近日，域名注册管理机构CNNIC发布了国内首份《中国域名服务及安全现状报告》，《报告》中显示目前我国域名服务器总量已近百万，其中，超过50%的域名服务器被指相对不安全。对国内而言，有57%的信息系统存在域名解析的风险。以下，IDC评述网与大家一齐关注域名服务的安全现状以及防范建议。

《报告》抽样调查了来自各行业的域名，主要来自政府机构、金融机构、教育机构、网络运营商等。从图1中可以看出，有风险的比例为45%，风险较高的为11%，非常危险的为1%，这可以统计出处于风险状态的占57%，超过了半数。而被认为安全性良好的仅有11%。《报告》还显示了，教育机构的域名服务系统安全性最差，处于风险状态的高达80%。

对于我国域名服务器超半数不安全的情况，我们整理了一些安全防范建议：

建议一：信息在更高或过期的任一环节的漏洞都可能会被黑客利用，数据被篡改。因此，如果想要提高安全性，则要确保域名解析服务的独立性。在运行域名服务的服务器不能同时开启其他端口的服务。

建议二：域名解析服务系统所用的软件非常重要，如配置不当或升级延迟都容易造成漏洞被黑客轻易利用。因此，需要采用安全的操作系统平台和域名解析软件，并且要时刻关注软件商发布的最新安全漏洞信息，及时升级软件系统。

建议三：黑客通常利用域名劫持控制DNS服务器，从而使网民访问该域名时，进入指向的内容。国内的CN域名被劫持，能较轻易地拿回控制权，而国际域名要夺回域名则较为复杂。因此，用户要选择安全性较高、服务便捷的域名服务机构和注册管理机构，并且隐藏域名解析软件及操作系统等版本信息，最后还要限制域名区文件的传送权限。

建议四：使用入侵检测系统，尽可能地检测出中间人攻击行为，虽然其检测和防御都十分困难。除此之外还要对域名服务器边界网络设备的流量、数据包进行监控。最后可以监控域名协议是否正常，判断数据是否有变动。在条件允许的情况下，可以对不同网络内部部署多个探测点分布式监控。

建议五：为防止分布式拒绝服务攻击，网站建设建议提供域名服务的服务器数量不低于2台，北京网页设计并且部署在不同的物理网络环境中。除此外，要限制递归服务的服务范围，并利用流量分析工具检测DDoS攻击及时采取应急措施。

建议六：域名服务部署时需要考虑单节点故障问题，北京做网站公司所涉及到的路由器、交换机等均需要冗余备份能力，建立完善的数据备份机制和日志管理系统。北京网站设计要保留最新的3个月的全部解析日志。并且建议对重要的域名信息系统采取7×24的维护机制保障。应急响应到场时间不能迟于30分钟。

结语：域名安全北京网站建设问题事件层出不穷，据消息称，2009年暴风影音受域名攻击事件广州做网站公司造成大面积断网，损失238万元；今年，百度遭域名劫持，估计损失过千万。域名安全问题，日益显得不容忽视。

（发布时间：2013-02-20 14:34）