CNNIC网络安全高级主管胡安磊:
各位专家、各位同仁,大家下午好。我来自中国互联网络互联中心CNNIC。CNNIC是97年成立的,是中国代表国家年检CNNIC系统的机构。今天很荣幸有这个机会把CNNIC系统方面的认识介绍给大家,和大家一起来交流,提升CNNIC系统安全的方式。进一步提高中国在信息网络安全方面的水平。
今天主要的内容包括四个方面:第一个方面是域名系统及重要性。第二方面是经介绍一下域名系统面临的安全问题。第三个方面是关于域名系统安全工作的分析,最后是一点总结和几点建议。
域名系统大家比较熟悉,它是一个全球的分布系统,有一个竖型结构的空间。包括.cn、.com的系统。提供一个分布式的点击查询服务,转变为IP地址。从技术角度来看,目前互联网的应用越来越广泛,电子商务和电子政务深入到日常生活的每个方面,但是基本的选址方式是DNS的解析。如果DNS解析出现了问题,使得互联网不太顺畅。第二个是资源角度看,以域名为基础的应用。域名也是在丰富互联网的应用。它是互联网上的标尺,有惟一性,不可重复性。随着现代互联网的发展,域名有了一个重要作用,代表了公共的利益,是公共资源。对于国家来说,国家的域名相当于国家的主权。从这个两个角度来说,域名系统不但对计算机,还是网络都是非常重要的。1.针对恶意域名系统的攻击。针对各个单位对域名攻击的重视,一般的病毒对DDOS攻击并不是很严重。最重要的是DDOS攻击有可能造成域名解析瘫痪。2.域名劫持,这个概念比较宽泛。修改注册信息达到访问的目的,也包括劫持解析结果,使报告过程有一个错误的结果。这两种都会产生不良的影响。3.国家性质的域名系统安全事件,比如利比亚的系统安全事件,.ly域名瘫痪。还有.af的域名,是阿富汗的域名。由于阿富汗的政府总是更替,域名总是更换,导致这个国家的域名系统不能很好的运行。
域名系统安全工作分析,在具体的域名系统安全工作分析之前,我们要看一下域名服务体系的组成。涉及到三个系统:域名的注册系统、解析系统、查显系统。五个角色:域名的持有者、注册服务机构、管理机构、本地的DNS、访问者。这五个角色有7个核心的数据流。
下面从三个系统的角度和7个数据流的角度来分析。从解析的过程中,有用户的客户端、本地的缓存DNS服务器还有各级的权威DNS服务器。通过这三个方面来解决工作。
从一般的客户端层来说,我们这里指的客户端是指浏览器或邮件接收端的程序。隐患包括它所在的操作系统存在漏洞,或者它所在的平台受到病毒或被控制,会导致DNS的结果被控制,不能进行正确的域名解析。这里需要做的是对所有的用户来说,要加强自己的安全管理,防止网络病毒。应对手段是强化桌面安全。网络层,隐患是DNS报文劫持,应对手段是设置ACL/DNSSEC技术等方式来防止没有经过授权的服务器仿冒本地的DNS服务器。
针对本地的DNS服务器来说,可能隐患是DNS软件漏洞,没有打不定。还有是没有进行安全的配置。所以我们要对本地缓存的DNS版本进行高版本的漏洞软件,同时要对这个软件进行安全的配置,防止漏洞的数据入侵。
对于全国各地的DNS服务器来说,因为各地的DNS都是由各地来管理,所以DNS的软件非常少。现在我们所采取的手段是加大解析系统的分布。比如跟服务器进行全球的径向分布。还有全球DNS节点进行了部署工作。
第二个系统是注册系统。首先是域名持有人通过在线提交或者通过电话、正式的公文的方式,把域名注册信息提交给注册服务机构,注册服务机构把信息提交给注册管理服务器,注册管理服务器将传入机构后,再对外发布服务。这样的域名的服务机构以及域名的管理机构。对于域名的持有者来说,存在的隐患是他的系统有病毒或木马,被黑客控制,导致黑客可以使用他的终端,使用他的身份,包括更改域名的所有权。通过邮件来抢夺别人的域名。第一要强化个人电脑的安全。第二作为服务机构来说,在申请域名服务材料的时候要加强检查的力度和服务中心的力度。对于服务管理系统来说,这方面的隐患所提供的基础是网络系统或操作系统存在漏洞,很可能被黑客入侵,直接修改域名注册的机构。对域名来讲,我们要进一步提升域名机构在安全准入方面的条件,不断提高域名在安全方面的实力。
