基于CDN技術的高校網(wǎng)絡安全建設探索

張 成，李鳳霞

（江蘇開放大學 信息化建設處，江蘇 南京 210036）

0 引言

網(wǎng)絡安全是通過一系列技術和管理方法保證網(wǎng)絡系統(tǒng)正常運行，確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。隨著5G、云計算、物聯(lián)網(wǎng)、人工智能技術發(fā)展，人們生產(chǎn)生活方式發(fā)生巨大變化，新一代信息技術不斷推動教育信息化發(fā)展，網(wǎng)絡安全也隨之面臨新的挑戰(zhàn)和機遇，在深化教育改革和培養(yǎng)創(chuàng)新人才方面發(fā)揮重要作用。

計算機網(wǎng)絡飛速發(fā)展奠定了高校信息化發(fā)展的基礎。目前，教育行業(yè)普遍存在安全管理薄弱、安全意識不足、數(shù)據(jù)資產(chǎn)不清、專職安全人員缺乏、單位規(guī)模大小不一、信息化資產(chǎn)數(shù)量相差較大等問題，對于網(wǎng)絡安全保障是一個極大挑戰(zhàn)。

為促進校園網(wǎng)絡安全發(fā)展，不少學者們針對網(wǎng)絡安全提出各種建設探索。例如，Sun 等［1］提出基于大數(shù)據(jù)分析的網(wǎng)絡安全服務新模式，以安全防護、風險發(fā)現(xiàn)、檢測響應、態(tài)勢感知為基礎，結合人機共識理念，將網(wǎng)絡防護最新安全狀況同步大數(shù)據(jù)中心，經(jīng)過綜合分析匯總至安全可視化平臺，實現(xiàn)網(wǎng)絡安全立體化展示，支持事前風險預警、事中安全防御、事后應急處置。You 等［2］構建網(wǎng)絡安全智庫，依托智庫平臺大規(guī)模推廣網(wǎng)絡安全實施方案，以政策咨詢和發(fā)展規(guī)劃為主導，結合校園網(wǎng)絡安全現(xiàn)實需求和關鍵問題進行分析規(guī)劃，搭建信息技術人才集聚、信息技術創(chuàng)新不斷產(chǎn)出的平臺。Qiu 等［3］開展基于零信任SDP 的高校網(wǎng)絡安全體系架構研究，基于用戶ID、設備需要訪問的服務、應用程序和網(wǎng)絡，使用身份細粒度訪問網(wǎng)絡替代信任過度的網(wǎng)絡接入。Yang 等［4］分析現(xiàn)有網(wǎng)絡安全設備發(fā)現(xiàn)，網(wǎng)絡防火墻通常部署在公網(wǎng)和內網(wǎng)間控制訪問流量，IDS 通過分析局域網(wǎng)內關鍵節(jié)點數(shù)據(jù)報文監(jiān)視局域網(wǎng)網(wǎng)絡和系統(tǒng)運行狀況，IPS 監(jiān)視網(wǎng)絡及網(wǎng)絡設備在鏈路上的數(shù)據(jù)傳輸行為，WAF 是一種專門針對HTTP 訪問的Web 程序保護防火墻，數(shù)據(jù)庫安全審計系統(tǒng)可管理和監(jiān)控數(shù)據(jù)庫訪問行為。

為此，本文通過內容分發(fā)網(wǎng)絡（Content Delivery Network，CDN）結合網(wǎng)站應用級入侵防御系統(tǒng)（Web Application Firewall，WAF）的方式防護Web 服務器。其中，通過CDN 過濾DDoS 攻擊，WAF 阻擋惡意Web 攻擊，結合兩者能有效阻斷傳統(tǒng)防火墻無法隔離的網(wǎng)絡攻擊。同時，在學校安全管理體系建設中提出網(wǎng)絡安全閉環(huán)管理，從網(wǎng)絡安全制度建立、人才隊伍建設、安全運維服務、應急響應預案、安全培訓、“等保2.0”等方面完善網(wǎng)絡安全管理體系。

1 高校網(wǎng)絡安全建設現(xiàn)存問題

1.1 信息系統(tǒng)缺乏統(tǒng)一管理

目前，各高校已進入信息化時代，信息系統(tǒng)構建是高校網(wǎng)絡建設的重點任務，但部分高校信息系統(tǒng)由部門獨自運營，缺乏統(tǒng)一管理，尚未形成統(tǒng)一的解決方案［5］。雖然，高校已出臺關于網(wǎng)絡安全的相關制度，但由于缺乏頂層設計支持，導致目前制度不完善、針對性不強、思路不明確，在實際操作中無法實現(xiàn)安全管理，因此無法形成一套完整的網(wǎng)絡安全管理體系。

