主任李曉東建議，要從國(guó)家戰(zhàn)略高度進(jìn)一步提升對(duì)域名系統(tǒng)的重視程度。面對(duì)日益嚴(yán)峻的國(guó)際政治形勢(shì)和網(wǎng)絡(luò)安全態(tài)勢(shì)，亟須進(jìn)一步從國(guó)家層面加大投入，強(qiáng)化國(guó)家域名系統(tǒng)基礎(chǔ)設(shè)施的建設(shè)，在網(wǎng)絡(luò)帶寬、機(jī)房環(huán)境、運(yùn)行保障、應(yīng)急協(xié)調(diào)等方面確保充足的資源支撐。加大對(duì)芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)等基礎(chǔ)和關(guān)鍵信息技術(shù)攻關(guān)的支持力度，對(duì)重點(diǎn)領(lǐng)域和關(guān)鍵部門采用的進(jìn)口信息技術(shù)產(chǎn)品和系統(tǒng)進(jìn)行安全測(cè)評(píng)，推動(dòng)國(guó)產(chǎn)替代進(jìn)程，確保自主可控。

域名系統(tǒng)安全聯(lián)動(dòng)機(jī)制需進(jìn)一步完善。除了擴(kuò)充國(guó)家域名的絕對(duì)數(shù)量外，各相關(guān)方的配合聯(lián)動(dòng)同樣非常重要。要定期進(jìn)行黑客攻擊模擬演練，聘請(qǐng)專業(yè)的安全人員協(xié)助相關(guān)運(yùn)營(yíng)方進(jìn)行漏洞查明和修補(bǔ)。采取及時(shí)修補(bǔ)漏洞等手段加強(qiáng)信息安全防護(hù)，通過增加.CN頂級(jí)域名服務(wù)器數(shù)量、調(diào)整服務(wù)器部署模式等手段提升服務(wù)能力，通過增強(qiáng)在態(tài)勢(shì)感知、信息共享、應(yīng)急響應(yīng)等方面的能力打造多位一體的互聯(lián)網(wǎng)安全監(jiān)管體系。事先需要制定好應(yīng)急預(yù)案和應(yīng)對(duì)措施，如業(yè)務(wù)的自身調(diào)整、與運(yùn)營(yíng)商的溝通和應(yīng)急措施同步。當(dāng)DDoS攻擊發(fā)生時(shí)，需要多個(gè)部門間快速響應(yīng)，實(shí)施應(yīng)急方案和及時(shí)同步處理結(jié)果。

增強(qiáng)域名安全防范意識(shí)。國(guó)內(nèi)域名注冊(cè)商易名中國(guó)分析了近年來(lái)眾多域名安全事件，最終總結(jié)了域名被盜流程大致是：盜取郵箱賬號(hào)和盜取域名所在服務(wù)商賬號(hào)，登錄郵箱就可以找回在域名服務(wù)商注冊(cè)域名的密碼。通過這一流程不難看出，導(dǎo)致域名被盜的關(guān)鍵還是域名持有者的安全意識(shí)，除了增強(qiáng)域名安全防范意識(shí)之外，更為科學(xué)的驗(yàn)證信息流程也至關(guān)重要。

DDoS攻擊漸成主流攻擊方式

常見的域名安全問題有域名信息更改、域名劫持、中間人攻擊等形式。DDoS攻擊，即分布式拒絕服務(wù)攻擊，是目前黑客經(jīng)常采用而難以防范的攻擊手段。黑客一般是通過制作僵尸網(wǎng)絡(luò)的方式攻擊域名，即在計(jì)算機(jī)中植入特定的惡意程序控制大量“肉雞”(指可以被黑客遠(yuǎn)程控制的機(jī)器)，然后通過相對(duì)集中的若干計(jì)算機(jī)向相對(duì)分散的大量“肉雞”發(fā)送攻擊指令，引發(fā)短時(shí)間內(nèi)流量劇增。知名科技公司Arbor Networks發(fā)布的《全球基礎(chǔ)設(shè)施安全報(bào)告》中指出，DDoS攻擊在規(guī)模上趨于穩(wěn)定，但卻更加復(fù)雜。同時(shí)，DDoS攻擊已經(jīng)成為高級(jí)持續(xù)威脅(APT)的一部分，而APT則成為服務(wù)提供商和企業(yè)的頭等大事。

DDoS攻擊呈現(xiàn)新趨勢(shì)。今年3月份針對(duì)國(guó)際公司Spamhaus的300G超大流量的DDoS攻擊，攻擊者主要采取的手法就是DNS放大攻擊，也叫反射攻擊技術(shù)(DrDoS)，這種攻擊技術(shù)的特點(diǎn)就是利用互聯(lián)網(wǎng)上開放的DNS遞歸服務(wù)器作為攻擊源，利用“反彈”手法攻擊目標(biāo)機(jī)器。在DNS反射攻