YD/T 2589-2013
基本信息
标准号: YD/T 2589-2013
中文名称:内容分发网(CDN)安全防护要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1438KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2589-2013 内容分发网(CDN)安全防护要求
YD/T2589-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
Ics35.110
中华人民共和国通信行业标准
YD/T2589-2013
内容分发网(CDN)安全防护要求Securityprotectionreguirementsforcontentdeliverynetworkoverinternet2013-07-22发布
2013-10-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义…·
3.2缩略语:wwW.bzxz.Net
4互联网内容分发网络安全防护概述4.1,互联网内容分发网络安全防护范围.4.2互联网内容分发网络安全风险分析4.3互联网内容分发网络安全防护内容:目
5互联网内容分发网络定级对象和安全等级确定6互联网内容分发网络安全防护要求6.1
第1级要求
6.2第2级要求·
6.3第3.1级要求
6.4第3.2级要求·
6.5第4级要求
6.6第5级要求.
附录A(规范性附录)互联网内容分发网络风险分析YD/T2589-2013
YD/T2589-2013
本标雅是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》1.
《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》3.
《电信网和互联网灾难备份及恢复实施指南《固定通信网安全防护要求》
《移动通信网安全防护要求》
《互联网安全防护要求》
《增值业务网一消息网安全防护要求》8.
《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》《电信网和互联网物理环境安全等级保护要求》17.
18.《电信网和互联网管理安全等级保护要求》《固定通信网安全防护检测要求》19.
《移动通信网安全防护检测要求》20.
《互联网安全防护检测要求》
《增值业务网一消息网安全防护检测要求》22.
23.《增值业务网一智能网安全防护检测要求》《接入网安全防护检测要求》
《传送网安全防护检测要求》
26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
YD/T2589-2013
34《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36《网上营业厅安全防护检测要求》37《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》《域名注册系统安全防护要求》43.
《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46《移动互联网应用商店安全防护检测要求》47.《内容分发网(CDN)安全防护要求》(本标准)《内容分发网(CDN)安全防护检测要求》48.
49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》本标准与YD/T2590-2013《内容分发网(CDN)安全防护检测要求》配套使用。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、北京蓝汛通信技术有限责任公司、网宿科技股份有限公司、清华大学、中国移动通信集团公司、中国电信集团公司、华为技术有限公司、中国互联网协会。
本标准主要起草人:魏薇、魏亮、谢玮、许会荃、于、涛、魏凯、任巍、尹、浩、陈伟、陈晓益、李金成、李增海。
iiKacaQiaiKAca-
1范围
内容分发网(CDN)安全防护要求本标准规定了互联网内容分发网络安全等级的安全防护要求。本标准适用于作为第三方对外提供互联网内容分发服务的网络。2规范性引用文件
YD/T2589-2013
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1729-2008
YD/T1746
YD/T1754
YD/T1756-2008
YD/T2584-2013
3术语、定义和缩略语
3.1术语和定义
电信网和互联网安全等级保护实施指南P承载网安全防护要求
电信网和互联网物理环境安全防护要求电信网和互联网管理等级保护要求互联网数据中心安全防护要求
下列术语和定义适用于本文件。3.1.1
互联网内容分发网络安全等级SecurityClassificationofCDN互联网内容分发网络重要程度的表征。重要程度从互联网内容分发网络受到破坏后:对国家安全、社会秩序、经济运行。公共利益、网络和业务运营商造成的损害来衡量。3.1.2
互联网内容分发网络安全等级保护ClassifiedSecurityProtectionofCDN对互联网内容分发网络分等级实施安全保护。3.1.3
互联网内容分发网络安全风险SecurityRiskofcDN人为或自然的威胁可能利用互联网内容分发网络中存在的瞻弱性导致安全事件的发牛及造成的影响。
互联网内容分发网络资产AssetoiCDN互联网内容分发网络中具有价值的资源,是安全防护体系保护的对象。互联网内容分发网络中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源,如请求路由系统相关服务器。3.1.5
互联网内容分发网络威胁ThreatofCDN1
YD/T2589-2013
可能导致对互联网内容分发网络产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
