新闻详情

下一代DNS·域见 | 央国企互联网收口的挑战和思考

616
发表时间:2023-04-21 11:42

fd3f051152d251721c3b2564c1cfd5da.jpg


来源:本文为ZDNS内部征稿,未经允许谢绝转载

作者:ZDNS解决方案系统部

关键词:互联网收口,DNS ,网络安全,央国企改革

前言

近两年,“互联网收口”成为央国企重点实施的战略项目,对于其更加有效的抵御外部威胁,支撑、加速数字化转型有着巨大的推动作用。而如何帮助央国企构建安全、可靠、低成本的企业专网也成为了各大网络服务商竞相研究的课题。

今天,我们来分析一下为什么要做互联网收口,这件事情的背后有哪些原因,以及在收口建设完成后还会面临哪些问题和挑战。


从外部来看,全球网络安全事件频发是重要的导火索


首先,从外部来看,全球网络安全事件的频发,依旧是重要的导火索。

当前,网络攻击威胁持续上升,勒索软件、数据泄漏、钓鱼、木马、黑客攻击等层出不穷,且变得更具危害性。网络攻击者的攻击成本在不断地降低,同时攻击方式也更加先进,关键信息基础设施面临的网络安全形势日趋严峻,对国家安全造成了严重威胁。每年都会组织网络安全相关的实战演习和应急演练,来提升我国网络安全的综合防御水平。

但网络安全事件依旧频发......

如何切实减少外部的网络安全威胁,降低互联网暴露面,成为摆在我们眼前必须要解决的问题。


8aa28f35c7590c879a9f2c03edd6c2dd.jpg


从内部来看,央国企数字化转型在加速

从内部来看,国有企业是引领和带动经济发展的中坚力量,数字化转型迫在眉睫,急需打通企业内部网络,形成企业自有专网,实现产业服务的贯通。虽然国资委对国有企业数字化转型的方向和重点做出了明确要求,并正式印发了《关于加快推进国有企业数字化转型工作的通知》。但在国内外网络安全态势不断的变化的情况下,企业如何做好数字化转型?同时如何加强网络安全建设?问题依旧很严峻。

国家层面,党中央从国家总体安全角度出发,提出和制定了《网络安全法》等一系列法律法规,来应对我国面临的网络安全新形势、新威胁。

企业层面,应当完善自身安全服务体系,抵御外部威胁,将数字化转型需与安全同步规划、同步建设、同步使用。

正是在内外部因素的共同作用下,为深入贯彻落实党中央、国务院关于增强国资国企抗风险能力和保障国家安全的决策部署,国资委下发《关于做好国资国企网络信息安全在线监管平台建设工作的通知》,通知中明确要求:

加快集团公司及所属企业互联网出入口收敛,切实减少暴露面和风险点,初步形成基础设施一张网、资产态势一张图、安全监管一盘棋、风险管控一条线、产业服务一站通等支撑能力。

在现今“互联网+”时代下,国有企业作为国民经济发展的中坚力量,是数字化改革创新的主力军和先行者。伴随数字化转型加快,国有企业积极响应国资委与工信部的倡议,强化互联网出口安全性,完善互联网出入口收敛工作。


由互联网收口带来的挑战和思考

截至2022年底,多数央企已完成集团总部和二级单位的接入,基本实现与网络信息安全在线监管平台的对接。

多数企业在规划和实施互联网收口的过程中,为保障业务的稳定性,都规划和建设了多数据中心、多出口,但在实际的使用过程中,可能还会遇到以下挑战:


挑战一:自建业务入向流量调度


互联网收口后,二级单位自建业务系统(如官网、OA、邮件系统等),将由原二级单位本地互联网进入,变为总部数据中心统一进入。这将带来以下问题:

第一,该过程涉及大量的域名解析配置更改,更改配置后是否生效?全国访问是否正常?业务切换需要多久?

第二,当单个数据中心或单条链路出现故障后,业务的访问路径如何实现自动快速的切换?有无配套的监控管理措施?


