北龙中网:用标准构筑域名安全

  • 来源:互联网周刊
  • 关键字:北龙中网
  • 发布时间:2010-09-13 16:45
  中国首份《中国域名服务及安全现状报告》显示,我国目前总量近百万域名服务器中,超过50%的域名服务器相对不安全,而我国57%的重要信息系统存在域名解析风险。中国域名安全运维面临着技术及标准的滞后,因域名系统引发的互联网安全事件也日益严重,互联网急需一家具有权威背景、雄厚互联网基础资源和丰富产业技术经验的机构来领导并解决这一切——这正是域名行业背景深厚、依托中国互联网络信息中心成熟的技术研发体系的北龙中网公司面临的新机会。

  几乎没有什么事情比攻击公司的域名系统服务器更能引起IT部门的恐慌了。今年1月12日,由于美国域名注册服务商Register.com的重大疏忽,致使中国搜索巨头百度www.baidu.com的域名解析遭到不法分子恶意篡改,故障长达5个多小时。在蒙受巨大经济损失的同时,百度CEO李彦宏更是连用多个“史无前例”表达感慨。

  目前,这场重大故障最新的进展是:美国时间7月22日,美国纽约一家联邦法院做出裁决,允许百度起诉美国域名提供商Register.com违反合同、玩忽职守和应对黑客攻击轻率。

  这场事故无疑为更多的互联网企业敲响了警钟。几乎所有的互联网应用都离不开域名,域名安全直接关系到互联网应用能否运行,是互联网的“命门”之一。如何最大限度保障域名持有者的合法权益,已成为全球域名行业不能回避的话题。

  针对域名服务体系的安全隐患,中国互联网络信息中心(CNNIC)主任毛伟介绍,域名服务实际上至少包括两个大类,一个是我们通常所说的域名注册服务,另外一个就是域名安全运维服务,而在使用过程中,域名安全运维显得更加重要,但是这个方面却长期以来没有得到足够的重视。

  拷问域名安全现状

  北龙中网《报告》数据显示,从2009年8月到2010年8月一年时间内,全球大型的域名攻击多达20起,安全故障无孔不入,涉及到了域名服务的各个层级:有对国家顶级域名的事故,如瑞典顶级域名.se因技术问题造成的瑞典全国网络瘫痪;也有因电信运营商的递归服务器瘫痪造成的大面积断网,如暴风影音事件,同样,对域名解析服务(DNS)提供商的攻击更是不绝如缕,易名中国DNS服务器攻击导致上万域名无法解析,新网则造成二十万域名“罢工”。

  相比显性的网络欺诈和病毒攻击,域名故障的影响范围广大而损失更为惨重,攻击隐蔽而破解更难入手,造成的损失非常严重,互联网底层故障造成网络生活受阻甚至国家信息安全危机。域名系统作为4万亿电子商务市场的支撑基础,如果存在安全隐患,相当于在沙地上建立摩天大楼。

  互联网急需一家具有权威背景、雄厚互联网基础资源和丰富产业技术经验的机构来领导并解决这一切。

  对于尚显粗放的域名服务行业,大部分网站尤其中小型网站,建站后自动将域名运维服务“配套”托管给了域名注册服务商,在网民和终端不多的早期,无论是电信运营商抑或域名托管商均能承受不大的访问流量;随着网民突破4亿,上网终端剧增,网站访问流量的剧增让各级域名服务体系变得相当脆弱,运营商之间、域名托管商之间“良莠不齐”的域名服务水平以及互联网的整体勾连性,让域名服务的局部改进成为“按下葫芦起了瓢”的游戏。

  事实上,多位电信和互联网专家都曾一针见血地指出问题的关键——我国很多省市在域名服务器部署方面没有很好的机制,包括域名服务管理机构、电信运营商、域名托管商等产业链的所有环节都需要按照一个标准来更好地设计网络。

  域名安全运维服务关键在于技术标准

  由北龙中网联合中国互联网络信息中心制定的《域名系统安全防护要求》和《域名系统安全防护检测要求》两项标准获得工业和信息化部审批,成为域名行业首度获批的行业标准,实现了域名系统安全方面“零的突破”,这两个标准为我国域名服务系统提出了安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求,自此我国域名服务行业有“规”可依,域名服务行业真正走向规范、安全和可靠。“‘5·19暴风事件’之前,我们就已经着手进行域名安全相关标准的制定。”北龙中网总工李晓东博士介绍。

  在2009年底,根据中国科学院、工业和信息化部领导要求,中国科学院计算机网络信息中心将原CNNIC运行管理的,具有自主知识产权的互联网关键词寻址等基础资源服务进行科技创新成果转化,成立北龙中网(北京)科技有限责任公司。这一企业的使命就是让互联网更便捷、更安全、更有价值。而制定域名系统安全方面的标准,正是其践行社会责任的重要一面。