我们除了采取相应的技术手段之外,我们还在做的是建立比较安全的域名防范体系。有比较大的社会影响的域名,我们进行全面的监控。
第三个系统是Whois系统。一个涉及到它的查询者,一个是域名注册的管理机构体系。
我们看了域名系统安全工作分析之后,我们再从比较抽象的方面,7个数据流的角度看哪些还需要做。域名系统在一次完整的服务流程过程中会产生几个数据流。第一个数据流是域名注册者和注册服务机构的数据流。认证域名注册者、信息通道加密、保证注册服务客户端可用性。
第二个数据流是注册服务机构到注册管理机构的数据流。保证信息同道加密、一定服务质量保证、注册管理机构要对注册服务机构的客户端进行身份验证,通过发放证书的方式、注册服务器的安全性,要提高注册服务的可用性。在安全方面要加强安全配置,安全管理。
第三个数据流注册服务器到数据库。这个过程服务器把数据写入数据库,注册服务器到数据库有不同的网站,之间有严格的安全过滤措施。核心的数据库还需要具备入侵检测的能力和安全检测的系统。核心的数据库、权威的数据库要有备份,以及灾难之后的恢复机制。
第四个数据流是数据库到DNS。是把数据库把DNS需要的文件传递给DNS。我们是保持数据一致性、保证数据来源的真实性、设置隐藏主服务器。
第五个数据流是主辅DNS之间的数据流。要保证它们之间数据同步的及时和完整、来源数据验证和加密机制。
第六个数据流是递归的DNS到权威的DNS。递归的要防止仿冒,DNS的管理者要建立安全性,数据还要有真实性。对于DNS的单位来说,要保证数据的稳定性,目前来说要防止拒绝攻击带来的影响。
第七个数据是本地DNS到域名访问者之间的数据流。是要保证查询者的安全性,另外保证本地DNS的安全性,提供两台DNS,防止DNS失效的发生。
域名系统安全工作总结
从上面的分析我们可以看出,域名服务是互联网的基础服务,域名的安全是我国信息安全的重要一环。同时我们可以看到,域名系统的安全问题,是一个复杂的综合性问题,涉及面广,既涉及到域名的访问者,涉及到域名的注册管理机构、服务机构,要保证复杂性的安全,是一项巨大的工程,也是一项难完成的任务。我们正在做的是不断提高这个系统的安全性,降低域名系统安全问题发生的概率。在域名系统安全问题发生的时候,能把问题最小化,以最快的速度恢复系统的工作。
对于域名系统安全工作我们有以下几点建议:首先从国家战略的层面来看,从国家信息社会的基础设施的高度充分认识国家域名系统的重要性。大力提倡和使用由我国自主管理的CN域名,尤其是对一些关系多国计民生,有很大社会影响的网站,没有特殊情况,一定要使用CN域名。第三个建议是建立国家域名联动体系,在CNNIC、各级域名注册服务机构、重要域名持有机构三者建立很有效的沟通渠道。这样有利于我们对重点域名的管理,以及它的安全应急工作。从注册管理机构的层面来看,我们要继续加大对国家域名系统的投入,不断提高国家域名系统的抗攻击能力。到目前为止,已经在德国、韩国进行了建设。下一步我们根据域名注册的情况加强海外域名的建设。第二方面加大安全建设投入,建立符合国际标准的安全信息。
从域名注册服务机构的层面看,我们作为域名注册管理机构,首先要提高不断对域名注册服务机构的技术要求。可以联合国家的相关部门出台指导性的文件,来提高各级机构在DNS数据管理以及DNS软件安全配置的水平。
