| 标准编号 | GB/T 45279.4-2025 (GB/T45279.4-2025) | | 中文名称 | IPv4/IPv6网络安全防护技术规范 第4部分:内容分发网络 | | 英文名称 | IPv4/IPv6 network security protection technical specifications - Part 4: Content delivery network | | 行业 | 国家标准 (推荐) | | 中标分类 | L78 | | 国际标准分类 | 33.040.40 | | 字数估计 | 30,336 | | 发布日期 | 2025-02-28 | | 实施日期 | 2025-06-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 45279.4-2025: IPv4/IPv6网络安全防护技术规范 第4部分:内容分发网络
ICS 33.040.40
CCSL78
中华人民共和国国家标准
IPv4/IPv6网络安全防护技术规范
第4部分:内容分发网络
2025-02-28发布
2025-06-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 CDN总体要求 2
5.1 CDN安全防护范围 2
5.2 CDN安全防护内容 2
6 CDN安全防护要求 2
6.1 第2级要求 3
6.2 第3级要求 6
7 CDN安全防护测试方法 7
7.1 第2级测试方法 7
7.2 第3级测试方法 18
参考文献 24
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
GB/T 45279《IPv4/IPv6网络安全防护技术规范》与GB/T 44810《IPv6网络安全设备技术要求》共
同构成支撑IPv6安全的国家标准体系。
本文件是GB/T 45279《IPv4/IPv6网络安全防护技术规范》的第4部分。GB/T 45279已经发布了
以下部分:
---第1部分:IP承载网;
---第2部分:移动通信网;
---第3部分:互联网数据中心;
---第4部分:内容分发网络。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国通信标准化技术委员会(SAC/TC485)归口。
本文件起草单位:中国信息通信研究院、网宿科技股份有限公司、中兴通讯股份有限公司、阿里云计
算有限公司、中国信息通信科技集团有限公司、国家计算机网络应急技术处理协调中心。
本文件主要起草人:孟楠、贺倩、温国洲、翁志真、王魏强、张晓渠、李克、杨阔、曾斌、王健、雷君、
严定宇。
引 言
根据《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,为更好面对网络复杂
化和用户规模扩大化带来的安全挑战,推动IPv6网络安全工作的标准化,我国制定了一系列IPv6安全
标准。其中,GB/T 45279《IPv4/IPv6网络安全防护技术规范》是为规范电信网和互联网重要网络单元
在IPv6部署后所开展的安全防护工作,拟分为以下部分。
---第1部分:IP承载网。目的在于IPv6部署后,推动IP承载网的安全防护工作。
---第2部分:移动通信网。目的在于IPv6部署后,推动移动通信网的安全防护工作。
---第3部分:互联网数据中心。目的在于IPv6部署后,推动互联网数据中心的安全防护工作。
---第4部分:内容分发网络。目的在于IPv6部署后,推动内容分发网络的安全防护工作。
IPv4/IPv6网络安全防护技术规范
第4部分:内容分发网络
1 范围
本文件规定了IPv4、IPv6、双栈环境下作为第三方对外提供内容分发服务的内容分发网络(CDN)
的安全防护要求和测试方法,包括数据安全、业务系统安全、主机安全、物理环境安全和管理安全等
方面。
本文件适用于指导支持IPv4/IPv6协议的CDN安全防护工作开展和推进。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
YD/T 2052-2015 域名系统安全防护要求