1.2 網(wǎng)絡安全基礎設施不完善

在高校信息化建設中，部分院校只注重信息系統(tǒng)建設，對網(wǎng)絡安全方面重視程度不夠，在網(wǎng)絡安全基礎設施和防護產(chǎn)品方面投入較少，導致校園網(wǎng)絡安全防護能力較差［6］。

1.3 安全防護意識匱乏

互聯(lián)網(wǎng)大數(shù)據(jù)承載著大量個人信息，校園作為教師和學生信息的集中地，一旦師生缺乏相關網(wǎng)絡安全意識，信息泄露現(xiàn)象將更為嚴重［7-8］。例如，2017 年某高校發(fā)布《2016-2017 學年度第二學期學生困難補助名單公示》，在文件內容中包含多名學生的姓名、身份證號、性別、銀行卡號等信息，屬于嚴重的個人信息泄露事件。

1.4 專業(yè)技術人員缺乏

2020 年對江蘇省及北京市共30 所高校的調查數(shù)據(jù)顯示，高校信息化管理部門平均人數(shù)為26 人，約占在校師生人數(shù)的1%，相較于國際高校信息化工作人員比例差距高達29%。并且，目前高校網(wǎng)絡安全防護過分依賴外包服務人員，一旦服務公司人事調動，安全人員又要花費大量時間熟悉業(yè)務。

2 內容分發(fā)網(wǎng)絡技術

2.1 基礎概念

內容分發(fā)網(wǎng)絡（Content Delivery Network，CDN）是一種在現(xiàn)有網(wǎng)絡基礎之上構建的智能虛擬網(wǎng)絡，如圖1 所示。通過部署在各地的邊緣服務器，使用戶就近獲取所需內容，因此可提升用戶對資源的訪問速度。

Fig.1 Schematic diagram of CDN圖1 CDN示意圖

由圖1 所示，CDN 通過布局多個節(jié)點，并在節(jié)點中放置緩存服務器。當用戶訪問網(wǎng)站時，智能調度系統(tǒng)結合全局負載技術將用戶對源站的請求直接指向距離最近的節(jié)點，由緩存服務器響應用戶請求［9］。

該技術可應用于網(wǎng)站加速、文件下載加速、流媒體加速、全站加速等方面。其中，網(wǎng)站加速主要針對電商、門戶網(wǎng)站等業(yè)務場景，通過緩存加速站中的小文件、圖片等靜態(tài)資源，改善頁面響應時間，提高用戶體驗。文件下載通常對軟件補丁、安裝包進行加速處理，此類文件較大，下載過程會給源站帶寬造成壓力。流媒體加速一般針對直播、點播類音視頻資源，通過將流媒體資源推送距離用戶最近的邊緣節(jié)點，節(jié)省骨干網(wǎng)流量、縮短訪問時間，提升視頻傳輸質量。全站加速主要針對動態(tài)資源，通過一系列動態(tài)加速技術，提升用戶到源站的訪問效率。

2.2 工作原理

CDN 工作的具體步驟如下：

步驟1：用戶（上海）訪問www.aaa.com 資源，首先向本地域名服務器發(fā)起請求。

步驟2：本地域名服務器檢查緩存中是否存在www.aaa.com 記錄。如果存在直接返回給用戶；如果不存在則向授權域名服務器查詢。

步驟3：授權域名服務器解析www.aaa.com 時，返回別名www.abbcdn.com 對應IP。

步驟4：域名解析請求發(fā)送至DNS 調度系統(tǒng)，并為其分配最佳CDN 節(jié)點IP。

步驟5：本地域名服務器獲取DNS 返回的解析IP地址。

步驟6：用戶獲取解析后的IP地址。

步驟7：用戶（上海）發(fā)送對該資源的請求，上海的CDN節(jié)點負責響應請求。

2.3 技術優(yōu)勢

CDN 技術通過廣泛部署節(jié)點對流量進行分攤處理，對靜態(tài)資源命中率達到90%以上，極大減少源站帶寬壓力。在跨運營商的網(wǎng)絡訪問過程中，隨著用戶到源站距離增加，數(shù)據(jù)往返時間也隨之增加，導致用戶訪問體驗下降。此時，CDN 技術會將用戶對源站的請求分配到CDN 各地的邊緣節(jié)點，根據(jù)就近訪問原則分配的節(jié)點請求資源，從而提高用戶訪問效率。

