2014年11月11日,第6个网络购物“双十一”节再创历史新高;2014年12月12日,第4个网络购物“双十二”节又如约而至。无论这两个节日有多少问题和争议,不可否认的是,它们确实在中国电子商务发展史上写下了浓墨重彩的一笔。每年这两个日子到来时,上亿网民守在电脑、平板、手机前已成为新的一景。在潜意识中,人们已形成了这样的印象:每年在这两个日子里,各大电商网站都会准备得妥妥当当地迎接你。
但是,你可曾想过,这样的印象是理所当然的吗?明年的“双十一”、“双十二”,电商网站就真的能完全听从你的召唤,任你狂欢购物?
有人可能不答应,比如,网络攻击者。你的狂欢,也可能是他们的狂欢。
电商网站被攻击,并不是杞人忧天
电商网站被攻击,并不只是想象。2012年1月亚马逊旗下的鞋类电子商务网站Zappos宣布,由于遭到黑客攻击,2400万用户的电子邮件和密码等信息被窃取。2014年5月eBay宣布,其存储着用户姓名、密码、电子邮件、住址、电话号码和生日等信息的数据库遭到黑客攻击。
电商网站被攻击,也不只是个例。据中国互联网络信息中心(CNNIC)发布的《2013年中国网民信息安全状况研究报告》显示,因电脑网上购物发生安全问题的网民数占整体电脑上网人数的 4.0%,影响人口达2010.6 万人。其中,发生安全事故较多的是遇到欺诈信息,在网络购物安全事故发生人群中的发生比例达 75.0%;其次为遇到假冒/诈骗网站,比例为 60.7%;其它方面,个人信息泄露比例达42.9%、账号密码被盗比例达 23.8%、中病毒和木马的情况为 22.6%。
看到这些,您还敢在网上“狂欢”地购物吗?甚至,您还敢在网上购物吗?
网民的不敢购物,最终都要倒逼网站加强安全保障,那么安全问题在哪呢?
域名系统是网络攻击的关键点
网站安全问题存在于多方面,其中域名系统(DNS)是关键的一环。
网民访问网站,首先要经过域名系统。域名系统在互联网结构中起基础性作用,是互联网运行的“中枢神经系统”,是网站、APP等互联网服务正常运转的首要前提。一旦域名系统被破坏,网络将无法运行,因此域名系统成为网络攻击的关键点。如亚马逊、沃尔玛等大批电商网站就曾因DNS遭到DDoS(分布式拒绝服务)攻击,而无法访问。再如,最近,据报道,美国最火的杂货网站Craigslist因DNS泄露、感染而整个系统宕机下线,在被攻击的时间段内访问该网站的用户无法打开网页,或被跳转到陌生的网站。
但是,当前网站尚未高度重视其域名系统安全,存在很大的隐患。据国家互联网应急中心监测显示,我国网站遭受篡改攻击呈迅猛增长态势,2013年被篡改的国内网站数量为24034个,较2012年增长46.7%,其中部分网站被篡改即源自于其域名系统的安全隐患。另外,据近期CNNIC对全国各地约12万个重要域名系统的调查显示,61.9%的域名系统存在安全风险,亟需安全升级加固。
保障域名系统安全,还需专业机构、专业设备
那么,网站应该如何保障自己的域名系统安全呢?
域名系统是专业性、技术性非常强的领域,一般而言,信息安全厂商、信息安全产品并不涉及对域名系统的安全保障。在这个领域里,专业的从业机构和产品都为数不多。
CNNIC是我国域名资源的技术研发和安全中心,构建了全球领先、服务高效、安全稳定的域名资源服务平台。依托17年来在域名领域的技术和经验积累,CNNIC自主开发并推出了SDNS域名安全解决方案。SDNS是以全方位打造DNS安全可控运行环境为主要目标的域名解析、监测、抗DDoS攻击设备和域名解析服务、技术培训服务等综合解决方案。它面向所有行业的网站和所有网民,覆盖DNS全生命周期所有环节,具有软硬件、服务、培训等所有产品形态。这些设备、服务、方案均采用了CNNIC自主研发的软件、自主管理的平台,符合国内DNS运行特点和网络安全管理规范。
据了解,CNNIC还在全国范围内开展域名系统的安全评估和咨询,旨在增强域名系统安全方面的交流与合作,共享域名系统安全方面的有关信息,组织相关机构共同预防、发现和处置域名系统安全事件,从整体上提升中国域名系统安全水平。