YD/T 3799-2020 电信网和互联网网络安全防护定级备案实施指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
由一组相互联系、统一调度的内容缓存或加速节点组成的应用层网络。
3.2
CDN节点 nodeofCDN
CDN通过统一的资源管理和调度管理的分布在不同区域的服务器。
注:以下简称为“节点”。
4 缩略语
下列缩略语适用于本文件。
DNS:域名系统(DomainNameSystem)
IP:网际协议(InternetProtocol)
5 CDN总体要求
5.1 CDN安全防护范围
CDN位于内容源站与互联网用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效
率和服务质量,CDN是基于开放互联网的重叠网,与承载网松耦合,通常CDN内部由运营管理系统、
DNS调度系统、边缘服务器、监控系统组成,CDN外部与内容源站以及互联网用户相连,如图1所示。
本文件的安全防护对象是CDN本身,不包含对内容源站的安全防护、承载网络安全防护要求和部署以
及CDN服务器的IDC机房的安全防护要求,其应遵循各自防护要求标准。
图1 内容分发网络示意图
5.2 CDN安全防护内容
应按照 GB/T 22240-2020、YD/T 3799-2020确定移动通信网符合的安全等级,并在遵循
GB/T 22239-2019规定的相应安全等级安全通用要求基础上,按照本文件要求开展包括数据安全、业
务系统安全、主机安全、物理环境安全和管理安全等五个层面的安全防护工作。本文件提出第2级和第
3级要求,第4级、第5级要求暂同第3级要求。其中:
a) 数据安全:主要包括CDN的数据一致性保护、安全审计、恶意数据清除等方面内容和要求;
b) 业务系统安全:主要包括CDN的结构安全、访问控制安全、攻击和入侵防范等方面的内容和
要求;
c) 主机安全:主要包括CDN的主机访问控制、安全审计、入侵防范等方面内容和要求;
d) 物理环境安全:主要包括CDN所在的物理环境的安全要求;
e) 管理安全:主要包括CDN的安全管理、风险评估、应急预案等方面内容和要求。
6 CDN安全防护要求
6.1 第2级要求
6.1.1 数据安全
6.1.1.1 数据一致性保护
数据一致性保护满足以下要求:
a) CDN系统应保证内部传输数据的一致性,支持基于加密传输等方式确保CDN系统内部传输
数据的一致性;
b) CDN系统应具备分发的内容不被非法引用的能力,支持基于访问来源IP、时间、地域、加密签
名等方式的防盗链;
c) CDN系统应能检测并及时阻断缓存页面在传输过程中非法广告及非法内容、数据的插入。
6.1.1.2 安全审计
数据安全审计满足以下要求:
a) CDN系统应记录内容源站操作维护人员对其自主源站相关的CDN管理系统进行的管理操作
和数据访问,日志记录保存至少180d,日志记录包含操作人员、操作时间、操作内容,操作结果
等信息;
b) CDN系统应记录CDN内部人员管理维护操作和数据访问,日志记录至少保留180d;
c) 保存的操作日志应定期(如每半年/季度/月)进行审计。
6.1.1.3 恶意数据清除
CDN系统应根据国家有关部门或内容源站要求及时完成对被篡改页面或包含恶意代码页面(恶意
代码可能内嵌在文本、图片、链接、可执行文件中等)的屏蔽或清除操作,保证全网服务器屏蔽或清除全
部恶意数据的系统完成时间在30min内。
6.1.2 业务系统安全
6.1.2.1 结构安全
业务系统结构安全满足以下要求:
a) CDN系统应根据系统内部网络结构特点,按照统一的管理和控制原则划分不同的子网或网
段,依照功能划分及重要性等因素分区部署相关设备;
b) CDN系统应做好内外网隔离,内部IPv4地址、IPv6全局地址应拒绝外网直接访问;
c) CDN系统在节点部署时应考虑防范安全攻击,CDN服务器单节点(位于独立IDC机房内的
CDN服务器群)的服务能力(如承载带宽量)不超过全网的20%;
d) CDN系统应采用多边缘服务器冗余配置抵抗攻击,在一个边缘服务器受到攻击时,可在规定
时间内切换至冗余系统;
e) CDN的中央核心节点(运营管理系统、DNS调度系统、监控系统)有实时备份节点,可在规定
时间内切换至备份节点,以保证服务的可持续性;
