YDB 114-2012
基本信息
标准号: YDB 114-2012
中文名称:互联网内容分发网络安全防护要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1539335
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 114-2012.Security Protection Requirements for Content Delivery Network over Internet.
1范围
YDB 114规定了互联网内容分发网络分安全等级的安全防护要求。
YDB 114适用于作为第三方对外提供互联网内容分发服务的网络。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1754-2008电信网和互联网物理环境安全防护要求
YD/T 1756-2008电信网和互联网管理安全防护要求
YD/T 1746-2008 IP承载网安全防护要求
YDB 116-2012互联网数据中心安全防护要求
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1. 1
互联网内容分发网络安全等级secur ity classification of CDN
互联网内容分发网络重要程度的表征。重要程度从互联网内容分发网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
互联网内容分发网络安全等级保护classified security protection of CDN
对互联网内容分发网络分等级实施安全保护。
1范围
YDB 114规定了互联网内容分发网络分安全等级的安全防护要求。
YDB 114适用于作为第三方对外提供互联网内容分发服务的网络。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1754-2008电信网和互联网物理环境安全防护要求
YD/T 1756-2008电信网和互联网管理安全防护要求
YD/T 1746-2008 IP承载网安全防护要求
YDB 116-2012互联网数据中心安全防护要求
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1. 1
互联网内容分发网络安全等级secur ity classification of CDN
互联网内容分发网络重要程度的表征。重要程度从互联网内容分发网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
互联网内容分发网络安全等级保护classified security protection of CDN
对互联网内容分发网络分等级实施安全保护。
标准图片预览
标准内容
中国通信标准化协会标准
YDB114—2012
互联网内容分发网络安全防护要求SecurityProtectionRequirements for ContentDeliveryNetwork over Internet2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语,
4互联网内容分发网络安全防护概述4.1互联网内容分发网络安全防护范围4.2互联网内容分发网络安全风险分析4.3互联网内容分发网络安全防护内容目
5互联网内容分发网络定级对象和安全等级确定5.1社会影响力I.
5.2规模和服务范围R
5.3所提供服务的重要性V
6互联网内容分发网络安全防护要求6.1第1级要求
6.2第2级要求,
6.2.1数据安全
业务系统安全
基础设施安全
管理安全
6.3第3.1级要求
数据安全
业务系统安全
基础设施安全
管理安全
6.4第3.2级要求
数据安全
业务系统安全
基础设施安全
6.4.4管理安全
6.5第4级要求
6.6第5级要求
附录A(资料性附录)
互联网内容分发网络风险分析
YDB1142012
YDB1142012
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》2、
《电信网和互联网安全等级保护实施指南》:《电信网和互联网安全风险评估实施指南》:3
《电信网和互联网灾难备份及恢复实施指南》:《固定通信网安全防护要求》:《移动通信网安全防护要求》:《互联网安全防护要求》:
《增值业务网一消息网安全防护要求》:《增值业务网一智能网安全防护要求》:《接入网安全防护要求》;
《传送网安全防护要求》:
《IP承载网安全防护要求》:
《信令网安全防护要求》:
《同步网安全防护要求》:
《支撑网安全防护要求》:
《非核心生产单元安全防护要求》:《电信网和互联网物理环境安全等级保护要求》:《电信网和互联网管理安全等级保护要求》:《固定通信网安全防护检测要求》:《移动通信网安全防护检测要求》:《互联网安全防护检测要求》
《增值业务网一消息网安全防护检测要求》:《增值业务网一智能网安全防护检测要求》:《接入网安全防护检测要求》:《传送网安全防护检测要求》:《IP承载网安全防护检测要求》:信令网安全防护检测要求》
同步网安全防护检测要求》
《支撑网安全防护检测要求》
非核心生产单元安全防护检测要求》电信网和互联网物理环境安全等级保护检测要求》:31
电信网和互联网管理安全等级保护检测要求》:《域名系统安全防护要求》:
《域名系统安全防护检测要求》:《网上营业厅安全防护要求》:36、
《网上营业厅安全防护检测要求》37
《WAP网关系统安全防护要求》:《WAP网关系统安全防护检测要求》:《电信网和互联网信息服务业务系统安全防护要求》《电信网和互联网信息服务业务系统安全防护检测要求》:《增值业务网即时消息业务系统安全防护要求》:《增值业务网即时消息业务系统安全防护检测要求》:《域名注册系统安全防护要求》:《域名注册系统安全防护检测要求》:《移动互联网应用商店安全防护要求》:《移动互联网应用商店安全防护检测要求》:(互联网内容分发网络安全防护要求》《互联网内容分发网络安全防护检测要求》:《互联网数据中心安全防护要求》《互联网数据中心安全防护检测要求》本标准与YDB115-2012《互联网内容分发网络安全防护检测要求》配套使用。YDB114-2012
将不断补充和完善电信网和互联网安全防护体系的相关标准。随着电信网和互联网的发展,
为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”,推荐有关方面参考采用。有关对本标准的建议和意见,向中国通信标准化协会反映。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动通信集团公司、中国电信集团公司、华为技术有限公司、中国互联网协会本标准主要起草人:魏薇、魏亮、谢玮、许会荃、于涛、魏凯、任巍、尹浩、陈伟、陈晓益、李金成、李增海。
rKacaCiaiKAca
1范围
互联网内容分发网络安全防护要求本标准规定了互联网内容分发网络分安全等级的安全防护要求。本标准适用于作为第二方对外提供互联网内容分发服务的网络2规范性引用文件
YDB1142012
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1754-2008电信网和互联网物理环境安全防护要求YD/T1756-2008电信网和互联网管理安全防护要求YD/T1746-2008IP承载网安全防护要求YDB116-2012互联网数据中心安全防护要求3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
互联网内容分发网络安全等级 security classification of CDN互联网内容分发网络重要程度的表征。重要程度从互联网内容分发网络受到破环后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
互联网内容分发网络安全等级保护 classified secarity protection of CDN对互联网内容分发网络分等级实施安全保护。3.1.3
互联网内容分发网络安全风险 securityisk of CDN人为或自然的威胁可能利用互联网内容分发网络中存在的魔弱性导致安全事件的发生及造成的影响。
互联网内容分发网络资产assetof CDNYDB1142012
互联网内容分发网络中具有价值的资源,是安全防护体系保护的对象。互联网内容分发网络中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源:如请求路由系统相关服务器。3.1.5
互联网内容分发网络威胁threatofCDN可能导致对互联网内容分发网络产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
互联网内容分发网络脆弱性vulnerabilityofCDN互联网内容分发网络的资产中存在的弱点、缺陷与不足,不直接对互联网内容分发网络资产造成危害,但可能被互联网内容分发网络威胁所利用从而危害互联网内容分发网络资产的安全。3.1.7免费标准下载网bzxz
disasterofCDN
互联网内容分发网络灾难
由于各种原因,造成互联网内容分发网络故障或瘫痪,使互联网内容分发网络支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
互联网内容分发网络灾难备份backup fordisasterrecoveryof CDN为了互联网内容分发网络灾难恢复而对相关网络要素进行备份的过程。3.1.9
互联网内容分发网络灾难恢复disaster recoveryof cDN为了将互联网内容分发网络从灾难造成的故障或瘫状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
互联网内容分发网络节点nodeofCDN简称CDN节点,在一个数据中心内部的CDN相关服务器组成一个CDN节点。3.2缩略语
下列缩略语适用于本标准。
Content Delivery Network over InternetDistributed Denial of ServiceDenial of Service
Domain Name System
4互联网内容分发网络安全防护概述4.1互联网内容分发网络安全防护范围2
iiKacaQiaiKAca-
互联网内容分发网络
分布式拒绝服务
拒绝服务
域名系统
YDB1142012
互联网内容分发网络CDN是指由一组相互联系、统一调度的内容缓存或加速节点组成的应用层网络,用于将内容从源站更有效地分发到互联网用户,以显著提高互联网用户的访问速度,改善互联网络的拥塞状况,进而提升服务质量。互联网内容分发网络CDN可以分为企业自建自用的专用内容分发网、作为第三方对外提供服务的内容分发网。本标准仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求。
CDN位于内容源站与互联网用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率和服务质量,CDN是基于开放互联网的重叠网,与承载网松耦合,通常CDN内部由运营管理系统、请求路由系统、边缘服务器、监控系统组成,CDN外部与内容源站以及互联网用户相连,如图1所示。本标准的安全防护对象是CDN本身,不包含对内容源站的安全防护,承载网络的安全防护要求参见《IP承载网安全防护要求》,部署CDN服务器的IDC机房的安全防护要求参见(互联网数据中心安全防护要求》内容源站
运营管理系统
请求路由系统
承载网络
互联网用户
边缘服务器
监控系统
图1互联网内容分发网络示意图
4.2互联网内容分发网络安全风险分析CDN中的重要资产至少应包括:
CDN关键业务系统及操作维护终端:如CDN中的运营管理系统、请求路由系统、边缘服务器、监控系统等涉及的服务器、数据库和操作维护终端:CDN关键数据:如源站信息(IP地址、域名、共享密钥等)、CBN节点部署信息(CDN在运营商的节点分布和带宽、内网部署、服务器的软件部署及调度、采集的策略等)、各业务系统服务器的管理口令和信息上传路径等。CDN其他的资产(如文档、人员等)可参见附件1对资产的分类及举例。CDN在内容源站与最终互联网用户之间增加了一层内容分发网,因此在CDN运营管理系统、请求路由系统、边缘服务器、监控系统的功能实现、部署、配置、管理等环节上均可能引入安全脆弱点。CDN面临来自公众互联网和内部网络的各种安全威胁,包括黑客发起DDOS攻击服务器或者算改、重定向网站内容,不法分子窃取信息(如系统配置信息,互联网用户的Cookie、访间路径等),内部人员操作失误等。CDN可能存在的安全脆弱性被利用后会产生很大的安全风险,例如:系统部署防入侵防攻击措施不到位,攻击者可能从外网渗透进内网系统:运营管理系统的数据配置操作失误,配置审计、保护措施不到位,信息可能被窃取或者被算改:请求路由系统的域名解析安全机制存在脆弱性,可能出现CDN分发3
YDB114—2012
的信息被劫持或重定向等安全事件:边缘服务器安全措施不到位,可能被DOS或DDOS攻击攻瘫:监控系统覆盖范围不够,无法及时发现和处理安全事件,或者内部人员利用提权算改监控数据。这些安全隐患会对CDN的数据内容安全有效分发、业务正常提供构成安全威胁,甚至进一步威胁基础网络、内容源站和互联网用户终端的安全。
CDN的其他脆弱性和安全威胁可参见附件A的表A.2和表A.3。4.3互联网内容分发网络安全防护内容CDN的主要功能是为互联网上的各种业务与应用提供内容分发服务,因此保障其分发的数据安全和CDN业务系统服务安全、防止信息被劫持或重定向、防止系统被攻击停止服务至关重要。保障CDN的基础设施安全,管理安全等也是安全防护的主要内容。4.3.1数据安全
主要包括数据一致性保护、安全审计、恶意数据清除、版权保护、备份数据安全等方面的安全要求4.3.2业务系统安全
主要包括CDN的结构安全、访问控制、用户信息保护、攻击防范、入侵防范、请求路由系统安全以及元余系统、元余设备、元余链路等方面的安全要求。4.3.3基础设施安全
主要包括主机安全、物理环境安全等方面的安全要求。4.3.4管理安全
主要包括机构、人员、制度等方面的安全要求。5互联网内容分发网络定级对象和安全等级确定CDN的定级对象是作为第三方向网站等客户提供CDN服务的网络或系统。CDN运营企业应根据YD/T1729-2008附录A中确定安全等级的方法对其运营管理的CDN定级。针对各具体的CDN,可根据相应的社会影响力I、规模和服务范围R、所提供服务的重要性V定级。建议权重值α、B、Y分别为:0.4、0.4、0.2或者1/3、1/3、1/3,各CDN运营企业也可根据本企业实际情况调节a、β、Y三个权重值。5.1社会影响力1
根据YD/T1729-2008,社会影响力表示定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益的损害程度。CDN服务对象可能是国家机关部委、企事业单位、企业网站等。建议服务于国家重要部委、国家级金融机构,国家级网络媒体等的CDN社会影响力赋值为4,服务于省级政府、地方金融机构、大型网站(如Alexa排名前50)等的CDN社会影响力赋值为3,服务于其他政府、企事业单位或一般网站等的CDN社会影响力赋值为2或1。5.2规模和服务范围R
根据YD/T1729-2008,规模表示定级对象服务的用户数多少,服务范围表示定级对象服务的地区范围大小。建议从访问用户独立IP数、签约用户数、服务带宽等指标衡量CDN的规模和服务范围,例如,访问用户独立IP数月均达到5000万、或者签约用户数达到500个、或者服务带宽达到300G的JCDN规模和服4
iiKacaQiaiKAca-
YDB1142012
务范围赋值为4,访间用户独立IP数月均达到3000万、或者签约用户数达到200个,或者服务带宽达到100G的CDN规模和服务范围赋值为3,其他CDN规模和服务范围赋值为2或1。5.3所提供服务的重要性V
根据YD/T1729-2008,所提供服务的重要性表示定级对象提供的服务被破坏后对网络和业务运营商的合法权益的影响程度。CDN业务所提供服务的重要性相对于基副运营商的传输、交换等业务重要性较低,相对于企业办公系统等业务所提供服务的重要性高,建议CDN业务所提供服务的重要性赋值为3或2。
6互联网内容分发网络安全防护要求6.1第1级要求
不作要求。
6.2第2级要求
6.2.1数据安全
6.2.1.1数据一致性保护
数据一致性保护要求如下
a)CDN运营企业应有能力保证CDN平台内部传输数据的一致性:b)CDN运营企业应具备分发的内容不被非法引用的能力,支持基于访问IP、时间、访间来源等方式的防盗链。
6.2.1,2安全审计
安全审计要求如下:
a)CDN系统应记录内容源站操作维护人员对其自主源站相美的CDN管理系统进行的管理操作和数据访间,日志记录保存至少60天,白志记录包含操作人员、操作时间、操作内容,操作结果等信息;
b)CDN系统应记录CDN内部人员管理维护操作和数据访问,日志记录至少保留90天:c)CDN运营企业应对保存的操作日志定期(如每半年/季度/月审核一次)审计。6.2.1.3恶意数据清除
CDN运营企业应能在约定时间和范围内,根据国家或内容源站要求及时完成对被算改页面或包含恶意代码页面(恶意代码可能内嵌在文本、图片、链接、可执行文件中等)的屏蔽或清除操作,保证全网服务器屏蔽或清除全部恶意数据的系统完成时间在30分钟内6.2.2业务系统安全
6.2.2.1结构安全
结构安全要求如下
a)CDN运营企业应根据系统内部网络结构特点,按照统一的管理和控制原则划分不同的子网或网段,依照功能划分及重要性等因素分区部署相关设备:5
YDB114—2012
CDN运营企业在节点部署时应考虑防范安全攻击,CDN服务器单节点位于独立IDC机房内的b)
CDN服务器群)的服务能力(如承载带宽量)不超过全网的20%:CDN运营企业应采用多边缘服务器元余配置抵抗攻击,在一个边缘服务器受到攻击时,可在规c
定时间内切换至几余系统:
CDN的中央核心节点(运营管理系统、请求路由系统、监控系绕)有实时备份节点,可以在规定时间内切换至备份节点,以保证服务的可持续性:CDN运营企业在单个运营商内至少部署3个节点:CDN运营企业应在软件结构上将各功能模块化,从而实现对软件精细化管理,一个软件的故障不影响其他软件提供服务:
CDN系统应具有安全监测能力、过滤攻击能力、容错能力、负载均衡调度能力:CDN系统在运营过程中应具有抗攻击(如DDoS攻击)和快速恢复能力:h)
CDN系统应能隔离针对客户的安全攻击,防止针对一个客户的攻击影响到其他客户。6.2.2.2访问控制
访问控制要求如下:
CDN系统应对内部操作维护管理人员进行身份认证:CDN系统应对内容源站管理员的登录操作进行身份认证:CDN系统的身份认证过程应通过SSL通道完成,利用SSH安全登录CDN内部管理员应必须从公司内部(包含外网VPN方式)登陆CDN系统,CDN系统通过用户密码、登录IP地址、黑白名单控制等进行访间限制:CDN系统的操作维护管理员口令长度应不小于8字节,口令应有复杂度要求(使用大写字母、e)
小写字母、数字、标点及特殊字符四种字符中至少二种的组合,且与用户名或ID无相关性)并定期更换(更新周期不大于90天):CDN系统应启用登录失败处理功能,如限制非法登录次数、锁定账号等;f)
CDN系统对不同管理员的权限分级管理,遵循权限最小分配原则,管理权限不应超越该管理员的管辖范围。
6.2.2.3用户信息保护
用户信息保护要求如下:
CDN系统应对CDN节点缓存的互联网用户信息(如登录用户名、密码等)进行加密保护,采取有效措施防止用户信息被泄露、滥用b)未经内容源站允许,CDN运营企业不得截获、存储互联网用户访问中的个人信息:c)CDN系统加密保留CDN系统内部和内容源站操作维护人员的访问密码。6.2.2.4攻击防范
引入CDN后不应降低内容源站的安全水平,同时CDN系统应提供对内容源站的抗攻击/压力保护,包括不限于抗Synf1ood、UDPFlood、ACKFlood等流量型DDOS攻击、承载访间压力等,抗流量型DDOS攻击的能力不小于500Mbps,承载访间压力的能力不小于3Gbps。6.2.2.5入侵防范
入侵防范要求如下:
a),CDN运营企业应采取安全措施(如关闭不必要的端口和服务、限制访问地址)防止CDN系统被入侵:
iiKacaQiaiKAca-
YDB1142012
b)CDN运营企业应定期(每个月/季度/半年)对系统进行安全扫描和加固,检测CDN系统是否能够有效防入侵、防募改、防攻击、防病毒。6.2.2.6请求路由系统安全
请求路由系统安全要求如下:
a)CDN运营企业在全国至少部署两个DNS节点进行元余备份:CDN运营企业应尽可能采用包合最新补工的DNS服务器款件:b
CDV运营企业应参照《域名系统安全防护要求》对DS服务器进行与所在互联网内容分发网络c
相同级别的安全设置
6.2.2.7余系统、穴余设备及完余链路元余系统、元余设备及究余链路要求如下a)CDN系统应进行元余配置,为多个边缘节点提供安全可定稳定的服务,运营管理系统、请求路由系统应有至少两个备份系统,部署于多个背份,在遇到故障和攻击时应能在30分钟内完成系绕切换:
CDN系统中所有设备的处理能力应具备至少20%的元杀一能够满足业务高峰期需要:b)
CDN系统的核心系统(请求路由系统、运营管理系统、监控系统)有专有链路接入相关运营商,每个节点上联接入有备份光纤
CDN系统的核心系统(请求路山系统运营合理系统、监控系统)间通过多链路相连。d
6.2.3基础设施安全
6.2.3.1主机安全
6.2.3.1.1访问控制
访间控制要求如下
a)CDN系统应对登录操作系统和数据库系统的用户进行身份标识和鉴别:CDN系统应为换作系统和数据库系绕的不同用户分配不同的用户名,确保用户名具有唯一性:b)
操作系统和数据库累统管理用户身份标识应具有不易被曾用的特点,相关用户口令长度应不小于6宇节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少二种的组合,且与用户名或ID无相关性)并定期更换(更新周期不大于90天):CDN系统应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:d)
当对各类主机进行远程管理时:CDN系统应采取措施(如使用加密协议)防止鉴别信息在传输e)
过程中被窃听
CDN系统应启用访问控制机制或策略,依据安全策略控制操作维护人员对资源的访间:CDN运营企业应及时剧除多余的、过期的账户,避免共享帐户的存在:CDN运营企业应实现操作系统利数据库系统情权用户的权限分离:CDN运营企业应限制默认账户的访间权限,修改这些账户的默认口令,设备功能配置可更改的)
情况下,应重命名默认账户
6.2.3.1.2安全审计
安全审计要求如下
e)审计范围应覆盖到主机/服务器上的每个操作系统用户和数据库用户:7
YDB114-2012
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件:
审计记录应包括事件的操作人员、操作对象、操作内容、操作时间和操作结果等:c
d)CDN运营企业应保护审计记录,避免其受到未预期的删除、修改或覆盖等,保留一定期限(室少180天)。
6.2.3.1.3入侵防范
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补丁及时得到更新,6.2.3.1.4资源控制
资源控制要求如下:
a)CDN运营企业应对边缘服务器、核心系统(请求路由系统、运营管理系统、监控系统)进行性能监测,包括监测服务器的CPU、硬盘、内存、网络等资源的使用情况:b)
CDN运营企业应能够对服务器、数据库等系统的服务水平设定告警阅值,当监测到服务水平降低到阅值时应能进行告警。
6.2.3.2物理环境安全
应满足YD/T1754-2008中要求。
6.2.4管理安全
应满足YD/T1756-2008中第2级的相关要求。此外,还应满足如下要求:a)CDN运营企业应要求员工需经过培训并通过考核才能上岗:b)
CDN运营企业应为内容源站提供7X24技术支持:CDN运营企业应有专职的安全管理责任人:监控人员应能够及时发现安全攻击和系统当机等异常事件,并在企业规定时间内汇报运维人员、管理人员和公司核心管理人员,同时在规定时间内通知内部客户服务人员:运维人员应能根据安全事件及时启动系统安全预案,及时跟进安全事件解决情况,及时向上级e
汇报:
客服人员应能及时(按照服务协议条款)向客户(即内容源站)反馈问题解决建议和对策,协f
调客户完成相应部署和测试
CDN运营企业应针对各类安全攻击(如CDN遭受DDOS攻击:请求路由系统遭受攻击,域名污g)
染或者内容污染,节点故障或者带宽服务质量不能接受,核心数据遭到破坏等)准备详细的应急处理预案:
CDN运营企业应对CDN全网系统有7X24小时监控h
i)CDN运营企业针对灾难的服务恢复时间应满足企业要求(按照服务协议条款):)CDN运营企业应对灾难恢复预案进行教育、培训和演练。6.3第3.1级要求
6.3.1数据安全
6.3.1.1数据一致性保护
除满足第2级的要求之外,CDN运营企业还应有能力保证CDN数据与内容源站传输的一致性。8
iiKacaQiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB114—2012
互联网内容分发网络安全防护要求SecurityProtectionRequirements for ContentDeliveryNetwork over Internet2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语,
4互联网内容分发网络安全防护概述4.1互联网内容分发网络安全防护范围4.2互联网内容分发网络安全风险分析4.3互联网内容分发网络安全防护内容目
5互联网内容分发网络定级对象和安全等级确定5.1社会影响力I.
