列入電信業(yè)務(wù)分類目錄 管理辦法即將出臺(tái) 域名背后：不可忽視的安全隱患

逄丹

域名作為互聯(lián)網(wǎng)的關(guān)鍵資源，已經(jīng)成為數(shù)字時(shí)代的重要網(wǎng)絡(luò)入口和人機(jī)交互標(biāo)識(shí)，是當(dāng)前全球互聯(lián)網(wǎng)發(fā)展不可或缺的基礎(chǔ)要素。從2004年底的150萬(wàn)個(gè)到2015年底的3600萬(wàn)個(gè)注冊(cè)量，十余年間，我國(guó)域名產(chǎn)業(yè)蓬勃發(fā)展，成為名副其實(shí)的域名注冊(cè)和使用大國(guó)，在全球域名體系中的影響力不斷提升。

全球增長(zhǎng)極

中國(guó)已經(jīng)成為全球域名市場(chǎng)的增長(zhǎng)極。

《中國(guó)域名產(chǎn)業(yè)發(fā)展報(bào)告（2015年）》（以下簡(jiǎn)稱《報(bào)告》）指出，截至2015年12月31日，在3.14億的全球域名注冊(cè)總數(shù)中，中國(guó)占3601.9萬(wàn)個(gè)，約占全球域名注冊(cè)量的11.6%，僅次于美國(guó)，是全球第二大域名市場(chǎng)。其中，“.CN”域名總數(shù)為1636萬(wàn)，“.COM”域名為1304.1萬(wàn)，構(gòu)成國(guó)內(nèi)注冊(cè)域名的主流。

僅2015年一年，中國(guó)新注冊(cè)域名不低于2000萬(wàn)個(gè)，.CN和.COM繼續(xù)穩(wěn)居前兩位，.CN為注冊(cè)量最高的ccTLD，.COM則貢獻(xiàn)了域名增量的62%。

2015年域名市場(chǎng)直接交易規(guī)模約20億元，由域名帶動(dòng)的網(wǎng)絡(luò)服務(wù)產(chǎn)業(yè)規(guī)模不低于200億元。域名主要用于網(wǎng)站等互聯(lián)網(wǎng)服務(wù)，因此會(huì)拉動(dòng)建站、空間、郵箱、IP地址等關(guān)系密切的基礎(chǔ)性互聯(lián)網(wǎng)業(yè)務(wù)。

值得一提的是，新通用頂級(jí)域注冊(cè)規(guī)模中國(guó)領(lǐng)先。2012年，ICANN開(kāi)放新gTLD項(xiàng)目，再次激發(fā)了整個(gè)域名業(yè)界對(duì)中文域名的熱情。中國(guó)信息通信研究院產(chǎn)業(yè)與規(guī)劃研究所互聯(lián)網(wǎng)產(chǎn)業(yè)研究部主任劉越介紹，在首輪申請(qǐng)中，來(lái)自多個(gè)國(guó)家和地區(qū)的40多個(gè)機(jī)構(gòu)提交了70份中文字符的頂級(jí)域申請(qǐng)，截至2015年末已有42個(gè)寫(xiě)入根區(qū)。

截至2015年底，中國(guó)新gTLD注冊(cè)量占全球份額超過(guò)四成，貢獻(xiàn)了全球新gTLD增量的46%，且有進(jìn)一步擴(kuò)大領(lǐng)先的趨勢(shì)。“作為全球最大的互聯(lián)網(wǎng)市場(chǎng)，中國(guó)對(duì)互聯(lián)網(wǎng)域名的需求潛力巨大，中文域名的潛在需求和文化優(yōu)勢(shì)將逐步顯現(xiàn)。”劉越表示。

但是在域名注冊(cè)量大幅增長(zhǎng)的背后，卻是應(yīng)用率較低的尷尬。《報(bào)告》指出，截至2016年6月，我國(guó)域名應(yīng)用率僅為12.3%。“這反映出我國(guó)域名中的大部分是由域名投資人所持有，域名空置率較高，域名應(yīng)用仍有較大的提升空間。”他說(shuō)。