互联网内容分发网络脆弱性VulnerabilityofCDN互联网内容分发网络的资产中存在的弱点、缺陷与不足,不直接对互联网内容分发网络资产造成危害,但可能被互联网内容分发网络威胁所利用从而危害互联网内容分发网络资产的安全。3.1.7
互联网内容分发网络灾难DisasterofcDN由于各种原因,造成互联网内容分发网络故障或瘫痪,使互联网内容分发网络支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
互联网内容分发网络灾难备份BackupforDisasterRecoveryofCDN为了互联网内容分发网络灾难恢复而对相关网络要素进行备份的过程。3.1.9
互联网内容分发网络灾难恢复DisasterRecoveryofCDN为了将互联网内容分发网络从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
互联网内容分发网络节点NodeofCDN简称CDN节点,在一个数据中心内部的CDN相关服务器组成一个CDN节点。3.2缩略语
下列缩略语适用于本文件。
Access Control List
Content Delivery Network over InternetCentral Processing Unit
DistributedDenial of ServiceDenial of Service
DomainName System
IDentity
InternetDataCenter
Intermet Protocol
Secure Socket Layer
UniformResourceLocator
Virtual Private Network
rKacaCiaiKAca
访问控制列表
互联网内容分发网络
中央处理器
分布式拒绝服务
拒绝服务
域名系统
身份标识号码
互联网数据中心
互联网协议
安全套接层
统一资源定位符
虚拟专用网
4互联网内容分发网络安全防护概述4.1互联网内容分发网络安全防护范围YD/T2589-2013
互联网内容分发网络(CDN)是指由一组相互联系、统一调度的内容缓存或加速节点组成的应用层网络,用于将内容从源站更有效地分发到互联网用户,以显著提高互联网用户的访问速度,改善互联网络的拥塞状况,进而提升服务质量。互联网内容分发网络(CDN)可以分为企业自建自用的专用内容分发网、作为第三方对外提供服务的内容分发网。本标准仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求。
CDN位于内容源站与互联网用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率和服务质量,CDN是基于开放互联网的重叠网,与承载网松耦合,通常CDN内部由运营管理系统、请求路由系统、边缴服务器和监控系统组成,CDN外部与内容源站以及互联网用户相连,如图1所示。本标准的安全防护对象是CDN本身,不包含对内容源站的安全防护,承载网络的安全防护要求见YD/T1746,部署CDN服务器的IDC机房的安全防护要求见YD/T2584。内容源站
运营管理系统
请求路由系统
医费网路
互联网用户
边缴服务器
监控系统
图1互联网内容分发网络示意
4.2互联网内容分发网络安全风险分析CDN中的重要资产至少应包括:
CDN关键业务系统及操作维护终端:如CDN中的运营管理系统、请求路由系统、边缘服务器、监控系统等涉及的服务器、数据库和操作维护终端。CDN关键数据:如源站信息(IP地址、域名和共享密钥等)、CDN节点部署信息(CDN在运营商的节点分布和带宽、内网部署、服务器的软件部署及调度和采集的策略等)、各业务系统服务器的管理口令和信息上传路径等。
CDN其他的资产(如文档、人员等)可见附录A对资产的分类及举例。CDN在内容源站与最终互联网用户之间增加了一层内容分发网,因此在CDN运营管理系统、请求路由系统、边缘服务器、监控系统的功能实现、部署、配置和管理等环节上均可能引入安全瞻弱点。CDN面临来自公众互联网和内部网络的各种安全威胁,包括黑客发起DDoS攻击服务器或者基改、重定向网站内容、不法分子窃取信息(如系统配置信息、互联网用户的Cookie、访间路径等)、内部人员操作失误等。
YD/T2589-2013
CDN可能存在的安全脆弱性被利用后会产生很大的安全风险,例如:系统部署防入侵防攻击措施不到位,攻击者可能从外网渗透进内网系统:运营管理系统的数据配置操作失误,配置审计、保护措施不到位,信息可能被窃取或者被篡改;请求路由系统的域名解析安全机制存在脆弱性,可能出现CDN分发的信息被劫持或重定向等安全事件:边缘服务器安全措施不到位,可能被DOS或DDoS攻击攻瘫;监控系统覆盖范围不够,无法及时发现和处理安全事件,或者内部人员利用提权募改监控数据。这些安全隐患会对CDN的数据内容安全有效分发、业务正常提供构成安全威胁,甚至进一步威胁基础网络、内容源站和互联网用户终端的安全。
CDN的其他脆弱性和安全威胁可见附录A的表2和表3。4.3互联网内容分发网络安全防护内容CDN的主要功能是为互联网上的各种业务与应用提供内容分发服务,因此保障其分发的数据安全和CDN业务系统服务安全、防止信息被劫持或重定向、防止系统被攻击停止服务至关重要。保障CDN的基础设施安全、管理安全等也是安全防护的主要内容。互联网内容分发网络的安全防护内容具体包括:数据安全
主要包括数据一致性保护、安全审计、恶意数据清除、版权保护和备份数据安全等方面的安全要求;
业务系统安全
主要包括CDN的结构安全、访间控制、用户信息保护,攻击防范、入侵防范、请求路由系统安全以及穴余系统、余设备、元余链路等方面的安全要求。基础设施安全
主要包括主机安全、物理环境安全等方面的安全要求。管理安全
主要包括机构、人员和制度等方面的安全要求。5互联网内容分发网络定级对象和安全等级确定CDN的定级对象是作为第三方向网站等客户提供CDN服务的网络或系统。CDN运营企业应根据YD/T1729-2008附录A中确定安全等级的方法对其运营管理的CDN定级。针对各具体的CDN,可根据相应的社会影响力I、规模和服务范围R、所提供服务的重要性V定级。建议权重值α、β、分别为:0.4、0.4、0.2,或者1/3、1/3、1/3,各CDN运营企业也可根据本企业实际情况调节α、β、三个权重值。(1)社会影响力I
根据YD/T1729-2008,社会影响力表示定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益的损害程度。CDN服务对象可能是国家机关部委、企事业单位和企业网站等。建议服务于国家重要部委、国家级金融机构和国家级网络媒体等的CDN社会影响力赋值为4,服务于省级政府、地方金融机构和大型网站(如Alexa排名前50)等的CDN社会影响力赋值为3,服务于其他政府和企事业单位或一般网站等的CDN社会影响力赋值为2或1。(2)规模和服务范围R
根据YD/T1729-2008,规模表示定级对象服务的用户数多少,服务范围表示定级对象服务的地区范围大小。建议从访问用户独立IP数、签约用户数和服务带宽等指标衡量CDN的规模和服务范围,例如访问用户独立IP数月均达到5000万或者签约用户数达到500个或者服务带宽达到300Gbit/s的CDN规4
iiKacaQiaiKAca
YD/T2589-2013
模和服务范围赋值为4,访问用户独立IP数月均达到3000万或者签约用户数达到200个或者服务带宽达到100Gbit/s的CDN规模和服务范围赋值为3,其他CDN规模和服务范围赋值为2或1。(3)所提供服务的重要性V
根据YD/T1729-2008,所提供服务的重要性表示定级对象提供的服务被破坏后对网络和业务运营商的合法权益的影响程度。CDN业务所提供服务的重要性相对于基础运营商的传输、交换等业务重要性较低,相对于企业办公系统等业务所提供服务的重要性高,建议CDN业务所提供服务的重要性赋值为3或2。
6互联网内容分发网络安全防护要求6.1第1级要求
不作要求。
6.2第2级要求
6.2.1数据安全
6.2.1.1数据一致性保护
(1)CDN运营企业应有能力保证CDN平台内部传输数据的一致性。(2)CDN运营企业应具备分发的内容不被非法引用的能力,支持基于访间IP、时间和访问来源等方式的防盗链。
6.2.1.2安全审计
(1)CDN系统应记录内容源站操作维护人员对其自主源站相关的CDN管理系统进行的管理操作和数据访间,日志记录保存至少60天,日志记录包含操作人员、操作时间、操作内容和操作结果等信息。(2)CDN系统应记录CDN内部人员管理维护操作和数据访问,日志记录至少保留90天。(3)CDN运营企业应对保存的操作日志定期(如每半年/季度/月审核一次)审计。6.2.1.3恶意数据清除
(1)CDN运营企业应能在约定时间和范围内,根据国家或内容源站要求及时完成对被篡改页面或包含恶意代码页面(恶意代码可能内嵌在文本、图片、链接和可执行文件中等)的屏蔽或清除操作,保证全网服务器屏鼓或清除全部恶意数据的系统完成时间在30min内。6.2.2业务系统安全
6.2.2.1结构安全
(1)CDN运营企业应根据系统内部网络结构特点,按照统一的管理和控制原则划分不同的子网或网段,依照功能划分及重要性等因素分区部署相关设备。(2)CDN运营企业在节点部署时应考虑防范安全攻击,CDN服务器单节点(位于独立IDC机房内的CDN服务器群)的服务能力(如承载带宽量)不超过全网的20%。(3)CDN运营企业应采用多边缘服务器元余配置抵抗攻击,在一个边缘服务器受到攻击时,可在规定时间内切换至亢余系统。
(4)CDN的中央核心节点(运营管理系统、请求路由系统和监控系统》有实时备份节点,可以在规定时间内切换至备份节点,以保证服务的可持续性。(5)CDN运营企业在单个运营商内至少部署3个节点0
YD/T2589-2013
(6)CDN运营企业应在软件结构上将各功能模块化,从而实现对软件精细化管理,一个软件的故障不影响其他软件提供服务。
(7)CDN系统应具有安全监测能力、过滤攻击能力、容错能力、负载均衡调度能力。(8)CDN系统在运营过程中应具有抗攻击(如DDoS攻击)和快速恢复能力。(9)CDN系统应能隔离针对客户的安全攻击,防止针对一个客户的攻击影响到其他客户。6.2.2.2访问控制
(1)CDN系统应对内部操作维护管理人员进行身份认证。(2)CDN系统应对内容源站管理员的登录操作进行身份认证。(3)CDN系统的身份认证过程应通过SSL通道完成。(4)CDN内部管理员应必须从公司内部(包含外网VPN方式)登陆CDN系统,CDN系统通过用户密码、登录IP地址、黑白名单控制等进行访问限制。5)CDN系统的操作维护管理员口令长度应不小于&字节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少两种的组合,且与用户名或ID无相关性)并定期更换更新周期不大于90天)。
(6)CDN系统应启用登录失败处理功能,如限制非法登录次数、锁定账号等。(7)CDN系统对不同管理员的权限分级管理,遵循权限最小分配原则,管理权限不应超越该管理员的管辖范围。
6.2.2.3用户信息保护
(1)CDN系统应对CDN节点缓存的互联网用户信息(如登录用户名、密码等)进行加密保护,采取有效措施防止用户信息被泄露、滥用。(2)未经内容源站允许,CDN运营企业不得截获、存储互联网用户访间中的个人信息(3)CDN系统加密保留CDN系统内部和内容源站操作维护人员的访问密码。6.2.2.4攻击防范
(1)引入CDN后不应降低内容源站的安全水平,同时CDN系统应提供对内容源站的抗攻击/压力保护,包括不限于抗Synflood、UDPFlood、ACKFlood等流量型DDoS攻击、承载访问压力等,抗流量型DDOS攻击的能力不小于500Mbit/s,承载访问压力的能力不小于3Gbit/s6.2.2.5入侵防范
(1)CDN运营企业应采取安全措施(如ACL中关闭不必要的端口和服务、限制访问地址)防止CDN系统被入侵,
(2)CDN运营企业应定期(每个月/季度/半年)对系统进行安全扫描和加固,检测CDN系统是否能够有效防入侵、防篡改、防攻击和防病毒。6.2.2.6请求路由系统安全
(1)CDN运营企业在全国至少部署两个DNS节点进行穴余备份。(2)CDN运营企业应尽可能采用包含最新补丁的DNS服务器软件。(3)CDN运营企业应参照《域名系统安全防护要求》对DNS服务器进行与所在互联网内容分发网络相同级别的安全设置。
6.2.2.7穴余系统、穴余设备及几余链路6
iiKacaQiaiKAca-
YD/T2589-2013
C1)CDN系统应进行允余配置,为多个边缘节点提供安全可靠稳定的服务,运营管理系统、请求路由系统应有至少两个备份系统,部署于多个省份,在遇到故障和攻击时应能在30min内完成系统切换(2)CDN系统中所有设备的处理能力应具备至少20%的余,能够满足业务高峰期需要。(3)CDN系统的核心系统(请求路由系统、运营管理系统、监控系统)有专有链路接入相关运营商,每个节点上联接入有备份光纤。(4)CDN系统的核心系统(请求路由系统、运营管理系统和监控系统)间通过多链路相连。6.2.3基础设施安全
6.2.3.1主机安全
6.2.3.1.1访问控制
(1)CDN系统应对登录操作系统和数据库系统的用户进行身份标识和鉴别。C2)CDN系统应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。(3)操作系统和数据库系统管理用户身份标识应具有不易被用的特点,相关用户口令长度应不小于6字节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少两种的组合,且与用户名或ID无相关性)并定期更换(更新周期不大于90天)。(4)CDN系统应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。《5)当对各类主机进行远程管理时,CDN系统应采取措施(如使用加密协议)防止鉴别信息在传输过程中被窃听。
6)CDN系统应启用访问控制机制或策略,依据安全策略控制操作维护人员对资源的访问。(7)CDN运营企业应及时删除多余的、过期的账户,避免共享账户的存在。(8)CDN运营企业应实现操作系统和数据库系统特权用户的权限分高。(9)CDN运营企业应限制默认账户的访问权限,修改这些账户的默认口令,设备功能配置可更改的情况下,应重命名默认账户。6.2.3.1.2安全审计
(1)审计范围应覆盖到主机/服务器上的每个操作系统用户和数据库用户。(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
(3)审计记录应包括事件的操作人员、操作对象、操作内容、操作时间和操作结果等。(4)CDN运营企业应保护审计记录,避免其受到未预期的删除、修改或覆盖等,保留一定期限(至少180天)。
6.2.3.1.3入侵防范
(1)操作系统应避循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补丁及时得到更新。6.2.3.1.4资源控制
(1)CDN运营企业应对边缘服务器、核心系统(请求路由系统、运营管理系统和监控系统)进行性能监测,包括监测服务器的CPU、硬盘、内存和网络等资源的使用情况。(2)CDN运营企业应能够对服务器、数据库等系统的服务水平设定告警阀值,当监测到服务水平降低到阀值时应能进行告警。
YD/T2589-2013
6.2.3.2物理环境安全
应满足YD/T1754中要求。
6.2.4管理安全
应满足YD/T1756-2008中第2级的相关要求。此外,还应满足如下要求:C1)CDN运营企业应要求员工需经过培训并通过考核才能上岗。(2)CDN运营企业应为内容源站提供7×24h技术支持。(3)CDN运营企业应有专职的安全管理责任人。(4)监控人员应能够及时发现安全攻击和系统当机等异常事件,并在企业规定时间内汇报运维人员、管理人员和公司核心管理人员,同时在规定时间内通知内部客户服务人员。(5)运维人员应能根据安全事件及时启动系统安全预案,及时跟进安全事件解决情况,及时向上级汇报。
(6)客服人员应能及时(按照服务协议条款)向客户(即内容源站)反馈问题解决建议和对策,协调客户完成相应部署和测试。
(7)CDN运营企业应针对各类安全攻击(如CDN遵受DDOS攻击,请求路由系统遭受攻击,域名污染或者内容污染,节点故障或者带宽服务质量不能接受,核心数据遭到破坏等)准备详细的应急处理预案。
(8)CDN运营企业应对CDN全网系统有7×24h监控。(9)CDN运营企业针对灾难的服务恢复时间应满足企业要求(按照服务协议条款)(10)CDN运营企业应对灾难恢复预案进行教育、培训和演练。6.3第3.1级要求
6.3.1数据安全
6.3.1.1数据一致性保护
除满足第2级的要求之外,还应满足:(I)CDN运营企业应有能力保证CDN数据与内容源站传输的一致性。6.3.1.2安全审计
同2级要求。
6.3.1.3恶意数据清除
除满足第2级的要求之外,还应满足:(1)CDN运营企业应能在国家相关部门或内容源站方要求时间和范围内,及时完成对被寡改页面或包含恶意代码页面(恶意代码可能内嵌在文本、图片、链接和可执行文件中等)的屏蔽或清除操作,保证全网服务器屏蔽或清除全部恶意数据的系统完成时间在15min内。6.3.1.4版权保护
除满足第2级的要求之外,还应满足:(1)CDN运营企业应与内容源站商定具体的版权保护措施和方法,共同实现版权保护。CDN系统应按照内容源站的要求提供内容鉴权、用户鉴权、IP地址鉴权、使用终端鉴别以及组合鉴权。(2)CDN系统应提供对公开版权保护技术的支持。(3)CDN系统应支持客户定制的内容保护技术和内容解密途径。8
rKacaCiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2589-2013
内容分发网(CDN)安全防护要求Securityprotectionreguirementsforcontentdeliverynetworkoverinternet2013-07-22发布
2013-10-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义…·
3.2缩略语:wwW.bzxz.Net
4互联网内容分发网络安全防护概述4.1,互联网内容分发网络安全防护范围.4.2互联网内容分发网络安全风险分析4.3互联网内容分发网络安全防护内容:目
5互联网内容分发网络定级对象和安全等级确定6互联网内容分发网络安全防护要求6.1
第1级要求
6.2第2级要求·
6.3第3.1级要求
6.4第3.2级要求·
6.5第4级要求
6.6第5级要求.
