新闻详情

网络安全宣传周 | 企业域名风险管理全解析

264
发表时间:2023-09-14 17:21

来源:本文为ZDNS内部征稿,未经允许谢绝转载

作者:ZDNS 产品研发中心

关键词:域名安全域名管理


前言


作为互联网的关键基础设施,域名的系统安全与可靠运行对全球网络都至关重要。在国际形势风云变幻以及网络技术快速发展的背景下,企业域名安全所面临的挑战等级也随之上升,来自技术层面与监管层面的风险事件均时有发生。因此,企业域名管理者应从全局视角出发,提前防范部署,加强安全管理,保障稳定无虞。


域名安全概述

域名作为互联网服务访问的入口,其技术原理并不复杂,但域名正常使用的过程涉及众多环节,环节角色均或多或少地参与到域名从注册成功到最终投入使用的过程中,形成一个较长的链条,链条上每一环出现问题都可能导致域名最终无法使用。此外,域名生态近些年来发展日渐壮大,不断有新的角色加入到生态中,而域名使用者不太可能去了解全部域名生态从而规避风险,这就造成了看似简单的域名业务事故频发,例如yuanchuang.com忘记续费被拍卖、国内某搜索引擎主域名曾经被国外极端组织使用简单的诈骗手段骗取到控制权导致首页被指向极端组织宣传页、国内某银行主域名由于注册商操作失误导致业务中断长达数小时等。


总体来说,域名安全风险主要来自于两个层面:技术层面风险与监管层面风险,域名从注册到注销的整个生命周期流程都在技术体层面的相关技术系统中流转,流转过程中会受到监管层面的法律法规所约束,任何技术上的误操作或者在使用上违反了某个监管机构的规则都可能导致域名无法使用。即在国内的监管环境下,监管层面的问题也可能使得域名某个环节的技术系统无法使用。


因此,企业的域名管理者需要关注国内外的技术、国内外的监管两个层面以及两个层面之间的交叉影响考虑在内,从域名使用的全局视角识别出自己所管辖的域名组合所面临的风险,提前预防或者准备好应对措施。


企业域名安全现状

(一)监管环境复杂

按照《互联网域名管理办法》的要求,国内一个域名从注册到建站访问需要经过的环节如下图所示:


国内域名从注册到建站流程示意图


与个人用户只需要找到简单的建站工具即可完成以上全部步骤相比,企业用户应当关注上图中全部流程环节的管理,包括域名注册商、域名注册局、解析供应商及空间商管理。为保证建设与域名之上的网络服务能够按照业务侧需求持续、稳定的运行,企业应当对以上环节的进行适当监控,确保内外部的变化情况都在可控范围内。


目前,国内各域名服务相关系统均只关注自身业务环节内容,域名安全的服务也多聚焦于各业务环节进行深入分析,例如如何应对DDos攻击以保证解析安全等,很难从整体上把控域名安全所面临的问题。


(二)国际形式的变化

近年来,国际关系变化使得国内企业的域名安全出现了新的挑战。目前全球13个根服务器,中国只有镜像根运行权。20226月,包括伊朗国家电视台英语新闻频道(“presstv.com”)在内的30多个伊朗媒体网站,由全球最大的顶级域.com所有者Verisign实施管控,国内域名安全需要将此类风险考虑在内,并从技术、制度等层面加以防范。


如何防范域名安全风险

为了实现企业域名安全,则首先是需要识别企业域名管理范围,确定要被纳入管理的域名以及相关域名资源,并对域名资源进行分类;其次是对每一类资源所涉及的技术风险、监管风险进行分析。对已明确的域名安全风险,设计合适的风险监控方案。


确定域名资源管理范围

许多企业的域名管理处于域名资源不可见的状态,主要因为:一是企业域名管理者一般仅对企业部分二级域名具有管理权限;二是由于业务的开展具有不确定性,某些也许需要的域名暂时被第三方所注册,第三方注册域名的动机有中立也有恶意,因此应当将企业所关注的外部域名也纳入到域名管理范围内;三是企业所有在用三级域名及以下级别域名一般隶属于解析体系,一般由使用单位的技术部门进行管理,与二级域名的管理属于不同管理体系。



因此,针对此域名资源不可见的问题,需要域名管理的系统具备域名资源发现能力,协助域名管理者确定域名管理范围:首先是二级域名资源:分为企业的内部二级域名和被第三方占有的二级域名,企业内部的二级域名不可见通常是由内部管理问题所导致,外部的二级域名不可见主要是指被第三方所持有的、企业所关注的域名,这类域名有可能会对企业构成侵权。其次是三级及以下的各级域名资源。