同時(shí)，我國(guó)域名行業(yè)的服務(wù)業(yè)態(tài)相對(duì)落后。域名占有率最高的美國(guó)擁有一批圍繞域名開(kāi)展特色經(jīng)營(yíng)、多元經(jīng)營(yíng)的商業(yè)機(jī)構(gòu)，如 MarkMonitor、Iron Mountain、Nominum、Infoblox等。

而長(zhǎng)期以來(lái)，我國(guó)域名行業(yè)主要停留在注冊(cè)、交易、建站服務(wù)等傳統(tǒng)業(yè)務(wù)模式，產(chǎn)品和服務(wù)同質(zhì)化明顯，以價(jià)格競(jìng)爭(zhēng)為主。在域名品牌保護(hù)、域名解析和安全服務(wù)等領(lǐng)域缺少特色經(jīng)營(yíng)，“與美國(guó)一些領(lǐng)先企業(yè)存在差距。”劉越指出。

安全隱患凸顯

在互聯(lián)網(wǎng)飛速發(fā)展、域名總量高速增長(zhǎng)的同時(shí)，域名解析帶來(lái)的互聯(lián)網(wǎng)安全問(wèn)題日益凸顯。域名解析系統(tǒng)從設(shè)計(jì)之初就建立在互信模型的基礎(chǔ)上，是一個(gè)完全開(kāi)放的協(xié)作體系，也是互聯(lián)網(wǎng)關(guān)鍵環(huán)節(jié)。

目前，域名解析故障是引起互聯(lián)網(wǎng)安全問(wèn)題的最頻發(fā)原因之一。一方面，針對(duì)域名系統(tǒng)的攻擊已成為全球互聯(lián)網(wǎng)安全最重大的威脅之一，DDoS攻擊、域名劫持、緩存投毒等安全事件頻發(fā)，具有影響范圍廣、破壞性強(qiáng)的特點(diǎn)。

據(jù)Arbor Networks統(tǒng)計(jì)，DNS是全球DDos攻擊的第二大目標(biāo)。另一方面，域名體系的橋梁作用被惡意利用，成為攻擊互聯(lián)網(wǎng)的手段之一。如反射放大攻擊利用了DNS遞歸請(qǐng)求等特性，以較低的成本向網(wǎng)絡(luò)發(fā)動(dòng)巨大的流量攻擊。

各國(guó)高度重視域名解析系統(tǒng)安全，提升域名系統(tǒng)的安全性已成為全球業(yè)界協(xié)作的發(fā)力點(diǎn)。針對(duì)域名“緩存投毒”、“域名劫持”等安全問(wèn)題，ICANN等機(jī)構(gòu)及多國(guó)不斷推動(dòng)DNS安全擴(kuò)展協(xié)議DNSSEC在根和頂級(jí)域的部署。目前，根服務(wù)器已全部部署了DNSSEC驗(yàn)證服務(wù)，截至2015年底，已有80.3%的頂級(jí)域名服務(wù)器部署了DNSSEC。

回歸國(guó)內(nèi)，我國(guó)域名系統(tǒng)存在多項(xiàng)安全隱患，遞歸解析服務(wù)問(wèn)題突出。

《報(bào)告》指出，我國(guó)二級(jí)及以下域名服務(wù)安全狀況普遍存在一定程度的安全問(wèn)題。抽樣調(diào)查發(fā)現(xiàn)，涉及國(guó)計(jì)民生的重要網(wǎng)站域名約60%以上的域名系統(tǒng)存在安全問(wèn)題，僅有17%的域名系統(tǒng)為良好狀態(tài)。