附录A(规范性附录)互联网内容分发网络风险分析YD/T2589-2013
YD/T2589-2013
本标雅是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》1.
《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》3.
《电信网和互联网灾难备份及恢复实施指南《固定通信网安全防护要求》
《移动通信网安全防护要求》
《互联网安全防护要求》
《增值业务网一消息网安全防护要求》8.
《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》《电信网和互联网物理环境安全等级保护要求》17.
18.《电信网和互联网管理安全等级保护要求》《固定通信网安全防护检测要求》19.
《移动通信网安全防护检测要求》20.
《互联网安全防护检测要求》
《增值业务网一消息网安全防护检测要求》22.
23.《增值业务网一智能网安全防护检测要求》《接入网安全防护检测要求》
《传送网安全防护检测要求》
26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
YD/T2589-2013
34《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36《网上营业厅安全防护检测要求》37《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》《域名注册系统安全防护要求》43.
《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46《移动互联网应用商店安全防护检测要求》47.《内容分发网(CDN)安全防护要求》(本标准)《内容分发网(CDN)安全防护检测要求》48.
49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》本标准与YD/T2590-2013《内容分发网(CDN)安全防护检测要求》配套使用。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、北京蓝汛通信技术有限责任公司、网宿科技股份有限公司、清华大学、中国移动通信集团公司、中国电信集团公司、华为技术有限公司、中国互联网协会。
本标准主要起草人:魏薇、魏亮、谢玮、许会荃、于、涛、魏凯、任巍、尹、浩、陈伟、陈晓益、李金成、李增海。
iiKacaQiaiKAca-
1范围
内容分发网(CDN)安全防护要求本标准规定了互联网内容分发网络安全等级的安全防护要求。本标准适用于作为第三方对外提供互联网内容分发服务的网络。2规范性引用文件
YD/T2589-2013
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1729-2008
YD/T1746
YD/T1754
YD/T1756-2008
YD/T2584-2013
3术语、定义和缩略语
3.1术语和定义
电信网和互联网安全等级保护实施指南P承载网安全防护要求
电信网和互联网物理环境安全防护要求电信网和互联网管理等级保护要求互联网数据中心安全防护要求
下列术语和定义适用于本文件。3.1.1
互联网内容分发网络安全等级SecurityClassificationofCDN互联网内容分发网络重要程度的表征。重要程度从互联网内容分发网络受到破坏后:对国家安全、社会秩序、经济运行。公共利益、网络和业务运营商造成的损害来衡量。3.1.2
互联网内容分发网络安全等级保护ClassifiedSecurityProtectionofCDN对互联网内容分发网络分等级实施安全保护。3.1.3
互联网内容分发网络安全风险SecurityRiskofcDN人为或自然的威胁可能利用互联网内容分发网络中存在的瞻弱性导致安全事件的发牛及造成的影响。
互联网内容分发网络资产AssetoiCDN互联网内容分发网络中具有价值的资源,是安全防护体系保护的对象。互联网内容分发网络中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源,如请求路由系统相关服务器。3.1.5
互联网内容分发网络威胁ThreatofCDN1
YD/T2589-2013
可能导致对互联网内容分发网络产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
互联网内容分发网络脆弱性VulnerabilityofCDN互联网内容分发网络的资产中存在的弱点、缺陷与不足,不直接对互联网内容分发网络资产造成危害,但可能被互联网内容分发网络威胁所利用从而危害互联网内容分发网络资产的安全。3.1.7
互联网内容分发网络灾难DisasterofcDN由于各种原因,造成互联网内容分发网络故障或瘫痪,使互联网内容分发网络支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
互联网内容分发网络灾难备份BackupforDisasterRecoveryofCDN为了互联网内容分发网络灾难恢复而对相关网络要素进行备份的过程。3.1.9
互联网内容分发网络灾难恢复DisasterRecoveryofCDN为了将互联网内容分发网络从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
互联网内容分发网络节点NodeofCDN简称CDN节点,在一个数据中心内部的CDN相关服务器组成一个CDN节点。3.2缩略语
