电信运营商DNS系统安全体系的构建.pdfVIP

科技情报开发与经济 SCI-TECH INFORMATION DEVELOPMENT ＆ ECONOMY 20 10 年 第20 卷 第32 期 文章编号：1005－6033 （2010）32－0117-02 收稿日期：2010－10－09 电信运营商DNS 系统安全体系的构建 杨曙明 （太原理工大学计算机科学与技术学院，山西太原，030024） 摘 要：DNS 是十分重要的Internet 基础设施，对互联网服务至关重要，如何保障DNS 系统的安全，对于运营商而言，迫在眉睫。在分析DNS 系统面临风险的基础上，从3 个 阶段、4 个层次的角度给出了DNS 系统安全体系构建的思路。 关键词：DNS ；安全体系；高可用性 中图分类号：TP393.08 文献标识码：A DNS （Domain Name System ，域名系统）是Internet 的一项核 安全漏洞，如远程缓存破坏漏洞、可预测DNS 查询ID 漏洞、验证 心服务，它作为可以将域名和IP 地址相互映射的一个分布式数 远程拒绝服务漏洞、上下文远程拒绝服务漏洞等。 据库，能够使人更方便地访问互联网，而不用去记住能够被机器 2 DNS 安全体系构建 直接读取的IP 数串。完整的域名系统由递归域名服务系统（即本 地域名服务器）、根域名服务系统、顶级域名服务系统以及各级 对运营商而言，DNS 系统的安全目标是：第一，保障DNS 系统 域名服务系统等4 个层级构成。DNS 是十分重要的Internet 基础 自身的安全；第二，DNS 服务的高可靠性、可用性、连续性；第三， 设施，是Internet 的基石，是互联网的起点和入口，是全球互联网 为其他相关业务系统提供支持。也可以说，对运营商而言，DNS 系 通信的基础，基于Internet 的各种Web 服务、E－mail 服务、路由 统的安全目标就是为用户提供可信、安全、可靠的DNS 服务。 服务都依赖或者间接依赖DNS。 一个完备的DNS 系统保障体系，应该包括4 个部分（策略体 对于电信运营商而言，以下3 方面的问题亟待解决：第一， 系、管理体系、技术体系、运作体系）、4 个层次（物理安全、网络安 保障DNS 系统自身的安全；第二，DNS 服务的高可靠性、可用 全、主机安全、应用及数据安全）和3 个阶段（安全评估、安全防 性、连续性；第三，为其他相关业务系统提供支持。 护、安全运维），它们共同构成一个有机的整体，协同作用，使 DNS 系统可以提供高可靠性、高可用性、高连续性的DNS 服务。 1 DNS 安全风险分析 DNS 安全体系模型见图1。 目前，DNS 面临的安全攻击主要可以分为3 类：DNS 欺骗攻 完整性 击、拒绝服务攻击、系统漏洞，下文将分别进行介绍。 机密性 安全目标 可用性 安 1.1 DNS 欺骗攻击 应用及数据安全 安全 主机安全 安全运 当一个DNS 服务器遭到欺骗攻击，使用了来自一个恶意域 全防维 名信息记录的，将会产生许多安全问题。常见的DNS 欺骗