在中国保护您的品牌： 秉承安全理念，简化域名策略

Alban： 今天我们这个研讨会主要还是想要跟大家去分享一下我们在CSC这边怎么去布局，去持续能够支持中国的域名的发展跟在中国的合规。

大家可能在几年前都知道了，我们CSC在中国地区很早的时候已经拿到了相关的牌照。当然，这个牌照是按照中国工信部运营管理办法17年的修订。我们作为一个注册商，需要支持在中国能够使用的域名，我们需要拿到工信部的审批。这个审批当然是注册商和注册局都需要符合的。跟我们熟悉的一些人可能就知道，我们在2020年已经有一个公布，就是说我们是第一家能够获得许可证的外籍公司。那个时候真的拿到这个牌照，但现在为什么我们过了四年才真的跟大家去分享一下我们怎么去使用这个牌照、这个许可证呢？

其实是有一个非常重要的原因的。今天我是希望向大家讲解一下那个原因究竟是什么。第二就是跟大家分享一下那些原因，我们是用了什么方法去符合我们整体的布局，为什么会相对比较完整，使我们达到能够比较舒服地去推出这个业务的。

在我开始之前，我想要去跟大家讲一个小小的故事。上周我其实是在韩国，南韩那边。我就受邀请，ICANN那边跟韩国的Information Security Agency，他们有一个合办的活动，是邀请我去做一个培训，一些年轻人的培训，去教育他们关于互联网治理的相关议题。这个培训的活动是一连五天的，超过了我主要负责的范围，就是讲一下web 3 domain，就是web 3.0的运营，它的使用、政策，我们作为ICANN群体怎么去把它融合起来等等，以及里面有很多争议性的地方。我就做了这样的一个培训给一帮年轻人。在那个会议最后一天就发生一件事情。我早上起来的时候，当然那天我得知中了COVID-19，但同一时间我就看到一个新闻。那个新闻就是说，在很大部分的一些做blockchain区块链的公司或做cryptocurrency的公司，包括一家全球最大的做区块链运营的公司，叫Unstoppable，它们全部都出现被黑客黑进去了，很多人在使用他们业务的时候，偷域名的偷域名，偷钱的偷钱。这个不是一个小的攻击，是非常大型的攻击。那个攻击就发生在我那个培训的最后一天，刚好我就在跟那帮年轻人在分享这个议题，刚好就出现一个很好的例子，为什么我们讲的东西不是无中生有的，是真的会存在的一些风险的。他们黑客黑进去的方法，其实等一下有一页我们也会跟大家去讲解一下。但是呢，这个域名，无论你是用什么技术来做，它都是一个很高风险的东西。所以，为什么我们讲回我们这个过程的时候，我们为什么要过了四年才真的开始去推出这个这个业务，主要还是来到数据安全跟网络安全这边。因为我们CSC作为一个大型的企业级别的注册商，我们主要想做到的不单单是为你们去注册域名和管理域名。这两边都是很重要的，再我们整体布局里面，这个流程，软体，我们怎样去监控流程都是很重要的地方。但是，重中之重还是要回到一个点，就是安全。因为我们管理一个重要域名的时候，我们没有可能允许它有零点一的风险存在。

工信部在法规里面其实提出了一个合规的要求，就是要求我们必须要在中国那边有一个系统，是落地在中国的。这里就出现一个问题，就是我们的硬体和软体怎么去布局，才能够让我们在中国的系统也是安全，但也是同时实现中国政府对我们落地、本地化的要求？这个就是我们过去做的东西，就是我们怎么去找到一些合作伙伴或其他方式，来做到本地CSC的域名商的系统。这个系统同时也是不会让我们在全球域名系统的安全性有任何一点的下降。这个就是我们遇到的一个问题。当然，大家也记得，几年前也有COVID-19的问题。所以同时进行这两方面就是主要的原因，为什么我们会有这几年的延误，就是来确保所有的东西都是可行的。简单来说，我们找到很多不同的方案，譬如说我们可以简单地把我们全球的系统拷贝一份，放到中国那边。

我们评估过之后，觉得这个不是一个很好的方案。有几个原因。第一个原因就是软体的原因，我们全球的系统放到中国来做是不是已经是一个最好的做法？里面有没有一些中国特殊的要求是我们这个全球系统不能够满足的？答案肯定是是的，我们研讨之后。我们在中国的系统在软体上要做一个修改。另外一个就是硬体。硬体是一个非常重要的东西，因为我们在讲网络安全的时候，我们是不是有足够的数据流量的硬体设备，第一是防御很多东西，是我们需要留意的。这个不单单是一个knowledge的问题，只是我们懂不懂做的问题，也是一个钱的问题，因为政府那边是需要把两套系统分开的。在全球，治理的一个趋势就是数据的分享尽量本土化，就是有一些空间，把一些数据沟通。数据的本土化也是一个很重要的东西。

我们最终是找到腾讯一起来合作的。腾讯真的非常支持我们，因为这个肯定不是他们本来的业务。但是我们跟他们合作了一个项目，就是真的花了很大量的时间去帮忙重新写了一份软体出来，也帮忙我们去研究怎么去放我们的硬体才能够有更好的防御。CSC跟腾讯的策略合作是我们整个注册商的推出其中一个非常核心的范畴。你可以想象得到，这个新的系统出来的时候，你在画面上看到，我们能够透过我们本身的CSC系统Manager，去管理中国以外的全球域名组合。在新的CSC管理中台，我们就可以进行注册跟解析所有中国需要符合中国政府要求的那些域名。里面可能不会涉及.cn，因为.com在中国也是需要符合中国政府的法规。所以这个平台，我们从一开始到推出的时候，是用了很多时间把两边怎么配合起来，让我们的投资和得出来的东西都是能够去防止一些重要的域名发生几天前发生的那个问题，全部的域名被黑的时候，引起很大的安全风险出来。

安全里面其实有三个很重要的地方，我希望仔细一点跟大家去分享。第一就是硬件的安全，第二点是软件的安全，第三点是合规的操作流程。其实我希望能够跟大家先分享一下一点点操作的流程，特别是在中国企业，我们去管理全球域名时的一些方法。下面这张图，大家可以看到一些全球性的企业，不一定是中国的企业，他们在管理全球域名跟中国域名的时候，会面临的一些挑战。第一个方法A，大部分都是全球性公司，有一个公司总部，但是因为中国有中国的合规要求，所以它可能会有全球性的提供商管理中国以外的域名组合；同一时间，它要找到中国本土的提供商来管理中国本土的域名组合。我自己觉得在中国其实应该还有蛮多的大型企业是走A的这个模式来做的。可能在全球的提供商就用了CSC，MarkMonitor等等，一些海外的提供商。中国就用中国本土的提供商这个当然是可行的。但是当然里面也有一些风险需要注意。

另外一种是B架构。一个全球性公司可能有一个公司总部去管理其他的域名，而中国办事处就找到一个中国提供商来管理中国的域名组合。当然这是从一个全球企业，不分国别的全球企业的观点出发。但是如果放到中国企业，很多时候我们看到的就可能是中国的总部，美国的分部管理美国的域名等等。这个管理架构其实也存在。当然，在中间看到使用更多的提供商，相对风险就会增加。另外一点就是像刚刚讲到的B那种，你的管理是分散的，你的监管也是缺乏的。当然这也是一个不太可靠的管理方法。我们需要做到的就是在全球都有一个共通的一种管理方法。问题就是我们能不能达到有效的沟通，是不是有高度的信任和安全，是不是能达到一定的水平等等。这个是特别在海外企业来中国的时候遇到的很大的问题，因为语言的不通。但同时，我们中国的企业在面对海外市场的时候，同样的问题都会存在。我们需要有一套系统能够平衡中国跟海外，特别是不同的国家，我们都有一套系统能够弹性去处理，让你们作为公司的总部能够管理所有的东西，但不会影响到那种弹性。这个就是我们非常重要的怎么去布局这个系统，能够平衡这两者中间的不同的挑战。

现在我们推出的注册商系统，你可以看到，流程应该是这样的。无论你是一个全球性公司，无论你是中国的公司还是海外的公司，作为公司的总部，你可以跟我们CSC合作。我们在管理的时候就有一个中央的平台，就是我们本来用了很久的CSCDomainManager。这个DomainManager我们正在做很多更新的东西，之后希望也有机会跟大家去分享，特别是关于我们怎么体现一体化的视角，让你们的域名跟品牌保护、域名的争议或钓鱼攻击能有同一个窗口看到，有一个新的系统将会推出。这个CSCDomainManager有很多年的历史支持大型企业域名的管理，所以我们还会选用CSCDomainManager作为我们统一管理的平台。但是背后，中国本土的域名组合，我们就有跟腾讯一起开发的新的CSC管理中台来去承担整体的管理的东西。这里最后跟大家去分享软体的重要性的时候，我会再多讲一些。但是我们为什么软体要再多加一个呢？就是中国管理域名中的很多细节是跟海外不一样的。等一下我希望跟大家分享一下我们有哪些细节是特别管理比较庞大的域名组合的时候出现的问题，我们做了什么东西来让这个事情管理得更好。这个中台你们不会看到，因为这个等于是给我们背后的团队来用的。但是这个中台应该是让我们团队更有效率地来进行有效的域名管理。无论你是中国还是海外的域名组合，都能够透过这样的一个架构，让我们不需要用很多不同的平台来管理。

在跟腾讯云合作里面，其实也有另外一个角色，就是因为在工信部的要求里面，域名的合规是脱离不了ICP跟其他的一些相关的法规的要求的。所以在我们的整个构想里面，也是希望能够透过这样的一个合作让我们在ICP备案等的支持比现在能够提供得更深入一点。我们跟腾讯云持续的合作，后续能够提供什么ICP的支持等，这个可能今天我就不会跟大家详细去分享。但是这个是我们合作中的一个重点。希望这样的一个架构让你们在整体的流程里面，域名跟ICP、网站等等，不会有这么脱离的感觉。而且它是能一体化的，透过腾讯云那边来帮助大家做到这一点。

提到我们作为企业的注册商，当然企业级注册商跟零售级的注册商是有分别的。我们作为企业级注册商，我们需要做到的就是提供更为专业的服务，更安全的服务等；而零售级的注册商基本上主要针对的就是为一些个人、一些初创企业或一些中小型企业提供域名服务、网站和电子邮件服务。这中间的不一样，我相信如果有跟CSC合作的朋友们，都应该清楚分别是在哪里。站在企业级注册商的角度，我们在合作里面怎么去体现呢？你可以看到，我们在做企业级注册商的时候，其实除了安全以外，我们的支持服务水平很高也是一个很重要的事情。

你现在可以看到我们现在CSC中台的画面，你可以看到，这个就是腾讯云和我们一起合作，去研发的一个平台。虽然你们不会真的去使用这个平台，但是我希望让大家看到，这个事情是已经建立好的，已经能使用的，而且都是跟我们去配合，去更改了很多东西，让我们真的能做到刚刚我们讲的那种企业级注册商的服务水平，不会出现之前在服务国内一些客户的时候所遇到的一些瓶颈的事情。

下一张我希望大家看一下，为什么我们需要用了这么多时间去处理安全的问题。这张图可能跟我们接触的时候也有看过。但是我想跟大家用我刚才讲到的那个实际的例子来分享一下。大概在五天前发生了那宗比较大型的黑客事件，那个原因是什么呢？很多做cryptocurrency的企业很相信Google，他们那些域名都是在Google Domain去进行注册的。后来Google Domain就发现，域名的管理不是Google作为一个企业有能力去做的一个事情。所以它后来就把整个域名的业务卖给一个公司。在这个售卖的过程当中，那些域名需要在后台转。那些黑客就发现，在这个转移的过程中有一些漏洞，让注册商的系统是能够被黑进去的。那个黑客就黑进了注册商的注册系统下，进行攻击。他做的事情基本上就是这样，他黑进域名管理的注册商，因为域名是连到Name Server Record，我们叫NS记录，NS记录就指向DNS系统。DNS系统就指向你们网站、APP、你们的语音通信、内部程序的接口、所有的云服务，跟你们作为身份验证，可能用微软时是Office 365，或者用一些电子邮件去做身份验证的protocol来防止钓鱼攻击，DMARC、SPF等，全部这些东西都是透过DNS系统来做的。这个黑客就是因为黑进了域名注册商，同时修改了我们叫Name Server Record。Name Server Record被修改了之后，所有DNS都被转移到一个恶意的伺服器。就这样，他们就成功地把很多人的那些钱包，那些cryptocurrency的钱包的钱都被偷掉。同样的情况都会出现在你们重要的域名底下。所以这就是为什么我需要把这么多的精力放到域名注册商系统的硬件跟软件的安全性上。

下几张图我就希望让大家去看一下，我们在软体底下做了什么东西。第一张图你们可以看到，我们在中国国内做域名服务的时候，在域名注册的时候，最头疼的事情就是我们怎么做实名验证。实名验证其实很简单，如果你注册了一两个域名，其实也没什么东西。你们是有很多家子公司的，有一些子公司有时会售卖会购买另外一些公司回来，或者是有些东西已经过了很多年了，已经老旧了，需要修改了。其实在整个的域名注册底下，你还要看到trademark的拥有人的资讯，也要考虑到实名验证的资讯等等。这些东西，如果你保有域名的数量达到一定程度时，其实就会发现这是一个非常头疼的东西，因为它们不一定配合。我们在后台做业务的时候，其实这也是我们会很烦恼的东西，因为我们帮很多的企业做同样的东西，就把错误的复杂性，管理的复杂性跟人为错误的可能性大大地提高。

第一，我们跟腾讯那边研发的时候，我们怎么真的做到批量的实名验证的管理。程序我不会跟大家去分享，因为这个出于安全的考量。但是可以让大家知道的就是这个是我们非常看重的点，我们怎么样能够在支持你们去做大批量域名管理服务的时候，我们真的从流程上都能够支持这样大型的实名验证。这个是第一，我们做出很大量的修改。第二，纵然我们的硬体是很安全，我们的软体跟软体不同的设定，从安全上面，我们需要做得更好。这个就是我们在域名锁定的选项跟弹性。我们都跟腾讯那边去研究了很多次，怎么样能够更配合一些企业级的需求呢？如果这个平台是为了一些retail客户来服务的时候，其实你可以看到选项不会需要这么多，不需要分得这么细。但是我们做企业水平服务时，我们就需要把它分得细。分得细以外，另外就是我们的操作记录必须要保留。特别是在我们支持一些跨国企业时，你可以看到在欧盟，在10月时又有一个更严的资讯安全的法律会推出，叫做NIS2。NIS2里面是有很具体的要求，是关于域名的管理，它也把域名的注册商、DNS提供商等等列为它最看重的一种它叫essential entity，就是最高级的，需要非常合规的，因为欧盟政府也理解这个域名体系在整体资讯安全中有多重要。所以我们在跟腾讯的合作底下也要求他们让我们的数据的保全、所有的记录导出等等都是更仔细的、更可靠的，一定要有弹性地让我们导出数据。真的发生问题的时候，我们有很充足的数据看一下发生了什么事情。当然我们不希望有事情发生，但我们怎么在有事情发生的时候立即能够帮助大家找到问题的所在。这些也是很重要的事情。

大家能够看到，我们在布局整体合规的时候是硬体跟腾讯的合作，软体跟腾讯修改一个全新的平台出来，还有流程上我们怎么去考量，这样当我们帮你们做服务的时候，我们作为一个企业级注册商所应该带出的一种服务水平。基本上就是这三点。最后，我想要带出最后一点。在中国，其实有一个合规的要求是非常大的一个灰色地带，就是你能不能使用中国合规的注册商来管理全球域名。我个人跟官方的一些人沟通过很多次，答案是不行的。就是我们作为一个中国的注册商，其实我们不应该提供.uk、.hk等不符合中国官方要求的域名的管理服务的。这个是在新的域名管理办法里有一条写到。所以我们也额外在这个架构底下会考虑到合规的要求。这一部分如果真的大家需要，我们能够提供一个本土的invoice，跟你们本地签约。同一时间我们也在推出这个服务的时候会跟一些策略合作伙伴一起去解决本土合约跟invoice的一些问题。所以希望让大家知道，我们在推出的时候用了一些时间，把方方面面的一些考量都加进去了。希望大家能够理解我们在域名服务上面，在中国的支持跟布局。现在我就把时间交给Anita。

Selina： 好的，谢谢Alban。现在我们有时间进入今天的问答环节。大家可以在下面的问答小工具中提交您的问题。在等待大家提问的同时，我们来做一个小小的民意调查。大家现在就可以在屏幕上看到。您目前是如何管理全球和中国域名组合的？请选择其中一个回答。A，我们使用多个供应商管理全球和中文域名。B，我们分散管理，由不同的办事处管理不同的域名组合。C，我们目前的域名注册商能够支持我们的全球和中文域名组合。D，我们使用CSC管理整个域名组合。E，我不知道。请大家做一个选择。

