智慧

CDN一般用于解決信息系統(tǒng)分散情況下的響應(yīng)速度過慢問題，但是在高校信息化建設(shè)中利用CDN來構(gòu)建信息系統(tǒng)安全方案，可以在成本有限的情況下在一定程度上實現(xiàn)信息系統(tǒng)的統(tǒng)一防護(hù)和管理。

出于宣傳和業(yè)務(wù)的需要，當(dāng)前高校對外發(fā)布的網(wǎng)站很多，比如說高校內(nèi)各個院系、實驗室等都有對外宣傳的窗口。由于各網(wǎng)站使用單位的技術(shù)實力不盡相同，網(wǎng)站的安全防護(hù)水平也良莠不齊，信息安全問題日益凸顯。

頻受攻擊的網(wǎng)站

2013年，360公司發(fā)布的我國學(xué)校網(wǎng)站安全狀況調(diào)查結(jié)果顯示，我國平均每天每個學(xué)校網(wǎng)站遭受黑客攻擊高達(dá)113次以上，而一些重點網(wǎng)站每天被攻擊的次數(shù)可達(dá)上萬次。攻擊者入侵高校網(wǎng)站后，往往會進(jìn)行以下惡意行為：篡改網(wǎng)站內(nèi)容、竊取數(shù)據(jù)庫信息、進(jìn)行網(wǎng)頁掛馬、進(jìn)行提權(quán)攻擊獲取服務(wù)器全部權(quán)限。其中，篡改網(wǎng)站的比例占惡意行為的一半以上，我國每天被篡改網(wǎng)站中有20%以上的網(wǎng)站為學(xué)校網(wǎng)站。

當(dāng)前各高校對自身信息系統(tǒng)的安全防護(hù)日漸重視，但是由于學(xué)校各院系的業(yè)務(wù)相對獨立，高校網(wǎng)站物理分布相對分散，安全防護(hù)力量薄弱，再加上高校在信息化建設(shè)中針對安全的技術(shù)和資金投入有限，高校信息化部門無法對高校的所有信息系統(tǒng)進(jìn)行統(tǒng)一的防護(hù)和管理。

如何在投入較少的情況下將這些物理位置上較為分散的網(wǎng)站納入統(tǒng)一管理、統(tǒng)一防護(hù)的網(wǎng)絡(luò)體系架構(gòu)中，已經(jīng)成為當(dāng)前高校信息化建設(shè)中一個亟待解決的問題。

正是在這一背景下，基于CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）技術(shù)的信息系統(tǒng)安全建設(shè)方案浮出水面。通過采用CDN的緩存等技術(shù)，可以在投入有限的條件下在一定程度上滿足高校信息系統(tǒng)綜合管理和防護(hù)的要求，提高高校信息系統(tǒng)的安全性。

不同于商業(yè)應(yīng)用

CDN的設(shè)計思想是通過建立一層新的網(wǎng)絡(luò)架構(gòu)使原來物理上分散的系統(tǒng)在邏輯上形成一個整體，從而解決信息系統(tǒng)由于地域分散、網(wǎng)絡(luò)帶寬有限、訪問量大、物理系統(tǒng)部署不均勻等因素造成的響應(yīng)速度過慢等問題。CDN通過采用負(fù)載均衡、網(wǎng)絡(luò)請求重定向和內(nèi)容復(fù)制（代理緩存）等關(guān)鍵技術(shù)實現(xiàn)網(wǎng)絡(luò)的高效通信。簡單來講，就是用戶通過訪問距離自己相對較近的代理緩存服務(wù)器實現(xiàn)對所需內(nèi)容的快速訪問。CDN在電子商務(wù)網(wǎng)站、視頻網(wǎng)站，以及大型企業(yè)系統(tǒng)等對網(wǎng)絡(luò)響應(yīng)速度、服務(wù)器載荷、網(wǎng)絡(luò)帶寬等方面有著嚴(yán)格要求的商業(yè)環(huán)境中應(yīng)用廣泛。

而CDN所采用的網(wǎng)絡(luò)架構(gòu)和關(guān)鍵技術(shù)，使其在解決網(wǎng)絡(luò)訪問速度過慢、抵御DDoS（分布式拒絕服務(wù)）攻擊、降低服務(wù)器的有效載荷等方面有著明顯的優(yōu)勢，因此CDN在安全領(lǐng)域也得到了重視和應(yīng)用。

結(jié)合高校網(wǎng)絡(luò)的特點，基于CDN技術(shù)的網(wǎng)絡(luò)架構(gòu)如圖1所示。在該架構(gòu)中，當(dāng)用戶訪問Server1時，直接在IE中輸入相應(yīng)的URL即可。用戶感覺不到中間數(shù)據(jù)流向發(fā)生的變化，但是整個機(jī)制卻發(fā)生了巨大的變化。

整個過程看起來和商業(yè)上大規(guī)模部署的CDN基本相同，但學(xué)校網(wǎng)絡(luò)本身的特點決定了其CDN架構(gòu)和商業(yè)部署的架構(gòu)存在以下不同：

