中国标准英文版 数据库收录: 159759 更新: 2024-05-07

[PDF] GB/T 33134-2023 - 英文版

标准搜索结果: 'GB/T 33134-2023'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 33134-2023 英文版 359 GB/T 33134-2023 有增值税发票,[PDF]天数 <=4 信息安全技术 公共域名服务系统安全要求 有效

基本信息
标准编号 GB/T 33134-2023 (GB/T33134-2023)
中文名称 信息安全技术 公共域名服务系统安全要求
英文名称 Information security technology -- Security requirement of public domain name service system
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.030
字数估计 18,147
发布日期 2023-03-17
实施日期 2023-10-01
旧标准 (被替代) GB/T 33134-2016
起草单位 中国互联网络信息中心、国家计算机网络应急技术处理协调中心、清华大学、华为技术有限公司、阿里云计算有限公司、广东盈世计算机科技有限公司、中国联合网络通信有限公司、国防科技大学、中国科学院计算机网络信息中心、北京密安网络技术股份有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司
归口单位 全国信息安全标准化技术委员会(SAC/TC 260)
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 国家市场监督管理总局、国家标准化管理委员会

GB/T 33134-2023: 信息安全技术 公共域名服务系统安全要求
GB/T 33134-2023 英文版: Information security technology -- Security requirement of public domain name service system
中华人民共和国国家标准
代替GB/T 33134-2016
信息安全技术
公共域名服务系统安全要求
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
1 范围
本文件规定了公共域名服务系统的安全技术要求和安全管理要求。
本文件适用于各级公共域名服务系统的运营和管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
3 术语和定义
下列术语和定义适用于本文件。
4 缩略语
下列缩略语适用于本文件。
5 概述
域名服务系统是以树形拓扑结构来定义的,由不同类别的域名服务系统服务机构负责不同级域名
的解析服务,其对应关系见图1。
6 公共域名服务系统安全技术要求
6.1 权威域名服务系统技术要求
6.1.1 协议要求
权威域名服务系统的权威域名服务器(简称“权威服务器”)的实现应符合IETFRFC1034、IETF
RFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的规定。
6.1.2 拓扑规划要求
针对某个权威域,提供权威域解析的服务器数量应保证多台备份,提供权威域解析的服务器应部署
在多个不同的自治域网络中,且宜在地理上进行合理分布,达到抗自然灾害等灾备目的。具体部署数量
和分配要求应符合YD/T 2138的规定。
6.1.3 权威服务器安全要求
6.1.3.1 系统安全要求
系统安全应满足 YD/T 2052-2015中三级及以上域名系统安全等级保护要求。系统安全要求
如下。
a) 权威服务器不应提供递归服务。
b) 权威服务器应仅提供TCP和UDP53端口的标准DNS解析服务;如果支持DoH和DoT服
务,还应提供DoH协议443端口和DoT协议853端口解析服务。
c) 在权威服务器其他 TCP/UDP端口上提供的服务应限制在该服务系统内部的服务器之间
进行。
d) 禁止除管理员之外的其他人或其他服务器从域名解析服务器上下载区文件。
e) 权威服务器自身不应提供除了域名服务之外的其他服务,例如:HTTP、Telnet、Rlogin、FTP等。
f) 服务器应通过一种安全机制来进行远程管理和维护。
g) 服务器所在的局域网内不应放置容易被攻破的主机。
h) 服务器所在的局域网应有包过滤机制,以阻断来自域名服务端口以外的端口访问。
i) 采用隐藏的主服务器作为一个权威域名服务系统的数据源。
j) 域名数据的更新应在必要的更新错误检测之后进行。一旦更新失败,需要人为干预。当发生
严重的网络故障时,每个权威服务器都应有替换办法(备份网络通道或者非网络途径)来更新
域名数据。
k) 权威服务器应维护和记录全局的统计数据(包括用户查询日志等),以便于进行数据分析,发现
安全隐患。
6.1.3.2 解析安全要求
6.1.3.2.1 语法和匹配检查
在权威服务器提供域名解析服务前,应采取下列措施对每一次生成的域名数据进行语法检查和匹
配检查。
a) 语法检查,检查区文件格式是否符合域名解析软件的格式要求。语法检查应在区文件生成之
后,区数据的传送开始之前完成。
b) 匹配检查,全量/随机检查区文件与数据库注册数据信息的一致性。匹配检查的时间应保证在
域名注册生效时间周期内完成。
6.1.3.2.2 域名解析软件安全
应对域名解析软件进行防范缓存中毒、DNS重定向漏洞造成域名劫持或域名更改等事件的安全
检验。
6.1.3.2.3 反向解析
为确保解析服务的安全性,域名注册管理机构、域名注册服务机构以及网络互联单位的域名解析服
务器,在内部管理政策允许的情况下,应提供专门域名(in-addr.arpa)下的反向域名解析服务。
6.1.3.2.4 时间同步
域名权威辅服务器与主服务器应保持时间上的同步,可采用 NTP或其他技术手段实现时间
同步。
6.2 递归域名服务系统技术要求
6.2.1 协议要求
递归域名服务系统的递归域名服务器(简称“递归服务器”)应具备安全的查询、缓存等基本功能,应
符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的规定。
6.2.2 拓扑规划要求
针对某个自治域内提供递归域解析的服务器数量应保证多台备份。同一自治域内的不同递归服务
器在部署上应进行相应分布,同一用户访问两台服务器的路径上不存在单一故障点。具体部署数量和
分配要求应符合YD/T 2137的规定。
6.2.3 递归服务器与客户端连接要求
递归服务器与客户端之间可选择建立加密可靠的连接传输数据。递归服务器可通过基于TLS或
者HTTPS的DNS与客户端进行连接:
a) 如果选择基于TLS的DNS,应符合IETFRFC7858和IETFRFC8310的规定;
b) 如果选择基于HTTPS的DNS,应符合IETFRFC8484的规定。
6.2.4 递归服务器安全要求
6.2.4.1 系统安全要求
系统安全应满足 YD/T 2052-2015中三级及以上域名系统安全等级保护要求。系统安全要求
如下。
a) 递归服务器应仅提供TCP、UDP53端口的标准DNS解析服务。如果支持DoH 和DoT服
务,还应提供DoH协议443端口和DoT协议853端口解析服务。
b) 对于递归服务器向外的TCP协议和UDP协议53端口访问不应进行限制。如果支持DoH和
DoT服务,DoH协议443端口和DoT协议853端口也不应进行限制。
c) 递归服务器自身不应同时兼备权威服务器功能,同时不提供除了域名服务之外的其他服务,例
如:HTTP、远程服务(Telnet)、Rlogin、FTP等。
d) 递归服务器应通过一种安全机制来进行远程管理和维护。
e) 递归服务器所在的局域网段不应放置容易被攻破的主机。
f) 递归服务器所在的局域网段应有包过滤机制,以阻断来自域名服务端口以外的端口访问。
g) 具备对递归服务器缓存数据进行清空的技术手段。
h) 递归服务器应维护和记录全局的统计数据(包括用户查询日志等),以便进行数据分析审计,发
现安全隐患。
6.2.4.2 解析安全要求
解析安全要求如下:
a) 域名解析软件安全:应对域名解析软件进行防范缓存中毒、DNS重定向漏洞造成域名劫持或
域名更改等事件的安全检验;
b) 根服务器指向:递归服务器应配置由IANA发布的13个根服务器指向地址;
c) 时间同步:域名解析辅服务器与主服务器应保持时间上的同步,可采用NTP或其他技术手段
实现时间同步。
6.2.5 中文域名支持安全要求
递归服务器应配置对中文域名的支持,例如:“.中国”“.中國”“.网络”“.公司”“.網絡”“.公益”或“.政
务”等中文顶级域以及其他顶级域下中文二级域名。
递归服务器的配置应确保通过其进行查询的用户能正确解析相应的域名。
对于中文域名的注册、管理、DNS存储的安全要求,应符合YD/T 2438、YD/T 2142和YD/T 2143
中的相关规定。
6.3 授权安全要求
授权安全要求如下。
a) 作为授权而使用的NS记录应保持一致,即在下级DNS区中的域名NS记录在服务器数量、名
