1.CDN業(yè)務介紹及發(fā)展現(xiàn)狀

　　1.1 CDN起源

　　CDN 技術起源于20 世紀90 年代末，是由美國麻省理工大學教授、互聯(lián)網(wǎng)發(fā)明者之一Tim Berners-Lee 為解決網(wǎng)絡擁塞問題而開發(fā)的。該技術可實現(xiàn)互聯(lián)網(wǎng)內容無擁塞分發(fā)。

　　CDN 基本工作原理就是廣泛采用各種Cache（高速緩沖）服務器，將這些Cache 服務器分布到用戶訪問相對集中的地區(qū)或網(wǎng)絡中，并利用全局負載均衡技術（GSLB）將網(wǎng)站的內容發(fā)布到最接近用戶的網(wǎng)絡“邊緣”，使用戶可以就近取得所需的內容，從技術上全面解決由于網(wǎng)絡帶寬小、用戶訪問量大、網(wǎng)點分布不均等原因造成的用戶訪問網(wǎng)站的響應速度慢等問題。CDN 是為互聯(lián)網(wǎng)上的應用服務的，它伴隨著互聯(lián)網(wǎng)的發(fā)展而逐步成長，它像一位隱形的快遞員，將各種各樣的內容交付給終端用戶。CDN基本工作原理如圖1所示。

圖1 CDN工作原理

　　1.2 CDN在中國發(fā)展情況

　　在中國，伴隨互聯(lián)網(wǎng)高速發(fā)展、網(wǎng)民數(shù)量劇增。國內基礎網(wǎng)絡建設速度雖然很快，但跨地區(qū)、跨運營商訪問仍然存在速度及頁面加載速度緩慢等問題，難以滿足用戶日益增長的服務要求。網(wǎng)絡服務質量和用戶體驗度下降，直接影響網(wǎng)站運營者收益。在這樣的背景下，中國CDN 產(chǎn)業(yè)應運而生。CDN 第一次發(fā)展浪潮始于20 世紀90 年代末全球互聯(lián)網(wǎng)發(fā)展高潮期，第二次大發(fā)展始于2004 年互聯(lián)網(wǎng)回暖和發(fā)展時期，流媒體服務及Web 2.0 的興起對CDN 提出了新的技術要求，CDN 技術自身發(fā)展，包括技術的成熟、設備價格的下降等因素，共同引發(fā)了CDN 新一輪發(fā)展熱潮。來自Global Research消息稱，2011 年，中國整體CDN 行業(yè)市場規(guī)模達53.3 億元，平均年增長率在50% 以上，藍汛、網(wǎng)宿、帝聯(lián)、快網(wǎng)等專業(yè)CDN 服務商在整體市場的占有率高達98%。

　　據(jù)了解，目前我國對CDN 的概念尚缺乏統(tǒng)一認識，也沒有統(tǒng)一的標準來衡量CDN 服務質量，在一定程度上阻礙了CDN 的普及。國內CDN 滲透率不足20%，美國已超過80%，受網(wǎng)民數(shù)量快速增長、無線互聯(lián)的興起以及多媒體的繁榮等因素影響，CDN 市場發(fā)展?jié)摿�巨大。�?jù)業(yè)內預計，至2016 年互聯(lián)網(wǎng)流量可能提升30 倍。保守測算國內CDN 市場成熟后年收入規(guī)模有望超過145 億元，為當前收入的數(shù)倍。

　　1.3 CDN業(yè)務特點

　　CDN 業(yè)務從實現(xiàn)方式來區(qū)分大致分為三類：高速緩存服務、鏡像服務及專線服務。CDN 從客戶角度可分為門戶網(wǎng)站W(wǎng)eb 分發(fā)、視音頻媒體網(wǎng)站流媒體分發(fā)、網(wǎng)絡游戲客戶端下載及內容更新、在線軟件更新、Web2.0 應用、電子商務網(wǎng)站交易加速、企業(yè)應用等七類內容分發(fā)服務。 CDN 從行業(yè)角度可分為企業(yè)自建、第三方CDN 廠商建設及運營商建設三種。目前，大多數(shù)互聯(lián)網(wǎng)企業(yè)都采用自建與CDN 運營商服務相結合的方式，而這兩塊的比例約為4：1，在三四線城市，第三方CDN 廠商具有節(jié)點優(yōu)勢。

