CNNIC網絡安全高級主管胡安磊:
各位專家、各位同仁,大家下午好。我來自中國互聯網絡互聯中心CNNIC。CNNIC是97年成立的,是中國代表國家年檢CNNIC系統的機構。今天很榮幸有這個機會把CNNIC系統方面的認識介紹給大家,和大家一起來交流,提升CNNIC系統安全的方式。進一步提高中國在信息網絡安全方面的水平。
今天主要的內容包括四個方面:第一個方面是域名系統及重要性。第二方面是經介紹一下域名系統面臨的安全問題。第三個方面是關于域名系統安全工作的分析,最后是一點總結和幾點建議。
域名系統大家比較熟悉,它是一個全球的分布系統,有一個豎型結構的空間。包括.cn、.com的系統。提供一個分布式的點擊查詢服務,轉變為IP地址。從技術角度來看,目前互聯網的應用越來越廣泛,電子商務和電子政務深入到日常生活的每個方面,但是基本的選址方式是DNS的解析。如果DNS解析出現了問題,使得互聯網不太順暢。第二個是資源角度看,以域名為基礎的應用。域名也是在豐富互聯網的應用。它是互聯網上的標尺,有惟一性,不可重復性。隨著現代互聯網的發展,域名有了一個重要作用,代表了公共的利益,是公共資源。對于國家來說,國家的域名相當于國家的主權。從這個兩個角度來說,域名系統不但對計算機,還是網絡都是非常重要的。1.針對惡意域名系統的攻擊。針對各個單位對域名攻擊的重視,一般的病毒對DDOS攻擊并不是很嚴重。最重要的是DDOS攻擊有可能造成域名解析癱瘓。2.域名劫持,這個概念比較寬泛。修改注冊信息達到訪問的目的,也包括劫持解析結果,使報告過程有一個錯誤的結果。這兩種都會產生不良的影響。3.國家性質的域名系統安全事件,比如利比亞的系統安全事件,.ly域名癱瘓。還有.af的域名,是阿富汗的域名。由于阿富汗的政府總是更替,域名總是更換,導致這個國家的域名系統不能很好的運行。
域名系統安全工作分析,在具體的域名系統安全工作分析之前,我們要看一下域名服務體系的組成。涉及到三個系統:域名的注冊系統、解析系統、查顯系統。五個角色:域名的持有者、注冊服務機構、管理機構、本地的DNS、訪問者。這五個角色有7個核心的數據流。
下面從三個系統的角度和7個數據流的角度來分析。從解析的過程中,有用戶的客戶端、本地的緩存DNS服務器還有各級的權威DNS服務器。通過這三個方面來解決工作。
從一般的客戶端層來說,我們這里指的客戶端是指瀏覽器或郵件接收端的程序。隱患包括它所在的操作系統存在漏洞,或者它所在的平臺受到病毒或被控制,會導致DNS的結果被控制,不能進行正確的域名解析。這里需要做的是對所有的用戶來說,要加強自己的安全管理,防止網絡病毒。應對手段是強化桌面安全。網絡層,隱患是DNS報文劫持,應對手段是設置ACL/DNSSEC技術等方式來防止沒有經過授權的服務器仿冒本地的DNS服務器。
針對本地的DNS服務器來說,可能隱患是DNS軟件漏洞,沒有打不定。還有是沒有進行安全的配置。所以我們要對本地緩存的DNS版本進行高版本的漏洞軟件,同時要對這個軟件進行安全的配置,防止漏洞的數據入侵。
對于全國各地的DNS服務器來說,因為各地的DNS都是由各地來管理,所以DNS的軟件非常少。現在我們所采取的手段是加大解析系統的分布。比如跟服務器進行全球的徑向分布。還有全球DNS節點進行了部署工作。
第二個系統是注冊系統。首先是域名持有人通過在線提交或者通過電話、正式的公文的方式,把域名注冊信息提交給注冊服務機構,注冊服務機構把信息提交給注冊管理服務器,注冊管理服務器將傳入機構后,再對外發布服務。這樣的域名的服務機構以及域名的管理機構。對于域名的持有者來說,存在的隱患是他的系統有病毒或木馬,被黑客控制,導致黑客可以使用他的終端,使用他的身份,包括更改域名的所有權。通過郵件來搶奪別人的域名。第一要強化個人電腦的安全。第二作為服務機構來說,在申請域名服務材料的時候要加強檢查的力度和服務中心的力度。對于服務管理系統來說,這方面的隱患所提供的基礎是網絡系統或操作系統存在漏洞,很可能被黑客入侵,直接修改域名注冊的機構。對域名來講,我們要進一步提升域名機構在安全準入方面的條件,不斷提高域名在安全方面的實力。