互聯(lián)網(wǎng)每天都發(fā)生著成百萬次網(wǎng)絡攻擊，例如DDoS等流量攻擊會通過大量請求將源站資源耗盡，導致正常用戶無法訪問。CDN 技術憑借廣泛分布的節(jié)點，將DDoS 攻擊分散到其他節(jié)點，減少攻擊危害，使業(yè)務安全性得以提升。此外，CDN 還為用戶提供了一系列緩存，通過控制臺對業(yè)務運行情況進行監(jiān)控，用戶可根據(jù)自身需求制定緩存策略，從而進一步提升訪問體驗。

3 CDN技術應用

隨著終身學習理念提出，越來越多人報名開放大學，選擇自己感興趣的課程學習。然而，開放大學作為一種以信息技術為支撐的高校，如何在線上教學中保障學生的學習體驗，對學校信息化管理部門是一個挑戰(zhàn)。

為此，各高校應推進發(fā)展融合化校園網(wǎng)絡基礎設施，提升信息化基礎設施服務能力，對開放教育學習平臺開展CDN 網(wǎng)絡加速服務，提升開放教育網(wǎng)絡服務質量。此外，引入CDN 技術也能對學校網(wǎng)絡安全防護也起到積極作用。

3.1 CDN構建

目前，大部分互聯(lián)網(wǎng)企業(yè)、運營商均具有相應的CDN加速服務。例如，電信CDN 對網(wǎng)站開通服務將按照以下流程：

（1）在天翼云CDN 控制臺添加加速域名，輸入網(wǎng)站備案號，選擇靜態(tài)資源加速，域名添加后會生成CNAME。

（2）對添加域名設置源站，配置源站地址、源站端口、回源協(xié)議、回源Host 等信息。通常將源站端口http、https分別設置為80 和443，回源協(xié)議設置為http 或https 協(xié)議。

由圖3 可見，CDN 結合WAF 可形成強大的邊緣防護系統(tǒng)。當網(wǎng)站遭受Web、DDOS 及低層攻擊時，F(xiàn)W 首先會直接抵擋低層攻擊。然后，高防CDN 節(jié)點將DDOS 攻擊分散其中，回源Host 決定回源請求訪問的站點，默認為加速域名，回源地址為源站服務器地址。

（3）對網(wǎng)站靜態(tài)資源設置緩存過期規(guī)則，緩存配置可根據(jù)實際需要而配置。例如選擇目錄緩存、文件后綴名緩存或主頁緩存。

（4）配置CNAME。在DNS 服務器中將用戶對源站服務器修改為指向CNAME，由CNAME 對應的服務器指定節(jié)點響應用戶請求，而源站服務器只需響應CDN 節(jié)點請求。

（5）緩存刷新。若源站服務器內容發(fā)生變化，而緩存節(jié)點內容沒有更新，則通過緩存刷新方式保持CDN 緩存節(jié)點與源站內容保持一致。

3.2 源站服務器保護

當用戶獲取資源時，CDN 智能調度系統(tǒng)會將距離用戶最近節(jié)點的資源響應請求，若該節(jié)點沒有用戶所需資源，則由該邊緣節(jié)點向源站服務器請求資源響應用戶，避免用戶直接訪問源站地址。

3.3 DDoS攻擊預防

DDOS 攻擊是一種常見的惡意攻擊手段，主要通過消耗網(wǎng)絡帶寬進行攻擊，如圖2 所示。當黑客對網(wǎng)站發(fā)起DDoS 攻擊時會突然激增大量訪問流量，一旦網(wǎng)站沒有強大的承載能力，很容易造成網(wǎng)絡癱瘓。

Fig.2 CDN prevents DDOS attacks圖2 CDN預防DDOS攻擊

由圖2 可見，a、b、c 等分別為CDN 節(jié)點，其中a、b、c、d、e、f、g 為邊緣節(jié)點，h、i 為中間層節(jié)點。當黑客對源站服務器發(fā)起DDOS 攻擊時，首先遭受攻擊的是節(jié)點a，高防CDN通過智能調度能力將攻擊流量分流至其他節(jié)點，暫時減輕服務器承載壓力，為安全人員爭取修復時間，減少攻擊造成的損失。

3.4 結合WAF過濾惡意請求

Web 應用防護（Web Application Firewall，WAF）系統(tǒng)采用HTTP/HTTPS 一系列安全策略保護Web 應用，如圖3所示。系統(tǒng)通過對HTTP 請求進行分析，一旦檢測到攻擊行為則立即切斷鏈接，確保業(yè)務安全性。相較于傳統(tǒng)防火墻（Firewall，F(xiàn)W）而言，該系統(tǒng)能對Web 應用流量進行全面監(jiān)管，多方面對源站服務器進行保護。至其他節(jié)點，從而削減DDoS 攻擊。接下來，到達WAF 層時只包含正常業(yè)務、Web 和少量DDOS 攻擊，此時利用WAF 掃描用戶請求，對用戶請求網(wǎng)絡包進行校驗，阻斷無效或包含Web 攻擊的請求。最后，WAF 通過檢查HTTP 流量對來自Web 應用程序的漏洞攻擊進行阻斷，確保源站服務器業(yè)務請求的安全性。

Fig.3 CDN combined with WAF to resist attacks圖3 CDN結合WAF抵御攻擊

4 實驗結果與分析

江蘇開放大學學習平臺開通CDN 服務，對所有靜態(tài)資源進行緩存加速，用戶可在CDN 控制臺中監(jiān)控網(wǎng)站訪問情況。在統(tǒng)計分析階段，可實現(xiàn)網(wǎng)站用量分析、熱門分析和用戶分析。在用量分析部分，管理員能查看用戶對源站訪問的帶寬和流量、CDN 節(jié)點的回源情況、用戶請求數(shù)、字節(jié)命中率、狀態(tài)碼、瀏覽量和訪問量等信息；在熱門分析部分，能查看熱門URL 和熱門回源URL，一旦URL 發(fā)生訪問異常情況，系統(tǒng)運維人員可對該URL 進行訪問策略調整；在用戶分析部分，主要是對用戶區(qū)域分布、訪問運營商分布等信息進行統(tǒng)計，根據(jù)用戶區(qū)域分布及時調整回源節(jié)點位置，縮短響應時間。圖4為學習平臺的訪問情況。

由圖4 可見，江蘇開放大學有十幾萬開放學員，每日用戶請求量約千萬次。其中，由圖4（a）可見，用戶每日訪問學習平臺的時間段較固定，5 月12-15 日數(shù)據(jù)顯示用戶請求數(shù)量較為平穩(wěn)，但5 月16 日請求數(shù)急劇增加。由此可推測出以下兩種情況：新課程開課或新學員數(shù)量增加。

由圖4（b）狀態(tài)碼可見，學習平臺業(yè)務運行狀態(tài)較為平穩(wěn)，大多以2XX 狀態(tài)碼響應，在5 月16 日后隨著訪問量增加，出現(xiàn)3XX 報錯情況，但報4XX、5XX 狀態(tài)碼較少，由此可推測鏈接發(fā)生URL 重定向問題，但客戶端和服務器均未受到較為嚴重的影響，業(yè)務系統(tǒng)運行基本穩(wěn)定，無需進行策略調整。

系統(tǒng)管理人員通過查看訪問請求數(shù)，了解網(wǎng)站用戶訪問情況，評估本地負載均衡設備是否能夠承載大量的用戶請求。通過狀態(tài)碼反饋的可視化圖表監(jiān)控客戶端、服務器是否存在異常，如果存在網(wǎng)絡攻擊行為，CDN 可通過響應狀態(tài)碼提醒管理員將相應的IP 地址拉入黑名單或通知WAF 管理員封鎖IP。

5 網(wǎng)絡安全管理措施

Fig.4 Website access information圖4 網(wǎng)站訪問情況

本文構建一套完整的網(wǎng)絡安全防護體系，在依靠技術防范外，采取相應的管理制度實現(xiàn)閉環(huán)管理，使網(wǎng)絡安全管理措施更規(guī)范、高效，如圖5所示。

5.1 保障條件

5.1.1 建立完善的管理制度

由校領導牽頭，信息化部門主導，制定符合學校實際的網(wǎng)絡安全管理辦法，完善網(wǎng)絡安全管理制度，明確崗位職責，按照誰主管誰負責、誰運維誰負責、誰使用誰負責的原則，健全網(wǎng)絡安全責任體系。

5.1.2 加強人才隊伍建設

現(xiàn)階段，高校網(wǎng)絡安全人員相對缺乏，大多依靠外包服務公司，信息化建設部門需培養(yǎng)自身網(wǎng)絡安全人才隊伍，定期培訓網(wǎng)絡安全專職人員，逐步實現(xiàn)持證上崗，定期開展攻防演練，提升網(wǎng)絡安全人員技能水平。日常工作中，安排專人對各信息系統(tǒng)進行日常檢查，遇到問題及時處理，然后進行安全通報，督促各單位整改，同時繼續(xù)對系統(tǒng)進行監(jiān)測，實現(xiàn)閉環(huán)管理。