重要域名系統(tǒng)存在的安全問(wèn)題主要集中在5個(gè)方面：嚴(yán)重依賴于境外開(kāi)源解析軟件系統(tǒng)，采用境外開(kāi)源軟件的比例高達(dá)52.6%；重要域名解析服務(wù)缺少必備的冗余備份機(jī)制，近80%的域名解析服務(wù)少于3臺(tái)解析服務(wù)器，且超半數(shù)處于同一網(wǎng)段內(nèi)部；重要域名解析服務(wù)與其他服務(wù)的安全隔離較差，有11.87%的服務(wù)開(kāi)啟了遞歸解析；域名解析系統(tǒng)對(duì)DNSSEC的支持率約有66%；對(duì)IPv6的支持率不足3%。

對(duì)此，劉越指出，各域名解析服務(wù)機(jī)構(gòu)需要擴(kuò)展節(jié)點(diǎn)部署范圍，分流攻擊流量，增強(qiáng)整體抗攻擊能力，并不斷加大安全技術(shù)研究，建立相應(yīng)的災(zāi)難應(yīng)急機(jī)制，提供更可靠的解析服務(wù)。

管理辦法即將出臺(tái)

一直以來(lái)，ICANN作為域名的“大管家”，負(fù)責(zé)全球域名系統(tǒng)的管理和根服務(wù)器的協(xié)調(diào)。

2016年10月1日，美國(guó)政府將IANA職能管理權(quán)移交給全球互聯(lián)網(wǎng)多利益相關(guān)方社群之后，美國(guó)政府不再擔(dān)任對(duì)IANA職能的監(jiān)管角色，IANA職能由ICANN及其新設(shè)立的子公司負(fù)責(zé)運(yùn)行，并接受全球互聯(lián)網(wǎng)多利益相關(guān)方社群的共同監(jiān)督與問(wèn)責(zé)。

中國(guó)互聯(lián)網(wǎng)域名管理以許可為核心，形成部省兩級(jí)管理機(jī)制。其中，部管互聯(lián)網(wǎng)根服務(wù)器（含鏡像）業(yè)務(wù)、域名注冊(cè)管理機(jī)構(gòu)業(yè)務(wù)的許可，省管域名注冊(cè)服務(wù)機(jī)構(gòu)業(yè)務(wù)許可。

目前，我國(guó)當(dāng)前的域名管理注重“注冊(cè)審核環(huán)節(jié)”，缺乏域名解析的事前和事中管理，域名解析系統(tǒng)的建設(shè)水平、安全管理能力參差不齊。往往是針對(duì)域名解析系統(tǒng)問(wèn)題，事后調(diào)查原因應(yīng)急處理，多年以來(lái)，行業(yè)多方呼吁加強(qiáng)對(duì)域名解析的管理。

工信部信息通信管理局互聯(lián)網(wǎng)處處長(zhǎng)裴瑋介紹，工業(yè)和信息化部在《電信業(yè)務(wù)分類目錄（2015年版）》中增設(shè)了互聯(lián)網(wǎng)域名服務(wù)業(yè)務(wù)類別，為遞歸域名解析服務(wù)業(yè)務(wù)的準(zhǔn)入約束、規(guī)范經(jīng)營(yíng)和健康有序發(fā)展提供了有利條件。

此外，為進(jìn)一步適應(yīng)當(dāng)前互聯(lián)網(wǎng)域名行業(yè)發(fā)展和管理的新形勢(shì)、新要求，工信部正在會(huì)同有關(guān)部門(mén)對(duì)域名管理辦法進(jìn)行修訂，涉及完善域名解析服務(wù)的規(guī)范與管理。

裴瑋介紹，2016年，工信部在推動(dòng)域名領(lǐng)域的建章立制做出巨大努力。去年3月25日，針對(duì)“互聯(lián)網(wǎng)域名管理辦法”，向社會(huì)公開(kāi)征求意見(jiàn)，引起社會(huì)比較強(qiáng)烈的反響。“預(yù)計(jì)，互聯(lián)網(wǎng)域名管理辦法將于今年出臺(tái)。”她表示。