高校网站的网页防篡改问题研究与分析

吕美敬 周涛 杨翠翠

摘 要：随着互联网、云计算以及大数据技术的快速发展，越来越多的个人信息发布在各种网络平台和网站系统中。近年来，海外黑客联盟攻击国内网站活动日益频繁且无规律，高校和政府的网站相继被黑客攻击，网站页面遭到篡改，造成不良的社会影响。高校网站的仿冒网站逐年增长，不仅给家长及考生带来经济损失，也影响了高校的社会声誉。对于高校信息化工作者而言，如何保证网站页面正常运行，防止不法黑客恶意篡改网站页面，及时恢复被篡改网页页面和内容是高校信息化建设工作中的重要任务。论文阐述了高校网站信息安全现状，对高校网站被篡改的问题进行分析，对目前流行的网页防篡改系统技术进行对比分析，并对网页防篡改系统的部署进行简单介绍。

关键词：高校网站；网络安全；网页防篡改

中图分类号：TP309.0 文献标识码：A

Abstract： With the development of Internet， cloud computing and large data technology， more and more personal information is concentrated in various network platform systems. In recent years， overseas hacker alliances have attacked domestic websites more and more frequently and irregularly. The websites of universities and governments have been attacked by hackers one after another and the pages of websites have been tampered has bad impact to society. The number of counterfeit websites in colleges and universities increase year by year， it brings economic losses not only to parents but also candidates. For university information workers， how to ensure the normal operation of website pages and prevent illegal hackers from maliciously tampering with website pages， timely recovery of tampered pages and content is an important task in the construction of university informationization.This paper expounds the current situation of information security of University websites， analyzes the tampering problems of University websites， compares and analyzes the popular technology of Web tamper-proof system， and briefly introduces the deployment of Web tamper-proof system.

Key words： university website；network security； web page tamper proofing

1 引言

随着互联网、云计算以及大数据技术的快速发展，越来越多的个人信息发布在各种网络平台和网站系统中。近年来，海外黑客联盟攻击国内网站活动日益频繁且无规律，高校和政府的网站相继被黑客攻击，网站页面遭到篡改，造成不良的社会影响。根据国家计算机网络应急技术处理协调中心的统计数据，2017年我国境内被篡改的网站数量为20111个（去重后），较2016年的16758个增长20.0%，其中2016年和2017年教育机构类（.edu）网站占比均为0.1%，我国教育机构类网站被篡改比例未变，但是数量有所增加。高校网站的仿冒网站逐年增长，不仅给家长及考生带来经济损失，也影响了高校的社会声誉。对于高校信息化工作者而言，如何保证网站页面正常运行，防止不法黑客恶意篡改网站页面，及时恢复被篡改网页页面和内容是高校信息化建设工作中的重要任务。

2 高校网站被篡改问题分析

为防止黑客恶性软件或非法授权的入侵与攻击，大部分高校采取了相应的网络安全防护措施，但攻击者依然通过SQL注入等Web应用程序漏洞篡改Web系統数据，通过构造特殊的网站页面或链接引诱用户点击浏览，以达到窃取用户个人数据的目的。

来自中国反钓鱼网站联盟的统计数据显示，根据往年教育类钓鱼网站特点来看，经常出现填报高考志愿、海外留学等钓鱼网站，非法分子主要通过三种手段进行诈骗。

一是发布以普通高校网站、在线填报志愿系统等为仿冒对象的钓鱼网站，散播虚假的招生信息来获取学生的个人信息，并将这些个人信息转卖以获取个人利益。

二是制作“冒牌高校”网站，发布根本不存在的假的高校门户网站，发布招生信息，引诱分数较低、迫切找学校上的学生，骗取学生及家长钱财。

三是制作以专业取向测试或者志愿填报针对性测试等骗取敏感信息为目的的软件程序，诱导学生点击含有木马或者病毒的网站，盗取学生个人信息。

高校门户网站承担着高等学校教育的重要责任并且包含重要的信息数据。很多高校的工作动态、政策文件、审批事项、财政预决算、“三公”经费等信息均通过门户网站发布。学籍管理系统、网上学生成绩查询、一卡通系统等包含重要的师生信息，一旦数据泄露，将对学校的声誉带来负面影响。

由于绝大部分高校缺乏对钓鱼仿冒网站的主动发现能力，并且即使发现了也不能及时反馈给监管机构，对钓鱼仿冒网站进行关停处置，造成教育类钓鱼网站数量飞速增长，成为主要的安全威胁。

高校网站安全形势堪忧，究其原因，主要存在五个方面的原因。

第一方面，大部分高校网站设计更多的考虑是满足用户业务的实现，软件开发商和高校网站的系统运维人员对网站攻击技术不了解，日常的使用过程中不会发现可能存在的安全漏洞。黑客攻击者一般可以较好地利用这些漏洞，为自己谋取利益。

第二方面，有些攻击者通过篡改高校门户网站页面来传播一些非法信息，但实际上，页面在被篡改之前，黑客已经利用漏洞获得了相应的Web控制权限，网站虽然还能继续提供正常的服务，但实际上系统的访问者正遭受着持续的危害。

