陳根：全球網絡陷入癱瘓，敲響網絡安全警鐘_風聞

文/陳根

全球網絡基建並不安全。

根據英國《衞報》，當地時間6月8日上午11時左右，美國互聯網雲端服務供應商Fastly發生故障，引發全球多家網站癱瘓近1個小時。事故發生期間，世界廣泛地區網民無法登入BBC、《紐約時報 》、《衞報》等多家國際媒體網站，亞馬遜（Amazon）等網絡商家以及英國政府網站。

Fastly作為全球為數不多的大型內容分發網絡（content delivery network, CDN）供應商之一，為世界各地網站提供CDN服務，以加快用户瀏覽速度和體驗。儘管Fastly在當日晚間就已公佈事故調查結果，稱肇事原因是5月份一次系統更新中有程序錯誤（bug）未被發現，併為此次癱瘓致歉。

但在CDN對於全球網絡基建的影響日益重要的現在，此次全球互聯網的斷網故障依然引起行業以及人們對於未來網絡安全的擔憂。信息科技與網絡安全專家紛紛認為，這次事件凸顯了世界互聯網基礎建設脆弱的一面。對於我國來説，在新基建建設如火如荼的當前，數字化也仍然面臨安全挑戰。

敲響網絡安全警鐘

還是從此次的全球網絡癱瘓開始説起。此次引發全球網絡故障的根本原因，還是在於內容分發網絡（Content Delivery Network，CDN）發生的故障。簡單來説，CDN，就****是建立並覆蓋在承載網之上，由分佈在不同區域的邊緣節點服務器羣組成的分佈式網絡。

CDN應用廣泛，支持多種行業、多種場景內容加速，例如：圖片小文件、大文件下載、視音頻點播、直播流媒體、全站加速、安全加速。事實上，過去，CDN定位為通信網絡能力的補充和輔助，**然而，隨着通信網絡的升級，**現在視頻流量至少80%是通過CDN承載，CDN已經成為通信網的事實上基礎設施組成部分。

CDN處於承載網和業務網之間，以重疊網形態存在，它的獨立設備包括存儲設備和內容路由管理設備。CDN中的核心技術則是內容路由，目前用映射的辦法，與DNS相結合，巧妙地解決了內容問題。基於此，CDN通過把網站內容複製到遍佈全球的服務器網絡，讓各大網站能更流暢地下載到用户面前，而這在網站充滿高像度照片、視頻等內容的今天尤其重要。

疫情的爆發，更讓CDN在遠程視頻、遠程教育、在線辦公、在線會展等領域發揮了更大的功能性，凸顯了CDN的基礎性。

CDN還可以幫助網站應付瀏覽量突然湧入，同時也就能協助網站抵禦通過製造龐大瀏覽量來試圖癱瘓網站的拒絕服務攻擊（DoS attack）。英國網絡安全企業Cygenta聯席總裁傑西卡·巴克博士形容，CDN的工作就是減少網絡摩擦。可以説，CDN服務已經****是互聯網生態系統的重要組成部分。

**然而，此次引發全球網絡故障的直接原因則是CDN供應商Fastly的故障。**Fastly成立於2011年，為世界各大網站提供CDN服務，以加快網民瀏覽速度和體驗。業內有規模的競爭對手不多，比如，阿卡邁科技（Akamai Technologies）、Cloudera和亞馬遜網絡服務（Amazon Web Services, AWS）。

故障導致一些網站完全癱瘓，其他服務的特定部分也遭到破壞，比如，Twitter上託管社交網絡表情符號的服務器。媒體網站則成為此次斷網事件的重災區，人們想方設法維持新聞發表。美國科技新聞網站The Verge利用谷歌文件發稿，卻忘記設定編輯限制，結果演變成連串亂碼，並在Twitter上引來圍觀。

終於，在受影響的網站重新上線後，Fastly發推文表示，他們發現了一個服務配置在全球範圍內觸發了我們的POP中斷，目前已禁用該配置。儘管在49分鐘內搶修團隊恢復了95%網絡運轉，但在CDN對於全球網絡基建的影響日益重要的現在，此次全球互聯網的斷網故障****依然引起行業以及人們對於未來網絡安全的擔憂。

一方面，人們仍不知道這次癱瘓對全球造成多大的財政損失。根據估算，網站癱瘓一個小時，可讓一家公司賠掉25萬美元。路透社引述跨國媒體公關顧問凱度（Kantar）稱，據粗略推算，每癱瘓一個小時，全球盈利網站就會損失合共2900萬美元的廣告收益。

