中国互联网“中枢神经” 之痛

    文章来源:中国互联 更新时间:2014-6-26 16:51:50
分享:

域名城(domain.cn)6月25日消息,自1994年中国全功能接入互联网至今,中国互联网已走过20个春秋。如今,我们的生活工作中几乎所有领域都依赖于互联网,从国家战略层面来看,互联网无疑已成为信息社会的战略基础设施,是社会、经济发展的基础,是继陆、海、空、太空之后的新的战略疆域;从生产生活层面来看,互联网也已发展成为一个全球性公共基础设施,它使贸易、医疗、教育以及人们通信和交流的方式等生活的各个方面发生了革命性变化。


然而,我国如此重要的战略疆域,如今却面临着重要的发展难题,那就是还不能做到完全自主可控,尤其是在互联网基础资源层面,即被喻为互联网“中枢神经系统”的域名系统(Domain Name System,DNS),还存在很大信息安全隐患。其实自2013年的“棱镜门事件”后,在引发了全球各国对美国监听计划的谴责的同时,迄今为止,更多是各国对数据泄漏、信息安全的空前关注,以及对自身的网络和信息系统能否自主可控的重新审视。
 

不容忽视的网络“中枢神经”
 

从互联网的组织体系架构来看,按照功能划分,大致可分为通信物理设施层,域名、IP地址等基础资源层,以及最上层的业务应用层。这其中,域名系统及相应的技术标准则构成了互联网最重要的逻辑基础设施,可以看作是互联网的“中枢神经”系统。域名系统的质量如何,直接决定了我们所要建设的互联网乃至信息社会基础设施的质量。
 

作为互联网核心系统的域名系统(DNS),它的主要作用是将域名和IP地址相互映射到一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。形象来讲,域名系统是互联网上解决网上机器命名的一种系统,就像拜访朋友要先知道别人家怎么走一样,在互联网上当一台主机要访问另外一台主机时,必须首先获知其IP地址,IP地址是由四段以“.”分开的数字组成,记起来总是不如名字方便,所以,就采用了域名系统来管理名字和IP的对应关系。
 

就像我们初次拜访一个人一样,我们要知道人家的门牌号,然后按照地址去找。在互联网上只知道某台机器的域名还是不够的,还要有办法去找到那台机器。寻找这台机器的任务由网上一种被称为域名服务器的设备来完成的,而完成这一任务的过程就称为域名解析。
 

而域名服务器通常会有两种形式:权威域名服务器和递归域名服务器。权威域名服务器的主要用途是向全世界的电脑主机提供DNS信息,并对访问请求给出权威应答。递归服务器的主要用途是使得本地的DNS服务器能够缓存,从而比直接向外界的域名服务器请求更快地得到应答。如当有人查询www.abc.org时,解析器通常会向上级ISP的域名服务器发出请求,并获得回应。如果有本地的递归DNS服务器,查询只有在第一次被递归DNS服务器发到外部服务器,以后的查询就不会发向局域网外,因为它们已经有在本地的缓存了。
 

从上述内容来看,作为互联网络的核心系统设备,域名(DNS)服务器可以看成是对人们的网络活动,或者说上网行为记录的一个数据库。如果能掌控此类设备,就能对该地区网民的上网活动进行监控,通过数据分析和研究就能得出想要的结果。比如,某个时间段,某网站忽然访问量大增,则说明此网站有重要信息披露或吸引人关注的信息,使得众多网民关注。同样,通过对E-mail邮件通信的数据分析也能获得相应的一些重要信息。又例如通过监控关键部门的上网电脑IP地址的网络访问行为,可以分析出更多可能涉密的信息。由此可见,如果我国的互联网域名系统服务器不能实现自主可控,则互联网领域的“棱镜门”或将不可避免地出现。

 

域名系统设备形势堪忧
 

伴随着全球互联网的高速发展,作为全球互联网唯一标识符的域名系统规模发展迅速,域名注册量、应用率多年来持续快速增长。根据互联网域名系统北京市工程中心(ZDNS)统计数据显示,截至 2013 年 12 月,中国网站数量为320万,中国域名总数达到1844万。
 

从全球互联网域名系统体系来看,全球目前共13台互联网根域名服务器,主要分布在美国、日本和欧洲,作为互联网大国的中国,目前只有两台根镜像服务器,域名基础设施存在先天不足。从国内的域名服务系统来看,情况同样不容乐观。
 

据域名工程中心(ZDNS)技术监测数据显示,在国内各级域名服务系统中的所有权威服务器,62%以上的域名服务器使用开源的Linux系统,微软Microsoft Windows操作系统所占比例在36%左右;域名解析软件中95%以上的域名服务器使用开源的ISC BIND软件,国外权威域名服务系统中ISC BIND使用率约为93%。递归域名服务器中,超过55%的递归域名服务器运行在Linux等开源系统上,28%左右的递归域名服务运行在Microsoft Windows操作系统上;94%以上都采用的开源软件ISC BIND,国外递归域名服务系统中ISC BIND使用率约为86%。
 

可以看出,从域名服务器操作系统到域名解析软件,几乎已被微软和国外的开源软件所垄断。开源软件预留“后门”的风险较小,但也方便黑客借助其软件漏洞进行网络攻击。国外使用定制化专用域名软件的比例也高于国内。
 

另外,数据显示在我国目前域名服务器中,超过50%的域名服务器相对不安全,57%的重要信息系统存在域名解析风险,只有11%的域名解析服务安全等级为良好。其中,政府机构、金融机构的域名服务系统处于安全状态的不足10%;教育机构域名服务系统安全性最差,80%以上的域名解析服务处于有风险状态。

 

核心网络设备国产化势在必行
 

如何从根本上提升中国网络安全自我防护能力,提高安全性能,同时防止数据泄漏?毫无疑问,一个关键举措就是用自主可控的国产软硬件和服务来替代进口产品。只有建立起完全自主、安全可控的IT系统,把信息安全掌握在自己手中,才能确保国家网络安全和信息安全。
 

在此方面,其实国家早有行动,在今年2月27日,中央网络安全和信息化领导小组宣告成立,习近平亲自担任组长,将网络信息安全列入重大国防政策; 5月22日,国务院新闻办公室正式对外宣布,我国将对关系国家安全和公共利益的系统使用的重要技术产品和服务进行网络安全审查。2011年4月,为加强域名领域产业创新基础能力建设,北京市发改委正式批准成立国内首家域名系统工程研究中心(ZDNS),主要负责针对域名安全的域名服务器(硬件)和域名解析软件(软件)的国产化课题研究,参与互联网相关技术标准制定,中心自主研发的ZDNS域名设备目前已在金融、能源、广电等重点行业以及相关政府部门中得到广泛应用。
 

对于如何提高我国的互联网域名系统自主可控,保障网络及信息安全,互联网域名系统北京市工程研究中心(ZDNS)主任、中网董事长毛伟表示,从根本上保障互联网域名系统的国家信息安全,可以从几个放面出发,逐步提升我国互联网域名系统的安全性和稳定性。
 

首先,扶持域名系统服务器和软件定制化、国产化,因为定制化、国产化既能较好地利用现有的开源技术,同时又能更好保障信息安全,防范信息泄漏等风险。
 

其次,国家政策支持国产定制化域名系统专用设备和软件的研发和规模化商用。在关系国计民生的重要部门、信息系统应当采用国产的定制化域名设备和软件。
 

第三,将国产定制化的域名设备和软件列入政府采购名录。通过立法等手段加大对中国自主IT产品进行保护、对国家信息安全进行全面保护。

 

在线咨询
  • 在线时间
  • 8:00-21:00