1.CDN业务介绍及发展现状
1.1 CDN起源
CDN 技术起源于20 世纪90 年代末,是由美国麻省理工大学教授、互联网发明者之一Tim Berners-Lee 为解决网络拥塞问题而开发的。该技术可实现互联网内容无拥塞分发。
CDN 基本工作原理就是广泛采用各种Cache(高速缓冲)服务器,将这些Cache 服务器分布到用户访问相对集中的地区或网络中,并利用全局负载均衡技术(GSLB)将网站的内容发布到最接近用户的网络“边缘”,使用户可以就近取得所需的内容,从技术上全面解决由于网络带宽小、用户访问量大、网点分布不均等原因造成的用户访问网站的响应速度慢等问题。CDN 是为互联网上的应用服务的,它伴随着互联网的发展而逐步成长,它像一位隐形的快递员,将各种各样的内容交付给终端用户。CDN基本工作原理如图1所示。
图1 CDN工作原理
1.2 CDN在中国发展情况
在中国,伴随互联网高速发展、网民数量剧增。国内基础网络建设速度虽然很快,但跨地区、跨运营商访问仍然存在速度及页面加载速度缓慢等问题,难以满足用户日益增长的服务要求。网络服务质量和用户体验度下降,直接影响网站运营者收益。在这样的背景下,中国CDN 产业应运而生。CDN 第一次发展浪潮始于20 世纪90 年代末全球互联网发展高潮期,第二次大发展始于2004 年互联网回暖和发展时期,流媒体服务及Web 2.0 的兴起对CDN 提出了新的技术要求,CDN 技术自身发展,包括技术的成熟、设备价格的下降等因素,共同引发了CDN 新一轮发展热潮。来自Global Research消息称,2011 年,中国整体CDN 行业市场规模达53.3 亿元,平均年增长率在50% 以上,蓝汛、网宿、帝联、快网等专业CDN 服务商在整体市场的占有率高达98%。
据了解,目前我国对CDN 的概念尚缺乏统一认识,也没有统一的标准来衡量CDN 服务质量,在一定程度上阻碍了CDN 的普及。国内CDN 渗透率不足20%,美国已超过80%,受网民数量快速增长、无线互联的兴起以及多媒体的繁荣等因素影响,CDN 市场发展潜力巨大。据业内预计,至2016 年互联网流量可能提升30 倍。保守测算国内CDN 市场成熟后年收入规模有望超过145 亿元,为当前收入的数倍。
1.3 CDN业务特点
CDN 业务从实现方式来区分大致分为三类:高速缓存服务、镜像服务及专线服务。CDN 从客户角度可分为门户网站Web 分发、视音频媒体网站流媒体分发、网络游戏客户端下载及内容更新、在线软件更新、Web2.0 应用、电子商务网站交易加速、企业应用等七类内容分发服务。 CDN 从行业角度可分为企业自建、第三方CDN 厂商建设及运营商建设三种。目前,大多数互联网企业都采用自建与CDN 运营商服务相结合的方式,而这两块的比例约为4:1,在三四线城市,第三方CDN 厂商具有节点优势。
1.4 CDN产业链结构
CDN 业务由互联网企业、CDN 服务提供商、电信运营商及用户(网民)共同完成。互联网企业为网站内容提供者,也是CDN 业务需求方。CDN 服务提供商从电信运营商租用带宽、机柜等资源,根据网站企业需要提供网络加速及相关增值服务的整体解决方案,以提升网络用户的访问体验,CDN 服务商根据网站客户占用的CDN 带宽量及其选用的增值服务类型收取相关费用。用户通过视频点播、直播、下载、游戏等服务间接使用CDN 服务,是CDN 服务的最终体验者。电信运营商、CDN 专业服务商、网站企业及用户(网民)在CDN 产业链中各自关系如图2所示。
图2 CDN产业链结构
2.CDN业务信息安全挑战
随着全球信息化程度加深,CDN 已经成为互联网上向用户提供服务的重要系统之一,一方面,由于CDN 位于网络边缘,距离用户仅有“一跳之遥”,CDN 自身提供的安全服务能够抵御大部分对源站的攻击,从而提高源站的安全性;另外一方面,随着CDN 越来越多地服务于国家重要部门、金融机构、网络媒体、大型商业网站,并经常承担重大活动,因此,保障CDN自身安全,确保源站信息内容安全准确地分发给用户非常重要。一旦CDN 出现业务中断、数据被篡改等安全问题,可能对互联网服务造成严重影响,同时也对网站企业信誉和商业运营造成不良影响。CDN 安全威胁如图3所示。
图3 CDN安全威胁
CDN 业务安全挑战主要体现在数据内容安全、业务系统安全基础设施安全、管理安全、灾难备份及恢复5 个方面。相对于其他安全问题,数据内容安全具有一定独特性,在发生安全事件后将直接影响最广泛的互联网用户。下面就CDN数据内容安全挑战分析如下:
2.1 缓存页面劫持与串号登录
CDN 能够将占网站主体的大部分静态网页、图像和流媒体数据分发复制到各地的加速节点上,方便用户就近访问。通过Web 缓存服务,用户访问网页时可以将广域网的流量降至最低。如果对源站敏感信息存储及校验设计不合理,将含有用户账号信息的网页缓存到了CDN 节点服务器内,那么后面访问的用户就有可能登录到前面用户的账号中去,这种现象就是登录串号。登录串号现象广泛的存在于网页浏览、即时通信和电子邮件系统中。
2.2 用户上网行为隐私泄露
因CDN 位于网络边缘节点,直接向用户提供各类服务,用户上网行为可直接被CDN 服务商所掌握。通过全面的访客统计可记录每位访客的详细访问行为,包括访客的停留时间、对页面的访问深度、弹出率,甚至包括访客使用的浏览器等。通过页面内容分析可深入了解访客对网站的喜好,可以清晰地看到访客访问最多的网页、图片、视频、下载文件等信息。通过流量分析可了解访客的IP 分布及流量在各地的分布,并且可直接查看每个省和每个地区的市流量分布。通过网站入口访问分析可了解访客通过哪些关键字和使用哪些搜索引擎进入网站,可统计访客进入网站的途径等。
CDN 服务商对上网用户行为分析可带来一定商业价值,但此部分信息一旦被非法窃取或不当使用,如上网用户银行账号、隐私信息等泄露将可能给犯罪分子提供可乘之机。
2.3 插入广告劫持
某些运营商会在正常的网页传输过程中,额外插入一些附加广告,以谋取商业利益。这就是插入广告劫持,这种类型广告不但打扰了用户的上网体验,让用户打开网页时无缘无故打开一大堆莫名其妙的广告。还会让正常网站的访问用户产生误解,影响网站的声誉。图4 为某网站上的非法插入广告。
图4 网站被非法插入广告(正常访问没有广告)
由于CDN 缓存的普通网页传输一般采用HTTP 方式,而HTTP 协议对传送内容是不加密的,这就给中途劫持数据并插入广告创造了可能。插入广告劫持通常不易被发现,因为普通用户很难识别哪些广告是来自网站的,哪些广告是中途插入的。
2.4 DNS解析劫持
DNS(Domain Name System)是域名解析系统的缩写,作用是将网站域名解析为指定的IP 地址。网站采取CDN 加速服务后,域名解析请求将最终交给全局负载均衡 DNS 进行处理。任何用户访问都会直接指向CDN 边缘节点服务器。如果在此节点DNS 解析被劫持, 则用户访问的不是CDN 边缘节点的内容,而是被修改后的假IP 地址,其结果就是用户对特定的网址不能访问或访问错误网址,从而达到窃取资料或者破坏原有正常服务的目的。
2.5 边缘节点安全
由于CDN 边缘节点服务器缓存了源站部分内容,一旦不法分子通过某些手段获得节点服务器权限,则可以盗取或篡改缓存服务器内容。随着节点数量的增加,CDN 服务商的服务器管理安全也受到了挑战。
3.CDN业务安全监管建议
CDN 安全监管可从政策法规制定、加强对企业安全指导及完善行业监管体系建设三方面入手加以实施,具体建议如下:
3.1 加快监管政策制定步伐
由于CDN 应用范围和领域的扩张,CDN 服务商在网络安全、用户隐私保护方面理应承担更重要的责任。然而我国政府监管部门对CDN 的产业定位还不清晰,监管政策也未明确。政府监管一直以来都将CDN 业务作为IDC 的一项功能监管,对CDN 在网络和信息安全方面所担负的责任也没有界定。为了解决CDN 产业发展面临的这些问题,加强CDN 监管政策制定是必然的选择。
中央部门可依据《全国人民代表大会关于加强网络信息保护的决定》、《互联网信息服务管理办法( 国务院292 号令)》等法律法规,围绕CDN 可能存在的安全管理问题,开展相关的政策制定工作。主要内容包括定义CDN 产业链中监管者、内容提供商、服务提供商、用户、网络运营商等不同角色安全需求,根据需求确定相应安全保障机制。
电信管理部门可从推进CDN 标准化入手,制定一套完善的CDN 服务质量评价标准,通过可量化的指标全面、客观地反映CDN 的服务品质。CDN 标准化工作是为实行科学管理奠定基础,为保证产品质量提供依据,从而提升CDN 行业整体技术水平,有利于政府监管的有效实施,为CDN 产业的长远、健康发展打下坚实的基础。
公安部门可从监督CDN 服务商落实各项安全责任入手,打击各类盗号、侵犯互联网用户隐私等影响社会稳定行为,规定CDN 服务商不仅需要确保自身系统的安全性(如防DDoS攻击),还需要确保所承载客户的内容安全(如DRM、防盗链),确保最终用户的安全(如防病毒),并且要满足安全监管(如非法内容监管)的要求。
工商行政管理部门可从打击侵权行为、版权保护入手,对各类恶意穿插广告等行为加强监督管理工作。
3.2 加强对CDN企业的安全指导
当前互联网泄露个人隐私犯罪时有发生,信息泄露源头通常来自企业内部或中间商,而CDN 服务商作为中间商之一,如无意或有意泄露用户个人信息,被不法分子转手卖到市场获取高额利润。而这些信息如被犯罪嫌疑人利用,则可能对社会产生恶劣影响。加强对CDN 业务安全指导可首先从信息安全入手,CDN 信息安全包括数据一致性、不良信息清除、版权保护及安全审计四个方面。具体情况如下:
1)数据一致性是指用户在访问同一个URL 时,源站返回结果与CDN 节点返回的结果应为一致。数据一致性管理可抽象成内容存储安全管控及内容管理安全管控。内容存储安全管控负责上层部分,内容管理安全管控负责下层部分。内容存储安全管控可提供对源数据的内容安全管控。对于已经过分发、注入的数据,从内容合法性、数据完整性、存储可靠性等方面对其进行安全管控。可采用共享数据接口或并入数据采集的方式进行数据获取,通过对存储文件系统的分析得到数据源的最新变化,针对最新数据源的合法性、数据完整性等性能检查,使用图像识别技术、基于语义的音视频分析技术等对其进一步分析,获得内容存储的安全级别,及时发现并处理非法及不可靠数据,达到对数据内容一致性和完整性的安全管控。
2)不良信息清除是指在CDN 缓存中一旦发现含有不良信息,在通知内容源网站后,及时对全网服务器内不良信息进行屏蔽或清除,防止不良信息进一步扩散。
3) 版权保护是指按照源网站要求提供内容鉴权、用户鉴权、IP 地址鉴权、终端鉴别以及组合鉴权等方式对源站内容进行版权保护。
4)安全审计是指CDN 系统应记录用户及管理员对系统的管理操作,留存日志记录并定期审计。经过对这些数据的分析,方便为日后案件侦办提供重要参考。与传统网络不同,CDN网络没有固定IP 地址,一旦发生泄露公民个人信息事件,由于线索过于分散,公安部门将面临查处、取证的困难。为此,应在CDN 行业内建立统一的安全审计体系,不因任何一家缺少安全审计而导致案件侦办无法往下进行。
3.3 完善行业监管体系建设
首先,公安部门可根据《信息安全等级保护管理办法》,按照各信息系统业务单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益造成危害的程度,由低到高划分为一级、二级、三级、四级、五级,对各CDN 企业进行分级管理。
其次,按照属地管辖原则,将CDN 服务商从业机构及人员纳入基础数据上报系统,建立企业经营实名登记制度。规定企业法人为CDN 信息安全第一责任人,如企业发生重大信息安全事故,对社会造成严重影响,企业法人将承担直接责任。
第三,督促CDN 服务商制定内部安全规章制度和操作流程,加强人员专业技能培训,定期组织安全事件应急演练。建设和完善CDN 信息安全综合管理系统,逐步建立CDN 市场分级预警机制。
相信随着CDN 安全监管工作的深入开展,各CDN 企业会逐步加深对CDN 安全工作重要性的认识,掌握CDN 网络安全分级保护、风险评估的基本方法和要求,通过安全符合性评测和风险评估深入查找网络安全薄弱环节、落实安全防护措施、减少安全隐患,提升CDN 网络整体安全防护水平,更好地保障国家安全、经济运行和社会稳定。
4.结束语
在我国,CDN 技术是伴随互联网高速发展同时为解决跨地区、跨运营商互联互通问题而诞生的,随着全球信息化程度加深,CDN 已经成为互联网上向用户提供服务的重要系统之一,新技术应用的普及所带来的各类安全隐患已引起我国政府监管部门高度重视。CDN 安全管理是我们面临的一项新课题。作为打击网络违法犯罪、维护网络安全的监管部门,公安机关应从督促CDN 服务商落实各项安全责任入手,确保自身系统及所承载客户的内容安全。在技术上,我们应从数据一致性、不良信息清除、版权保护及安全审计四个方面加强对CDN 服务商安全指导。在监管体系建设上,建议按《信息安全等级保护管理办法》对各CDN 企业进行分级管理。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:CDN信息安全监管问题研究
本文网址:http://www.toberp.com/html/consultation/10839514953.html
相关文章