字上均应与在上级域权威服务器中相应域名的NS记录保持完全一致。
b) NS记录应符合IETFRFC1035的规定,其所指向的服务器为合法的主机名。
c) 权威服务器的IP地址应使用合法的互联网地址,并确保以任何互联网地址可访问服务器的
UDP和TCP的53端口。如果支持DoH和DoT服务,还应支持访问DoH协议443端口和
DoT协议853端口。
d) 同一DNS区的所有权威服务器在响应对NS记录的请求时,应返回相同的结果。
e) 同一DNS区的权威服务器的数量应至少为2台,以确保解析服务的可靠性。
f) 权威服务器的最大数量应保证在响应对所服务区的NS记录的查询时:
● 包含NS记录和粘连记录(A记录和 AAAA记录)的响应包的大小限制在512字节以
内,即在不使用AAAA记录时,权威服务器数量的上限不应超过13。
● 在每个服务器都使用AAAA记录时,权威服务器的数量上限不应超过8。
6.4 DNS数据备份要求
6.4.1 日志存放形式
域名解析日志应采用冷备份或热备份的方式。
注:冷备份是指将日志按日期存放在至少两种以上介质上,包括硬盘、磁带、光盘等。热备份是指将日志存放在正
在运行中的服务器存储设备上。
6.4.2 日志存放时间
日志存放要求如下:
a) 冷备份应保留自域名服务起始的全部日志;
b) 热备份的保留时间应满足域名管理者的日志分析需求。
6.4.3 日志分析
应建立解析服务日志的分析制度,以便及时发现服务中的异常情况,并对非法访问采取必要的安全
防范措施。
7 公共域名服务系统安全管理要求
7.1 资产管理要求
7.1.1 资产清单
应清晰地识别公共域名服务所涉及的资产,编制并维护公共域名服务系统的核心资产清单。清单
中应包括所有为从灾难中恢复而需要的资产,与公共域名服务系统相关的资产可能包括:信息资产、软
件资产、物理资产、服务、人员、无形资产等。
7.1.2 资产责任人
与公共域名服务系统有关的所有信息和资产均应指定部门和人员承担责任,资产责任人应:
a) 确保与公共域名服务系统相关的信息和资产进行了恰当合理的分类;
b) 确定并周期性审查访问限制和分类。
7.1.3 资产的合规使用
与公共域名服务系统相关的信息和资产使用规则应确认并形成文档加以实施。
7.1.4 脆弱性和威胁分析
脆弱性和威胁分析要求如下:
a) 从技术脆弱性和管理脆弱性两个方面,对公共域名服务系统进行脆弱性分析;
b) 从技术威胁、环境威胁、人为威胁三个方面,对公共域名服务系统进行威胁分析。
7.2 人员管理要求
在公共域名服务系统的管理人员和第三方人员的整个任职周期内,包括聘任前、聘任中、离职三个
阶段,应采取相应的控制措施,降低公共域名服务系统所面临的人为威胁,人员管理要求如下:
a) 确保公共域名服务系统管理人员和第三方人员理解其职责,确保其具备相应的技术能力,以降
低公共域名服务系统被破坏或者不当使用的风险;
b) 对公共域名服务系统管理人员和第三方人员进行适当程度的安全意识和安全技术培训,以及
公共域名服务相关信息和资产的正确使用方法,并建立一个正式的处理安全违规的纪律处理
过程;
c) 应制定流程或规定,规范公共域名服务系统管理人员和第三方人员退出公共域名服务的管
理,确保相关人员归还所有设备,并删除其对公共域名服务的所有访问权限。
7.3 运行管理要求
运行管理要求如下:
a) 公共域名服务系统应符合YD/T 2138和YD/T 2137规定的运行管理要求;
b) 公共域名服务系统中所有涉及的服务应对国家主管部门提供数据采集接口,并应按照国家主
管部门的规定对相应网络安全事件进行通报工作。
7.4 物理和环境管理要求
物理和环境管理要求如下:
a) 设置安全边界(例如:墙、卡控制的入口或有人管理的接待台等屏障)来保护公共域名服务系统
信息和资产所在的区域;
b) 设置恰当的进出控制措施,确保仅授权人员能进出,同时进出的信息应予以记录和审计;
c) 有适当的措施来防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难对公
共域名服务系统所在区域的破坏;
d) 有足够的支持性设施(例如:电、供水、排污、加热/通风和空调)来支持公共域名服务系统。应
定期检查并测试支持性设施以确保它们的功能,减少由于其故障或失效带来的风险。
7.5 设备管理要求
7.5.1 设备安置和保护
设备安置和保护要求如下:
a) 公共域名服务系统的设备应进行适当安置,以防止对相关设备的未授权物理访问;
b) 对于可能对公共域名服务系统运行......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版