CNNIC網(wǎng)絡(luò)安全高級主管胡安磊：提升CNNIC安全

CNNIC網(wǎng)絡(luò)安全高級主管胡安磊：

各位專家、各位同仁，大家下午好。我來自中國互聯(lián)網(wǎng)絡(luò)互聯(lián)中心CNNIC。CNNIC是97年成立的，是中國代表國家年檢CNNIC系統(tǒng)的機(jī)構(gòu)。今天很榮幸有這個機(jī)會把CNNIC系統(tǒng)方面的認(rèn)識介紹給大家，和大家一起來交流，提升CNNIC系統(tǒng)安全的方式。進(jìn)一步提高中國在信息網(wǎng)絡(luò)安全方面的水平。

今天主要的內(nèi)容包括四個方面：第一個方面是域名系統(tǒng)及重要性。第二方面是經(jīng)介紹一下域名系統(tǒng)面臨的安全問題。第三個方面是關(guān)于域名系統(tǒng)安全工作的分析，最后是一點總結(jié)和幾點建議。

域名系統(tǒng)大家比較熟悉，它是一個全球的分布系統(tǒng)，有一個豎型結(jié)構(gòu)的空間。包括.cn、.com的系統(tǒng)。提供一個分布式的點擊查詢服務(wù)，轉(zhuǎn)變?yōu)镮P地址。從技術(shù)角度來看，目前互聯(lián)網(wǎng)的應(yīng)用越來越廣泛，電子商務(wù)和電子政務(wù)深入到日常生活的每個方面，但是基本的選址方式是DNS的解析。如果DNS解析出現(xiàn)了問題，使得互聯(lián)網(wǎng)不太順暢。第二個是資源角度看，以域名為基礎(chǔ)的應(yīng)用。域名也是在豐富互聯(lián)網(wǎng)的應(yīng)用。它是互聯(lián)網(wǎng)上的標(biāo)尺，有惟一性，不可重復(fù)性。隨著現(xiàn)代互聯(lián)網(wǎng)的發(fā)展，域名有了一個重要作用，代表了公共的利益，是公共資源。對于國家來說，國家的域名相當(dāng)于國家的主權(quán)。從這個兩個角度來說，域名系統(tǒng)不但對計算機(jī)，還是網(wǎng)絡(luò)都是非常重要的。1.針對惡意域名系統(tǒng)的攻擊。針對各個單位對域名攻擊的重視，一般的病毒對DDOS攻擊并不是很嚴(yán)重。最重要的是DDOS攻擊有可能造成域名解析癱瘓。2.域名劫持，這個概念比較寬泛。修改注冊信息達(dá)到訪問的目的，也包括劫持解析結(jié)果，使報告過程有一個錯誤的結(jié)果。這兩種都會產(chǎn)生不良的影響。3.國家性質(zhì)的域名系統(tǒng)安全事件，比如利比亞的系統(tǒng)安全事件，.ly域名癱瘓。還有.af的域名，是阿富汗的域名。由于阿富汗的政府總是更替，域名總是更換，導(dǎo)致這個國家的域名系統(tǒng)不能很好的運(yùn)行。

域名系統(tǒng)安全工作分析，在具體的域名系統(tǒng)安全工作分析之前，我們要看一下域名服務(wù)體系的組成。涉及到三個系統(tǒng)：域名的注冊系統(tǒng)、解析系統(tǒng)、查顯系統(tǒng)。五個角色：域名的持有者、注冊服務(wù)機(jī)構(gòu)、管理機(jī)構(gòu)、本地的DNS、訪問者。這五個角色有7個核心的數(shù)據(jù)流。

下面從三個系統(tǒng)的角度和7個數(shù)據(jù)流的角度來分析。從解析的過程中，有用戶的客戶端、本地的緩存DNS服務(wù)器還有各級的權(quán)威DNS服務(wù)器。通過這三個方面來解決工作。

從一般的客戶端層來說，我們這里指的客戶端是指瀏覽器或郵件接收端的程序。隱患包括它所在的操作系統(tǒng)存在漏洞，或者它所在的平臺受到病毒或被控制，會導(dǎo)致DNS的結(jié)果被控制，不能進(jìn)行正確的域名解析。這里需要做的是對所有的用戶來說，要加強(qiáng)自己的安全管理，防止網(wǎng)絡(luò)病毒。應(yīng)對手段是強(qiáng)化桌面安全。網(wǎng)絡(luò)層，隱患是DNS報文劫持，應(yīng)對手段是設(shè)置ACL/DNSSEC技術(shù)等方式來防止沒有經(jīng)過授權(quán)的服務(wù)器仿冒本地的DNS服務(wù)器。

針對本地的DNS服務(wù)器來說，可能隱患是DNS軟件漏洞，沒有打不定。還有是沒有進(jìn)行安全的配置。所以我們要對本地緩存的DNS版本進(jìn)行高版本的漏洞軟件，同時要對這個軟件進(jìn)行安全的配置，防止漏洞的數(shù)據(jù)入侵。

對于全國各地的DNS服務(wù)器來說，因為各地的DNS都是由各地來管理，所以DNS的軟件非常少?，F(xiàn)在我們所采取的手段是加大解析系統(tǒng)的分布。比如跟服務(wù)器進(jìn)行全球的徑向分布。還有全球DNS節(jié)點進(jìn)行了部署工作。

第二個系統(tǒng)是注冊系統(tǒng)。首先是域名持有人通過在線提交或者通過電話、正式的公文的方式，把域名注冊信息提交給注冊服務(wù)機(jī)構(gòu)，注冊服務(wù)機(jī)構(gòu)把信息提交給注冊管理服務(wù)器，注冊管理服務(wù)器將傳入機(jī)構(gòu)后，再對外發(fā)布服務(wù)。這樣的域名的服務(wù)機(jī)構(gòu)以及域名的管理機(jī)構(gòu)。對于域名的持有者來說，存在的隱患是他的系統(tǒng)有病毒或木馬，被黑客控制，導(dǎo)致黑客可以使用他的終端，使用他的身份，包括更改域名的所有權(quán)。通過郵件來搶奪別人的域名。第一要強(qiáng)化個人電腦的安全。第二作為服務(wù)機(jī)構(gòu)來說，在申請域名服務(wù)材料的時候要加強(qiáng)檢查的力度和服務(wù)中心的力度。對于服務(wù)管理系統(tǒng)來說，這方面的隱患所提供的基礎(chǔ)是網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)存在漏洞，很可能被黑客入侵，直接修改域名注冊的機(jī)構(gòu)。對域名來講，我們要進(jìn)一步提升域名機(jī)構(gòu)在安全準(zhǔn)入方面的條件，不斷提高域名在安全方面的實力。

我們除了采取相應(yīng)的技術(shù)手段之外，我們還在做的是建立比較安全的域名防范體系。有比較大的社會影響的域名，我們進(jìn)行全面的監(jiān)控。

第三個系統(tǒng)是Whois系統(tǒng)。一個涉及到它的查詢者，一個是域名注冊的管理機(jī)構(gòu)體系。

我們看了域名系統(tǒng)安全工作分析之后，我們再從比較抽象的方面，7個數(shù)據(jù)流的角度看哪些還需要做。域名系統(tǒng)在一次完整的服務(wù)流程過程中會產(chǎn)生幾個數(shù)據(jù)流。第一個數(shù)據(jù)流是域名注冊者和注冊服務(wù)機(jī)構(gòu)的數(shù)據(jù)流。認(rèn)證域名注冊者、信息通道加密、保證注冊服務(wù)客戶端可用性。

第二個數(shù)據(jù)流是注冊服務(wù)機(jī)構(gòu)到注冊管理機(jī)構(gòu)的數(shù)據(jù)流。保證信息同道加密、一定服務(wù)質(zhì)量保證、注冊管理機(jī)構(gòu)要對注冊服務(wù)機(jī)構(gòu)的客戶端進(jìn)行身份驗證，通過發(fā)放證書的方式、注冊服務(wù)器的安全性，要提高注冊服務(wù)的可用性。在安全方面要加強(qiáng)安全配置，安全管理。