好，我们收到了观众的几个问题。让我们从这个问题开始。问题1，我如何知道我目前的注册商或注册机构是否通过了工信部的认证？如果我的域名组合不符合要求，会有什么后果？有请Alban来帮助解答这个问题。

Alban： 谢谢。这个问题我觉得可能有一个比较简单的回答方法跟一个比较复杂的回答方法。最简单的回答方法就是，你要知道你现在的注册商是不是合规，你可以去到工信部的一个网站可以查询得到，网址就是domain.miit.gov.cn。你去这个网站时，里面有一个选项，可以查询以下域名服务机构的审批情况。你点击后就可以看到一个列表，哪些企业是受审批的，审批所支持的域名是哪些等等全部都会在列表里面发布出来。这个我为什么讲是一个比较简单的呢？就是因为我刚刚讲到的那个例子。其实我们如果作为一个受审批的注册服务机构，我们不应该能够去帮助你们管理任何未受审批的域名的。我看到国内的一些企业在管理域名的时候可能一个比较深的灰色地带。有些时候我们找到一个可能是国内的注册商，它就去注册了一个海外注册商的资质，可能在香港，然后就透过香港那家帮忙去做一些海外域名的注册。问题是跟你签约的一方是谁。如果是国内的那家公司，我跟工信部的一些朋友沟通过，跟上海管局的沟通，理论上那个是不合规的，因为签约的主体方不应该由合作方去做不合规的域名的管理。有一些时候他们也会找到一些海外的合作伙伴帮你去进行注册。

其实这些总之你是透过一个中国公司来操作，理论上都是不合规，因为法律的要求就是我们作为一个合规的注册商、服务机构，不能够提供任何不合规的域名管理服务。所以这个要求希望让大家清楚。所以不是这么简单从注册商的列表里面看到它是合规就合规。真的在操作上面还是要留意它是用什么流程来帮你去管理这些域名的。在好像一年多前，政府就有说到，其实.org是不合规的。所以很多注册商都要立即把.org下架，转移到其他的地方。无论它在平台上有没有说做.org也好，他们基本上都要清掉。会不会有其他的域名后缀慢慢被映像或找到原来合规的注册商有提供这些业务的呢？这个肯定是一个可能性，也是有可能会影响到你们的管理的。可能忽然间你们就要把一些域名转到另外的注册商等等。所以特别提出一下这个事情。这个合规要求肯定在我们的布局里面已经考虑到了，所以我们觉得如果有需要的话，我们能提供本地的特约支持，透过一些合作伙伴，但是也是完全能够符合中国相关的规定的。

Selina： 好的，谢谢Alban。这里下一个问题也需要问您。我们应该如何管理全球域名组合才既符合中国的规定，又不与其他国家和地区可能有不同数据隐私要求的规定相冲突？有请Alban帮助回答。

Alban： 这个跟刚才的那个问题有关联性，但是也有一些分别的。因为这个是涉及到数据安全的问题，现在大家有一个问题就是资讯储存在哪里。为什么说这跟刚刚的问题有关呢？假设我们的contract party签约方是一个中国的公司，但是我们要注册一个海外不合规的域名，比如说欧盟的域名。欧盟肯定有实名验证要求等等。拿到实名验证资料，它应该是储存在哪里呢？这个就是我们需要考量的问题。你们没有可能不提供，因为这个是欧盟那边的合规要求。但是如果我们的签约方在中国，那就会产生其他的一些法规上的问题，因为我们签约的系统的布局其实都是在中国。所以我们在做这个布局的时候就必须要很强硬地把中国国内的资讯跟海外的资讯分开。如果你是欧盟那边域名的注册，完全不会涉及到中国那边的东西，完全是透过海外的那套系统去做，任何涉及到中国的我们就不会透过海外的体系进行。这个就是我们现在的一个做法，就是尽量把系统分开，不然在这么混乱的欧盟法规的要求下，其实很多时候会产生一些灰色地带。真的出问题的时候我们就难以解决了，难以解析，至少现在我们的做法是很清楚地把它分开的时候，就算它说我们为什么出现这个问题，我们也能有多一点的证据去支持我们尽量去把这些数据分开，不会把它们融合在一起。这个也是我们在做全球域名管理里面一个非常重要的议题，怎么在很多不同国家的数据本地化的要求下做到更好的合规。这个就是我们的回应。

Selina： 好的，谢谢Alban。