5.1.3 協(xié)作開展安全運維服務

Fig.5 Network security management system圖5 網(wǎng)絡安全管理體系

定期與安全服務公司協(xié)作開展安全運維服務，以信息資產(chǎn)為主線進行安全風險評估，包括資產(chǎn)分析、威脅分析、風險分析等方面。同時，對信息資產(chǎn)進行安全巡檢、日志分析、漏洞掃描、安全加固，及時分析、修復系統(tǒng)存在的問題。

此外，對軟件升級、新上線功能變更的代碼進行安全評審，對第三方提供的接口標準進行安全檢測。定期開展?jié)B透測試和審計監(jiān)控，安排專人對網(wǎng)絡設備和安全設備狀態(tài)進行監(jiān)測，根據(jù)日志文件分析存在的問題，及時更新病毒庫，處理病毒軟件。

5.1.4 制定急響應預案

學校應加強網(wǎng)絡與信息安全管理，制定網(wǎng)絡安全應急響應預案，提升重大安全事件應急響應能力，保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全。如圖6 所示，網(wǎng)絡安全事件應急響應分為6 個階段。其中，準備階段主要以預防為主；檢測階段處理發(fā)現(xiàn)的可疑問題，分析問題入侵行為特征；抑制階段限制事件擴散，最小化事件影響；根除階段分析事件危害，給出相應的解決辦法；恢復階段將被破壞的信息徹底還原到正常運行狀態(tài)；跟蹤階段回顧整個應急響應過程，進行事后分析總結，準備下一階段工作。

5.1.5 加強網(wǎng)絡安全教育，提升網(wǎng)絡安全意識

Fig.6 Emergency response process圖6 應急響應流程

近年來，各高校普遍發(fā)生學生信息泄露事件，學校信息化部門應定期對師生開展網(wǎng)絡安全培訓，提高網(wǎng)絡安全意識。以《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》為依據(jù)，提高師生對個人隱私、弱口令等問題的重視，從源頭避免數(shù)據(jù)外泄。

5.1.6 提升網(wǎng)絡安全保護等級

網(wǎng)絡安全保護等級是通過等級保護發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患，經(jīng)過整改提高系統(tǒng)防護能力。它是國家對重要網(wǎng)路、信息系統(tǒng)、數(shù)據(jù)資源實施保護的主要措施，是維護國家關鍵信息基礎設施的重要手段。

5.2 閉環(huán)管理

網(wǎng)絡安全防護體系包括技術防護、日常運行和保障條件3 個方面。在技術防護方面，通過高防CDN、防火墻、WAF 等針對Web 服務器、IDS、IPS 等設備對上網(wǎng)流量進行監(jiān)控管理，部署安全審計設備對用戶行為進行監(jiān)測，例如堡壘機對源站服務器的審計、監(jiān)控，利用Panabit 管理用戶上網(wǎng)流量，實現(xiàn)流量管理、連接數(shù)管理、HTTP 管控、DNS 管控等，通過綜合日志審計系統(tǒng)統(tǒng)計安全設備、信息資產(chǎn)事件，及時監(jiān)控網(wǎng)絡行為，一旦遇到網(wǎng)絡攻擊，安全運維人員及時調整安全策略。

在日常管理中，安全人員對信息系統(tǒng)進行監(jiān)測預警，發(fā)現(xiàn)問題及時處理，并對事件進行通報，告知信息資產(chǎn)所屬人員進行安全整改，隨后繼續(xù)進行監(jiān)測預警，形成日常閉環(huán)管理。

學校制定網(wǎng)絡安全管理制度、強化技術隊伍、定期安全培訓、編制應急預案、加固信息資產(chǎn)為保障條件，以部署安全設備、審計設備為技術防護手段，由安全人員進行日常監(jiān)控，全方面加強網(wǎng)絡安全建設，不斷完善網(wǎng)絡安全管理措施。

6 結語

本文提出針對高校網(wǎng)絡安全的一系列措施，以CDN 和WAF 方式保護源站服務器網(wǎng)絡安全。同時，學校應強化網(wǎng)絡安全基礎設施投入，加大網(wǎng)絡安全經(jīng)費保障力度，按照誰主管誰負責、誰運維誰負責、誰使用誰負責原則，以《網(wǎng)絡安全法》為依據(jù)，加強網(wǎng)絡安全管理體系建設。實踐結果表明，該方法既能監(jiān)控學生的對網(wǎng)站的訪問次數(shù)，推測學生學習最新動態(tài)，還能檢查客戶端、服務器是否存在異常，以便于安全管理人員及時解決存在的問題。

然而，本文僅在開放大學進行實驗，實驗對象具有一定的局限性，下一步將該方法應用于其他高校中檢驗方法的通用性。