尹智庆:WebGuard网页防篡改

??尹智庆：各位来宾，下午好。今天我主要讲的内容是WebGuard的网页防篡改技术，主要是给大家做一个推荐。我在讲的过程会讲一些技术的发展和大众的一些需求会结合一下。这是一项2009年1月份的互联网的统计报告，大概意思就是说，中国的网民普及量非常大，意味着就是说，越来越多的老百姓，通过互联网来了解我们的政府，了解我们的企业，了解各种各样的信息，越来越多的人会关注这个网站。

中国的网站的数量，也是年增长率非常高，可以看到，目前还在继续的提升，发展的速度非常高。这个是做的一项统计数据，可以看到网页篡改的攻击量达到了28%。网站遭受恶意代码的攻击，广义上将也是一种篡改，改变了原始的结构，不是网管发布的他所想提供的一些内容，这是一大概的统计，每年做了大量的工作，可以看到，这种篡改数据非常多。而且还在继续发展，越来越的网站遭受这个攻击。可以说每天都有大量的网站遭受这个攻击。

这个是很巧，今天上午我看到一新闻，这个数据真的是有点触目惊心。就是说，出现了挂马的网页达到了多少，每天有多少人都在访问这些网站，目前一季度有两万多个大型的网站被植入木马，可以看到，通过攻击网站，通过篡改，通过上传一些非法文件，已经成为了目前最主要的攻击手段。我截了几个简单的图，就是国内的一些被黑的网站的截图。大家细心的，我们很多的业内人士，如果稍微留意一下就会发现，只要有重大的社会影响性的事件发生的同时，都会伴随着大量的网站黑客攻击，大家可以感觉一下，三鹿奶粉事件官方网站就被黑了个，去年的地震，也遭受了篡改，发布虚假信息，说要发生9级以上的地震，引起了社会的恐慌。发布这条信息很容易，但是要消除这样的影响成本代价会非常大，远远超过我们的想象。随着政府去年的政务公开令，就是说我们的政府，会越来越多的把一些数据透露给老百姓，或者是正式的发布渠道，已经用网站的形式，过去是通过电视、报纸或者是内刊等等，发布正常的消息。目前已经成为一种通过网站成为一种主流，而且这种趋势，会越来越多，就是通过网站，我刚才说的几个数据就是说，就是中国网民的数量和还有网站的发展可以感觉到这一点。如果说是一个金融机构网络被黑，可能会影响股价甚至带来一定的金融的影响。某个运营商遭受攻击，这样恶意的一些事件可以感觉到，这种攻击其实是对企业形象，对政府，对金融机构，对运营商等等都会带来很大的影响。而且目前越来越多的业务系统，都已经放在我们的网站上，很多的业务，都在向网站的方向在发展。可以说，这种网站的安全的重要性会非常大。

这个个是我在访问一个网站的时候弹出来的，其实它的网站已经被成为一种攻击网站，什么意思呢？可能我们每天在浏览网页的时候没有被黑，可能每个人感觉不到，还在正常的浏览数据，其实可能网站后面已经被植入了这种恶意代码，我们在访问的时候它没有弹出很多的页面，也没有说被篡改变成被涂鸦了或者是发布了虚假信息。其实已经被上传了恶意代码，我们在访问的时候可能感觉不到，其实已经遭受攻击了，而且目前的社会盗号，黑客攻击的集团的产业化，已经远远超乎我们的想象，产业链非常发达。这种产业链会越来越多。

总结起来，其实我们把它归结为三个方面，来自于政治性的风险。比如说，我们今年要60年大庆，在这个环节，在这么一个非常重要的时刻，如果说，我们的一些政府网站可能会遭到国内、国外或者是非法组织机构的攻击，发布一些比如说反对的消息，比如说支持藏独，法轮功等等之类的，这种对我们国家，对我们整个社会，对政府形象的影响是不可消除的，来自于健康性的，可能有一些宣扬暴力的或者是散布谣言的，来自这种不健康性的，对社会或者对青少年可能会有一些影响。这种利益性的目前已经成为一种趋势。大多数的攻击，已经由过去的技术转化成一种利益驱动，而且这种愈来愈烈的攻击。

下面我就讲一下我们这套网页化篡改技术可能会解决我们刚才所说的各种各样的威胁和风险。和传统的防篡改技术有很大的区别，待会儿我会讲到。总结起来，主要还是执行效率，扩展性，很多方面有独到优势。另外这个产品汲取了很多的大量客户的建议，我们也越来越做得比较精炼，提高效率。我们这套系统在去年也获得了奖，也是非常的容幸。

下面讲一下网页防篡改技术的大概发展。这个最主要的技术发展的驱动，驱动力主要是几个方面，一个是网站的建设的要求，建设的要求，对保护技术提出了更高的这种要求。在早期我们的网站可能都是以静态的页面或者是单纯的发布消息，非常的简单。在那个时候网站文件也不是特别大，也比较简单，最早是采用这个。

我讲第一代的技术，通过扫描的技术，扫描一下我们的网站有没有它的一些关键的信息，是不是变化，是不是时间、大小、属性、内容是不是出现一些变化，如果出现变化，扫描一次，可能通过五分钟的时候可以发现被黑了。这个时候可以从原始的数据当中恢复过来，这是第一代技术。

