【YD通讯标准】 域名系统安全防护要求

ICS35.100.70
中华人民共和国通信行业标准
YD/T2052-2015
代替YD/T2052-2009
域名系统安全防护要求
Securityprotectionrequirementsforthedomainnamesystem2015-04-30发布
2015-04-30实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义.
3.2缩略语
4域名系统安全防护概述www.bzxz.net
4.1域名系统安全防护范围·
4.2域名系统安全风险分析
4.3域名系统安全防护内容
5域名系统安全等级保护要求
5.1第1级要求.
第2级要求·
5.3第3级要求·
5.4第4级要求.
5.5第5级要求
附录A（规范性附录）域名系统风险分析目
YD/T2052-2015
YD/T2052-2015
本标准是“电信网和互联网安全防护体系”系列标准之一，该系列标准的结构及名称预计如下：1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《固定通信网安全防护检测要求》7.《移动通信网安全防护要求》8.《移动通信网安全防护检测要求》9.《互联网安全防护要求》
10.《互联网安全防护检测要求》11.《增值业务网一消息网安全防护要求》12.《增值业务网一消息网安全防护检测要求》13.《增值业务网一智能网安全防护要求》14.《增值业务网一智能网安全防护检测要求》15.《接入网安全防护要求》
16.《接入网安全防护检测要求》17.《传送网安全防护要求》
18.《传送网安全防护检测要求》19.《IP承载网安全防护要求》
20.《IP承载网安全防护检测要求》21.《信令网安全防护要求》
22.《信令网安全防护检测要求》23.《同步网安全防护要求》
24.《同步网安全防护检测要求》25.《支撑网安全防护要求》
26.《支撑网安全防护检测要求》27.《非核心生产单元安全防护要求》28.《非核心生产单元安全防护检测要求》29.《电信网和互联网物理环境安全等级保护要求》30.《电信网和互联网物理环境安全等级保护检测要求》31.《电信网和互联网管理安全等级保护要求》32.《电信网和互联网管理安全等级保护检测要求》I
TiiKAoNiKAca
33.《域名系统安全防护要求》（本标准）34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.（互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求网络设备》56.《电信网和互联网安全防护基线配置要求安全设备》57（电信网和互联网安全防护基线配置要求操作系统）58.《电信网和互联网安全防护基线配置要求数据库》59.《电信网和互联网安全防护基线配置要求中间件》60.《电信网和互联网安全防护基线配置要求web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》63.《互联网接入服务安全防护要求》64.《互联网接入服务安全防护检测要求》65.《网络交易安全防护要求》
66.《网络交易安全防护检测要求》67.《邮件系统安全防护要求》
68.《邮件系统安全防护检测要求》YD/T2052-2015
本标准同时是“域名系统运行技术规范体系”系列标准之一，该系列标准的结构及名称如下：m
TiiKAoNiKAca
YD/T2052-2015
1.《域名系统运行总体技术要求》2．《域名系统权威服务器运行技术要求》3.《域名系统递归服务器运行技术要求》4.《域名服务安全框架技术要求》5.《IPv6网络域名服务技术要求》6.《域名系统授权体系技术要求》7.《域名系统安全防护要求》（本标准）8.《域名系统安全防护检测要求》9.《公共域名解析系统安全要求》本标准代替YD/T2052-2009《域名系统安全防护要求》。本标准与YD/T2052-2009的主要差异在于：1.本标准增加了对《域名服务业务连续性管理要求》标准和《电信网和互联网安全防护基线配置要求及检测要求》系列标准的引用：2.本标准第3章更新了术语、定义和缩略语章节，增加了恢复时间目标（RTO）和恢复点目标（RPO）相关内容：
3.本标准第4章修改和完善了域名系统安全防护范围、安全风险分析和安全防护内容：4.删除原标准第5章“域名系统定级对象和安全等级确定”相关内容；5.原标准第6章“域名系统资产、脆弱性、威胁分析”相关内容经修改和完善后并入新增附录A“域名系统风险分析”：
6.本标准第5章“域名系统安全防护要求”增加了对第1级的要求，将3.1级和3.2级统一合并为3级并对第2级、第3级的各项要求做了较大幅度修改和完善；7.别除原标准第8章“域名系统灾难备份及恢复要求”，原标准中定级对象有关灾难备份及恢复的要求经修改和完善后并入第5章，其中穴余系统和数据备份等技术要求并入“业务及应用安全要求”、“网络安全要求”、“设备及软件系统安全要求”章节中，人员技术能力、运维管理和灾难恢复预案等管理要求并入“管理安全要求”章节中。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心、工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人：李晓东、徐颖、胡安磊、王、伟、崔涛、陈军、魏来、朱安南、高强。本标准于2009年12月首次发布，本次为第一次修订。IV
HiiKAoNiKAca
1范围
域名系统安全防护要求
YD/T2052-2015
本标准规定了公众电信网和互联网相关域名系统分安全保护等级的安全防护要求，涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。本标准适用于为公众电信网和互联网提供域名解析服务的域名系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1730-2008
YD/T1731-2008
YD/T1754-2008
YD/T1756-2008
YD/T2880-2008
YD/T2701-2014
YD/T2700-2014
YD/T2698-2014
YD/T2699-2014
3术语、定义和缩略语
3.1术语和定义
《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网管理安全等级保护要求》《域名服务业务连续性管理要求》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求安全设备》下列术语和定义适用于本文件：3.1.1
域名系统安全等级SecurityClassificationoftheDomainNameSystem域名系统安全重要程度的表征。重要程度可从域名系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
域名系统安全等级保护ClassifiedSecurityProtectionoftheDomainNameSystem对域名系统分等级实施安全保护。3.1.3
组织Organization
由不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工、合作：一个单位是一个组织，某个业务部门也可以是一个组织。3.1.4
HiiKANi KAca
YD/T2052-2015
域名系统安全风险SecurityRiskoftheDomainNameSystem人为或自然的威胁可能利用域名系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.1.5
域名系统安全风险评估SecurityRiskAssessmentoftheDomainNameSystem运用科学的方法和手段，系统地分析域名系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解域名系统安全风险，或者将风险控制在可接受的水平，为最大限度地为保障域名系统的安全提供科学依据。3.1.6
域名系统资产AssetoftheDomainNameSystem域名系统中具有价值的资源，是安全防护保护的对象。域名系统中的资产可能是以多种形式存在，无形的、有形的、硬件，软件，包括物理布局，通信设备，物理线路、数据，软件，文档、规程、业务、人员、管理等各种类型的资源，如域名系统的设备、线路、数据信息等。3.1.7
域名系统资产价值AssetValueoftheDomainNameSystem域名系统中资产的重要程度或敏感程度。域名系统资产价值是域名系统资产的属性，也是进行域名系统资产识别的主要内容。
域名系统威胁ThreatoftheDomainNameSystem可能导致对域名系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的：可能是无意失误，也可能是恶意攻击。常见的域名系统威胁有攻击，故障，灾害等等。3.1.9
域名系统脆弱性VulnerabilityoftheDomainNameSystem脆弱性是域名系统中存在的弱点、缺陷与不足，不直接对域名系统资产造成危害，但可能被域名系统威胁所利用从而危及域名系统资产的安全。3.1.10
域名系统灾难DisasteroftheDomainNameSystem由于各种原因，造成域名系统故障或瘫痪，使域名系统提供的服务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
域名系统灾难备份BackupforDisasterRecoveryof theDomainNameSystem为了域名系统灾难恢复而对相关的要素进行备份的过程。3.1.12
域名系统灾难恢复DisasterRecoveryoftheDomainNameSystem为了将域名系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其提供的服务功能、服务水平等从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.1.13
恢复时间目标RecoveryTimeObjective（RTO）2
HiiKAoiKAca
灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。注：可简单的理解为灾难发生后，组织能够容忍多长时间的业务中断时间。3.1.14
恢复点目标RecoveryPointObjective（RPO）灾难发生后，系统和数据必须恢复到的时间点要求。注：可简单的理解为灾难发生后，组织能够容忍丢失多长时间的数据量。3.2缩略语
下列缩略语适用于本文件：
DNSSEC
Domain Name System
DNS Security Extension
Denial of Service
Distributed Denial of ServiceInternet Protocol
TransmissionControlProtocol
Key Signing Key
SimpleNetworkManagementProtocolUserDatagram Protocol
Network Time Protocol
Recovery Time Objective
RecoveryPoint Objective
4域名系统安全防护概述
4.1域名系统安全防护范围
域名系统
域名系统安全
拒绝服务
分布式拒绝服务
网际协议
传输控制协议
密钥签名密钥
简单网络管理协议
用户数据报协议
网络时间协议
恢复时间目标
恢复点目标
YD/T2052-2015
本标准中的域名系统特指域名解析系统，包括权威域名解析系统和递归域名解析系统。域名解析系统是负责记录IP网络中主机名和相应主机IP地址间映射关系、提供将域名解析成IP地址（正向解析）或将IP地址解析为域名（反向解析）服务的系统。本标准主要针对域名解析系统提出安全防护要求。与域名解析系统相关的其他业务平台安全防护要求不属于本标准规定范畴，如域名注册系统参见YD/T2245-2011《域名注册系统安全防护要求》。4.2域名系统安全风险分析
域名系统的重要资产至少应包括：a）域名解析软件及解析服务器、操作系统；b）域名信息数据库及数据库服务器、操作系统：c）域名系统关键数据，如用户注册信息，解析zonefile文件等：d）支持域名系统的网络设备、安全设备、监测系统等。域名系统其他资产可见附录A表A1对资产的分类及举例。域名系统的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核心。域名系统的脆弱性分析应包括但不限于附录A表A.2所列范围。3
HiiKAoNiKAca
YD/T2052-2015
域名系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗拒的威胁和其他物理威胁。根据威胁的动机，人为威胁又可分为恶意和非恶意两种。域名系统的威胁分析应包括但不限于附录A表A.3所列范围。域名系统可能存在的安全脆弱性被利用后会产生很大的安全风险，可以从权威域名解析系统和递归域名解析系统来分别识别这些风险：a）权威域名解析系统：
1）权威域名解析系统服务。权威域名解析系统遭受DDOS攻击或其他软、硬件故障，导致不能正常提供权威域名解析服务，致使使用权威域名的网站等互联网应用不能正常服务。2）权威域名解析数据。域名系统遭受入侵或操作失误，导致域名解析系统中的zonefile解析数据丢失或被篡改，致使互联网用户不能得到解析结果或得到的是错误解析结果。3）域名注册信息。对顶级权威域名系统，因域名系统遭受外部入侵或内部泄密，导致域名注册信息中的个人信息泄露。
b）递归域名解析系统：
1）递归域名解析系统服务。递归域名解析系统遭受DDOS攻击或其他软、硬件故障，导致不能正常提供递归域名解析服务，影响到使用本递归域名解析系统的用户不能正常使用互联网。2）递归域名解析数据。递归域名系统遭受入侵（例如DNS劫持等），导致域名解析结果错误，影响到使用本递归域名解析系统的用户不能获取正确的解析结果。本要求将重点考患包括上述风险在内的各种风险，有针对性提出安全防护要求。4.3域名系统安全防护内容
域名系统的主要功能是为互联网用户提供将域名解析为IP地址或将P地址解析为域名的服务，因此保障业务的安全稳定运行和解析数据的安全可靠至关重要。保障域名系统的基础设施安全、管理安全等也是安全防护的主要内容。域名系统的安全防护内容具体包括：a）业务及应用安全：
业务及应用安全包括向用户提供的域名解析服务在业务和应用层面的安全要求，主要包括业务提供、访问控制、安全审计、通信数据安全性、灾难备份、入侵防范等部分内容。b）网络安全：
网络安全主要包括域名系统网络层面的安全防护要求，主要包括结构安全、访问控制、安全监测、安全审计、入侵防范等部分内容。c）设备及软件系统安全：
设备及软件系统安全主要包括域名系统的硬件设备、操作系统、数据库的安全防护要求，主要包括安全配置、设备余、安全检测、安全监测等部分内容。d）物理安全：
物理安全主要包括域名系统所处的物理环境在机房位置、电力供应、防火、防水、防静电、温湿度控制等方面的安全防护要求。
e）管理安全：
管理安全主要包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全防护要求。
HiiKAoNiKAca
5域名系统安全等级保护要求
5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务提供
YD/T2052-2015
域名解析服务器不应同时提供权威解析服务和递归解析服务，非递归解析服务器应配置禁止DNS域名递归查询。
5.1.1.2入侵防范
域名系统软件应配置隐藏软件版本信息。5.1.2网络安全
5.1.2.1访问控制
应在系统边界部署访间控制设备，并启用访问控制功能，具有根据IP和端口为数据流提供明确的允许/拒绝访问的能力，并默认设置为拒绝，而只根据业务需要对特定网段开放访问权限。5.1.3设备及软件系统安全
5.1.3.1安全配重
a）域名系统所使用的操作系统的安全配置应满足YD/T2701的要求。b）域名系统所使用的数据库的安全配置应满足YD/T2700的要求。c）域名系统所使用的网络设备的安全配置应满足YD/T2698的要求。d）域名系统所使用的安全设备的安全配置应满足YD/T2699的要求。5.1.4物理安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第1级的相关要求。5.1.5管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》中第1级的相关要求。5.2第2级要求
5.2.1业务及应用安全
5.2.1.1业务提供
除满足第1级的要求之外，还应满足：a）应对域名解析服务可用性和响应时间进行实时监测，如发现异常（如不能解析或解析响应时间超长）应能够在60s内报警。
b）系统要求不间断运行，在排除不可抗因素的情况下，按月统计解析服务可用性监测结果，权威解析服务系统和递归解析服务系统业务可用性均应大于99.99%：c）不考虑网络延迟，按月统计解析服务响应时间监测结果，95%的权威解析服务系统域名解析响应时间应小于500ms，95%的递归解析服务系统域名解析响应时间应小于1500ms。d）每个节点的权威解析服务系统和递归解析服务系统均可处理3倍任一单个节点（每个对外提供解析服务的节点IP记为一个节点，下同）历史访问量采样集的95h百分点（95th百分点是指所给数集中超过其95%的数。95th百分点是统计时所采用的最高值，超过的5%的数据将被舍弃；实践中采用等间隔采样，每分钟采样1次，采样点均匀分布于流量曲线，去掉最大的5%采样值，剩下的最大值为95th百分点，以下皆同）
YD/T2052-2015
e）域名解析服务器不应提供除了域名服务之外的其他服务。f）对权威域名服务系统，应保持主服务器对辅服务器（组）的记录信息进行更新，保证数据同步。5.2.1.2访问控制
a）权威域名解析系统应缺省拒绝所有主机的提交动态DNS更新，而只根据需要指定允许特定主机向本DNS服务器提交动态DNS更新。b）权威域名解析系统应只根据需要指定充许特定主机对本服务器进行区域记录（zonefile）传输5.2.1.3安全审计
a）域名系统应记录日志，包括系统日志，错误日志和解析日志等，日志记录的内容至少应包括事件的日期、时间、类型、主体标识、客体标识和结果等。b）应采取手段保证日志无法删除、修改或覆盖，例如日志集中管理、日志文件权限控制。5.2.1.4通信数据安全性
a）域名系统应支持标准DNSSEC协议，并进行正确的协议配置：b）递归域名系统应配置正确的信任锚及其公钥（KSK）。5.2.1.5灾难备份
a）应建立对域名解析相关关键数据和重要信息进行备份和恢复的管理和控制机制，备份范围和时间间隔、数据恢复能力应满足《域名服务业务连续性管理要求》和企业域名系统应急预案相关要求。关键数据和重要信息包括但不限于域名解析系统架构、域名解析软件及配置，域名数据库数据、域名解析日志、域名解析系统监控数据。b）关键数据和重要信息备份应定期进行，定期备份频率不低于一天一次，备份的数据/信息应于异地保存，备份保存时间不低于3个月。5.2.1.6入侵防范
除满足第1级的要求之外，还应定期（至少每月一次）检查域名系统软件版本，对软件版本漏洞进行评估，对存在严重漏洞的软件及时进行升级。5.2.2网络安全
5.2.2.1结构安全
a）应绘制与当前运行情况相符的系统拓扑结构图。b）在指定服务域内，提供域名解析服务的服务器数量应不低于2台，网络节点、链路应实现穴余设计。c）应根据业务的特点，在满足高峰期流量需求的基础上合理设计带宽，带宽应不低于历史高峰期流量的3倍。
d）应采用内外网隔离、专线、加密等保护措施避免远程访问和域名数据在公共互联网的明文传输。e）应能按照业务需求和安全需求，合理划分安全域，按照统一的管理和控制原则划分不同的子网或网段，设备依照功能划分及其重要性等因素分区部署。5.2.2.2访问控制
除满足第1级的要求之外，还应通过访问控制设备限制只在解析端口（TCP协议和UDP协议53端口）上向公众提供域名解析服务，除此之外，不对公众开放任何服务。5.2.2.3安全监测
YD/T2052-2015
a）应对域名解析系统边界流量进行DDoS攻击监测，发现攻击行为在60s之内提供告警，并进行相应处置。
b）应对系统中的重要网络设备运行状况进行监测，发现异常情况（如系统客机等）在60s之内提供告警，并进行相应处置
c）应对系统中的网络流量信息进行监测，发现异常情况（如达到网络链路容量的三分之二及以上在60s之内提供告警，并进行相应处置。d）应对系统中的各类监测数据进行日志记录，并且保留一定期限（至少180天）。e）应通过访问控制技术手段限制只有特定网段和特定人员才能访问安全监测系统，查看监测数据。5.2.2.4安全审计
a）应对核心网络设备运行状况、用户行为等进行日志记录。b）日志记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。c）应采取手段保证日志无法删除、修改或覆盖，例如日志集中管理、日志文件权限控制。5.2.2.5入侵防范
应在系统边界处对发生的网络入侵行为提供有效的检测能力，当检测到入侵行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。5.2.3设备及软件系统安全
5.2.3.1安全配置
除满足第1级的要求之外，还应满足：a）应采取手段保证操作系统、数据库、网络设备、安全设备等的日志无法删除、修改或覆盖，例如日志集中管理、日志文件权限控制等。b）业务服务器、数据库、网络设备、安全设备等关键设备应保持时间上的同步，建议采用NTP协议或其他技术。
5.2.3.2设备几余
a）应保证服务器、网络设备、安全设备等硬件设备的业务处理能力具备余空间，满足所在节点3倍历史访问量采样集的95th百分点的需要。b）关键网络设备：重要线路，网络设备的重要部件应采用完余的保护方式5.2.3.3安全检测
应定期（至少每月一次）对设备和系统进行安全扫描，发现漏洞并加固系统，避免业已发现的漏洞造成安全事件。
5.2.3.4安全监测
应对能够对关键服务器、数据库、网络设备等进行性能和服务水平监控，并设定阅值，如超过阀值在6Os之内提供告警，并进行相应处置。监控方式可基于监听、agent、模拟访问、SNMP、NetFlow等网管技术和协议。
5.2.4物理安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第2级的相关要求。5.2.5管理安全
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。