【YD通讯标准】 公共域名解析系统安全要求

ICS 35.100.70
中华人民共和国通信行业标准
YD/T 2091-2010
公共域名解析系统安全要求
Security specification for public DNS resolution system2010-12-29发布
2011-01-01实施
中华人民共和国工业和信息化部发布前言
2规范性引用文件
3术语、定义和缩略语…
3.1术语和定义·
3.2缩略语·
概述·
5公共域名解析系统安全方针
5.1．公共域名解析系统安全方针文件5.2安全方针文件的评审
6技术要求
6.1权威域名解折系统技术要求
6.2递归域名解析系统技术要求..6.3授权安全要求·
6.4DNS数据备份要求…
7管理要求
资产管理要求
7.2人员管理要求….
7.3运行管理要求
物理和环境管理要求·
设备管理要求
通信和操作管理要求…
访问控制管理要求.
连续性管班要求·
HTYKAONIKAa-
YD/T 2091-2010
YD/T2091-2010
本标准是\域名系统运行技术规范体系”系列标准之一，该系列标准包括：《域名系统运行总体技术要求》域名系统权威服务器运行技术要求》《域名系统递归服务器运行技术要求》《Pv6网络域名服务技术要求
《公共域名解析系统安全要求》《域名服务安全框架技术要求》《域名系统授权体系技术要求》域名系统安全防护要求
《域名系统安全防护检测要求》本标准由中国通信标准化协会提出并归口。本标准起草单位：中国万联网络信息中心，国家计算机网络应急技术处理协调中心。本标准主要起草人：毛伟、李晓东、王伟、金键、沈烁、胡安磊。I
1范围
公共域名解析系统安全要求
本标准规定了公共域名解析系统的安金方针、技术要求以及管理要求。YD/T2091-2010
本标准适川于为互联网公众提供域名解析服务的国内各级单位，适用对象包括根域名解析系统，顶级域名解析系统，其他各级域名解析系统、递归域名解析系统。2规范性引用文件
下列文件中的条款通过本标推的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T 2136-2010
YD/T2137-2010
YD/T 2138-2010
3术语、定义和缩略语
3.1术语和定义
域名系统授权体系技术要求
域名系统递归服务器运行技术要求域名系统权威服务器运行技术要求下列术语和定义适用于本标准。3.1.1
域名Domain Name
域名系统名学空问中，从当前节点到根节点的路径上所有节点标记的点分顺序连接，如图1中对应的域名\bj.cn.\。
在本标准中，域名的范围包含了由数字、英文字母及连接符（\\）等ASCII编码组成的英文域名，以及由非ASCI编码的字符组成的国际化域名（IDN）两大范畴，比如,中国，，网络，，公司等。3.1.2
域Domain
域名系统名字空间中的--个了集，也就是树形结构名字空间中的一棵子树。这个子树根节点的域名就是该域的名字，如图1中灰色圆遇所示的域\net.cn\。3.1.3
顶级域TopLevelDomain
域名系统名字空间中根节点下最顶层的域。顶级域分为国家及地区代码顶级域（CountryCodeTopLevelDormain，ccTLD）、通用类别顶级域（GenericTopLevelDomain，gTLD）和行业类别顶级域（sponsoredTopLevelDomain，sTLD）等一种不同类型。如图1中“cn\为中国项级域，“com”、“nct\、“arpa\均为通用类别顶级域，而\te!\、“mobi\则是行业类别顶级域。3.1.4
HTYKANIKa
YD/T2091-2010
资源记录ResourceRecord
在域名系统中用于存储与域名相关的属性信息，简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录市名字（Name），类型（Type）、种类（Class）、牛存时间（TTL）、记录数韬长度（Rdlength）、记录数据（Rdata）等字段组成。3.1.5
域名系统Domain Name Systemt
一种将域名肤射为某些预定义类型资源记录（ResourceRecord）的分布式互联网服务系统，网络中域名解析系统问通过样互协作，窦现将域名最终解析到相应的资源记录。域名系统由名字空问和资源记录、域名解析系统、解析器二部分共同组成。域名系统的名字空问尼一个分层次的（Hierachical）树状结构，在资源记录中存储了包含IP地址：等与域名相关的多种倍息，通过不同层次「域名解析系统的协作实现对域名属性信息的分布式检索。3.1.6
