胡安磊：大家下午好，很荣幸有这个机会，第一次参加网络安全大会。论坛的题目是“云安全和电商的安全问题”，乍看跟互联网的基础资源关系不是太密切，我下面讲完之后大家就会觉得互联网的基础资源其实跟云安全还是很有关联性或者对云安全，我们电商安全还是很重要的。

首先说一下我们对互联网基础资源的理解，我们可以把网络大体划分为三个层次，最下面是物理的基础设施，包括运营商的广域网、机房和第三方IDC提供的接入服务，物理的设备我们叫互联网的物理基础设施，上面我们用APP，上网站，发邮件，看视频是互联网的上层应用。基础资源怎么和上层应用相结合就需要用到中间这层，也就是我们叫做互联网的基础资源层，主要是域名，IP地址，现在物联网也在快速发展，也有所谓的物品标识，上层应用是通过中间互联网的基础资源层找到互联网的物理资源层来提供服务。所以，从我们的观点来认为，只有互联网基础资源服务它的服务是安全稳定可靠的，才能保障整个互联网的安全稳定运行。

互联网的基础资源在云时代到底能发挥什么作用呢？我们有四个方面的观点。

首先，不管你在以前的互联网时代还是现在的云时代，只有安全的互联网的基础资源服务才能在不同的时代，尤其现在的云时代，为我们海量的应用提供一个强大的基础的支撑。第二，针对互联网基础资源服务，我们需要有一个可靠的安全的保障体系来保障安全稳定运行，才会为我们所有的云服务保驾护航。第三方面，互联网基础资源作为一个网络入口，不管是IP地址或者域名，在这一层我们就能把一些有害的信息或者黑客所用的一些网站工具，在这个地方做一道过滤的入口，就可以为整个互联网的安全提供一个很大的支撑，能够大幅度的降低网络出现风险的可能。

另外，可能国内不同的机构和行业在基础资源服务方面所做的一些技术，或者是人才方面的储备，也可以为云时代不断的创新，把我们的技术转化为我们的优势，能够提供更多的动力。这是我们认为在云时代互联网技术资源还是可以为整个互联网的发展提供保障和支撑。

说了这么多，下面还是给大家说一下互联网基础资源利最重要的域名系统到底是做什么的。域名服务是互联网一项最基本的服务，目前它的趋势是这样，IPv6时代已经慢慢的开始进入商用，也在普及，在这个情况下作用会更加重要。近几年很多新的域名加入到域名体系里，这就会推动域名的解析量在不断的往上涨。第三，在移动互联网时代，还有云时代，应用越来越多，越来越多的应用可能就会越来越多的使用到DNS，DNS的应用范围就会越来越广泛。整体上一个趋势就是互联网发展对于互联网基础资源，尤其是域名的依赖会不断的加深。

一个域名解析的过程，上面是根域名服务系统，中间是所谓的顶级域名系统，点微博，点百度，下面二级域名服务系统，比如新浪自己运行的域名服务系统，左侧主要是运营商提供，我要查询一个域名先问DV服务器，有就返回了，没有就到根服务器查，根服务器告诉他，然后去到.CN，.CN告诉它这是新浪的或者自己的，DV服务器再到新浪的服务器查，查完以后新浪的服务器就会把访问的域名的IP地址转给DV服务器，DV服务器给用户，然后我们就看到了网页或者其他的应用通过域名的连接来实现。

域名系统既然这么重要，目前域名系统的安全状况怎么样？现在一个大体的统计，目前互联网上发生的安全事件或者针对不同的系统，不同的应用的攻击里有20%是针对DNS的，针对DNS做攻击是非常有效的把一个服务瘫痪掉或者让这个服务不可用的手段，DNS在互联网上首先是多环节的，不同的环节安全状况是不一样的，其中任何一个环节失效掉，不管你应用系统本身做的多强大，它的服务能力多强，防控能力多好，别人找不到你了，你的系统也就变相的在互联网消失了。从目前的形势看，针对域名服务的网络安全事件还是越来越多。

云时代，域名服务的安全态势什么样？面对这么多的网络攻击，我们的域名服务系统或者域名服务体系，体系里的各个环节是否做好了安全方面的准备或者安全防护做的好不好。我们从2012年开始，从故障、配置、流量、性能，很多的维度对整个国内域名服务体系的每个环节做一个监测，做横向对比，纵向对比，每年也会有一个这样的报告，中国域名服务安全状况的分析报告，通过这个报告我们就可以了解到目前我们国家的域名服务体系的安全状况到底怎么样，和全球对比是一个什么情况。

下面我简要的介绍一下2015年的一些数据。首先，大家刚才看到的我们域名解析过程中首先要访问根服务器，根服务器截止到去年底全球部署的镜像服务器达到516个，相对来说，中国大陆地区的根服务器还是比较少，只有F、I、J和L四个根的镜像，从监测数据看，从2012年到215年，趋势是非常明显的，凡是在我们国内有镜像服务器的根解析服务器它的访问时延是非常小的，比如F根，I根，J根和L根，他们的时延明显是要比不在国内设置镜像服务器的时延小很多。我们还是需要不断的引进根的镜像来提升国内域名解析的稳定性，尤其是访问根服务器方面的稳定性。

顶级域名服务，到去年底的时候，现在顶级中一共有1206个，这个数据增长的非常非常快，2014年底的时候这个数字还只有805，我印象中2013年底这个数字可能只有四百多，最近这两年顶级域名服务基本上增长了两倍，带来的问题是什么？增加了这么多顶级域名之后它的服务情况怎么样？首先看访问的时延，我们访问一个名字的时候可以多快得到一个结果，从上面的图看，我们基本上它的访问时延还是90%以上都是在0.4秒，400毫秒的时间范围内就可以得到一个访问的结果。这么多顶级域名对故障、配置、流量、姓名，比较关键的是他对一些关键的安全协议的支持到底如何，是否支持IPv6的访问，是不是支持TCP的访问，从这个趋势看，最近这一年在这几个方面也都是在大幅度的提高。也就是说随着新的顶级域名的加入，顶级域名服务的安全性是在不断提高的。

针对国内的全域名服务有一个对比，所谓的国内权威域名服务比如新浪自己的域名服务器，或者腾讯自己的域名服务器，整体的情况，我们有一个计算的公式，从域名服务其的配置，解析的性能，它的流量的情况来有一个综合的评分。2015年的时候，整个国内分值是0.52，相对还不是特别高，因为差的比例还是有73.9%，但是趋势上已经比2012年有了一个很大的提高，尤其是我们也做了一个全球的排名，国内的权威域名服务和全球的权威域名服务的对比情况。2012年国内的权威域名服务在安全方面还排在全球第34位，到了2015年的时候我们在安全性方面已经上升到全球的第十位，这是第一次进入全球的前十名。

刚才说的是国内权威域名的整体情况，国内还有一些重点的权威域名服务，涉及到交通、金融、电力的，还有很多大的互联网公司网站的，涉及到国计民生的或者大量用户的全域名服务，它的总体情况也是在不断的改善。2015年安全分值达到0.67，这是一个抽象的数字，但是下面的数据服务状态是优的，已经从2012年的没有变为6.3%。良的比例相对比较稳定，差的比例也在增加，但是整体趋势是最起码优的已经达到了6.3%。

国内重点和刚才提到的我们国内整体的权威域名服务器的比例，重点域名的域名解析服务明显优于国内的整体情况，也就是重点的网站或者大的网站它对域名安全的重视程度是要比一般的或者普遍的情况要高很多的。

最后是DV域名服务，我们日常接触的运营商的DV运营服务器，我们上网会自动填进去一个地址或者我们也可以用一个第三方的，Google有8888的DV服务器，它的运营服务情况也是在不断的改善，有一个数据是0.72，它的状况实际上是目前已达到比较优的状态，国内和全球比我们还是比全球的情况稍微差一点。

国内主要权威我们有将近500多个DV域名服务器，主要是三大运营商，也包括114，包括CNNIC自己业提供公益的第三方DV服务，它的状况也在不断的改善，尤其主要的DV服务器明显优于小的比如小区宽带提供的DV服务，明显比哪个好。所以，大家如果对这个略微有些了解或者今天听了这个认为这个重要的话就可以把自己家里上网的电脑或者单位上网电脑DVDNS手动修改一下，这样对你上网的安全性还是有相当的提高。

