1.CDN業務介紹及發展現狀

　　1.1 CDN起源

　　CDN 技術起源于20 世紀90 年代末，是由美國麻省理工大學教授、互聯網發明者之一Tim Berners-Lee 為解決網絡擁塞問題而開發的。該技術可實現互聯網內容無擁塞分發。

　　CDN 基本工作原理就是廣泛采用各種Cache（高速緩沖）服務器，將這些Cache 服務器分布到用戶訪問相對集中的地區或網絡中，并利用全局負載均衡技術（GSLB）將網站的內容發布到最接近用戶的網絡“邊緣”，使用戶可以就近取得所需的內容，從技術上全面解決由于網絡帶寬小、用戶訪問量大、網點分布不均等原因造成的用戶訪問網站的響應速度慢等問題。CDN 是為互聯網上的應用服務的，它伴隨著互聯網的發展而逐步成長，它像一位隱形的快遞員，將各種各樣的內容交付給終端用戶。CDN基本工作原理如圖1所示。

圖1 CDN工作原理

　　1.2 CDN在中國發展情況

　　在中國，伴隨互聯網高速發展、網民數量劇增。國內基礎網絡建設速度雖然很快，但跨地區、跨運營商訪問仍然存在速度及頁面加載速度緩慢等問題，難以滿足用戶日益增長的服務要求。網絡服務質量和用戶體驗度下降，直接影響網站運營者收益。在這樣的背景下，中國CDN 產業應運而生。CDN 第一次發展浪潮始于20 世紀90 年代末全球互聯網發展高潮期，第二次大發展始于2004 年互聯網回暖和發展時期，流媒體服務及Web 2.0 的興起對CDN 提出了新的技術要求，CDN 技術自身發展，包括技術的成熟、設備價格的下降等因素，共同引發了CDN 新一輪發展熱潮。來自Global Research消息稱，2011 年，中國整體CDN 行業市場規模達53.3 億元，平均年增長率在50% 以上，藍汛、網宿、帝聯、快網等專業CDN 服務商在整體市場的占有率高達98%。

　　據了解，目前我國對CDN 的概念尚缺乏統一認識，也沒有統一的標準來衡量CDN 服務質量，在一定程度上阻礙了CDN 的普及。國內CDN 滲透率不足20%，美國已超過80%，受網民數量快速增長、無線互聯的興起以及多媒體的繁榮等因素影響，CDN 市場發展潛力巨大。據業內預計，至2016 年互聯網流量可能提升30 倍。保守測算國內CDN 市場成熟后年收入規模有望超過145 億元，為當前收入的數倍。

　　1.3 CDN業務特點

　　CDN 業務從實現方式來區分大致分為三類：高速緩存服務、鏡像服務及專線服務。CDN 從客戶角度可分為門戶網站Web 分發、視音頻媒體網站流媒體分發、網絡游戲客戶端下載及內容更新、在線軟件更新、Web2.0 應用、電子商務網站交易加速、企業應用等七類內容分發服務。 CDN 從行業角度可分為企業自建、第三方CDN 廠商建設及運營商建設三種。目前，大多數互聯網企業都采用自建與CDN 運營商服務相結合的方式，而這兩塊的比例約為4：1，在三四線城市，第三方CDN 廠商具有節點優勢。

　　1.4 CDN產業鏈結構

　　CDN 業務由互聯網企業、CDN 服務提供商、電信運營商及用戶（網民）共同完成�；ヂ摼W企業為網站內容提供者，也是CDN 業務需求方。CDN 服務提供商從電信運營商租用帶寬、機柜等資源，根據網站企業需要提供網絡加速及相關增值服務的整體解決方案，以提升網絡用戶的訪問體驗，CDN 服務商根據網站客戶占用的CDN 帶寬量及其選用的增值服務類型收取相關費用。用戶通過視頻點播、直播、下載、游戲等服務間接使用CDN 服務，是CDN 服務的最終體驗者。電信運營商、CDN 專業服務商、網站企業及用戶（網民）在CDN 產業鏈中各自關系如圖2所示。

圖2 CDN產業鏈結構

　　2.CDN業務信息安全挑戰

　　隨著全球信息化程度加深，CDN 已經成為互聯網上向用戶提供服務的重要系統之一，一方面，由于CDN 位于網絡邊緣，距離用戶僅有“一跳之遙”，CDN 自身提供的安全服務能夠抵御大部分對源站的攻擊，從而提高源站的安全性；另外一方面，隨著CDN 越來越多地服務于國家重要部門、金融機構、網絡媒體、大型商業網站，并經常承擔重大活動，因此，保障CDN自身安全，確保源站信息內容安全準確地分發給用戶非常重要。一旦CDN 出現業務中斷、數據被篡改等安全問題，可能對互聯網服務造成嚴重影響，同時也對網站企業信譽和商業運營造成不良影響。CDN 安全威脅如圖3所示。

