从幕后到台前：如何监管机构与政策制定者开始认可DNS的关键服务地位

2025年7月30日

正如古老的IT谚语所说，DNS（域名系统）有点像氧气。只有当它不存在时，你才会注意到它。DNS取得了巨大的成功——可以说是互联网的伟大成就之一。它是一种分布式网络服务，规模可扩展至整个互联网，并支撑着几乎所有现代网络。大多数时候，它都能完美运行。

尽管许多组织对DNS的效用及其对互联网的关键性视而不见，但威胁行为者却并未忽视。正如Infoblox威胁情报部门的出色研究所强调的，威胁行为者已经擅长滥用DNS。无论是针对DNS进行DDoS攻击以摧毁整个网络，劫持知名品牌域名用于网络犯罪，还是使用DNS作为窃取数据的“邮政服务”；DNS在许多方面已成为现代网络犯罪的基础。

多年来，政策制定者和监管机构让DNS从他们的雷达下滑过。尽管最近立法关注网络弹性、保护关键基础设施甚至保护公民免受互联网欺诈的泛滥，但DNS的作用常常被掩盖或忽视。尽管DNS标准的可喜补充促进了DNS基础设施的安全、协议的完整性，甚至将DNS用作网络安全控制，但不幸的是，这些功能一直是保守得最好的秘密。直到现在。

在过去的几年里，随着政府将DNS采纳为网络安全控制点（如英国、美国和澳大利亚政府运营的防护DNS服务所证明的那样），监管机构和政策制定者逐渐开始将DNS从技术政策的阴影中拖出来。

在美国国家标准与技术研究院（NIST）最近更新的特别出版物（SP）800-81 DNS安全最佳实践中，我们看到了一个可喜的更新，解决了三个关键问题：保护DNS基础设施、保护DNS服务的完整性以及使用防护DNS作为网络安全控制。这些最佳实践与Infoblox基于广泛设计和部署DNS架构的经验所提出的建议一致。幸运的是，我们也在政策指令和授权中看到了类似的建议。欧盟（EU）最近更新了NIS2指令，以包括许多与NIST SP 800-81中描述的相同建议。预期随着欧盟成员国将指令转化为国家政策，NIS2授权中将包含同样广泛和清晰的建议。

展望未来，其他监管机构有充分理由与NIST SP 800-81的建议保持一致。沙特阿拉伯国家网络安全局的基本安全控制（ECC）要求使用防护DNS。通过扩展这些要求以符合最佳实践，它将帮助组织拥有一套清晰的实用建议，跨越复杂的监管要求。因此，随着DNS从阴影中浮现，有一个独特的机会来减少监管负担并推动实施的清晰度，同时最终解决围绕DNS这一关键服务的风险和机遇。

脚注

1. 防护域名服务（PDNS），国家网络安全中心，2024年9月17日。
2. 防护域名系统（DNS）解析器，网络安全和基础设施安全局（CISA）。
3. NIST特别出版物800-81安全域名系统（DNS）部署指南，Rose, Scott, Liu, Cricket, Gibson, Ross，国家标准与技术研究院（NIST），2025年4月。
4. NIS2指令技术实施指南，欧盟网络安全局（ENISA），2025年6月。
5. 基本网络安全控制，国家网络安全局，沙特阿拉伯。