在国科云近日举办的“AI赋能网络安全”专题交流会上,中国信息通信研究院专家陈剑发表了题为《域名风险日趋严峻,防范应对久久为功》的专题演讲。他从域名系统的重要性、面临的安全挑战及应对策略三个维度,深入剖析了当前域名安全的紧迫形势,并提出了体系化的防护思路。
域名重要性日益凸显,成为数字经济发展关键基础设施
陈剑指出,随着我国互联网高速发展和数字化转型加快推进,域名的重要性与日俱增。作为互联网运行的核心环节,域名解析体系承担着将域名映射为IP地址的基础功能。当前,我国域名注册总量已达3262万个,日均解析量超过50万亿次,域名资源及其基础设施正成为国家网络空间治理的重要支撑力量。
“新一代信息基础设施的广泛部署和千行百业的数字化转型,对域名系统提出了更高要求。”陈剑强调,域名系统的定位已从传统的寻址服务,扩展成为具备流量和任务调度、服务和数据访问、组织结构管理、网络安全增强能力的关键设施,形成涵盖多主体、复杂依赖关系的生态系统。
域名安全挑战加剧:依赖性强、滥用频发、攻击智能化
在肯定域名系统重要性的同时,陈剑指出其面临的安全风险日益严峻。他从“519断网事件”、阿里云域名劫持、伊朗国家电视台被劫持等典型案例出发,分析了当前域名系统面临的多重安全威胁。
自主顶级域名应用占比偏低:我国大部分域名解析路径需出境,对境外域名基础设施存在较大依存度,而境外域名解析路径基本不经过我国,使我国域名应用面临较大的单向制裁风险。
域名滥用风险持续增加:数据显示,79%模仿全球2000强品牌名称的注册域名由第三方持有。ICANN计划明年开启新一轮通用顶级域名申请,将进一步增加域名滥用和抢注风险。
DNS数据暴露风险加剧:由于DNS协议采用无连接的UDP协议默认明文传输,多环节存在数据暴露问题,容易诱发隐私泄露和网络攻击。DNS服务端汇聚的数据持续时间久、收集量大,一旦被恶意利用,安全影响难以估量。
域名系统攻击呈现规模化、复杂化和智能化发展:以DDoS攻击为例,2024年单IP攻击峰值已达5.6Tbps。域名攻击手段已发展出DDoS攻击、DNS隧道攻击、DNS反射放大攻击等多种样态。AI技术使得攻击手段更加智能和隐蔽,传统防御手段已难以应对。
长臂管辖风险不断加剧:随着国际形势日趋复杂,域名安全已成为国家对抗新阵地。陈剑以阿里云域名事件为例指出,我国顶级域名应用高度依赖境外机构,在“长臂管辖”下面临不可预期的断服、劫持等风险。
此外,域名技术和协议的扩展增加了部署维护难度。各类标准规范层出不穷,提高了技术选择、部署和维护的复杂性,需要综合考量应用风险以及与其他技术的兼容性。
应对之策:提升至国家战略,构建多层次防护体系
面对复杂严峻的风险环境,陈剑呼吁必须将域名安全提升到国家战略高度,构建多层次、体系化的防护能力。他提出的核心举措包括:
-建立自主可控、安全可靠的国家级递归域名安全保障体系,逐步减少对境外根与顶级域服务器的依赖,提升我国域名解析的自主性与抗风险能力。
-构建能够持续更新的动态威胁情报库,实现对恶意域名、钓鱼网站等威胁的主动发现与封堵,变被动应对为主动防御。
-积极采用DOH、DOT等加密技术,对传统的明文DNS查询进行加密传输,防范数据窃听和篡改,保障用户查询隐私与解析路径的安全。
-高度重视并积极推动我国在新通用顶级域名领域的申请和应用,增强我国在互联网基础资源管理中的国际话语权。
陈剑特别强调,域名安全是一项系统工程,需要行业内凝聚共识、深化合作。国科云作为在域名安全领域具备深厚技术积累与实践经验的服务商,目前正与中国信通院在域名递归联动调度等方面展开合作,共同致力于提升域名系统的安全性与稳定性。
推荐阅读:
