YD/T 2245-2011
基本信息
标准号: YD/T 2245-2011
中文名称:域名注册系统安全防护要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:484KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2245-2011 域名注册系统安全防护要求
YD/T2245-2011
标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS 33.100.70
中华人民共和国通信行业标准
YD/T 2245-2011
域名注册系统安全防护要求
Security protection requirements forthe domain name registration system2011-06-01 发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言·
1范围·
规范性引用文件
3缩略语、术语和定义·…
3.1缩略语·
3.2术语和定义
4域名注册系统安全防护概述
4.1域名注册系统安全防护范围..4.2域名注册系统安全防护内容
5域名注册系统定级对象和安全等级确定:6域名注册系统资产、脆弱性、威胁分析·6.1资产分析
6.2脆弱性分析
6.3威胁分析
7域名注册系统安全等级保护要求…7.1
第1级要求
第2级娶求
第 3.1级要求
第3.2级要求
7.5第4级要求
7.6 第 5 级要求
8域名注册系统灾难备份及恢复要求.8.1
概述,
8.2第1级要求.
第 2级要求·
8.4第3.1级要求-
8.5第3.2级要求
8.6第 4级要求
8.7第5级要求·
参考文肃
TTTKNTKACA
YD/T 2245-2011
YD/T2245-2011
本标准是“电值网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:一《电信网和互联网安全防护管理指南”《电信网和互联网安全等级保护实施指南”一《电信网和互联网安全风险评估实施指南》电信网和互联网灾难备份及恢复实施指南一圖定通信网安全防护要求》
一《移动通信网安全防护要求发一《互联网安全防护要求”
《增值业务网一消息网安全防护要求”《增值业务网一智能网安全防护要求】《接入网安全防护要求》
一传送网安全防护要求买
P承载网安全防护要求》
一信令网安全防护要求
一《同步网安全防护要求》
一支撑网安全防护要求
一《非核心生产单元安全防护要求”4电信网和互联网物理环境安全等级保护要求《电信网和互联网管理安全等级保护要求》一固定通信网安全防护检测要求移动通信网安全防护检测要求”一互联网安全防护检测要求
增值业务网消息网安全防护检测要求》一增值业务网一智能网安全防护检翘要求》一《接入网安全防护检测要求
一传送网安全防护检测要求
《P承载网安全防护检测要求》
一《信令网安全防护检测要求
《同步网安金防护检测要求》
一支撑网安全防护检测要求
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全等级保护检测要求》一电信网和互联网管理安全等级保护检测要求1
TKNTKACA
YD/T2245-2011
《域名系统安全防护要求》
一域名系统安全防护检测要求》网上营业厅安全防护要求》
-网上营业厅安全防护检测要求”一域名注册系统安全防护要求”(本标推)一《域名注册系统安全防护检测要求”WAP网关系统安全防护要求
《WAP网关系统安全防护检测要求》一电信网和互联网信息服务业务系统安全防护要求一《电信网和互联网信息服务业务系统安全防护检测要求”《增值业务网即时消息业务系统安全防护要求《增值业务网即时消息业务系统安全防护检测要求》本标准同时是*域名注册服务技术规范体系”系列标推之一,该系列标准的结构及名称如下一域名注册服务总体技术要求
《域名注册数据存储技术要求》《域名注册服务系统安全技术要求”一域名注册系统服务水平要求》—《域名注册审核要求》
一《域名注册协议可扩展供应协议技术要求》《域名注册协议传输技术要求》《域名注册协议联系人供应技术要求\一《域名注册协议城名供应技术要求》一《域名注册协议主机供应技术要求》一域名注册系统安全防护要求【本标摊)一&域名注册系统安全防护检测要求》本标准与YD/T2246-2011(域名注册系统安全防护检测要求》配套使用。随着电信网和互联网的发展,将不断补充和完菩电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中函互联网络信息中心、工业和信息化部电信研究院。本标准主要起草人:毛伟、李晓东、李洪涛、王巍、徐颖、耿光刚。TKAaNYKACA
1范围
域名注册系统安金防护要求,
YD/T 2245-2011
本标准规定了公众电信网和互联网相关域名注册系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。
本标准适用于国内各級域名注册服务系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的亲款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的录新版本。凡甚不注日期的引用文件,其最新版本适用于本标推。YD/T 1728-2008
YD/T 1729-2008
YD/T 1730-2008
YD/T 1731-2008
YD/T 1754-2008
YD/T 1756-2008
3缩略语、术语和定义
3.1缩略语
电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和互联网灾难备份及恢复实施指南电信网和互联网物理环境安全等级保护要求电信网和互联网管理安全等级保护要求下列缩略语适用于本标准。
3.2术语和定义
Denial of Service
Distributed Denial of ServiceInternet Protoco!
Transmission Control ProtocolSimple Network Management ProtocolName Server
Network Time Protacol
Secure Sockets Layer
Stream Control Transmission ProtocolExtensible Provisioning Protocoi下列术语和定义适用于本标准。3.2.1
拒绝服务
分布式拒绝服务
网际协议
传输控制协议
简单网络管理协议
名字服务器
网络时间协议
安全套接层
流控制传输协议
可扩展供应协议
域名注册系统安全等级SecurityClassificationoftheDomainNameRegistrationSystem1
TTTKANTKACA
YD/T2245-2011
域名注册系统安全重要程度的表征。重要程度可从城名注册系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.2.2
城名注册系统安全等级保护 Classified Security Protection of the Domain Name RegistatiarSystem
对域名注册系统分等级实施安全保护。3.2.3
维织Organization
由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工,合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.2.4
域名注册系统安全风险SecurityRiskoftheDamalnNameRegistrationSystem人为或自然的戚胁可能科用城名注册系统中存在的跪弱性导致安全事件的发生及其对组织造成的影响。3.2.5
域名注册系统安全风验评估SecurityRiskAssessmeritoftheDomainNarmeRegistrationSyster运用科学的方法和手段,系统地分析域名注册系统所面临的威胁及其存在的脆性,评估安全事件一且发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解域名注册系统安全风险,或者将风险控制在可接受的水平,为最大限度地为保障域名注册系统的安全提供科学依据。3.2.6
域名注册系统资产Assetof theDomalnNameRegistrationSystem域名注册系统中具有价值的资源,是安全防护保护的对象。域名注册系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、信设备、物理线路、数据、软件、文档、规程、业务,人员、管理等各种类型的资源,如域名注册系统的设备、线路、数据信息等。3.2.7
域名注册系统资产价值AssetValueoftheDamainNameRagistrationSysten域名注册系统中资产的重要程度或敏感程度。域名注册系统资产价值是城名注册系统资产的属性,也是进行域名注册系统资产识别的主要内容,3.2.8
域注册系统威ThreatoftheDomainNameRegistratlonSystem可能导致对域名注册系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的域名注册系统威胁有攻击、故障、灾害等。3.2.9
城名注册系统脆弱性Vulnerabllity of the Domain Name Registratlon System域名注册系统中存在的弱点、缺陷与不足,不直接对域名注册系统资产造成危害,但可能被城名注册系统威胁所利用从而危及域名注册系统资产的安全。3.2.10
域名注册系统灾难DisasteroftheDomalnNameRegistrationSystem2
TTTKONYKAA
YD/T 2245-2011
由于各种原因,造成域名注册系统故障或瘫痪,使域名注册系统提供的服务功能停顿或服务水平不可接受、达到特定时间的突发性事件。3.2.11
减名注册系统灾难备份BackupforDisasterRecoveryoftheDomainNameReglstratlonSystem为了域名注册系统灾难恢复而对相关的要素进行备份的过程。3.2.12
域名注册系统灾难恢复Disaster Recovery of the Domalin NamRegistratian System为了将境名注册系统从灾难造成的故障或靡痪状态恢复到正常运行状态或部分正常运行状态、并将其提供的服务功能、服务水平等从究难造成的不正常状态恢复到可接受状态,而设计的活动和流程。4域名注册系统安全防护概述
4.1域名注册系统安全防护范围
城名注册系统是注册管理机构和注册服务机构提供域名的注册、更改、查询、转移、删除以及续费等操作的服务系统。域名注册系统通带由一个域名注册数据库服务器和一至多个城名注册最务器组成4.2域名注册系统安全防护内容
根据YD/T1728-2008《电信网和互联网安全防护管理指南》中电信网和互联网安全防护体系的要求,将域名注册系统安全防护内容分为安全等级保护、安全风险评估、灾难备份及恢复等3个部分:一域名注册索统安全等级保护
主要包括定级对象和安全等级的确定、业务及应用安全、拓扑安全、设备安全、物理环境安全、管理安全等。
城名注册系统安全风验评
生要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等。本标准仅对域名注册系统进行资产分析、脆弱性分析、威胁分析,在城名注册系统安全风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、胁的赋值方法及资产价值、风险值的计算方法参见YD/T1730-2008《电信网和互联网安全风险评估实施指南》。—域名注册系统灾难备份及恢复主要包括灾难备份及恢复等级确定、针对灾难备份及恢复对各资源要素的具体要求等,5域名注册系统定级对象和安全等级确定本标准的域名注册系统定级对象为我国的域名注册服务系统。提供城名注册服务的网络和业务运营商、服务提供商应根据YDT1729-2008电信网和互联网安全等级保护实施指南》附录A中确定安全等级的方法对域名注册系统定级,即对所属域名注册系统根据社会影响力、所提供服务的重要性、服务规模的大小分别定级,权重、8、可根据具体网络情况进行调节。6域名注册系统资产、脆弱性、藏胁分析6.1资产分析
域名注册系统资产的识别与选取应符合科学性、合理性,域名注册系统资产大致包括各类设备硬件、设备软件、数据信息、服务、人员、网络拓扑、环境设施等。域名注册系统的资产分析应包括但不限于装1所列获围。
TTTKANTKACA
YD/T2245-2011
设备硬
设备款件
数据信息
系统拓扑
环境/设施
6.2脆弱性分析
表 1 资产类别
包括各类服务器、终端、辅助设备等,系统网络相关各类路由、交换设备,安全过滤、入慢检测种防护设各等,系统相关内部线缆包括有必要独立识别的软件,如操作系统、城名逆用软件、控制软件、数据库,操作维护软件等
支撑城名注册业务运行的数据和息:包括城名记录、域名注册相关信息、服务翠和设备配置数据、管理操作维护记录、存放和使用的各类文档、资料等域名注孵服务,以及域名注册服务的性能、服务质查、业务稳定性等各类操作、维护、管理人员,以及相关人员的经验、能力等各个独立城名注册服务系统之间的连接和协同工作关系。城名注册服务系统相关各类网络设备、服务器、安全设备等之间的连接关系包括系统相关物理环境,以及配套的电力供应、防火、防水、防静电、温差度等设备/设施等
城名注册系统的脆性包括技术瞻弱性和管理脆弱性两个方面。脆性识别对象应以资产为核心域名注册系统的脆弱性分析应包括但不限于表2所列范围。丧2脆弱性类别
脆姆性
物理环境
管理胞摄性
6.3截肪分析
网络和设备的处理能办不够导致在突发防问且高时业务提供不连续,业务数据的保密性不够、重要数据未及时进行本地和异地备划包括系统功能规划、部署、资源配置的缺陷等:系统网络保护和恢复能力的缺陷、安全技术措施和策略等方面的漏等;相关数据循息在存放、使用、传送、备份、保存、恢复等环节的安全保护技术快陷和安全策略的通润等包括各设备、服务器、终端硬件安全性和软件安全性的漏满等,可靠性、稳定性、业务支持能力和数据处理能力、容错和恢复能力的缺陷等,后台摊护和访问相关授权、管理等方面的安全漏洞,以及授权接入的口令、方式、安全连接、用户监别、代理等访问控制方面存在的漏洞险患等
