近年来在我国随着电子政务工程的不断深入，从国家政府、省市级政府到县乡级政府，基本上都建立起了政府门户网站，网站发布的信息很快就会被阅读或转载，网站内容复制非常容易，转载速度快，政府网站作为政府发布重要新闻、重大方针政策以及法规等的重要渠道，一旦被黑客篡改，将使政府的形象受损，破坏群众对政府部门的信任。若没有有效的防护措施和事件响应能力，无异于将重要信息暴露于外，网络安全问题已成为政府网站建设的一项重要内容。2008年北京奥运会即将临近，全球的黑客对我国的政府网站虎视眈眈，如何保证政府网站安全成为当前重中之重的头等大事。

一、网页被篡改带来的危害

政府门户网站作为国家的行政管理机构发布的信息事关国计民生，一旦被篡改将造成多种严重的后果，主要表现在以下一些方面：

1、政府形象受损：政府门户网站的网页被篡改后，访问者将看到被涂鸦的页面，会导致广大民众对政府信息安全防护能力的怀疑，更会担心政府的人才建设和制度管理等诸多问题，给政府的可信形象打上问号。

2、影响信息传达：网页被篡改后，访问者将无法获取自己需要的内容，政府发布的各种信息将得不到传达，影响了信息的发布和传播，假如黑客非法破坏了网站的数据库，更长的系统恢复时间将带来深远的影响。

3、恶意发布信息：有些黑客会篡改网页的内容，以政府名义发布恶意和不良信息及言论，从而导致社会恐慌或引发政治危机。

4、木马病毒传播：黑客入侵政府网站后，会在网页中插入木马和病毒程序，来访者将会被感染，从而导致计算机病毒的传播，引发系统崩溃、数据损坏和银行账号被盗等严重后果。

5、引发泄密事件：因为工作需要政府办公人员会经常会访问政府网站，一旦访问了被植入木马的网页，木马程序会自动搜集并传走电脑中的各种文档，将可能引发严重的泄密事件，后果不堪设想。

从以上我们可以看出，网页被篡改的后果是严重的，因此，我们必须严防死守，打好政府网站的保卫战，给广大民众展示出一个值得信赖的政府形象。

*本文首发于黑客基地(http://www.hackbase.com )，欢迎转载但请保证文章的完整性，谢谢！

二、网站所面临的安全威胁

作为面向整个互联网开放服务的网站所面临的安全威胁主要有两种：一类是DDOS攻击造成拒绝服务，该攻击发生后将导致网站无法访问，后果是很明显的。二类是主机服务器被入侵造成网页被篡改、数据被破坏等后果。对于前者可参见《DDOS的攻击原理和防护指南》http://www.bingdun.com/ddos/203.htm ，《防御DDOS攻击终极指南》http://www.janker.org/janker/22.html ，本文主要针对后者进行分析。

从网站页面被篡改的角度来看，存在两种攻击的可能，一种是网站被入侵，也就是说网站页面确实被篡改了，另外一种是网站被劫持，这种情况下网站的页面实际上并没用被篡改，但是攻击者劫持了网络访问并发送欺骗页面给来访者，进而造成页面被篡改的表象。接下来我们从两个角度进行分析：

1、 网站被入侵造成的网页被篡改：

网站被入侵其实就等于攻击者可以在网站上进行未授权的写操作，进而造成了网页被篡改的事实，主要入侵途径有：

（1）       通过网络服务漏洞进行缓存溢出获得主机控制权：黑客通过对IIS、RPC等存在的漏洞的网络服务进行缓冲溢出，执行未授权的代码和命令，在系统中直接添加管理员账号，从而控制了服务器主机，至此，篡改网站页面就是很简单的事情了，如过去的IDA溢出：

C:/>IDAHACK www.weidun.com.cn 99

以上溢出攻击成功后就会在服务器上打开一个99端口的后门。

（2）       通过密码猜测与破解获得管理员密码：黑客通过暴力或字典对正常的网络管理服务进行猜测破解，或者是设法获得管理员的密码加密串到本地进行暴力破解，一旦破解成功就获得了相应的管理权限，进而实施网页篡改。