随着技术的发展，非常迅速，而且将来很可能会成为目前最主流的技术，大家会运用越来越多。当网站文件越来越多的时候，网站的复杂程度，包括现在的静态的页面，动态的也越来越多。这个时候出现了扫描技术根本无法解决我们过去所面临的问题。扫描可能需要两个小时，甚至需要半天。通过扫描的技术，已经不适宜了。如果说扫描需要半天，而且它消耗系统资源非常严重，它在扫描的时候会占用大量的空间，这种技术已经被淘汰。应用一种事件触发和密码水印技术。这种技术在2003、2004年之后得到了迅速的发展。但是后来我们发现这种技术出现很多问题，一个是它首先工作在应用层，而我们现在对网站效率要求越来越高，我们网站都需要快，有人统计过这样一个数据，每个人对网站的忠诚度可能只有几秒钟，如果在两三秒打不开一个网站，很可能就关闭掉了，不再看它了。有人统计过这样的数据，所以说对于网站的效率要求非常非常高。而且我们的网站的发展技术，越来越要求实时性，或者是兼容性，我们的网站，如果说部署完了之后，要适应于各种各样的发布平台，或者是升级，或者是这种可扩展性，要求非常高，这个时候我们研究了一种文件驱动保护技术，这种技术对于研发人员是过利驱动技术。这种技术被广泛应用于文件的加密、传输，或者是的核心的报，这种技术主要应用在这个方面。我刚才提到，第二种技术，它的效率成为了它一个致命的缺陷，还有一个扩展性，我们采用第三代的可以看到，保护的对象就是网站的文件，占用的资源最少，可以让服务器发挥最大的优势，而且不会造成任何的延迟。

从关键的技术对比，我们可以发现，从几个方面，一个是防护机制，第二个技术其实不是真正的防，而是一种恢复的技术。在早期公安部的检测标准里面也是提到备份与恢复的技术，第三代才是真正的防篡改技术，一个是加密，还有是采用驱动保护。

使用方面，因为第二代的技术，操作使用，是在跟应用层打交道，复杂性非常高，我们第三代的技术，因为它保护的对象就是文件，操作会非常简单。这是我们4.0系统的功能结构图，其实最核心的部分就是在这个管理层，对文件的读、写，做一定的监测保护。

我刚才提到网站越来越多的动态的网站，很多人会问动态网站怎么保护？上传的攻击会常多，我们有两个方面来做保护，一个是对网站做驱动保护，可以做到来自于互联网的恶意的攻击都可以把它过滤掉，达到一个被保护的目的。即使是有这种攻击进来，我们对文件的保护可以确保网站文件不被篡改。

大家可能对这个技术可能听了很多，但是不是很了解。这个技术可以说，我们目前大量的网站，都存在，如果没有很好的采取代码过滤机制。我们去年在奥运期间，给政府机构做了15天的免费检测，我们发现85%以上的网站存在大量的黑客植入，还有15%是少量的植入，可以说，目前这种数据库和相应的这种威胁是不可避免，很难。

目前这套系统，主要从四个方面，体现了一些特点。安全性、高效性、多功能性和可扩展性。目前我们也支持2008年的，我们是国内的唯一一家支持2008年的系统。还有支持断线检测，当我们的服务器和后台断开，还是能够继续保护，这个也是跟第二代技术典型的差异。采用第三代技术就不存在这样的问题，是工作在后台的底层。只要有外来的篡改的行为，就是立即会处于退出状态。有快速的恢复和保护措施。从几个方面保障了技术的比较好的实施。

我们的网站，如果说被攻击了，运行一些木马软件的时候，我们可以通过技术来阻止。还有远程管理的模块，还有对于性能的监控。当攻击发生的时候，都会伴随着性能的波动和告警。就是说，会出现比较说CPU突然会很高，或者内存突然占有非常，这个时候采用异常监控，当出现这种行为的时候，会让管理人员去关注一下系统是不是正在遭受攻击。另外可扩展性，我们这套系统，我们的网站，如果说是大量的集群在被负载均衡的大量的，比如说我们做过最大的一套系统，一套系统，有一个网站有80台一模一样的主机做这，我们可以全部支持，而且是各种操作系统下，可以在一个平台上进行统一管理。

目前支持的操作系统，还有这种所有的主流的软件都完全支持，没有任何问题。

这个是一个最简单的工作的一个数据流的传送。其实我们大量的应用会发现，这套系统布置完了之后，根本不需要太多的维护，因为它已经完全保护住。对于动态的，采用过滤的技术，对于静态的，图片视频等等可以做一些驱动保护技术，非常的完善。但是对于网站的综合的解决方案，希望从几个角度检测、防控、监控和审批。目前是防护与监控的这种技术，对于一个网站的整体解决方案还需要考虑到防火墙等等，或者是对于服务器系统的安全防护，或者是如果能做大量的代码的技术，我们也是希望能够做。必要的一些安全措施，由于时间关系我不一条条去读了，大家简单看一下就可以了。这个是我们做的一些案例，大家可以看一下。

我们公司是成立于2006年，公司处于高速的发展期。目前我们主要还是为各大电信机构、金融机构做一些安全服务。我们公司在下一步会推出To Sec计划，也给大家留一个悬念。我的演讲就到这里，谢谢大家。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。