以，改造方案所要解决的问题的实质就是如何处理用户提交的图片及附件。

本文提出的改造方案是将现有的 CMS拆分为内容审核系统和内容发布系统，分别部署于外网区(防火墙 DMZ区)和内网区。待审核员确认一稿件审核通过时，内容审核系统将自动向内容发布系统提交审核员占个账号、密码及稿件ID信息，之后由内容发布系统自动下载内容审核服务器上的图片及附件文件，并连同数据库中读取的稿件正文一并生成稿件的静态网页文件，至此，审核过程完成，向审核员浏览器返回操作成功页面。最后由防篡改系统将静态网页和图片、附件等网页文件自动同步到监控端——WEB服务器。系统的数据流如图1所示。

图1 系统数据流图

2.2 系统的拓朴结构

系统部署的拓朴结构如图2所示。其中WEB服务器和内容审核服务器是两个逻辑上独立的站点，在实际部署中可以部署在同一台物理服务器上，所以新的部署方案并不会增加硬件的开销。

图2 系统布署拓朴图

2.3 方案实现的技术要点

(1) 内容审核系统加密提交账号等信息。为了实现对审核员操作的透明性，审稿操作过程中的自动从内容审核系统切换至内容发布系统。为了保证这一过程的安全，防范最坏情况的出现——内容审核服务器沦陷后被安装了监听程序，内容审核系统向内容发布系统提交的审核员账号、密码及稿件 ID信息必须经过加密，内容发布系统解密验证后再进行之后的操作。

(2) 内容发布系统远程下载的实现方法。内容发布系统复制内容审核系统的图片及附件文件是通过远程下载实现的，如果内容审核系统的设计是将附件文件的路径保存在数据库中，那么以.NET平台为例，可以利用WebClient类的DownloadFile()方法实现将内容审核服务器上的文件下载到内容发布服务器；如果内容审核系统的稿件是由网页编辑器生成，那么可以先通过正则表达式匹配稿件的HTML源代码获取附件文件的路径。如下列返回图片名称的正则表达式：

string img = GetUrlByReg(TextContent，@"(IMG SRC="")+([.]*(([/](w+))*([.])(jpg|gif|bmp)))"，2).TrimEnd('$').TrimStart('.');

这个表达式可以匹配如“IMG SRC="../image/01/10001.jpg"”类似的字符串，以获取图片的相对路径。

(3) 利用防篡改系统对内容审核服务器进行防护。虽然内容审核服务器面向互联网，但是也并非无防可守。由于防篡改系统一般都具有指定目录监控功能，所以可以指定对系统的脚本等关键目录进行保护，充分利用防篡改系统的防护功能。对于附件保存目录，虽然不能将之设置成写保护，但是可以严格设置其访问权限，如取消其可执行权限。

3 结束语

本文讨论了网页防篡改系统的技术原理及局限性，并介绍了为配合网页防篡改系统的部署，实现网站的互动功能，对现有CMS进行轻量级改造的设计方案，不破坏CMS现有的架构，只是将 CMS中内容发布功能独立出来部署在内网中安全的服务器上运行。方案改造的工作量小，不降低WEB系统的整体安全性，不增加硬件开销，且操作上对用户透明，是易于实施和部署的。

此外，对于WEB系统的整体安全而言，由系统的数据流图可以看出，数据库在 CMS中的作用贯穿始终，但是网页防篡改系统对数据库的防护却无能为力。虽然数据库的安全防护不在本文讨论之列，但是正如木桶原理所指出的，WEB系统的安全防护应该是一个立体的综合防护，本文提出的方案应当和其他的网站加固方案一起综合应用，这样才能让CMS不会成为木桶中的那块短板。

[1]吴瑟,唐保国.网页防篡改系统方案的研究与实现[J].电脑开发与应用.2010.

[2]姚滢.网页防篡改系统的研究与设计方案[J].计算机安全.2010.

[3]黄光芳.正则表达式在远程网页下载中的应用[J].计算机与信息技术.2007.