挑战二:互联网出向流量调度


出口上收后,成员单位的互联网出向流量将统一调度到总部出口,在多中心、多出口情况下该如何选择最优出口?总部如何有效利用出口带宽?实现成本最优?

各二级单位使用的本地DNS解析是否正常?解析结果是否会造成访问绕路和跨网的情况?大量的解析请求是否会触发运营商的安全防护策略,从而停止解析?


挑战三:恶意域名安全防护


安全访问一直是央国企关注的重点,总部及成员单位是否有恶意域名的访问请求?这些请求如何发现?如何拦截?从哪来,到哪去,过程是否可追溯?日志是否可查询?

基于企业的管理要求,需要管控的域名如何建立黑名单,如何进行拦截,以及威胁事件发生后如何快速定位,成为企业安全防护的管理难题。


挑战四:IP地址规划落实


IP地址规划是互联网收口中重要的管理手段,能够有效解决地址冲突和发现隐形资产。企业仍在采用表格的规划方式,缺乏落实和管理手段。二级成员单位IP地址是否在使用?使用率如何?什么人在使用?接入的是什么类型的设备?IP地址分配能否进行追溯等等。

同时,随着IPv6改造的不断深入,如此庞大的地址空间,又将如何规划?


打造下一代DNS系统,赋能互联网收口建设


作为支撑互联网运行的关键基础资源,域名系统(DNS)是“导航”系统、互联网服务的“入口”、业务调度及容灾的“枢纽”,承担将域名指向可由计算机识别的IP地址的重要作用,DNS的安全是保障网络畅通的核心和基础,DNS安全无法保障,网络安全也就成为“无源之水、无本之木”。

ZDNS结合自身技术、经验,从全局业务负载、智能流量调度、DNS安全防护策略、IP地址管理等维度进行着手,赋能互联网收口建设。


全局业务负载,有效解决多数据中心,多出口调度问题


ZDNS专注于互联网基础资源领域的技术研究与创新,基于自主研发的红枫(Maple)系统,在终端发起DNS请求时,根据客户来源IP属性,就近调度,能够有效解决跨地域、跨运营商造成的业务访问质量不佳的问题。结合ZDNS自有的探测技术,可对企业多个数据中心的内网应用进行实时健康探测,及时调整调度策略,使业务访问永久在线,真正实现在多数据中心,多出口之间的流量调度。


智能流量调度,高效利用出口,降低链路成本


红枫系统标准化对接网关出口设备,获取网关设备的出口链路信息,根据带宽使用率,带宽成本等进行分流,帮助企业降低链路使用成本;同时具备更为精细化的策略,可让管理员依据用户分组,域名库,时间策略等进行智能调度,实现管理与成本的完美结合。


安全防护守门员,构筑多视角的安全防护体系


DNS安全威胁管控系统提供多层次安全防护策略,全方位保障DNS业务流量安全。提供丰富的安全统计报表,通过对各类安全威胁事件聚合分析,直观反映企业安全事件的攻击频率、严重程度、威胁事件等等,帮助网络运维和安全团队时刻掌握企业内部的威胁现状,并提供详细威胁背景信息指导应急处理措施,为安全防护和事件追溯提供有效依据。


自动化资源管理平台,有效落实IP地址规划,发现隐藏IP资产


IP地址规划平台,可帮助企业完成IPv4/IPv6的地址空间规划,生成地址的同时可添加自定义标签,与业务、负责人等进行关联,分配完成即生成台账。

支持IP地址探测发现,有效发现隐形资产,将发现的资产转化为台账,实现资产发现到资产管理的转化。同时支持分级分权的授权策略,从总部到成员单位实现规划、分配、落实、使用的IP地址全链条管理。

总结

互联网收口其实是企业组网的另外一种表现形式,是将企业原本为了提高内部应用的访问质量普遍使用的FULL MESH组网结构,结合央国企所需的管理手段,形成的一种特殊形态的企业专网,目的是减少暴露面和风险点,保护国有资产。所以在规划和建设之初,就应当考虑到业务访问的流向,制定相关技术方案,保障业务的正常访问。

1682047667342.jpg


_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
顶级域名
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________