作為企業(yè)ICT基礎設施，域名服務系統(tǒng)是影響互聯(lián)網(wǎng)各項應用性能的重要環(huán)節(jié)，穩(wěn)定的域名解析服務是基于互聯(lián)網(wǎng)業(yè)務、企業(yè)內(nèi)部業(yè)務系統(tǒng)正常運行的基礎。為了強化DNS安全理念，幫助用戶解決DNS安全方面的疑惑，由互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心和CIO之家聯(lián)合舉辦的“2014年企業(yè)網(wǎng)絡安全在線研討會”在 7月24日下午成功舉辦。

 

本次在線研討會以“企業(yè)DNS安全云端漫步”為主題，工業(yè)和信息化部信息安全研究所所長劉權(quán)和互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心行業(yè)資深顧問張振堯分別做了主題演講，并就網(wǎng)友們廣泛關注的DNS安全問題分別了詳盡解答。

 

 隨著整個網(wǎng)絡建設包括寬帶中國戰(zhàn)略的實施、互聯(lián)網(wǎng)全面升級提速、4G網(wǎng)絡商用、虛擬運營商發(fā)放牌照及傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級，帶動信息消費等都帶來了對互聯(lián)網(wǎng)的挑戰(zhàn)。所以維護整個互聯(lián)網(wǎng)網(wǎng)絡的安全也是保障各領域信息化工作持續(xù)穩(wěn)定發(fā)展的先決條件。

 

 劉權(quán)在演講中指出，“棱鏡門”事件發(fā)生之后引發(fā)了國際社會和公眾對網(wǎng)絡安全空前關注，網(wǎng)絡已經(jīng)成為國家的戰(zhàn)略空間。

 

 在互聯(lián)網(wǎng)核心資源安全方面，劉權(quán)認為，互聯(lián)網(wǎng)域名解析相關的體系都是由美國提出的，其中最總要的域名解析服務器，目前全球有13臺根服務器，其中10臺位于美國、2臺分別位于歐洲的英國和瑞典、1臺位于亞洲的日本。在國內(nèi)，目前也只是建立以一些鏡像域名解析系統(tǒng)，所以說在去年國內(nèi)整個域名解析系統(tǒng)的癱瘓和這也是有關系的。以域名解析為核心的網(wǎng)絡安全問題近年來也逐漸引起頁面的廣泛關注。

 

 張振堯認為，域名系統(tǒng)（DNS）已經(jīng)成為網(wǎng)絡基礎網(wǎng)絡設施和業(yè)務系統(tǒng)之間的紐帶，任何人要在網(wǎng)絡當中訪問相關的業(yè)務系統(tǒng)都需要通過DNS，再由DNS反饋給相應的IP，通過IP地址來獲取需要訪問的業(yè)務。DNS已經(jīng)成為網(wǎng)絡中的中樞神經(jīng)系統(tǒng)，同時也是網(wǎng)絡管理的有力抓手。DNS的基礎做好了，整個網(wǎng)絡的安全也將獲得穩(wěn)定的保障。

 

 DNS系統(tǒng)的重要性決定了其是黑客攻擊的重要目標源。張振堯指出，DNS的攻擊手段大體上分為五類：第一類是漏洞攻擊，利用DNS系統(tǒng)漏洞，進行有針對性的攻擊，特定指令就會造成DNS系統(tǒng)的整體癱瘓；第二類是緩存中毒，利用污染DNS數(shù)據(jù)，將解析結(jié)果指向黑客控制的網(wǎng)站，造成訪問者損失；第三類是DDos攻擊，攻擊者組織大量的傀儡機同時向域名服務器發(fā)送大量查詢報文，導致DNS性能達到極限或完全失效，從而影響服務客戶的能力；第四類是放大/反射攻擊，常與DDos攻擊配合使用，向第三方設備發(fā)送小的和欺騙性的詢問信息，隨后回復大量結(jié)果到目標設備；第五類是網(wǎng)絡踩點，獲取DNS等相關信息后能夠確定目標的資源，可以針對一個IP進行欺騙攻擊。

 

 針對DNS系統(tǒng)面臨的安全隱患，互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心推出可一個具有針對性的解決方案。在外網(wǎng)上，互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心提供了一個全球商用域名云服務平臺。通過這個平臺可以對全球的域名解析進行加速，使SLA達到99.999%電信級的保障，通過云監(jiān)控的方式對安全、性能、故障、流量、配置等進行全方位的全球監(jiān)測。張振堯指出，該平臺還具備國家級專業(yè)服務能力，通過提供專用的設備在企業(yè)內(nèi)部搭建一個云集中管理平臺，幫助企業(yè)實現(xiàn)DNS云端話的管理方式。這樣使用集中管理保證企業(yè)業(yè)務的業(yè)務連續(xù)性，當企業(yè)遇到災難時也可以快速的進行災難恢復。