高校网站巧用CDN保安全

CDN一般用于解决信息系统分散情况下的响应速度过慢问题，但是在高校信息化建设中利用CDN来构建信息系统安全方案，可以在成本有限的情况下在一定程度上实现信息系统的统一防护和管理。

出于宣传和业务的需要，当前高校对外的网站很多，比如说高校内各个院系、实验室等都有对外宣传的窗口。由于各网站使用单位的技术实力不尽相同，网站的安全防护水平也良莠不齐，信息安全问题日益凸显。

频受攻击的网站

2013年，360公司的我国学校网站安全状况调查结果显示，我国平均每天每个学校网站遭受黑客攻击高达113次以上，而一些重点网站每天被攻击的次数可达上万次。攻击者入侵高校网站后，往往会进行以下恶意行为：篡改网站内容、窃取数据库信息、进行网页挂马、进行提权攻击获取服务器全部权限。其中，篡改网站的比例占恶意行为的一半以上，我国每天被篡改网站中有20%以上的网站为学校网站。

当前各高校对自身信息系统的安全防护日渐重视，但是由于学校各院系的业务相对独立，高校网站物理分布相对分散，安全防护力量薄弱，再加上高校在信息化建设中针对安全的技术和资金投入有限，高校信息化部门无法对高校的所有信息系统进行统一的防护和管理。

如何在投入较少的情况下将这些物理位置上较为分散的网站纳入统一管理、统一防护的网络体系架构中，已经成为当前高校信息化建设中一个亟待解决的问题。

正是在这一背景下，基于CDN（内容分发网络）技术的信息系统安全建设方案浮出水面。通过采用CDN的缓存等技术，可以在投入有限的条件下在一定程度上满足高校信息系统综合管理和防护的要求，提高高校信息系统的安全性。

不同于商业应用

CDN的设计思想是通过建立一层新的网络架构使原来物理上分散的系统在逻辑上形成一个整体，从而解决信息系统由于地域分散、网络带宽有限、访问量大、物理系统部署不均匀等因素造成的响应速度过慢等问题。CDN通过采用负载均衡、网络请求重定向和内容复制（缓存）等关键技术实现网络的高效通信。简单来讲，就是用户通过访问距离自己相对较近的缓存服务器实现对所需内容的快速访问。CDN在电子商务网站、视频网站，以及大型企业系统等对网络响应速度、服务器载荷、网络带宽等方面有着严格要求的商业环境中应用广泛。

而CDN所采用的网络架构和关键技术，使其在解决网络访问速度过慢、抵御DDoS（分布式拒绝服务）攻击、降低服务器的有效载荷等方面有着明显的优势，因此CDN在安全领域也得到了重视和应用。

结合高校网络的特点，基于CDN技术的网络架构如图1所示。在该架构中，当用户访问Server1时，直接在IE中输入相应的URL即可。用户感觉不到中间数据流向发生的变化，但是整个机制却发生了巨大的变化。

整个过程看起来和商业上大规模部署的CDN基本相同，但学校网络本身的特点决定了其CDN架构和商业部署的架构存在以下不同：

DNS二次解析技术：在以上两类DNS架构中，二次解析技术都作为关键技术。首先将域名解析记录Server主机的A记录修改为CNAME并指向CDN服务器CDN.XXX，然后CDN服务器得到域名解析权获得CNAME记录，根据CNAME记录选择要访问的服务器。高校CDN架构和商业CDN架构的不同之处在于，高校CDN架构要访问的服务器是真实的物理主机，而商业CDN架构要访问的服务器可能是一个Cache（缓存）服务器。

缓存技术：两者在缓存技术上的应用方式基本一致。在CDN服务器上部署高速和大容量的Cache来实现访问内容的复制，缓存技术的应用可以有效提高网站的访问响应速度。特别是对商业网站来说，响应速度是其核心竞争力之一，高速缓存的大规模应用可以说是其优势所在。

技术：反向技术是实现CDN技术的核心技术之一，在这项技术的应用上高校CDN架构和商业架构完全是一致的。

负载均衡技术：由于大部分高校网站对响应速度的要求远远低于商业网站，因此在负载均衡技术的应用上，高校CDN架构只需满足CDN服务器之间CNAME记录查询和高速缓存访问功能的负载均衡即可。而商业上部署的CDN架构不仅要满足这些要求，还要将各个CDN的带宽、与用户的距离等因素考虑进去，其负载均衡算法要复杂得多。

硬件部署：这也是高校CDN架构和商业CDN架构最大的差别。虽然两者都是将原来物理上分散的服务器在逻辑上集中到一起，但是在实际部署中，高校CDN架构只需在网络中心部署CDN服务器将校园里原来分散的服务器逻辑上集中在一起，但是商业CDN架构则需要在尽可能接近用户的地方部署CDN服务器，CDN服务器的部署在物理上也是分散的。两者之间的这种差别决定了其在抗DDoS攻击能力方面的巨大差距。

CDN防护体系的三大优势

通过CDN技术可以将原来物理上分散的服务器逻辑上集中在一起，基于这种原理可以将校园内分散的服务器进行统一的管理和安全防护。

该解决方案的实现主要包含三个关键环节：第一，通过在逻辑出口部署安全防护设备，实现对大部分网络攻击的过滤和防护，以及对信息系统的统一防护；第二，通过在CDN服务器部署审计系统，实时监测各台服务器的运行状况，实现对信息系统的运维监测管理；第三，通过在节点部署内容监控系统，有效阻止垃圾信息的传播，实现对信息系统内信息的统一维护、管理。

可见，在高校信息系统安全建设的过程中，充分应用CDN技术可以在资源有效的情况下达到较好的安全管理和防护水平。具体来说，这种解决方案具有三个优势：

第一，具有统一防护、统一管理的作用。这也是高校信息化建设引入CDN解决方案最关键的因素之一。利用CDN技术将原本物理分散的主机逻辑上集中在一起的特点，来实现对信息系统的统一管理和统一防护，有效加强了高校的信息安全管理和防护能力。

第二，具有加速访问的效果。通过利用Cache技术，用户在访问网站时可以大幅提高访问响应速度，降低服务器的负载。

第三，具有一定的抗DDoS攻击能力。通过利用负载均衡和Cache技术，高校的CDN架构可以有效提高针对CC拒绝攻击的防护能力。

总而言之，在当前高校信息系统不甚理想的安全现状下，高校信息安全防护工作充满挑战。与此同时，高校自身的特点又使得校园信息化管理和防护工作开展起来难度不小。CDN技术在高校信息化建设中的应用将帮助高校信息化部门实现对信息系统的统一管理和防护，大幅提高高校的信息安全防护能力。随着技术的不断发展，CDN在教育行业的应用将越来越广泛。