域名解析系统 Domain Name Service System提供域名解析服务的系统，由权威域名解析系统、递归域名解析系统组成：3.1.7
权威域名解析系统AuthoritativeDomainNameServiceSystem对丁某个或者多个区具有权威的服务系统，权威解析服务系统保存着其所拥有权威的区的原始域名资源记录信息。根域名系统名字空间的树状结构，权威域名解析系统包括根域名解析系统、顶级域名解析系统科其他各级或名解析系统3.1.8
递归域名解析系统RecursiveDomainNameServiceSystem负责接收知户（解析器）的解析清求，非通过存询本地缓存或者热行从根城名解析系统到被查询域名所属权威服务系统的递归套询过程，获得解析结果并返回给用户的域名解析系统。一般来说，按接耽能的不同，域名解析服务系统本身可以分为权解析服务系统和本地（递归）解析服务系统两类。这两者之间最大的区别就是，权威解析服务系统通常不提供递归解析（RecursiveResulution）服务，它只负责继扩和保存它所拥有权威的域的资源记录信息，并且接受递归解析服务系统的查询请求：而本地（递归）解析服务系统则常不会维护或者管理任何域的资源记录数据，它只负责接收用户（解析器）的查询，并且适过本地缓存或省向包括根在内的权裁名字服务系统发出查询从而获得查询结果。
区文件ZaneFile
某个区内的域名和资源记求及相关的权成起始信息（StartofAutharity，SOA）按照定的格式进行组合，从而构成存储这些信息的区文件。其，权威起始信息包含了区的管理员电子邮件地址（MailAddress）、序列号（Serial）、更新周期（Refresh），重试周期（Retry）和过期时间（Expire）等信息。3.1.10
主域名解析系统MasterDomainNameServiceSystem被配置成区数据发布源的权威域名解析系统。2
辅域名解析系统SlaveDamainNameServiceSystem通过区传送协议来获取区数据的权威域名解析系统。3.1.12
区传送ZoneTransfer
YD/T 2091-2010
将区的资源记录内容从王服务系统向辅服务系统传送的过程，用于实现主，辅服务系统问的数据同步。
解析器，Resolver
向名字服务系统发送域名解析请求，并且从名字服务系统返回的响应消息中提取所需信息的程序。解析器软件通常集成到操作系统内核或者应用软件中。3.2缩略语
下列缩略语适用于本标准。
4概述
Country Code Top Level DomainDomainNameSystem
Generic Top Level Domain
Internet Protocol
Key Signing Key
Request For Comments
Start of Authority
Transtmission Control ProtocolTime to Live
Top Level Domain
User Datagrarn Protocol
Zone Signing Key
国家码类别顶级域
域名系统
通用类别项级域
网际协议
密钥签名密钥
请求注解
起始授权
传输控制协议
生存时问
顶级域
用户数据报协议
区爹名密钥
域名解析服务是一种互联网应用层资源的寻址服务，是其他互联网络应用服务的基础。常见的互联网络应用服务有Web服务，电子邮件服务，FTP服务等，它们都是以域名服务为基础，来实现系统内部资源的寻址和定位的。
域名解析系统是以树型拓扑结构米定义的，由不同类别的域名解析系统服务机构负责不同级域名的解析服务。其对应关系如图1所示。树的顶层是根域的服务器（Ro0t），日前一共有13个根服务器遍布全球。逻辑上每一个根服务器对外都为不同的IP地址，物理上每一个IP地址标识的根服务器则是通过任播（Anycast）技术，由若干台物理服务器构成。接下来一层为顶级域（TLD）层，由国家及地区代码顶级域（ccTLD），通用类别项级域（gTLD）和行业类别顶级域（sTLD）三类组成。域名树型拓扑结构中顶级域下层的二级域、三级域，以及再下一层子域域名的解析服务，如\.com.cn”、“.org.cn”、“bj.cn\等，通常是由获得授权的权威名字服务器米完成。
HTYKANIKa-
YD/T 2091-2010
权威域名
解析系统
由CNNIC负责运行和管
理的权威域名服务器，
面向逆归域名服务器
归域名服务器。
面向终端用户
图1全球域名服务体系结构图
避归域名
解析系统
整个域名解析系统从职能上看，包括两大类系统，即权威域名解析系统（AuthoritativeDNS）和递归域名解析服务（RecursiveDNS）。权威域名系统服务是指拥有某个区的域名信息，并为该区提供域名解析的服务。权威域名系统通常面向的不是终端用户。图1中，cn和bj.cn的域名解析系统就属于权威域名系统。递归域名系统则相反，它不针对某个区提供域名解析服务，而是直接面向终端用户，为终端用户提供递归的域名解析系统。
针对上述域名解析系统的组成结构，本标准应涵盖权威域名解析系统、权威域名服务器、递归域名解析系统以及递归域名服务器等方面的安全要求。5公共域名解析系统安全方针
公共域名解析系统管理者应根据业务目标制定清晰的安全指导方针，并通过在整个域名解析服务系统运行单位内颁布和维护安全方针文件来表明对公共域名解析系统安全的支持和承诺。5.1公共域名解析系统安全方针文件安全方针文件应说明运行管理承诺，并提出在公共域名解析系统安全管理方面的方法。文件中包括以下内容：
a）公共域名解析系统的技术要求，包括但不限于：1）权威域名解析系统技术要求：2）递归域名解析系统的技术要求：3）授权安全要求；
4）DNS数据备份要求。
b）公共域名解析系统的管理要求，包括：1）资产管理要求：
2）人员管理要求：
3）运行管理要求；
物理和环境安全要求：
5）设备安全要求：
6）通信和操作安全要求：
7）访问控制要求：
8）连续性管理要求。
5.2安全方针文件的评审
YD/T2091-2010
按计划的时问间隔或当重大变化发生时进行安全方针的评审，确保它持续的适用性、充分性和有效性。尤其当相关的域名系统运行、技术、安全等方面的标准变更之后。6技术要求
6.1权威域名解析系统技术要求
6.1.1功能和协设要求
作为权域名系统的权威服务器，应具备权威服务器的基本功能，即能够正常处理米自互联网络的任何客户端的域名查询请求，和该区的可信任辅服务器之间实现安全的区数据传送，支持DNS安全协议。其实现必须符合IETF和关RFC标准，符合必备的接口和安全协议，完整的安全要求和要求支持的RFC列表见《域名系统权威服务器运行技术要求》。6.1.2拓扑规划要求
针对某个权威域，提供权威域解析的服务器数量应保证多台备份，提供权威域解析的服务器应部署在多个不同的自治域网络中，并且建议在地理上进行合理分配分布，达到抗自然灾害等灾备日的。具体部署数量和分配要求见《域名系统权威服务器运行技术要求》。6.1.3性能要求
权威域名解析系统应保证业务处理能力，预留应对突发流置的处理能力，满足《域名系统权威服务器运行技术要求》中规定的解析性能要求以及域名数据同步要求。6.1.4权威域名服务器安全要求
权威服务器的安全决定了权威服务的可靠性和稳定性，是整个域名解析系统安全的核心问题，权威域名解析系统需要保证DNS服务的的数据安仑、解析安全以及传输安全，具体要求见《域名系统权威服务器运行技术要求》。
6.2递归域名解析系统技术要求
递归服务器是最终面对互联网用户的域名服务器，对于保障各种互联网应用的正常运行具有重要意义。此外，针对递归服务器的名类攻击（缓存中毒、域名劫持、DNS放大攻击等）日益威胁互联网系统的安全。因此，有必要对互联网中递归服务器的构建进行规范化。6.2.1协议要求
作为递归域名系统的递归服务器，应具备递归服务器的基本功能，即能够安全的实现查询，缓存等功能。其实现必须符合IETF相关RFC标准，符合必备的接口和安全协议，完整的安全要求和要求支持的RFC列表具体要求见《域名系统递归服务器运行技术要求》。6.2.2拓扑规划要求
针对某个自治域内，提供递归域解析的服务器数量应保证多台备份。同一自治域内的不同递归服务器在部署上应该进行分布，同一用户访问两台服务器的路径上不存在单一故障点。具体部署数景和要求见《域名系统递归服务器运行技术要求》。HTYKANKAca
YO/T 2091-2010
6.2.3性能要求
递归域名解析系统应保证业务处理能力，预留应对突发流量的处理能力，满足《域名系统递归服务器运行技术要求》中规定的解析性能要求以及域名数据同步要求。6.2.4递归域名服务器安全要求
递归服务器的安全决定了具服务域内域名服务的可靠性和稳定性，是局部范闺内域名解析系统安全的核心问题。递归服务器应该保证安全远程管理和安全缓存清空等数据安全；保证解析软作和同步等解析安全，具体要求见《域名系统递归服务器运行技术要求》。6.2.5中文域名支持要求
中国境内的递归服务器应配置对中文域名（CDN/IDN）的支持，比如.中国，中國，网络，公司，網路，公溢，政务。
递归服务器的配置应确保通过其进行查询的用户能够正确解析相应的域名。6.3授权安全要求
