GB_T 33134-2023 信息安全技术 公共域名服务系统安全要求.docx

ICS35.030(S1.«0G日中华人民共和家标准GB/T331342023代GBT531342016信息安全技术公共域名服务系统安全要求Informationsecuritytechno1.ogy一Securityrequirementofpub1.icdomainnameservicesystem2023-03-17发布国家市场监督管理总局国家标准化管理委员会本文件按照GB"1.1-2020£标准化工作导则第1部分：标准化文件的结构和起草规则？的规定起草。本文件代替GBT331M2016£信息安全技术公共域名服务系统安全要求3,与GBT331342016料比,除结构调整和编辑性改动外,主要技术变化如下：a）增加J'术语"名字空间”和“公共域名服务系统”（见X1、a11）;b）删除了图1的说明内容（见第5章,2016年版的4.D：C）增加了美丁重要DNS基础设施部署及政府重要网站公共域名服务系统安全要求（见第5章，2016年版的4.2）;d）更改了协议要求（见6.1.1、6.2.1,2016年版的5.1.1,5.2.1）：e）均加权成服务洪的系统安全要求和解析安全要求（见61.3）;0增加了递归服务器与客户端连接安全要求（见6.2.31；g）增加了递归服务器的系统安全要求和解析安全要求（见6.2.1）：h）更改了对外服务的访问控制的规定（见77.1,2016年版的6.7.1）;i）增加重要DNS暴础设施部署安全要求（见附录A中A.1）;j）增加了政府通要网站公共域名服务系统安全要求（见附录A中A.2）,请注意本文件的某些内容可能涉及利。本文件的发布机构不承担识别学利的责任。本文件由全国信息安全标准化技术委员会（SAeTC260）提出并归口.本文件起草单位：中国互联网络信息中心、国家计算机网络应急技术处理协刑中心、清华大学、华为技术有照公司、阿里云计算有限公司、广东盈世计算机科技有限公司、中国联合网络通信有限公司、国防科技大学、中国科学院计算机网络信息中心、北京密安网络技术股份有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司.本文件主要起草人：李洪涛.姚健康、周琳册、曾宇、戒科军、空志伟、张曼、舒敬、段海新、陈悦、宽同阳、宋林健、吴秀诚、孔令G蔡志平、吴双力、韩永E、！；俄、不快.本文件及其所代替文件的历次版本发布情况为：-2016年首次发布为GBT331342016：本次为第一次修订。信息安全技术公共域名服务系统安全要求1范BI本文件规定了公共域名服务系统的安全技术要求和安全管理要求.本文件适用于各级公共域名服务系统的运营和管理.2规范性引用文件列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件，仪该日期对应的版本适用r本文件；不注口期的引用文件，其城新版木(包括所有的修改科适用于本文件。YDT2052-2015域名系统安全防护要求YD.T2137域名系统递归服务滞运行技术要求YD/T2138域名系统权威服务器运行技术要求YDT2142基于国际多语种域名体系的中文域名做体技术要求YDrr2143基于国际多语种域名体系的中文域名的编码处理技术要求YD-T2438基于国际多语种域名体系的中文域名注册字表要求IETFRFC1034域名概念和基础设施(DOmainnames-conceptsandfaci1.ities)IETFRFC1035域名实现与详述(DOmainnamesimp1.ementationandSPeCiGCaI沁n)IETFRFC4033DNSSEe介绍与需求(DNSsecurityintroductionandrequirements)IHTERFC4034资源记录支持DNSSEC(ReSOUrCerecordsfortheDNSsecurityextenskns)IETFRFC4035支持DNSSEC的协议修改(Pro1.OCO1.II1.Odiffca1.ionSforIheDNSsecurityextensions)IETFRFC7858携TT1.S的DNS规他(SPeCifka1.iOnforDNSovertransport1.ayersecurity(T1.S)IETFRFC8310基于T1.S的DNS和唯于DT1.S的DNS的使用情况(USageprofi1.esforDNSoverT1.SandDNSoverDT1.S)IETFRFC84S4基于HTTPS的DNS查询DNSqueriesoverHTTPS(DoH)3 *W11下列术语和定义适用于本文件。3.1名字空间namcspa<x以树形结构分层表示的名字命名层次结构.&名字空间处个树状结构，每个节点对应于相应的资源集合购个资源蛆合可能为空),DNS不区别树内节点和叶子节点，统称为节点。每个节点有一个标记，这个标i己的长皮不超过63字节，父节点不问的节点可使JR相同的标。只彳眼节点的标i已长度为0饺标D3.2MjSdomainname域名系统名字空间中，从当前节点到根节点的路径上所有15点标记的点分顺序连接的字符*,3.3domain域名系统名字空间中的一个子集（即树形结构名字空间中的棵f树）.注：这:树根节点的城名就是该城的名字.3.4J（ftMt<,p1.eve1.domain域名系统名字空间中根节点下最顶层的域.3.5责毒记录resourcerecord域名系统中存储的与域名相关的属性信息.注：毋个域名对应的记录可能为空或者多条，域名的资源记录由名字、类型、种类、生存时间、记录数据长度、记录喇的幽城.3.6区文件zonefi1.e某个区内的域名和资源记录及相关的权威起始信息按照一定的格式进行组合，从而构成存储这也伯恩的文件.注：板成起始信息包含r区的管理员电子邮件地址.序列号、更新周期、重试周版和过期H间等信息.3,7名M（IftdomainnameSyStem种将域名映射为某些预定义类型资源记录的分布式互联网服务系统。注：网络中域名服务系统间通过相丸协作，实J贿域名最终斛析到相应的资源i（!录，3.8K务系统domainnameserviceS）S1.Cm提供域名解析眼务的系统。注：由杈或域名服务系统、递域名服务系级U必3.9权威域名AR务系统authoritativedomainnameserviceSyStem对于某个或首多个区具有可信数据功能的域名服务系统，注：削减农朋务系统保存制场制Kj区的原始域名资源加信息.3.10现日城名魔务JMtrecursivedomainnameservicesystem负击接收用户（解析器）的蟀析请求,并通过查询本地缓存或拧执行从根域名眼芬系统到被查卸域名所属权城域名服务系统的递归杳询过程，获得解析结果并返回给用户的域名限务系统。3.11公共域名服务系毓pub1.icdomainnameservicesystem面向互联网用户提供公开极务且出级达到十万级以上的域名服务系统.3.12f1.Wreso1.ver向名字眼务系统发送域名解析请求，并从名字取务系统返回的响应消息中提取所需信息的程序.&斤器软件端捌好蝴K系统内核或者网瞅件中.3.13权威域名朦务BIauthoritativenameserver对于某个或拧多个区具有权威的服务潜，保存其原始域名资源记录信息.注：简称“权威服务器”3.14递归册名屡务recursivenameserver负责接收用户端发送的请求，然后通过向各级权或服务器发出资询谛求获得用户需要的查询结果，鼠后返回给用户端的解析器。