f) CDN系统在单个运营商内至少部署3个节点;
g) CDN系统应在软件结构上将各功能模块化,从而实现对软件精细化管理,一个软件的故障不
影响其他软件提供服务;
h) CDN系统应具有较为完备的IPv4/IPv6安全防护能力,包括安全监测能力、过滤攻击能力、容
错能力、负载均衡调度能力,能够防护IPv4/IPv6网络环境下主流的 Web应用攻击,例如
OWASP排名前十的 Web应用程序漏洞等;
i) CDN系统应具有抗攻击(如DDoS攻击)和快速恢复能力;
j) CDN系统应具备隔离针对单一客户攻击的能力,防止或降低攻击对其他客户的影响。
6.1.2.2 访问控制
业务系统访问控制满足以下要求:
a) CDN系统应对内部操作维护管理人员进行身份认证;
b) CDN系统应对内容源站管理员的登录操作进行身份认证;
c) CDN系统的身份认证过程应通过SSL通道完成;
d) CDN内部管理员应从内部网络(或外网VPN方式)登录CDN系统,CDN系统通过用户密码、
登录IP地址、黑白名单控制等进行访问限制;
e) CDN系统的操作维护管理员口令长度应不小于8字节,口令应有复杂度要求(使用大写字母、
小写字母、数字、标点及特殊字符四种字符中至少2种的组合,且与用户名或ID无相关性)并
定期更换(更新周期不大于90d);
f) CDN系统应启用登录失败处理功能,如限制非法登录次数、锁定账号等;
g) CDN系统对不同管理员的权限分级管理,遵循权限最小分配原则,管理权限不应超越该管理
员的管辖范围;
h) CDN系统应具备IPv4/IPv6地址的访问控制能力。
6.1.2.3 攻击防范
引入CDN后不应降低内容源站的安全水平,同时CDN系统应提供对内容源站IPv4/IPv6网络下
的抗攻击/压力保护,包括抗同步泛洪攻击、UDP泛洪攻击等流量型DDoS攻击、承载访问压力等,抗流
量型DDoS攻击的能力不小于600Gbit/s,承载访问压力的能力不小于3Gbit/s。
6.1.2.4 入侵防范
业务系统入侵防范满足以下要求:
a) CDN系统应采取安全措施(如ACL中关闭不必要的端口和服务、限制访问地址)防止CDN系
统被入侵;
b) CDN系统应定期(每月/季度/半年)对系统进行安全扫描和加固,检测CDN系统是否能够有
效防入侵。
6.1.2.5 DNS调度系统安全
CDN系统的DNS调度系统安全满足以下要求:
a) CDN系统的DNS调度系统应支持IPv4/IPv6协议;
b) CDN系统的DNS调度系统应采用最新版本的DNS服务器软件;
c) CDN系统的DNS调度系统应与所在CDN系统具有相同的安全等级,并按照YD/T 2052-
2015中5.1~5.3的安全要求开展与安全等级相应的安全防护工作。
6.1.2.6 冗余系统、冗余设备及冗余链路
冗余系统、冗余设备及冗余链路满足以下要求:
a) CDN系统应进行冗余配置,为多个边缘节点提供安全可靠稳定的服务,运营管理系统、
DNS调度系统等CDN系统的核心系统均应至少有两个备份系统(宜部署在不同省份),保证
系统在遇到故障和攻击时应能在30min内完成系统切换;
b) CDN系统中所有设备的处理能力应具备至少20%的冗余,能够满足业务高峰期需要;
c) CDN系统的核心系统(DNS调度系统、运营管理系统、监控系统)有专有链路接入相关运营
商,每个节点上联接入有备份光纤;
d) CDN系统的核心系统(DNS调度系统、运营管理系统、监控系统)间通过多链路相连。
6.1.3 主机安全
6.1.3.1 访问控制
主机访问控制满足以下要求:
a) CDN系统应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
b) CDN系统应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯
一性;
c) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,相关用户口令长度应不
小于8位,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符四种字符中
至少2种的组合,且与用户名或ID无相关性)并定期更换(更新周期不大于90d);