　　1.4 CDN產(chǎn)業(yè)鏈結構

　　CDN 業(yè)務由互聯(lián)網(wǎng)企業(yè)、CDN 服務提供商、電信運營商及用戶（網(wǎng)民）共同完成�；ヂ�(lián)網(wǎng)企業(yè)為網(wǎng)站內容提供者，也是CDN 業(yè)務需求方。CDN 服務提供商從電信運營商租用帶寬、機柜等資源，根據(jù)網(wǎng)站企業(yè)需要提供網(wǎng)絡加速及相關增值服務的整體解決方案，以提升網(wǎng)絡用戶的訪問體驗，CDN 服務商根據(jù)網(wǎng)站客戶占用的CDN 帶寬量及其選用的增值服務類型收取相關費用。用戶通過視頻點播、直播、下載、游戲等服務間接使用CDN 服務，是CDN 服務的最終體驗者。電信運營商、CDN 專業(yè)服務商、網(wǎng)站企業(yè)及用戶（網(wǎng)民）在CDN 產(chǎn)業(yè)鏈中各自關系如圖2所示。

圖2 CDN產(chǎn)業(yè)鏈結構

　　2.CDN業(yè)務信息安全挑戰(zhàn)

　　隨著全球信息化程度加深，CDN 已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務的重要系統(tǒng)之一，一方面，由于CDN 位于網(wǎng)絡邊緣，距離用戶僅有“一跳之遙”，CDN 自身提供的安全服務能夠抵御大部分對源站的攻擊，從而提高源站的安全性；另外一方面，隨著CDN 越來越多地服務于國家重要部門、金融機構、網(wǎng)絡媒體、大型商業(yè)網(wǎng)站，并經(jīng)常承擔重大活動，因此，保障CDN自身安全，確保源站信息內容安全準確地分發(fā)給用戶非常重要。一旦CDN 出現(xiàn)業(yè)務中斷、數(shù)據(jù)被篡改等安全問題，可能對互聯(lián)網(wǎng)服務造成嚴重影響，同時也對網(wǎng)站企業(yè)信譽和商業(yè)運營造成不良影響。CDN 安全威脅如圖3所示。

圖3 CDN安全威脅

　　CDN 業(yè)務安全挑戰(zhàn)主要體現(xiàn)在數(shù)據(jù)內容安全、業(yè)務系統(tǒng)安全基礎設施安全、管理安全、災難備份及恢復5 個方面。相對于其他安全問題，數(shù)據(jù)內容安全具有一定獨特性，在發(fā)生安全事件后將直接影響最廣泛的互聯(lián)網(wǎng)用戶。下面就CDN數(shù)據(jù)內容安全挑戰(zhàn)分析如下：

　　2.1 緩存頁面劫持與串號登錄

　　CDN 能夠將占網(wǎng)站主體的大部分靜態(tài)網(wǎng)頁、圖像和流媒體數(shù)據(jù)分發(fā)復制到各地的加速節(jié)點上，方便用戶就近訪問。通過Web 緩存服務，用戶訪問網(wǎng)頁時可以將廣域網(wǎng)的流量降至最低。如果對源站敏感信息存儲及校驗設計不合理，將含有用戶賬號信息的網(wǎng)頁緩存到了CDN 節(jié)點服務器內，那么后面訪問的用戶就有可能登錄到前面用戶的賬號中去，這種現(xiàn)象就是登錄串號。登錄串號現(xiàn)象廣泛的存在于網(wǎng)頁瀏覽、即時通信和電子郵件系統(tǒng)中。

