从幕后走向台前：监管机构与政策制定者如何开始认识到DNS的关键服务地位

2025年7月30日

正如古老的IT谚语所说，域名系统（DNS）有点像氧气。只有当它不存在时，你才会注意到它。DNS取得了惊人的成功——可以说是互联网的伟大成就之一。它是一种分布式网络服务，可扩展到互联网的规模，并支撑着几乎所有现代网络。大多数时候，它都能完美运行。

尽管许多组织对DNS的效用及其对互联网的关键性视而不见，但威胁行为者却并未忽视。正如Infoblox威胁情报的优秀研究所强调的，威胁行为者已经擅长滥用DNS。无论是针对DNS进行DDoS攻击以摧毁整个网络，劫持受人尊敬的品牌域名用于网络犯罪，还是使用DNS作为外泄被盗数据的邮政服务；DNS在许多方面已成为现代网络犯罪的基础。

多年来，政策制定者和监管机构让DNS从他们的雷达下溜走。随着最近专注于网络弹性、保护关键基础设施甚至保护公民免受互联网欺诈泛滥的立法，DNS的作用常常被掩盖或忽视。尽管DNS标准的可喜补充促进了DNS基础设施的安全、协议的完整性，甚至将DNS用作网络安全控制，但不幸的是，这些功能一直是保守得最好的秘密。直到现在。

在过去的几年里，随着政府采用DNS作为网络安全控制点（如英国、美国和澳大利亚政府运营的防护性DNS服务所证明的那样），监管机构和政策制定者逐渐开始将DNS从技术政策的阴影中拖出来。

在美国国家标准与技术研究院（NIST）对特别出版物（SP）800-81 DNS安全最佳实践的最新更新中，我们看到了一个可喜的更新，解决了三个关键问题：保护DNS基础设施、保护DNS服务的完整性以及使用防护性DNS作为网络安全控制。这些最佳实践与Infoblox基于我们在广泛组织中设计和部署DNS架构的丰富经验所提出的建议一致。幸运的是，我们也在政策指令和授权中看到了类似的建议。欧盟（EU）最近更新了NIS2指令，以包括许多与NIST SP 800-81中描述的相同建议。预期应该是，随着欧盟成员国将指令转化为国家政策，NIS2授权中将包含相同广度和清晰度的建议。

展望未来，其他监管机构有充分理由与NIST SP 800-81建议保持一致。沙特阿拉伯国家网络安全局的基本安全控制（ECC）要求使用防护性DNS。通过扩展这些要求以符合最佳实践，它将帮助组织拥有一套清晰的实用建议，跨越监管要求的丛林。因此，随着DNS从阴影中浮现，有一个独特的机会来减少监管负担并推动实施的清晰度，同时最终解决围绕DNS这一关键服务的风险和机遇。

脚注

1. 防护性域名服务（PDNS），国家网络安全中心，2024年9月17日。
2. 防护性域名系统（DNS）解析器，网络安全和基础设施安全局（CISA）。
3. NIST特别出版物800-81安全域名系统（DNS）部署指南，Rose, Scott, Liu, Cricket, Gibson, Ross，国家标准与技术研究院（NIST），2025年4月。
4. NIS2指令技术实施指南，欧盟网络安全局（ENISA），2025年6月。
5. 基本网络安全控制，国家网络安全局，沙特阿拉伯。

标签： NIST、NIS2、合规、DNS安全、防护性DNS、政策、法规、最佳实践

Craig Sanderson
Infoblox首席网络安全战略师
Craig Sanderson是Infoblox的首席网络安全战略师。Craig在网络安全行业拥有超过25年的经验，担任过咨询、安全架构、业务开发和产品管理等多种角色。在过去的七年中，Craig负责创建愿景、战略并交付了Infoblox BloxOne威胁防御解决方案的执行。他继续对DNS在提供世界级网络安全方面的作用充满热情，特别强调DNS如何成为国家和政府防护性DNS解决方案的基础。