中科三方為深交所等眾多金融機(jī)構(gòu)提供域名管理安全服務(wù)

近日，深圳證券交易所完成域名轉(zhuǎn)移流程，將旗下多個(gè)域名轉(zhuǎn)入中科三方進(jìn)行安全管理。

中科三方是中科院旗下國(guó)家高新技術(shù)企業(yè)，是國(guó)內(nèi)唯一國(guó)企性質(zhì)的域名注冊(cè)商，是首批獲得工信部資質(zhì)的域名注冊(cè)服務(wù)機(jī)構(gòu)之一。

中科三方有超過(guò)20年的域名管理經(jīng)驗(yàn)，主要面向政府、央企和金融等大型機(jī)構(gòu)，目前已服務(wù)超過(guò)5000家政府網(wǎng)站和超過(guò)50%的重點(diǎn)金融機(jī)構(gòu)。

由中科三方提供域名安全管理服務(wù)的重點(diǎn)金融機(jī)構(gòu)包括：

金融管理機(jī)構(gòu)：

中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)、中國(guó)證券監(jiān)督管理委員會(huì);

重點(diǎn)銀行：

國(guó)家開(kāi)發(fā)銀行、中國(guó)進(jìn)出口銀行、工商銀行、農(nóng)業(yè)銀行、光大銀行、興業(yè)銀行、浙商銀行、北京銀行、南京銀行;

重點(diǎn)保險(xiǎn)機(jī)構(gòu)：

中國(guó)人壽保險(xiǎn)、中國(guó)人民保險(xiǎn)、國(guó)泰人壽保險(xiǎn)、中國(guó)再保險(xiǎn)、中國(guó)出口信用保險(xiǎn);

重點(diǎn)證券機(jī)構(gòu)：

上海證券交易所、深圳證券交易所、中國(guó)外匯交易中心、上海期貨交易所、上海黃金交易所、大連商品交易所、鄭州商品交易所。

域名安全是網(wǎng)絡(luò)安全的重要組成部分，其中又包括所有者安全和應(yīng)用安全等多個(gè)細(xì)分環(huán)節(jié)?；ヂ?lián)網(wǎng)支付、網(wǎng)銀、信貸等業(yè)務(wù)在訪問(wèn)的第一步均由域名系統(tǒng)提供解析服務(wù)，因此域名安全對(duì)于金融機(jī)構(gòu)是一個(gè)很大的挑戰(zhàn)。

金融機(jī)構(gòu)需要通過(guò)多種途徑來(lái)增強(qiáng)域名系統(tǒng)管控與防護(hù)，其中非常重要的一條路徑是選擇權(quán)威的域名安全服務(wù)商。

常見(jiàn)問(wèn)題及解決方案

DNS系統(tǒng)出錯(cuò)、崩潰

大型企業(yè)熱衷于自建解析服務(wù)器，但由于解析服務(wù)器系統(tǒng)廣泛使用ISC Bind這種公開(kāi)軟件，其存在大量漏洞且更新緩慢，很容易導(dǎo)致自建解析服務(wù)器出現(xiàn)各種BUG或遭受攻擊，進(jìn)一步導(dǎo)致權(quán)威解析服務(wù)器出錯(cuò)，網(wǎng)站處于失聯(lián)狀態(tài)。因此自建DNS系統(tǒng)有很大的局限性，需要投入大量精力進(jìn)行維護(hù)。

解決方案

(1)中科三方域名解析服務(wù)器和CNNIC國(guó)家根域名注冊(cè)服務(wù)器同屬于中科院科技網(wǎng)機(jī)房，配備先進(jìn)的域名解析服務(wù)器，科技網(wǎng)六線(xiàn)BGP機(jī)房，時(shí)刻保障解析系統(tǒng)安全穩(wěn)定，無(wú)需為解析可用性擔(dān)心。

(2)中科三方專(zhuān)注域名安全領(lǐng)域二十余年，技術(shù)先進(jìn)，經(jīng)驗(yàn)豐富，可為企業(yè)提供合理有效的解析策略，用戶(hù)只需要對(duì)域名設(shè)置NS及SOA記錄即可，無(wú)需為設(shè)備、供電、機(jī)房等硬件維護(hù)問(wèn)題投入額外精力。

