随着数字经济的快速发展,域名系统(DNS)正成为互联网领域中重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键技术力量。除作为易读的“门牌号码”向网站提供寻址定位服务外,域名系统也衍生出掌握网络流量流向、网络配置优化等重要功能,其安全可用、自主可控攸关经济社会运行和数字经济发展,仍是世界各国共同面临的“核心焦虑点”。
域名系统已被政治化,世界各国长期面临安全挑战
域名系统作为互联网关键资源,是互联网运行的“神经中枢”,可把人容易记忆的域名翻译转换成机器可识读的IP地址,为网站、邮件、移动端APP等应用提供寻址定位服务,所承载的数字资产难以计数,是“关键的关键、基础的基础”。
长期以来,美西方国家牢牢掌握互联网域名系统的绝对控制权。域名系统呈树状结构,自顶向下包括根、顶级域、二级及以下域,其中根是命名授权的起点。由于历史原因,全世界仅有的13台根服务器,全部由美西方国家相关机构运行管理。
随着全球地缘政治冲突形势的不断恶化,针对域名系统的攻击也成为国家级网络战的主战场和最前沿。2020年美伊冲突期间,美以宣传“虚假信息”为由,通过操纵Verisign公司将伊朗国家电视台网站等多个重要域名劫持到指定网站,导致伊朗重要官方网络媒体“失语禁声”。2022年俄乌冲突期间,美域名服务机构、骨干互联网提供商、微软、苹果公司等纷纷停止为俄服务,同时乌克兰政府也向ICANN提出申请,要求其采取注销.RU、.SU等俄罗斯顶级域名以及关闭俄境内根镜像服务器等制裁手段,俄网络空间遭到“极限施压”。2023年巴以冲突期间,以色列政府、哈马斯等的多个行业官方网站域名系统被多轮网络攻击致瘫,恶意域名也成为双方黑客的常用攻击工具,波及范围逐步扩大,域名系统又一次站在全球网络安全的“风口浪尖”。
总体来说,全球域名安全风险呈现出“攻击对象广泛、攻击方式丰富、影响结果严重、攻击频次密集、攻击参与方复杂”的整体发展趋势,这再次证实了全球互联网不存在完全的技术中立或商业中立,域名系统等互联网关键资源已被“政治化”,给世界其他国家带来严重的网络安全隐患。
世界各国不断努力,寻求重构本国域名体系
在此严峻的网络安全形势下,世界各国不断努力以寻求重构本国域名体系的解决路径,旨在解决根服务器集中管理、本地区域名系统运行安全等共性问题。为此,欧盟、俄罗斯、加拿大等国家纷纷提出了适应本国国情的网络安全创新性解决方案,以增强本国网络空间的自主韧性,从国家层面统筹布局域名安全体系建设成为必然趋势。
俄罗斯由政府主导建设了不依赖国际互联网的主权互联网RuNet。通过实施网络基础设施重组、配套法律法规创新等全方位战略,实现从硬件设备到传输线路、网络路由、域名解析等层面的自主控制,确保俄罗斯在与国际互联网连接中断情况下,俄罗斯内部网络依然能够“自循环”运行。
加拿大互联网注册管理局推出了公共递归解析服务项目加拿大盾(CIRA:Canadian Shield)。通过构建全球威胁情报库、应用DoH和DoT等新型加密解析技术、部署多个境内数据中心和网络节点等措施,有效屏蔽了包括病毒、钓鱼等恶意网站,确保加拿大本地用户拥有隐私且安全的互联网体验。
盟2023年正式启动建设了欧洲自主域名递归解析基础设施DNS4EU。项目由欧洲卫生和数字执行局出面指导,多家欧洲企业、高校及科研院所共同实施,通过“本地+云端”的模式建立一个欧盟自主可控的域名递归解析基础设施,旨在改善过度依赖少数非欧洲实体运营公共递归的局面,增强欧洲网络空间的自主韧性。
总体来说,各国根据实际情况探索形成了以下两个方向的安全解决方案,一类是强化域名系统自主服务能力,通过建设自主可控的域名递归解析基础设施,向本地区用户提供安全可靠的递归解析服务,保护用户隐私安全,防止关键网络基础资源数据出境,如欧盟DNS4EU、加拿大盾;另一类是自建全体系网络自主服务能力,不仅限于域名系统,还对网络路由、传输线路、硬件设备等各层面基础设施进行全方位重塑,实现本国网络空间自主可控,如俄罗斯的RuNet。
升域名安全应对水平,探索构建互联网治理新模式
面向国内,首先,从政策上引导国内互联网域名行业的积极良性发展,规范域名服务市场行为,压实域名服务企业责任,鼓励国内互联网用户优先使用境内合规DNS解析服务,降低网络安全事件影响。其次,推动我国自主域名的广泛应用,鼓励我国重要网站平台、关键信息系统使用国家域名“.CN”,加强“.信息/.网络/.手机”等中文域名推广,并倡导DNS服务机构定期备份域名解析数据,具备关键数据的灾备回滚能力。最后,增强基础电信企业、网络安全企业、DNS服务机构等单位的网络安全风险应对能力,制定完善各单位的分类分级安全防护应对预案,建立起网络安全突发事件的跨网协同处置、威胁信息共享等工作机制。
面向国际,一方面,抓住金砖国家、上合组织、“一带一路”倡议等战略机遇,积极参与ICANN、IETF等国际社群组织工作,深入掌握国际域名体系的内部结构和运行机制,在技术标准输出和治理规则制定等方面积累优势,推动域名系统治理向更加开放、透明的方向发展。另一方面,密切追踪美、英、法等发达国家的前沿技术动态,加强与国际企业、知名高校、科研机构的技术创新合作,不断探索多方参与、平等共治的下一代互联网治理新模式,降低数据资源集中化管理带来的安全风险,为构建网络空间命运共同体做出更大贡献。
作者:中国信息通信研究院工业互联网与物联网研究所 李炳奇
相关推荐:
