精准针对DNS“盲点”，守护网络安全第一关

DNS作为互联网重要的基础服务之一，承担着将域名指向可由计算机识别的IP地址的重要作用，堪称互联网的“导航系统”，DNS的安全是保障网络畅通的核心和基础，也是数据安全的底层基石。

数据显示，近91.3%的已知恶意软件被发现使用DNS作为主要手段，但 68%的企业却忽略了这个问题，并没有对 DNS 解析进行监管，这种现象称之为“DNS盲点”。

网络安全研究机构SANS研究所曾在全球信息安全产业RSA大会上展示过最危险的黑客行为——其中包括DNS劫持，域前端以及通过受损云账户进行的针对性攻击。

正因为DNS如此重要的作用，其一旦出现漏洞或遭受攻击，必然会对网络的正常访问和使用造成严重影响，给政府和企业带来巨大的损失。

重新认识DNS系统安全

很多企业投入大量财力、物力、人力构建完善的安全防护体系，虽然网络安全架构已经十分完善，但网络安全事件依然频发，究其原因，核心在于DNS系统安全成为百密一疏的防护漏洞。

DNS系统已经成为互联网中一项核心的基础服务，长期以来都是网络攻击的热点对象，但往往也是网络防护中的薄弱环节，经常被忽视。互联网域名系统国家工程研究中心（ZDNS）将DNS系统的安全从整体层面划分为“服务安全”和“数据安全”两大类。

服务安全： 以影响DNS服务可用性、服务质量、服务准确性为目的的攻击手段。

例如：利用DNS漏洞直接使DNS服务停止导致服务不可用；利用僵尸网络发起泛洪攻击实现DNS网络拥塞，造成解析高时延引起的服务质量下降；通过缓存投毒的方式篡改域名解析结果，造成解析结果不准确等。

数据安全： 客户访问的域名存在安全隐患，攻击者利用DNS域名解析找到网络标靶或者远程控制端，从而窃取客户的隐私数据或侵占客户资源。

例如：挖矿木马、钓鱼网站、垃圾邮件、勒索软件等有威胁的域名；基于DNS特征分析识别网络中出现奇怪的域名或者陌生的解析地址等。

​牢筑网络安全防护第一层

DNS是网络服务入口，是所有业务访问必经之路。作为深耕DNS领域近十年的互联网域名系统国家工程研究中心（ZDNS）推出的Safeguard安全威胁管控系统，牢筑网络安全防护第一层，为政企守住第一道防线。

传统的安全防御体系在日益频繁DNS攻击的抵御防护中尤为吃力，Safeguard安全威胁管控系统能够构筑多视角防护的主动安全体系：

及时性 能够在IP建立连接之前及时检测并阻断威胁，使威胁远离网络周届。

覆盖广 全部应用协议都要经过DNS，从DNS出发构建安全防护体系的Safeguard安全威胁管控系统能够实现100%应用协议覆盖，100%网络覆盖，不区分物理和逻辑区域，只要使用域名解析即能保护。

轻量级 支持多种云服务模式，守护出网业务必经之路，避免串接设备，增加网络风险和负担。

与智能安全防御体系相比，Safeguard安全威胁管控系统以更精专、更准确、更早发现和更快处理的特点在DNS安全防护上更胜一筹：

更精专 智能安全防护体系由安全视角引申出DNS防护能力，互联网域名系统国家工程研究中心（ZDNS）从DNS视角出发，建立互联网根基——DNS的防护能力；二者存在本质上的差异，后者精且专。并且，ZDNS提供DNS服务+数据双维度的安全防护，将整个DNS链路加固。

更准确 DNS安全产品中，威胁情报是DNS安全重要组成部分，情报的准确率、更新及时性、覆盖广度等都能反映厂商的情报能力。ZDNS具有业内强大的情报资源整合能力，为整体准确度提供有力保障。

更早更快 随着网络部署多样化，内外网隔离更加清晰，因此DNS威胁防护位置前移尤为重要。ZDNS提供的整体解决方案可以将威胁阻断在内网中，避免被外部探查到。

随着网络安全环境日益复杂，DNS受到攻击的形式也愈加严峻，DNS将在安全生态系统中发挥更大作用。ZDNS提供的Safeguard安全威胁管控系统，从DNS出发进行全面安全策略部署，更主动、更靠前预防安全风险，更好地利用威胁情报和特征分析的能力来保障客户的DNS架构安全无忧。

​