中国域名服务体系安全管理研究.doc

国家域名服务体系安全评估报告中国互联网络信息中心CNNIC目 录1前言41.1 DNS介绍41.1.1域名系统基本概念41.1.2域名解析的流程41.1.3 域名系统的重要作用61.2中国域名服务体系定义111.3中国域名服务体系分类111.3.1域名根服务系统111.3.2顶级域名服务系统121.3.2 其他各级域名服务系统131.3.3 递归域名服务系统131.4评估方法141.4.1 技术手段141.4.2 分析方法152域名根服务系统162.1现有问题162.2建议173 顶级域名服务系统183.1CNNIC管理的CN国家顶级域名服务系统183.1.1安全现状183.1.2存在的问题223.1.3解决建议233.2 CERNET管理的国家顶级域名服务节点243.2.1 现状及问题243.2.2建议253.3 COM等境外顶级域名服务系统253.3.1存在问题253.3.2解决方法264其他各级域名服务系统274.1 CNNIC管理的COM.CN等CN二级域名服务系统274.2 CERNET管理的EDU.CN域名服务系统274.4注册管理机构管理的域名服务系统284.4.1现状及问题284.4.2解决建议294.5各行业自我管理的域名服务系统304.5.1现状及问题304.5.2解决建议315递归域名服务系统315.1问题及现状315.2建议326其他国家关于域名服务体系的状况比较336.1.域名服务软件研发336.2.技术标准化346.3.运行部署347 总结357.1 问题汇总357.1.1 对域名根服务系统无管理权357.1.2 域名服务系统软件几乎全部依赖境外软件357.1.3 域名服务的运行管理标准不统一367.1.4 域名服务缺乏统一的管理、监控和分析367.1.5 对COM等境外顶级域的监管难度大367.2 解决建议37附件一、域名服务器部署状况调查表401前言1.1 DNS介绍1.1.1域名系统基本概念域名系统（Domain Name System，DNS）是一项基础的网络服务，其主要作用是完成从域名到IP地址的翻译转换，负责实现互联网绝大多数应用的实际寻址过程。作为Internet重要的基础设施，除基本的域名服务外，DNS在网络流量均衡、移动IP等方面也有着重要的应用。一般来说，绝大多数的网络访问行为都会使用到DNS服务。由于DNS联结着互联网网络层和应用层，DNS成为互联网应用的神经中枢。DNS服务器从功能上可以分为两部分，即权威服务器和递归服务器构成。权威服务器负责管理和维护域名以及IP地址相关的数据，形成一个分布式的数据库，从而为用户提供信息，而且这个分布式的数据库在逻辑上形成一个树形的上下级授权体系。递归服务器负责处理上网用户的查询行为，帮助其从权威服务器获取相关信息。1.1.2域名解析的流程DNS的结构是一棵树形结构，由根域（Root Domain）、顶级域（Top Level Domain），以及多级子域名（Subdomain）组成，如图1所示。 图1 DNS的树形结构在这些级别中，最顶级的域划分为基于国家代码的顶级域（ccTLD）和通用顶级域(gTLD)两类。如中国负责管理的.CN域名属于ccTLD范畴。DNS域名解析服务流程表示在图2中。DNS的一次解析涉及到各级DNS系统，包括本地递归DNS服务器，各级权威服务器，以及根。图2 DNS名字解析流程 由于DNS使用了缓存（cache）技术，通过用户在本地使用的递归服务器来缓存查询结果，从而优化查询性能以及减轻权威服务器的查询压力。1.1.3 域名系统的重要作用如果域名系统出现故障，互联网的各项应用包括浏览网站、发送邮件、下载文件等都将不能使用，互联网将陷于瘫痪，因此域名系统也称为互联网的中枢神经。根据中国互联网络信息中心统计，域名查询量以年均近100%的速度激增。随着未来各种互联网应用的快速开展，可以预见域名查询量将会远远超过电话交换的数量，域名系统的稳定性和性能将极大的影响到互联网的稳定性，进而影响到我国信息化基础设施的稳定和安全。DNS通过提供分布式的数据管理、提供用户查询服务等影响到互联网应用的全部过程。随着越来越多的网络应用开始依赖于域名系统，DNS在互联网中所处的位置决定了域名系统在国家信息化产业链中是一个基本的和必须的保障性设施，这体现在以下三个方面：首先，域名系统是整个互联网应用的一个基础性服务，其作用是为任何其他的信息系统提供支撑。因此，这种基础性体现在它的关键性以及使用的频率上，是不可取代的服务。第二，域名系统的应用特点导致其是一个被忽略和缺乏统一管理的设施。在人和网络发生的交互中，域名服务基本上是透明的，导致了人们常常忽略其重要性。然而，域名系统一旦出现问题，将会直接影响到网络的通畅。长期以来，形成了一种缺乏统一监控和管理的局面，当我们试图从域名和DNS入手来解决一些安全和紧急事件的时候，这种缺乏管理的局面就会暴露无疑。第三，域名系统随着互联网的发展也在发展，其技术和应用形式不断的面临着新的挑战。这意味着为了支撑互联网以及应用形式的不断演进，域名系统也需要进行升级和技术更新，才能继续承担基础设施的角色。从以上3个体现域名系统重要位置的角度来看，域名系统将在以下方面对国家的信息化建设起到重要作用。1）对于整个互联网的稳定和可用性起到关键作用域名系统提供的是互联网应用的关键性服务，那么其服务质量将会影响到整个互联网的性能。随着信息化的发展和互联网对国民经济的影响加剧，对互联网稳定性和可用性的要求越来越高；互联网的规模和用户数量的急剧攀升，也对互联网的各级设施提出了更高的要求。从基础的网络通信链路建设到域名系统的必备服务，都必须保证更好的可用性和可靠性。在互联网从物理设施到各级应用这样的一个立体空间中，域名系统可以看作是钢筋混凝土中的钢筋，它可以确保人们在这样一个空间中能够稳定可靠的使用互联网.2）对支撑国家信息化建设发展起到促进和推进作用20世纪以来，信息化工业的飞速发展推动了全球经济体制和形式的高速发展和变革。 由于域名是互联网上的身份标识，具有不可重复的唯一性，一方面，一国的域名数量是衡量该国信息化发展速度的重要标准。经过最近10年的发展，我国的域名注册数量达到了近1400万，其中由中国管理的.CN域名到2008年7月份达到了1190多万，成为全球最大的国家顶级域（ccTLD）；中国互联网络信息中心发布的第22次中国互联网络发展状况统计报告显示国内上网用户数已经达到2.53亿。以上数据可以看出，我国信息产业的发展速度极为迅猛。由于国家的各项设施，如农业、水、食物、公共医疗、紧急服务、政府办公、安全防御、信息和通信、能源、交通、银行金融等都和计算机网络、相关信息系统密切相关，因此，域名系统对国家整个信息系统的建设都可以起到推动作用，信息化程度和域名系统已经是紧密联系在一起了。另一方面，互联网的全球化使得域名早已成为标识一国主权的国家战略资源。域名以及域名系统的服务体系成为衡量一个国家在互联网资源和技术方面的发展水平的重要标准。从以上两个方面可以看出，域名体系能够极大地促进一个国家的信息化产业以及在全球范围内的互联网竞争力。域名体系的性能、规模和设施水平需要匹配于高速发展的互联网应用以及信息化，才能推动国家的电子政务，电子商务，金融以及相关服务和娱乐产业。3）从安全角度来考虑，域名系统的安全将极大改善整个互联网的安全性。随着全球信息化程度的提高，越来越多的行业开始依赖于互联网进行。同时，互联网也催生了更多的新兴产业。使用频率最高的域名以及域名服务（比如DNS）就由于其产生和发展的背景一时之间成为网络上最容易被攻击或者破坏的环节。这方面的安全问题在全球形式都很严峻。借助于域名以及域名解析系统，破环者可以很容易的对互联网的访问流程和稳定性造成破坏，进而影响整个网络的使用。最近10年，网络黑客利用DNS攻击制造了多起网络瘫痪事件，其中两起甚至涉及到全球互联网的根域名服务器系统。尽管全球互联网都在努力改善这一领域的安全性，但是还是存在诸多的问题没有解决。具有美国政府背景的全球互联网名称与数字地址分配机构(ICANN)在这一问题上也在积极地进行工作。因此，域名系统对于建设一个和谐可信的网络是非常重要的。改善其安全性能可以极大地提高互联网的整体安全性，减少薄弱环节。 加强对域名系统的建设和统一管理，有利于国家对整个互联网进行管理和控制。互联网的产生背景及发展过程决定了域名体系的国际化，而且整个互联网中以域名为代表的地址资源及其服务体系目前都被欧美一些发展较早的国家控制和管理。因此，在对整个互联网的管理和控制中，域名体系是其中重要的一部分，域名体系的管理和控制工作将有利于提高对整个互联网的监管水平，主要体现在以下三个方面：首先，整个域名体系的管理权源头不属于中国，从技术流程上来说，发达国家随时可以通过域名系统制造网络混乱，因此，需要对在整个国家内运营的域名体系进行规划，以便在必需的时候，能够通过稳妥的机制保障域名体系的稳定运行。其次，在整个信息系统中运行的DNS系统，由于其运行的软件系统大部分没有自主知识产权，以及软件系统本身缺乏有效的管理控制方式，造成了整个域名服务系统缺乏有效控制局面。如果需要通过对域名服务系统对网络采取一些管理措施，将是非常困难的。比如现在互联网上普遍存在的垃圾邮件以及通过非法的URL转发实现网络访问穿透，就可以从DNS入手进行管理，还包括对某些病毒的传播进行控制。最后，域名技术的再发展、以及基于域名技术的多种应用，丰富了互联网应用和协议，如ENUM、RFID等协议和应用无不基于域名系统。所以对于未来在下一代互联网和无线互联网上域名系统的应用形式、产生的影响都是一些非常重要的问题。总之，域名系统的建设和管理将在一定程度上对国家治理和监管互联网以及相关信息产业起到非常重要的作用。1.2中国域名服务体系定义中国域名体系，是指位于中国境内、对中国互联网稳定运行和中国互联网用户正常访问互联网资源行为提供支撑服务的一切域名服务系统。简单地说，如境内某域名服务系统的非正常运行会对中国互联网用户产生影响，则应视为中国域名体系的一部分，这一体系包括域名根服务系统、顶级域名服务系统（国家顶级域名服务系统，境外顶级域名服务系统）、其他各级（权威）域名服务系统以及直接负责用户域名查询的递归域名服务系统四个环节，每个环节都是由多台服务器构成的分布式处理系统。1.3中国域名服务体系分类1.3.1域名根服务系统目前全球域名管理机构共设置13个根服务器构成全球的域名根服务系统。这13个根服务器在全球的镜像服务器数量一共达到了166个。分布情况见下图（图中绿色节点表示镜像服务器）。图 全球根镜像服务器分布示意中国的情况：2003年中国电信引入第一个F根服务器的镜像服务器，随后2005年9月CNNIC又负责引入了I根服务器的镜像服务器，2006年12月中国网通引入了J根服务器的镜像服务器。上述三个根镜像服务器共同构成了目前国内的根服务系统。根镜像服务器在国内的部署，有效地提升了国内用户对DNS根服务器的访问速度，避免了因国际链路故障导致的对根服务系统的访问中断。1.3.2顶级域名服务系统1）由中国互联网络信息中心（CNNIC）运行管理的.CN国家顶级域名服务系统。国家域名服务系统由分布在国内的8个解析节点组成，除清华节点外，都由CNNIC直接运行。2）由教育网清华大学网络中心运行的.CN域名解析节点。3) .COM、.NET等境外顶级域名的国内镜像服务系统。1.3.2 其他各级域名服务系统其他各级域名服务系统是指为我国各类公司和机构自行控制掌管的位于顶级域之下的各级权威域提供支撑服务的域名服务系统。具体而言，各级域名服务系统可以分为如下几类：1）CNNIC管理的权威域名服务系统，涵盖类别域（如com.CN，ac.CN）和行政区划域（如bj.CN）。2）国内注册服务机构管理的权威域名服务系统，既包括.CN、.COM.CN、.BJ.CN等权威域下的域名，也包含.COM、.NET等海外顶级域下的域名。由域名注册服务机构直接提供服务的域名服务系统数量庞大，某些域名注册服务机构以一己之力提供超过百万的权威域名解析服务。3）各行业自我管理的权威域名服务系统。国内一些具有独立运行域名服务系统能力的机构、组织或企事业单位会选择自行运行管理其所有的权威域名。4）互联网运营商管理的权威域名服务系统。从严格意义上讲，运营商管理的权威域也属于行业自我管理的权威域。5）EDU.CN域名服务系统。由于历史原因，EDU.CN不完全归属在以上类别内。从层次性质上来说，它是CN下的一个类别域；在运行管理上，它由中国教育网负责运行管理。1.3.3 递归域名服务系统递归域名服务系统包括位于我国境内的在我国各类互联网接入单位或机构管理下的递归服务器，主要分为两类：1）位于各运营商的网络内，为运营商的互联网接入用户提供域名递归解析服务的系统，这类递归域名服务系统由各个运营商运行管理。中国的大部分网民均是通过各级运营商的递归域名服务系统实现DNS查询。2）各类公司、企事业单位在其内网建立的，为其内网用户提供域名递归解析服务的系统，这类递归域名服务系统由其所属单位运行管理。1.4评估方法1.4.1 技术手段此次评估的信息收集工作采用了如下方法：1)技术和理论分析根据自身掌握的资料对国内域名系统的安全状况进行了理论上和技术上的分析。2)调查问卷为了完成此次评估，CNNIC制订了一套详细的调查问卷（详见附件二），覆盖设备安全、服务安全、灾备安全、存储介质安全等各个方面，针对主要注册商进行了有针对性的问卷调查，覆盖万网、新网、中企动力等知名注册服务管理机构，对其设备安全、服务安全、灾备安全、存储介质安全等方面进行了全面的调查和评估。3)远程扫描探测针对调查问卷反馈的DNS服务器，以及CNNIC自身掌握的政府/行业权威服务器和探测到的国内4万多个域名系统（权威2.2万，递归1.9万），利用基于DNS协议的监测和扫描工具对其进行了扫描和分析。扫描分析的内容包括服务器运行状况、软件系统和配置情况等。1.4.2 分析方法对于各级域名体系安全，我们主要从以下两个方面进行分析：1） 问题分析（严重程度和概率）2） 建议和对策对由CNNIC、国内企业和机构管理的域名服务系统，还增加了以下四个维度的安全评估:1）设备安全设备安全是指由于设备（包含软件）问题导致的域名体系安全问题，主要评估的依据包括硬件的软硬生产厂商分布，自主研发产品及自主知识产权软件的使用比例，对设备的管控能力等。2）服务安全服务安全主要关注域名系统的“软”安全问题，具体评价依据包括：a) 域名服务系统管理机构对域名服务系统的管理是否有第三方权威机构评估或参与，以及第三方机构的权威性。b) 域名服务系统管理机构对域名服务系统的运维标准及运维人员配备情况；c) 域名服务系统管理机构对域名服务系统物理安全的具体安保措施。3）灾备安全灾备安全主要关注域名服务系统的备份及灾难恢复能力，具体评估依据包括：a) 各域名服务系统管理机构是否对zonefile及日志等关键数据进行备份，以及备份的介质、频率、期限状况。b) 各域名服务系统管理机构是否有针对域名服务系统的灾备措施，以及具体的灾备实施方式、拓扑状况及灾难恢复能力。4）存储介质安全存储介质安全主要指域名服务系统管理机构在存储介质管理方面导致的数据安全问题。评价的依据主要是各机构的的日常存储介质管理情况，以及存储介质损坏或报废时的处理措施等。以上四个维度的统计详见附件1。2域名根服务系统2.1现有问题顾名思义，域名根服务系统是域名系统的根基和基础，所有域名访问都首先查询根服务系统，然后再逐级访问到各级域名服务系统，因此理论上根服务系统管理者可以通过分析根服务系统的访问记录，了解到每个国家的互联网访问情况；此外，根服务系统的稳定性也直接影响到整个域名服务系统的安全和稳定性。目前全球13个根服务系统中，我国引进了F、I、和J根服务系统的镜像服务器（2002年电信接入F根镜像、2005年CNNIC接入I根镜像、2006年网通接入K根镜像），有效降低了国内用户访问DNS根服务器的时间消耗，从平均数百毫秒降低到毫秒级。并使得国际链路的中断不再成为影响我国DNS系统正常运行的因素。根镜像的引进，提高了我国域名体系内的效率和安全性，但是并未解决我国域名体系本身的缺陷，即，我国并不具有根服务系统的管理权和控制权，我国只是提供了根镜像服务系统的网络接入和机房环境，不掌握根镜像服务系统的数据，无法干涉根镜像服务系统的运行。虽然解决了因国际出口中断而导致的服务失效问题，但是无法解决西方国家在包括战争等特别状况下对根服务器的控制和扰乱，这种控制在过去的“海湾战争”和“阿富汗反恐”都有体现，美国政府所掌握的权力可随时影响互联网根服务系统对中国的开放，影响到我国的网络安全和信息安全。2.2建议为防止在极端特殊情况下我国域名体系的安全，从源头上保证域名解析服务的顺畅，支持互联网服务和应用的高可用，针对域名根服务系统管理权的缺失问题，应建设应急备用机制；然而此应急备用机制的建设，须注意避免对现有国际域名体系的冲击，避免被形容为对现有国际互联网秩序的扰乱和分裂行为。因此，建议如下：1）组织工业信息化部组织相关机构抽调人员、或委托相关机构，成立根域名服务系统工作小组，对现有国内根域名镜像服务系统进行监控和分析，并负责“伪根服务系统”的建设、日常运行和应急处理，协调国内主要互联单位给予严格实施和资源保障2）硬件“伪根服务系统”的部署建议以实现现有13个根服务系统的完全模拟为最佳。部署地点上，可考虑与现有CN国家域名顶级节点重合，便于统一管理和降低成本。在设备选型上，应倾向自主产权的设备，包括路由器、交换机、服务器、安全设备等。3）应急预案制定“伪根服务系统”的应急处理机制及协调机制，加入中国互联网应急处理预案体系，形成一整套监测、预警、处理、上报、协调处理的流程。3 顶级域名服务系统3.1CNNIC管理的CN国家顶级域名服务系统3.1.1安全现状2005年开始随着中国互联网的高速发展和中国网名数量的增加爱，CN域名注册数量和解析数量逐年攀升，CN国家顶级域名服务系统面临着越来越大的服务压力和安全压力。2005年开始，中国互联网络信息中心开始对原有的国家顶级域名服务系统进行升级和再部署。截至到2008年3月，在全球共部署了8个国家域名顶级节点，负责提供全部的CN域解析查询以及中文域名的查询。在部署和运营这些节点的过程中，重点考虑了以下几个方面：A 要有足够的性能，处理目前规模的查询(当前每日查询量维持在13亿次左右)以及满足未来5年内域名规模的增长。B 对整个系统进行安全加固。包括数据传输安全，管理安全以及服务漏洞的修正。在软件实现上对BIND已知的漏洞和问题进行了修改。在网络传输上使用在专线VPN等措施保证数据传输安全。C 通过建立灾备中心，以及备份节点来实现安全应急措施，应对突发情况。D 通过对节点的地理分布以及通过对节点在各个网络自治域的分布同时利用anycast这样的技术，实现查询流量的负载均衡，也可以在一定程度上应对网络攻击。E 通过系统升级和架构改进，将CN域名的生效时间大幅度提高到4小时之内。域名查询解析时间缩短为50ms之内。下面我们从设备、服务、灾备、存储四个层面对国家顶级域名服务系统现状做一个分析：1） 设备安全在硬件设备方面，CN域名平台（包含注册、解析、whois）的设备均采购自国内外知名设备生产商。服务器品牌包括联想、IBM、Dell、HP；网络设备品牌包括思科、F5。所有设备采购均走政府采购流程，包含3年7*24小时服务。在操作系统方面，CN域名平台目前主要是Linux操作系统（以Redhat AS4，内核2.6版本为主）。在解析软件方面，CN域名平台采用了开源的BIND（9.4.2-CN2）和NSD（3.0）软件，其中BIND9.4.2-CN2版本的源码经CNNIC自行修改编译，全面支持中文域名，并在安全和统计等方面有所加强。在安全防护方面，CNNIC主节点及各外辅节点均部署有多层的安全防护设备，包括防火墙、IPS、黑洞等等，在管理上制定了严密的安全防护策略。2）服务安全CN国家顶级域名的8个顶级节点目前分别位于CNNIC主节点（中国科技网）、中国联通1（原中国网通）、中国电信、中国移动、中国联通2、韩国NIDA、德国DENIC和中国教育网，这些顶级节点所在的机房都达到了电信级机房环境标准，具有严格的物理安全保障措施，包括门禁、出入登记等，部分节点具有实时视频监控。CN中心节点具有季度性的安全检查及年度的第三方安全评估机（目前CNNIC的外部安全评估机构为绿盟科技有限公司）；对于国内外辅节点安排了每半年一次的巡检。CN国家顶级域名服务系统的运维团队人员目前约有30人，包括分工明确的系统工程师、数据库工程师、网络工程师、安全工程师、DNS工程师、运维研发人员以及系统管理员。国家顶级域名服务系统目前为7*24小时监控，每班监控岗位2人；其他相关工程师24小时开机待命。此外，CNNIC针对国家顶级域名服务平台部署了严密的监控体系，监控内容包括：l 硬件设备及操作系统监控；l 各项服务（注册、解析、whois）可用性、响应速度；l 数据安全，包括各项服务的数据正确性、一致性；l 重点域名解析正确性；3）灾备安全CNNIC对于CN域名数据库、每次生成的zonefile、以及各项服务的日志均执行每日备份策略，备份到磁带库，进行永久保存。这些归档的数据及日志可以随时调取查阅。国家顶级域名的8个解析节点目前实现了全球的分布式布局，每个节点的设计容量为CNNIC历史最高解析量的3倍。各节点设计为互为备份，具备故障接管能力以及抗攻击能力。即，在极端情况下，任意存活的一个节点可以接管平时总查询量3倍以上的解析请求。CNNIC在2005年建立了数据级同城灾备机房，2006年底建立了服务级异地灾备机房；CN域名核心数据库实时备份到同城与异地灾备数据库，CN域名除解析业务外的其他各项业务也均在异地灾备系统上进行了部署。在2008年7月，CNNIC在异地灾备系统上成功实施了全业务实战灾备切换演习。4）存储安全CNNIC目前对于国家顶级域名服务系统的存储设备管理措施比较严格，但是对于报废存储设备的处理以及对于故障设备的厂家收回问题还没针对性的管理策略及措施。3.1.2存在的问题1）设备可进一步多样性目前国家顶级域名服务系统的服务器做到了多样性，包括国产品牌和国际品牌。但网络设备上，基本仍以CISCO等境外品牌为主。未来应考虑部署12个由全国产设备构成（网络、服务器、存储）的节点。2）自主知识产权软件整个解析平台依然是基于开源软件BIND进行修改的，没有自主知识产权，随着国内域名注册数量以及相关应用的需求增加，需要再升级平台。CNNIC已经启动此系统自主研发的前期工作。3）存储介质管理传统上，国家顶级域名服务系统的设备一旦发生故障，厂家回取回故障设备，这对于数据安全具有一定的隐患。近期，CNNIC已修改了存储设备管理规定，强化了数据清洗手段，提高对存储介质的数据保密要求。4）协议安全DNSSEC自2008年夏天以来，kaminsky DNS漏洞日益受到广大用户的关注，也给了不法者攻击DNS系统的机会，该漏洞的终极解决方案就是在整个域名体系中实施DNSSEC。目前国家顶级域名服务系统尚不能全面支持DNSSEC，但已制订了2009年全面实现DNSSEC功能的工作计划。5）全球分布的广泛性性、灾备容量相对于.com、.net等通用顶级域以及.de等他国顶级域，国家顶级域名服务系统的全球分布广泛性尚不足，各节点数据同步时间也有待进一步缩短。另外CNNIC异地灾备规模比较小，与主节点服务平台的差距比较大，需要进一步扩容。3.1.3解决建议在未来，为了进一步提高国家顶级域名服务系统的安全性，应着重开展如下几个方面的工作：1）扩充设备品牌类型，着重增加国产网络产品在国家域名顶级节点中的比例。2）研发具有自主知识产权的DNS解析软件，包括针对权威和递归服务器的不同版本。目前CNNIC已经启动此项工作。事实上，根据统计和分析，国内的域名服务器软件系统采用的软件99%均为境外软件，近90%采用的是一款开源软件BIND，这是由历史原因造成的尴尬现状。使用境外的商业软件，因为无法获得程序代码而带来的风险对于国家互联网的安全是不可忽视的。而使用境外的开源软件，由于无质量保证和公开代码造成的安全威胁是必须要解决的问题。4）推进DNSSEC协议的实施工作，进一步提高DNS协议本身的安全性。5）进一步增强CN域名服务器全球分布的广泛性，提高服务性能及容灾和抗攻击能力。3.2 CERNET管理的国家顶级域名服务节点3.2.1 现状及问题全球目前共8个国家域名顶级节点中，有一个节点由清华大学管理，位于CERNET。目前的硬件平台存在两个主要问题：1）处理性能目前教育网节点由一主一备两台服务器组成，服务器硬件配置为4路32G内存。相对其他国家域名顶级节点，处理性能不足，很难提供峰值三倍的高标准突发流量应对处理能力。2） Anycasting能力除教育网节点外，所有国家域名顶级节点都具有anycasting能力，即，可以接管其他节点的地址和服务，在其他节点失败时实现对用户透明的服务接管。而教育网节点无此能力。此外，面向未来下一代互联网的可信域名的建设需求，需要对现有国家域名顶级节点设备进行全面升级，包括网络和硬件改造、软件升级等，目前教育网的投入水平无法很好地满足上述发展需求。3.2.2建议CERTNE节点的现状反映出，我国国家顶级域名服务系统的建设和运行尚缺乏相关指导规范或标准，因此各单位建设的域名服务系统水平差异参差不齐。首先，国家顶级域名服务系统的物理环境得不到保障，就会因为一些非软件非网络的因素影响域名服务；其次，对于国家顶级域名服务系统涉及到的软硬件系统以及网络协议等没有统一的规范，对独立各节点性能，安全措施，备份方案等方面都没有统一的标准。解决这个问题，必须统一包括CERNET在内的国家顶级域名服务系统的管理要求，各节点统一标准;同时，加快域名服务运营国家标准的制定和推出，此标准需兼顾考虑到互联网各级域名服务系统的运营需求。3.3 COM等境外顶级域名服务系统3.3.1存在问题互联网和域名体系的特殊性决定了对境外顶级域的管理存在难度，由于COM等境外顶级域的管理机构在境外，其域名的审核、管理标准均由境外机构确定，我国法律很难对境外域名管理机构的审核、管理标准进行有效监管。3.3.2解决方法由于COM等境外顶级域的管理机构均位于境外，国内的法律法规很难对这些机构的行为进行规范，综合国内外的监管实践，建议通过以下几个方式实现对COM等境外顶级域名进行监管：第一，对通过国内工信部许可的域名注册服务机构注册的境外顶级域名的管理。此类域名由于在国内的注册服务机构注册，其注册行为地在我国境内，这类用户的注册行为必须受到我国法律的管辖，必须符合相关的法律法规。对于此类域名可以通过约束注册服务机构的行为来达到对境外顶级域名的管理。第二，通过境外域名注册服务机构注册的域名在国内开通解析，向用户提供互联网服务。由于域名体系实现的是从域名到IP的转换，此类域名的解析服务器在中国，也应该由中国的法律管辖。第三，境外注册域名在境外开通解析，面向国内用户提供互联网服务。此类域名一直是监管的难点所在，由于各国对互联网监管力度不同，监管重点不同，而且国际标准不统一，世界各国对于此类域名的国际合作未能有效展开。对此，建议加强立法，将境外域名注册管理机构纳入法规管理范畴；或从互联网业务资质要求入手，要求其成立国内子公司，以便监管。4其他各级域名服务系统4.1 CNNIC管理的COM.CN等CN二级域名服务系统目前CNNIC管理的CN二级域与CN国家顶级域的部署在相同的平台上，设备、服务、灾备、存储等各方面的情况都完全相同。因此对这些CN二级域名服务系统将不再进行单独评估，具体评估结果可参见第二部分CN顶级域的评估结果。4.2 CERNET管理的EDU.CN域名服务系统相比CERNET管理的，由5个权威服务器提供解析服务：NS2.CUHK.HK.1NS2.NET..3DNS..5DNS2..3DENEB.DFN.DE.经咨询教育网相关人员，这五个节点均为单台服务器，部分服务器的解析软件为BIND 8版本，软件版本偏低。另外，根据扫描情况，这些服务器的操作系统和DNS解析系统均处于比较安全的状态。从地址可以看出，三个国内节点集中在北京的同一个网段，两个海外节点分布在香港和德国，因此，的解析节点是分散的，有冗余性和抗灾难性。从处理能力上分析，CERNET介绍目前的5个节点可满足3倍以上域名请求量的处理能力，但是需要将低版本的解析软件升级。4.4注册管理机构管理的域名服务系统4.4.1现状及问题CNNIC牵头对9家国内较大的域名注册服务机构进行安全管理问卷调研，通过问卷反馈，我们得知，目前国内域名注册服务机构在域名服务系统的安全体系建设上的水平是存在较大差异的。有些注册服务机构较为重视DNS的安全管理，在体系拓扑、硬件设施、操作系统、应用软件、安全评估、灾难备份等方面都有较为全面的建设和投入；同时，某些规模较小的域名注册服务机构在信息系统上的投入还是有限的，其技术架构思路也并不合理；并且，大部分受访者使用的DNS软件也多是BIND。拥有率国产率服务器100%16%专用网络设备70%0%安全设备60%90%操作系统100%0%DNS软件0%100% (70%BIND)2年内受到安全攻击60%灾备中心30%从问卷样本的统计就结果可以推知，域名注册服务机构作为企业，或从成本角度考虑，或受限于技术水平，普遍存在低硬件投入、简化平台架构等现象。一方面这是企业为了节约成本保持投资最大化的自发行为，另一方面也是目前缺乏对域名注册服务机构的技术资格要求和完整的技术方案指导所致。缺乏域名服务器系统的建设和运行也没有相关指导规范或标准，同样导致各域名注册服务机构的域名服务系统层次不齐。除自身投入、技术、管理等因素导致的安全事件外，域名注册服务机构在抵抗外部安全攻击时，也无法得到国家相关部门的有效支持。如，几乎所有域名注册服务机构的域名解析服务都受到过DDOS攻击，由于大多数注册服务机构的DNS服务器托管在各运营商IDC，而运营商的通常做法是中断注册服务机构的网络接入。这对于普通应用服务来说，或许是一种可行的临时处理方式，但对于域名解析服务来说（部分注册服务机构甚至承担上百万域名的次级解析），中断其网络连接，将大范围波及其域名所承载互联网应用资源。因此，需要从体制上考虑注册服务机构的合理诉求，将注册服务机构的域名安全事件纳入统一的互联网安全事件范畴。注册服务器机构的安全设备国产化指标颇高，得益于国家政策层面对国产安全产品的支持和鼓励。4.4.2解决建议1.将对注册管理机构的安全管理要求加入域名服务运营国家标准中去，并以此要求备案注册服务机构进行信息平台建设；2.提供对注册服务机构的技术支撑和安全服务，将注册服务机构的安全事件处理，纳入国家互联网络安全事件处理机制中去。4.5各行业自我管理的域名服务系统4.5.1现状及问题通过对22551个国内各级域名服务系统分析，国内域名服务系统使用的软件系统前10位的软件系统见下表。其中使用开源软件BIND的服务器数量达到了80%以上。在这些使用BIND的44.23%的服务器（即8103个）使用了较低的版本（9.2.3,被认为有较高的安全风险）软件系统服务器数量百分比ISC BIND（open source）1832081.24%Microsoft13465.97%Nominum CNS/ANS8193.63%Mikrotik dsl/cable5302.35%bboy MyDNS4401.95%Robtex Viking DNS module2100.93%PowerDNS PowerDNS1530.68%Runtop dsl/cable1530.68%DJ Bernstein TinyDNS1400.62%VeriSign ATLAS830.37%前10位总计2219498.42%其中，9.55%支持递归查询，51.38%支持TCP请求，41.60%支持EDNS0，26.13%支持DNSSEC。其中权威域名服务系统支持递归是一种不被建议的运行方式，可以看作是一种安全隐患。如果没有切实的需求，关闭TCP端口会让服务器变得更加安全。EDNS0的支持代表了DNS支持协议扩展的第一个版本（RFC2671峨(包括针对未来的IPv6协议)的问题。对DNSSEC俄103ms。就目前的软件实现而言，将商业的DNS软件（不包括Windows平台上的DNS服务），以及开源软件中主流的BIND9.2.3以后的版本定义为相对安全级别（下同），那么国内权威域名服务系统处于相对安全的比例为23.47%。通过对1000个CN域名的抽样检查发现，大多数域名系统只使用了2个解析服务系统作为自己的权威服务系统。4.5.2解决建议从上述数据可以看出，由于对域名重要性的认识不足，或由于域名运营指导标准的缺失，导致各行业的域名服务系统在部署数量、部署地点、应用软件上存在风险。1. 建议尽快推出域名服务运营标准；2. 尽快开发并推广国产域名解析软件；3. 加快实现CN域名DNSSEC信任链的研究工作；4. 建议从国家层面应考虑建议域名系统监控和分析平台，定期对分布在全国各地的各重点域名服务系统进行扫描、评估、改进建议。5递归域名服务系统5.1问题及现状通过对国内的19016个递归域名服务系统进行分析，其软件系统前10位见下表。从表中可以看出，超过85%以上的递归域名服务系统使用了开源软件BIND，在这些使用BIND的服务系统中，其中又有51.04%的服务系统使用了较低的版本。软件系统数量分布百分比ISC BIND1654286.99%Mikrotik dsl/cable13276.98%Nominum CNS/ANS6433.38%Microsoft3822.01%vermicelli totd320.17%Runtop dsl/cable170.09%Robtex Viking DNS module150.08%Paul Rombouts pdnsd100.05%PowerDNS PowerDNS80.04%JHSOFT simple DNS plus40.02%1898099.81%其中41.38%支持TCP查询，44.70%支持EDNS0，29.95%支持DNSSEC。平均响应时间为211ms。按照CNNIC定义的规则，其安全比例为19%。5.2建议从统计数据可以看出，国内递归域名服务系统的运营水平，在各项指标上远低于国内（权威）域名服务系统的标准。其原因一方面是（权威）域名服务系统的日常维护和频繁变动需要技术管理人员的跟踪支持，而递归域名服务系统经常是搭建完成后无需维护可运行多年；另一方面是一些商业域名软件厂商处于市场因素考虑更多地推广其权威域名软件，拉动国内客户对权威域名管理的重视和采购愿望。为解决递归域名服务系统器安全问题，主要手段与解决（权威）域名服务系统手段类似，主要包括：1. 制定并推广递归域名服务系统的运营国家标准；2. 开发并推广国产递归域名解析软件；3. 从国家层面建立统一的域名系统监控和评估平台，定期对分布在全国各地的由各互联网运营商管理的递归域名服务系统进行扫描、评估、改进建议。6其他国家关于域名服务体系的状况比较6.1.域名服务软件研发包括美国、德国、韩国等国家，都已经或者开始进行自主域名服务软件的研发，并大量引进根服务器镜像，以构建各国的国家域名服务体系。面对域名系统领域的诸多问题，国内外都在积极地投入研究工作。美国、德国、韩国等国家都在DNS研究方面投入很大。同时一些国际化的组织比如ICANN，IETF也在不断的努力，进行技术标准制定，服务协议完善和应用研究。首先是随着互联网发展出现的新问题，其中包括ENUM、RFID和IPv6协议等新的应用需求，尤其是域名数量的快速增长。在这方面，发达国家都在积极的进行研究和确定标准。其次，在结合信息和网络安全方面，美国，德国等都在制订计划，改善其域名系统的抗风险能力，以及性能。美国的VeriSign公司，作为全球最大的顶级域com和net管理机构，其域名解析系统非常强大，同时支持多种协议协同工作，比如SIP，SS7等。在美国政府支持下的一些大型互联网公司，都在域名系统方面开出了多种拥有先进技术专利的软件和应用架构，从而保证了整个国家在域名体系方面的领先性。最后，在为本国提供互联网治理方面，很多国家都已经在开展工作。互联网领先研究机构之一CAIDA(Cooperative Association for Internet Data Analysis)发起了由美国国家自然科学基金（the National Science Foundation）支持的重要项目，并继续接受NSF、ARPA以及许多领先互联网公司，如思科的支持。除了拥有大量的研究者和学生，还与各大ISP、学术网络和其他互联网研究机构有着合作关系。CAIDA在根服务器的性能检测、DNS配置错误以及对全球的影响方面的研究发挥着重要作用，并且先后主导了数次针对路由、多播、蠕虫传播等的研究。6.2.技术标准化在技术标准化这方面，发达国家一直处于相对领先的地位。IETF的DNSEXT和DNSOP工作组一直在积极地推进DNS相关标准。DNSEXT工作组目前主要针对DNSSEC和DNS的数据更新问题进行研究。DNSOP工作组主要研究DNS操作方面的问题，包括IPV6DNS和IPV4DNS的兼容问题。目前，世界上各个国家都在积极地参与标准的制定，为本国的域名体系及应用争取更多有利的空间。包括对多语种域名的研究和支持，以及由此引起的相关应用，都是各国关注的焦点。中国互联网络信息中心推动的部分中文域名国际标准已经被IETF采纳。6.3.运行部署为了对互联网的各项应用提供有力的支持，在域名系统的运行部署方面，各发达国家都在面向全球进行域名服务的部署。美国的多家大型商业公司（以Verisign,Neustar为代表）都在全球部署了众多性能强劲的域名服务节点，他们面向全球提供商业化的域名服务。而德国，韩国等国家也为了本国管理的域名的解析性能，在全球部署了解析节点，确保域名服务的性能和可靠性。对于根服务器来说，欧美，以及日本为了本地区的互联网安全，建立起了众多的镜像节点。这些地区是根服务器节点相对密集的地方，所以对于整个的域名服务系统的服务质量都有极大的帮助。7 总结7.1 问题汇总7.1.1 对域名根服务系统无管理权虽然我国引进了F、J和I根服务系统的镜像服务器，但是我国并不具有管理权和控制权，无法解决西方国家在包括战争等特别状况下对根服务系统的控制问题。7.1.2 域名服务系统软件几乎全部依赖境外软件根据中国互联网络信息中心的统计分析报告，国内的域名服务器软件系统采用的软件99%均为境外软件，近90%采用的是一款开源软件，服务质量和安全性无法保障。使用境外的商业软件，因为无法获得程序代码而带来的风险对于国家互联网的安全是不可忽视的。而使用境外的开源软件，由于无质量保证和公开代码造成的安全威胁是必须要解决的问题。7.1.3 域名服务的运行管理标准不统一域名服务系统的建设和运行没有相关指导规范或标准，导致各单位建