如：下载了PcAnywhere的密码存放文件: “威盾防火墙.cif”，就可利用密码破解工具瞬间获得管理密码。

（3）       通过Web漏洞和设计缺陷进行攻击入侵：当前网站程序越来越复杂，越来越庞大，导致程序员疲于完成开发任务，而无力顾及设计和开发过程中需要注意的安全问题，进而导致程序中大量存在身份验证不严、存在SQL注入和跨站攻击及可未授权上传文件等严重安全隐患，此问题也是当前导致绝大多数网站网页被非法篡改的主要因素。

如：http://www.hackbase.com/login?pass=1234 0 or 1=1

以上表示：即便不知道管理密码，随便胡乱输入1234后，再接着输入” 0 or 1=1”即可验证通过。

2、网站被劫持造成的网页被篡改：

网站被劫持存在多种可能，主要是发生在访问者到网站主机的网络路径被中断并劫持，访问者看到的是被欺骗的页面，实际上网站的页面并没用被篡改，主要劫持途径有：

（1）              访问者的机器被木马病毒劫持：一旦访问者的机器被植入木马和病毒后，这些病毒可能会劫持浏览器，进而发送欺骗页面。

（2）              访问者的局域网被黑客劫持：黑客通过ARP欺骗护控制网关机等形式对访问者的局域网进行劫持，并发送欺骗页面个访问者，造成网页被篡改的假象。

（3）              主机服务器所在的局域网被黑客劫持：与（2）原理一样，黑客可通过ARP欺骗等形式对网站页面进行劫持，导致所有访问网站的来访者看到的是被篡改的页面，这也是最主要的网站被劫持手段。

通过上面的分析我们可以看到，（1）和（2）影响的其实仅仅是访问者本人和局域网的用户，他们看到的是被欺骗篡改的页面，而其它的外部访问者访问到的网站页面都是正常的，而（3）的问题就比较严重了，因为是主机服务器被欺骗，所有来访者看到的都将是被欺骗篡改的页面。

*本文首发于黑客基地(http://www.hackbase.com )，欢迎转载但请保证文章的完整性，谢谢！

三、如何做好网站的技术防范工作

互联网络作为一个开放的网络，任何国内和国外的来访者均可有可能对网站实施攻击，因此网站安全防护工作的难度是可想而知的，但以笔者多年从事网络安全经验来看，鉴于来访者的不确定性和不可控性，应该优先考虑做好技术防范工作，主要可采取以下技术手段：

1、              给服务器打上最新的安全补丁程序：这些补丁程序包含操作系统、应用程序、数据库等，都需要打上最新的安全补丁，这个步骤是非常必要的，因为是程序内部的问题，是安全产品难以替代的，主要是为了防止缓冲溢出和设计缺陷等攻击。

2、              封闭未用但开放的网络服务端口：对于Windows 2000而言可以用TCP/IP筛选器，对于Windows 2003可以用自带的防火墙，当然也可以通过操作比较复杂的IP安全策略来实现，Linux可以用自带的IPTable防火墙，本工作是一个非常简单的任务，但会大大降低服务器被入侵的可能性，请务必实施。

3、              合理设计网站程序并编写安全代码：网站目录设计上尽可能将只需要读权限的脚本和需要有写权限的目录单独放置，尽量不要采用第三方不明开发插件，将网站的程序名字按照一定的规律进行命名以便识别；编写代码过程重要注意对输入串进行约束，过滤可能产生攻击的字符串，需要权限的页面要加上身份验证代码。

4、              设置复杂的管理员密码：无论是系统管理员Administrator和Root，还是FTP及网站管理员的密码，都务必要设置为复杂密码，原则如下：

（1）       不少于8位。

（2）       至少包含有字母大写、字母小写和数字及特殊字符（@#!$%^&()等）。

（3）       不要明显的规律。

5、              设置合适的网站权限：网站权限设置包括网站目录文件的权限和网站虚拟目录的权限，网站目录文件权限设置原则是：只给需要写入的目录以写的权限，其它全为只读权限；网站虚拟目录的权限设置原则是；只给需要执行脚本的目录赋予执行脚本的权限，其它目录均为无。