DNS二次解析技術(shù)：在以上兩類DNS架構(gòu)中，二次解析技術(shù)都作為關(guān)鍵技術(shù)。首先將域名解析記錄Server主機(jī)的A記錄修改為CNAME并指向CDN服務(wù)器CDN.XXX，然后CDN服務(wù)器得到域名解析權(quán)獲得CNAME記錄，根據(jù)CNAME記錄選擇要訪問的服務(wù)器。高校CDN架構(gòu)和商業(yè)CDN架構(gòu)的不同之處在于，高校CDN架構(gòu)要訪問的服務(wù)器是真實的物理主機(jī)，而商業(yè)CDN架構(gòu)要訪問的服務(wù)器可能是一個Cache（緩存）服務(wù)器。

緩存技術(shù)：兩者在緩存技術(shù)上的應(yīng)用方式基本一致。在CDN服務(wù)器上部署高速和大容量的Cache來實現(xiàn)訪問內(nèi)容的復(fù)制，緩存技術(shù)的應(yīng)用可以有效提高網(wǎng)站的訪問響應(yīng)速度。特別是對商業(yè)網(wǎng)站來說，響應(yīng)速度是其核心競爭力之一，高速緩存的大規(guī)模應(yīng)用可以說是其優(yōu)勢所在。

代理技術(shù)：反向代理技術(shù)是實現(xiàn)CDN技術(shù)的核心技術(shù)之一，在這項技術(shù)的應(yīng)用上高校CDN架構(gòu)和商業(yè)架構(gòu)完全是一致的。

負(fù)載均衡技術(shù)：由于大部分高校網(wǎng)站對響應(yīng)速度的要求遠(yuǎn)遠(yuǎn)低于商業(yè)網(wǎng)站，因此在負(fù)載均衡技術(shù)的應(yīng)用上，高校CDN架構(gòu)只需滿足CDN服務(wù)器之間CNAME記錄查詢和高速緩存訪問功能的負(fù)載均衡即可。而商業(yè)上部署的CDN架構(gòu)不僅要滿足這些要求，還要將各個CDN的帶寬、與用戶的距離等因素考慮進(jìn)去，其負(fù)載均衡算法要復(fù)雜得多。

硬件部署：這也是高校CDN架構(gòu)和商業(yè)CDN架構(gòu)最大的差別。雖然兩者都是將原來物理上分散的服務(wù)器在邏輯上集中到一起，但是在實際部署中，高校CDN架構(gòu)只需在網(wǎng)絡(luò)中心部署CDN服務(wù)器將校園里原來分散的服務(wù)器邏輯上集中在一起，但是商業(yè)CDN架構(gòu)則需要在盡可能接近用戶的地方部署CDN服務(wù)器，CDN服務(wù)器的部署在物理上也是分散的。兩者之間的這種差別決定了其在抗DDoS攻擊能力方面的巨大差距。

CDN防護(hù)體系的三大優(yōu)勢

通過CDN技術(shù)可以將原來物理上分散的服務(wù)器邏輯上集中在一起，基于這種原理可以將校園內(nèi)分散的服務(wù)器進(jìn)行統(tǒng)一的管理和安全防護(hù)。

該解決方案的實現(xiàn)主要包含三個關(guān)鍵環(huán)節(jié)：第一，通過在邏輯出口部署安全防護(hù)設(shè)備，實現(xiàn)對大部分網(wǎng)絡(luò)攻擊的過濾和防護(hù)，以及對信息系統(tǒng)的統(tǒng)一防護(hù)；第二，通過在CDN服務(wù)器部署審計系統(tǒng)，實時監(jiān)測各臺服務(wù)器的運行狀況，實現(xiàn)對信息系統(tǒng)的運維監(jiān)測管理；第三，通過在節(jié)點部署內(nèi)容監(jiān)控系統(tǒng)，有效阻止垃圾信息的傳播，實現(xiàn)對信息系統(tǒng)內(nèi)信息的統(tǒng)一維護(hù)、管理。

可見，在高校信息系統(tǒng)安全建設(shè)的過程中，充分應(yīng)用CDN技術(shù)可以在資源有效的情況下達(dá)到較好的安全管理和防護(hù)水平。具體來說，這種解決方案具有三個優(yōu)勢：

第一，具有統(tǒng)一防護(hù)、統(tǒng)一管理的作用。這也是高校信息化建設(shè)引入CDN解決方案最關(guān)鍵的因素之一。利用CDN技術(shù)將原本物理分散的主機(jī)邏輯上集中在一起的特點，來實現(xiàn)對信息系統(tǒng)的統(tǒng)一管理和統(tǒng)一防護(hù)，有效加強(qiáng)了高校的信息安全管理和防護(hù)能力。

第二，具有加速訪問的效果。通過利用Cache技術(shù)，用戶在訪問網(wǎng)站時可以大幅提高訪問響應(yīng)速度，降低服務(wù)器的負(fù)載。

第三，具有一定的抗DDoS攻擊能力。通過利用負(fù)載均衡和Cache技術(shù)，高校的CDN架構(gòu)可以有效提高針對CC拒絕攻擊的防護(hù)能力。

總而言之，在當(dāng)前高校信息系統(tǒng)不甚理想的安全現(xiàn)狀下，高校信息安全防護(hù)工作充滿挑戰(zhàn)。與此同時，高校自身的特點又使得校園信息化管理和防護(hù)工作開展起來難度不小。CDN技術(shù)在高校信息化建設(shè)中的應(yīng)用將幫助高校信息化部門實現(xiàn)對信息系統(tǒng)的統(tǒng)一管理和防護(hù)，大幅提高高校的信息安全防護(hù)能力。隨著技術(shù)的不斷發(fā)展，CDN在教育行業(yè)的應(yīng)用將越來越廣泛。