網頁防篡改網站應用安全防護系統是一套用于Web系統安全防護的軟件系統。網頁防篡改系統采用B/S架構進行設計（同時具備C/S版本），需要安裝客戶端軟件在防護的Web系統主機之上。

    網頁防篡改系統的防護功能主要由安裝在Web服務器上的客戶端實現，分為兩大模塊：靜態防護模塊及動態防護模塊。靜態防護模塊負責對網站服務器上的文件內容部分進行防護，而動態防護模塊負責對訪問提交數據進行防護。不同于傳統的防篡改軟件，網頁防篡改系統不僅重視對網站文件內容的保護，同時極大的增強了對訪問提交數據的審計功能（目前威脅較大的SQL注入攻擊、XSS跨站攻擊等均屬于利用提交數據進行的攻擊）。另外，網頁防篡改系統使用了全新的觸發式同步引擎，能夠更好的完成實時增量同步，包證了網站系統發布更新的穩定。
    對于當代的操作系統來說，所有硬件、軟件程序以及操作系統本身對磁盤文件的操作都要通過操作系統的驅動部分來進行，也僅有驅動層才能最終將要進行的文件操作傳達給磁盤存儲設備，從而讀取或改變其內容。通過嵌入并控制這條唯一的途徑，網頁防篡改系統可以捕獲所有的磁盤文件操作請求，從而對其進行審計。當驅動層接收到一個進行文件操作的請求，如讀取、修改、刪除等時，就產生一個文件操作事件，該事件將使系統的狀態參數發生變化并最終指揮磁盤及其他設備協同完成任務。當操作系統產生一個磁盤文件操作事件時，網頁防篡改系統就能夠通過文件驅動層捕獲這一事件，通過識別其是否針對被保護路徑，進行相應的放行或阻止操作。
    網頁防篡改系統可以根據設定的防護路徑對其下的所有文件及路徑進行保護，也可根據設置對其中的部分文件及路徑進行保護。當有任何軟件程序、進程企圖對磁盤上該路徑下的被保護文件或路徑進行修改、刪除或新增等操作時，相應的操作被發送到主機操作系統，而網頁防篡改系統會在這時進行合法性檢測。系統默認針對原始網站路徑的任何修改操作均為非法，也可設定放行進程（只允許特定進程修改文件）。

    由于任何對磁盤上文件進行的操作都是經過操作系統來進行的，網頁防篡改系統利用這一特性，在系統驅動層攔截所有針對被保護路徑的修改、刪除與新增等磁盤操作，進行合法性檢測，從而達到對網頁文件篡改的檢測及處理目的。

靜態防護（針對文件）

    對于當代的操作系統來說，所有硬件、軟件程序以及操作系統本身對磁盤文件的操作都要通過操作系統的驅動部分來進行，也僅有驅動層才能最終將要進行的文件操作傳達給磁盤存儲設備，從而讀取或改變其內容。通過嵌入并控制這條唯一的途徑，網頁防篡改系統可以捕獲所有的磁盤文件操作請求，從而對其進行審計。當驅動層接收到一個進行文件操作的請求，如讀取、修改、刪除等時，就產生一個文件操作事件，該事件將使系統的狀態參數發生變化并最終指揮磁盤及其他設備協同完成任務。當操作系統產生一個磁盤文件操作事件時，網頁防篡改系統就能夠通過文件驅動層捕獲這一事件，通過識別其是否針對被保護路徑，進行相應的放行或阻止操作。

    網頁防篡改系統可以根據設定的防護路徑對其下的所有文件及路徑進行保護，也可根據設置對其中的部分文件及路徑進行保護。當有任何軟件程序、進程企圖對磁盤上該路徑下的被保護文件或路徑進行修改、刪除或新增等操作時，相應的操作被發送到主機操作系統，而網頁防篡改系統會在這時進行合法性檢測。系統默認針對原始網站路徑的任何修改操作均為非法，也可設定放行進程（只允許特定進程修改文件）。

    由于任何對磁盤上文件進行的操作都是經過操作系統來進行的，網頁防篡改系統利用這一特性，在系統驅動層攔截所有針對被保護路徑的修改、刪除與新增等磁盤操作，進行合法性檢測，從而達到對網頁文件篡改的檢測及處理目的。

動態防護（針對web訪問提交數據）

    目前的網站系統普遍使用動態技術（例如：ASP、JSP、PHP）來輸出網頁。動態網站系統一般由網頁腳本和內容組成：網頁腳本以文件形式存在于Web 服務器上；網頁內容則取自于數據庫。

    網頁防篡改系統的動態防護模塊采用核心內嵌技術，與Web服務（IIS、Tomcat、Apache等）緊密結合，能夠捕獲所有的Web連接請求，可以對用戶提交的數據內容及訪問請求進行合法性檢測，支持對 SQL 注入（盲注）攻擊、XSS跨站攻擊等各種利用訪問提交數據的攻擊方式的檢測，對其進行過濾與保護。動態防護模塊內嵌于Web服務，能夠對所有用戶訪問提交數據進行黑名單方式過濾，將包含攻擊特征的請求進行過濾或完全阻斷，從而實現對數據庫及動態應用的保護。以注入攻擊為例，由用戶提交的包含非法數據庫查詢、更新、刪除語句等特征的攻擊請求將被阻止，而正常的交互操作則不受影響

連續篡改攻擊防護

    對于大規模連續的篡改，網頁防篡改系統檢測到首個非法操作后就會實時阻斷其后續其他的篡改操作。系統針對來源和操作行為，提前終止其后續篡改操作請求。系統在底層完成這些防護措施并不會將這些大規模連續篡改請求發送到上層應用，極大的降低了應用程序的處理負擔，有效的提高了應有工作效率。而普通的Web內嵌事件觸發型防篡改軟件在發生大規模連續篡改時，需要每次通過應用層插件計算校驗匹配，由于不能阻止篡改發生，這些軟件需要不停的重復恢復原始網頁內容，極大的占用系統資源和網絡資源，并可能造成顯示錯誤頁給訪問用戶。

網站訪問保障

    網頁防篡改系統對原有網站的正常瀏覽訪問不造成任何影響。首先，對于頁面文件來說，一般正常的訪問不會導致網站頁面的更改，而網頁防篡改系統只有在檢測到有對頁面文件進行修改的行為時才會對該行為進行攔截，而其他的系統操作與網頁防篡改系統無關，不受影響。假如網站使用特定的內容發布系統，則可在網頁防篡改系統中進行相應設置，對該發布系統進程產生的文件操作不做檢測直接放行，從而不會對原有發布流程產生任何影響。因此，正是由于網頁防篡改系統采用了事件觸發式的運作方式，才保證了對服務器的資源耗用始終保持在極低的水平。

    其次，網頁防篡改系統不會占用對外連接數及網絡帶寬，因此不會消耗訪問資源。

增量發布更新

    網頁防篡改系統在安裝后會默認對任何修改網站文件內容的操作進行阻止，因此，網站的發布更新一般在同步路徑完成。網頁防篡改集成了同步發布更新功能。該功能采用先進的觸發式算法將同步路徑下的文件內容自動增量同步到網站原始路徑，無須人工干預。正是由于網頁防篡改系統基于操作系統文件驅動層的事件觸發機制，保證了自動增量同步功能的高效可靠。當針對備份路徑的文件內容進行修改時，網頁防篡改系統可以通過驅動層截獲這一請求，在操作完成后可以自動將修改的部分增量同步到網站原始路徑。這樣保證了網站原始路徑及備份路徑內容的一致性，也實現了對備份路徑進行發布時，自動增量同步至原始路徑的功能。

    另外，根據原有的更新方式，網頁防篡改系統可以做出相應設置以進行適應，達到盡量不改變發布操作流程的效果。比如，安裝網頁防篡改系統之前使用FTP方式更新文件，那么在網頁防篡改系統中就可以設定將FTP進程的所有操作放行。這樣就使得只有通過FTP方式進行的文件更新才是合法的，而通過其他的方式進行的更新操作都是非法的。網頁防篡改目前可以針對大部分的網站更新方式做出適應，包括主流的內容發布系統、FTP上傳、控制臺更新等。

日志告警

    一旦系統監測到非法操作行為，網頁防篡改系統立即以預設的告警方式通知相關維護人員，告警方式包括郵件，控制臺，短信（短信報警需具備短信發送裝置）及Syslog日志傳輸方式等。系統提供完整的日志記錄（包括系統操作日志和攻擊防護日志），并支持對日志信息的查詢和審計。系統操作日志記錄了所有用戶（包括超級用戶和各個管理員）的操作記錄，如更改策略、打開關閉保護、增刪保護路徑、備份恢復、增刪管理員等。

攻擊防護日志則記錄了系統收集到的所有非法操作信息，包括非法文件操作及非法動態攻擊，以及進行的相應操作等。

  產品優勢

徹底阻斷篡改

    采用文件驅動技術及事件觸發機制，能夠徹底阻斷篡改攻擊而不是等待網站文件內容被篡改后再恢復。該機制在暴力篡改（利用腳本或者程序對多個文件連續反復篡改）情況下能夠更完善的保障系統安全。

系統資源消耗低

    防護采用觸發機制，一般只在網站發布更新或承受攻擊時觸發審計運算，系統消耗平均為2%，能夠更好的保障Web系統的正常運行。相比同類產品使用的對比恢復機制，網頁防篡改系統不會一直進行對比恢復運算，在暴力篡改的環境下，頻繁的對比恢復會導致系統崩潰。

實時增量更新

    同步也采用觸發機制，能夠實時響應增量更新。相比同類產品的輪詢式更新檢測方式，觸發式的增量更新系統資源占用更小，更新速度更快，效率更高。

廣泛適應主流平臺

    網頁防篡改系統能夠有效針對主流服務器平臺及操作系統進行防護，包括HP-Unix、IBM AIX、Sun Solaris（支持Zone)、Windows、Linux等各種操作系統，能夠支持主流的Web應用，包括IIS、WebLogic、WebSphere、Apache、Tomcat等各種Web應用，能夠支持主流的數據庫防護，包括SQL Server、Oracle、Sybase、Informix、DB2等。

  系統收益

    網頁防篡改網站應用安全防護系統（以下簡稱為“網頁防篡改系統”）是針對網站系統的應用層進行安全防護的自動化工具，主要防護項目包括XSS跨站腳本、SQL注入等常見的Web應用程序安全問題，其系統收益主要體現在以下幾點。

 Web安全防護支持（防篡改保護）

    在大部分情況下，Web應用系統都處在網絡的邊界，24小時連續運行，是最容易受到攻擊的系統之一。在受到攻擊之前，IT管理人員必須做出有效的安全建設決策，通過修復漏洞或添加安全設備等方式解決安全隱患。網頁防篡改系統正是基于這一需要而進行設計的，它能夠幫助IT管理人員自動防護Web系統的應用層安全，而不必明確的知道Web系統是否存在應用層漏洞，或存在哪些漏洞，為Web安全防護工作提供有力的支持。

    全新的網頁防篡改系統是在原有防篡改系統的基礎上進一步加強了動態防護能力后的新一代產品，具備原有防篡改系統的全部優越特性，能夠更好的對Web系統提供防篡改保護。

Web安全發布支持

    一般的網站更新發布，會直接發布到Web路徑，具備可寫權限的Web路徑常常是導致安全風險的薄弱環節。假如使用網頁防篡改系統提供的同步方式，可以有效避免Web路徑開放不必要的可寫權限，保證原有文件內容的安全，同時也保證不會被寫入惡意文件腳本。

合規性建設支持

    在許多的國際標準、國家規定、行業規范中都提到了應當對信息系統進行安全防護，特別是針對處在公網環境下的Web系統。比如支付卡行業數據安全標準（PCI - DSS）、薩班斯法案（SOX）、國家信息安全等級保護相關標準、通信網絡安全防護管理辦法等等。

    傳統的安全防護產品（防火墻系統、入侵檢測系統等）主要針對的是網絡層漏洞，而Web應用漏洞往往是由于Web應用程序的設計、配置失誤所導致的，其防護原理是完全不同的。因此為了滿足安全合規性要求，不僅應當使用傳統的安全防護產品，還應當使用針對Web應用安全進行防護的產品，獲得Web應用層的安全保護，構建全方位的防護體系。

Web安全管理支持

    越來越多的大型組織已經意識到信息安全管理、風險管理、信息系統缺陷管理的重要性，且正在著手建設相關的信息管理系統。作為針對Web系統的安全防護工具，網頁防篡改系統將提供基于Web應用安全防護的關鍵信息，提供統一的、可審計、可定位、可追溯的Web應用安全數據，為組織的整體安全管理工作提供可靠的數據支撐。