包括物理环境安全防护能力的缺陷:可分为场地选择,防火、供配电、防静电、接地与防备、电避防护。温湿度控制、线略。其他设施及设备的保护等包括相关的方案和预案、人员、保障、组织等安全机制和管理制度在制定和实施等环节的漏和缺陷,可分为安全管理机构方面(如岗位设置、授权和审批程序、沟通和合作等),安全管理制度方面(如管理制度及相应的评审和订等》,人员安全管理方面(如人员录用、上岗安全培训、组织、访间控制等),建设管理方面(如安全方案不完善、软件开发不符合程序、工程实施末进行安全验收或验收不严格等),运维管理方面(如物理环境管理、设备维护、技术支持、关键性能指标监控、攻击防范措施、数据备份和恢复、访问控制、操作管理、应急保障措施等)
域名注册系统的威胁根据来源可分为技术成胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。域名注册系统的威胁分析应包括但不限于表3所列范围。4
TTTKAONATKACA
技术威胁
环境威肪
人为威胁
物理环境
驱意人员
非恶意人员
衰3威胁类别
YD/T2245-2011
包括设备/主机相关故障,未充分考虑元余、可靠性及安全、服务需求等原因,妨碍相关功能完全实现的缺陷或隐惠而造成的安全求件等:错误应和慢复等:相关数据、信息在备份、保存、处理过程中发生的差错、损坏、丢失等;其他爽发、异带事件的冲击和数据拥寒等包括供电故障,炭尘、潮湿,温度超标,静电,电磁干扰等:意外事故或线路方面的故障等包括鼠蚊虫害洪灾、火灾、地囊、台风、雷电等自然灾害,战争、杜会动乱、恐怖活动等包括针对相关功能系统的意拥寒,针对服务、设备等相关数据和信息的拦截、募改、删除等攻击行为和恶意扫描、监听、截状等膜探行为:恶意代码、病毒等:非授访问、越权操作等;伪造和欺骗等:物理攻击,损坏、盗窃等包括误操作;无作为、技能不足等;相关数据、信息无意泄漏,数据损坏和丢失等,组织,安全管理制度不究普、制度推行不力、缺乏资源等非规范安全管理等7名注册系统安全等级保护要求
7.1第1级要求
本标准对安全等级为第1级的域名注册系统暂不作要求。7.2第2级要求
7.2.1业务及应用安全要求
7.2.1.1业务提供
a)注册脏务机构根据注册管理机构提供的规范数据格式,提供规范的注册信息到注册普理机构:b)注册系统必须具有处理并发数据请求的功能:c)注册系统要求不间断运行,在排除不可抗因的情况下,按月统讨,域名注册服务可用性应大于-95.00%,确保续费、NS变更等操作可以顺利开展;注册管理机构的注册系统应确保不能望复注册包注册的域名:e)域名注册服务机构的注册系统在数据变更前,必须在注册服务机构和用户之闻进行强验证,使用密码验证、短信验证、邮件验证等多因素结合进行验证;f)域注册管理机构的注册系统在数据变更前,必须在注期管理机构和注册服务机构之间进行强验证,使用密码验证、安全证书验证,正限制等多固素结合进行验证;g)注册服务机构不能对外公开提供用户的注册信息;h)应定期(频率不低于每月一次)对注册数据库进行审计,并且生成相应记录,便于查询;i)应定期对系统记录数据相关信息进行备份,以便数据被破坏后,能够及时恢复服务,特别是注册信息;
j)注册系统日志定期备份,确保数据不会丢失,做到操作可追溯,历出数据可统计,7.2.1.2身份鉴别
a)应提供专用的登录控制模块对登录系统的用户进行身份标识和鉴别:b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被管用:
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:5
TTIKANYKACA
YD/T 2245-2011
d)应启用身份整别、用户身份标识唯一性检查,用户身份鉴别信息复茶度检查以及登录失败处理功能,并根据安全策略配置相关参数;e)应对用户和注册服务机构的登陆账户口令有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符4种字符中至少2种的组合,且与用户名无相关性),并定期更换(更新周期不大于90天)。7.2.1.3访问控制
8)应提供访问控制功能,依据安全策略控制用户对系统文件、数据库表等客体的访问:b)访问控制的覆盖范围应包括与系统资源访问相关的主体,客体及它们之间的操作:c)应由授权主体配置访问控制策略,并严格限制默认账户的坊问权限;d)应授子不同的系统账户为完成各白承担任务所需的最小权限,并在它们之间形成相互制约的关系
e)域名注册服务的传输控制应建立在TCP或SCTP之土。7.2.1.4安全审计