第三個數(shù)據(jù)流注冊服務(wù)器到數(shù)據(jù)庫。這個過程服務(wù)器把數(shù)據(jù)寫入數(shù)據(jù)庫，注冊服務(wù)器到數(shù)據(jù)庫有不同的網(wǎng)站，之間有嚴(yán)格的安全過濾措施。核心的數(shù)據(jù)庫還需要具備入侵檢測的能力和安全檢測的系統(tǒng)。核心的數(shù)據(jù)庫、權(quán)威的數(shù)據(jù)庫要有備份，以及災(zāi)難之后的恢復(fù)機(jī)制。

第四個數(shù)據(jù)流是數(shù)據(jù)庫到DNS。是把數(shù)據(jù)庫把DNS需要的文件傳遞給DNS。我們是保持?jǐn)?shù)據(jù)一致性、保證數(shù)據(jù)來源的真實性、設(shè)置隱藏主服務(wù)器。

第五個數(shù)據(jù)流是主輔DNS之間的數(shù)據(jù)流。要保證它們之間數(shù)據(jù)同步的及時和完整、來源數(shù)據(jù)驗證和加密機(jī)制。

第六個數(shù)據(jù)流是遞歸的DNS到權(quán)威的DNS。遞歸的要防止仿冒，DNS的管理者要建立安全性，數(shù)據(jù)還要有真實性。對于DNS的單位來說，要保證數(shù)據(jù)的穩(wěn)定性，目前來說要防止拒絕攻擊帶來的影響。

第七個數(shù)據(jù)是本地DNS到域名訪問者之間的數(shù)據(jù)流。是要保證查詢者的安全性，另外保證本地DNS的安全性，提供兩臺DNS，防止DNS失效的發(fā)生。

域名系統(tǒng)安全工作總結(jié)

從上面的分析我們可以看出，域名服務(wù)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，域名的安全是我國信息安全的重要一環(huán)。同時我們可以看到，域名系統(tǒng)的安全問題，是一個復(fù)雜的綜合性問題，涉及面廣，既涉及到域名的訪問者，涉及到域名的注冊管理機(jī)構(gòu)、服務(wù)機(jī)構(gòu)，要保證復(fù)雜性的安全，是一項巨大的工程，也是一項難完成的任務(wù)。我們正在做的是不斷提高這個系統(tǒng)的安全性，降低域名系統(tǒng)安全問題發(fā)生的概率。在域名系統(tǒng)安全問題發(fā)生的時候，能把問題最小化，以最快的速度恢復(fù)系統(tǒng)的工作。

對于域名系統(tǒng)安全工作我們有以下幾點建議：首先從國家戰(zhàn)略的層面來看，從國家信息社會的基礎(chǔ)設(shè)施的高度充分認(rèn)識國家域名系統(tǒng)的重要性。大力提倡和使用由我國自主管理的CN域名，尤其是對一些關(guān)系多國計民生，有很大社會影響的網(wǎng)站，沒有特殊情況，一定要使用CN域名。第三個建議是建立國家域名聯(lián)動體系，在CNNIC、各級域名注冊服務(wù)機(jī)構(gòu)、重要域名持有機(jī)構(gòu)三者建立很有效的溝通渠道。這樣有利于我們對重點域名的管理，以及它的安全應(yīng)急工作。從注冊管理機(jī)構(gòu)的層面來看，我們要繼續(xù)加大對國家域名系統(tǒng)的投入，不斷提高國家域名系統(tǒng)的抗攻擊能力。到目前為止，已經(jīng)在德國、韓國進(jìn)行了建設(shè)。下一步我們根據(jù)域名注冊的情況加強(qiáng)海外域名的建設(shè)。第二方面加大安全建設(shè)投入，建立符合國際標(biāo)準(zhǔn)的安全信息。

從域名注冊服務(wù)機(jī)構(gòu)的層面看，我們作為域名注冊管理機(jī)構(gòu)，首先要提高不斷對域名注冊服務(wù)機(jī)構(gòu)的技術(shù)要求。可以聯(lián)合國家的相關(guān)部門出臺指導(dǎo)性的文件，來提高各級機(jī)構(gòu)在DNS數(shù)據(jù)管理以及DNS軟件安全配置的水平。