5.2规模和服务范围R
5.3所提供服务的重要性V
6互联网内容分发网络安全防护要求6.1第1级要求
6.2第2级要求,
6.2.1数据安全
业务系统安全
基础设施安全
管理安全
6.3第3.1级要求
数据安全
业务系统安全
基础设施安全
管理安全
6.4第3.2级要求
数据安全
业务系统安全
基础设施安全
6.4.4管理安全
6.5第4级要求
6.6第5级要求
附录A(资料性附录)
互联网内容分发网络风险分析
YDB1142012
YDB1142012
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》2、
《电信网和互联网安全等级保护实施指南》:《电信网和互联网安全风险评估实施指南》:3
《电信网和互联网灾难备份及恢复实施指南》:《固定通信网安全防护要求》:《移动通信网安全防护要求》:《互联网安全防护要求》:
《增值业务网一消息网安全防护要求》:《增值业务网一智能网安全防护要求》:《接入网安全防护要求》;
《传送网安全防护要求》:
《IP承载网安全防护要求》:
《信令网安全防护要求》:
《同步网安全防护要求》:
《支撑网安全防护要求》:
《非核心生产单元安全防护要求》:《电信网和互联网物理环境安全等级保护要求》:《电信网和互联网管理安全等级保护要求》:《固定通信网安全防护检测要求》:《移动通信网安全防护检测要求》:《互联网安全防护检测要求》
《增值业务网一消息网安全防护检测要求》:《增值业务网一智能网安全防护检测要求》:《接入网安全防护检测要求》:《传送网安全防护检测要求》:《IP承载网安全防护检测要求》:信令网安全防护检测要求》
同步网安全防护检测要求》
《支撑网安全防护检测要求》
非核心生产单元安全防护检测要求》电信网和互联网物理环境安全等级保护检测要求》:31
电信网和互联网管理安全等级保护检测要求》:《域名系统安全防护要求》:
《域名系统安全防护检测要求》:《网上营业厅安全防护要求》:36、
《网上营业厅安全防护检测要求》37
《WAP网关系统安全防护要求》:《WAP网关系统安全防护检测要求》:《电信网和互联网信息服务业务系统安全防护要求》《电信网和互联网信息服务业务系统安全防护检测要求》:《增值业务网即时消息业务系统安全防护要求》:《增值业务网即时消息业务系统安全防护检测要求》:《域名注册系统安全防护要求》:《域名注册系统安全防护检测要求》:《移动互联网应用商店安全防护要求》:《移动互联网应用商店安全防护检测要求》:(互联网内容分发网络安全防护要求》《互联网内容分发网络安全防护检测要求》:《互联网数据中心安全防护要求》《互联网数据中心安全防护检测要求》本标准与YDB115-2012《互联网内容分发网络安全防护检测要求》配套使用。YDB114-2012
将不断补充和完善电信网和互联网安全防护体系的相关标准。随着电信网和互联网的发展,
为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”,推荐有关方面参考采用。有关对本标准的建议和意见,向中国通信标准化协会反映。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动通信集团公司、中国电信集团公司、华为技术有限公司、中国互联网协会本标准主要起草人:魏薇、魏亮、谢玮、许会荃、于涛、魏凯、任巍、尹浩、陈伟、陈晓益、李金成、李增海。
rKacaCiaiKAca
1范围
互联网内容分发网络安全防护要求本标准规定了互联网内容分发网络分安全等级的安全防护要求。本标准适用于作为第二方对外提供互联网内容分发服务的网络2规范性引用文件
YDB1142012
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1754-2008电信网和互联网物理环境安全防护要求YD/T1756-2008电信网和互联网管理安全防护要求YD/T1746-2008IP承载网安全防护要求YDB116-2012互联网数据中心安全防护要求3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
互联网内容分发网络安全等级 security classification of CDN互联网内容分发网络重要程度的表征。重要程度从互联网内容分发网络受到破环后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
互联网内容分发网络安全等级保护 classified secarity protection of CDN对互联网内容分发网络分等级实施安全保护。3.1.3
互联网内容分发网络安全风险 securityisk of CDN人为或自然的威胁可能利用互联网内容分发网络中存在的魔弱性导致安全事件的发生及造成的影响。
互联网内容分发网络资产assetof CDNYDB1142012
互联网内容分发网络中具有价值的资源,是安全防护体系保护的对象。互联网内容分发网络中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源:如请求路由系统相关服务器。3.1.5
互联网内容分发网络威胁threatofCDN可能导致对互联网内容分发网络产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
