还剩13页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
ICS
35.040GBL80中华人民共和GB/T I家标准xxxxx——xxxx信息安全技术公共域名服务系统安全要求Information securitytechnology-Security requirementof publicDNS servicesystem(征求意见稿)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上.发布XXXX-XX-XX中华人民共和国家质量监督检验检疫总局发布中国国家标准化管理委员会实施XXXX-XX-XX与公共域名服务系统有关的所有信息和资产都应指定部门和人员承担责任,资产责任人应确保)与公共域名服务系统相关的信息和资产进行了适当的分类;a)确定并周期性审查访问限制和分类b资产的合规使用
1.
1.3与公共域名服务系统相关的信息和资产使用规则应当确认并形成文件加以实施脆弱性和威胁分析
1.
1.4脆弱和威胁的具体分析方法如下)从技术脆弱性和管理脆弱性两个方面,对公共域名服务系统进行脆弱性的分析;a)从技术威胁、环境威胁、人为威胁三个方面,对公共域名服务系统进行威胁分析b人员管理要求
6.2在公共域名服务系统的管理人员和第三方人员的整个任职周期内,包括聘任前、聘任中、离职三个阶段,采取相应的控制措施,降低公共域名服务系统所面临的人为威胁,具体应做到如下方面)确保公共域名服务系统管理人员和第三方人员理解其职责,确保其具备相应的技术能力,a以降低公共域名服务系统被破坏或者不当使用的风险;)应对公共域名服务系统管理人员和第三方人员提供适当程度的安全意识和安全技术培训b以及公共域名服务系统相关信息和资产的正确使用方法,并建立一个正式的处理安全违规的纪律处理过程)应有流程或规定规范公共域名服务系统管理人员和第三方人员退出公共域名服务系统的c管理,并确保相关人员归还所有设备及删除他们的对公共域名服务系统的所有访问权限运行管理要求
6.3公共域名服务系统应遵守以及中相关的运行管理要求YD/T2138-2010YD/T2137-2010此外,公共域名服务系统中所有涉及到的服务应对国家主管部门提供数据采集接口,并应按照国家主管部门《互联网网络安全信息通报实施办法》规定对相应网络安全事件进行通报工作物理和环境管理要求
6.4设置安全的区域
6.
4.1设置安全区域的方法如下)应设置安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护公共域名a服务系统信息和资产所在的区域;)应设置恰当的进出控制措施,确保只有授权任用才能进出,同时进出的信息要予以记录b和审计;)应有适当的措施来避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人c为灾难对域名服务系统所在区域的破坏;)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持域名服务系d统支持性设施应定期检查并适当的测试以确保它们的功能,减少由于它们的故障或失效带来的风险设备管理要求
6.5设备安置和保护
6.
5.1设备安置和保护的方法如下)公共域名服务系统的设备应进行适当安置,以防止对相关设备的未授权物理访问;a)应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或b供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;)对于可能对公共域名服务系统运行状态产生负面影响的环境条件(例如温度和湿度)要c予以监视;)建筑物应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;d布线和设备维护
7.
5.2)应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏;a)使用文件化配线列表减少失误的可能性;b)要按照供应商推荐的服务时间间隔和规范由已授权人员对设备进行维护,同时保存所有c可疑的或实际的故障以及所有预防和纠正维护的记录;)应绘制与当前运行情况相符的系统拓扑结构图d设备的安全检测和监控
8.
5.3)公共域名服务系统的硬件设备应进行安全检测,确保其满足相应的行业标准、技术规范a等,并保留检测证据;)操作系统的安装应遵循最小化原则,及时进行升级和打补丁;b)域名解析软件的安全性应定期跟踪并及时升级和更新,防止漏洞带来的威胁,;c)对业务、应用软件、服务器、网络设备等子系统进行不间断探测监控,监测的频d7*24h率应不低于一次,监控日志的保存时间应至少为三个月lOmin)对域名资源记录和解析结果进行正确性抽检,抽检频率建议至少每小时次e1通信和操作管理要求
6.6操作程序和职责
6.
6.1)与公共域名服务系统相关的操作应有成文的操作程序,例如计算机启动和关机程序、备a份、设备维护、介质处理、计算机机房、软件的配置维护和物理安全等;DNS)与公共域名服务系统相关的各类责任及职责范围应加以分割,以降低未授权或无意识的b修改或者不当使用域名服务系统资产的机会防范代码
6.
