邱实牟承晋:从网络域名状况看我国网信安全态势
一、国内域名状况摘要
据中国互联网络信息中心(CNNIC)2021年8月27日发布的第48次《中国互联网络发展状况统计报告》,截至2021年6月,我国域名总数为3,136万个;其中,.CN域名数量为1,509万个,占我国域名总数的48.1%。
但是,CNNIC发布的统计数据,与中国信息通信研究院(CAICT,以下简称信通院)在2021年7月正式发布《互联网域名产业报告》中的数据相差甚大。
根据互联网数字分配机构(IANA)对顶级域名的6个分类:
1)通用(Generic);
2)国家/地区(Country-code);
3)限制性通用(Generic-restricted);
4)专用(Sponsored);
5)基础结构(Infrastructure);
6)测试(Test)。
对比信通院与CNNIC发布的我国注册域名统计数据如下:
信通院是国家工业和信息化部直属的权威专业科研机构。本文引用的中国互联网(Internet)域名状况的相关数据,以信通院正式发布为参照。但是,同为工信部直属事业单位的信通院与CNNIC的域名统计数据,在绝对数量上竟相差约1,165万个,显然不能被作为是统计误差。
信通院2021年7月发布的《互联网域名产业报告》称,截至2020年12月,我国域名注册市场规模为4,300.8万个,其中:
● 国家顶级域名.cn注册量约为2,000 万个,占比46.5%(图1);
● 通用顶级域名.com注册量为1,242.2 万个,占比28.9%(图1);
● .com和.cn也是我国用户访问最多的两个顶级域,所访问域名数量分别占全国活跃域名总数(4,376.5 万个)的63.6%和18.7%(图2)。
图1 我国域名注册数量TOP 20顶级域名市场份额:
图2 我国活跃域名数量TOP 20顶级域名份额:
备注-1:根据图2,我国互联网的活跃(顶级)域名超过81%(约3,558万个域名),其域名解析服务(或终端用户的域名查询请求)必须依赖于境外。
备注-2:根据图2,我国.cn活跃域名数量约为818.4万个,在.cn注册域名数量(2,000万个)的仅占比约40.9%。
备注-3:我国传统通用顶级域名(gTLD)注册数量为1,370.5万个,即.net和.org的合计注册数量为128.3万个(含.info)。
备注-4:我国新通用顶级域名(ngTLD)注册数量为718.1万个。
备注-5:归纳以上信息,我国注册域名的分类分布如下:
二、国际域名状况摘要
9月2日,美国Verisign(威瑞信)公司发布全球互联网域名产业2021年第2季度简报。Verisign公司不仅管理和运营根域名系统A和J,而且负责注册和服务.com、.net、.tv、.cc、.name等顶级域名。
Verisign报告,截至2021年6月,全球注册顶级域名数量为3.673亿个,其中:
● 国家/地区(ccTLD)1.577亿个(中国国家顶级域名.cn为2,070万个);
● 通用顶级域名(gTLD)1.81亿个(.com为1.57亿个,.net为1,360万个,.org为1,040万个);
● 新通用顶级域名(ngTLD)2,290万个。
图3 是全球按顶级域名注册数量的前十排名:
备注-6:对于中国国家顶级域名.cn的注册数量,Verisign与信通院的统计数据相似。
三、关于活跃域名及其现象
信通院《互联网域名产业报告》中说明:活跃域名是用户通过境内各相关网络接入服务方式(业务)访问的域名(访问同一域名的,计算总量时不再重复统计)。
信通院报告,全国(大陆)活跃域名总数为4,376.5万个,其中:
● 顶级域名.com占比63.6%(即2,783.5万个,在全球占比17.7%,但是国内的.com注册域名数量仅为1,242.2 万个);
● 顶级域名.cn占比18.7%(即818.4万个,但是国内的.cn注册域名数量为2,000万个,占比40.9%)。
这就是说,信通院所统计的活跃域名,包含非境内注册的境外域名(这在实际应用中是合情合理的)。
但是,鉴于活跃域名是衡量网信安全及其健康度的一个重要维度,涉及态势感知、趋势预判和应对措施,不能不关注与之关联的问题或现象:
1)国家顶级域名.cn的注册数量在全球排名第三(图3),但是其中的活跃域名数量却未达到半数(40.9%);或有相当数量的注册域名不在应用状态,或不乏以抢注为目的的数字资源囤积。
从注册的.cn域名数量中仅有18.7%是活跃域名(以及.com的活跃域名占比63.6%),可以进一步推断:所注册的新通用顶级域名(718.1万个)和国家/地区顶级域名及其他(212.2万个)中的活跃域名占比小于17.7%;或在这两类共930.3万个注册域名中,活跃域名不超过165万个(约765万个不活跃)。
与房子是用来住的、不是用来炒的同理同态,注册的网络域名,不仅是不可再生的网络数字资源,而且只能是用于互联网的应用和服务的,不能是摆在那里看的(或用来投机牟利别有所图)。实践证明,注册域名数量的多寡,并不能简单作为互联网发展繁荣状态的指标。
大量域名实际上并不活跃,其中的问题和风险,以及深层次的原因不得不高度关注和重视。在我们此前发表的《通过域名注册的国家级间谍活动成为新的潜在DNS攻击》一文中,所涉述的案例强调和警示:此类攻击(或数据泄露)仍然可能或正在发生。
2)顶级域名的管理和服务,是在授权的域名迭代解析体系结构中的第二层(即DNS执行根域名的解析迭代)。然而,在活跃域名的数量中,中国国家顶级域名.cn仅占比18.7%。也就是说,国内互联网的域名应用,超过81%必须依赖境外的域名解析服务,这必然不可避免地导致(无差别)数据跨境传输和存储,并无法回避包括受制于人的潜在断服断网(例如:美国查封伊朗网站等多个警示案例)。
另一方面,应注意到,俄罗斯主权互联网的既定目标是:国内互联网(RuNet)数据流量的95%在本地路由;为此,构建国家的域名系统DNS。俄罗斯的国家顶级域名.ru是1994年7月4日得到授权,目前的注册域名数量为570万个(图3)。
3)域名注册和服务,是域名空间持续演变的生态系统的基本元素,亦是互联网应用的起点。其中,层次化的根域名、顶级域名、权威域名相互关联和相互依存,绝不存在哪个层次最重要或次重要的概念和实施。事实上,在根域名(13个系统)的区块文件中,仅是为1,589个顶级域名提供解析服务;而Verisign(管理和服务超过46.4%的全球注册顶级域名,图3)从顶级域名注册和服务的层次所给出的上述统计信息以及可能产生的影响,是根域名系统所无法企及的;进而,诸如阿卡迈(Akamai)、亚马逊(Amazon)等正在通过集成、外包和托管抢占和瓜分的权威域名服务市场,却又是Verisign等顶级域名服务商所望尘莫及的。
网信空间(Cyberspace)是一个人造的数字化信息环境,网信安全是一个动态、复杂的供应链;其中,域名空间不仅是起点和入口,而且是持续演变的一个生态系统。因此,如果仅仅以替代根域名的假设,作为中国早有准备以及担心是多余的和xx计划是王牌之片面臆想及误导宣传,无异于自毁长城!
综上,对于网信领域的统计,不应是单调、机械地计数,必须通过关联分析、时序挖掘,由表及里、去伪存真,透过现象看本质,力求避免肤浅的认识、粗略的理解、错误的判断。
(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。来源:昆仑策网【原创】,作者授权发布)