　　2.2 用戶上網(wǎng)行為隱私泄露

　　因CDN 位于網(wǎng)絡邊緣節(jié)點，直接向用戶提供各類服務，用戶上網(wǎng)行為可直接被CDN 服務商所掌握。通過全面的訪客統(tǒng)計可記錄每位訪客的詳細訪問行為，包括訪客的停留時間、對頁面的訪問深度、彈出率，甚至包括訪客使用的瀏覽器等。通過頁面內容分析可深入了解訪客對網(wǎng)站的喜好，可以清晰地看到訪客訪問最多的網(wǎng)頁、圖片、視頻、下載文件等信息。通過流量分析可了解訪客的IP 分布及流量在各地的分布，并且可直接查看每個省和每個地區(qū)的市流量分布。通過網(wǎng)站入口訪問分析可了解訪客通過哪些關鍵字和使用哪些搜索引擎進入網(wǎng)站，可統(tǒng)計訪客進入網(wǎng)站的途徑等。

　　CDN 服務商對上網(wǎng)用戶行為分析可帶來一定商業(yè)價值，但此部分信息一旦被非法竊取或不當使用，如上網(wǎng)用戶銀行賬號、隱私信息等泄露將可能給犯罪分子提供可乘之機。

　　2.3 插入廣告劫持

　　某些運營商會在正常的網(wǎng)頁傳輸過程中，額外插入一些附加廣告，以謀取商業(yè)利益。這就是插入廣告劫持，這種類型廣告不但打擾了用戶的上網(wǎng)體驗，讓用戶打開網(wǎng)頁時無緣無故打開一大堆莫名其妙的廣告。還會讓正常網(wǎng)站的訪問用戶產(chǎn)生誤解，影響網(wǎng)站的聲譽。圖4 為某網(wǎng)站上的非法插入廣告。

圖4 網(wǎng)站被非法插入廣告（正常訪問沒有廣告）

　　由于CDN 緩存的普通網(wǎng)頁傳輸一般采用HTTP 方式，而HTTP 協(xié)議對傳送內容是不加密的，這就給中途劫持數(shù)據(jù)并插入廣告創(chuàng)造了可能。插入廣告劫持通常不易被發(fā)現(xiàn)，因為普通用戶很難識別哪些廣告是來自網(wǎng)站的，哪些廣告是中途插入的。

　　2.4 DNS解析劫持

　　DNS（Domain Name System）是域名解析系統(tǒng)的縮寫，作用是將網(wǎng)站域名解析為指定的IP 地址。網(wǎng)站采取CDN 加速服務后，域名解析請求將最終交給全局負載均衡 DNS 進行處理。任何用戶訪問都會直接指向CDN 邊緣節(jié)點服務器。如果在此節(jié)點DNS 解析被劫持, 則用戶訪問的不是CDN 邊緣節(jié)點的內容，而是被修改后的假IP 地址，其結果就是用戶對特定的網(wǎng)址不能訪問或訪問錯誤網(wǎng)址，從而達到竊取資料或者破壞原有正常服務的目的。

　　2.5 邊緣節(jié)點安全

　　由于CDN 邊緣節(jié)點服務器緩存了源站部分內容，一旦不法分子通過某些手段獲得節(jié)點服務器權限，則可以盜取或篡改緩存服務器內容。隨著節(jié)點數(shù)量的增加，CDN 服務商的服務器管理安全也受到了挑戰(zhàn)。