我們除了采取相應的技術手段之外,我們還在做的是建立比較安全的域名防范體系。有比較大的社會影響的域名,我們進行全面的監控。
第三個系統是Whois系統。一個涉及到它的查詢者,一個是域名注冊的管理機構體系。
我們看了域名系統安全工作分析之后,我們再從比較抽象的方面,7個數據流的角度看哪些還需要做。域名系統在一次完整的服務流程過程中會產生幾個數據流。第一個數據流是域名注冊者和注冊服務機構的數據流。認證域名注冊者、信息通道加密、保證注冊服務客戶端可用性。
第二個數據流是注冊服務機構到注冊管理機構的數據流。保證信息同道加密、一定服務質量保證、注冊管理機構要對注冊服務機構的客戶端進行身份驗證,通過發放證書的方式、注冊服務器的安全性,要提高注冊服務的可用性。在安全方面要加強安全配置,安全管理。
第三個數據流注冊服務器到數據庫。這個過程服務器把數據寫入數據庫,注冊服務器到數據庫有不同的網站,之間有嚴格的安全過濾措施。核心的數據庫還需要具備入侵檢測的能力和安全檢測的系統。核心的數據庫、權威的數據庫要有備份,以及災難之后的恢復機制。
第四個數據流是數據庫到DNS。是把數據庫把DNS需要的文件傳遞給DNS。我們是保持數據一致性、保證數據來源的真實性、設置隱藏主服務器。
第五個數據流是主輔DNS之間的數據流。要保證它們之間數據同步的及時和完整、來源數據驗證和加密機制。
第六個數據流是遞歸的DNS到權威的DNS。遞歸的要防止仿冒,DNS的管理者要建立安全性,數據還要有真實性。對于DNS的單位來說,要保證數據的穩定性,目前來說要防止拒絕攻擊帶來的影響。
第七個數據是本地DNS到域名訪問者之間的數據流。是要保證查詢者的安全性,另外保證本地DNS的安全性,提供兩臺DNS,防止DNS失效的發生。
域名系統安全工作總結
從上面的分析我們可以看出,域名服務是互聯網的基礎服務,域名的安全是我國信息安全的重要一環。同時我們可以看到,域名系統的安全問題,是一個復雜的綜合性問題,涉及面廣,既涉及到域名的訪問者,涉及到域名的注冊管理機構、服務機構,要保證復雜性的安全,是一項巨大的工程,也是一項難完成的任務。我們正在做的是不斷提高這個系統的安全性,降低域名系統安全問題發生的概率。在域名系統安全問題發生的時候,能把問題最小化,以最快的速度恢復系統的工作。
對于域名系統安全工作我們有以下幾點建議:首先從國家戰略的層面來看,從國家信息社會的基礎設施的高度充分認識國家域名系統的重要性。大力提倡和使用由我國自主管理的CN域名,尤其是對一些關系多國計民生,有很大社會影響的網站,沒有特殊情況,一定要使用CN域名。第三個建議是建立國家域名聯動體系,在CNNIC、各級域名注冊服務機構、重要域名持有機構三者建立很有效的溝通渠道。這樣有利于我們對重點域名的管理,以及它的安全應急工作。從注冊管理機構的層面來看,我們要繼續加大對國家域名系統的投入,不斷提高國家域名系統的抗攻擊能力。到目前為止,已經在德國、韓國進行了建設。下一步我們根據域名注冊的情況加強海外域名的建設。第二方面加大安全建設投入,建立符合國際標準的安全信息。
從域名注冊服務機構的層面看,我們作為域名注冊管理機構,首先要提高不斷對域名注冊服務機構的技術要求。可以聯合國家的相關部門出臺指導性的文件,來提高各級機構在DNS數據管理以及DNS軟件安全配置的水平。