下列缩略语适用于本文件。
Access Control List
Content Delivery Network over InternetCentral Processing Unit
DistributedDenial of ServiceDenial of Service
DomainName System
IDentity
InternetDataCenter
Intermet Protocol
Secure Socket Layer
UniformResourceLocator
Virtual Private Network
rKacaCiaiKAca
访问控制列表
互联网内容分发网络
中央处理器
分布式拒绝服务
拒绝服务
域名系统
身份标识号码
互联网数据中心
互联网协议
安全套接层
统一资源定位符
虚拟专用网
4互联网内容分发网络安全防护概述4.1互联网内容分发网络安全防护范围YD/T2589-2013
互联网内容分发网络(CDN)是指由一组相互联系、统一调度的内容缓存或加速节点组成的应用层网络,用于将内容从源站更有效地分发到互联网用户,以显著提高互联网用户的访问速度,改善互联网络的拥塞状况,进而提升服务质量。互联网内容分发网络(CDN)可以分为企业自建自用的专用内容分发网、作为第三方对外提供服务的内容分发网。本标准仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求。
CDN位于内容源站与互联网用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率和服务质量,CDN是基于开放互联网的重叠网,与承载网松耦合,通常CDN内部由运营管理系统、请求路由系统、边缴服务器和监控系统组成,CDN外部与内容源站以及互联网用户相连,如图1所示。本标准的安全防护对象是CDN本身,不包含对内容源站的安全防护,承载网络的安全防护要求见YD/T1746,部署CDN服务器的IDC机房的安全防护要求见YD/T2584。内容源站
运营管理系统
请求路由系统
医费网路
互联网用户
边缴服务器
监控系统
图1互联网内容分发网络示意
4.2互联网内容分发网络安全风险分析CDN中的重要资产至少应包括:
CDN关键业务系统及操作维护终端:如CDN中的运营管理系统、请求路由系统、边缘服务器、监控系统等涉及的服务器、数据库和操作维护终端。CDN关键数据:如源站信息(IP地址、域名和共享密钥等)、CDN节点部署信息(CDN在运营商的节点分布和带宽、内网部署、服务器的软件部署及调度和采集的策略等)、各业务系统服务器的管理口令和信息上传路径等。
CDN其他的资产(如文档、人员等)可见附录A对资产的分类及举例。CDN在内容源站与最终互联网用户之间增加了一层内容分发网,因此在CDN运营管理系统、请求路由系统、边缘服务器、监控系统的功能实现、部署、配置和管理等环节上均可能引入安全瞻弱点。CDN面临来自公众互联网和内部网络的各种安全威胁,包括黑客发起DDoS攻击服务器或者基改、重定向网站内容、不法分子窃取信息(如系统配置信息、互联网用户的Cookie、访间路径等)、内部人员操作失误等。
YD/T2589-2013
CDN可能存在的安全脆弱性被利用后会产生很大的安全风险,例如:系统部署防入侵防攻击措施不到位,攻击者可能从外网渗透进内网系统:运营管理系统的数据配置操作失误,配置审计、保护措施不到位,信息可能被窃取或者被篡改;请求路由系统的域名解析安全机制存在脆弱性,可能出现CDN分发的信息被劫持或重定向等安全事件:边缘服务器安全措施不到位,可能被DOS或DDoS攻击攻瘫;监控系统覆盖范围不够,无法及时发现和处理安全事件,或者内部人员利用提权募改监控数据。这些安全隐患会对CDN的数据内容安全有效分发、业务正常提供构成安全威胁,甚至进一步威胁基础网络、内容源站和互联网用户终端的安全。
CDN的其他脆弱性和安全威胁可见附录A的表2和表3。4.3互联网内容分发网络安全防护内容CDN的主要功能是为互联网上的各种业务与应用提供内容分发服务,因此保障其分发的数据安全和CDN业务系统服务安全、防止信息被劫持或重定向、防止系统被攻击停止服务至关重要。保障CDN的基础设施安全、管理安全等也是安全防护的主要内容。互联网内容分发网络的安全防护内容具体包括:数据安全
主要包括数据一致性保护、安全审计、恶意数据清除、版权保护和备份数据安全等方面的安全要求;
业务系统安全
主要包括CDN的结构安全、访间控制、用户信息保护,攻击防范、入侵防范、请求路由系统安全以及穴余系统、余设备、元余链路等方面的安全要求。基础设施安全
主要包括主机安全、物理环境安全等方面的安全要求。管理安全
主要包括机构、人员和制度等方面的安全要求。5互联网内容分发网络定级对象和安全等级确定CDN的定级对象是作为第三方向网站等客户提供CDN服务的网络或系统。CDN运营企业应根据YD/T1729-2008附录A中确定安全等级的方法对其运营管理的CDN定级。针对各具体的CDN,可根据相应的社会影响力I、规模和服务范围R、所提供服务的重要性V定级。建议权重值α、β、分别为:0.4、0.4、0.2,或者1/3、1/3、1/3,各CDN运营企业也可根据本企业实际情况调节α、β、三个权重值。(1)社会影响力I
根据YD/T1729-2008,社会影响力表示定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益的损害程度。CDN服务对象可能是国家机关部委、企事业单位和企业网站等。建议服务于国家重要部委、国家级金融机构和国家级网络媒体等的CDN社会影响力赋值为4,服务于省级政府、地方金融机构和大型网站(如Alexa排名前50)等的CDN社会影响力赋值为3,服务于其他政府和企事业单位或一般网站等的CDN社会影响力赋值为2或1。(2)规模和服务范围R
根据YD/T1729-2008,规模表示定级对象服务的用户数多少,服务范围表示定级对象服务的地区范围大小。建议从访问用户独立IP数、签约用户数和服务带宽等指标衡量CDN的规模和服务范围,例如访问用户独立IP数月均达到5000万或者签约用户数达到500个或者服务带宽达到300Gbit/s的CDN规4
iiKacaQiaiKAca
YD/T2589-2013
模和服务范围赋值为4,访问用户独立IP数月均达到3000万或者签约用户数达到200个或者服务带宽达到100Gbit/s的CDN规模和服务范围赋值为3,其他CDN规模和服务范围赋值为2或1。(3)所提供服务的重要性V
根据YD/T1729-2008,所提供服务的重要性表示定级对象提供的服务被破坏后对网络和业务运营商的合法权益的影响程度。CDN业务所提供服务的重要性相对于基础运营商的传输、交换等业务重要性较低,相对于企业办公系统等业务所提供服务的重要性高,建议CDN业务所提供服务的重要性赋值为3或2。
6互联网内容分发网络安全防护要求6.1第1级要求
不作要求。
6.2第2级要求
6.2.1数据安全
6.2.1.1数据一致性保护
(1)CDN运营企业应有能力保证CDN平台内部传输数据的一致性。(2)CDN运营企业应具备分发的内容不被非法引用的能力,支持基于访间IP、时间和访问来源等方式的防盗链。
6.2.1.2安全审计
(1)CDN系统应记录内容源站操作维护人员对其自主源站相关的CDN管理系统进行的管理操作和数据访间,日志记录保存至少60天,日志记录包含操作人员、操作时间、操作内容和操作结果等信息。(2)CDN系统应记录CDN内部人员管理维护操作和数据访问,日志记录至少保留90天。(3)CDN运营企业应对保存的操作日志定期(如每半年/季度/月审核一次)审计。6.2.1.3恶意数据清除
(1)CDN运营企业应能在约定时间和范围内,根据国家或内容源站要求及时完成对被篡改页面或包含恶意代码页面(恶意代码可能内嵌在文本、图片、链接和可执行文件中等)的屏蔽或清除操作,保证全网服务器屏鼓或清除全部恶意数据的系统完成时间在30min内。6.2.2业务系统安全
6.2.2.1结构安全
(1)CDN运营企业应根据系统内部网络结构特点,按照统一的管理和控制原则划分不同的子网或网段,依照功能划分及重要性等因素分区部署相关设备。(2)CDN运营企业在节点部署时应考虑防范安全攻击,CDN服务器单节点(位于独立IDC机房内的CDN服务器群)的服务能力(如承载带宽量)不超过全网的20%。(3)CDN运营企业应采用多边缘服务器元余配置抵抗攻击,在一个边缘服务器受到攻击时,可在规定时间内切换至亢余系统。
(4)CDN的中央核心节点(运营管理系统、请求路由系统和监控系统》有实时备份节点,可以在规定时间内切换至备份节点,以保证服务的可持续性。(5)CDN运营企业在单个运营商内至少部署3个节点0
YD/T2589-2013
(6)CDN运营企业应在软件结构上将各功能模块化,从而实现对软件精细化管理,一个软件的故障不影响其他软件提供服务。
(7)CDN系统应具有安全监测能力、过滤攻击能力、容错能力、负载均衡调度能力。(8)CDN系统在运营过程中应具有抗攻击(如DDoS攻击)和快速恢复能力。(9)CDN系统应能隔离针对客户的安全攻击,防止针对一个客户的攻击影响到其他客户。6.2.2.2访问控制
(1)CDN系统应对内部操作维护管理人员进行身份认证。(2)CDN系统应对内容源站管理员的登录操作进行身份认证。(3)CDN系统的身份认证过程应通过SSL通道完成。(4)CDN内部管理员应必须从公司内部(包含外网VPN方式)登陆CDN系统,CDN系统通过用户密码、登录IP地址、黑白名单控制等进行访问限制。5)CDN系统的操作维护管理员口令长度应不小于&字节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少两种的组合,且与用户名或ID无相关性)并定期更换更新周期不大于90天)。
(6)CDN系统应启用登录失败处理功能,如限制非法登录次数、锁定账号等。(7)CDN系统对不同管理员的权限分级管理,遵循权限最小分配原则,管理权限不应超越该管理员的管辖范围。
6.2.2.3用户信息保护
(1)CDN系统应对CDN节点缓存的互联网用户信息(如登录用户名、密码等)进行加密保护,采取有效措施防止用户信息被泄露、滥用。(2)未经内容源站允许,CDN运营企业不得截获、存储互联网用户访间中的个人信息(3)CDN系统加密保留CDN系统内部和内容源站操作维护人员的访问密码。6.2.2.4攻击防范
(1)引入CDN后不应降低内容源站的安全水平,同时CDN系统应提供对内容源站的抗攻击/压力保护,包括不限于抗Synflood、UDPFlood、ACKFlood等流量型DDoS攻击、承载访问压力等,抗流量型DDOS攻击的能力不小于500Mbit/s,承载访问压力的能力不小于3Gbit/s6.2.2.5入侵防范
(1)CDN运营企业应采取安全措施(如ACL中关闭不必要的端口和服务、限制访问地址)防止CDN系统被入侵,
(2)CDN运营企业应定期(每个月/季度/半年)对系统进行安全扫描和加固,检测CDN系统是否能够有效防入侵、防篡改、防攻击和防病毒。6.2.2.6请求路由系统安全
