作为企业ICT基础设施,域名服务系统是影响互联网各项应用性能的重要环节,稳定的域名解析服务是基于互联网业务、企业内部业务系统正常运行的基础。为了强化DNS安全理念,帮助用户解决DNS安全方面的疑惑,由互联网域名系统北京市工程研究中心和CIO之家联合举办的“2014年企业网络安全在线研讨会”在7月24日下午成功举办。
本次在线研讨会以“企业DNS安全云端漫步”为主题,工业和信息化部信息安全研究所所长刘权和互联网域名系统北京市工程研究中心行业资深顾问张振尧分别做了主题演讲,并就网友们广泛关注的DNS安全问题分别了详尽解答。
随着整个网络建设包括宽带中国战略的实施、互联网全面升级提速、4G网络商用、虚拟运营商发放牌照及传统产业转型升级,带动信息消费等都带来了对互联网的挑战。所以维护整个互联网网络的安全也是保障各领域信息化工作持续稳定发展的先决条件。
刘权在演讲中指出,“棱镜门”事件发生之后引发了国际社会和公众对网络安全空前关注,网络已经成为国家的战略空间。
在互联网核心资源安全方面,刘权认为,互联网域名解析相关的体系都是由美国提出的,其中最总要的域名解析服务器,目前全球有13台根服务器,其中10台位于美国、2台分别位于欧洲的英国和瑞典、1台位于亚洲的日本。在国内,目前也只是建立以一些镜像域名解析系统,所以说在去年国内整个域名解析系统的瘫痪和这也是有关系的。以域名解析为核心的网络安全问题近年来也逐渐引起页面的广泛关注。
张振尧认为,域名系统(DNS)已经成为网络基础网络设施和业务系统之间的纽带,任何人要在网络当中访问相关的业务系统都需要通过DNS,再由DNS反馈给相应的IP,通过IP地址来获取需要访问的业务。DNS已经成为网络中的中枢神经系统,同时也是网络管理的有力抓手。DNS的基础做好了,整个网络的安全也将获得稳定的保障。
DNS系统的重要性决定了其是黑客攻击的重要目标源。张振尧指出,DNS的攻击手段大体上分为五类:第一类是漏洞攻击,利用DNS系统漏洞,进行有针对性的攻击,特定指令就会造成DNS系统的整体瘫痪;第二类是缓存中毒,利用污染DNS数据,将解析结果指向黑客控制的网站,造成访问者损失;第三类是DDos攻击,攻击者组织大量的傀儡机同时向域名服务器发送大量查询报文,导致DNS性能达到极限或完全失效,从而影响服务客户的能力;第四类是放大/反射攻击,常与DDos攻击配合使用,向第三方设备发送小的和欺骗性的询问信息,随后回复大量结果到目标设备;第五类是网络踩点,获取DNS等相关信息后能够确定目标的资源,可以针对一个IP进行欺骗攻击。
针对DNS系统面临的安全隐患,互联网域名系统北京市工程研究中心推出可一个具有针对性的解决方案。在外网上,互联网域名系统北京市工程研究中心提供了一个全球商用域名云服务平台。通过这个平台可以对全球的域名解析进行加速,使SLA达到99.999%电信级的保障,通过云监控的方式对安全、性能、故障、流量、配置等进行全方位的全球监测。张振尧指出,该平台还具备国家级专业服务能力,通过提供专用的设备在企业内部搭建一个云集中管理平台,帮助企业实现DNS云端话的管理方式。这样使用集中管理保证企业业务的业务连续性,当企业遇到灾难时也可以快速的进行灾难恢复。