让域名服务基础网络平台安全可控

自1994年中国全功能接入互联网至今，互联网已成为信息社会的战略基础设施，是继陆、海、空、太空之后的新的战略疆域。对于关系到国计民生的金融领域而言，互联网也已成为其创新发展的动力源泉。

        然而，我国如此重要的战略疆域，却面临着重要的发展难题——不能做到完全自主可控，特别是在互联网基础平台层面，即被喻为互联网“中枢神经系统”的域名系统（DNS），还存在很大信息安全隐患。尤其去年“棱镜门”事件引起各国空前关注数据泄漏、信息安全，并重新审视自身的网络和信息系统能否自主可控。

域名基础平台安全不容乐观

        根据CNNIC统计，截至2014年6月，中国互联网用户人数达到6.32亿，网络购物用户规模达3.32亿人，半年度增长率为9.8%。手机购物用户规模达到2.05亿人，半年度增长率为42%。手机支付用户规模半年度增长率为63.4%。移动网上支付与消费者生活紧密结合，拓展了更多的应用场景和数据服务，如账单功能等。此外，网络金融服务创新呈现潮涌之势，如互联网理财产品推出仅1年．用户规模达到6383万，使用率达10.1%。

        随之而来的是网络攻击、网络钓鱼欺诈、信息泄露等风险大大增加。这就对网络信息基础平台的稳定性、安全性提出了更高要求，使构建安全可控的网络基础平台成为当前的主要问题。

        作为互联网最重要的逻辑基础设施，DNS及相应的技术标准可以被看作是互联网的“中枢神经”系统。DNS的质量如何，直接决定了互联网乃至信息社会基础设施的质量。但域名安全却往往得不到应有的重视。

        根据域名工程中心近日对国内银行业金融机构所做的域名服务安全检测结果显示，域名服务安全等级为“安全”的域名占比仅为26%，“存在隐患”的约为31%，“比较危险”的高达43%（如图1示）。总的来说，国内银行业金融机构的DNS服务安全整体较低，大部分处于“存在隐患”状态：外资银行类处于“比较危险”状态。图2为各类银行的安全平均得分。因此，金融业网络基础设施的安全不容乐观。从报告数据看，域名服务器节点少、域名设置不符合技术标准规范等是主要原因，同时存在域名技术人员专业能力不够的情况，客观反映了域名安全意识薄弱等问题。

图1：国内银行业金融机构DNS服务安全监测结果

图2：国内银行业金融机构DNS服务安全分类监测结果

        针对于此，正在兴起的域名技术服务给出了一种有效的解决之道。第三方服务基于全球服务器节点云部署、专业团队服务24小时值守等优势，能大幅提升域名基础设施的安全性。自主管理域名服务器的公司的域名可靠率为90.13%，而使用第三方管理域名服务器的域名可靠率达到98%；自主管理域名服务器发生宕机的几率是由第三方管理域名服务器的2倍。在美国，许多企业将域名托管外包给专业机构。对我国以金融行业为代表的对IT信息系统依赖性较强的大型企事业机构来说，选择专业的互联网基础服务商、委托第三方管理域名服务器是优选。

“棱镜门”敲晌信息泄露警钟

        “棱镜门”事件敲响了信息泄露警钟，引起了业界对数据泄漏、信息安全的空前关注。“没有网络安全就没有国家安全，没有信息化就没有现代化”，针对当前复杂严峻的安全形势，国家已将信息安全提升到影响国家安全的战略高度。为响应国家号召，域名工程中心针对我国互联网域名基础平台进行了调研。

        据域名工程中心技术监测数据显示，截至2013年12月，中国网站数量为320万，域名总数1844万。从全球互联网域名系统体系来看，全球目前共13台互联网根域名服务器，主要分布在美国、日本和欧洲，作为互联网大国的中国，目前只有根镜像服务器，域名基础设施先天不足。从国内的域名服务系统来看，情况同样不容乐观。

        监测数据显示，在国内各级域名服务系统中的所有权威服务器，62%以上的域名服务器使用开源的Linux系统，Windows操作系统占比约36%；域名解析软件方面，我国95%以上的域名服务器使用开源的ISC BIND软件，国外权威域名服务系统中ISC BIND使用率约为93%。递归域名服务器中，超过55%的递归域名服务器运行在Linux等开源系统上，28%的运行在Microsoft Windows操作系统上；94%以上都采用开源软件ISC BIND，国外递归域名服务系统中ISC BIND使用率约为86%。

        可以看出，从域名服务器操作系统到域名解析软件，几乎已被微软和国外的开源软件所垄断。开源软件预留“后门”的风险较小，但也为黑客利用软件漏洞进行网络攻击提供了便利。

        从根本上保障我国金融业信息安全出发，建议可以逐步推进域名服务器和软件的定制化、国产化。这样能够较好地利用现有的开源技术，同时又能更好地保障信息安全，防范信息泄漏等风险。目前，国家设立信息安全专项来促进专用域名软件的开发和测试，并制定相应的技术标准，加大推广力度。域名工程中心也承担了域名系统的国家信息安全专项，努力推进这一国家基础网络安全战略。

打造安全可控域名服务平台

        近年来，国家有关部门和监管机构日益重视金融领域的信息科技管理工作，把推动金融信息系统自主可控、筑牢安全风险底线作为工作重点。多项“合规性”、“导向性”政策的出台，更体现了国家对网络设备国产化的重点支持态度。

        如今，随着云计算、下一代互联网、IPv6等新技术的兴起，网络信息风险变得越来越难以管控，只有建设一个安全可控的域名系统基础服务平台，才能为金融业的网络与信息安全提供坚实保障。

        互联网域名系统北京市工程研究中心（ZDNS）是北京市发改委批准成立的国内首家互联网域名系统工程研究中心，并被纳入国家创新科技体系。中心主要研究互联网域名相关核心技术，并通过市场机制实现产业化，促进域名及互联网产业发展。作为整体域名服务专家，域名工程中心能够为企业提供内外网域名解析的全服务保障。

        在外网DNS服务方面，中心推出的ZDNS云服务是面向高端企业用户的权威域名解析托管服务，具备国家级专业服务能力，旨在为高端企业用户提供更安全、更快速以及更易用的基础域名解析能力，确保各种网络应用畅通和可靠。在内网DNS服务方面，公司面向大型数据中心、高端园区以及多分支机构推出的ZDNS云部署解决方案以及ZDNS专用设备，能够从系统架构、设备产品、系统功能和完善的管理等层面帮助企业构建全方位安全机制，全面提升企业域名系统整体安全防护能力。目前已在金融、能源、广电、政府等重要行业中得到广泛应用。

        构建安全可控的网络与信息体系，应在国家监管政策的指导推动下，商业银行、企业、科研机构积极开展合作和商业化应用。从保障网络与信息安全的角度出发，金融企业应从域名等基础设施平台层面入手，应用第三方域名专业技术服务，推动专用软件和设备的国产化、定制化，提升域名基础设施的安全性能，全行业共同努力，构建一个安全可控的网络生态系统。

（文章来源：《金融电子化》杂志）

 

扫码即可手机
阅读转发此文