智慧

CDN一般用于解決信息系統(tǒng)分散情況下的響應(yīng)速度過慢問題，但是在高校信息化建設(shè)中利用CDN來構(gòu)建信息系統(tǒng)安全方案，可以在成本有限的情況下在一定程度上實現(xiàn)信息系統(tǒng)的統(tǒng)一防護和管理。

出于宣傳和業(yè)務(wù)的需要，當前高校對外發(fā)布的網(wǎng)站很多，比如說高校內(nèi)各個院系、實驗室等都有對外宣傳的窗口。由于各網(wǎng)站使用單位的技術(shù)實力不盡相同，網(wǎng)站的安全防護水平也良莠不齊，信息安全問題日益凸顯。

頻受攻擊的網(wǎng)站

2013年，360公司發(fā)布的我國學(xué)校網(wǎng)站安全狀況調(diào)查結(jié)果顯示，我國平均每天每個學(xué)校網(wǎng)站遭受黑客攻擊高達113次以上，而一些重點網(wǎng)站每天被攻擊的次數(shù)可達上萬次。攻擊者入侵高校網(wǎng)站后，往往會進行以下惡意行為：篡改網(wǎng)站內(nèi)容、竊取數(shù)據(jù)庫信息、進行網(wǎng)頁掛馬、進行提權(quán)攻擊獲取服務(wù)器全部權(quán)限。其中，篡改網(wǎng)站的比例占惡意行為的一半以上，我國每天被篡改網(wǎng)站中有20%以上的網(wǎng)站為學(xué)校網(wǎng)站。

當前各高校對自身信息系統(tǒng)的安全防護日漸重視，但是由于學(xué)校各院系的業(yè)務(wù)相對獨立，高校網(wǎng)站物理分布相對分散，安全防護力量薄弱，再加上高校在信息化建設(shè)中針對安全的技術(shù)和資金投入有限，高校信息化部門無法對高校的所有信息系統(tǒng)進行統(tǒng)一的防護和管理。

如何在投入較少的情況下將這些物理位置上較為分散的網(wǎng)站納入統(tǒng)一管理、統(tǒng)一防護的網(wǎng)絡(luò)體系架構(gòu)中，已經(jīng)成為當前高校信息化建設(shè)中一個亟待解決的問題。

正是在這一背景下，基于CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）技術(shù)的信息系統(tǒng)安全建設(shè)方案浮出水面。通過采用CDN的緩存等技術(shù)，可以在投入有限的條件下在一定程度上滿足高校信息系統(tǒng)綜合管理和防護的要求，提高高校信息系統(tǒng)的安全性。

不同于商業(yè)應(yīng)用

CDN的設(shè)計思想是通過建立一層新的網(wǎng)絡(luò)架構(gòu)使原來物理上分散的系統(tǒng)在邏輯上形成一個整體，從而解決信息系統(tǒng)由于地域分散、網(wǎng)絡(luò)帶寬有限、訪問量大、物理系統(tǒng)部署不均勻等因素造成的響應(yīng)速度過慢等問題。CDN通過采用負載均衡、網(wǎng)絡(luò)請求重定向和內(nèi)容復(fù)制（代理緩存）等關(guān)鍵技術(shù)實現(xiàn)網(wǎng)絡(luò)的高效通信。簡單來講，就是用戶通過訪問距離自己相對較近的代理緩存服務(wù)器實現(xiàn)對所需內(nèi)容的快速訪問。CDN在電子商務(wù)網(wǎng)站、視頻網(wǎng)站，以及大型企業(yè)系統(tǒng)等對網(wǎng)絡(luò)響應(yīng)速度、服務(wù)器載荷、網(wǎng)絡(luò)帶寬等方面有著嚴格要求的商業(yè)環(huán)境中應(yīng)用廣泛。

而CDN所采用的網(wǎng)絡(luò)架構(gòu)和關(guān)鍵技術(shù)，使其在解決網(wǎng)絡(luò)訪問速度過慢、抵御DDoS（分布式拒絕服務(wù)）攻擊、降低服務(wù)器的有效載荷等方面有著明顯的優(yōu)勢，因此CDN在安全領(lǐng)域也得到了重視和應(yīng)用。

結(jié)合高校網(wǎng)絡(luò)的特點，基于CDN技術(shù)的網(wǎng)絡(luò)架構(gòu)如圖1所示。在該架構(gòu)中，當用戶訪問Server1時，直接在IE中輸入相應(yīng)的URL即可。用戶感覺不到中間數(shù)據(jù)流向發(fā)生的變化，但是整個機制卻發(fā)生了巨大的變化。

整個過程看起來和商業(yè)上大規(guī)模部署的CDN基本相同，但學(xué)校網(wǎng)絡(luò)本身的特點決定了其CDN架構(gòu)和商業(yè)部署的架構(gòu)存在以下不同：

