安全极限管理,对于整个系统要建立一个安全极限,定期进行检查和评测,使它始终在这个安全极限范围内浮动。对于降低损失有两个措施:一个是重点域名的防护,保证这些重点的域名是正确的,当时百度被遭到劫持的时候,如果采取了重点域名防护的措施,保证这个DNS所解析出来的域名始终是正确的,不管是不是真的被篡改。二是域名容灾,有的时候后面的DNS可能有些情况导致自己的死机,这样要为用户提供域名解析的服务。这几类的措施如何应对前面两大类的业务异常,对于解析结果的异常而言,重点域名防护和域名容灾是两个措施,重点域名防护是事前的手段,事前就把重点域名进行一个锁定或者是类似的措施,保障它不会被篡改。对于域名容灾其实是属于事后的措施,当攻击产生的时候或者出现问题的时候怎样启动容灾,来使解析结果运营正常,可以为用户提供解析服务。对于业务监测和攻击防护也可以保证解析结果的异常,属于是事中的措施。所以从事前、事中、事后都可以应对业务可用性和解析结果的异常,这样DNS常见的业务系统异常。
根据刚才所的这些绿盟科技的建议,其实绿盟科技给出了比较详细的解决方案,从几个纬度来考虑这个事情:一是从时间的纬度,分为安全评估、安全防护和安全运维三个阶段,分别对前期有一个整体的评估以及极限的鉴定,在防护阶段进行实时防护,在安全角度,考虑DNS的运维应该如何做。基础措施也列了很多,包括攻击的防护和域名的控制都分别做了一一对应,另外还可以作为辅助服务来做。对于绿盟科技而言,相应的一些产品就是安全期限检查的系统,还有DNS专家的防护以及极限检查工具共同构成了一个对于DNS的解决方案。在这里给出了一个示意图,这是一个DNS节点,也就是单个节点安全的防护,有几个层面,在核心骨干网会有一个系统对大流量进行侵袭,在DNS层面上有专家防护系统对它进行完善实时的防护以及监控,另外还有一个极限检查和管理的事情。其实我们刚才讲到了这么多,包括大的整个域名的生态系统和整个产业链以及相关的角色,整个的体系如何去考虑,当然需要多方的协同合作才能达到这些目标。其实DNS的安全还是有很长的路要走,这里给出了一组数据,是中国域名服务及安全状况报告,大家可以看到,53%存在一定的安全隐患和风险,也就是超过半数以上,这个总量非常大,绝对数量还是相当大的。有57%,也就是一半以上的域名服务服处于有分享的状态,大家可以看到,其实DNS还是有很长的安全之路需要我们走。这件事情需要大家一起携手,共同为DNS走上健康和安全的发展之路去努力。
我就讲到这里,谢谢大家!
