域名工程中心构建自主可控的高安全域名服务平台

随着信息技术的不断发展，互联网已成为当前推动信息社会发展的革命性力量，而域名系统及相应的技术标准则构成了互联网最重要的逻辑基础设施，是互联网的“中枢神经系统”。域名系统的质量如何，直接决定了我们所要建设的互联网乃至信息社会基础设施的质量。

然而，国家互联网应急中心前不久发布的《2013 年中国互联网网络安全报告》显示，我国基础网络安全防护中仍然发现较多信息系统安全风险，尤其是域名系统作为互联网运行的关键基础设施，面临安全漏洞和拒绝服务攻击等多种威胁，是影响网络稳定运行的薄弱环节。而在当前国家高度重视网络与信息安全大背景下，互联网核心域名系统的安全尤显重要。

自2013年6月“棱镜门”事件曝光以来，国家对网络及信息安全提到前所未有的高度，但我国当前所面临的安全状况却不容乐观。报告显示，我国仍面临大量来自境外地址的攻击威胁。2013年，境外有3.1万台主机通过植入后门对境内6.1万个网站实施远程控制，虽然境外控制主机数量较2012年下降4.3%，但所控制的境内网站数量却大幅增长62.1%。从所控制的境内网站数量看，位于美国的主机居首位，共有6215台主机控制着境内15349个网站，平均每个主机控制2.5个境内网站，较2012年(约1.4个)增长78.6%。其次是中国香港，控制境内13116个网站，较2012年大幅增长179.5%。排名第三的是韩国，控制境内7052个网站，较2012年下降11.1%。

对此，在互联网域名领域有20年工作经验的互联网域名系统北京市工程研究中心(ZDNS.CN)主任、北龙中网公司董事长毛伟在接受媒体采访时表示，从根本上保障互联网域名系统的国家信息安全，一个关键举措就是用自主可控的国产软硬件和服务来替代进口产品，只有建立起完全自主、安全可控的IT系统，把信息安全掌握在自己手中，才能确保国家网络安全和信息安全，实现我国构建安全可信的互联网域名基础服务平台的目标。

根据域名工程中心技术监测数据显示，在国内各级域名服务系统中的所有权威服务器，62%以上的域名服务器使用开源的Linux系统，微软Microsoft Windows操作系统所占比例在36%左右;域名解析软件中95%以上的域名服务器使用开源的ISC BIND软件，国外权威域名服务系统中ISC BIND使用率约为93%。递归域名服务器中，超过55%的递归域名服务器运行在Linux等开源系统上，28%左右的递归域名服务运行在Microsoft Windows操作系统上;94%以上都采用的开源软件ISC BIND，国外递归域名服务系统中ISC BIND使用率约为86%。

可以看出，从域名服务器操作系统到域名解析软件，几乎已被微软和国外的开源软件所垄断。开源软件预留“后门”的风险较小，但也方便黑客借助其软件漏洞进行网络攻击。而且，国外使用定制化专用域名软件的比例也高于国内。

毛伟表示，从根本上保障我国信息安全的角度出发，特别是金融业、通信、海关、民航及军警等国家要害部门，建议可以逐步推进基础设备和软件的定制化、国产化。这样能够较好地利用现有的开源技术，同时又能更好的保障信息安全，防范信息泄漏等风险。

目前，国家已设立信息安全专项来促进域名系统设备的开发和测试，并制定相应的技术标准，加大推广力度。域名工程中心也承担了相应的国家信息安全专项，努力推进这一国家基础网络安全战略，同时呼吁全行业共同努力，构建良好的生态系统，让互联网成为一个安全可信的世界。