  此前,记者从域名管理机构工业和信息化部的行业标准列表中了解到,目前通信行业的2766个行业标准中,没有一个行业标准和域名系统有关。根据互联网的网络分层,互联网大致分为物理层、协议层和应用层,在近3000个通信行业标准中,关于互联网设备工程等物理层的标准占据绝大部分,协议层中关于IP地址的标准也为数不少,唯独协议层中的域名安全运维领域,无一个标准先例,这和域名的重要性显然不相符合。

  李晓东博士认为,域名服务系统的行业标准空白,有两个原因,一个是域名本身作为基础设施,其重要性的认识有一个循序渐进不断深入的过程,因此起步较晚;第二相比通信网络设备等研究,国内对域名行业进行跟踪研究的单位非常少,因此研究力度比较薄弱。

  究竟怎样的域名服务器部署才算好的机制?究竟怎样设计网络才能降低域名系统乃至互联网的风险,对于域名系统的安全有没有统一的要求?面对国内良莠不齐的域名服务水平,是一刀切,还是制定一个域名服务的分级标准,实施分级而治?对于整个域名服务行业,这些问题此前全无定论。北龙中网联合CNNIC制定的《域名系统安全防护要求》和《域名系统安全防护检测要求》无疑填补了这一空白。

  域名安全运维服务关键在于技术标准。根据标准要求,将域名系统安全防护内容分为安全风险评估、安全等级保护、灾难备份及恢复等三个部分,提出了安全防护要求和检测要求。标准作为工业和信息化部的推荐性标准,对提供相关域名解析服务的整个业务系统都有引导和推荐作用。北龙中网是业界领先的互联网基础服务提供商,其战略合作伙伴CNNIC是我国域名运行管理机构,在域名领域有深入的研究和运行经验。

  域名行业标准最重要的意义在于为域名行业提供了两个关键性指标。“一个是针对域名,即根据域名的社会影响力、所提供服务的重要性、服务规模的大小分别定级,并对不同的域名提出不同的域名服务需求,以求提供最为精确和稳健的域名安全运维服务。”审批该标准的中国通信化标准协会的专家为记者分析了标准的内涵,“第二个指标针对提供域名服务的相关运营商,对资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等进行评级,确认域名服务商的服务水平”。

  这也意味着,以该标准为指标,域名服务开始有“规”可依。无论是从技术还是在从管理上来看,对于域名的这个环节实现规范、高效的产业化是根本的解决之道。

  工业和信息化部通信保障局闫宏强处长在域名服务安全高端论坛上强调,要规范整个域名服务行业,提升域名服务安全系数,急需一个中立、技术过硬、管理有序第三方来提供域名安全运维服务。企业可以将自己的域名安全运维服务外包给专业的第三方服务机构。

  这意味而此前大量存在的由域名注册服务商“绑定”实行域名运维服务的粗放方式开始改变,从电信运营商、域名服务商到需要服务的网站所有者,域名服务的标准化、统一化,规范化时代就此开启者,整个域名服务链条即将迎来清晰、明确、精准、规范的服务态势,有利于提升域名行业的安全系数和可靠性,从而从根基出发提升了互联网的安全和可信。

  北龙中网的历史机遇:寻找新蓝海

  “域名系统是互联网的基础设施,如同互联网的空气。一旦发生域名信息被恶意篡改或被攻击,将对网站的正常运转和业务经营带来巨大负面效应。”北龙中网总工李晓东如是说。

  与域名注册服务商所不同,北龙中网定位为互联网基础资源服务提供商。按照互联网的三层架构,基础资源服务层是介于物理基础设施层和业务应用层之间,任何互联网业务应用必须查询基础资源服务获得相关基础资源信息后才能进行数据通信和互联互通,才能使各项业务得以开展和实现。

  针对域名解析服务的安全问题,北龙中网即将推出一个完整的、可信赖的“云解析”服务方案:包括高可信智能化的解析服务、免费递归服务、中小企业托管服务、企业级DNs托管服务、企业级DNS备份服务。 “云解析”方案既包括了硬件,也包括软件,既有针对大中小企事业单位的企业级服务,也有针对普通网民、个人站长的免费服务。

  此外,北龙中网结合目前国际通用的域名解析软件BIND的漏洞和问题,研发出一套具有自主知识产权的域名服务软件,既避免完全依靠国外域名服务软件的被动和信息不安全隐患,也能结合国内域名服务的具体要求进行定制改写。

  北龙中网所要做的,就是通过建立一个开放的平台,“利万物而不争”,提供高可信的域名安全运维服务,用自己的力量去承载丰富多彩的信息应用。

……
关注读览天下微信, 100万篇深度好文, 等你来看……
阅读完整内容请先登录:
帐户:
密码: