中科三方为深交所等众多金融机构提供域名管理安全服务

近日，深圳证券交易所完成域名转移流程，将旗下多个域名转入中科三方进行安全管理。

中科三方是中科院旗下国家高新技术企业，是国内唯一国企性质的域名注册商，是首批获得工信部资质的域名注册服务机构之一。

中科三方有超过20年的域名管理经验，主要面向政府、央企和金融等大型机构，目前已服务超过5000家政府网站和超过50%的重点金融机构。

由中科三方提供域名安全管理服务的重点金融机构包括：

金融管理机构：

中国银行保险监督管理委员会、中国证券监督管理委员会；

重点银行：

国家开发银行、中国进出口银行、工商银行、农业银行、光大银行、兴业银行、浙商银行、北京银行、南京银行；

重点保险机构：

中国人寿保险、中国人民保险、国泰人寿保险、中国再保险、中国出口信用保险；

重点证券机构：

上海证券交易所、深圳证券交易所、中国外汇交易中心、上海期货交易所、上海黄金交易所、大连商品交易所、郑州商品交易所。

域名安全是网络安全的重要组成部分，其中又包括所有者安全和应用安全等多个细分环节。互联网支付、网银、信贷等业务在访问的第一步均由域名系统提供解析服务，因此域名安全对于金融机构是一个很大的挑战。

金融机构需要通过多种途径来增强域名系统管控与防护，其中非常重要的一条路径是选择权威的域名安全服务商。

常见问题及解决方案

DNS系统出错、崩溃

大型企业热衷于自建解析服务器，但由于解析服务器系统广泛使用ISC Bind这种公开软件，其存在大量漏洞且更新缓慢，很容易导致自建解析服务器出现各种BUG或遭受攻击，进一步导致权威解析服务器出错，网站处于失联状态。因此自建DNS系统有很大的局限性，需要投入大量精力进行维护。

解决方案

（1）中科三方域名解析服务器和CNNIC国家根域名注册服务器同属于中科院科技网机房，配备先进的域名解析服务器，科技网六线BGP机房，时刻保障解析系统安全稳定，无需为解析可用性担心。

（2）中科三方专注域名安全领域二十余年，技术先进，经验丰富，可为企业提供合理有效的解析策略，用户只需要对域名设置NS及SOA记录即可，无需为设备、供电、机房等硬件维护问题投入额外精力。

DNS劫持以及缓存投毒

DNS劫持是指将域名的权威解析篡改为可控的DNS，从而获取域名解析权，将网站指向自己的IP。缓存投毒则是攻击者向递归解析服务器传输错误的解析记录，使用户访问网站时从递归服务器获取到攻击者提供的IP，将用户引至错误网站。

解决方案

（1）缓存投毒相对容易应对，只需要将解析记录的TTL值设为较小的数值，并通过模拟访问等方式，强制递归解析服务器刷新内部解析缓存，重新从权威解析服务器获取正确的解析记录即可。

（2）对于DNS劫持则没那么容易应对，需要解析注册商有高效的监控系统以及严格的解析修改流程，并且有能力在发现疑似篡改行为时及时作出反应，纠正域名的解析服务器。

中科三方拥有强大的数据分析和监测能力，在全国设置10万+分布式监测点，最高1分钟监测频率，实时监测全国运营商缓存记录，发现劫持及时告警通知，并在第一时间做出反应予以解决。

分布式拒绝服务攻击

分布式拒绝服务攻击是攻击者通过大量的傀儡机，持续发送庞大的请求数据流来阻滞DNS服务器，使整个解析服务系统资源耗尽从而瘫痪，导致真实客户发出访问请求时，无法有效获取权威解析服务器的响应。

单一的解析服务器处理性能有限，一旦受到攻击便会影响绑定的全部域名的解析，因此对于企业自建解析服务器来说，一旦受到攻击影响巨大。

解决方案

面对大流量攻击，只能依靠于云集群的高通量处理性能及分摊能力，因此选择成熟的云解析系统进行域名绑定及解析配置，对企业而言是最为明智的做法。

中科三方云解析系统通过全球部署多节点，配有大流量清洗系统，面对访问请求高峰，可以有效地划分流量并高效响应，轻松应对流量洪水，保证解析稳定。

云解析原理示意图

中科三方始终坚持用户至上，以人为本的原则，拒绝工单式服务，提供24小时一对一会员专属服务，为用户提供全天候托管式域名管理服务，及时有效解决用户遇到的域名问题，有效避免因域名过期、解析无效等情况带来的利益损失。

中科三方以强大的技术实力和丰富的服务经验，为众多省部级政府部门、央企、金融、科研等客户提供一站式域名管理服务，赢得客户一致好评，在业界享有较高的声誉。

本文源自：中科三方