DNS:从“源头”入手,为网络安全赢得先手棋

发表时间:2022-09-07 17:04

95日,国家网络安全宣传周正式开幕。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文在开幕式上致辞,总结党的十八大以来,我国关键信息基础设施保护、数据安全管理等能力持续加强,号召要全面提升网络安全保障能力和水平,开创网络安全工作新局面。

1.jpg

网络安全、数据安全事关经济社会稳定、国家安全。互联网关键信息基础设施,作为网络根基,更是关乎数字经济的平稳发展与高质量提升。近年来,全球网络安全形势严峻,针对关键行业和新技术、新场景的网络安全威胁事件频发,深化互联网关键信息基础设施的安全举措,提升互联网新技术的安全防护能力,深化重点行业的安全应用场景,建立结合网络安全与数据安全的互联网安全体系,最终筑牢数字经济发展的重要网络根基。

域名系统——网络安全第一道防线

伴随物联网、云计算、大数据等新ICT技术的广泛应用,网络空间的防护似乎变得越来越不可控:网络攻击手段日趋高级、对象逐步扩大、形式更加多样……“头疼医头,脚疼医脚”的传统防护思维无法满足网络大安全时代的新要求,基于“源头”思维构建网络安全全局意识才是题中之义。

2.jpg

作为支撑互联网运行的关键基础资源,域名系统(DNS)是“导航”系统、互联网服务的“入口”、业务调度及容灾的“枢纽”,承担将域名指向可由计算机识别的IP地址的重要作用,DNS的安全是保障网络畅通的核心和基础,DNS安全无法保障,网络安全也就成为“无源之水、无本之木”。同时,移动互联网的迅猛发展使各种终端大行其道,终端设备之间的交互更为频繁,而大部分数据传输都是通过接口调用,调用内容时必须经由带参数的域名才能实现,作为互联网服务入口的域名系统,是移动互联网时代网络安全的第一道防线。

正是由于DNS在网络中的特殊位置和作用,长期以来都是网络攻击的重点对象,但往往也是网络防护中的薄弱环节,经常被忽视。互联网域名系统国家工程研究中心(ZDNS)从整体层面将DNS安全划分为服务安全和数据安全。针对服务安全的网络攻击是以影响DNS服务可用性、服务质量和服务准确性为目的;而针对数据安全的攻击则会利用DNS域名解析找到标靶或者链接远程控制中心等,导致被攻击者访问的域名存在安全隐患。

立足当下,探索根治网络安全的更优解

为了防止针对DNS系统的攻击,强化域名系统的安全性,互联网诞生了多种提升DNS安全性的协议:域名系统安全扩展(DNSSEC)、DNS over TLS(简称 DoT )DNS over HTTPS (简称DoH)。

其中,DNSSEC提供可验证应答信息真实性和完整性的机制,利用密码技术验证应答的真实性,进而增强对DNS 域名服务器的身份认证,防止DNS缓存污染等攻击。但因DNSSEC引入标记和校验相关DNS数据会产生额外的“开销”,影响网络和服务器的性能,并导致CPU负载压力过重,从而使得递归DNS侧无法充分支持DNSSEC

DoTDoH则主要通过在用户终端操作系统(对应DoT)或网络应用程序(对应DoH)对采用的域名递归解析服务器进行认证,并对用户端与递归解析服务器之间的域名解析流量进行加密,从而实现DNS查询请求及应答数据的安全和隐私保护。但两种协议的部署可能使部分用于政府监管、家长控制、企业内网管理、广告和恶意软件拦截、钓鱼网站过滤、僵尸网络对应等现有本地流量管理和安全策略失效,并带来用户选择、成本、责任等问题。

综上所述,传统的DNSSECDoTDoH安全扩展协议无法在本质上解决解析服务商窥探用户隐私的问题,甚至可能在DoH场景下导致用户数据的进一步集中,带来新的隐私、安全、数据流动和司法管辖权等问题。

立足当前复杂的网络安全形势对网络根基的更高要求,结合传统DNS安全协议现状,多维立体式DNS安全防护体系建设势在必行。

Safeguard安全威胁管控系统,构建多维安全防护体系

信息科技革命带来终端交互、万物互联,域名系统从基础解析寻址迈向数据赋能、全面感知、可靠传输、智能分析、精准决策的下一代DNS体系新模式。根据2022年下一代DNS发展论坛所阐释的内容,基于数据分析能力、网络威胁感知能力,下一代DNS具备多种攻击防护策略,100%拦截非法外联域名,实现DOH解析“0”劫持。

Safeguard安全威胁管控系统是下一代DNS体系中安全能力的集中体现,从互联网第一入口着手,构建多维安全防护体系,让网络安全治理更有着力点。ZDNS聚焦网络中“服务安全”和“数据安全”两大现状,以建设DNS多维安全防治体系为目的,打造Safeguard安全威胁管控系统。

Safeguard安全威胁管控系统进一步强化情报资源的动态匹配及防御以及解析健康状态的可视化分析,形成基于恶意攻击链的完整画像,并最终完成风险终端的精准监测及建模,相较于传统安全防护更及时、覆盖更广、更轻量、更精专、更准确、更早更快,提供DNS服务+数据双维度的安全防护,加固DNS完整链路;内置精度高、范围广、更新及时的情报资源,形成威胁解析的动态监测+精准阻断,让恶意请求无处遁形,将威胁阻断在内网中,为网络安全构建第一道防线。


指导单位:
中国科学院计算机网络信息中心
中国信息通信研究院
国家互联网应急中心
中国互联网络信息中心(CNNIC
互联网域名系统国家地方联合工程研究中心(ZDNS

主办单位:
中国互联网协会
下一代DNS官方公众号
互联网域名系统国家地方联合工程研究中心(ZDNS
承办单位: