DNS系統(tǒng)安全目標(biāo)

對運(yùn)營商而言，DNS系統(tǒng)的安全目標(biāo)是：***，保障DNS系統(tǒng)自身的安全，第二，DNS服務(wù)的高可靠性、可用性、連續(xù)性，第三，為其他相關(guān)業(yè)務(wù)系統(tǒng)提供支持。也可以說，對運(yùn)營商而言，DNS系統(tǒng)的安全目標(biāo)就是為用戶提供可信、安全、可靠的DNS服務(wù)。

DNS安全體系模型

一個完備的DNS系統(tǒng)保障體系，應(yīng)該包括四個部分（策略體系、管理體系、技術(shù)體系、運(yùn)作體系）、四個層次（物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用及數(shù)據(jù)安全）和三個階段（安全評估、安全防護(hù)、安全運(yùn)維），它們共同構(gòu)成一個有機(jī)的整體，協(xié)同作用，使DNS系統(tǒng)可以提供高可靠性、高可用性、高連續(xù)性的DNS服務(wù)，如圖3.1所示。

圖 3.1  DNS安全體系模型

DNS安全整體解決方案框架

從兩個維度來構(gòu)建DNS整體解決方案，如圖3.2所示：

圖 3.2  綠盟科技DNS安全解決方案

 時間維度

在安全評估階段，DNS安全體系的建設(shè)內(nèi)容主要是：依據(jù)風(fēng)險(xiǎn)管理思想，對DNS系統(tǒng)進(jìn)行全面的安全評估，提出風(fēng)險(xiǎn)處置計(jì)劃。

在安全防護(hù)階段，構(gòu)建DNS安全體系的主要工作是：對DNS系統(tǒng)進(jìn)行全面的實(shí)時安全防護(hù)，保障業(yè)務(wù)的可用性。

在安全運(yùn)維階段，主要是從安全角度，完善DNS系統(tǒng)運(yùn)維工作，依托技術(shù)從管理上保障DNS業(yè)務(wù)的正常運(yùn)行。對于電信運(yùn)營商而言，DNS系統(tǒng)的安全運(yùn)維工作主要包括以下三個方面：(1)安全運(yùn)維隊(duì)伍：如何建立一個高效、具備解決問題能力的安全運(yùn)維隊(duì)伍；(2) 安全運(yùn)維流程：如何建立適合核心業(yè)務(wù)需求的安全事件處理機(jī)制、流程；(3) 安全運(yùn)維平臺：依靠何種手段將眾多的安全基礎(chǔ)設(shè)施管理起來。

 構(gòu)成維度

主要從產(chǎn)品和服務(wù)兩個方面，來構(gòu)成DNS安全解決方案，產(chǎn)品主要包括綠盟科技安全基線檢查系統(tǒng)、綠盟科技DNS專項(xiàng)防護(hù)系統(tǒng)、綠盟科技流量清洗系統(tǒng)；服務(wù)主要包括綠盟科技的針對DNS系統(tǒng)的安全評估服務(wù)、滲透測試服務(wù)、安全值守服務(wù)、系統(tǒng)監(jiān)控服務(wù)、安全事件處理、應(yīng)急響應(yīng)、事件追溯等。

DNS系統(tǒng)安全防護(hù)方案部署

構(gòu)建DNS系統(tǒng)雙層立體防護(hù)體系：運(yùn)營商骨干網(wǎng)部署流量清洗中心，進(jìn)行大流量級清洗；在DNS系統(tǒng)前部署DNS專項(xiàng)防護(hù)系統(tǒng)，進(jìn)行有針對性的細(xì)粒度的清洗，基線檢查工具；用于日常安全檢查評估工作。部署示意圖如下所示：

圖 3.3  DNS立體防護(hù)體系示意圖

DNS系統(tǒng)安全解決方案的具體內(nèi)容還有一部分未給大家分享，我們還會在以后的文章中繼續(xù)向大家介紹。

【編輯推薦】

1. 十大垃圾郵件的僵尸網(wǎng)絡(luò)
2. 泄密？木馬？如何保障政府網(wǎng)絡(luò)安全
3. DNS系統(tǒng)安全解決方案之DNS系統(tǒng)安全風(fēng)險(xiǎn)分析