近日,中国互联网络信息中心(CNNIC)与国家域名安全联盟联合发布了2013年《中国域名服务安全状况与态势分析报告》(以下简称报告),这是国家域名安全联盟自2012年3月成立以来发布的第二份《中国域名服务安全状况与态势分析报告》。报告对我国互联网域名服务体系中的根域名服务系统、顶级域名服务系统、二级及以下权威域名服务系统和递归域名服务系统的运行状态和安全状况进行了全面监测和客观评估,全面反映了各环节域名服务系统的安全配置情况和运行状态。
报告显示,经过周期性的重复监测及分析,我国各级权威及递归域名服务器使用Linux/Unix操作系统的比例均高于80%,选择ISC BIND作为域名解析软件的比例均在90%以上。另外,BIND软件版本应答比例较去年有所降低,但总体依然较高,具有一定安全隐患。
数据表明,2013年根域名服务系统协议支持完善,安全保障较好,较2012年新增38个镜像服务器。报告分析认为,2013年根域名服务器的平均解析速度较去年提升了3%。在顶级域名服务系统方面,2013年顶级域名服务系统冗余配置较好,递归开启比率降低至0.5%,进一步提升了抗攻击能力,对相关协议的支持情况较2012年有了明显提升,其中DNSSEC支持率达到46.4%。与此同时,二级及以下权威域名服务系统在解析性能和协议支持程度方面较2012年均有所提升,但是16.8%的服务器仍然开启了递归服务,具有一定安全风险。而递归域名服务系统在DNSSEC支持率和端口随机性程度方面有所改善,但仍然存在较大的提升空间,此外大数据包支持比率由2012年的不足一成提高到了2013年的超过一半。
报告总体分析显示,国内递归域名服务器的总体安全状况要好于全体递归域名服务器,国内重点权威域名服务器的总体安全状况要好于全部权威域名服务器。
域名服务系统是互联网的重要基础设施,自2009年起, CNNIC就开始对整个域名服务体系的配置情况和安全态势进行多角度的监测分析。截至2013年12月,CNNIC基于自身建设的国家域名安全监测平台所拥有的监测点数已达到46个,其中海外监测点2个。同时,CNNIC还设计开发了故障、配置、性能和流量等多角度的监测项,以对各环节域名服务系统的运行状态和安全状况进行全面监测和客观评估。
PC版