近日����,域名注冊管理機構CNNIC發(fā)布了國內首份《中國域名服務(wù)及安全現狀報告》���,《報告》中顯示目前我國域名服務(wù)器總量已近百萬(wàn)�,其中����,超過(guò)50%的域名服務(wù)器被指相對不安全���。對國內而言����,有57%的信息系統存在域名解析的風(fēng)險���。以下�,IDC評述網(wǎng)與大家一齊關(guān)注域名服務(wù)的安全現狀以及防范建議���。
《報告》抽樣調查了來(lái)自各行業(yè)的域名���,主要來(lái)自政府機構���、金融機構����、教育機構�、網(wǎng)絡(luò )運營(yíng)商等����。從圖1中可以看出�,有風(fēng)險的比例為45%����,風(fēng)險較高的為11%����,非常危險的為1%����,這可以統計出處于風(fēng)險狀態(tài)的占57%�,超過(guò)了半數����。而被認為安全性良好的僅有11%���?���!秷蟾妗愤€顯示了�,教育機構的域名服務(wù)系統安全性最差�,處于風(fēng)險狀態(tài)的高達80%����。
對于我國域名服務(wù)器超半數不安全的情況����,我們整理了一些安全防范建議:
建議一:信息在更高或過(guò)期的任一環(huán)節的漏洞都可能會(huì )被黑客利用���,數據被篡改���。因此�,如果想要提高安全性�,則要確保域名解析服務(wù)的獨立性���。在運行域名服務(wù)的服務(wù)器不能同時(shí)開(kāi)啟其他端口的服務(wù)�。
建議二:域名解析服務(wù)系統所用的軟件非常重要���,如配置不當或升級延遲都容易造成漏洞被黑客輕易利用�。因此���,需要采用安全的操作系統平臺和域名解析軟件����,并且要時(shí)刻關(guān)注軟件商發(fā)布的最新安全漏洞信息���,及時(shí)升級軟件系統����。
建議三:黑客通常利用域名劫持控制DNS服務(wù)器�,從而使網(wǎng)民訪(fǎng)問(wèn)該域名時(shí)����,進(jìn)入指向的內容����。國內的CN域名被劫持�,能較輕易地拿回控制權����,而國際域名要奪回域名則較為復雜�。因此�,用戶(hù)要選擇安全性較高���、服務(wù)便捷的域名服務(wù)機構和注冊管理機構���,并且隱藏域名解析軟件及操作系統等版本信息�,最后還要限制域名區文件的傳送權限����。
建議四:使用入侵檢測系統���,盡可能地檢測出中間人攻擊行為����,雖然其檢測和防御都十分困難�。除此之外還要對域名服務(wù)器邊界網(wǎng)絡(luò )設備的流量����、數據包進(jìn)行監控����。最后可以監控域名協(xié)議是否正常�,判斷數據是否有變動(dòng)����。在條件允許的情況下���,可以對不同網(wǎng)絡(luò )內部部署多個(gè)探測點(diǎn)分布式監控�。
建議五:為防止分布式拒絕服務(wù)攻擊���,網(wǎng)站建設建議提供域名服務(wù)的服務(wù)器數量不低于2臺���,番禺網(wǎng)頁(yè)設計并且部署在不同的物理網(wǎng)絡(luò )環(huán)境中�。除此外����,要限制遞歸服務(wù)的服務(wù)范圍���,并利用流量分析工具檢測DDoS攻擊及時(shí)采取應急措施����。
建議六:域名服務(wù)部署時(shí)需要考慮單節點(diǎn)故障問(wèn)題����,番禺做網(wǎng)站公司所涉及到的路由器���、交換機等均需要冗余備份能力���,建立完善的數據備份機制和日志管理系統�。番禺網(wǎng)站設計要保留最新的3個(gè)月的全部解析日志���。并且建議對重要的域名信息系統采取7×24的維護機制保障����。應急響應到場(chǎng)時(shí)間不能遲于30分鐘����。
結語(yǔ):域名安全番禺網(wǎng)站建設問(wèn)題事件層出不窮���,據消息稱(chēng)�,2009年暴風(fēng)影音受域名攻擊事件廣州做網(wǎng)站公司造成大面積斷網(wǎng)�,損失238萬(wàn)元�;今年����,百度遭域名劫持����,估計損失過(guò)千萬(wàn)����。域名安全問(wèn)題���,日益顯得不容忽視�。
粵公網(wǎng)安備44011302004697