DNS劫持以及緩存投毒

DNS劫持是指將域名的權(quán)威解析篡改為可控的DNS，從而獲取域名解析權(quán)，將網(wǎng)站指向自己的IP。緩存投毒則是攻擊者向遞歸解析服務(wù)器傳輸錯(cuò)誤的解析記錄，使用戶(hù)訪問(wèn)網(wǎng)站時(shí)從遞歸服務(wù)器獲取到攻擊者提供的IP，將用戶(hù)引至錯(cuò)誤網(wǎng)站。

解決方案

(1)緩存投毒相對(duì)容易應(yīng)對(duì)，只需要將解析記錄的TTL值設(shè)為較小的數(shù)值，并通過(guò)模擬訪問(wèn)等方式，強(qiáng)制遞歸解析服務(wù)器刷新內(nèi)部解析緩存，重新從權(quán)威解析服務(wù)器獲取正確的解析記錄即可。

(2)對(duì)于DNS劫持則沒(méi)那么容易應(yīng)對(duì)，需要解析注冊(cè)商有高效的監(jiān)控系統(tǒng)以及嚴(yán)格的解析修改流程，并且有能力在發(fā)現(xiàn)疑似篡改行為時(shí)及時(shí)作出反應(yīng)，糾正域名的解析服務(wù)器。

中科三方擁有強(qiáng)大的數(shù)據(jù)分析和監(jiān)測(cè)能力，在全國(guó)設(shè)置10萬(wàn)+分布式監(jiān)測(cè)點(diǎn)，最高1分鐘監(jiān)測(cè)頻率，實(shí)時(shí)監(jiān)測(cè)全國(guó)運(yùn)營(yíng)商緩存記錄，發(fā)現(xiàn)劫持及時(shí)告警通知，并在第一時(shí)間做出反應(yīng)予以解決。

分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊是攻擊者通過(guò)大量的傀儡機(jī)，持續(xù)發(fā)送龐大的請(qǐng)求數(shù)據(jù)流來(lái)阻滯DNS服務(wù)器，使整個(gè)解析服務(wù)系統(tǒng)資源耗盡從而癱瘓，導(dǎo)致真實(shí)客戶(hù)發(fā)出訪問(wèn)請(qǐng)求時(shí)，無(wú)法有效獲取權(quán)威解析服務(wù)器的響應(yīng)。

單一的解析服務(wù)器處理性能有限，一旦受到攻擊便會(huì)影響綁定的全部域名的解析，因此對(duì)于企業(yè)自建解析服務(wù)器來(lái)說(shuō)，一旦受到攻擊影響巨大。

解決方案

面對(duì)大流量攻擊，只能依靠于云集群的高通量處理性能及分?jǐn)偰芰Γ虼诉x擇成熟的云解析系統(tǒng)進(jìn)行域名綁定及解析配置，對(duì)企業(yè)而言是最為明智的做法。

中科三方云解析系統(tǒng)通過(guò)全球部署多節(jié)點(diǎn)，配有大流量清洗系統(tǒng)，面對(duì)訪問(wèn)請(qǐng)求高峰，可以有效地劃分流量并高效響應(yīng)，輕松應(yīng)對(duì)流量洪水，保證解析穩(wěn)定。

云解析原理示意圖

中科三方始終堅(jiān)持用戶(hù)至上，以人為本的原則，拒絕工單式服務(wù)，提供24小時(shí)一對(duì)一會(huì)員專(zhuān)屬服務(wù)，為用戶(hù)提供全天候托管式域名管理服務(wù)，及時(shí)有效解決用戶(hù)遇到的域名問(wèn)題，有效避免因域名過(guò)期、解析無(wú)效等情況帶來(lái)的利益損失。

中科三方以強(qiáng)大的技術(shù)實(shí)力和豐富的服務(wù)經(jīng)驗(yàn)，為眾多省部級(jí)政府部門(mén)、央企、金融、科研等客戶(hù)提供一站式域名管理服務(wù)，贏得客戶(hù)一致好評(píng)，在業(yè)界享有較高的聲譽(yù)。

本文源自：中科三方

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）