6.2防范恶意代码要基于恶意代码监测、修复软件、安全意识、适当的系统访问和变更管理控制措施,可以考虑以下内容)建立禁止使用未授权软件和正确使用授权软件的策略;a)安装和定期更新恶意代码检测和修复软件来扫描域名服务系统,并根据扫描结果升级域b名服务系统)制定适当的从恶意代码攻击中恢复的业务连续性计划c设备和线路备份
6.
6.3)系统应为分布式广域部署,节点间服务互备;a)关键设备的重要部件应采用冗余的方式提供保护;b)系统关键设备、重要线路应采用冗余的保护方式,提供灾难备份和恢复的能力;c数据备份
6.
6.4)应根据风险评估的结果,确定需要备份的数据和文件,一般情况下需考虑系统配置文件、a解析日志、区文件等,备份时间至少为个月;3)应建立备份拷贝的准确完整的记录和文件化的恢复程序;b)宜定期测试备份介质,以确保当需要应急使用时可以依靠这些备份介质;c)恢复程序应定期检查和测试,以确保他们有效,并能在操作程序恢复所分配的时间内完d成;网络安全管理
6.
6.5应建立远程设备管理的职责和程序;a主域名服务系统、辅域名服务系统以及备份服务系统的部署应处于不同自治域,避免b单一网络失效引起的解析中断宜建立专门的控制,以保护在公网上传递数据的保密性和完整性,并且保护已连接的c系统及应用;如有必要,应按照相关标准要求,阻断或重定向用户对恶意域名的访问;d应使用适当的日志记录和监视措施;e审计和分析
6.
6.6应产生记录用户活动、异常和信息安全事态的审计日志,并要保存至少个月以支持3a将来的调查和访问控制监视;应采取措施保证主域名服务系统、辅域名服务系统、备份域名服务系统内设备之间的b时间同步,实现日志时间的精确同步;审计的内容至少包括授权访问、特殊权限操作、未授权的访问尝试、系统警报或故c障;记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问d访问控制管理要求
6.7公共域名服务系统对外公开服务的访问控制
6.
7.1公共域名服务系统对外开放服务建议只开放和端口;a UDPTCP53访问控制策略和用户访问管理
6.
7.2应在访问控制策略中清晰地规定每个用户或每组用户的访问控制规则和权利;ab应限制和控制特殊权限的分配及使用,防范未授权访问的多用户系统应通过正式的授权过程使特殊权限的分配受到控制;应定期检查权限的分配,确保用户访问权限的正确分配c网络访问控制
6.
7.3应能为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;ab应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;应在网络中实施路由控制,以确保计算机连接和信息流不违反业务应用的访问控c制策略操作系统访问控制
6.
7.4a登录到操作系统的程序应设计成使未授权访问的机会减到最小;b所有公共域名服务系统的管理员和第三方人员(包括技术支持人员、操作员、网络管理员、系统程序员和数据库管理员等)应有唯一的、专供其个人使用的标识符(用户)应选择一种适当的鉴别技术(口令、令牌或智能卡)证实用户所宣称的身份,静ID,态口令应满足一定的复杂性要求并且定期更换;c在一个设定的休止期后,超时登录应清空会话屏幕,也可以设置关闭应用和网络会话信息和敏感系统访问控制
6.
7.5应对设备重要信息资源设置敏感标记;a依据安全策略严格控制用户对有敏感标记重要信息资源的操作;b应实现操作系统和数据库系统特权用户的权限分离c连续性管理要求
6.8连续性管理的制定
6.
8.1)目标是防止公共域名服务系统的服务失效,保护公共域名服务系统免受重大失误或者灾难的影响,a并且在遇到灾难的情况下及时恢复解析服务;)应为公共域名服务系统制定一个解析服务连续性管理的过程,识别可能引起解析服务中断的事态b以及这种事态发生的概率;)应为公共域名服务系统制定一个解析服务连续性计划,来保持域名解析服务的可用性,在解析服务c中断的情况下能够在要求的时间内恢复系统的服务制定连续性计划考虑的方面
6.
8.2)冗余方面设备处理能力、关键设备及其重要部件、网络接入、系统的广域分布;a)数据及业务备份方面关键数据和重要信息的备份和备份频率、业务状态的保护和恢复、业务系b统的完整备份;)应急处置预案方面应制定应急处置预案,并定期对应急预案进行及时修订、修订期不低于年;c1每年应进行不低于次的应急预案演练1目次目次10前言11范围11规范性引用文件21术语、定义和缩略语31术语和定义
3.11缩略语
3.22概述43域名系统架构和基本要求
4.13公共域名服务系统安全要求
4.24公共域名服务系统安全技术要求
5.4权威域名服务系统技术要求
5.14递归域名服务系统技术要求
5.24授权安全要求
5.35数据备份要求
55.4DNS公共域名服务系统安全管理要求
6.5资产管理要求
56.1人员管理要求
6.26运行管理要求
6.36物理和环境管理要求
6.46设备管理要求
6.56通信和操作管理要求
6.67访问控制管理要求
6.78连续性管理要求
6.88本标准按照厂给出的规则起草GB/T L2009本标准由全国信息安全标准化技术委员会提出并归口;SAC/TC260本标准起草单位中国互联网络信息中心国家计算机网络应急技术处理协调中心本标准主要起草人目次目次10前言11范围11规范性引用文件21术语、定义和缩略语31术语和定义
3.11缩略语
3.22概述43域名系统架构和基本要求
4.13公共域名服务系统安全要求
4.24公共域名服务系统安全技术要求
45.
5.1权威域名服务系统技术要求
45.2递归域名服务系统技术要求
45.3授权安全要求
55.4数据备份要求DNS5公共域名服务系统安全管理要求
6.5资产管理要求
6.15人员管理要求
6.26运行管理要求
6.36物理和环境管理要求
6.46设备管理要求
6.56通信和操作管理要求
6.67访问控制管理要求
6.78连续性管理要求
6.88本标准按照给出的规则起草GB/T L1-2009本标准由全国信息安全标准化技术委员会提出并归口;SAC/TC260本标准起草单位中国互联网络信息中心国家计算机网络应急技术处理协调中心本标准主要起草人信息安全技术公共域名服务系统安全要求本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求本标准适用于顶级域名服务系统,其他各级域名服务系统、递归域名服务系统的开发和管理规范性引用文件2下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适YD/T2091-2010公共域名解析系统安全要求YD/T2136-2010域名系统授权体系技术要求YD/T2137-2010域名系统递归服务器运行技术要求YD/T2138-2010域名系统权威服务器运行技术要求YD/T2142-2010基于国际多语种域名体系的中文域名总体技术要求用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件基于国际多语种域名体系的中文域名的编码处理技术要求YD/T2143-2010YD/T2438-2012基于国际多语种域名体系的中文域名注册字表要求术语、定义和缩略语3术语和定义
3.1下列术语和定义适用于本文件域名Doma in Name域名系统名字空间中,从当前节点到根节点的路径上所有节点标记的点分顺序连接的字符串,如图中对应的域名1“WWW.bj.cn.”域Doma in指域名系统名字空间中的一个子集,也就是树形结构名字空间中的一棵子树这个子树根节点的域名就是该域的名字,如图中灰色圆圈所示的域1“net.cn”顶级域Top Level Domain指域名系统名字空间中根节点下最顶层的域顶级域分为国家及地区代码顶级域(Country)、通用类别顶级域()和行业Code Top Level Domain,ccTLD GenericTop Level Domain,gTLD类别顶级域()等三种不同类型如图中为中国顶级域,sponsored TopLevel Domain,sTLD1“cn”、俨均为通用类别顶级域“com”“ne资源记录Resource Record指在域名系统中用于存储与域名相关的属性信息,简称每个域名对应的记录可能为空RR或者多条域名的资源记录由名字()、类型()、种类()>生存时间NAME TYPECLASS()、记录数据长度()、记录数据()等字段组成TTL RDLENGTHRDATA域名系统Domain Name System一种将域名映射为某些预定义类型资源记录的分布式互联网服务系统,网Resource Record络中域名服务系统间通过相互协作,实现将域名最终解析到相应的资源记录域名服务系统Domain Name Service System指提供域名解析服务的系统,由权威域名服务系统、递归域名服务系统组成权威域名服务系统Authoritative DomainName ServiceSystem指对于某个或者多个区具有可信数据功能的服务系统,权威域名服务系统保存着其所拥有区的原始域名资源记录信息递归域名服务系统Recursive DomainName ServiceSystem指负责接收用户解析器的解析请求,并通过查询本地缓存或者执行从根域名服务系统到被查询域名所属权威服务系统的递归查询过程,获得解析结果并返回给用户的域名服务系统区文件Zone File某个区内的域名和资源记录及相关的权威起始信息按照一定的格式Start ofAuthority,SOA进行组合,从而构成存储这些信息的文件其中,权威起始信息包含了区的管理员电子邮件地址、序列号、更新周期、重试周期和过期时间等信Mail AddressSerial RefreshRetry Expire息主域名服务系统Master DomainName ServiceSystem指被配置成区数据发布源的权威域名服务系统辅域名服务系统Slave DomainNameServiceSystem指通过区传送协议来获取区数据的权威域名服务系统区传送Zone Transfer指将区的资源记录内容从主服务系统向辅服务系统传送的过程,用于实现主、辅服务系统间的数据同步解析器Resolver指向名字服务系统发送域名解析请求,并且从名字服务系统返回的响应消息中提取所需信息的程序解析器软件通常集成到操作系统内核或者应用软件中缩略语
3.2下列缩略语适用于本标准ccTLD CountryCode TopLevelDomain国家码类别顶级域DNS DomainNameSystem域名系统gTLD GenericTopLevelDomain通用类别顶级域IP InternetProtocol网际协议密钥签名密钥KSK KeySigning KeySOAStart ofAuthority起始授权传输控制协议TCP TransmissionControl ProtocolTTLTime toLive生存时间TLD TopLevelDomain顶级域UDP UserDatagram Protocol用户数据报协议ZSK ZoneSigning Key区签名密钥请求注解RFC RequestFor Comments概述4域名系统架构和基本要求
4.1域名解析服务是一种互联网应用层资源的寻址服务,是其他互联网络应用服务的基础常见的互联网络应用服务有服务,电子邮件服务,服务等,它们都是以域名服务为基础,web ftp来实现系统内部资源的寻址和定位的域名服务系统是以树型拓扑结构来定义的,由不同类别的域名服务系统服务机构负责不同级域名的解析服务其对应关系如下图所示1权威域名递归域名解析系统解析系统图全球域名服务体系结构图1树的顶层是根域的服务器(),目前一共有个根服务器遍布全球逻辑上每一个根Root13服务器对外都为不同的地址,物理上每一个地址标识的根服务器则是通过任播()IP IPAnycast技术,由若干台物理服务器构成接下来一层为顶级域()层,由国家及地区代码顶级域TLD()、通用类别顶级域()两类组成域名树型拓扑结构中顶级域下层的二级域、ccTLD gTLD三级域,以及再下一层子域域名的解析服务,如、、等,通常是由获.com.cn”.org.cn”“.bj.ciT得授权的权威名字服务器来完成整个域名服务系统从职能上看,包括两大类系统,即权威域名服务系统()Authoritative DNS和递归域名解析服务()权威域名系统服务是指拥有某个区的域名信息,并为Recursive DNS该区提供域名解析的服务权威域名系统通常面向的不是终端用户图中,和的域名1cn bj.cn服务系统就属于权威域名系统递归域名系统则相反,它不针对某个区提供域名解析服务,而是直接面向终端用户,为终端用户提供递归的域名服务系统关于中文域名的注册、管理、存储,应按照、和DNS YD/T2438-2012YD/T2142-2010YD/T标准中的相关规定2143-201针对上述域名服务系统的组成结构,本标准涵盖权威域名服务系统、权威域名服务器、递归域名服务系统以及递归域名服务器等方面的安全要求公共域名服务系统安全要求
4.2公共域名服务系统是为公众提供域名服务的系统,因此其安全性非常重要,涉及到互联网的稳定安全运行公共域名服务系统安全要求包括技术要求和管理要求,具体包括以下内容)公共域名服务系统的技术要求,包括但不限于a)权威域名服务系统技术要求1)递归域名服务系统的技术要求2)授权安全要求3)数据备份要求4DNS)公共域名服务系统的管理要求,包括b)资产管理要求1)人员管理要求2)运行管理要求3)物理和环境安全要求4)设备安全要求5)通信和操作安全要求6)访问控制要求7)连续性管理要求8公共域名服务系统安全技术要求
5.权威域名服务系统技术要求
5.1功能和协议要求
5.
