|
中国电信推运营型网站篡改检测服务 以技术创新实现安全服务转型
http://www.cww.net.cn 2013年12月9日 07:00
从商业公司、企业角度来说,尤其是大型企业,网站被篡改,会导致企业威望降低,给商业竞争对手攻击的借口,损失客户的信任,甚至导致敏感信息被窃取,影响是长远的。 从政府角度来说,政府网站作为政府发布重要新闻、重大方针政策以及法规等的重要渠道,一旦被黑客篡改,将使政府的形象受损,影响信息的传达,破坏群众对政府部门的信任。严重的,还会因不良或恶意信息的传播,导致社会恐慌或引发政治危机。 由此可见,网站被篡改所带来的后果是严重的。国家相关部门对此也很重视,2011 年 4 月,国务院办公厅正式发文国办函〔2011〕40 号《国务院办公厅关于进一步加强政府网站管理工作的通知》,要求各级政府主管部门对本地区政府网站的安全状况进行全面检查,重点对网站挂马、暗链、篡改、病毒等进行监测及防范。 传统检测方案需要变革 国内外非法组织的不法企图,黑客强烈的表现欲望,商业竞争对手的恶意攻击,甚至带有不满情绪离职员工的发泄等等都将导致网页被“变脸”。 为了减少网站被篡改的可能,有些大型企业或政府机构为网站购买了传统的网页防篡改系统,并在其网站服务器上部署安装。不过,一则很多用户并没有足够经验的技术人员维护系统;二则价格昂贵,并不是所有具有篡改检测需求的用户都有相应的经济条件来购买;三则传统的本地网页防篡改系统会给网站应用带来复杂度增加和性能的下降。 在这种情况下,运营型的网站篡改检测服务就应运而生。既解决了购买设备开销大,需要专业人员维护的问题,又解决了无人值守的问题,尤其是节假日期间,无人值守常会导致篡改不能及时发现的后果,因此广受中小型企业及政府部门的欢迎。 但是,目前常用的运营型网站篡改检测解决方案,并没有将恶意篡改和网站主动更新进行明确的区分,从而其报警的有效率和可靠性并不令人满意。网站的一些轻微调整和正常维护都会触发告警,篡改检测的运维人员不得不对每条告警都做人工验证,只将验证通过的告警才告知客户,检测效率低,耗费人力,效果并不理想。 解决面临两大技术难点 从技术角度看,网站篡改和网站更新都属于信息的变更,只是网站篡改是网站管理人员未经授权和认可的改变,其带来的后果往往是恶意的、破坏性的。因此,简单的从是否发生了变化、变化的幅度、变化的位置等这些方面,不能通过技术手段来将篡改和更新进行明确的区分。 难点一:正常内容更新和恶意篡改的区分 对于浏览者,尤其是对该网站比较熟悉的浏览者或网站管理员,能够相对容易的判别网站是否出现了被篡改的内容(部分篡改极其隐蔽,人工也难以识别和判断)。但是对于自动执行的程序,由于其缺乏人脑所具备的模糊识别、经验判断等能力,必须从概率统计、模式识别、人工智能等方面进行判断,并且考虑到篡改检测的应用场景,其实现的计算成本和运营成本必须控制在一定范畴之内。 难点二:篡改定位与展现 篡改监控不仅仅要识别出篡改事件,而且作为运营型服务,应该具备更易用的用户体验和更直观的用户界面。传统的网页篡改软件,一般只能提供网页的源代码进行对比,以不同的颜色将代码差异性区分显示。但是对于非技术人员,这种界面既不方便,也很难判断发生了什么篡改变化。我们通过模拟用户浏览行为的技术,对网页进行可视化对比,从而发现视觉上发生了变化的位置,以直观的方式展现变化的位置、内容和程度。 在发生给用户或运维人员的篡改警告中,可以很直观的查看到具体发生变化的情况,从而可以迅速定位和判定篡改的情况。 运营型网站篡改检测系统已实现 针对这个现状,基于中国电信安全服务中心两年来网站安全运营的经验,结合垃圾信息识别、数据模式分析方面的技术,我们提出了新的检测思路,并已开发完成投入使用,从目前的实际运营情况看,效果良好。 来源:通信世界网-通信世界周刊 作 者:中国电信集团系统集成有限责任公司 | 王兴宇 彭晓靖 张宇峰 郭亮 彭国城编 辑:于光媚
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |