《GB_T 33134-2023 信息安全技术 公共域名服务系统安全要求.docx》由会员分享,可在线阅读,更多相关《GB_T 33134-2023 信息安全技术 公共域名服务系统安全要求.docx(12页珍藏版)》请在课桌文档上搜索。
1、ICS35.030(S1.0G日中华人民共和家标准GB/T331342023代GBT531342016信息安全技术公共域名服务系统安全要求Informationsecuritytechno1.ogy一Securityrequirementofpub1.icdomainnameservicesystem2023-03-17发布国家市场监督管理总局国家标准化管理委员会本文件按照GB1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则?的规定起草。本文件代替GBT331M2016信息安全技术公共域名服务系统安全要求3,与GBT331342016料比,除结构调整和编辑性改动外,主要技术变
2、化如下:a)增加J术语名字空间”和“公共域名服务系统”(见X1、a11);b)删除了图1的说明内容(见第5章,2016年版的4.D:C)增加了美丁重要DNS基础设施部署及政府重要网站公共域名服务系统安全要求(见第5章,2016年版的4.2);d)更改了协议要求(见6.1.1、6.2.1,2016年版的5.1.1,5.2.1):e)均加权成服务洪的系统安全要求和解析安全要求(见61.3);0增加了递归服务器与客户端连接安全要求(见6.2.31;g)增加了递归服务器的系统安全要求和解析安全要求(见6.2.1):h)更改了对外服务的访问控制的规定(见77.1,2016年版的6.7.1);i)增加重要
3、DNS暴础设施部署安全要求(见附录A中A.1);j)增加了政府通要网站公共域名服务系统安全要求(见附录A中A.2),请注意本文件的某些内容可能涉及利。本文件的发布机构不承担识别学利的责任。本文件由全国信息安全标准化技术委员会(SAeTC260)提出并归口.本文件起草单位:中国互联网络信息中心、国家计算机网络应急技术处理协刑中心、清华大学、华为技术有照公司、阿里云计算有限公司、广东盈世计算机科技有限公司、中国联合网络通信有限公司、国防科技大学、中国科学院计算机网络信息中心、北京密安网络技术股份有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司.本文件主要起草人:李洪涛.姚健康、周琳
4、册、曾宇、戒科军、空志伟、张曼、舒敬、段海新、陈悦、宽同阳、宋林健、吴秀诚、孔令G蔡志平、吴双力、韩永E、!;俄、不快.本文件及其所代替文件的历次版本发布情况为:-2016年首次发布为GBT331342016:本次为第一次修订。信息安全技术公共域名服务系统安全要求1范BI本文件规定了公共域名服务系统的安全技术要求和安全管理要求.本文件适用于各级公共域名服务系统的运营和管理.2规范性引用文件列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仪该日期对应的版本适用r本文件;不注口期的引用文件,其城新版木(包括所有的修改科适用于本文件。YDT2052-2015域名
5、系统安全防护要求YD.T2137域名系统递归服务滞运行技术要求YD/T2138域名系统权威服务器运行技术要求YDT2142基于国际多语种域名体系的中文域名做体技术要求YDrr2143基于国际多语种域名体系的中文域名的编码处理技术要求YD-T2438基于国际多语种域名体系的中文域名注册字表要求IETFRFC1034域名概念和基础设施(DOmainnames-conceptsandfaci1.ities)IETFRFC1035域名实现与详述(DOmainnamesimp1.ementationandSPeCiGCaI沁n)IETFRFC4033DNSSEe介绍与需求(DNSsecurityintr
6、oductionandrequirements)IHTERFC4034资源记录支持DNSSEC(ReSOUrCerecordsfortheDNSsecurityextenskns)IETFRFC4035支持DNSSEC的协议修改(Pro1.OCO1.II1.Odiffca1.ionSforIheDNSsecurityextensions)IETFRFC7858携TT1.S的DNS规他(SPeCifka1.iOnforDNSovertransport1.ayersecurity(T1.S)IETFRFC8310基于T1.S的DNS和唯于DT1.S的DNS的使用情况(USageprofi1.esf
7、orDNSoverT1.SandDNSoverDT1.S)IETFRFC84S4基于HTTPS的DNS查询DNSqueriesoverHTTPS(DoH)3 *W11下列术语和定义适用于本文件。3.1名字空间namcspax以树形结构分层表示的名字命名层次结构.&名字空间处个树状结构,每个节点对应于相应的资源集合购个资源蛆合可能为空),DNS不区别树内节点和叶子节点,统称为节点。每个节点有一个标记,这个标i己的长皮不超过63字节,父节点不问的节点可使JR相同的标。只彳眼节点的标i已长度为0饺标D3.2MjSdomainname域名系统名字空间中,从当前节点到根节点的路径上所有15点标记的点分顺
8、序连接的字符*,3.3domain域名系统名字空间中的一个子集(即树形结构名字空间中的棵f树).注:这:树根节点的城名就是该城的名字.3.4J(ftMt,p1.eve1.domain域名系统名字空间中根节点下最顶层的域.3.5责毒记录resourcerecord域名系统中存储的与域名相关的属性信息.注:毋个域名对应的记录可能为空或者多条,域名的资源记录由名字、类型、种类、生存时间、记录数据长度、记录喇的幽城.3.6区文件zonefi1.e某个区内的域名和资源记录及相关的权威起始信息按照一定的格式进行组合,从而构成存储这也伯恩的文件.注:板成起始信息包含r区的管理员电子邮件地址.序列号、更新周期
9、、重试周版和过期H间等信息.3,7名M(IftdomainnameSyStem种将域名映射为某些预定义类型资源记录的分布式互联网服务系统。注:网络中域名服务系统间通过相丸协作,实J贿域名最终斛析到相应的资源i(!录,3.8K务系统domainnameserviceS)S1.Cm提供域名解析眼务的系统。注:由杈或域名服务系统、递域名服务系级U必3.9权威域名AR务系统authoritativedomainnameserviceSyStem对于某个或首多个区具有可信数据功能的域名服务系统,注:削减农朋务系统保存制场制Kj区的原始域名资源加信息.3.10现日城名魔务JMtrecursivedomai
10、nnameservicesystem负击接收用户(解析器)的蟀析请求,并通过查询本地缓存或拧执行从根域名眼芬系统到被查卸域名所属权城域名服务系统的递归杳询过程,获得解析结果并返回给用户的域名限务系统。3.11公共域名服务系毓pub1.icdomainnameservicesystem面向互联网用户提供公开极务且出级达到十万级以上的域名服务系统.3.12f1.Wreso1.ver向名字眼务系统发送域名解析请求,并从名字取务系统返回的响应消息中提取所需信息的程序.&斤器软件端捌好蝴K系统内核或者网瞅件中.3.13权威域名朦务BIauthoritativenameserver对于某个或拧多个区具有权
11、威的服务潜,保存其原始域名资源记录信息.注:简称“权威服务器”3.14递归册名屡务recursivenameserver负责接收用户端发送的请求,然后通过向各级权或服务器发出资询谛求获得用户需要的查询结果,鼠后返回给用户端的解析器。注:确:-WHIMS*.3.15主域名JR务系统masterdomainnameservicesystem被配置成区数据发布海的权或域幺服务系统C3.16tt域名服务系线s1.avedomainnameserviceSyStem通过区传送协议来获取区数据的权威域名服务系统.4 Btff下列缩略谱适用于本文件.AS:自治系统(AiitonomosSystem)BGP:
12、边界网关步议(BorderGatewayPro1.oco1.)DNS:域名系统(DOmainNameSystem)DNSSECDNS安全扩展(DOmainNameSystemSecurityExtensions)DoH:战THTTPS的DNS(DNSoverHTTPS)DOT:肥于T1.S的DNS(DNSoverT1.S)FTP:文件传输协议(Fi1.CTransferProtoco1.)HTTP:超文本传输协议(HyPCrTextTransferProtoco1.)HTTpS:超文本传输安全协议(HyParTextTransferProtoco1.overSccurcSocket1.-ayc
13、r)IANA:互联网数字分配机构(hucmc1.AssignedNumbersAuthority)ICANN:互联网名称与数字地址分配机构(The1.11(emetCofponi1.ionforAssignedNamesandNumbers)IP:网际例议Hn1.Crne1.Pro1.oco1.)NS:名字服务器(NiHnCServer)NTP:网络时间协议(Ne1.WOrkTimeP(oco1.)R1.ogin:远程登录(ReInONS记录应符合IETFRFC1035的规定,其所指向的服务器为合法的主机名。C)权或服务器的IP地址应使用合法的互联网地址,并确保以任何互联网地址可访问服务涔的U
14、DP和TCP的53端口.如果支持DOH和DOT服务,还应支持访问DOH协议443端口和DCT协议853端口.d)同一DNSIX的所有权威服务器在响应对NS记录的诂求时,应返回相同的结果。0同一DNS区的权或服务器的数盘应至少为2台,以确保解析服务的可靠性.0权威服务涔的域大数量应保证在响应对所服务区的NS记录的杳询时:包含、S记录和粘连记录(A记录和AAAA记录)的响应包的大小限制在512字节以内,即在不使用AAAA记录时,权成服务器数量的上限不应超过13.在每个服务器都使用AAAA记录时,权成服务器的数量上限不应超过8.6.4 I)NSaM0Ha4.1日志存放形式域名解析日志应栗用冷名份或热
15、备份的方式.注:冷备份足怫日志按日期存放侬少两种以上介质上,包括便盘、三,光盘等.热备份是指将日志存放在正在运行的服务器存储设备上.&42日F1.志存放要求如下:a)冷备份险保留自域名服务起始的全部日志:b)热备份的保留时间应满足域名管理者的日志分析需求。&43日志硼应建立解析服务日志的分析制度,以便及时发现服务中的异常情况,并对非法访问采取必要的安全防范措施.7公共名JMg安9展求7.1 资产管理要求7.1.1 资产清单应清晰地识别公共域名服务所涉及的资产,编制并维护公共域名服务系统的核心资产清单.清单中应包括所有为从灾难中恢复而需要的资产,与公共域名服务系统相关的资产可能包括:信息资产、软
16、件资产、物理资产、服务、人员、无形资产等.7.1.2Wte三三与公共域名服务系统有关的所有信息和资产均应指定部门和人员承担责任,资产费任人应:a)确保与公共域名服务系统相关的信息和资产遂行了恰当合理的分类:b)确定并周期性审查访问限制和分类。7. 1.3奥产的合规使用与公共域名服务系统相关的信息和资产使用规则应确认并形成文档加1以实施,7.1.4脆弱性和威肺分析要求如下:a)从技术脆弱性和管理脆弱性两个方面,对公共域名服务系统进行腌翔性分析;b)从技术威胁、环境威胁、人为威胁三个方面,对公共域名服务系统进行喇分析.7.2在公共域名服务系统的管理人员和第三方人员的修个任职周期内,包括聘任前、聘任
17、中、离职三个阶段,应采取相应的控制告施,降低公共域名服务系统所面临的人为威胁,人员管理要求如下:a)确保公共域名服务系统管理人员和第三方人员理解其职次,确保其具备相应的技术能力,以降低公共域名服务系统被破坏或者不当使用的风险:b)对公共域名服务系统管理人员和第三方人员进行适当程度的安全意识和安全技术培训,以及公共域名服务相关信息和资产的正确使用方法,并建立一个正式的处理安全违规的纪律处理过程:C)应制定流程或规定,规范公共域名服务系统管理人员和第三方人员退出公共域名服务的管理,确保相关人员归还所有设备,并删除其对公共域名服务的所有访问权限,7.3运行管理要求如卜.:a)公共域名服务系统应符合Y