注：确:-WHIMS*.3.15主域名JR务系统masterdomainnameservicesystem被配置成区数据发布海的权或域幺服务系统C3.16tt域名服务系线s1.avedomainnameserviceSyStem通过区传送协议来获取区数据的权威域名服务系统.4 Btff下列缩略谱适用于本文件.AS:自治系统(AiitonomosSystem)BGP:边界网关步议(BorderGatewayPro1.oco1.)DNS:域名系统(DOmainNameSystem)DNSSECDNS安全扩展(DOmainNameSystemSecurityExtensions)DoH:战THTTPS的DNS(DNSoverHTTPS)DOT:肥于T1.S的DNS(DNSoverT1.S)FTP:文件传输协议(Fi1.CTransferProtoco1.)HTTP:超文本传输协议(HyPCrTextTransferProtoco1.)HTTpS:超文本传输安全协议(HyParTextTransferProtoco1.overSccurcSocket1.-aycr)IANA:互联网数字分配机构(hucmc1.AssignedNumbersAuthority)ICANN:互联网名称与数字地址分配机构(The1.11(emetCofponi1.ionforAssignedNamesandNumbers)IP:网际例议Hn1.Crne1.Pro1.oco1.)NS:名字服务器(NiHnCServer)NTP：网络时间协议(Ne1.WOrkTimeP(oco1.)R1.ogin:远程登录(ReInO<c1.ogin)TCP:传输控制协议(TrUnSmiSSionContro1.Protoco1.)T1.S:传怆层安全(Tranjort1.ayerSecurity)UDP:用户数据报协议(UserDatagramPro1.iKoI)5 0域名服务系统足以树形拓扑结构来定义的,由不同类别的域名服务系统服务机构负贡不同级域名的解析服务，其对应关系见图1.整个域名服务系统从职但上看，包括两大类系统：权威域为服务系统和递归域名服务系统，权威域名服务系统是指拥有某个区的域名信息，并为该IX提供域名斛析的服务.权威域名服务系统通常面向的不是终端用户0图1中.Cn和的域名服务系统就属于权或域名系统.递归域名服务系统则相反，它不针对某个区提供域名解断服务,而是直接而向终端用户，为终端用户提供递归的域名服务系统.ICANN开放的新通用顶银域，同样适用于以上域名服务系统。公共域名服务系统安全技术要求,包括权或域名服务系统、递归域名服务系统、授权和DNS数据备份等：公共域名服务系统安全管理要求,包括资产管理、人员管理、运行管理,物理和环境安全、设备安全、通信和操作安全、访问控制、连续性管理以及网络安全事件等：关于理要DNS基础i焕部署及政府小要网站公共域名服务系统安全要求，按附录A,66.1 权皿名JK务系魁附竦&1.1权威域名服务系统的权成域名J1.1.i务器（简称“权成服务器"）的实现应符合IETFRFC1034,IETFRFCKB5、IETFRFC4033、IETFRFC4034和IETFRFC4035的规定。6.1.2拓扑融!要求针时某个权威域，提供权威域解析的服务器数俄应保证多台备份，提的权成城解析的服务潜应部潜在多个不同的自治域网络中,且宜在地理上进行合理分布,达到抗自然灾击等灾备目的。具体部署数盘和分配要求应符合YDjT2138的规定。&1.3&1A1刎侬虹求系统安全应满足YD"2052-2015中：级及以上域名系统安全等级保护要求-系统安全要求如下。a）权威服务器不应提供递归服务。b）权峻服务器应仅提供TCP和UDP53端口的标准DNS解析服务：如果支持DOH和DOT服务，还应提供DoH协议443端口和DoT协议853端口斛折服务。C）作权威服务器其他TCP/UDP端11上提供的服务应限制在该服务系统内部的服务战之间进行.中禁止除管理员之外的其他人或其他服务器从域名解析服务器上下教区文件.e）权顺服务器白身不应提供除了域名服务之外的其他服务，例如：IrnKTe1.neuRiqgmFrR柒0服务涔应通过一种安全机制来进行远程管理和维护，g）服务器所在的局域网内不应放置容易被攻破的主机.h）服务器所在的同域网应有包过滤机制，以阻断来口域名服务端口以外的端口访问。i）采用陛藏的主服芬涔作为一个权或域名IS务系统的数据源，j）域名数据的更新应在必要的更新错误检测之后进行。一旦更新失败需要人为干预.当发生产田的网络故障时,每个权城服务器都应有替换办法（需价网络通道或者非网络途径）来更新域名数据.k）权威服务器应维护和记录全局的统计数据（包括用户查询日志等），以便于进行数据分析，发现安全院患.&1.1261.&21在权威服务器提供域名解析服务前应采取卜.列措施对每一次生成的域名数据进行语法检查和匹配检查。a）语法检看，检杳区文件格式是否符合域名解析软件的格式要求。语法检杳应在区文件生成之后，区数据的传送开始之前完成，b）匹配检查,全量/随机检查区文件与数据库注册数据信息的一致性.匹配检查的时间应保证在域名注册生效时间周期内完成.&1.a22M½fWttff±应对域名解析软件诳行防范缓存中毒、DNS破定向漏洞造成域名劫持或域名更改辔事件的安全检验。&1.&23SfiMfi为确保解析服务的安全性，域名注册管理机构、域名注册眼务机构以及网络互联单位的域名解析取务器，在内部管理政策允许的情况下，应提供专门域名（bdkup）下的反向域名解析服务.&1.124域名权或辆服务器与主服务器应保持时间上的同步,可采用NTP或其他技术手段实现时间同步.6.2 g½JR务感蹑术要求&2.1递以域名服务系统的递归域名服务器（简称“递归服务器”）应具备安全的查询、镶存等基本功能，应符合IETFRFCIO34、IErFRFCIO35、IETFRFC4033、IETFRFC4054和IETFRFC4035的规定.&22拓IHH=针对某个自治域内提供递归域解析的服务器数优应保证名台答份“同一自治域内的不同递归服务器在部誉上应进行相应分布，同一用户访问两台服务器的路径上不存在单一故障点。具体部署数附和分配要求应符合YDa2137的规定.&23递归服务涔与客户端之间可选择建立加密可耶的连接传输数据。递归服务澎可通过基于T1.S或者HTTPS的DNS与客户端进行连接：a）如果选择基于T1.S的DNS.应符合IETFRFC7858和IETFRFC8310的规定：b）如果选择趋于InTPS的DNS,应符合IETFRFC8484的规定。&24&241系统安全应满足YD/T20522015中三级及以上域名系统安全等级保护要求，系统安全要求如下.a）递归服务器应仅提供TCP、UDP53端口的标准DNS解析服务。如果支持DoH和DoT服务，还应提供DoH协议443端口和DOT协议853端口解析服务.b）对于递打服务器向外的TCP协议和I；DP协议53端口访问不应进行限制.如果支持DOH和DoT服务，DoH协议443端口和DOT协议853端口也不应进行限制.0速打IK分器自身不应同时涨备权威服分岩功能，同时不提供除了域名服务之外的其他服务，例如HTIR远程服务（TdnC«）、RIOgin、FrP等.d）递归服务器应通过一种安全机制来进行远程管理和维护.e）通总服务器所在的局域网段不应放跣容易被攻破的主机，0递归服务器所在的局域网段应有包过谑机制,以阻断来自域名服务端口以外的端口访问.g）具备对递归服务器馈存数据进行清空的技术手段.h）递归服务器应维护和记录全局的统计数据（包括用户查询日志等），以便进行数据分析审计，发现安全陛患。&2A2解析安全要求如下：a）域名解析软件安全：应时域名解析软件进行防葩缓存中库、DNS必定向潮洞造成域名劫持或域名更改等事件的安全检验：b）根服务器指向：递归服务器应配置由IANA发布的13个根服务器指向地址；c）时间同步：域为解析辆服务器5主服务器应保持时间上的同步,可采用XTP或其他技术手段实邱时间同步.&25递归服务器谶置对中文域名的支持,例如“.中国”.中区T”小峪”.公司”“.别路”.公益”或“.政务”等中文顶级域以及其他顶级域卜中文二级域名。逸儿I眠分器的配飘应确保通过其进行任彻的用户能正确解析相应的域名.对于中文域名的注册、管理'DNS存储的安全要求,应符合YDa'2438、YD"2142和YD，T2143中的相关规定.6.3授权安全要求如下。a）作为授权而使用的NS记录应保持-效.即在卜.级DNS区中的域名NS记录在服务器数量、名字上均应与在上级域权威服务器中相应域名的NS记录保持完全一致.b>NS记录应符合IETFRFC1035的规定，其所指向的服务器为合法的主机名。C）权或服务器的IP地址应使用合法的互联网地址,并确保以任何互联网地址可访问服务涔的UDP和TCP的53端口.如果支持DOH和DOT服务,还应支持访问DOH协议443端口和DCT协议853端口.d）同一DNSIX的所有权威服务器在响应对NS记录的诂求时，应返回相同的结果。0同一DNS区的权或服务器的数盘应至少为2台，以确保解析服务的可靠性.0权威服务涔的域大数量应保证在响应对所服务区的NS记录的杳询时：包含、S记录和粘连记录（A记录和AAAA记录）的响应包的大小限制在512字节以内，即在不使用AAAA记录时，权成服务器数量的上限不应超过13.在每个服务器都使用AAAA记录时，权成服务器的数量上限不应超过8.6.4 I）NSaM0Ha4.1日志存放形式域名解析日志应栗用冷名份或热备份的方式.注：冷备份足怫日志按日期存放侬少两种以上介质上,包括便盘、三,光盘等.热备份是指将日志存放在正在运行的服务器存储设备上.&42日F1.志存放要求如下：a）冷备份险保留自域名服务起始的全部日志：b）热备份的保留时间应满足域名管理者的日志分析需求。&43日志硼应建立解析服务日志的分析制度，以便及时发现服务中的异常情况,并对非法访问采取必要的安全防范措施.7公共名JMg安±«9展求7.1 资产管理要求7.1.1 资产清单应清晰地识别公共域名服务所涉及的资产，编制并维护公共域名服务系统的核心资产清单.清单中应包括所有为从灾难中恢复而需要的资产,与公共域名服务系统相关的资产可能包括：信息资产、软件资产、物理资产、服务、人员、无形资产等.7.1.2Wte三三与公共域名服务系统有关的所有信息和资产均应指定部门和人员承担责任,资产费任人应：a）确保与公共域名服务系统相关的信息和资产遂行了恰当合理的分类：b）确定并周期性审查访问限制和分类。7. 1.3奥产的合规使用与公共域名服务系统相关的信息和资产使用规则应确认并形成文档加1以实施,7.1.4脆弱性和威肺分析要求如下：a）从技术脆弱性和管理脆弱性两个方面，对公共域名服务系统进行腌翔性分析；b）从技术威胁、环境威胁、人为威胁三个方面，对公共域名服务系统进行喇分析.7.2在公共域名服务系统的管理人员和第三方人员的修个任职周期内,包括聘任前、聘任中、离职三个阶段，应采取相应的控制告施，降低公共域名服务系统所面临的人为威胁，人员管理要求如下：a）确保公共域名服务系统管理人员和第三方人员理解其职次,确保其具备相应的技术能力，以降低公共域名服务系统被破坏或者不当使用的风险：b）对公共域名服务系统管理人员和第三方人员进行适当程度的安全意识和安全技术培训，以及公共域名服务相关信息和资产的正确使用方法，并建立一个正式的处理安全违规的纪律处理过程：C）应制定流程或规定,规范公共域名服务系统管理人员和第三方人员退出公共域名服务的管理,确保相关人员归还所有设备,并删除其对公共域名服务的所有访问权限,7.3运行管理要求如卜.：a）公共域名服务系统应符合YD,T2138和YDrr2137规定的运行管理要求：b）公共域名服务系统中所有涉及的服务应时国家主管部门提供数据采集接口,并应按照国家主管部门的规定对相应网络安全事件进行通报工作.7.4 榭9和环境管口求物理和环境管理要求如F：a）设置安全边界（例如：墙、卡控制的入口或有人管理的接待台等屏障）来保护公共域名服务系统信息和资产所在的区域：b）设置恰当的进出控制指旗，确保仅授权人员能进出，同时进出的信息应予以记录和审计；C）有适当的措施来防止火灾、洪水、地震、爆炸、社会动荡和其他形式的白然灾难或人为灾难对公共域名服务系统所在区域的破坏：d）有足帔的支持性设施（例如；电、供水、排污、加热/通风和空调）来支持公共域名服务系统。应定期检杳并测试支持性设施以确保它们的功能，然少由于其故障或失效带来的风腌，7.5 设务7.61 设备安和加设备安置和保护要求如下：a）公共域名服务系统的设备应进行适当安置，以防止对相关设备的未授权物理访问：b）对可能对公共域名服务系统运行状态产生负面影响的环境条件（例如：温度和渔度）应予以监视：O建筑物应采用避甯保护，所有进入的电源和通信戏路都应装配窗电保护过渡器。7.5.2布莲和设备维护要求如下：a）保证传输数据或支持信息服务的电源布缆和通信布缆免受嘉听或损坏；b）使用文件化配线列表减少失误的可能性：C）按照供应商推荐的服务时间间隔和规范由已授权人员对设备进行维护，同时保存所有可铤的或实际的故障以及所有预防和纠正维护的记录：d）绘制与当前运行情况相符的系统拓扑结构图.7.S.3设备的安全检测和监控要求如下：a）公共域名服务系统的件设备应进行安全推测，确保其满足相应的行业标准、技术规范等，并保留检测证据：b）操作系统的安装应遵循最小化原则，并及时进行升级和安装补丁：C）域幺解析软件的安全性应定期跟踪并及时升级和更新，防止漏洞带来的威胁；d）对业务、应用软件、服务器、网络设备等子系统进行7X24h不间断探;则监控，监测的频率应不少于1次/10min.监控口志的保存时间应至少为180d:O对域名资源记录和解析结果进行正确性抽检，抽检频率宜至少1次外.7.67.&1操作程序和职诳要求如下：a）与公共域名I我务系统相关的操作应有规范的操作程序，例如：计算机启动和关机程序、品份、设备维护、介质处理、计算HitJ1.房、DNsft件的配置维护和物理安全等：b）与公共域名服务系统相关的各类责任及职责他因应加以分割，以战少因未授权或无息识修改而不当使用域名服务系统资产的操作.7.&2me*ft1应采取恶诙代码监测'修更软件、提高安全意识'适当的系统访问和变更管理控制等措施来防范感意代码，具体要求如下：a）建立禁止使用未授权软件和正确使用授权软件的策略：b）应安装和定期更新恶意代玛监测和修亚软件来扫描域名服务系统，并根据扫描结果升级域名服务系统：O应制定适当的从恶急代码攻击中恢笈的业务连续性计划。7.&3设聋皿借份设备和设路备份要求如下：a）系统应为分布式广域部署,节点间服务互备：b）系统关谯设备、或要线路应采用冗余的保护方式，提供灾难备份和恢复的能力，7.6.1 数据备份数据备份要求如下：a）应根据风险评估的结果,确定需要饴份的数据和文件应包括系统配置文件、解析日志、区文件等，备份时间至少为180d;b）应建立的份凭贝的准确完整的记录和文件化的恢复程序：C）定期测试备价介质：d）恢复程序应定期检查和测试，并於在操作程序恢复所分配的时间内完成.7.&5网络安全管理要求如下：a）应建立远程设备管理的职费和程序：b）主域名服务系统、轴域名服务系统以及备份服务系统的部署应处于不同自治域，防止生一网络失效引起的解析中断：C）建立专门的控制,以保护在公网上传递数据的保密性和完整性,并且保护已连接的系统及应用；力必要情况E,应阻断或苴定向用户对恶意域名的访问。7.&6WRbW审计和分析要求如下：a）生成记录用户活动.异常和网络安全事态的审计日志,并应保存至少180天以支持将来的调查和访问控制监视：b）采取措施保证主域名服务系统、辅域名服务系统、备份域名服务系统内设备之用的时间同步.实现日志时间的精确同步：O审计的内容应包括但不限于：授权访问、特殊权限探作、未授权的访问隹试、系统警报或故障；<1）记录H志的设施和H志信息应加以保护，以防止篡改和未授权的访问，