据统计调查， 现阶段政府网站系统的安全措施还多数仅限于购置防火墙等对病毒的防护， 但是网页非法篡改行为是利用操作系统的漏洞和管理的缺陷进行攻击，而政府机构原有的安全措施（如安装防火墙、入侵检测）则主要集中在网络层上，无法对网页篡改事件形成有效的监控和防护。 

 

保护政府机构网页不被非法篡改，就是保护政府机构的形象，进而也是保护我们社会主义社会的安定团结。这是各级政府机构都应该重视起来的一件大事。  

 

一、 系统概述 

 

Webguard 系统是将篡改监测的核心程序通过微软文件底层驱动内嵌到 Web 2 / 5服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容（包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型）对照其多个属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式， 纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到同类软件中的较高的水准。 

 

二、 政府机构网络拓扑及 Webguard 部署示意

 

1) 政府机构网络拓扑 

 

下图（图 1）是较为常见的政府机构网络结构拓扑图，政府机构的整个网络被一台交换机分隔成内网（政府办公区）和外网（中心机房）两部分。互联网上的用户如果要访问政府机构的网站发布服务器（  web服务器） ，需先经路由器，防火墙，然后经中心交换机才能最终访问到网站服务器。政府内部则可以通过内网直接访问各服务器。

 

 

2) Webguard 部署示意 

 

Webguard，系统采用 C/S 结构，分为 WebGuard  Client（客户管理端）和WebGuard  Server（服务器端）两部分。其中服务器端安装在政府网站发布服务器上，实时保护和恢复被恶意篡改的网页，并对每一次所受的攻击留下记录。客户管理端可以安装在任意一台可以连接到政府网站发布服务器的 PC 上。通过客户管理端可以轻松设置对发布服务器上的网站所在文件夹的保护设置， 对网站内容的管理维护以及查看或导出受攻击记录。另外客户管理端内建ftp 功能，不需要借助第三方软件，即可以轻松发布网站的更新内容。 （具体部署部署见  图 2） 

 

三、 Webguard 系统的核心优势 

 

1) 基于文件夹驱动级保护技术，事件触发机制，确保系统资源不被浪费

不同于一些文件轮询扫描式或外挂式的页面防篡改软件，Webguard 的页面  4 / 5 防篡改模块采用的是与 Web 服务器底层文件夹驱动级保护技术，与操作系统（目前仅限于微软平台，支持 windows 2000/xp/2003）紧密结合的。而且是在 Web服务器对外发送网页时进行网页防篡改检测。 这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能， 其所消耗的内存和CPU 占用率也远远低于文件轮询扫描式或外挂式的同类软件。 

 

2) 部署实施简便、操作简单

 

仅需要 3 分钟时间，即可部署完整套网页防篡改保护系统，部署完毕后，进行简单配置即可运行； 

 

3) 不影响现有网络结构 

 

该系统的架构简单，采用 C/S 方式，免除了用户额外采购硬件设施，在现有web 网站基础上直接安装本系统即可，绿色软件，管理告警客户端本地无存储数据（日志只在需要时进行导出 excel 进行查询） ，大大降低了用户投资； 

 

4) 禁止篡改内容流出 

 

采用文件级驱动保护技术后，用户每次访问每个受保护网页时，Web 服务器在发送之前都进行完整性检查，保证网页的真实性，可以禁止篡改后的网页被访问的可能性，全面和实时地保护网站的所有网页文件。 

 

采用外挂轮询式的网页防篡改系统：对每个网页来说，轮询扫描存在着时间间隔，一般为数十分钟，在这数十分钟的间隔中，黑客可以攻击系统并使访问者访问到被篡改的网页。 

 

5) 动态网页脚本保护 

 

目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。

 

动态网页由网页脚本和内容组成：网页脚本以文件形式存在于 Web 服务器上；网页内容则取自于数据库。  

 

一般来说，数据库处在内部网中，没有外部地址，而且可以只接受来自内部指定地址的访问，因此一般不会受到攻击。而存在于 Web 服务器上的动态网页脚本则与静态网页一样，容易受到攻击。 

 

采用文件驱动级技术的系统，可以直接从 Web 服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。 

 

采用外挂轮询技术的防篡改系统， 所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。 

 

6) 连续篡改攻击保护 

 

有意进行恶意攻击的黑客可以利用外挂轮询技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。 

 

由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页（例如网站首页）进行，因此即使外挂轮询技术的扫描时间间隔设置得再小（例如 1分钟） ， 也无法阻止篡改后的网页被公众访问到 （例如重新篡改网页需要 1 秒钟，则公众在 1 分钟内的 59 秒里看到的都是篡改后的网页） 。 

 

这个过程往复下去，使公众只能看到被篡改的网页，而总是看不到真实的网页。除非管理者能够很快修补系统漏洞或停止提供 Web 服务，否则外挂轮询技术是无法阻止这种恶意的连续攻击。 

 

而采用文件加底层驱动级技术的系统在每次输出网页时都进行完整性检查，如有变化则立即恢复。因此，无论连续攻击多么迅速，都无法使公众看到被篡改的网页。