第三方面，大部分高校网站或系统都有相应的网络安全防护措施，采用额访问控制、WAF防火墙、入侵防御设备等各类安全设备抵制黑客攻击，对于黑客在应用层的攻击效果不佳，没有做到真正的防御。

第四方面，大部分高校网站或系统设计者或开发者对安全代码设计方面的知识欠缺，系统安全出现问题和漏洞时，只能停留在页面进行恢复，很难针对网站或系统具体的漏洞原理对源代码进行改造，发现问题也不能及时彻底地解决。

第五方面，由于高校人员编制有限、资金投入不足、技术能力欠缺，运维管理人员安全意识相对薄弱，有的网站或信息系统甚至一直保持着初始用户名和密码，利用弱口令登录，或者将师生个人信息等敏感数据直接上传到网上，这给各单位信息安全保障体系的运行造成了一定的负面影响。

3 网页防篡改手段及技术分析

按照攻击手段，网页篡改可以分成显式篡改和隐式篡改两种。通过显式网页篡改，黑客可在政府或者高校的门户网站上挂标语或将网页“变脸”，利用被篡改页面传播速度快、事后消除影响难的特点来炫耀自己的技术技巧，或达到声明自己主张的目的；隐式篡改一般是在被攻击网站的网页中植入被链接到色情、诈骗等非法信息的暗链中，引诱网站浏览者点击进入，泄露个人信息，以助黑客谋取非法经济利益。黑客为了篡改网页，一般需提前知晓网站的漏洞，并在网页中植入后门，最终获取网站的控制权。

网页防篡改系统在市场环境的催化下应运而生。经过多年的发展，网页防篡改系统采用的技术在不断的发展和更新，到目前为止，网页防篡改技术已经发展到了第三代。

3.1 人工对比检测

人工对比检测是最原始的网页防篡改阶段，通过指派一名网络管理人员，人工监测网站，一旦发现网页被篡改，通过人力的方式对其修改复原的手段。

3.2 时间轮询技术

从时间轮询技术这一代开始，人们摆脱了用手动的方式监测网页，开始用自动化的方式，通过一个网页读取和检测程序，以轮询的方式读出要监控的网页页面，与实际的网页页面做对比，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

3.3 核心内嵌技术&事件触发技术

将篡改检测模块内嵌在Web服务器软件里，它的每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。

3.4 文件过滤驱动+事件触发技术

利用操作系统的文件系统或者驱动程度接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。

4 网页防篡改系统

网页防篡改系统是为了保护网站，防止被恶意篡改的内容发布到网站上，并能够自动恢复已篡改的网页页面。为保护高校网站不被黑客非法篡改，我们采用第三代网页防篡改技术的网页防篡改系统即采用即事件触发和文件驱动级保护相结合，第三代网页防篡改技术的原理是：将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器软件（IIS/Apache/Weblogic/Websphere/….）中，通过事件触发的方式进行自动监测，对文件夹的所有内容，对照其底层文件属性，通过基于规则的快速比较算法，实时进行监控，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高的水准。为高效網页的内容扫描、发布和恢复，防篡改系统采用页面同步发布服务器，发布服务器采用先进的基于DFA的匹配算法检查本身文件系统的变化，自动将其同步到已安装网页防篡改系统得到网站服务器上。

网页防篡改系统部署分为控制中心和客户端。客户端分为被防护网站服务器和发布服务器。部署网页防篡改系统之后，对于网站目录的更新操作需要在新创建的发布服务器上进行文件的增加、删除、修改操作。用户可以登录到发布服务器和网站服务器。如需更新文件，选择发布服务器上对应的网站目录。在发布服务器的网站目录里进行增加、删除、修改等操作，操作完成后，数据会定时自动同步到被防护的网站目录上。完成网站目录更新后，可以登录到被防护的网站服务器进行查看。

5 结束语

本文阐述了高校网站信息安全现状，对高校网站被篡改的问题进行分析，对目前流行的网页防篡改系统技术进行对比分析，并对网页防篡改系统的部署进行简单介绍。高校网站安全形势依旧非常严峻，对于高校信息化工作者而言，防止黑客非法篡改网站页面，及时恢复被篡改的网站页面和内容，保障高校的声誉，依旧是高校信息化建设任务的重中之重。

参考文献

[1] 丁胜.网站安全防篡改系统的研究与实现[D].上海交通大学， 2009.

[2] 国家计算机网络应急技术处理协调中心.网络安全报告[Z]. 2016.

[3] Zetao Jiang，Hongwu Zhang. A web application tamper proof method based on text and image watermarking[P]. Computing and Networking Technology （ICCNT）， 2012 8th International Conference on， 2012.

[4] 郭波涛.浅谈一种网页防篡改技术在校园网中的实现[J].电脑知识与技术， 2017.

[5] 李学龙，郝文英.基于IT治理的高校校园安全网络框架设计研究与实现[J].网络安全技术与应用，2017（02）：103-104.

[6] 于莉洁，王松盛，唐丽华，胡莹.高校信息化建设中的信息安全问题研究[J].信息安全与技术，2016，7（03）：8-11.