**另一方面，此次事件也反映着****當前全球互聯網缺乏足夠緩衝安全區。**短短10分鐘內，一個故障就能讓全世界一片混亂，而幾乎全球所有網站都採用CDN與其他雲端服務。這次Fastly服務發生問題，加上此前別的CDN提供商發生也曾遭遇同類事故，足以敲響互聯網雲端服務過度中央化的警鐘。

數字安全保障數字未來

CDN成為基礎設施是已然的現實，在這樣的背景下，CDN發生的安全問題則更不容忽視。顯然，CDN要考慮到可信、安全問題和可預期的用户體驗問題。但到現在為止，在CDN設計中，可信、安全問題卻並沒有被加入考慮的****範圍。

內生的可信、安全能力對數字時代的社會生產和生活具有重要意義。從技術角度來看，目前，端到端加密依靠HTTPS來實現，由於內容存儲在邊緣存儲器中，HTTPS要下沉到邊緣存儲器到用户之間，而不是從源站到用户之間。這使得CDN內部的安全就成為一****大問題，必須加以考慮和解決。

並且，CDN要具備內生安全的技術保證。網絡安全、可信要融入網絡架構設計中。可信安全是CDN必備的能力，CDN設計中需要考慮內生的可信、安全，安全要由網絡保障，而不是現在目前只是應用端來做。

CDN也好，我國當前如火如荼的新基建建設也好，網絡安全的挑戰嚴峻性和重要性都遠超過去。當人們過往的生產、城市治理以及生活方方面面的東西數字化後，比如，用IoT傳感器採集大數據，通過5G通信協議傳輸到雲端，在雲端匯成海量的大數據等，就意味着整個工廠的運轉、城市的運轉完全架構在軟件和互聯網之上。

一旦網絡和軟件受到攻擊，整個新基建可能就會出現嚴重的問題。因此**，越是數字時代，越要同步做好安全的頂層設計****。**網絡安全建設需要同步跟上，否則新基建雖然跑得快，沒有安全的保障，都將成為“裸奔”。網絡安全就是為了在保障安全的前提下，讓它可以走得更快，邁得步子更大一些。

在拉響的網絡安全警鐘下，首先，人們亟待一套新的安全標準。不論是新的網絡安全衡量標準，還是網絡安全的行業標準。

對於新的網絡安全衡量標準來説，過去的衡量標準是合規，即有了安全的產品，就合規了產品的安全。但顯然，就現在來説，除了產品之外，還需要一整套的安防體系以及實戰能力。只有具有真正的防守能力，能夠發現漏洞並修復，才能在擁有面對風險而抗風險的能力。

對於建立網絡安全的行業標準來説，過去，網絡安全的防禦過於碎片化。比如，一個殺毒軟件只能看到電腦上發生的事情，防火牆只能看到在網絡出口端發生的事情，兩者之間互不通氣。現在，打破廠商之間的壁壘，建立網絡安全的行業的標準則亟待建立。

其次，可以預見，在新基建浪潮之下，針對關鍵基礎設施的網絡攻擊必然只增不減。過去“頭疼醫頭、腳疼醫腳”的傳統安全體系侷限性進一步凸顯。應對未來網絡安全問題，則需放棄碎片化或單點防禦的思路，構建持續進化的安全能力體系。

網絡安全絕對是未來新基建最重要的基石，想要在數字時代獲得科技加持下的數字生活體驗，就必須完善網絡安全體系。比如，進一步加大網絡安全基礎理論、前沿技術研發和關鍵技術的攻關支持力度，建立我國自主可控的網絡安全技術、產品和服務的軟硬件生態體系，包括自主創新的主動免疫的可信計算體系，支撐國家新型基礎設施建設。

最後，除了要****重新構建數字經濟的新一代安全架構和安全基建的標準，還應該提高各類社會主體在數字化進程中的風險免疫能力，從源頭上降低網絡安全威脅。此次發生的全球網絡癱瘓就是一個警示，而這種中斷也可能代表着進一步攻擊的機會窗口——尤其是針對那些過度依賴CDN基礎設施來確保其安全性的站點。企業應在適當的情況下使用額外的獨立安全層，以確保不存在單點故障。

只有在更大範圍內確保數字基礎設施的供應鏈安全，明確數字基礎設施的安全操作規範，並對不同應用場景提出不同的規範要求，人們才不至於陷入可能的混亂。