业务连续性资产
核心业务域名、依赖的第三方域名、内部服务发现域名。
威胁模型
威胁模型深挖
本页聚焦“谁在攻击、攻击成本是什么、我们优先保护什么资产”,用于把 DNS 安全从概念变成可执行决策。
第一步:识别关键资产
不先识别资产,后续所有安全动作都可能“投入很大、收益很小”。
数据敏感性资产
能反映业务意图、用户画像、项目计划的查询模式和时间分布。
治理能力资产
日志可观测性、审计链路、故障定位信息和变更记录体系。
第二步:对手能力分层
不同攻击者能力差异极大,防护策略也必须差异化。
| 对手类型 | 可见范围 | 典型能力 | 推荐防护 |
|---|---|---|---|
| 同网段攻击者 | 局域网流量片段 | 中间人注入、热点劫持 | 强制加密 DNS、启用 HTTPS 强校验 |
| 出口网络运营方 | 大规模 DNS 行为 | 画像、策略干预、阻断 | 可信上游、多路径容灾、策略透明 |
| 终端本地恶意程序 | 终端全量配置 | 篡改 DNS、代理绕行 | 终端加固、配置基线、完整性检测 |
第三步:画出攻击路径
建议按“入口 -> 横向移动 -> 目标达成”建模,便于制定检测点。
路径 A:明文解析链路被劫持
入口是公共网络,攻击者通过注入伪响应引导到钓鱼站,最终窃取凭证。
路径 B:受控终端策略被绕过
入口是终端管理员权限失守,恶意程序改写 DNS 到非受控上游,绕过审计。
路径 C:单点上游失效导致业务中断
入口是递归解析器或网络链路故障,若缺少备用策略会放大可用性风险。
第四步:制定优先级
建议按“影响范围 x 发生概率 x 修复成本”排序,先做最划算的防护。
优先级 P0(立即)
关键业务链路启用加密 DNS + 备用上游,确保基础可用性和抗劫持能力。
优先级 P1(短期)
打通日志与告警,明确“协议失效、超时、证书异常”的快速处置流程。
优先级 P2(中期)
补齐治理文档、配置基线和审计机制,防止后续迭代中策略漂移。
优先级 P3(持续)
定期演练回滚与故障场景,验证策略在真实异常条件下仍可执行。