d) CDN系统应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
e) 当对各类主机进行远程管理时,CDN系统应采取措施(如使用加密协议)防止鉴别信息在传输
过程中被窃听;
f) CDN系统应启用访问控制机制或策略,依据安全策略控制操作维护人员对资源的访问;
g) CDN系统应及时删除多余的、过期的账户,避免共享账户的存在;
h) CDN系统应实现操作系统和数据库系统特权用户的权限分离;
i) CDN系统应限制默认账户的访问权限,修改这些账户的默认口令,设备功能配置可更改的情
况下,应重命名默认账户;
j) CDN系统应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度到主
机级。
6.1.3.2 安全审计
主机安全审计满足以下要求:
a) 审计范围应覆盖到主机/服务器上的每个操作系统用户和数据库用户;
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的
安全相关事件;
c) 审计记录应包括事件的操作人员、操作对象、操作内容、操作时间和操作结果等;
d) CDN系统应保护审计记录,避免其受到未预期的删除、修改或覆盖等,保留一定期限(至少
180d)。
6.1.3.3 入侵防范
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级
服务器)保持系统补丁及时得到更新。主机和网络层面均应部署防入侵、防病毒软件或者硬件。
6.1.3.4 资源控制
主机资源控制满足以下要求:
a) CDN系统应对边缘服务器、核心系统(DNS调度系统、运营管理系统、监控系统)进行性能监
测,包括监测服务器的CPU、硬盘、内存、网络等资源的使用情况;
b) CDN系统应能够对服务器、数据库等系统的服务水平设定告警阈值,当监测到服务水平指标
触发阈值时应能进行告警。
6.1.4 物理环境安全
应满足GB/T 22239-2019中第二级的安全物理环境要求。
6.1.5 管理安全
除满足GB/T 22239-2019中第二级的安全管理制度、安全管理机构、安全管理人员、安全运维管
理相关要求外,还满足以下要求:
a) 监控人员应能够及时发现安全攻击和系统宕机等异常事件,并在企业规定时间内汇报运维人
员、管理人员和公司核心管理人员,同时在规定时间内通知内部客户服务人员;
b) 运维人员应能根据安全事件及时启动系统安全预案,及时跟进安全事件解决情况,及时向上级
汇报;
c) 客服人员应能及时(按照服务协议条款)向客户(即内容源站)反馈问题解决建议和对策,协调
客户完成相应部署和测试;
d) CDN系统应针对各类安全攻击(如CDN遭受DDoS攻击,DNS遭受攻击,域名污染或者内容
污染,节点故障或者带宽服务质量不能接受,核心数据遭到破坏等)准备详细的应急处理预案;
e) CDN系统应对CDN全网系统有7×24h监控;
f) CDN系统针对灾难的服务恢复时间应满足企业要求(按照服务协议条款);
g) CDN系统应对灾难恢复预案进行教育、培训和演练。
6.2 第3级要求
6.2.1 数据安全
6.2.1.1 数据一致性保护
除满足第2级的要求之外,还满足以下要求:
a) CDN系统应有能力保证CDN数据与内容源站传输的一致性,支持 MD5值比对、Etag值比对
等方式保证CDN数据与内容源站传输的一致性;
b) CDN系统应具有防止CDN边缘服务器回源站域名解析遭到劫持的能力和措施,在源站配合
下CDN的边缘服务器能避免受到公网DNS的污染或者劫持进而向错误的源站发出内容
请求。
6.2.1.2 安全审计
除满足第2级的要求之外,还满足以下要求:
应具有对审计记录数据进行统计、查询、分析及生成审计报表的功能。
6.2.1.3 恶意数据清除
CDN系统应能够在国家相关部门或内容源站要求时间和范围内,及时完成对被篡改页面或包含恶
意代码页面(恶意代码可能内嵌在文本、图片、链接、可执行文件中等)的屏蔽或清除操作,保证全网服务
器屏蔽或清除全部恶意数据的系统完成时间在10min内。
6.2.1.4 备份数据安全
备份数据安全满足以下要求:
a) CDN系统应在多个核心节点备份运营管理系统的系统管理数据,应每10min同步一次;
b) CDN系统应对源站托管数据进行多点容灾备份,应在10min内完成数据同步。
6.2.2 业务系统安全
6.2.2.1 结构安全
除满足第2级的要求之外,还应满足以下要求:
CDN系统在单个运营商内至少部署10个节点。
6.2.2.2 访问控制
除满足第2级的要求之外,还满足以下要求:
CDN系统可为源站客户分配多个账号,并根据管理身份及权限赋予相应的访问权限。
6.2.2.3 攻击防范
除满足第2级的要求之外,还满足以下要求:
a) 引入CDN后不应降低内容源站的安全水平,同时CDN系统应提供对内容源站IPv4/IPv6网
络下的抗攻击/压力保护,包括抗同步泛洪攻击、UDP泛洪攻击等流量型DDoS攻击,承载访
问压力等,抗流量型 DDoS攻击的能力不小于1.2Tbit/s,承载访问压力的能力不小于10
Gbit/s;
b) 当攻击量或访问压力超过CDN的承载能力,CDN系统应能够采取有效措施避免造成CDN网
络的全面瘫痪。
6.2.2.4 入侵防范
同第2级要求。
6.2.2.5 DNS调度系统安全
除满足第2级的要求之外,还满足以下要求:
a) DNS服务解析具有抗攻击能力,支持DNS系统监控、DNS可用性(外部可访问)监控、DNS防
攻击等;
b) DNS可处理整个系统的96h内历史访问量采样集的3倍访问量;
c) CDN的DNS服务应根据国家相关要求在相应部门注册。
6.2.2.6 冗余系统、冗余设备及冗余链路
除满足第2级的要求之外,还满足以下要求:
CDN系统的DNS调度系统、配置管理系统应有多份(至少四份)备份系统,在遇到故障和攻击时能
无缝完成系统切换。
6.2.3 主机安全
同第2级要求。
6.2.4 物理环境安全
应满足GB/T 22239-2019中第三级的安全物理环境要求。
6.2.5 管理安全
应满足第2级以及GB/T 22239-2019中第三级的安全管理制度、安全管理机构、安全管理人员、
安全运维管理相关要求。
7 CDN安全防护测试方法
7.1 第2级测试方法
7.1.1 数据安全
7.1.1.1 数据一致性保护
第2级数据一致性保护的测试方法见表1~表3。
表1 数据一致性保护2级内部传输数据测试方法
测试编号:CDN-第2级-数据安全-数据一致性保护-01
测试项目:6.1.1.1a)CDN系统应保证内部传输数据的一致性,支持基于加密传输等方式确保CDN系统内部传输数据
的一致性
测试步骤:
1) 访谈CDN运营企业是否有能力保证CDN平台内部传输数据一致性,是否支持基于加密传输方式确保CDN平
台内部传输数据的一致性;
2) 测试者提供一个源站,被测试者提供两级缓存服务器,测试者向边缘缓存服务器请求测试的URL,在传输过程中
测试者篡改两个缓存服务器之间传输的数据,测试者应无法获得被篡改的数据;
3) 清除缓存,测试者再次向边缘缓存服务器请求同样的URL,不执行篡改操作,测试者得到结果后与源站内容对比
预期结果:
CDN系统应保证内部传输数据的一致性
判定原则:
达到以上预期结果,则通过,否则不通过
表2 数据一致性保护2级非法引用测试方法
测试编号:CDN-第2级-数据安全-数据一致性保护-02
测试项目:6.1.1.1b)CDN系统应具备分发的内容不被非法引用的能力,支持基于访问来源IP、时间、地域、加密签名等
方式的防盗链
测试步骤:
1) 访谈CDN运营企业是否有能力保护分发的内容不被非法引用;
2) CDN对访问链接进行来源防盗链配置,测试人员通过其他网站引用该链接;
3) CDN对链接进行访问IP防盗链配置,测试人员通过不在设置IP范围内的IP地址访问该内容;
4) CDN对链接进行访问IP防盗链配置,测试人员通过在IP范围内的IP地址访问;
5) CDN进行访问时间防盗链配置,测试人员在配置时间外访问;
6) CDN进行访问时间防盗链配置,在配置时间内访问
预期结果:
CDN系统应具备分发的内容不被非法引用的能力,支持基于访问来源IP、时间、地域、加密签名等方式的防盗链
判定原则:
达到以上预期结果,则通过,否则不通过
表3 数据一致性保护2级数据阻断测试方法
测试编号:CDN-第2级-数据安全-数据一致性保护-03
测试项目:6.1.1.1c)CDN系统应能检测并及时阻断缓存页面在传输过程中非......
|