互联网内容分发网络脆弱性vulnerabilityofCDN互联网内容分发网络的资产中存在的弱点、缺陷与不足,不直接对互联网内容分发网络资产造成危害,但可能被互联网内容分发网络威胁所利用从而危害互联网内容分发网络资产的安全。3.1.7免费标准下载网bzxz
disasterofCDN
互联网内容分发网络灾难
由于各种原因,造成互联网内容分发网络故障或瘫痪,使互联网内容分发网络支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
互联网内容分发网络灾难备份backup fordisasterrecoveryof CDN为了互联网内容分发网络灾难恢复而对相关网络要素进行备份的过程。3.1.9
互联网内容分发网络灾难恢复disaster recoveryof cDN为了将互联网内容分发网络从灾难造成的故障或瘫状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
互联网内容分发网络节点nodeofCDN简称CDN节点,在一个数据中心内部的CDN相关服务器组成一个CDN节点。3.2缩略语
下列缩略语适用于本标准。
Content Delivery Network over InternetDistributed Denial of ServiceDenial of Service
Domain Name System
4互联网内容分发网络安全防护概述4.1互联网内容分发网络安全防护范围2
iiKacaQiaiKAca-
互联网内容分发网络
分布式拒绝服务
拒绝服务
域名系统
YDB1142012
互联网内容分发网络CDN是指由一组相互联系、统一调度的内容缓存或加速节点组成的应用层网络,用于将内容从源站更有效地分发到互联网用户,以显著提高互联网用户的访问速度,改善互联网络的拥塞状况,进而提升服务质量。互联网内容分发网络CDN可以分为企业自建自用的专用内容分发网、作为第三方对外提供服务的内容分发网。本标准仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求。
CDN位于内容源站与互联网用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率和服务质量,CDN是基于开放互联网的重叠网,与承载网松耦合,通常CDN内部由运营管理系统、请求路由系统、边缘服务器、监控系统组成,CDN外部与内容源站以及互联网用户相连,如图1所示。本标准的安全防护对象是CDN本身,不包含对内容源站的安全防护,承载网络的安全防护要求参见《IP承载网安全防护要求》,部署CDN服务器的IDC机房的安全防护要求参见(互联网数据中心安全防护要求》内容源站
运营管理系统
请求路由系统
承载网络
互联网用户
边缘服务器
监控系统
图1互联网内容分发网络示意图
4.2互联网内容分发网络安全风险分析CDN中的重要资产至少应包括:
CDN关键业务系统及操作维护终端:如CDN中的运营管理系统、请求路由系统、边缘服务器、监控系统等涉及的服务器、数据库和操作维护终端:CDN关键数据:如源站信息(IP地址、域名、共享密钥等)、CBN节点部署信息(CDN在运营商的节点分布和带宽、内网部署、服务器的软件部署及调度、采集的策略等)、各业务系统服务器的管理口令和信息上传路径等。CDN其他的资产(如文档、人员等)可参见附件1对资产的分类及举例。CDN在内容源站与最终互联网用户之间增加了一层内容分发网,因此在CDN运营管理系统、请求路由系统、边缘服务器、监控系统的功能实现、部署、配置、管理等环节上均可能引入安全脆弱点。CDN面临来自公众互联网和内部网络的各种安全威胁,包括黑客发起DDOS攻击服务器或者算改、重定向网站内容,不法分子窃取信息(如系统配置信息,互联网用户的Cookie、访间路径等),内部人员操作失误等。CDN可能存在的安全脆弱性被利用后会产生很大的安全风险,例如:系统部署防入侵防攻击措施不到位,攻击者可能从外网渗透进内网系统:运营管理系统的数据配置操作失误,配置审计、保护措施不到位,信息可能被窃取或者被算改:请求路由系统的域名解析安全机制存在脆弱性,可能出现CDN分发3
YDB114—2012
的信息被劫持或重定向等安全事件:边缘服务器安全措施不到位,可能被DOS或DDOS攻击攻瘫:监控系统覆盖范围不够,无法及时发现和处理安全事件,或者内部人员利用提权算改监控数据。这些安全隐患会对CDN的数据内容安全有效分发、业务正常提供构成安全威胁,甚至进一步威胁基础网络、内容源站和互联网用户终端的安全。
CDN的其他脆弱性和安全威胁可参见附件A的表A.2和表A.3。4.3互联网内容分发网络安全防护内容CDN的主要功能是为互联网上的各种业务与应用提供内容分发服务,因此保障其分发的数据安全和CDN业务系统服务安全、防止信息被劫持或重定向、防止系统被攻击停止服务至关重要。保障CDN的基础设施安全,管理安全等也是安全防护的主要内容。4.3.1数据安全
主要包括数据一致性保护、安全审计、恶意数据清除、版权保护、备份数据安全等方面的安全要求4.3.2业务系统安全
主要包括CDN的结构安全、访问控制、用户信息保护、攻击防范、入侵防范、请求路由系统安全以及元余系统、元余设备、元余链路等方面的安全要求。4.3.3基础设施安全
主要包括主机安全、物理环境安全等方面的安全要求。4.3.4管理安全
