YD_T 2091-2010公共域名解析系统安全要求.pdf

ICS 35.100.70L 79Y中华人民共和国通信行业标准YD/T 2091-2010公共域名解析系统安全要求Security specification for public DNS resolution system2010-12-29发布2011-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2091-2010目次前1范围2规范性引用文件3术语、定义和缩略语·3.1　术语和定义·3.2缩略语°4　概述5公共域名解析系统安全方针5.1公共域名解析系统安全方针文件..5.2安全方针文件的评审·6技术要求·6.1权威域名解析系统技术要求·..:6.2递归域名解析系统技术要求·6.3　授权安全要求6.4DNS数据备份要求?7管理要求···7.1资产管理要求7.2　人员管理要求·7.3运行管理要求·7.4物理和环境管理要求···7.5设备管理要求·7.6通信和操作管理要求7.7访问控制管理要求·7.8连续性管理要求 YD/T 2091-2010c）要按照供应商推荐的服务时间间隔和规范由已授权人员对设备进行维护，同时保存所有可疑的或实际的故障以及所有预防和纠正维护的记录；d）应绘制与当前运行情况相符的系统拓扑结构图。7.5.3设备的安全检测和监控a）公共域名解析系统的硬件设备应进行安全检测，确保其满足相应的行业标准、技术规范等，并保留检测证据；c）域名解析软件的安全性应定期跟踪并及时升级和更新，防止漏洞带来的威胁；d）对业务、应用软件、服务器、网络设备等子系统进行7×24h不间断探测监控，监测的频率应不低于10min一次，监控日志的保存时间应至少为3个月。e）对域名资源记录和解析结果进行正确性抽检，抽检频率建议至少每小时1次。7.6通信和操作管理要求7.6.1操作程序和职责a）与公共域名解析系统相关的操作应有成文的操作程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、DNS软件的配置维护和物理安全等；b）与公共域名解析系统相关的各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用域名解析系统资产的机会。7.6.2防范代码防范恶意代码要基于恶意代码监测、修复软件、安全意识、适当的系统访问和变更管理控制措施，可以考虑以下内容：a）建立禁止使用未授权软件和正确使用授权软件的策略；b）安装和定期更新恶意代码检测和修复软件来扫描域名解析系统，并根据扫描结果升级域名解析系统。7.6.3设备和线路备份a）系统应为分布式广域部署，节点间服务互备；b）关键设备的重要部件应采用余的方式提供保护；c）系统关键设备、重要线路应采用亢余的保护方式，提供灾难备份和恢复的能力；7.6.4数据备份a）应根据风险评估的结果，确定需要备份的数据和文件，一般情况下需考虑系统配置文件、解析日志、区文件等，备份时间至少为3个月；b）应建立备份拷贝的准确完整的记录和文件化的恢复程序;c）宜定期测试备份介质，以确保当需要应急使用时可以依靠这些备份介质；d）恢复程序应定期检查和测试，以确保他们有效，并能在操作程序恢复所分配的时间内完成；7.6.5网络安全管理a）应建立远程设备管理的职责和程序；8 YD/T 2091-2010b）主域名解析系统、辅域名解析系统以及备份解析系统的部署应处于不同自治域，避免单一网络失效引起的解析中断。c）宜建立专门的控制，以保护在公网上传递数据的必威体育官网网址性和完整性，并且保护已连接的系统及应用;d）如有必要，应按照相关标准要求，阻断或重定向用户对恶意域名的访问；e）应使用适当的日志记录和监视措施；7.6.6审计和分析a）应产生记录用户活动、异常和信息安全事态的审计日志，并要保存至少3个月以支持将来的调查和访问控制监视；b）应采取措施保证主域名解析系统、辅域名解析系统、备份域名解析系统内设备之间的时间同步，实现日志时间的精确同步；c）审计的内容至少包括：授权访问、特殊权限操作、未授权的访问尝试、系统警报或故障；d）记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。7.7访问控制管理要求7.7.1公共域名解析系统对外公开服务的访问控制公共域名解析系统对外开放服务只开放UDP53端口。7.7.2访问控制策略和用户访问管理a）应在访问控制策略中清晰地规定每个用户或每组用户的访问控制规则和权利；b）应限制和控制特殊权限的分配及使用，防范未授权访问的多用户系统应通过正式的授权过程使特殊权限的分配受到控制；c）应定期检查权限的分配，确保用户访问权限的正确分配。7.7.3网络访问控制a）应能为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级；b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c）应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制