6、              安装专业的网站防火墙：很多网站安装有防火墙仍然被黑客入侵了，经过分析发现，其实这些用户大多安装的是普通硬件防火墙或个人防火墙，普通硬件防火墙大多是以过滤IP和端口为主，辅以NAT地址转换和身份认证等管理功能，对于网站安全防护方面几乎没有什么价值，而个人防火墙是面向个人电脑不太考虑可靠性和资源占用，实际应用上不仅对网站防护起不到作用，相反可能会导致网速变慢、系统不稳定等问题。网站防护我们建议用专业的网站防火墙，如：威盾IIS网站防火墙，该防火墙是针对网站应用防护的专业级防火墙，有禁用代理、防CC攻击、HTTP过滤、网站哨兵、可信脚本等专业Web防护模块，是目前网站防黑效果较好的产品，官方网站：http://www.weidun.com.cn

还有WebProtect防火墙，也是针对网站防护的，虽然功能上不如威盾IIS网站防火墙，但其代理保护模式可支持linux主机等，官方网站：http://www.webprotect.com.cn

7、              防止ARP欺骗的发生：从ARP欺骗其实就是利用了ARP包不经认证的特点，比较有效的是在路由器和交换机上对IP和MAC进行绑定，不支持绑定的可在服务器上设定为从服务器到网关为静态ARP表，命令为：

C:/>arp -s 网关IP 网关MAC地址

建议将以上命令保存为批处理文件，设定为服务器启动时运行，可放在计划任务中。当然推荐安装用于服务器的冰盾免费ARP火墙，可免去以上麻烦，下载地址：http://www.bingdun.com

*本文首发于黑客基地(http://www.hackbase.com )，欢迎转载但请保证文章的完整性，谢谢！

四、必要的管理制度和应急措施

上文重点从技术的角度分析了最有效解决网页被篡改的安全方案，即我们首先应该把精力投入到做好防护工作上去，尽可能做到不让黑客劫持我们的网络通道、不让黑客入侵到我们的服务器中去，自然也就解决了网页被篡改的问题，但是作为不备之策，我们仍然强调必须做好以下几个方面的工作：

1、                  网站数据备份：备份、备份、再备份！！我们必须做好数据备份工作，因为无论是黑客入侵、硬件故障等问题都可导致数据丢失，但我们可以用备份尽快的恢复业务，所以一定制订好持续的数据备份方案。

2、                  安全管理制度：任何技术手段的实施，如：打安全补丁、网站权限设置、复杂的密码、防火墙规则等，都需要人来进行完成，若没有良好的制度来指导和管理，那么一切都将是空话，因此，制订好一套行之有效的制度，把技术手段贯彻下去是非常必要的。

3、                  应急措施：即便是再好的技术和管理，也不能保证攻击事件不会发生，因此我们要时刻做好网页被篡改的准备，准备好相应的检查、记录和恢复工具，准备好规范的应急步骤，一旦发生，以便有条不紊的尽快予以恢复，并进行记录和总结，必要的可保护现场并进行报案等处理。

本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接：http://www.hackbase.com/news/2008-06-12/17693.html

2008奥运期间政府网站如何保证网页防篡改相关推荐

1. 服务器网页篡改,网站服务器网页防篡改系统

   网页防篡改系统设计理念 网页防篡改系统在站点采用了两种防范方法,实现对静态区域文件和动态区域文件的保护.动态区域文件保护主要是在站点架设Web防火墙,通过设定关键字.IP.时间过滤规则,对扫描,非法访 ...

2. 网页防篡改系统与网站安全

   随着网络安全攻防实战演习常态化,企事业单位的网络安全规划标准.建设水平和管理能力均得到大幅提升,反过来也促进了网络安全产品的更新迭代.很多历史悠久的网络安全产品都面临着应用场景发生重大变化所带来的挑战 ...

