banner_2017_2.jpg
 
 
 
 
 
您现在的位置:首页期刊简报

安全百问第六期:《DNS安全》

中国通信企业协会通信网络安全专业委员会 2021-01-18 13:12:34
        域名系统(Domain Name System, DNS),在互联网上提供主机名称和IP地址之间的转换服务,是互联网运行的基础之一。由于绝大多数的互联网应用都依赖域名系统实现网络资源的寻址和定位,因此有人将域名系统比喻成互联网的“神经系统”。
      近年来DNS安全事件呈多发趋势,主要包括DNS欺骗、拒绝服务攻击、域名劫持等等。根据Prolexic[1]的统计数据,截至2013年第三季度DDoS攻击的数量比2012年同期增长了58%,攻击时长延长了13.3%;2013年8月25日,因遭受大规模拒绝服务攻击,我国国家顶级域名(.cn)系统互联网出口带宽短期内严重拥塞。随着互联网应用的日益广泛以及DNS自身的创新及发展(如智能DNS、国际化域名等),DNS遭遇攻击以后影响范围逐渐从单个区域扩展到多个国家和地区,而且直接影响互联网的安全稳定运行,进而可影响整个国家安全、社会秩序以及公共利益。
      DNS安全扩展协议(DNSSEC),由国际互联网工程任务组(IETF)开发,在不改变DNS现有协议的基础上添加了DNSSEC部分,即通过使用公钥基础设施(Public Key Infrastructure, PKI)在原有DNS基础上添加了数字签名(Digital Signature),可提供数据来源验证、数据完整性验证以及否定存在验证,主要解决了DNS欺骗问题,是域名安全体系中一项重要的技术。截至2014年1月6日,全球390个顶级域名中已经有197个签署了DNSSEC安全协议[2],部署比例超过53%。在新通用顶级域(New gTLD)申请中,DNSSEC已经作为必要的申请条件写入了申请人指南。
      我国也正在研究在国家顶级域名中部署DNSSEC,然而DNSSEC并不能解决DNS所面临的所有安全问题,域名安全防护任重道远,需要从国家战略高度给予重视,同时产业链各方也应加强安全防护技术的研究并建立联动机制提升故障处理能力,共同营造安全稳定的网络环境。




[1]安全服务提供商
[2] ICANN数据

工信部 | 中国通信企业协会 | 工信部电信研究院 | 中国电信 | 中国移动 | 中国联通

中国通信企业协会通信网络安全专业委员会 版权所有©2009-2014 All Rights Reserved.
ICP备案号:京ICP备11001525-1号   京公网安备110108002813号
电话:010-68094561    地址:北京市西城区月坛南街11号    邮编:100045