公共域名解析系统应符合《域名系统授权体系技术要求》。6.4DNS数据备份要求
6.4.1日志存放形式
域名解析日志应完全保存，并以冷备份的方式按日期存放。冷备份的方式应有两种以上，包括硬盘、磁带、光盘等方式。
热备份是将口志存放在服务器的存储设备上。6.4.2日志存放时间
冷备份应保留最新的3个月的日志。并建议进行永久保留。热备份的保留时间，应以满足域名管理者的日志分析需求为标准6.4.3日志分析
应建立解析服务日志的分析制度，以使于及时发现服务中的异常情况，并对非法访问采取必要的防范措施。
7管理要求
7.1资产管理要求
7.1.1资产清单
应清晰的识别公共域名解析系统所涉及的资产，编制并维护公共域名解析系统的核心资产清单。清单中应包括所有为从灾难中恢复而需要的资产，与公共域名解析系统柏关的资产可能包括：信息资产，软件资产、物理资产、服务、人员、无形资产等。7.1.2资产责任人
与公共域名解析系统有关的所有信息和资产都应指定部门和人员承担责任，资产责任人应确保：a）与公共域名解析系统相关的信息和资产进行了适当的分类；b）确定并周期性审查访间限制和分类。7.1.3资产的合规使用
与公共域名解析系统相关的信息和资产使用规则应当确认并形成文件加以实施。7.1.4以资产清单为基础的脆弱性和威胁分析YD/T2091-2010
a）从技术脆弱性和管理脆弱性两个方面，对公共域名解析系统进行脆弱性的分析：b）从技术威胁、环境威胁、人为威胁3个方面，对公共域名解析系统进行威助分析。7.2人员管理要求
在公共域名解析系统的管理人员和第三方人员的整个任职周期内，包括聘任前、聘任中、离职3个阶段，采取相应的控制措施，降低公共域名解析系统所面临的人为威胁。应考虑：8）确保公共域名解析系统管理人员和第三方人员理解其职资，确保其具备相应的技术能力，以降低公共域名解析系统被破坏或者不当使用的风险；b）应对公共域名解析系统管理人员和第三方人员提供适当程度的安全意识和安全技术培训以及公共域名解析系统相关信息和资产的正确使用方法，并建立一个正式的处理安全违规的纪律处理过程。c）应有流程或规定规范公共域名解析系统管理人员和第三方人员退出公共域名解析系统的管理，并确保相关人员归还所有设备及删除他们的对公共域名解析系统的所有访问权限。7.3运行管理要求
公共域名解析系统应遵守《域名系统权威服务器运行技术要求》以及《域名系统递归服务器运行技术要求》中相关的运行管理要求。此外，公共域名解析系统中所有涉及到的服务应对国家主管部门提供数据采集接口，并应按照国家主管部门《互联网网络安全信息通报实施办法》的规定对相应网络安全事件进行通报。7.4物理和环境管理要求
7.4.1设置安全的区域Www.bzxZ.net
a）应设置安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护公共域名解析察统信息和资产所在的区域：
b）应设置恰当的逊出控制措施，确保只有授权任用才能进出，同时进出的信息要予以记录和审计：c）应有适当的措施来避免火灾、洪水，聪震、爆炸、社会动荡和其他形式的自然灾难或人为灾难对域名解析索统所在区城的破坏：d）应有足够的支持性设施（例如电、供水、排污、加热/通风和空调）米支持域名解析系统。支持性设施应定期检查非适当的测试以确保它们的功能，减少由于它们的放障或失效带来的风险。7.5设备管理要求
7.5.1设备安置和保护
a）公共域名解析系统的设备应进行适当安置，以防止对相关设备的未授权物理访问：b）应采取控制措施以减小潜在的物理威胁的风险，例如愉窃、火灾、爆炸、烟雾、水（或供水故障）、尘埃、震动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏：c）对于可能对公共域名解析系统运行状态产生负面影响的环境条件（例如温度和湿度）要予以监视
d）建筑物应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过滤器：7.5.2布线和设备维护
a）应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏；6）使用文件化配线列表减少失误的可能性：HTYKANKAca
YD/T2091-2010
）要按照供应商推荐的服务时间间隔和规范由已授权人员对设备进行维护，同时保存所有可辩的或实际的故障以及所有预防和纠正维护的记录；d）应绘制与当前运行情说相符的系统拓扑结构图。7.5.3设备的安全检测和监控
8）公共域名解析系统的硬件设备应进行安全检测，确保其满足相应的行业标准、技术规范等，并保留检测证据：
b）操作系统的安装应遵循最小化原则，及时进行升级和打补丁：c）域名解析软件的安全性应定期龈踪并及时升级和更新，防止漏洞带来的威胁：d）对业务、应用软件、服务器、网络设备等子系统进行7×24h不间断探测监控，监测的频率应不低于10min一次，监控日志的保存时问应至少为3个月。e）对域名资源记录和解析结果进行正确性抽检，抽检频率建议至少每小时1次。7.6通信和操作管理要求
7.6.1操作程序和职责
a）与公共域名解析系统相关的操作应有成文的操作程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、DNS软件的配置维护和物理安全等：b）与公共域名解析系统相关的各类责在及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用域名解析系统资产的机会。7.6.2防范代码
防范恶意代码要基于恶意代码监测、修复软件、安全意识、适当的系统访问和变更管理控制措施，可以考虑以下内容：
a）建立禁让:使用未授权软件和正确使用授权软件的策略；b）安装利定期更新恶意代码检测和修复软件来扫描域名解析系统，并根据扫描结果升级域名解析系统。
心）制定适当的从恶意代码攻击中恢复的业务连续性计划。7.6.3设备和线路备份
a）系统应为分布式广域部署，节点间服务五备：b）关键设备的重要部件应采用穴余的方式提供保护：c）系绕关键设备、重要线路应采用完余的保护方式，提供灾难备份和恢复的能力：7.6.4数据备份
a）应根据风险评估的结果，确定要备份的数据和文件，一般情况下需考虑系统配置文件、解析日志，区文件等，备份时间至少为3个月；6）应建立备份拷贝的准确完整的记录和文件化的恢复程序；c）宜定期测试备份介质，以确保当需要应急使用时可以依靠这些备份介质：d）恢复程序应定期检套和测试，以确保他们有效，并能在操作程序恢复所分配的时间内完成7.6.5网络安全管理
a）应建立远程设备管理的职责和程序8
YD/T 2091-2010
b）主域名解析系统、辅域名解析系统以及备份解析系绕的部署励处丁不同白治域，避免单一网络失效引起的解析中断。
c）宜建立专门的挖制，以保护在公网上传递数据的保密性和完整性，并且保护已连接的系统及应用：
d）如有必要，应按照相关标准要求，阻断或定向用户对恶意域名的访间；e）应使用适“的日志记录监视措施；7.6.6审计和分析
a）应产牛记录用户活动、异常和信息安全事态的审计月患，并要保存至少3个月以支持将来的调查和访问控制监视：
b）应采取措施保证士域名解析系统、辅域名解析系统、备份域名解析系统内设备之问的时间同步，实现日志时间的精确同步；
c）审计的内容至少包括：授权访问、特殊权限操作、未授权的访问尝试、系统警报或故障：d）记录日志的设施和口志信息应加以保护，以防止篡改和未授权的访问。7.7访问控制管理要求
7.7.1公共域名解析系统对外公开服务的访问控制公共域名解析系统对外开放服务只开放UDP53端口。7.7.2访问控制策略和用户访问管理a）应在访间控制策略中范晰地规定每个用户或每纽用户的访间控制规则和权利：6）应限制和控划特殊权限的分记及使用，防范未授权访问的多用户系统应通过正式的授权过程使特殊权限的分配受到控制：
c）应定期检查权限的分配，确保用户访问权限的正确分配。7.7.3网络访问控制
a）应能为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级：b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级：c）应在网络中实施路出挖制，以确保计算机连接和信息流不违反业务应用的访问控制策略。7.7.4操作系统访问控制
a）登录到操作系统的程序应设计成使末授权访问的机会减到最小：6）所有公共域名解析系统的管现员和第三方人员（包括技术支持人员、操作员、网络管理员、系统程序员和数库管理员等）应有唯的。专供具个人使用的标识符（用户ID），应选择一种适当的鉴别技术（口令、令牌或智能卡）证实月广所宣称的身份，静态口令应满足一定的复杂性要求并且定期更换：
c）在一个设定的休止期后，超时登录应清空会话屏幕，也前以设置关闭应用和网络会话。7.7.5信息和敏感系统访问控制
a）应对设备重要信息资源设置敏感标记：b）绒据安全策略严格控制川对有敏感标记重要管恩资源的操作：c）应实现操作系统和数据库素绕特权川门权限分离。7.8连续性管理要求
HTYKANKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。