　　3.CDN業(yè)務安全監(jiān)管建議

　　CDN 安全監(jiān)管可從政策法規(guī)制定、加強對企業(yè)安全指導及完善行業(yè)監(jiān)管體系建設三方面入手加以實施，具體建議如下：

　　3.1 加快監(jiān)管政策制定步伐

　　由于CDN 應用范圍和領域的擴張，CDN 服務商在網(wǎng)絡安全、用戶隱私保護方面理應承擔更重要的責任。然而我國政府監(jiān)管部門對CDN 的產(chǎn)業(yè)定位還不清晰，監(jiān)管政策也未明確。政府監(jiān)管一直以來都將CDN 業(yè)務作為IDC 的一項功能監(jiān)管，對CDN 在網(wǎng)絡和信息安全方面所擔負的責任也沒有界定。為了解決CDN 產(chǎn)業(yè)發(fā)展面臨的這些問題，加強CDN 監(jiān)管政策制定是必然的選擇。

　　中央部門可依據(jù)《全國人民代表大會關于加強網(wǎng)絡信息保護的決定》、《互聯(lián)網(wǎng)信息服務管理辦法( 國務院292 號令)》等法律法規(guī)，圍繞CDN 可能存在的安全管理問題，開展相關的政策制定工作。主要內容包括定義CDN 產(chǎn)業(yè)鏈中監(jiān)管者、內容提供商、服務提供商、用戶、網(wǎng)絡運營商等不同角色安全需求，根據(jù)需求確定相應安全保障機制。

　　電信管理部門可從推進CDN 標準化入手，制定一套完善的CDN 服務質量評價標準，通過可量化的指標全面、客觀地反映CDN 的服務品質。CDN 標準化工作是為實行科學管理奠定基礎，為保證產(chǎn)品質量提供依據(jù)，從而提升CDN 行業(yè)整體技術水平，有利于政府監(jiān)管的有效實施，為CDN 產(chǎn)業(yè)的長遠、健康發(fā)展打下堅實的基礎。

　　公安部門可從監(jiān)督CDN 服務商落實各項安全責任入手，打擊各類盜號、侵犯互聯(lián)網(wǎng)用戶隱私等影響社會穩(wěn)定行為，規(guī)定CDN 服務商不僅需要確保自身系統(tǒng)的安全性（如防DDoS攻擊），還需要確保所承載客戶的內容安全（如DRM、防盜鏈），確保最終用戶的安全（如防病毒），并且要滿足安全監(jiān)管（如非法內容監(jiān)管）的要求。

　　工商行政管理部門可從打擊侵權行為、版權保護入手，對各類惡意穿插廣告等行為加強監(jiān)督管理工作。

　　3.2 加強對CDN企業(yè)的安全指導

　　當前互聯(lián)網(wǎng)泄露個人隱私犯罪時有發(fā)生，信息泄露源頭通常來自企業(yè)內部或中間商，而CDN 服務商作為中間商之一，如無意或有意泄露用戶個人信息，被不法分子轉手賣到市場獲取高額利潤。而這些信息如被犯罪嫌疑人利用，則可能對社會產(chǎn)生惡劣影響。加強對CDN 業(yè)務安全指導可首先從信息安全入手，CDN 信息安全包括數(shù)據(jù)一致性、不良信息清除、版權保護及安全審計四個方面。具體情況如下：

　　1）數(shù)據(jù)一致性是指用戶在訪問同一個URL 時，源站返回結果與CDN 節(jié)點返回的結果應為一致。數(shù)據(jù)一致性管理可抽象成內容存儲安全管控及內容管理安全管控。內容存儲安全管控負責上層部分，內容管理安全管控負責下層部分。內容存儲安全管控可提供對源數(shù)據(jù)的內容安全管控。對于已經(jīng)過分發(fā)、注入的數(shù)據(jù)，從內容合法性、數(shù)據(jù)完整性、存儲可靠性等方面對其進行安全管控�？刹捎霉蚕頂�(shù)據(jù)接口或并入數(shù)據(jù)采集的方式進行數(shù)據(jù)獲取，通過對存儲文件系統(tǒng)的分析得到數(shù)據(jù)源的最新變化，針對最新數(shù)據(jù)源的合法性、數(shù)據(jù)完整性等性能檢查，使用圖像識別技術、基于語義的音視頻分析技術等對其進一步分析，獲得內容存儲的安全級別，及時發(fā)現(xiàn)并處理非法及不可靠數(shù)據(jù)，達到對數(shù)據(jù)內容一致性和完整性的安全管控。