1.1作为权威域名系统的权威服务器,应具备权威服务器的基本功能,即能够正常处理来自互联网络的任何客户端的域名查询请求,和该区的可信任辅服务器之间实现安全的区数据传送,支持安全协议其实现必须按照DNS YD/T2138-2010拓扑规划要求
5.
1.2针对某个权威域,提供权威域解析的服务器数量应保证多台备份,提供权威域解析的服务器应部署在多个不同的自治域网络中,并且建议在地理上进行合理分配分布,达到抗自然灾害等灾备目的具体部署数量和分配要求规范参见YD/T2138-2010o性能要求
5.
1.3权威域名服务系统应保证业务处理能力,预留应对突发流量的处理能力,满足YD/T中规定的解析性能要求以及域名数据同步要求2138-2010权威域名服务器安全要求
5.
1.4权威服务器的安全决定了权威服务的可靠性和稳定性,是整个域名服务系统安全的核心问题权威域名服务系统需要保证服务的的数据安全、解析安全以及传输安全,具体要求参DNS见YD/T2138-2010递归域名服务系统技术要求
5.2递归服务器是最终面对互联网用户的域名服务器,对于保障各种互联网应用的正常运行具有重要意义止匕外,针对递归服务器的各类攻击(缓存中毒、域名劫持、放大攻击等)DNS日益威胁互联网系统的安全因此,有必要对互联网中递归服务器的构建进行规范化协
5.
2.1议要求作为递归域名系统的递归服务器,应具备递归服务器的基本功能,即能够安全的实现查询,缓存等功能其实现必须符合相关标准,符合必备的接口和安全协议,完整的安全IETF RFC要求和要求支持的列表具体要求参见RFC YD/T2137-2010拓扑规划要求
5.
2.2针对某个自治域内,提供递归域解析的服务器数量应保证多台备份同一自治域内的不同递归服务器在部署上应该进行分布,同一用户访问两台服务器的路径上不存在单一故障点具体部署数量和要求参见性能要求YD/T2137-2010o
5.
2.3递归域名服务系统应保证业务处理能力,预留应对突发流量的处理能力,满足YD/T中规定的解析性能要求以及域名数据同步要求2137-2010递归域名服务器安全要求
5.
2.4递归服务器的安全决定了其服务域内域名服务的可靠性和稳定性,是局部范围内域名服务系统安全的核心问题递归服务器应该保证安全远程管理和安全缓存清空等数据安全;保证解析软件和同步等解析安全,具体要求参见YD/T2137-2010中文域名支持要求
5.
2.5递归服务器应配置对中文域名()的支持,比如.中国,.中博),.网络,.公司,..CDN/IDN公益,.政务递归服务器的配置应确保通过其进行查询的用户能够正确解析相应的域名授权安全要求
1.3公共域名服务系统应符合YD/T2136-2010o数据备份要求
1.4DNS日志存放形式
5.
4.1域名解析日志应完全保存,并以冷备份的方式按日期存放冷备份的方式应有两种以上,包括硬盘、磁带、光盘等方式热备份是将日志存放在服务器的存储设备上日志存放时间
6.
4.2冷备份应保留自域名服务起始的全部日志热备份的保留时间,应以满足域名管理者的日志分析需求为标准日志分析
7.
4.3应建立解析服务日志的分析制度,以便于及时发现服务中的异常情况,并对非法访问采取必要的防范措施公共域名服务系统安全管理要求
8.资产管理要求
8.1资产清单
8.
1.1应清晰的识别公共域名服务系统所涉及的资产,编制并维护公共域名服务系统的核心资产清单清单中应包括所有为从灾难中恢复而需要的资产,与公共域名服务系统相关的资产可能包括信息资产、软件资产、物理资产、服务、人员、无形资产等资产责任人
8.
1.2。