内部资料   2016 年 国家电子政务外网 域名应用安全 状况与分析报告 国家电子政务外网管理中心 2017 年 6 月 国家电子政务外网域名应用安全状况与状态分析报告 目 录 专业术语表 ............................................................................................................. 3 摘要 ........................................................................................................................... 4 1 前言 . ................................................................................................................... 5 2 政务外网域名应用安全状况. ........................................................................ 7 2.1 概述. .............................................................................................................. 7 2.2 完全被动的递归域名服务............................................................................ 9 2.3 导致网络安全防御短板的域名服务管理模式. .......................................... 10 2.4 域名应用数据和信息资产的流失与开源情报. .......................................... 10 3 政务外网域名应用安全威胁 ..................................................................... .11 3.1 指挥和控制. ................................................................................................ 11 3.2 DNS 隐蔽隧道. ............................................................................................ 12 3.3 域名生成算法. ............................................................................................. 13 3.4 DNS 放大 DDoS 攻击. ............................................................................... 13 3.5 典型案例. .................................................................................................... 14 4 试点的实施方案 ............................................................................................. 15 5 分析归纳与建议 ............................................................................................. 19 附件-1 中央级某部配置的唯一递归 DNS 服务器状态 ........................ 21 附件-2 一张图看懂 DNS 应用数据的本源价值及挑战 ........................ 22 2   国家电子政务外网域名应用安全状况与状态分析报告 专业术语表 缩略语 英文 参考中文 APT Advanced Persistent Threat 递进持续性威胁 AS Autonomous System 自治系统 BCP Best Current Practices 当前最佳实践 C2 Command and Control 指挥和控制 CT Covert Tunneling 隐蔽隧道 DDoS Distributed Denial of Service 分布式拒绝服务 DGA Domain Generation Algorithm 域名生成算法 DNS Domain Name System 域名系统 DSL Digital Subscriber Line 数字化用户接入线路 ICANN Internet Corporation for Assigned Names and Numbers 互联网名称与数字地 址分配机构 OSINT Open Source Intelligence 开源情报 P2P Peer-to-Peer 对等通信 RAT Remote Administration Tool 远程管理工具 SIGINT Signal Intelligence 线索情报 TTP Tactics, Techniques, Procedures 战术，技术和过程 3   国家电子政务外网域名应用安全状况与状态分析报告 摘 要 国家电子政务外网是我国电子政务重要的基础设施，近年来随着“互联网+ 政务服务”的快速推进，承载的政府业务系统和数据以及服务越来越多。网络 域名作为国家关键信息基础设施的重要组成部分和战略资源，强化网络域名应用 安全的管理和管治工作也愈发重要。 自 2014 年以来，在政务外网互联网统一出口的网络边界（网际）安全监测 方面积累了丰富和有益经验。2016 年 12 月开始的十省市的试点示范工作，得到 国家信息安全主管部门的关注和大力支持。在国家信息中心暨国家电子政务外网 管理中心的归口指导下，通过实时监测网络域名应用安全为切入点，完善网络安 全监测预警、信息共享、对抗威慑及应急处置的指导规制，健全国家关键信息基 础设施的安全及应用保障。 基于当前最佳实践（BCP），所面临的网络域名应用安全问题突出地表现为： 1）电子政务外网的各专属局域网（包括中央部委级、省级、市级）所配置 的专属递归域名服务缺乏安全管理，交由企业托管和商业代管以及交叉共享的状 况较为普遍，以至于网络基础设施建设缺失了应有的中枢服务系统；流失了域名 应用入口的数据和信息资产；损失了对网络本源的安全防御以及应具备的威慑力。 2）对域名服务（谁服务于谁）存在误区或盲区，忽视了网络域名应用安全 的管治，终端系统和用户对“免费”域名服务滥用和误用的现象成为常态，而所 配置的专属递归域名服务多为形同虚设，甚至己方无人问津而彼方跨境访问不息。 3）利用网络域名应用承载隐蔽隧道（CT）的指挥和控制（C2）、跨境数据 传输、“支流”僵尸（FeederBot）以及 DNS 放大攻击的安全事件呈上升趋势， 而且往往是以事前未知小概率行为触发一次突现的网络涌现（Emerging）效应。 4   国家电子政务外网域名应用安全状况与状态分析报告 1 前言 域名系统（DNS）提供了从互联网域名到互联网 IP 地址的查询转换服务， 是终端系统和用户访问各种互联网应用所必须的基础服务，被视为整个互联网的 入口。另一方面，递归域名服务是终端系统和用户访问整个域名空间的入口，所 有的域名查询都需要通过递归域名服务来执行。 国家电子政务外网互联网的主要二级域名（或称为权威域名）是“gov.cn”， 目前与根域名（g）和顶级域名（cn）的自上而下层次迭代查询关系如图 1 所示： 图 1. 中国政府网络权威域名 gov.cn 的逻辑层次拓扑结构 至 2015 年 9 月，对中央级 96 个部委办所配置的 233 台（包括共用）专属 递归域名服务器的观察，域名后缀统计分布如下（图 2）： 图 2. 96 个中央级部委办 233 台递归域名服务器的域名后缀分布 5   国家电子政务外网域名应用安全状况与状态分析报告 在逻辑上，国家电子政务外网的二级域名“gov.cn”及以下关联域名服务系 统的配置比例不到 50%，而且这个统计分布量在十个试点省市中得到验证。换 句话说，假设国家电子政务外网的域名应用都是由专属递归域名服务器提供“入 口”服务，入口的多样性已超出当前可管理的范围，例如：com，org，net。 然而，事实上这个“假设”并不成立，免费和专业的“诱惑”使实际应用的 域名递归服务分布在全球范围内，而且往往正是由动态的小概率异常和变异状态 触发难以恢复的安全事件（如域名应用的隐蔽隧道），形同虚设成也导致专属递 归域名服务器的配置体系结构仅是“逻辑”，而并非实际的应用状态与服务状况。 中国互联网络信息中心（CNNIC）于 4 月 19 日发布 2016 年《中国域名服务 安全状况与态势分析报告》，其中指出： “递归域名入口监管作用尚未发挥，服务安全有待加强。首先，递 归域名服务是用户访问整个域名空间的入口，所有的域名查询都需 要通过递归服务来执行，因此能够在国家网络安全管理和应急安全 处置中发挥重要作用，然而我国相关网络监管技术手段尚未覆盖到 递归域名服务；其次，由于递归域名直接面向用户服务，且能够轻 易掌握用户的所有上网行为信息，其安全运行对于保障我国互联网 日常安全也极为重要，然而我国尚未建立统一的针对递归域名服务 的安全监测手段和应急协调机制，导致递归层面的域名服务安全和 信息安全防护存在一定的缺失。” 鉴于域名安全应用与域名安全服务是两个正交的维度，当且仅当管理和管治 并举，国家关键信息基础设施从网络安全建设得以健全；网络安全防御从本源得 以加固；对态势感知和决策的支持得以有完整及可用的数据源。 6   国家电子政务外网域名应用安全状况与状态分析报告 图 3. 域名应用安全与域名服务安全的关联关系示意 2 政务外网域名应用安全状况 针对国家关键信息基础设施的