　　2）不良信息清除是指在CDN 緩存中一旦發(fā)現(xiàn)含有不良信息，在通知內容源網(wǎng)站后，及時對全網(wǎng)服務器內不良信息進行屏蔽或清除，防止不良信息進一步擴散。

　　3） 版權保護是指按照源網(wǎng)站要求提供內容鑒權、用戶鑒權、IP 地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。

　　4）安全審計是指CDN 系統(tǒng)應記錄用戶及管理員對系統(tǒng)的管理操作，留存日志記錄并定期審計。經(jīng)過對這些數(shù)據(jù)的分析，方便為日后案件偵辦提供重要參考。與傳統(tǒng)網(wǎng)絡不同，CDN網(wǎng)絡沒有固定IP 地址，一旦發(fā)生泄露公民個人信息事件，由于線索過于分散，公安部門將面臨查處、取證的困難。為此，應在CDN 行業(yè)內建立統(tǒng)一的安全審計體系，不因任何一家缺少安全審計而導致案件偵辦無法往下進行。

　　3.3 完善行業(yè)監(jiān)管體系建設

　　首先，公安部門可根據(jù)《信息安全等級保護管理辦法》，按照各信息系統(tǒng)業(yè)務單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利益造成危害的程度，由低到高劃分為一級、二級、三級、四級、五級，對各CDN 企業(yè)進行分級管理。

　　其次，按照屬地管轄原則，將CDN 服務商從業(yè)機構及人員納入基礎數(shù)據(jù)上報系統(tǒng)，建立企業(yè)經(jīng)營實名登記制度。規(guī)定企業(yè)法人為CDN 信息安全第一責任人，如企業(yè)發(fā)生重大信息安全事故，對社會造成嚴重影響，企業(yè)法人將承擔直接責任。

　　第三，督促CDN 服務商制定內部安全規(guī)章制度和操作流程，加強人員專業(yè)技能培訓，定期組織安全事件應急演練。建設和完善CDN 信息安全綜合管理系統(tǒng)，逐步建立CDN 市場分級預警機制。

　　相信隨著CDN 安全監(jiān)管工作的深入開展，各CDN 企業(yè)會逐步加深對CDN 安全工作重要性的認識，掌握CDN 網(wǎng)絡安全分級保護、風險評估的基本方法和要求，通過安全符合性評測和風險評估深入查找網(wǎng)絡安全薄弱環(huán)節(jié)、落實安全防護措施、減少安全隱患，提升CDN 網(wǎng)絡整體安全防護水平，更好地保障國家安全、經(jīng)濟運行和社會穩(wěn)定。

　　4.結束語

　　在我國，CDN 技術是伴隨互聯(lián)網(wǎng)高速發(fā)展同時為解決跨地區(qū)、跨運營商互聯(lián)互通問題而誕生的，隨著全球信息化程度加深，CDN 已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務的重要系統(tǒng)之一，新技術應用的普及所帶來的各類安全隱患已引起我國政府監(jiān)管部門高度重視。CDN 安全管理是我們面臨的一項新課題。作為打擊網(wǎng)絡違法犯罪、維護網(wǎng)絡安全的監(jiān)管部門，公安機關應從督促CDN 服務商落實各項安全責任入手，確保自身系統(tǒng)及所承載客戶的內容安全。在技術上，我們應從數(shù)據(jù)一致性、不良信息清除、版權保護及安全審計四個方面加強對CDN 服務商安全指導。在監(jiān)管體系建設上，建議按《信息安全等級保護管理辦法》對各CDN 企業(yè)進行分級管理。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：CDN信息安全監(jiān)管問題研究

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839514953.html