妥善处理 - 保护你的域名 启动DNSSEC功能
日期 : 2017年9月26日
机构 : 香港互联网注册管理有限公司(HKIRC)
作者 : HKIRC 行政总裁林广成先生
妥善处理 - 保护你的域名 启动DNSSEC功能
根据香港电脑保安事故协调中心的数字,于2016年共收到6,058宗保安事故报告,较2015年上升逾23%。香港警务处亦指出,于2016年电脑罪案导致的经济损失高达港币23亿元,较上一年增加逾25%。这些数字令人担忧,亦提醒我们在现今的数码年代,网络安全对营商环境十分重要。
不少企业可能已实施一些不同程度的数码安全措施,包括安装防毒软件或采取网路安全解决方案。事实上,我们亦可从保护网站的根源入手,启动域名系统安全扩展(Domain Name System Security Extensions)(DNSSEC)功能,以免公司业务受到网络攻击的威胁。
不少网络攻击均以域名系统(Domain Name System)(DNS)为目标。DNS是建设互联网基础设施的基本元素之一,将域名转化为数字的互联网规约(IP)地址,尤如互联网的电话簿。
利用DNSSEC「补救」DNS规约的固有漏洞
互联网工程专责小组(Internet Engineering Task Force)(IETF)于1997年开发了DNSSEC,作为网络安全标准。2008年,DNS规约发现存在根本性的漏洞,让黑客可在域名伺服器的缓存数据(Cache)中植入已被恶意窜改的资料,因此DNSSEC开始被采用,奠定了DNS网络安全的基石。
DNSSEC通过配对金钥(Key Pairs)技术及数码签署技术验证数据来源,并确保数据的完整性。金钥好像保险箱的钥匙,如要打开保险箱,便需同时使用两条钥匙。凭借金钥技术,每项DNS查询亦可通过「信任链」(Chain-of-trust)核实,并验证数据来源。此外,亦可使用数码签署,核实每个独一无二的DNS记录。通过核实有关签署及DNS记录,DNSSEC便能确保数据的完整性。
虽然DNSSEC一直行之有效,但现时亚太区的使用率相对较低,原因是推行DNSSEC需投放额外资金、宣传、耗费时间和聘用专才。因此,采用DNSSEC的企业主要是需收集和储存机密资料,如个人资料、财务或交易记录、知识产权等的企业,而他们大多来自金融及银行、电子商贸,以至互联网服务供应商及社交媒体平台供应商等行业。
通过HKIRC拓展DNSSEC的应用
维护网络安全须投放大量资金及资源,中小型企业的域名往往较易受到仿冒式攻击。为协助本地企业应对这些威胁,香港互联网注册管理有限公司(HKIRC)与相关单位及互联网持份者合作,致力加强有关推动和发展DNSSEC功能的协作。DNSSEC服务快将推出给公众使用,届时,将可大大提升网络通讯及交易资料记录传送的安全性及完整性,保障企业及终端用户以「.hk」域名进行网上交易。
呼吁业界通力合作,提升网络安全
香港作为环球金融中心,妥善管理域名基础设施对互联网社群至关重要。HKIRC推行「.hk」域名的DNSSEC应用,鼓励互联网社群的协作,以善用科技提升网络安全。我们期望本港域名注册商、分销商及其他相关机构相互协作,及早筹划并部署推行DNSSEC服务。通过携手合作,我们可进一步致力在稳妥的「.hk」域名系统上建立安全的网络环境,这系统亦是全球网络地址基础设施的核心部分。