专家对话| 域名体系治理,为网络安全提供时代新解发表时间:2022-06-15 16:38 伴随数字化、信息化深入发展,在各领域的数字化新场景引申出全新互联网安全挑战;当我们正在通过互联网体验“数字政府、智慧政务”所带来的“新速度、新温度”的同时,互联网中的关键基础设施——域名系统(DNS)也随之成为互联网攻击的主要目标。 如何牢筑互联网安全第一道防线?如何全面、体系化看待互联网安全问题?中国软件行业协会信息化协同专委会副主任邵国安与互联网域名系统国家工程研究中心(ZDNS)总工程师张绍峰聚首论道,围绕“关于政务DNS的安全问题及相关建议”和“DNS安全防护与治理体系”展开深度对话。 邵国安:结合DNS应用安全解决方案 实现态势感知 邵国安首先提纲挈领地指出,互联网安全是一个长期演进、发展和变化的过程,DNS作为互联网关键基础资源,将为互联网安全构筑坚固的基础支撑。基于对“DNS应用原理及重要性”和“公共DNS服务存在的安全风险”的科学分析,邵国安围绕政务DNS应用安全提出可行性建议。DNS是互联网的关键信息基础设施,也是各单位访问互联网的信息基础设施,对互联网安全发挥底层支撑作用。DNS元数据是互联网的本源,但由于DNS运行的基础假设是:公共授权DNS服务器对所有请求都要做出响应,而没有对请求用户认证的能力,所以“公共DNS数据是公开的,但服务却是不完全可靠的。” 对于互联网安全要求极高的政务领域,实施DNS应用安全解决方案势在必行,从而实现态势感知,提供互联网行为根源的全景和全息关联,建立和积累相关的辅助分析数据库和知识库,实现点到点与端到端的定位,为溯源分析提供数字化线索情报(SIGINT),改进态势感知的本质和内涵的完备性。同时,邵国安还聚焦政务领域安全体系建设提出建设性意见:逐步在国家的各关键信息基础设施企业开展DNS与公众访问互联网的分离工作;在统一的互联网出口部署相关网际设备,针对互联网的攻击及异常行为进行常态化的监测和控制,逐步从发现异常到跟踪溯源、反制控制最终实现互联网威慑。
张绍峰:聚焦“心、体、脑”三层 构建DNS安全防护与治理体系
张绍峰从多个维度全面介绍了《DNS安全防护与治理体系》。作为支撑互联网运行的关键基础资源,DNS是“导航”系统、互联网访问的“入口”、业务调度及容灾的“枢纽”。但由于“协议简单,容易掌握”、“攻击成本低,收益高”、“无针对性的防御体系”等特点,DNS安全治理面临“防不住、抗不住、难发现和难追溯”的挑战。ZDNS围绕“心、体、脑”三个层面,构建DNS安全防护与治理体系:在核心安全层面,实现解析引擎技术自主可控,数据分发机制安全可靠,DNS威胁处置能力全面覆盖,保障处置过程不影响服务质量;在架构安全层面,致力于实现人机分离、内外分离、权威递归分离、AD业务分离、业务与管理分离,DNS系统架构设计面向系统上游可容灾,面向下游可纠错;在DNS体系安全层面,规范域名空间的使用,并掌控域名空间使用及域名服务状态的态势变化,实现对DNS服务的观察、理解和预测,精准指导域名安全防护管理工作。从上述三个层面构建立体式安全治理体系,ZDNS致力于实现域名服务的稳定可靠,域名数据不被篡改,域名隐私不被泄露,域名风险不被触发。
专家对话:互联网安全长期演进 DNS构筑基础支撑 随后,围绕“DNS对内网安全的重要性”、“云原生概念下,如何从DNS维度为业务系统全面上云做好准备”等话题,两位专家分别从各自研究领域展开深入讨论,聚焦DNS安全对互联网安全的影响形成建设性观点: 首先,互联网安全是整体概念,DNS是其重要的、不可或缺的组成部分,互联网安全应从全局出发,从体系化角度思考,明确安全定义,在定义范围内制定相关安全要求。 其次,DNS安全对云计算安全的作用体现在边界控制上。DNS更多关注外部安全,云计算环境则更注重内部安全,DNS对云计算安全的作用更多体现在应用之间的边界访问控制上,对互联网攻击跟踪溯源,针对境内外的攻击采取不同策略进行反制。 |