YD_T 2052-2015域名系统安全防护要求.pdf

ICS 35.100.70L 79YO中华人民共和国通信行业标准YD/T2052-2015代替YD/T2052-2009域名系统安全防护要求Security protection requirementsfor the domain name system2015-04-30发布2015-04-30实施中华人民共和国工业和信息化部发布 YD/T205220155域名系统安全等级保护要求5.1第1级要求5.1.1业务及应用安全5.1.1.1业务提供域名解析服务器不应同时提供权威解析服务和递归解析服务，非递归解析服务器应配置禁止DNS域名避归查询。5.1.1.2入侵防范域名系统软件应配置隐藏软件版本信息。5.1.2网络安全5.1.2.1访间控制应在系统边界部署访间控制设备，并启用访问控制功能，具有根据IP和端口为数据流提供明确的允许/拒绝访问的能力，并默认投置为拒给，面只根据业务需要对特定网段开放访间权限。5.1.3设备及软件系统安全5.1.3.1安全配置a）域名系统所使用的操作系统的安全配置应满足YD/T2701的要求。b）域名系统所使用的数据库的安全配置应满足YD/T2700的要求。c）域名系统所使用的网络设备的安全配置应满足YD/T2698的要求。d）域名系统所使用的安全设各的安全配置应满足YD/T2699的要求。5.1.4物理安全应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第1级的相关要求，5.1.5管理安全应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》中第1级的相关要求。5.2第2级要求5.2.1业务及应用安全5.2.1.1业务提供除满足第1级的要求之外，还应满足：a）应对域名解析服务可用性和响应时间进行实时监测，如发现异常（如不能解析或解析响应时间超长）应能够在60s内报警。b）系统要求不间断运行，在排除不可抗因素的情况下，按月统计解析服务可用性监测结果，权威解析服务系统和递归解析服务系统业务可用性均应大于99.99%：e）不考虑网络延迟，按月统计解析服务响应时间监测结果，95%的权威解析服务系统域名解析响应时间应小于500ms，95%的通归解析服务系统城名解析响应时间应小于1500ms，d）每个节点的权威解析服务系统和递归解析服务系统均可处理3倍任一单个节点（每个对外提供解析服务的节点IP记为一个节点，下同）历史访间量采样集的95th百分点（95th百分点是指所给数集中超过其95%的数，95th百分点是统计时所采用的最高值，超过的5%的数据将被舍弃；实践中采用等间隔采样，每分钟采样1次，采样点均匀分布于流量曲线，去掉最大的5%采样值，剩下的最大值为95t百分点，以下替同）：5 YD/）域名解析服务器不应提供除了域名服务之外的其他服务。f）对权威域名服务系统，应保持主服务器对输服务器（组）的记录信息进行更新，保证数据同步，5.2.1.2访问控制a）权威域名解析系统应缺省拒绝所有主机的提交动态DNS更新，而只根据需要指定允许特定主机向本DNS服务器提交动态DNS更新。b）权威域名解析系绕应只根据需要指定允许特定主机对本服务器进行区域记录（zonefile）传输。5.2.1.3安全审计件的日期、时间、类型、主体标识、客体标识和结果等，b）应采取手段保证日志无法删除、修改或覆盖，例如日志集中管理、日志文件权限控制。5.2.1.4通信数据安全性a）域名系统应支持标准DNSSEC协议，并进行正确的协议配置：b）递归域名系统应配置正确的信任错及其公销（KSK）。5.2.1.5灾难备份a）应建立对域名解析相关关键数据和重要信息进行备份和恢复的管理和控制机制，备份范围和时间间隔、数据恢复能力应满足《域名服务业务连续性管理要求》和企业域名系统应急预案相关要求。关键数据和重要信息包括但不限于域名解析系统架构、域名解析软件及配置、域名数据库数据、域名解析日志、域名解析系统监控数据。b）关键数据和重要信息备份应定期进行，定期备份频率不低于一天一次，备份的数据/信息应于异地保存，备份保存时间不低于3个月。5.2.1.6入侵防范除满足第1级的要求之外，还应定期（至少每月一次）检查域名系统软件版本，对软件版本漏润进行评估，对存在严重漏润的软件及时进行升级。5.2.2网络安全5.2.2.1结构安全a）应绘制与当前运行情况相符的系统拓扑结构图。b）在指定服务域内，提供域名解析服务的服务器数量应不低于2台，网络节点、链路应实现余设计。c）应根据业务的特点，在满足高峰期流量需求的基赠上合理设计带宽，带宽应不低于历史高峰期流量的3倍。d）应采用内外网隔离、专线、加密等保护措施避免运程访间和域名数据在公共互联网的明文传输。e）应能按照业务需求和安全需求，合理划分安全域，按照统一