圖3 CDN安全威脅

　　CDN 業務安全挑戰主要體現在數據內容安全、業務系統安全基礎設施安全、管理安全、災難備份及恢復5 個方面。相對于其他安全問題，數據內容安全具有一定獨特性，在發生安全事件后將直接影響最廣泛的互聯網用戶。下面就CDN數據內容安全挑戰分析如下：

　　2.1 緩存頁面劫持與串號登錄

　　CDN 能夠將占網站主體的大部分靜態網頁、圖像和流媒體數據分發復制到各地的加速節點上，方便用戶就近訪問。通過Web 緩存服務，用戶訪問網頁時可以將廣域網的流量降至最低。如果對源站敏感信息存儲及校驗設計不合理，將含有用戶賬號信息的網頁緩存到了CDN 節點服務器內，那么后面訪問的用戶就有可能登錄到前面用戶的賬號中去，這種現象就是登錄串號。登錄串號現象廣泛的存在于網頁瀏覽、即時通信和電子郵件系統中。

　　2.2 用戶上網行為隱私泄露

　　因CDN 位于網絡邊緣節點，直接向用戶提供各類服務，用戶上網行為可直接被CDN 服務商所掌握。通過全面的訪客統計可記錄每位訪客的詳細訪問行為，包括訪客的停留時間、對頁面的訪問深度、彈出率，甚至包括訪客使用的瀏覽器等。通過頁面內容分析可深入了解訪客對網站的喜好，可以清晰地看到訪客訪問最多的網頁、圖片、視頻、下載文件等信息。通過流量分析可了解訪客的IP 分布及流量在各地的分布，并且可直接查看每個省和每個地區的市流量分布。通過網站入口訪問分析可了解訪客通過哪些關鍵字和使用哪些搜索引擎進入網站，可統計訪客進入網站的途徑等。

　　CDN 服務商對上網用戶行為分析可帶來一定商業價值，但此部分信息一旦被非法竊取或不當使用，如上網用戶銀行賬號、隱私信息等泄露將可能給犯罪分子提供可乘之機。

　　2.3 插入廣告劫持

　　某些運營商會在正常的網頁傳輸過程中，額外插入一些附加廣告，以謀取商業利益。這就是插入廣告劫持，這種類型廣告不但打擾了用戶的上網體驗，讓用戶打開網頁時無緣無故打開一大堆莫名其妙的廣告。還會讓正常網站的訪問用戶產生誤解，影響網站的聲譽。圖4 為某網站上的非法插入廣告。

圖4 網站被非法插入廣告（正常訪問沒有廣告）

　　由于CDN 緩存的普通網頁傳輸一般采用HTTP 方式，而HTTP 協議對傳送內容是不加密的，這就給中途劫持數據并插入廣告創造了可能。插入廣告劫持通常不易被發現，因為普通用戶很難識別哪些廣告是來自網站的，哪些廣告是中途插入的。

　　2.4 DNS解析劫持

　　DNS（Domain Name System）是域名解析系統的縮寫，作用是將網站域名解析為指定的IP 地址。網站采取CDN 加速服務后，域名解析請求將最終交給全局負載均衡 DNS 進行處理。任何用戶訪問都會直接指向CDN 邊緣節點服務器。如果在此節點DNS 解析被劫持, 則用戶訪問的不是CDN 邊緣節點的內容，而是被修改后的假IP 地址，其結果就是用戶對特定的網址不能訪問或訪問錯誤網址，從而達到竊取資料或者破壞原有正常服務的目的。

　　2.5 邊緣節點安全

　　由于CDN 邊緣節點服務器緩存了源站部分內容，一旦不法分子通過某些手段獲得節點服務器權限，則可以盜取或篡改緩存服務器內容。隨著節點數量的增加，CDN 服務商的服務器管理安全也受到了挑戰。

　　3.CDN業務安全監管建議

　　CDN 安全監管可從政策法規制定、加強對企業安全指導及完善行業監管體系建設三方面入手加以實施，具體建議如下：

　　3.1 加快監管政策制定步伐

　　由于CDN 應用范圍和領域的擴張，CDN 服務商在網絡安全、用戶隱私保護方面理應承擔更重要的責任。然而我國政府監管部門對CDN 的產業定位還不清晰，監管政策也未明確。政府監管一直以來都將CDN 業務作為IDC 的一項功能監管，對CDN 在網絡和信息安全方面所擔負的責任也沒有界定。為了解決CDN 產業發展面臨的這些問題，加強CDN 監管政策制定是必然的選擇。

　　中央部門可依據《全國人民代表大會關于加強網絡信息保護的決定》、《互聯網信息服務管理辦法( 國務院292 號令)》等法律法規，圍繞CDN 可能存在的安全管理問題，開展相關的政策制定工作。主要內容包括定義CDN 產業鏈中監管者、內容提供商、服務提供商、用戶、網絡運營商等不同角色安全需求，根據需求確定相應安全保障機制。

　　電信管理部門可從推進CDN 標準化入手，制定一套完善的CDN 服務質量評價標準，通過可量化的指標全面、客觀地反映CDN 的服務品質。CDN 標準化工作是為實行科學管理奠定基礎，為保證產品質量提供依據，從而提升CDN 行業整體技術水平，有利于政府監管的有效實施，為CDN 產業的長遠、健康發展打下堅實的基礎。

　　公安部門可從監督CDN 服務商落實各項安全責任入手，打擊各類盜號、侵犯互聯網用戶隱私等影響社會穩定行為，規定CDN 服務商不僅需要確保自身系統的安全性（如防DDoS攻擊），還需要確保所承載客戶的內容安全（如DRM、防盜鏈），確保最終用戶的安全（如防病毒），并且要滿足安全監管（如非法內容監管）的要求。

　　工商行政管理部門可從打擊侵權行為、版權保護入手，對各類惡意穿插廣告等行為加強監督管理工作。

　　3.2 加強對CDN企業的安全指導

　　當前互聯網泄露個人隱私犯罪時有發生，信息泄露源頭通常來自企業內部或中間商，而CDN 服務商作為中間商之一，如無意或有意泄露用戶個人信息，被不法分子轉手賣到市場獲取高額利潤。而這些信息如被犯罪嫌疑人利用，則可能對社會產生惡劣影響。加強對CDN 業務安全指導可首先從信息安全入手，CDN 信息安全包括數據一致性、不良信息清除、版權保護及安全審計四個方面。具體情況如下：

　　1）數據一致性是指用戶在訪問同一個URL 時，源站返回結果與CDN 節點返回的結果應為一致。數據一致性管理可抽象成內容存儲安全管控及內容管理安全管控。內容存儲安全管控負責上層部分，內容管理安全管控負責下層部分。內容存儲安全管控可提供對源數據的內容安全管控。對于已經過分發、注入的數據，從內容合法性、數據完整性、存儲可靠性等方面對其進行安全管控�？刹捎霉蚕頂祿�接口或并入數據采集的方式進行數據獲取，通過對存儲文件系統的分析得到數據源的最新變化，針對最新數據源的合法性、數據完整性等性能檢查，使用圖像識別技術、基于語義的音視頻分析技術等對其進一步分析，獲得內容存儲的安全級別，及時發現并處理非法及不可靠數據，達到對數據內容一致性和完整性的安全管控。

　　2）不良信息清除是指在CDN 緩存中一旦發現含有不良信息，在通知內容源網站后，及時對全網服務器內不良信息進行屏蔽或清除，防止不良信息進一步擴散。

　　3） 版權保護是指按照源網站要求提供內容鑒權、用戶鑒權、IP 地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。

　　4）安全審計是指CDN 系統應記錄用戶及管理員對系統的管理操作，留存日志記錄并定期審計。經過對這些數據的分析，方便為日后案件偵辦提供重要參考。與傳統網絡不同，CDN網絡沒有固定IP 地址，一旦發生泄露公民個人信息事件，由于線索過于分散，公安部門將面臨查處、取證的困難。為此，應在CDN 行業內建立統一的安全審計體系，不因任何一家缺少安全審計而導致案件偵辦無法往下進行。

　　3.3 完善行業監管體系建設

　　首先，公安部門可根據《信息安全等級保護管理辦法》，按照各信息系統業務單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益造成危害的程度，由低到高劃分為一級、二級、三級、四級、五級，對各CDN 企業進行分級管理。

　　其次，按照屬地管轄原則，將CDN 服務商從業機構及人員納入基礎數據上報系統，建立企業經營實名登記制度。規定企業法人為CDN 信息安全第一責任人，如企業發生重大信息安全事故，對社會造成嚴重影響，企業法人將承擔直接責任。

　　第三，督促CDN 服務商制定內部安全規章制度和操作流程，加強人員專業技能培訓，定期組織安全事件應急演練。建設和完善CDN 信息安全綜合管理系統，逐步建立CDN 市場分級預警機制。

　　相信隨著CDN 安全監管工作的深入開展，各CDN 企業會逐步加深對CDN 安全工作重要性的認識，掌握CDN 網絡安全分級保護、風險評估的基本方法和要求，通過安全符合性評測和風險評估深入查找網絡安全薄弱環節、落實安全防護措施、減少安全隱患，提升CDN 網絡整體安全防護水平，更好地保障國家安全、經濟運行和社會穩定。

　　4.結束語

　　在我國，CDN 技術是伴隨互聯網高速發展同時為解決跨地區、跨運營商互聯互通問題而誕生的，隨著全球信息化程度加深，CDN 已經成為互聯網上向用戶提供服務的重要系統之一，新技術應用的普及所帶來的各類安全隱患已引起我國政府監管部門高度重視。CDN 安全管理是我們面臨的一項新課題。作為打擊網絡違法犯罪、維護網絡安全的監管部門，公安機關應從督促CDN 服務商落實各項安全責任入手，確保自身系統及所承載客戶的內容安全。在技術上，我們應從數據一致性、不良信息清除、版權保護及安全審計四個方面加強對CDN 服務商安全指導。在監管體系建設上，建議按《信息安全等級保護管理辦法》對各CDN 企業進行分級管理。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：CDN信息安全監管問題研究

本文網址：http://m.guhuozai8.cn/html/consultation/10839514953.html