如果域名管理者具备以上域名发现能力,则企业域名不可见的风险基本被消除,需要管控的域名范围也可以被确定。


监控域名风险

确定了域名管理范围后,就可以对域名资源面临的风险进行识别、定位。域名安全风险主要来自技术风险和监管风险。


(一)域名技术风险分析

域名的技术风险主要来自于域名从注册到启用所涉及到的各个相关技术系统。


域名作为DNS技术的载体起作用的流程如图所示:


域名从注册到建站流程示意


域名相关的技术系统可以被分为两大类:域名注册系统和域名解析系统。如图所示:


域名注册体系与解析体系


可以看到互联网域名系统是一个庞大的、遍布全球的分布式系统,采用分层分级的链式服务模型,各个层级分工明确、紧密配合,共同支撑互联网域名服务的正常运行。首先,解析体系由以下部分组成:


1.根解析;

2.顶级域名权威解析;

3.二级域及以下级别域名权威解析;

4.运营商及其他公共递归服务商提供递归解析;


四个层级机构的域名解析服务承载基础设施组成,面向互联网提供互联网域名解析服务。


其次,注册体系包括以下部分:


1.ICANN:提供顶级域名入根、信息变更等服务;

2.注册局:提供域名注册的服务端,并可以对域名进行高级别的管理操作,例如信息变更、停止解析等等;

3.注册商:面向互联网终端用户提供域名注册购买、信息变更等服务。


可以说,域名安全所面临的技术风险来自于以上两个体系中所涉及的全部技术系统,任何一个系统出现问题都有可能导致域名出现异常,企业需要针对以上两个体系所涉及的技术系统,判别所存在的安全风险,制定相对应的监控及应对措施。


(二)域名合规风险分析

域名安全所面临的合规风险是指域名的注册、使用与管理的过程中,域名所有者的行为违反了现有规则,导致域名中断使用。


域名监管体系分为国内监管体系和国外监管体系。国外监管体系以ICANN为主,其监管主要是针对域名管理机构或者域名服务机构。国内监管体系涉及域名注册到最终使用的一系列审核环节,除自身的合规之外,企业还需要关注是否有不合规的第三方网站跳转至自己的合规网站上,如出现这种情况,跳转网站和被跳转网站的IP将全部封禁,导致域名服务出现问题。同时,国内企业还需要关注自己的域名服务商是否具有资质,已有资质的需要持续关注其资质是否持续持有,如使用了无资质的域名服务商,其结果依然是被监管机构关停域名服务。


总结


基于以上分析,域名安全风险主要有技术风险和合规风险,因此需要对这两类风险进行有效监控,监控内容包括:


1. 域名注册体系所涉及的技术系统是否可用;

2. 域名解析体系所涉及的技术系统是否可用;

3. 所有相关服务商的技术系统是否可用;

4. 所有相关服务商的资质的存续情况;

5. 所有域名当前状态是否正常;

6. 所有域名、相关网站、服务是否存在被外部篡改。


可以看到,对以上内容进行有效监控的难点在于:一是涉及技术系统多、范围广;二是涉及非标准内容的监控,例如服务商资质等。


此外,监控系统还需要具备以下能力:一是监控节点应全球分布,保证监控不会存在单点故障,且能有效监控国内外相关技术系统的服务能力;二是监控系统需要支持全部域名系统相关协议,可以通过标准协议探知对应域名服务是否可用,包括域名注册相关系统、解析相关系统、建站相关系统;三是具备对非标准内容的监控,如国内服务商的资质监控。


ZDNS域名管家域名安全方案

ZDNS域名管家围绕国内大型跨国企业的域名安全风险,提出了一个整体的解决方案:



方案覆盖域名注册、解析、建站全生命周期,并考虑国内、外监管环境因素,从全局视角识别国内企业的域名安全风险,以域名大数据技术为基础,建设了域名安全风险的监控能力,并配备了一支具有多年域名行业服务经验的专家团队,协助用户处理域名风险。


域名管家平台实现了对企业用户全网数字资源的有效管理:多种类型的资源、分布在多个服务商、跨部门使用的域名资源在一视图可见;以及可以对域名业务全链条风险进行管控,即对注册、应用、合规、品牌,4大环节全面监控,业务全链条风险一站式感知。

_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
顶级域名
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________