域名安全對策：第三方域名服務(wù)托管漸成趨勢

美國域名服務(wù)提供商Verisign提供的調(diào)研報告顯示：美國采用在線運營方式的大中企業(yè)中，約63%的企業(yè)在過去的一年內(nèi)經(jīng)歷過DDOS的攻擊，約53%的公司在過去一年內(nèi)經(jīng)歷過系統(tǒng)崩潰事件，其中33%是由于DDOS攻擊引起的。51%的公司表示系統(tǒng)崩潰事件使他們遭受損失。

域名安全所帶來的損失讓企業(yè)痛心疾首，尤其是那些以網(wǎng)絡(luò)為基礎(chǔ)的互聯(lián)網(wǎng)公司，如搜索引擎公司，電子商務(wù)平臺等等。上文中提到的百度、暴風(fēng)影音等公司的慘痛教訓(xùn)足以讓企業(yè)對域名安全刻骨銘心，并且讓同類公司引以戒。那么對于這些依托網(wǎng)絡(luò)運營的企業(yè)來說，怎樣才能保障自身的域名安全呢？

1.采用安全的操作平臺和域名解析軟件

域名解析服務(wù)系統(tǒng)所用的DNS軟件極其重要，如果因配置不當(dāng)或升級延遲，那么軟件存在的漏洞很容易被黑客利用。近幾年來，開源并且免費的軟件BIND被廣泛使用，在國內(nèi)的應(yīng)用率達(dá)到了80%以上。開源的軟件的很多漏洞在業(yè)內(nèi)是公開的，一旦該軟件出現(xiàn)嚴(yán)重安全漏洞，互聯(lián)網(wǎng)服務(wù)體系將面臨崩潰的危險。因此，企業(yè)應(yīng)采用安全的操作系統(tǒng)和域名解析軟件，尤其是一些重要的域名解析應(yīng)該采用商用的、經(jīng)過安全加固的軟件。這種軟件是收費的，但是服務(wù)商會提供完善的運營服務(wù)。不過無論是收費、還是免費的軟件，企業(yè)都要定期關(guān)注軟件商發(fā)布的最新安全漏洞，定期升級軟件系統(tǒng)。

2.分布式部署

在域名安全防護(hù)方面企業(yè)需要采用分布式部署的方式。把一臺服務(wù)器作為域名解析服務(wù)器，或者只為域名解析建立一個節(jié)點的情況下，一旦域名所在的節(jié)點出現(xiàn)線路故障、被攻擊、機器故障、軟件漏洞等情況，就會使域名解析出現(xiàn)問題。重要的域名應(yīng)該建立三個以上節(jié)點，并且分布在不同的機房、不同的運營商那里。一旦某個節(jié)點出現(xiàn)問題，另一個節(jié)點能夠繼續(xù)提供服務(wù)，不會影響域名解析的連續(xù)性。

3.要有應(yīng)急預(yù)案，具備應(yīng)急備份的能力

企業(yè)的域名解析服務(wù)器被攻擊或出現(xiàn)問題的時候，企業(yè)需要具有應(yīng)急備份能力。不過企業(yè)建立多個分布式節(jié)點，投資會比較大，維護(hù)起來也非常困難，在可能的情況下，可以選擇第三方域名服務(wù)商幫助自己建立完善的應(yīng)急機制。

4.借力專業(yè)第三方域名安全運維服務(wù)商

Verisign提供的調(diào)研報告表明：自主管理DNS服務(wù)器的公司，可靠率只有90.13%，而使用第三方管理DNS服務(wù)器的公司，DNS可靠率可以達(dá)到98%；自主管理的，也就是自建的DNS服務(wù)器發(fā)生宕機的機率是第三方提供DNS服務(wù)器的2倍。在美國市場上，企業(yè)越來越接受把DNS外包，請專業(yè)的運維服務(wù)商來幫助運維管理。

刑志杰建議對域名安全有較高要求的企業(yè)可以把域名解析托管到專業(yè)提供域名解析服務(wù)的第三方服務(wù)商那里。國內(nèi)目前專業(yè)提供域名解析服務(wù)的廠商并不多，中網(wǎng)針對中高端用戶提供了不同級別的服務(wù)。近日，在中網(wǎng)域名云服務(wù)的發(fā)布會上，中網(wǎng)董事長毛偉公布了其域名云服務(wù)產(chǎn)品分為三個級別：專業(yè)版、行業(yè)版和旗艦版。刑志杰則在會后的媒體專訪環(huán)節(jié)中透露了這三個產(chǎn)品的價格：專業(yè)版針對沒有太多交互信息的中型企業(yè)，年收費2萬元；行業(yè)版主要針對對域名安全有較高要求的電子商務(wù)企業(yè)、政府和金融機構(gòu)，年收費10萬元，目前，已有人民搜索，暴風(fēng)影音，易車網(wǎng)等互聯(lián)網(wǎng)公司與中網(wǎng)初步達(dá)成合作意向；而旗艦版則針對高端客戶，滿足客戶定制的管理需求，并根據(jù)其用戶數(shù)量及訪問量，收費從幾十萬到上百萬元不等。

如果企業(yè)規(guī)模比較大，已經(jīng)建立了完善的信息系統(tǒng)，擁有自己有域名服務(wù)器，具備域名解析的能力，這類企業(yè)無需放棄原有的域名服務(wù)設(shè)備，只需在第三方服務(wù)商那里增加一項遠(yuǎn)程備份服務(wù)。第三方服務(wù)商的服務(wù)節(jié)點比較多，比如中網(wǎng)目前在全球已經(jīng)有8個節(jié)點，由不同的運營商提供支持。企業(yè)原來可能只有一、兩個節(jié)點，在中網(wǎng)備份之后，企業(yè)就相當(dāng)于在原來的節(jié)點基礎(chǔ)上增加了8個節(jié)點，當(dāng)企業(yè)的域名解析在某一節(jié)點出現(xiàn)問題的時候，其域名解析不會受到影響，而且應(yīng)對訪問請求的解析能力會提高，服務(wù)能力得到增強。備份除了讓企業(yè)域名的安全性得到提高以外，還能夠?qū)崿F(xiàn)讓用戶就近訪問，提高訪問的速度。備份效果好，企業(yè)就可以慢慢把自建的部分去掉，全部托管。

如果企業(yè)并沒有在域名解析這方面有投資，比較經(jīng)濟(jì)的方式是把這項工作托管到專業(yè)的第三方服務(wù)商那里。域名很重要，但是企業(yè)自己建一個好的域名解析平臺：多點運維、定期維護(hù)，消耗的人力和財力比較大。采用托管方式投資更小，維護(hù)起來也更加方便，也符合越來越細(xì)化的分工趨勢。。而在一些特定行業(yè)，比如銀行，因為管理需要，一些重要的信息系統(tǒng)要求自建，那么中網(wǎng)也可以為其提供相關(guān)的軟、硬件支持。

對于網(wǎng)站域名安全沒有特別要求的中小型企業(yè)，這些企業(yè)可能大部分沒有設(shè)置域名解析服務(wù)器，有些企業(yè)的網(wǎng)站空間還租用的是虛擬主機，那么域名解析可以仍然采用域名注冊商提供的免費域名解析服務(wù)。不過，隨著企業(yè)不斷發(fā)展壯大，當(dāng)域名安全、網(wǎng)站訪問速度等對于企業(yè)的業(yè)務(wù)拓展、品牌塑造越來越重要時，企業(yè)就應(yīng)該考慮把域名解析服務(wù)托管在專業(yè)的第三方域名解析服務(wù)商那里。

域名無論是作為傳統(tǒng)企業(yè)的網(wǎng)上展示平臺、電子商務(wù)的窗口，還是作為互聯(lián)網(wǎng)企業(yè)的命脈，都顯示了其重要性--企業(yè)在互聯(lián)網(wǎng)上是否存在。企業(yè)的域名解析出現(xiàn)問題，中斷了服務(wù)，一方面給企業(yè)帶來經(jīng)濟(jì)損失，另一方面給用戶體驗帶來負(fù)面的影響。因此，企業(yè)需要重視域名的管理，構(gòu)建更加安全、智能的互聯(lián)網(wǎng)域名基礎(chǔ)架構(gòu)，保障域名運維的安全暢通。

域名安全策略的描述如上所述，有關(guān)域名安全現(xiàn)狀分析請閱讀：為何域名安全事件如此頻發(fā)？

【編輯推薦】

1. 中國域名安全亟待“補鈣”
2. 域名安全聯(lián)盟專家表示應(yīng)推廣域名安全防護(hù)標(biāo)準(zhǔn)
3. 騰訊網(wǎng)域名解析出故障 域名安全服務(wù)亟待提升
4. 百度嚴(yán)重網(wǎng)絡(luò)安全事件 解讀域名安全
5. 脆弱的域名安全 新網(wǎng)黑客事件觀察