非常高兴，今天和大家分享一下一个比较窄的领域或者比较小的领域安全的状况。分三块，第一部分是介绍一下这个事情的背景。大家可能对域名服务不是特别的了解，我简单一下什么是域名服务。实际上我们在每次上网的时候，不管是你访问一个网站，还是在电脑上做其他的事情，基本上都需要一个过程，我需要把一个名字转换成计算机能够识别的IP地址，这样你才能访问到你想访问的服务。域名服务就是这样一个过程，帮助你输入一个名字找到这个服务。

从这个图我们可以看一下，一次域名解析的过程有4个环节在参与。我们通过电脑先找一个服务器，根据你要查的名字去找根服务器，根据你想访问的名字告诉你这个名字，你访问一个DNS的域名，需要去那里的服务器访问，如果是新浪的话就新浪的服务器访问一下，最后新浪自己的全域服务器把IP地址告诉其他服务器，传到终端就可以打开网页，这就是域名解析的大体过程，实际上涉及到4个环节。

我们在做域名管理的同时，在关注整个域名体系的服务安全。从2009年开始就在研究对整个国内域名体系做一个安全方面的监测。在2010年的时候我们正式建设这样的系统，这个系统在2012年、2013年建成投入使用，从2013年开始这个系统不断完善。目前在全国所有省份覆盖3大运营商，部署了几十个监测节点，我们在海外，在东南亚、俄罗斯，我们部署了一些监测的节点。从五个方面有六七十个定测项检测域名服务的专项。我们利用这样的系统，在重大活动的时候我们会做重点的监测或者是预警。

基于我们这个监测平台获取到的数据，我们从2012年开始，每年都会有一个报告出来，就是来分析一下整个年度国内域名服务体系运行的状况、安全状况怎么样，今年已经做到第五期的报告。我下面主要跟大家分享一下2017年报告里面一些比较关键的数据。

刚才提到了域名服务体系有四个环节，最上面的环节就是根服务器。全球有13个，为了保障域名服务的安全，其实13个根域名服务器的管理组织一直在不断地扩充根服务器的数量，尤其是在2002年受到攻击以后，尤其2010年以后根服务器部署速度加快。2017年底的时候，全球根服务器数量达到956个，将近有50%增量的增幅。但是对于我们中国大陆地区来说，在2016年、2017年的时候我们根镜像数量是一样的，在快速扩充的情况有一些脱节。这样的话，其实是不利于根服务器或者是根域名解析服务在国内更稳定、更安全或者是你的解析会更快。

我们对根域名服务的一些重要的情况，做一个简单的分析。根域名服务支持这块，对IPv6、DNSSEC、TCP等网络协议的支持率均为100%，数据包可能会变大，那么就需要支持TCP的协议来支撑解析。在歇息支持方面，根域名服务非常完善，已经达到100%支持。从服务性能方面，我们可以看一下比较柱比较短的，是F、I、J、L根，时间是最短的，相对于其他没有在我们国内有根镜像的根。所以说在国内我们部署更多的根镜像，对于提高域名解析响应速度非常有效。我们同时可以看到M根的解析响应时间不是太长，是因为这个根部署在日本的，我们到日本肯定要比去欧洲、去美国要快。所以说，解析的性能还是跟服务器的部署位置有非常大的关系。我们刚才是把根域名服务情况做了一个简单的介绍。

根域名下面就是顶级域名服务，截止到2017年底的时候全球域名体系中共存1573个顶级域名，较2016年同期新增13个。第一批域名已经完成入根了，但是第二批还没有开启，所以顶级域这块相对比较稳定。顶级域名服务当中解析的情况，从2014-2017年，2014年的时候顶级域名服务使用Bind的软件，比例是90%以上，到2017年的时候已经降到46.7%。NSD在2017年已经达到了38.7%，2016年的时候只有4%。这说明两个问题，第一，Bind的软件是公益性的，近些年受到一些经济方面的困难，所以维护出现了问题，大家尽量少用他。第二，大家还会用这方面的问题，你的软件有这种差异性，能够互相备份，避免一个服务都跑在同一个软件上面。

顶级域名服务在协议支持方面，我们可以看到对各种协议的支持比例在稳步的提升。其中DNSSEC部署比例达到90%以上，因为所有加入根域名服务器里面的必须支持DNSSCEW。IPv6部署比例达到87.4%，这其实是在顶级域方面提供了非常好的基础。

在服务性能方面，不同国家的顶级域，包括商业顶级域是对外提供服务，来保证服务的稳定性和可靠性。平均每个顶级域目前有9个服务地址在对外提供服务，有超过80%的顶级域在对外提供服务。服务地址很多，服务安全性、稳定性有更好的保障。但是同时会带来另外一个问题就是服务器比较多、地址比较多，可能会存在服务数据不一致的问题。我们监测发现有2.2%的顶级域名存在数据不一致的，因为有多个地址和很多服务器提供服务。如果是因为管理上和数据同步的问题，可能我在每次解析的时候到了不同的服务器，可能拿到的结果会是不一样的，可能你访问到的服务也是不一样的，有2.2%的比例存在这样的问题。同时，顶级域名服务做全面域名解析，有3.7%开启了递归服务，这是能够很大地降低你对DDos攻击的防御能力，新加入根区的顶级域存在这样的问题。

再看一下顶级域名服务的解析时延情况。在2017年的时候解析时延相比往年有很大的提升，有超过50%的顶级域名的解析时延集中在100毫秒以内，这说明我们这两年运营商在提速降费上，尤其是提速方面可能做的工作是非常显著的，在域名解析环节也有很好的体现。

再说一下二级及以下权威域名服务。我这个域名注册以后托管在第三方，比如说像阿里云、新网，我会托管在那里解析。还有一种情况，我注册一个域名我自己建一台服务器，自己给自己做服务。这个就是二级及以下的权威域名服务器。通过我们的监测，我们可以分析出来目前国内二级及以下的权威域名服务器有10万台套，这比2016年增加了2万台套，说明我们的互联网发展比较快。它的数量规模来说在域名服务体系里面是最大的，同时跟互联网应用联系最紧密的。终端用户来访问这个网站要解析这个名字，他也是最终的一个目标。所以说二级及以下的权威域名服务器对互联网解析非常重要的。

通过我们的分析看的话，跟顶级域名服务器是一样的，在解析服务器方面是差不多的，但是有一个稳步的下降。在其他软件使用方面与顶级域名服务存在很大的差异，到了二级及以下权威域名服务器排名第二的是微软，说明解析软件的多样性也是在逐步的丰富。

在协议支持程度方面，在DNSSEC和IPv6支持程度方面的进展缓慢，可能需要配合两办提出的部署行动计划来一个大规模的推进。因为只有域名服务器支持了解析，那才能推动，我才能说部署可用了。所以说在这方面的部署方面，二级及以下的权威域名服务器起来有很多工作要做的，而且有34.7%的比例开启了递归服务，安全性会有一定程度的下降。在服务性能方面，二级及以下权威域名服务器82..%已实现冗余配置，平均每个域名拥有7.6个对外服务地址数量，服务性能都还是非常好的。

刚才说的是国内12台套的二级及以下权威域名服务器，同时我们也重点关注了国内300多个重点的权威域名服务器，我们认为三大运营商、重要托管商、重要行业的，比如说金融行业、电力行业等等这些重要的权威域名服务器的安全状况。总体来说，它在协议支持方面，尤其是说IPv6的支持情况稍好于国内的水平，这是IPv6。还有比如说是87.2%，解析时间在100毫秒以内，比国内平均水平略好一点。重点的权威域名服务解析，我们发现二级及以下权威域名服务器还是比较重视服务方面的问题。

第四，递归域名服务。在2017年底的时候，我们国家的递归域名服务大约有11万台套，有1万台套的增加。递归域名服务是最直接面向终端用户，所有解析的请求和结果的返回东西通过递归域名服务器来实现的。在域名解析方面，Bind使用比例快速下降，另外是微软DNS使用比例在明显上升，跟二级及以下权威域名服务器的情况是类似的。在协议支持方面，DNSSEC支持比率只有1.2%。我们新增的递归域名服务器在新增方面存在一些问题。还有就是端口的随机性的程度，端口随机性关系到域名解析的安全性，如果比较差就容易受到中毒的攻击，所以端口随机性越高，受到的攻击成功的可能性就越低。在2017年的时候，端口随机性程度较高的递归域名服务比例已经达到90%，防御能力有待提升。服务性能方面是将近90%的递归域名服务解析时间小于100毫秒。

另外再介绍一下重要的递归域名服务。我们把国内主要有三大运营商，还有一些公开的第三方的递归域名服务，比如说递归云解析，还有114，还有很多第三方的DNSSEC，我们统计了大概有500多台套。三大运营商承担的递归域名解析占比达到国内所有域名解析量的80%，国内所有用户上网行为做域名解析是有80%以上是由三大运营商的递归域名服务器完成的。我们可以看到协议支持方面是要高于国内平均水平，端口随机程度都是比较高的，100%都是随机程度比较高。同时另外一个反向的差距，只有76%的时延是小于100毫秒以内，这是一个相对比较奇怪的现象，我们还需要进一步分析它的原因是什么。

上面是从根域名服务、顶级域名服务、二级及以下权威域名服务、递归域名服务，分别介绍了这四各环节主要的一些情况。

我们从2014年开始研究了一个算法，根据我们从5个方面、60多个监测项监测到的数据对此进行评估。在2017年的时候，权威域名服务总体趋势是向好的。一个很明显的表现就是，安全状况为差的权威域名服务器显著减少，我们看到比例只有10%。同样，递归域名服务安全水平也是在不断提升的，根据我们计算的方法，我们算出来安全状况为优的情况在增加，已经达到70%，相比于2016年有一个非常显著的增加。上面是我主要介绍的情况，就是我们2017年整个域名服务体系各个环节的安全状况。

最后说一下我们的判断和观点。在2017年国家域名服务体系安全状况和以往几年相比，还是有一定程度的改善。但是我们也应该看到，在域名解析不同的环节仍然存在不同程度的安全问题。比如说我们在根域名服务方面，我们最近几年国内的根镜像都没有增加。另外还存在一个问题，我们国家一直没有根域名服务器的管理权，我们希望能够有所突破。在顶级域名方面有1000多个，国内有几十上百个域名是可以注册的，这样的话就对监管部门提出一定的挑战，我们怎么把《中国互联网域名管理办法》落实到不仅仅是国家顶级，只要在中国落地的顶级域名，我们《域名管理办法》的要求很多安全方面法律法规的要求，怎么能够比较完全的落实落地，能够真正的起到效果，我觉得这是在顶级域方面的一个压力。同时，二级及以下权威域名服务器目前来看海量是最大的，它的服务能力也是最参差不齐的，有非常好的域名解析托管商，也有经常出安全事件的域名解析托管商，到底安全水平、运维水平等等怎么样，都是很难把握的。尤其是一些重型和重大型的域名托管商，如果它出现问题的话影响会非常大。在这方面的话，下一步把我们很多安全管理的要求，一些安全监管的范围要进一步扩大，能够监管到这些提供大量权威域名解析托管的服务商。递归域名服务方面，我们首先抓住了牛鼻子。目前来看水平在不断提高，安全状况也是非常好的。同时也有非常多的第三方的递归解析服务，目前来看我们是没有一个有效的手段对它进行监管，这个可能是我们面临的一个比较长期的问题。

这是我今天报告的所有内容，谢谢大家。