u 系统与应用漏洞
BIND已经是DNS服务器的事实标准,但是BIND自身存在安全漏洞,如远程缓存破坏漏洞、可预测DNS查询ID漏洞、验证远程拒绝服务漏洞、上下文远程拒绝服务漏洞等。
三. DNS系统安全防护解决方案
3.1 DNS系统安全目标
对运营商而言,DNS系统的安全目标是:第一,保障DNS系统自身的安全,第二,DNS服务的高可靠性、可用性、连续性,第三,为其他相关业务系统提供支持。也可以说,对运营商而言,DNS系统的安全目标就是为用户提供可信、安全、可靠的DNS服务。
3.2 DNS安全体系模型
一个完备的DNS系统保障体系,应该包括四个部分(策略体系、管理体系、技术体系、运作体系)、四个层次(物理安全、网络安全、主机安全、应用及数据安全)和三个阶段(安全评估、安全防护、安全运维),它们共同构成一个有机的整体,协同作用,使DNS系统可以提供高可靠性、高可用性、高连续性的DNS服务,如图3.1所示。
图 3.1 DNS安全体系模型
3.3 DNS安全整体解决方案框架
从两个维度来构建DNS整体解决方案,如图3.2所示:
图 3.2 绿盟科技DNS安全解决方案
u 时间维度
在安全评估阶段,DNS安全体系的建设内容主要是:依据风险管理思想,对DNS系统进行全面的安全评估,提出风险处置计划。
在安全防护阶段,构建DNS安全体系的主要工作是:对DNS系统进行全面的实时安全防护,保障业务的可用性。
在安全运维阶段,主要是从安全角度,完善DNS系统运维工作,依托技术从管理上保障DNS业务的正常运行。对于电信运营商而言,DNS系统的安全运维工作主要包括以下三个方面:(1)安全运维队伍:如何建立一个高效、具备解决问题能力的安全运维队伍;(2) 安全运维流程:如何建立适合核心业务需求的安全事件处理机制、流程;(3) 安全运维平台:依靠何种手段将众多的安全基础设施管理起来。
u 构成维度