主要包括机构、人员、制度等方面的安全要求。5互联网内容分发网络定级对象和安全等级确定CDN的定级对象是作为第三方向网站等客户提供CDN服务的网络或系统。CDN运营企业应根据YD/T1729-2008附录A中确定安全等级的方法对其运营管理的CDN定级。针对各具体的CDN,可根据相应的社会影响力I、规模和服务范围R、所提供服务的重要性V定级。建议权重值α、B、Y分别为:0.4、0.4、0.2或者1/3、1/3、1/3,各CDN运营企业也可根据本企业实际情况调节a、β、Y三个权重值。5.1社会影响力1
根据YD/T1729-2008,社会影响力表示定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益的损害程度。CDN服务对象可能是国家机关部委、企事业单位、企业网站等。建议服务于国家重要部委、国家级金融机构,国家级网络媒体等的CDN社会影响力赋值为4,服务于省级政府、地方金融机构、大型网站(如Alexa排名前50)等的CDN社会影响力赋值为3,服务于其他政府、企事业单位或一般网站等的CDN社会影响力赋值为2或1。5.2规模和服务范围R
根据YD/T1729-2008,规模表示定级对象服务的用户数多少,服务范围表示定级对象服务的地区范围大小。建议从访问用户独立IP数、签约用户数、服务带宽等指标衡量CDN的规模和服务范围,例如,访问用户独立IP数月均达到5000万、或者签约用户数达到500个、或者服务带宽达到300G的JCDN规模和服4
iiKacaQiaiKAca-
YDB1142012
务范围赋值为4,访间用户独立IP数月均达到3000万、或者签约用户数达到200个,或者服务带宽达到100G的CDN规模和服务范围赋值为3,其他CDN规模和服务范围赋值为2或1。5.3所提供服务的重要性V
根据YD/T1729-2008,所提供服务的重要性表示定级对象提供的服务被破坏后对网络和业务运营商的合法权益的影响程度。CDN业务所提供服务的重要性相对于基副运营商的传输、交换等业务重要性较低,相对于企业办公系统等业务所提供服务的重要性高,建议CDN业务所提供服务的重要性赋值为3或2。
6互联网内容分发网络安全防护要求6.1第1级要求
不作要求。
6.2第2级要求
6.2.1数据安全
6.2.1.1数据一致性保护
数据一致性保护要求如下
a)CDN运营企业应有能力保证CDN平台内部传输数据的一致性:b)CDN运营企业应具备分发的内容不被非法引用的能力,支持基于访问IP、时间、访间来源等方式的防盗链。
6.2.1,2安全审计
安全审计要求如下:
a)CDN系统应记录内容源站操作维护人员对其自主源站相美的CDN管理系统进行的管理操作和数据访间,日志记录保存至少60天,白志记录包含操作人员、操作时间、操作内容,操作结果等信息;
b)CDN系统应记录CDN内部人员管理维护操作和数据访问,日志记录至少保留90天:c)CDN运营企业应对保存的操作日志定期(如每半年/季度/月审核一次)审计。6.2.1.3恶意数据清除
CDN运营企业应能在约定时间和范围内,根据国家或内容源站要求及时完成对被算改页面或包含恶意代码页面(恶意代码可能内嵌在文本、图片、链接、可执行文件中等)的屏蔽或清除操作,保证全网服务器屏蔽或清除全部恶意数据的系统完成时间在30分钟内6.2.2业务系统安全
6.2.2.1结构安全
结构安全要求如下
a)CDN运营企业应根据系统内部网络结构特点,按照统一的管理和控制原则划分不同的子网或网段,依照功能划分及重要性等因素分区部署相关设备:5
YDB114—2012
CDN运营企业在节点部署时应考虑防范安全攻击,CDN服务器单节点位于独立IDC机房内的b)
CDN服务器群)的服务能力(如承载带宽量)不超过全网的20%:CDN运营企业应采用多边缘服务器元余配置抵抗攻击,在一个边缘服务器受到攻击时,可在规c
定时间内切换至几余系统:
CDN的中央核心节点(运营管理系统、请求路由系统、监控系绕)有实时备份节点,可以在规定时间内切换至备份节点,以保证服务的可持续性:CDN运营企业在单个运营商内至少部署3个节点:CDN运营企业应在软件结构上将各功能模块化,从而实现对软件精细化管理,一个软件的故障不影响其他软件提供服务:
CDN系统应具有安全监测能力、过滤攻击能力、容错能力、负载均衡调度能力:CDN系统在运营过程中应具有抗攻击(如DDoS攻击)和快速恢复能力:h)
CDN系统应能隔离针对客户的安全攻击,防止针对一个客户的攻击影响到其他客户。6.2.2.2访问控制
访问控制要求如下:
CDN系统应对内部操作维护管理人员进行身份认证:CDN系统应对内容源站管理员的登录操作进行身份认证:CDN系统的身份认证过程应通过SSL通道完成,利用SSH安全登录CDN内部管理员应必须从公司内部(包含外网VPN方式)登陆CDN系统,CDN系统通过用户密码、登录IP地址、黑白名单控制等进行访间限制:CDN系统的操作维护管理员口令长度应不小于8字节,口令应有复杂度要求(使用大写字母、e)
小写字母、数字、标点及特殊字符四种字符中至少二种的组合,且与用户名或ID无相关性)并定期更换(更新周期不大于90天):CDN系统应启用登录失败处理功能,如限制非法登录次数、锁定账号等;f)
CDN系统对不同管理员的权限分级管理,遵循权限最小分配原则,管理权限不应超越该管理员的管辖范围。
6.2.2.3用户信息保护
用户信息保护要求如下:
CDN系统应对CDN节点缓存的互联网用户信息(如登录用户名、密码等)进行加密保护,采取有效措施防止用户信息被泄露、滥用b)未经内容源站允许,CDN运营企业不得截获、存储互联网用户访问中的个人信息:c)CDN系统加密保留CDN系统内部和内容源站操作维护人员的访问密码。6.2.2.4攻击防范
