【YD通讯标准】 域名系统安全防护检测要求

ICS35.100.70
中华人民共和国通信行业标准
YD/T2053-2016
代替YD/T2053-2009
域名系统安全防护检测要求
Security protection testing requirements for the domain name system2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件。
3术语、定义和缩略语·
3.1术语和定义·
3.2缩略语
4域名系统安全防护检测概述·
4.1域名系统安全防护检测内容
4.2域名系统安全防护检测对象
4.3域名系统安全防护检测环境
5域名系统安全防护检测要求·
5.1第1级要求
第2级要求·
第3级要求·
第4级要求
第5级要求
YD/T2053-2016
YD/T2053-2016
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称预计如下：1
《电信网和互联网安全防护管理指南》：《电信网和互联网安全等级保护实施指南》；《电信网和互联网安全风险评估实施指南》；《电信网和互联网灾难备份及恢复实施指南》：《固定通信网安全防护要求》：《固定通信网安全防护检测要求》；《移动通信网安全防护要求》；《移动通信网安全防护检测要求》：《互联网安全防护要求》；
《互联网安全防护检测要求》：《增值业务网一消息网安全防护要求》：《增值业务网一消息网安全防护检测要求》；《增值业务网一智能网安全防护要求》：《增值业务网一智能网安全防护检测要求》：《接入网安全防护要求》：
《接入网安全防护检测要求》；《传送网安全防护要求》；
《传送网安全防护检测要求》；《IP承载网安全防护要求》；
《IP承载网安全防护检测要求》：《信令网安全防护要求》；
《信令网安全防护检测要求》：《同步网安全防护要求》；
《同步网安全防护检测要求》；《支撑网安全防护要求》；
《支撑网安全防护检测要求》；《非核心生产单元安全防护要求》；《非核心生产单元安全防护检测要求》；《电信网和互联网物理环境安全等级保护要求》《电信网和互联网物理环境安全等级保护检测要求》：《电信网和互联网管理安全等级保护要求》；《电信网和互联网管理安全等级保护检测要求》；《域名系统安全防护要求》；
HiiKAoNiKAca
《域名系统安全防护检测要求》；35.
《网上营业厅安全防护要求》；36.
《网上营业厅安全防护检测要求》；37.
《WAP网关系统安全防护要求》；38.
《WAP网关系统安全防护检测要求》；《电信网和互联网信息服务业务系统安全防护要求》：《电信网和互联网信息服务业务系统安全防护检测要求》；《增值业务网即时消息业务系统安全防护要求》：《增值业务网即时消息业务系统安全防护检测要求》；《域名注册系统安全防护要求》；《域名注册系统安全防护检测要求》：《移动互联网应用商店安全防护要求》：《移动互联网应用商店安全防护检测要求》《互联网内容分发网络安全防护要求》；《互联网内容分发网络安全防护检测要求》；《互联网数据中心安全防护要求》：《互联网数据中心安全防护检测要求》；51.
《移动互联网联网应用安全防护要求》：52.
《移动互联网联网应用安全防护检测要求》；《公众无线局域网安全防护要求》：《公众无线局域网安全防护检测要求》；《电信网和互联网安全防护基线配置要求网络设备》；《电信网和互联网安全防护基线配置要求安全设备》；《电信网和互联网安全防护基线配置要求操作系统》；《电信网和互联网安全防护基线配置要求数据库》：《电信网和互联网安全防护基线配置要求中间件》；《电信网和互联网安全防护基线配置要求Web应用系统》：《电信和互联网用户个人电子信息保护通用技术要求和管理要求》：《电信和互联网用户个人电子信息保护检测要求》：《互联网接入服务安全防护要求》；《互联网接入服务安全防护检测要求》：《网络交易系统安全防护要求》；66.
《网络交易系统安全防护检测要求》：67.
《邮件系统安全防护要求》；
《邮件系统安全防护检测要求》；69.
《公有云服务安全防护要求》；《公有云服务安全防护检测要求》。YD/T2053-2016
iiiKAoiKAca
YD/T2053-2016
随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准同时是“域名系统运行技术规范体系”系列标准之一。该系列标准的结构及名称如下：《域名系统运行总体技术要求》；1）
《域名系统权威服务器运行技术要求》：3)
《域名系统递归服务器运行技术要求》；《域名服务安全框架技术要求》：《IPv6网络域名服务技术要求》：《域名系统授权体系技术要求》；《域名系统安全防护要求》；
《域名系统安全防护检测要求》；9）《公共域名解析系统安全要求》。本标准代替YD/T2053-2009
9《域名系统安全防护检测要求》，本标准与YD/T2053-2009相比，主要差异如下：
所有章节的测试项目从引用YD/T2052-2009《域名系统安全防护要求》标准的要求，调整为引用YD/T2052-2015《域名系统安全防护要求》标准的要求：一每项检测要求调整为表格形式，详细说明了测试编号、测试项目、测试步骤、预期结果和判定原则。
本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心、中国信息通信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司。本标准主要起草人：李晓东、徐颖、胡安磊、李炬、张翠玲、崔涛、苏鹏、魏来、刘险峰。本标准于2009年12月首次发布，本次为第一次修订。IV
iiKAoiKAca
1范围
域名系统安全防护检测要求
YD/T2053-2016
本标准规定了公众电信网和互联网相关域名系统分安全保护等级的安全防护检测要求，涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。本标准适用于公众电信网和互联网提供域名解析服务的域名系统，2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1730-2008电信网和互联网安全风险评估实施指南YD/T1731-2008电信网和互联网灾难备份及恢复实施指南YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求YD/T1757-2008电信网和互联网管理安全等级保护检测要求YD/T2698-2014电信网与互联网安全防护基线配置要求及检测要求网络设备YD/T2699-2014电信网与互联网安全防护基线配置要求及检测要求安全设备YD/T2700-2014电信网与互联网安全防护基线配置要求及检测要求数据库YD/T2701-2014
电信网与互联网安全防护基线配置要求及检测要求操作系统YD/T2052-2015域名系统安全防护要求YD/T2880-2015域名服务业务连续性管理要求3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
域名系统安全等级SecurityClassificationoftheDomainNameSystem域名系统安全重要程度的表征。重要程度可从域名系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商/服务提供商造成的损害来衡量3.1.2
域名系统安全等级保护ClassifiedSecurityProtectionoftheDomainNameSystem对域名系统分等级实施安全保护。3.1.3
组织Organization
由不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。3.1.4
域名系统安全风险SecurityRiskoftheDomainNameSystem1
HiiKAoNiKAca
YD/T2053-2016
人为或自然的威胁，可能利用域名系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
域名系统安全风险评估SecurityRiskAssessmentoftheDomainNameSystem运用科学的方法和手段，系统地分析域名系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施。防范和化解域名系统安全风险，或者将风险控制在可接受的水平，为最大限度地为保障域名系统的安全提供科学依据。3.1.6
域名系统资产AssetoftheDomainNameSystem域名系统中具有价值的资源，是安全防护保护的对象。域名系统中的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如域名系统的设备、线路、数据信息等。3.1.7
域名系统资产价值AssetValueoftheDomainNameSystem域名系统中资产的重要程度或敏感程度。域名系统资产价值是域名系统资产的属性，也是进行域名系统资产识别的主要内容。
域名系统威胁ThreatoftheDomainNameSystem可能导致对域名系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的域名系统威胁有攻击、故障、灾害等等。3.1.9
域名系统脆弱性VulnerabilityoftheDomainNameSystem域名系统中存在的弱点、缺陷与不足，不直接对域名系统资产造成危害，但可能被域名系统威胁所利用从而危及域名系统资产的安全。3.1.10
域名系统灾难DisasteroftheDomainNameSystem由于各种原因，造成域名系统故障或瘫，使域名系统提供的服务功能停顿或服务水平不可接受，达到特定的时间的突发性事件。3.1.11
域名系统灾难备份BackupforDisasterRecoveryoftheDomainNameSystem为了域名系统灾难恢复而对相关的要素进行备份的过程。3.1.12
域名系统灾难恢复DisasterRecoveryoftheDomainNameSystem为了将域名系统从灾难造成的故障或瘫状态恢复到正常运行状态或部分正常运行状态、并将其提供的服务功能、服务水平等从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.1.13
恢复时间目标RecoveryTimeObjective（RTO）2
HiiKAoiKAca
灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。注：可简单的理解为灾难发生后，组织能够容忍多长时间的业务中断时问。3.1.14
恢复点目标RecoveryPointObjective（RPO）灾难发生后，系统和数据必须恢复到的时间点要求。注：可简单的理解为灾难发生后，组织能够容忍丢失多长时间的数据量。3.1.16
访谈Interview
YD/T2053-2016
检测人员通过与域名系统有关人员（个人/群体）进行交流、讨论等活动，检查域名系统安全等级保护、域名系统风险评估和域名系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动，检查域名系统安全等级保护、域名系统风险评估和域名系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.1.18
测试Testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动，查看、分析输出结果，检查域名系统安全等级保护、域名系统风险评估和域名系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
3.2缩略语
下列缩略语适用于本文件。
DistributedDenial of ServiceDomain Name System
DNS Security Extension
DNSSEC
Denial of Service
Internet Protocol
Key Signing Key
Network Time Protocol
Recovery Point Objective
Recovery Time Objective
SimpleNetworkManagementProtocolTransmissionControlProtocol
User Datagram Protocol
Service-Level Agreement
Intrusion Detection System
Intrusion Prevention System
分布式拒绝服务
域名系统
域名系统安全
拒绝服务
网际协议
密钥签名密钥
网络时间协议
恢复点目标
恢复时间目标
简单网络管理协议
传输控制协议
用户数据报协议
服务等级协议
入侵检测系统
入侵防御系统
HiiKAoNiKAca
YD/T2053-2016
4域名系统安全防护检测概述
4.1域名系统安全防护检测内容
本标准的安全防护检测内容包括域名系统的业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。
4.2域名系统安全防护检测对象
本标准中的域名系统特指域名解析系统，包括权威域名解析系统和递归域名解析系统。域名系统的安全防护检测对象包括公众电信网和互联网提供相关域名解析服务的业务系统，本标准主要对域名系统安全防护要求的实施进行检测
4.3域名系统安全防护检测环境
对域名系统的安全防护检测需在现网中进行。被测对象包括：硬件设备（如服务器、网络设备、安全设备等）和软件（如操作系统、数据库、域名解析软件等）等。
测试工具包括：流量发生器（应支持IP协议族各层协议报文的构建和指定流量的发生），漏洞扫描器（应支持主机扫描、端口扫描、漏洞检测等功能）等。5域名系统安全防护检测要求
5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务提供
测试编号：域名系统-第1级-业务及应用安全-业务提供-01测试项目：YD/T2052一20155.1.1.1a），域名解析服务器不应同时提供权威解析服务和递归解析服务非递归解析服务器应配置禁止DNS域名递归查询测试步骤：
检查解析服务系统各服务器上的域名解析服务软件配置（例如bind解析软件的/etc/bind/named.conf），判断是否同时提供权威解析服务和递归解析服务预期结果：
1）如果是权威解析服务器，应禁止递归解析服务：bind解析软件配置文件/etc/bind/named.conf中应有如下内容：recursionno；其他解析软件，有类似配置文件；2）如果是递归解析服务器，应禁止权威域名解析：bind解析软件/etc/bind/named.conf不能出现typemaster和typeslave配置其他解析软件，有类似配置文件判定原则：
达到以上预期结果，则通过，否则不通过HiiKAoNiKAca
5.1.1.2入侵防范
测试编号：域名系统-第1级-业务及应用安全-入侵防范-01测试项目：YD/T2052一20155.1.1.2a），域名系统软件应配置隐藏软件版本信息测试步骤：
YD/T2053-2016
检查解析服务系统各服务器上的域名解析服务软件配置（例如bind解析软件的/etc/bind/named.conf），看是否配置隐藏软件版本信息
预期结果：
对bind解析软件，/etc/bind/named.conf文件的options节中有如下内容：version\No\；（或其他非真实版本信息字段）：其他解析软件，有类似配置文件判定原则：
达到以上预期结果，则通过，否则不通过5.1.2网络安全
5.1.2.1访问控制
测试编号：域名系统-第1级-网络安全-访问控制-01测试项目：YD/T2052一20155.1.2.1a），在系统边界部署访问控制设备，并启用访问控制功能，具有根据IP和端口为数据流提供明确的允许/拒绝访问的能力，并设置为默认拒绝，而只根据业务需要对特定网段开放访问权限
测试步骤：
1）访谈运维和安全人员，检查域名系统的网络拓扑图，了解解析系统网络边界处是否部署了访问控制设备，例如防火墙、三层路由器/交换机等：2）检查边界访问控制设备，看是否启用了访问控制功能，具有根据P和端口为数据流提供明确的允许/拒绝访问的能力，以及访问控制策略是否是默认拒绝，只根据业务需要对特定网段开放访问权限预期结果：
1）解析系统网络边界处部署了访问控制设备：例如防火墙、三层路由器/交换机等2）边界访问控制设备启用了访问控制功能，具有根据IP和端口为数据流提供明确的允许/拒绝访问的能力，且访问控制策略为默认拒绝，而只根据业务需要对特定网段开放访问权限判定原则：
达到以上预期结果，则通过，否则不通过5.1.3设备及软件系统安全
5.1.3.1安全配置Www.bzxZ.net
安全配置要求如下：
a）操作系统的安全基线配置应满足YD/T2701-2014的安全要求。b）数据库的安全基线配置应满足YD/T2700-2014的安全要求。c）网络设备的安全基线配置应满足YD/T2698-2014的安全要求。d）安全设备的安全基线配置应满足YD/T2699-2014的安全要求。5.1.4物理安全
YD/T2053-2016
应满足YD/T1755-2008中第1级的相关要求。5.1.5管理安全
应满足YD/T1757-2008中第1级的相关要求。5.2第2级要求
5.2.1业务及应用安全
除满足第1级的要求之外，还应满足：5.2.1.1业务提供
测试编号：域名系统-第2级-业务及应用安全-业务提供-01测试项目：YD/T2052一20155.2.1.1a)，应对域名解析服务可用性和响应时间进行实时监测，如发现异常（如不能解析或解析响应时间超长）应能够在60s内报警测试步骤：
1）访谈运维人员，检查域名系统的系统设计文档、系统安全策略，了解是否部署了监测系统对域名解析服务可用性和响应时间进行实时监测，检查当前和历史监测记录：；2）检查监测系统配置，判断是否能发现异常（如不能解析或解析响应时间超长）时能够在60s内报警，并检查历史报警记录
预期结果：
1）有监测系统对域名解析服务可用性和响应时间进行实时监测，可以看到当前监测结果和历史监测结果：
2）监测系统中配置了报警阈值，在不能解析或解析响应时间超过阈值时进行报警，并可以看到历史报警记录
判定原则：
达到以上预期结果，则通过，否则不通过测试编号：域名系统-第2级-业务及应用安全-业务提供-02测试项目：YD/T2052一20155.2.1.1b），系统要求不间断运行，在排除不可抗因素的情况下，按月统计解析服务可用性监测结果，权威解析服务系统和递归解析服务系统业务可用性均应大于99.99%测试步骤：
检查监控系统记录的域名服务可用性的历史数据，记录每月不能正常提供服务的时间预期结果：
每月不能提供服务的时间不能超过5min（SLA99.99%）判定原则：
达到以上预期结果，则通过，否则不通过测试编号：域名系统-第2级-业务及应用安全-业务提供-03YD/T2053-2016
测试项目：YD/T2052一20155.2.1.1c），不考虑网络延迟，按月统计解析服务响应时间监测结果，95%的权威解析服务系统域名解析响应时间应小于500ms，95%的递归解析服务系统域名解析响应时间应小于1500ms
测试步骤：
检查监控系统记录的域名解析响应时间的历史数据，计算每台域名解析服务器每个月的月度平均解析响应时间，统计超过值（权威500ms，递归1500ms）的解析服务器的占比预期结果：
每月月度平均解析响应时间超过阅值（权威500ms，递归1500ms）的解析服务器数量不超过全部解析服务器数量的5%
判定原则：
达到以上预期结果，则通过，否则不通过测试编号：域名系统-第2级-业务及应用安全-业务提供-04测试项目：YD/T2052一20155.2.1.1d），每个节点的权威解析服务系统和递归解析服务系统均可处理3倍任一单个节点（每个对外提供解析服务的节点IP记为一个节点，下同)历史访问量采样集的95th百分点（95th百分点是指所给数集中超过其95%的数。95th百分点是统计时所采用的最高值，超过的5%的数据将被舍弃：实践中采用等间隔采样，每分钟采样1次，采样点均匀分布于流量曲线，去掉最大的5%采样值，剩下的最大值为95th百分点，以下皆同）测试步骤：
1）访谈运维人员，检查域名系统的系统设计文档，了解各解析节点的设计解析能力；2）了解所有节点的历史访问量信息，计算各节点的历史访问量采样集的95th百分点：3）判断每个节点的设计解析能力是否超过任一单一节点历史访问量采样集的95th百分点的3倍预期结果：
每个节点的设计解析能力均超过任一单一节点历史访问量采样集的95th百分点的3倍判定原则：
达到以上预期结果，则通过，否则不通过
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。