前面说了概况，有大量的数据没有提，目前DV服务器软件什么样，版本什么样，是不是支持各种协议，是不是有一些漏洞，针对各种各样的问题，CNNIC最近这些年一直在研究国内自主的DNF的或者硬件，目前我们已经有专用权威的解析服务器和专用的DV解析服务器，这是国内完全自主知识产权，也支持互联网协议相关标准，也支持下一代互联网，目前在市场上也有一个比较好的应用。

同时我们开发了针对DNS攻击的抗攻击设备，包括一些浏览监控的设备。

我刚才提到CNNIC也在提供递归云服务，我们在2010年就提出来了，DNS的服务做成一个递归云，大家感受不到。1.2.4.8和210.2.4.8。同时我们有权威域名托管，如果一个公司觉得我没有这个精力或者自己搭建一个域名解析服务器不安全不可靠也可以找第三方托管，CNNIC业提供第三方托管的服务。目前，我们这个服务主要还是针对各大部委，给各大部委做一些公益性的托管服务，当然也有一些商业性的服务，这不是做的太多，主要还是完成国家任务，给部委，还有一些重要的单位做域名解析托管的服务。

刚才讲的是对于基础资源的第一部分，就是域名的一些数据，还有我们的一些观点跟大家分享。

第二部分，关于IP地址，2015年底，2016年1月份我们发布的第37次中国互联网发展状况统计报告里的一些基础数据。我们的网民规模6.88亿，现在全球第一，很快7月份第38次报告就要发布了，到时候大家可以期待一下是不是我们网民已经达到7亿。有关于IP地址的数据，中国是IPv43.37亿个，IPv6地址到去年底我们申请了两万多份。从现状看，中国IPv4地址位列全球第二，但是跟第一美国差的可能不只一个数量级。所以，在这个情况下，IPv6对中国就是一个机会，现在也是位列全球第二，我们可能需要不断的推广IP V6的应用，能够尽快的升到第一。

这个图的数据，IPv4地址从2011年5月份开始基本上这个数据数量已经不再增长，我了解的情况，目前这个状态IPv4已经没有任何新的资源可以分配了，大家可以再拿到的就是一些回收过来的，别人用完之后不用了回收过来的IPv地址，回收回来的资源池马上就要分配完毕，以后大家就要面临没有资源可以用。所以，IPv6过渡的进程还是需要加快的。

刚才提的一些问题和挑战，IPv4的资源已经完全都没有资源可以申请了，但是IPv6规模性的商用还不是非常理想，但是将来有很多新的业务，比如物联网可能就需要大量的IP地址作为支撑，尽快的把IPv6如何分配，如何管理做好是当前一个比较紧迫的工作。同时，路由劫持网络安全问题，在目前的网络架构里是没有一个很好的办法来解决的。同时，IPv6相对来说比IPv4安全很多。很多安全问题在IPv4存在到了IPv6依然会存在，甚至因为IPv6的网络目前没有大规模商用，到底会不会产生新的安全问题也不是很好的判断。

所以，我们认为在IP地址这块未来的趋势IPv6的地址跟物联网能够相互促进共同发展，物联网国家有一些产业政策在推进，IPv6又具备这个地址是无限大这样一个特性，只有IPv6才能满足需求，同时物联网的发展也会推动IPv6发展。

路由劫持方面，国际上也在做RPKI+BGPsec的部署和使用，在路由方面进行认证，防止路由假冒。目前实际部署还比较少，但是一些标准和验证系统都已经比较成熟，包括CNNIC也在做这方面的工作。

IPv6时代会催生一些新的安全设备和新的安全防护方案，这是与IP地址相关的未来趋势的基本判断。

讲了这么多，希望大家对互联网的基础资源有一个大概的认识。同时，如果对前面提到的域名安全状况的报告感兴趣的话，我们有非常非常多的详细的数据，大家可以到CNNIC官网查询下载，那是完全对外开放的，大家可以做一个参考。这是我今天要报告的一个主要内容，谢谢大家。