引入CDN后不应降低内容源站的安全水平,同时CDN系统应提供对内容源站的抗攻击/压力保护,包括不限于抗Synf1ood、UDPFlood、ACKFlood等流量型DDOS攻击、承载访间压力等,抗流量型DDOS攻击的能力不小于500Mbps,承载访间压力的能力不小于3Gbps。6.2.2.5入侵防范
入侵防范要求如下:
a),CDN运营企业应采取安全措施(如关闭不必要的端口和服务、限制访问地址)防止CDN系统被入侵:
iiKacaQiaiKAca-
YDB1142012
b)CDN运营企业应定期(每个月/季度/半年)对系统进行安全扫描和加固,检测CDN系统是否能够有效防入侵、防募改、防攻击、防病毒。6.2.2.6请求路由系统安全
请求路由系统安全要求如下:
a)CDN运营企业在全国至少部署两个DNS节点进行元余备份:CDN运营企业应尽可能采用包合最新补工的DNS服务器款件:b
CDV运营企业应参照《域名系统安全防护要求》对DS服务器进行与所在互联网内容分发网络c
相同级别的安全设置
6.2.2.7余系统、穴余设备及完余链路元余系统、元余设备及究余链路要求如下a)CDN系统应进行元余配置,为多个边缘节点提供安全可定稳定的服务,运营管理系统、请求路由系统应有至少两个备份系统,部署于多个背份,在遇到故障和攻击时应能在30分钟内完成系绕切换:
CDN系统中所有设备的处理能力应具备至少20%的元杀一能够满足业务高峰期需要:b)
CDN系统的核心系统(请求路由系统、运营管理系统、监控系统)有专有链路接入相关运营商,每个节点上联接入有备份光纤
CDN系统的核心系统(请求路山系统运营合理系统、监控系统)间通过多链路相连。d
6.2.3基础设施安全
6.2.3.1主机安全
6.2.3.1.1访问控制
访间控制要求如下
a)CDN系统应对登录操作系统和数据库系统的用户进行身份标识和鉴别:CDN系统应为换作系统和数据库系绕的不同用户分配不同的用户名,确保用户名具有唯一性:b)
操作系统和数据库累统管理用户身份标识应具有不易被曾用的特点,相关用户口令长度应不小于6宇节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少二种的组合,且与用户名或ID无相关性)并定期更换(更新周期不大于90天):CDN系统应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:d)
当对各类主机进行远程管理时:CDN系统应采取措施(如使用加密协议)防止鉴别信息在传输e)
过程中被窃听
CDN系统应启用访问控制机制或策略,依据安全策略控制操作维护人员对资源的访间:CDN运营企业应及时剧除多余的、过期的账户,避免共享帐户的存在:CDN运营企业应实现操作系统利数据库系统情权用户的权限分离:CDN运营企业应限制默认账户的访间权限,修改这些账户的默认口令,设备功能配置可更改的)
情况下,应重命名默认账户
6.2.3.1.2安全审计
安全审计要求如下
e)审计范围应覆盖到主机/服务器上的每个操作系统用户和数据库用户:7
YDB114-2012
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件:
审计记录应包括事件的操作人员、操作对象、操作内容、操作时间和操作结果等:c
d)CDN运营企业应保护审计记录,避免其受到未预期的删除、修改或覆盖等,保留一定期限(室少180天)。
6.2.3.1.3入侵防范
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补丁及时得到更新,6.2.3.1.4资源控制
资源控制要求如下:
a)CDN运营企业应对边缘服务器、核心系统(请求路由系统、运营管理系统、监控系统)进行性能监测,包括监测服务器的CPU、硬盘、内存、网络等资源的使用情况:b)
CDN运营企业应能够对服务器、数据库等系统的服务水平设定告警阅值,当监测到服务水平降低到阅值时应能进行告警。
6.2.3.2物理环境安全
应满足YD/T1754-2008中要求。
6.2.4管理安全
应满足YD/T1756-2008中第2级的相关要求。此外,还应满足如下要求:a)CDN运营企业应要求员工需经过培训并通过考核才能上岗:b)
CDN运营企业应为内容源站提供7X24技术支持:CDN运营企业应有专职的安全管理责任人:监控人员应能够及时发现安全攻击和系统当机等异常事件,并在企业规定时间内汇报运维人员、管理人员和公司核心管理人员,同时在规定时间内通知内部客户服务人员:运维人员应能根据安全事件及时启动系统安全预案,及时跟进安全事件解决情况,及时向上级e
汇报:
客服人员应能及时(按照服务协议条款)向客户(即内容源站)反馈问题解决建议和对策,协f
调客户完成相应部署和测试
CDN运营企业应针对各类安全攻击(如CDN遭受DDOS攻击:请求路由系统遭受攻击,域名污g)
染或者内容污染,节点故障或者带宽服务质量不能接受,核心数据遭到破坏等)准备详细的应急处理预案:
CDN运营企业应对CDN全网系统有7X24小时监控h
i)CDN运营企业针对灾难的服务恢复时间应满足企业要求(按照服务协议条款):)CDN运营企业应对灾难恢复预案进行教育、培训和演练。6.3第3.1级要求
6.3.1数据安全
6.3.1.1数据一致性保护
除满足第2级的要求之外,CDN运营企业还应有能力保证CDN数据与内容源站传输的一致性。8
iiKacaQiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。