(1)CDN运营企业在全国至少部署两个DNS节点进行穴余备份。(2)CDN运营企业应尽可能采用包含最新补丁的DNS服务器软件。(3)CDN运营企业应参照《域名系统安全防护要求》对DNS服务器进行与所在互联网内容分发网络相同级别的安全设置。
6.2.2.7穴余系统、穴余设备及几余链路6
iiKacaQiaiKAca-
YD/T2589-2013
C1)CDN系统应进行允余配置,为多个边缘节点提供安全可靠稳定的服务,运营管理系统、请求路由系统应有至少两个备份系统,部署于多个省份,在遇到故障和攻击时应能在30min内完成系统切换(2)CDN系统中所有设备的处理能力应具备至少20%的余,能够满足业务高峰期需要。(3)CDN系统的核心系统(请求路由系统、运营管理系统、监控系统)有专有链路接入相关运营商,每个节点上联接入有备份光纤。(4)CDN系统的核心系统(请求路由系统、运营管理系统和监控系统)间通过多链路相连。6.2.3基础设施安全
6.2.3.1主机安全
6.2.3.1.1访问控制
(1)CDN系统应对登录操作系统和数据库系统的用户进行身份标识和鉴别。C2)CDN系统应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。(3)操作系统和数据库系统管理用户身份标识应具有不易被用的特点,相关用户口令长度应不小于6字节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少两种的组合,且与用户名或ID无相关性)并定期更换(更新周期不大于90天)。(4)CDN系统应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。《5)当对各类主机进行远程管理时,CDN系统应采取措施(如使用加密协议)防止鉴别信息在传输过程中被窃听。
6)CDN系统应启用访问控制机制或策略,依据安全策略控制操作维护人员对资源的访问。(7)CDN运营企业应及时删除多余的、过期的账户,避免共享账户的存在。(8)CDN运营企业应实现操作系统和数据库系统特权用户的权限分高。(9)CDN运营企业应限制默认账户的访问权限,修改这些账户的默认口令,设备功能配置可更改的情况下,应重命名默认账户。6.2.3.1.2安全审计
(1)审计范围应覆盖到主机/服务器上的每个操作系统用户和数据库用户。(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
(3)审计记录应包括事件的操作人员、操作对象、操作内容、操作时间和操作结果等。(4)CDN运营企业应保护审计记录,避免其受到未预期的删除、修改或覆盖等,保留一定期限(至少180天)。
6.2.3.1.3入侵防范
(1)操作系统应避循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补丁及时得到更新。6.2.3.1.4资源控制
(1)CDN运营企业应对边缘服务器、核心系统(请求路由系统、运营管理系统和监控系统)进行性能监测,包括监测服务器的CPU、硬盘、内存和网络等资源的使用情况。(2)CDN运营企业应能够对服务器、数据库等系统的服务水平设定告警阀值,当监测到服务水平降低到阀值时应能进行告警。
YD/T2589-2013
6.2.3.2物理环境安全
应满足YD/T1754中要求。
6.2.4管理安全
应满足YD/T1756-2008中第2级的相关要求。此外,还应满足如下要求:C1)CDN运营企业应要求员工需经过培训并通过考核才能上岗。(2)CDN运营企业应为内容源站提供7×24h技术支持。(3)CDN运营企业应有专职的安全管理责任人。(4)监控人员应能够及时发现安全攻击和系统当机等异常事件,并在企业规定时间内汇报运维人员、管理人员和公司核心管理人员,同时在规定时间内通知内部客户服务人员。(5)运维人员应能根据安全事件及时启动系统安全预案,及时跟进安全事件解决情况,及时向上级汇报。
(6)客服人员应能及时(按照服务协议条款)向客户(即内容源站)反馈问题解决建议和对策,协调客户完成相应部署和测试。
(7)CDN运营企业应针对各类安全攻击(如CDN遵受DDOS攻击,请求路由系统遭受攻击,域名污染或者内容污染,节点故障或者带宽服务质量不能接受,核心数据遭到破坏等)准备详细的应急处理预案。
(8)CDN运营企业应对CDN全网系统有7×24h监控。(9)CDN运营企业针对灾难的服务恢复时间应满足企业要求(按照服务协议条款)(10)CDN运营企业应对灾难恢复预案进行教育、培训和演练。6.3第3.1级要求
6.3.1数据安全
6.3.1.1数据一致性保护
除满足第2级的要求之外,还应满足:(I)CDN运营企业应有能力保证CDN数据与内容源站传输的一致性。6.3.1.2安全审计
同2级要求。
6.3.1.3恶意数据清除
除满足第2级的要求之外,还应满足:(1)CDN运营企业应能在国家相关部门或内容源站方要求时间和范围内,及时完成对被寡改页面或包含恶意代码页面(恶意代码可能内嵌在文本、图片、链接和可执行文件中等)的屏蔽或清除操作,保证全网服务器屏蔽或清除全部恶意数据的系统完成时间在15min内。6.3.1.4版权保护
除满足第2级的要求之外,还应满足:(1)CDN运营企业应与内容源站商定具体的版权保护措施和方法,共同实现版权保护。CDN系统应按照内容源站的要求提供内容鉴权、用户鉴权、IP地址鉴权、使用终端鉴别以及组合鉴权。(2)CDN系统应提供对公开版权保护技术的支持。(3)CDN系统应支持客户定制的内容保护技术和内容解密途径。8
rKacaCiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。