DNS二次解析技術(shù)：在以上兩類DNS架構(gòu)中，二次解析技術(shù)都作為關(guān)鍵技術(shù)。首先將域名解析記錄Server主機的A記錄修改為CNAME并指向CDN服務(wù)器CDN.XXX，然后CDN服務(wù)器得到域名解析權(quán)獲得CNAME記錄，根據(jù)CNAME記錄選擇要訪問的服務(wù)器。高校CDN架構(gòu)和商業(yè)CDN架構(gòu)的不同之處在于，高校CDN架構(gòu)要訪問的服務(wù)器是真實的物理主機，而商業(yè)CDN架構(gòu)要訪問的服務(wù)器可能是一個Cache（緩存）服務(wù)器。

緩存技術(shù)：兩者在緩存技術(shù)上的應(yīng)用方式基本一致。在CDN服務(wù)器上部署高速和大容量的Cache來實現(xiàn)訪問內(nèi)容的復(fù)制，緩存技術(shù)的應(yīng)用可以有效提高網(wǎng)站的訪問響應(yīng)速度。特別是對商業(yè)網(wǎng)站來說，響應(yīng)速度是其核心競爭力之一，高速緩存的大規(guī)模應(yīng)用可以說是其優(yōu)勢所在。

代理技術(shù)：反向代理技術(shù)是實現(xiàn)CDN技術(shù)的核心技術(shù)之一，在這項技術(shù)的應(yīng)用上高校CDN架構(gòu)和商業(yè)架構(gòu)完全是一致的。

負載均衡技術(shù)：由于大部分高校網(wǎng)站對響應(yīng)速度的要求遠遠低于商業(yè)網(wǎng)站，因此在負載均衡技術(shù)的應(yīng)用上，高校CDN架構(gòu)只需滿足CDN服務(wù)器之間CNAME記錄查詢和高速緩存訪問功能的負載均衡即可。而商業(yè)上部署的CDN架構(gòu)不僅要滿足這些要求，還要將各個CDN的帶寬、與用戶的距離等因素考慮進去，其負載均衡算法要復(fù)雜得多。

硬件部署：這也是高校CDN架構(gòu)和商業(yè)CDN架構(gòu)最大的差別。雖然兩者都是將原來物理上分散的服務(wù)器在邏輯上集中到一起，但是在實際部署中，高校CDN架構(gòu)只需在網(wǎng)絡(luò)中心部署CDN服務(wù)器將校園里原來分散的服務(wù)器邏輯上集中在一起，但是商業(yè)CDN架構(gòu)則需要在盡可能接近用戶的地方部署CDN服務(wù)器，CDN服務(wù)器的部署在物理上也是分散的。兩者之間的這種差別決定了其在抗DDoS攻擊能力方面的巨大差距。

CDN防護體系的三大優(yōu)勢

通過CDN技術(shù)可以將原來物理上分散的服務(wù)器邏輯上集中在一起，基于這種原理可以將校園內(nèi)分散的服務(wù)器進行統(tǒng)一的管理和安全防護。

該解決方案的實現(xiàn)主要包含三個關(guān)鍵環(huán)節(jié)：第一，通過在邏輯出口部署安全防護設(shè)備，實現(xiàn)對大部分網(wǎng)絡(luò)攻擊的過濾和防護，以及對信息系統(tǒng)的統(tǒng)一防護；第二，通過在CDN服務(wù)器部署審計系統(tǒng)，實時監(jiān)測各臺服務(wù)器的運行狀況，實現(xiàn)對信息系統(tǒng)的運維監(jiān)測管理；第三，通過在節(jié)點部署內(nèi)容監(jiān)控系統(tǒng)，有效阻止垃圾信息的傳播，實現(xiàn)對信息系統(tǒng)內(nèi)信息的統(tǒng)一維護、管理。

可見，在高校信息系統(tǒng)安全建設(shè)的過程中，充分應(yīng)用CDN技術(shù)可以在資源有效的情況下達到較好的安全管理和防護水平。具體來說，這種解決方案具有三個優(yōu)勢：

第一，具有統(tǒng)一防護、統(tǒng)一管理的作用。這也是高校信息化建設(shè)引入CDN解決方案最關(guān)鍵的因素之一。利用CDN技術(shù)將原本物理分散的主機邏輯上集中在一起的特點，來實現(xiàn)對信息系統(tǒng)的統(tǒng)一管理和統(tǒng)一防護，有效加強了高校的信息安全管理和防護能力。

第二，具有加速訪問的效果。通過利用Cache技術(shù)，用戶在訪問網(wǎng)站時可以大幅提高訪問響應(yīng)速度，降低服務(wù)器的負載。

第三，具有一定的抗DDoS攻擊能力。通過利用負載均衡和Cache技術(shù)，高校的CDN架構(gòu)可以有效提高針對CC拒絕攻擊的防護能力。

總而言之，在當前高校信息系統(tǒng)不甚理想的安全現(xiàn)狀下，高校信息安全防護工作充滿挑戰(zhàn)。與此同時，高校自身的特點又使得校園信息化管理和防護工作開展起來難度不小。CDN技術(shù)在高校信息化建設(shè)中的應(yīng)用將幫助高校信息化部門實現(xiàn)對信息系統(tǒng)的統(tǒng)一管理和防護，大幅提高高校的信息安全防護能力。隨著技術(shù)的不斷發(fā)展，CDN在教育行業(yè)的應(yīng)用將越來越廣泛。