【通信行业标准(YD)】 域名系统安全防护检测要求

ICS35.100.70
中华人民共和国通信行业标准
YD/T2053-2009
域名系统安全防护检测要求
Security protection testing requirements for the domain name system2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件
3缩略语和定义·
3.1缩略语
3.2定义
4域名系统安全防护检测概述
4.1安全防护检测范围
4.2安全防护检测对象…
安全防护检测内容
4.4安全防护检测结果判定…
5域名系统安全等级保护检测要求·5.1
第1级要求·
第2级要求
第3.1级要求…
第3.2级要求
第4级要求.
5.6第5级要求
域名系统安全风险评估检测要求6.1
安全风险评估范围
安全风险评估内容
安全风险评估要素
安全风险评估赋值原则·
安全风险评估计算方法…
安全风险评估文件类型
安全风险评估文件记录
域名系统灾难备份及恢复检测要求7.1
第1级要求·
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求·
参考文献
YD/T2053-2009
YD/T2053-2009
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称预计如下：《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
《移动通信网安全防护要求》
《互联网安全防护要求》
《增值业务网一消息网安全防护要求》《增值业务网一智能网安全防护要求》《接入网安全防护要求》
《传送网安全防护要求》
《IP承载网安全防护要求》
《信令网安全防护要求》
《同步网安全防护要求》
《支撑网安全防护要求》
《非核心生产单元安全防护要求》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《固定通信网安全防护检测要求》《移动通信网安全防护检测要求》《互联网安全防护检测要求》
一《增值业务网一消息网安全防护检测要求》《增值业务网一智能网安全防护检测要求》《接入网安全防护检测要求》
《传送网安全防护检测要求》
一《IP承载网安全防护检测要求》《信令网安全防护检测要求》
《同步网安全防护检测要求》
一《支撑网安全防护检测要求》《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全等级保护检测要求》《电信网和互联网管理安全等级保护检测要求》YD/T2053-2009
《域名系统安全防护要求》
一《域名系统安全防护检测要求》（本标准）一《网上营业厅安全防护要求》《网上营业厅安全防护检测要求》本标准同时是“域名系统运行技术规范体系”系列标准之一。该系列标准的结构及名称如下：《域名系统运行总体技术要求》《域名系统权威服务器运行技术要求》《域名系统递归服务器运行技术要求》《域名服务安全框架技术要求》《IPv6网络域名服务技术要求》《域名系统授权体系技术要求》《域名系统安全防护要求》
《域名系统安全防护检测要求》《公共域名解析系统安全标准》本标准与YD/T2052-2009《域名系统安全防护要求》配套使用。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心、工业和信息化部电信研究院。本标准主要起草人：李晓东、杨剑锋、王伟、田慧蓉、陈涛、胡安磊。日
1范围
域名系统安全防护检测要求
YD/T2053-2009
本标准规定了公众电信网和互联网相关域名系统国内节点在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用于域名服务系统。海外节点安全防护检测要求可酌情参照本标准。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T1755-2008
YD/T1757-2008
3定义和缩略语
3.1缩略语
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求下列缩略语适用于本标准。
DNSSEC
3.2定义
DistributedDenial of ServiceDenial of Service
InternetProtocol
DomainNameSystem
Domain Name Security
DNSSECLook-asideValidation
NetworkTimeProtocol
TransmissionControlProtocol
UserDagagramProtocol
下列定义适用于本标准。
分布式拒绝服务
拒绝服务
网际协议
域名系统
域名安全扩展
域名系统安全旁路认证
网络时间协议
传输控制协议
用户数据报协议
域名系统安全等级securityclassificationofthedomainnamesystem域名系统安全重要程度的表征。重要程度可从域名系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商/服务提供商造成的损害来衡量。3.2.2
域名系统安全等级保护classifiedsecurityprotectionofthedomainnamesystem对域名系统分等级实施安全保护。I
YD/T2053-2009
组织organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工合作；一个单位是一个组织，某个业务部门也可以是一个组织。3.2.4
域名系统安全风险securityriskofthedomainnamesystem人为或自然的威胁可能利用域名系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.2.5
域名系统安全风险评估securityriskassessmentofthedomainnamesystem指运用科学的方法和手段，系统地分析域名系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解域名系统安全风险，或者将风险控制在可接受的水平，为最大限度地为保障域名系统的安全提供科学依据。3.2.6
域名系统资产assetofthedomainnamesystem域名系统中具有价值的资源，是安全防护保护的对象。域名系统中的资产可能是以多种形式存在，如无形的和有形的或硬件和软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源，如域名系统的设备、线路和数据信息等。3.2.7
域名系统资产价值assetvalueofthedomainnamesystem域名系统中资产的重要程度或敏感程度。域名系统资产价值是域名系统资产的属性，也是进行域名系统资产识别的主要内容。
域名系统威胁threatofthedomainnamesystem可能导致对域名系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的域名系统威胁有攻击、故障和灾害等。3.2.9
域名系统脆弱性vulnerabilityofthedomainnamesystem脆弱性是域名系统中存在的弱点、缺陷与不足，不直接对域名系统资产造成危害，但可能被域名系统威胁所利用从而危及域名系统资产的安全。3.2.10
域名系统灾难disasterofthedomainnamesystem由于各种原因，造成域名系统故障或瘫痪，域名系统提供的服务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
域名系统灾难备份backupfordisasterrecoveryofthedomainnamesystem为了域名系统灾难恢复而对相关的要素进行备份的过程。3.2.12
域名系统灾难恢复disasterrecoveryofthedomainnamesystemYD/T2053-2009
为了将域名系统从灾难造成的故障或瘫痰痪状态恢复到正常运行状态或部分正常运行状态，并将其提供的服务功能、服务水平等从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.2.13
访谈interview
检测人员通过与域名系统有关人员（个人/群体）进行交流、讨论等活动，检查域名系统安全等级保护、域名系统风险评估和域名系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
检查examination
检测人员通过对检测对象进行观察、查验和分析等活动，检查域名系统安全等级保护、域名系统风险评估和域名系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.2.15
测试testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动，查看、分析输出结果，检查域名系统安全等级保护、域名系统风险评估和域名系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
4域名系统安全防护检测概述
4.1安全防护检测范围
本标准的检测范围包括公众电信网和互联网提供相关域名解析服务的业务系统。4.2安全防护检测对象
域名系统安全防护检测对象为我国具有管辖权的IP网络域名解析服务系统。域名系统安全等级保护的检测对象确定以后，风险评估的检测对象、灾难备份及恢复的检测对象应与安全等级保护的检测对象相一致。4.3安全防护检测内容
根据域名系统安全防护检测的需要，将域名系统安全防护检测分为域名系统安全等级保护检测、域名系统安全风险评估检测和域名系统灾难备份及恢复检测3个部分。域名系统安全防护检测要求包括以下内容：域名系统安全等级保护检测
主要包括业务及应用安全检测、拓扑安全检测、设备安全检测、物理环境安全检测和管理安全检测等；·域名系统安全风险评估检测
主要包括安全风险评估范围检测、安全风险评估内容检测、安全风险评估要素检测、安全风险评估赋值原则检测、安全风险评估计算方法检测、安全风险评估文件类型检测和安全风险评估文件记录检测等：域名系统灾难备份及恢复检测
主要包括穴余系统、穴余设备及亢余链路检测、穴余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案检测等。4.4安全防护检测结果判定
YD/T2053-2009
域名系统安全防护检测包括对域名系统的安全等级保护、安全风险评估和灾难备份及恢复3个部分的检测，应对3个部分的检测结果分别进行判定，并根据检测结果分别出具检测报告，检测报告中应具体说明安全防护工作的优势和不足。对每一个部分中的每一个测试项，应根据具体实施情况进行等级化评价（分很好、较好、一般、较差、很差5级）。参照表1将各测试项的评价等级换算成评分，各测试项的分数经过一定的算法（例如加权平均）分别得到安全等级保护、安全风险评估和灾难备份及恢复3个部分的总分数，根据总分数分别对安全等级保护、安全风险评估和灾难备份及恢复3个部分的检测结果进行等级化评定，总分数和评定等级的关系如表2所示。在计算总分数过程中，应充分考虑到各测试项在安全防护检测要求中所占的比重，例如，表3给出了安全等级保护子类所占的比重。表1
评价结果
实施很好
实施较好
实施一般
实施较差
实施很差
测试项评分方法
2总评分和评定等级的关系
总评分x
4.5≤x≤5
3.5≤x<4.5
2.5≤x<3.5
1.5≤x<2.5
1≤x<1.5
比重（%）
域名系统安全等级保护检测要求5.1
第1级要求
表3安全等级保护子类所占的比重本标准对安全等级为第1级的域名系统暂不作要求。2第2级要求
5.2.1业务及应用安全
5.2.1.1业务提供
5.2.1.1.1检测方式
访谈，检查。
5.2.1.1.2
2检测对象
评定等级
安全等级保护子类
业务及应用安全
拓扑安全
设备安全
物理环境安全
管理安全
YD/T2053-2009
系统设计/验收文档，相关服务和应用管理流程文档，系统管理文档，设备管理配置记录，故障告警记录，系统运维记录，网络和业务运营商/服务提供商提供的其他文档，系统及相关设备等。5.2.1.1.3检测实施
a）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，检查域名解析系统是否具备不间断运行的条件，查看故障告警记录、系统运维记录，检查和验证系统运维状况，按月统计，检查权威服务器和递归服务器业务可用性是否均大于99.99%，系统业务中断时间符合网络和业务运营商/服务提供商相关规定；b）应访谈系统管理员，并查看系统设计/验收文档、网络和业务运营商/服务提供商提供的其他文档检查权威服务器和递归服务器是否均可处理3倍任一单个节点(每个对外提供解析服务的节点IP记为一个节点)历史访问量采样集的95th百分点（95th百分点是指所给数集中超过其95%的数。95th百分点是统计时所采用的最高值，超过的5%的数据将被舍弃；实践中采用等间隔采样，每分钟采样1次，采样点均匀分布于流量曲线，去掉最大的5%采样值，剩下的最大值为95th百分点，以下皆同），按月统计，95%的权威服务器域名解析响应时间是否小于500ms，95%的递归服务器域名解析响应时间是否小于1500ms；c）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，检查和验证系统相关记录信息是否具有安全性保障，是否能有效防止系统信息被算改和破坏；
d）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，检查和验证系统主辅服务器（组）间是否进行记录信息更新，是否能保证服务器（组）记录的同步；
e）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，域名解析辅服务器与主服务器应保持时间上的同步，建议采用NTP或其他技术。
5.2.1.2身份鉴别
5.2.1.2.1检测方式
访谈，检查。
5.2.1.2.2检测对象
系统设计/验收文档，相关服务和应用管理流程文档，系统管理文档，设备管理配置记录，故障告警记录，网络和业务运营商/服务提供商提供的其他文档，系统及相关设备等。5.2.1.2.3检测实施
a）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否提供专用的登录控制模块对登录用户进行身份标识和鉴别：b）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否提供用户身份标识惟一和鉴别信息复杂度检查功能，验证是否能保证应用系统中不存在重复用户身份标识，身份鉴别信息是否不易被冒用：c）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否提供登录失败处理功能，验证登录失败处理措施（如结束会话、限制非法登录次数和自动退出等）是否有效；5
YD/T2053-2009
d）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否启用身份鉴别、用户身份标识惟一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。5.2.1.3访问控制
5.2.1.3.1检测方式
访谈，检查。
5.2.1.3.2检测对象
系统设计/验收文档，相关服务管理流程文档，系统管理文档，系统安全策略，设备管理配置记录，故障告警记录，网络和业务运营商/服务提供商提供的其他文档，系统及相关设备等。5.2.1.3.3检测实施
a）应访谈系统管理员，并查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访间；
b）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证访问控制的覆盖范围是否包括与资源访问相关的主体、客体及它们之间的操作；c）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证由授权主体配置访问控制策略，验证是否严格限制默认账户的访问权限：
d）应访谈系统管理员，并查看系统设计/验收文档、相关服务和应用管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否授予不同账户为完成各自承担任务所需的最小权限，验证不同账户间是否存在相互制约的关系；e）应访谈系统管理员，并查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证域名服务器是否域名服务器应该只向公共互联网提供TCP和UDP53端口的标准DNS解析服务；f）应访谈系统管理员，并查看系统设计/验收文档、相关服务管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证递归服务器是否限制了对其他服务器TCP和UDP53端口的访问。
5.2.1.4安全审计
5.2.1.4.1检测方式
访谈，检查。
5.2.1.4.2检测对象
系统设计/验收文档，相关服务管理流程文档，系统管理文档，系统安全策略，故障告警记录，审计记录及报告，网络和业务运营商/服务提供商提供的其他文档，系统及相关设备等。5.2.1.4.3检测实施
YD/T2053-2009
a）应访谈系统管理员，并查看系统设计/验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否提供覆盖到每个系统账号的安全审计功能，是否对应用系统重要安全事件进行审计：b）应访谈系统管理员，并查看系统设计/验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否能保证无法删除、修改或覆盖审计记录；
c）应访谈系统管理员，并查看系统设计/验收文档、相关服务管理流程、系统安全策略、审计记录及报告、网络和业务运营商/服务提供商提供的其他文档，检查和验证审计记录的内容是否至少包括事件日期、时间、发起者信息、类型、描述和结果等。5.2.1.5通信数据安全性
5.2.1.5.1检测方式
访谈，检查。
5.2.1.5.2检测对象
系统设计/验收文档，相关服务管理流程文档，系统管理文档，系统安全策略，设备管理配置记录，网络和业务运营商/服务提供商提供的其他文档，系统及相关设备等。5.2.1.5.3检测实施
a）应访谈系统管理员，并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否对系统用户的登录会话进行有效的初始验证：b）应访谈系统管理员，并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否采用加密或其他保护措施实现系统鉴别信息的存储保密性；
c）应访谈系统管理员，并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证是否采用内外网隔离或加密等保护措施避免域名解析数据在公共互联网上明文传输：d）应访谈系统管理员，并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证域名服务器是否支持标准DNSSEC协议及DNSSEC旁路认证（DLV），并进行正确的协议配置：e）应访谈系统管理员，并查看系统设计/验收文档、相关系统管理流程、系统安全策略、网络和业务运营商/服务提供商提供的其他文档，检查和验证域名服务器是否配置了正确的信任锚及其公钥（KSK），应配置国家域名系统DLV服务器（DLV.DNS.CN）。5.2.1.6资源控制
5.2.1.6.1检测方式
访谈，检查。
5.2.1.6.2检测对象免费标准bzxz.net
系统设计/验收文档，相关服务管理流程文档，系统管理文档，系统安全策略，网络和业务运营商服务提供商提供的其他文档，系统及相关设备等。5.2.1.6.3检测实施
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。