跳至主要內容

妥善處理 - 保護你的域名  啓動DNSSEC功能


妥善處理 - 保護你的域名 啓動DNSSEC功能

日期 : 2017年9月26日

機構 : 香港互聯網註冊管理有限公司(HKIRC)

作者 : HKIRC 行政總裁林廣成先生

 

妥善處理 - 保護你的域名 啓動DNSSEC功能

根據香港電腦保安事故協調中心的數字,於2016年共收到6,058宗保安事故報告,較2015年上升逾23%。香港警務處亦指出,於2016年電腦罪案導致的經濟損失高達港幣23億元,較上一年增加逾25%。這些數字令人擔憂,亦提醒我們在現今的數碼年代,網絡安全對營商環境十分重要。

不少企業可能已實施一些不同程度的數碼安全措施,包括安裝防毒軟件或採取網路安全解決方案。事實上,我們亦可從保護網站的根源入手,啓動域名系統安全擴展(Domain Name System Security Extensions)(DNSSEC)功能,以免公司業務受到網絡攻擊的威脅。

不少網絡攻擊均以域名系統(Domain Name System)(DNS)為目標。DNS是建設互聯網基礎設施的基本元素之一,將域名轉化為數字的互聯網規約(IP)地址,尤如互聯網的電話簿。

利用DNSSEC「補救」DNS規約的固有漏洞

互聯網工程專責小組(Internet Engineering Task Force)(IETF)於1997年開發了DNSSEC,作為網絡安全標準。2008年,DNS規約發現存在根本性的漏洞,讓黑客可在域名伺服器的緩存數據(Cache)中植入已被惡意竄改的資料,因此DNSSEC開始被採用,奠定了DNS網絡安全的基石。

DNSSEC通過配對金鑰(Key Pairs)技術及數碼簽署技術驗證數據來源,並確保數據的完整性。金鑰好像保險箱的鑰匙,如要打開保險箱,便需同時使用兩條鑰匙。憑藉金鑰技術,每項DNS查詢亦可通過「信任鏈」(Chain-of-trust)核實,並驗證數據來源。此外,亦可使用數碼簽署,核實每個獨一無二的DNS記錄。通過核實有關簽署及DNS記錄,DNSSEC便能確保數據的完整性。

雖然DNSSEC一直行之有效,但現時亞太區的使用率相對較低,原因是推行DNSSEC需投放額外資金、宣傳、耗費時間和聘用專才。因此,採用DNSSEC的企業主要是需收集和儲存機密資料,如個人資料、財務或交易記錄、知識產權等的企業,而他們大多來自金融及銀行、電子商貿,以至互聯網服務供應商及社交媒體平台供應商等行業。

通過HKIRC拓展DNSSEC的應用

維護網絡安全須投放大量資金及資源,中小型企業的域名往往較易受到仿冒式攻擊。為協助本地企業應對這些威脅,香港互聯網註冊管理有限公司(HKIRC)與相關單位及互聯網持份者合作,致力加強有關推動和發展DNSSEC功能的協作。DNSSEC服務快將推出給公眾使用,屆時,將可大大提升網絡通訊及交易資料記錄傳送的安全性及完整性,保障企業及終端用戶以「.hk」域名進行網上交易。

呼籲業界通力合作,提升網絡安全

香港作為環球金融中心,妥善管理域名基礎設施對互聯網社群至關重要。HKIRC推行「.hk」域名的DNSSEC應用,鼓勵互聯網社群的協作,以善用科技提升網絡安全。我們期望本港域名註冊商、分銷商及其他相關機構相互協作,及早籌劃並部署推行DNSSEC服務。通過攜手合作,我們可進一步致力在穩妥的「.hk」域名系統上建立安全的網絡環境,這系統亦是全球網絡地址基礎設施的核心部分。

回頁頂