18、D,T2138和YDrr2137规定的运行管理要求:b)公共域名服务系统中所有涉及的服务应时国家主管部门提供数据采集接口,并应按照国家主管部门的规定对相应网络安全事件进行通报工作.7.4 榭9和环境管口求物理和环境管理要求如F:a)设置安全边界(例如:墙、卡控制的入口或有人管理的接待台等屏障)来保护公共域名服务系统信息和资产所在的区域:b)设置恰当的进出控制指旗,确保仅授权人员能进出,同时进出的信息应予以记录和审计;C)有适当的措施来防止火灾、洪水、地震、爆炸、社会动荡和其他形式的白然灾难或人为灾难对公共域名服务系统所在区域的破坏:d)有足帔的支持性设施(例如;电、供水、排污、加热/通风和空调
19、)来支持公共域名服务系统。应定期检杳并测试支持性设施以确保它们的功能,然少由于其故障或失效带来的风腌,7.5 设务7.61 设备安和加设备安置和保护要求如下:a)公共域名服务系统的设备应进行适当安置,以防止对相关设备的未授权物理访问:b)对可能对公共域名服务系统运行状态产生负面影响的环境条件(例如:温度和渔度)应予以监视:O建筑物应采用避甯保护,所有进入的电源和通信戏路都应装配窗电保护过渡器。7.5.2布莲和设备维护要求如下:a)保证传输数据或支持信息服务的电源布缆和通信布缆免受嘉听或损坏;b)使用文件化配线列表减少失误的可能性:C)按照供应商推荐的服务时间间隔和规范由已授权人员对设备进行维护
20、,同时保存所有可铤的或实际的故障以及所有预防和纠正维护的记录:d)绘制与当前运行情况相符的系统拓扑结构图.7.S.3设备的安全检测和监控要求如下:a)公共域名服务系统的件设备应进行安全推测,确保其满足相应的行业标准、技术规范等,并保留检测证据:b)操作系统的安装应遵循最小化原则,并及时进行升级和安装补丁:C)域幺解析软件的安全性应定期跟踪并及时升级和更新,防止漏洞带来的威胁;d)对业务、应用软件、服务器、网络设备等子系统进行7X24h不间断探;则监控,监测的频率应不少于1次/10min.监控口志的保存时间应至少为180d:O对域名资源记录和解析结果进行正确性抽检,抽检频率宜至少1次外.7.67
21、.&1操作程序和职诳要求如下:a)与公共域名I我务系统相关的操作应有规范的操作程序,例如:计算机启动和关机程序、品份、设备维护、介质处理、计算HitJ1.房、DNsft件的配置维护和物理安全等:b)与公共域名服务系统相关的各类责任及职责他因应加以分割,以战少因未授权或无息识修改而不当使用域名服务系统资产的操作.7.&2me*ft1应采取恶诙代码监测修更软件、提高安全意识适当的系统访问和变更管理控制等措施来防范感意代码,具体要求如下:a)建立禁止使用未授权软件和正确使用授权软件的策略:b)应安装和定期更新恶意代玛监测和修亚软件来扫描域名服务系统,并根据扫描结果升级域名服务系统:O应制定适当的从恶
22、急代码攻击中恢笈的业务连续性计划。7.&3设聋皿借份设备和设路备份要求如下:a)系统应为分布式广域部署,节点间服务互备:b)系统关谯设备、或要线路应采用冗余的保护方式,提供灾难备份和恢复的能力,7.6.1 数据备份数据备份要求如下:a)应根据风险评估的结果,确定需要饴份的数据和文件应包括系统配置文件、解析日志、区文件等,备份时间至少为180d;b)应建立的份凭贝的准确完整的记录和文件化的恢复程序:C)定期测试备价介质:d)恢复程序应定期检查和测试,并於在操作程序恢复所分配的时间内完成.7.&5网络安全管理要求如下:a)应建立远程设备管理的职费和程序:b)主域名服务系统、轴域名服务系统以及备份服
23、务系统的部署应处于不同自治域,防止生一网络失效引起的解析中断:C)建立专门的控制,以保护在公网上传递数据的保密性和完整性,并且保护已连接的系统及应用;力必要情况E,应阻断或苴定向用户对恶意域名的访问。7.&6WRbW审计和分析要求如下:a)生成记录用户活动.异常和网络安全事态的审计日志,并应保存至少180天以支持将来的调查和访问控制监视:b)采取措施保证主域名服务系统、辅域名服务系统、备份域名服务系统内设备之用的时间同步.实现日志时间的精确同步:O审计的内容应包括但不限于:授权访问、特殊权限探作、未授权的访问隹试、系统警报或故障;1)记录H志的设施和H志信息应加以保护,以防止篡改和未授权的访问,