3. 网页防篡改测试报告（2008版）

   2008年底,对网页防篡改产品做的测试报告. 有兴趣的朋友,可以参考看一下. 其中技术描述的比较通俗易懂. 转载于:https://blog.51cto.com/tombook/339997

4. 网页防篡改技术发展趋势

   作者:杨峰 关键字:防篡改,网站安全,安可,国产化,自主可靠,云安全 2008年的时候我写过一篇<网页防篡改技术追踪>,详细分析了防篡改的技术发展路线,从第一代技术发展到第三代技术,从传统 ...

5. 江翰网页防篡改系统解决方案--前言

   前言 在电子商务.电子政务日益普及的今天,网站已成为企事业单位.政府机关的形象窗口,也是对外开展业务.提供服务的重要手段.网站页面被篡改,不仅将影响正常业务的开展,而且对企业形象.政府信誉带来极其不好 ...

6. 华为云企业主机安全服务之“网页防篡改”：拒绝网页变脸，服务实时在线

   网页篡改不息,不良影响连连 2019年上半年,国家互联网应急中心(简称"CNCERT")监测发现并协调处置我国境内遭篡改的网站近4万个,其中被篡改的政府网站有222个.与2018年 ...

7. 2010——满地遍是网页防篡改和WAF

   其实网站防护类产品中间的空挡很长了--从2002年SQL注入漏洞开始在国内流行,到后来的跨站泛滥,中间几年的时间都没有几个安全公司推出一个好的解决方案.依然是靠防火墙封IP.封端口,装杀毒,装IDS. ...

8. 网页防篡改使用详解及体会

   最近有个客户需要使用网页防篡改服务,顺道学习了天翼云上网页防篡改产品的部署及使用,本文对网页防篡改服务的工作原理及部署过程及部署中需要注意的方面进行回顾. 一.网页防篡改工作原理 1.系统架构 网页防 ...

9. iGuard6.0 — 有序组织的网页防篡改

   马克·吐温和理查·芒格说过:如果你身上唯一的工具是把锤子,那么你会把所有的问题都看成钉子.网页防篡改产品诞生之初就是这样一个情形:一个产品只采用一种防护手段.这些手段有的是依托于厂商掌握的先进核心技术 ...

最新文章

1. Android性能优化典范第四季
2. 2019年陕西高考分数线出炉
3. android毛玻璃遮罩效果_css3毛玻璃效果[模糊图片]
4. Oracle9i 问题汇总--不断更新中
5. 2019技术学习规划
6. mysql执行一条sql语句的完整过程，sql语句在mysql中的执行过程
7. 小米11 Pro屏幕细节曝光：至少要上2K+分辨率
8. 【探路者】第六周立会报告5（总第38次）
9. plsql 连接oralce数据库，报ora 12557 tns 协议适配器不可加载错误
10. 《Java程序员职场全功略：从小工到专家》连载六：亚洲企业工作模式
11. [LeetCode]题解（python）：146-LRU Cache
12. 【VSLAM学习记录2】初识cmake
13. java中级工程师所需的技能_中级Java开发工程师的工作职责描述
14. QQ推广，无法发起临时会话
15. 超级实用Windows快捷键 程序员必备 Windows 快捷操作大全
16. matlab 求一元二次方程的根,如何用Matlab求一元二次方程式解的个数以及解
17. 如何从Apple电子钱包中删除旧登机牌
18. 利普希茨连续(Lipschitz continuity)和利普希茨常数(Lipschitz constant)
19. 计算机无法搜索文件夹内容,系统我的电脑中文件夹和搜索选项无法使用的解决方法...
20. base64字符串转化成图片

热门文章

1. 美妆赛道太卷？看这一品牌如何用数字力量突出重围！
2. 机器学习：数据降维（特征选择和主成分分析）
3. 数据类型 存储大小
4. 2019暑假·纪中记合集（持续更新）
5. 读取asserts 文件中的apk
6. 单相交交变频器的Matlab Simulink建模设计，附Matlab仿真、PPT和论文等资料
7. 分区扩容软件：调整分区大小/移动分区
8. 轻量级网络之CondenseNet
9. 分享：2013中国开发者大会(移动和游戏)--广州站
10. 由于本地系统网络终止sstp nginx https 代理