日)应提供覆盖到每个系统账号的安全审计功能,应对系统重要安全事件进行审计b)应保证无法删除,修改或盖审计记录;c)审计记录的内容至少应包括事件日期、时间,发起者信息、类型、描述和结果等。7.2.1.5通信数据安全性
a)系统用户登录应进行会话初始验证:b)域名注册系统之间的数据交互要基于安全链接SSL:c)城名注册系统需要支持EPP协议:d)应采用内外网隔离或加密等保护措施避免远程访问和域名注册数据在公共互联网的明文传输:7,2.1.6资源控制
a)当系统通宿的会话中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;6)应能够对系统的最大并发会话连接数进行限制:C)应能够对单个账户的多重并发会话进行限制。7.2.2拓扑安全要求
7.2.2.1结构安全
a)应绘制与当前运行情况相符的系统拓扑结构图:b)在指定服务域内,提供域名注册服务的服务器数量应不低于2台:c)应根据业务的特点,在满足高峰期流量需求的基础上,合理设计带宽:d)当需要进行远程管理时,应采取必要措施,包括加密或专线等,防止信息在网络传输过程中被听.
7.2.2.2访问控制
a)应在系统边界部署访问控制设备,并自用访问控制功能,具有根据IP和端口为数据流提供明确的允许/拒绝访问的能力:
b)险通过访问控制投备限制只在注册端口上向公众提供城名注册服务,除此之外,不对公众并放在何服务:
c)应通过访问控制设备实现对特定用户访问权限的控制。6
TTIKANYKACA
7.2.2.3安全审计
a)应对核心网络设备运行状况、流量、用户行为等进行日志记录YD/T 2245-2011
b)日志记录应包括事件的日期和时间,用户、事件类型、事件是否成功及其他与审计相关的信息;C)应定期对日志记录进行审计,形成审计报告。7.2.2.4入侵防范
应在系统边界处对发生的网络入侵行为提供有效的检测能力,当检测到入侵行为时,应记录攻击源P,攻击类型、攻击目标P、攻击时间,在发生严重入径事件时应提供警,这些入慢行为包括但不限于端口扫描、强力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、IP碎片攻击和网络蟠虫攻击。此内容来自标准下载网
7.2.3设备安全要求
7.2.3.1安全检测
a)相关投备的安全应满足相应设备技术规范、设备安全要求等行业标准的相关规定,网络设备应符合电信设备入网管理相关要求的规定,安全设备应具有国家相关部门的安全认证许可:b)应定期(频率不低于每3个月一一次)对设备和系统进行安全扫描,发现并复系统漏洞,避免已发现的漏洞造成安全事件。
7.2.3.2身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别:6)通用主机操作系统和数据库系统管理账户的口令应有复杂度要求(使用大写宇母,小写字每、数字,标点及特殊字符4种字符中至少2种的组合:且与用户名无相关性),并定期更换(更新周期不大于990天)
c)应为操作系统和教据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。7.2.3.3访问控制
a)应实现操作系统和数据库系统特权用户的权限分离:b)应限制默认账户的访问权限,重命名系统默让账户,改这些账户的默认口令c)应及时删除多余的过期账户,避免共享账户的存在。7.2.3.4安全审计
a)审计范围应覆盖到域名注册服务器上的每个操作系统用户和数据库用户,b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件:
c)审计记录应包括事件的日期,时间、类型、主体标识、客体标识和结果等d)应定期对记录进行审计,形成审计报告。7.2.3.5恶意代码防范
)道用主机操作系统应避循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补丁及时得到更新:b)通用主机应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。7.2.3.6资源控制
8)应根据安全策略设置登录终端的操作超时锁定:了
YD/T2245-2011
b)应启用登录失败处理功能,设置非法登录次数,在登录次数到后采取结束会话和自动退出等措施:
c)应对服务器、数据库、路由器等设备进行性能和服务水平监控,监控方式可基于监听、agent、模拟访问,SNMP、NetFlow等网管技术和协议:并设定值,在监测到服务水平降低到阀值时进行报警;d)监控要求以不低手5min一次的频率进行轮询扫描:e)域名注册服务器和域名数据库服务器之间成保持时间上的同步,建议采用NTP协议或其他技术。7.2.4物理环境安全要求
满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第2级的安全要求外,还需满足:
的)机房整体抗震能力应不低于果氏了级;b)机房应具备防虫防鼠等相关措施,以有效防范鼠虫蚁害。7.2.5管理安全要求
应满足YD/T1756-2008电信网和互联网管理安全等级保护要求》中第2级的相关要求。7.3第3.1级要求
7.3.1业务及应用安全要求
7.3.1.1业务提供
除满足第2级的要求之外,还应满足:a)系统要求不间断运行,应采取亢余架构的方式,提高域名注册系统的可用性,在排除不可抗因素导致单点失敷的情况下,按月统计,注册服务器可用性应大于99.90%:b)不考患网络延退,可处理整个系统(由注册数据库脏务器和所有注册服务节点组成)的历史询问量(上一年度的历史访问量)采样集的95th百分点的3倍访问最(95th百分点是指所给数集中超过其95%的数,95百分点是统计时所采用的最商值,超过的5%的数据将被舍弃;实践中采用等间隔采样,每分钟采样1次,采样点均勾分布于流量曲线,去掉最大的5%采样值,剩下的最大值为95t百分点,以下皆同),
℃)定期根据系统日志信息进行入侵检测和入侵企图分析;d)注册管理机构的注册系统向解析系统提供数据时,要保证数据安全:e)WHOIS查询时,注册管理机构要保护用户的敏感信息,确保不泄漏用户的隐私信息,隐私信息包括手机号码,身份证号码等:f)注册系统应具有过负荷保护措施,7.3.1.2身份鉴别
除满足第2级的要求之外,还应清足:a)注册系统要支持基于安全证书的认证,对注册服务机构的客户端IP进行限制、验证。b)避守EPP协议,进行严格的会话验证:c)能根据需要对系统的同一用户采用两种或两种以上组合的鉴别技术实现用户身份整别。7.3.1.3访问控制
除满足第2级的要求之外,还应满足:a)对重要信息资源设置敏感标记;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 2245-2011
域名注册系统安全防护要求
Security protection requirements forthe domain name registration system2011-06-01 发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言·
1范围·
规范性引用文件
3缩略语、术语和定义·…
3.1缩略语·
3.2术语和定义
4域名注册系统安全防护概述
4.1域名注册系统安全防护范围..4.2域名注册系统安全防护内容
5域名注册系统定级对象和安全等级确定:6域名注册系统资产、脆弱性、威胁分析·6.1资产分析
6.2脆弱性分析
6.3威胁分析
7域名注册系统安全等级保护要求…7.1
第1级要求
第2级娶求
第 3.1级要求
第3.2级要求
7.5第4级要求
7.6 第 5 级要求
8域名注册系统灾难备份及恢复要求.8.1
概述,
8.2第1级要求.
第 2级要求·
8.4第3.1级要求-
8.5第3.2级要求
8.6第 4级要求
8.7第5级要求·
参考文肃
TTTKNTKACA
YD/T 2245-2011
YD/T2245-2011
本标准是“电值网和互联网安全防护体系”系列标准之一,该系列标准的结构及名称预计如下:一《电信网和互联网安全防护管理指南”《电信网和互联网安全等级保护实施指南”一《电信网和互联网安全风险评估实施指南》电信网和互联网灾难备份及恢复实施指南一圖定通信网安全防护要求》
一《移动通信网安全防护要求发一《互联网安全防护要求”
《增值业务网一消息网安全防护要求”《增值业务网一智能网安全防护要求】《接入网安全防护要求》
一传送网安全防护要求买
P承载网安全防护要求》
一信令网安全防护要求
一《同步网安全防护要求》
一支撑网安全防护要求
一《非核心生产单元安全防护要求”4电信网和互联网物理环境安全等级保护要求《电信网和互联网管理安全等级保护要求》一固定通信网安全防护检测要求移动通信网安全防护检测要求”一互联网安全防护检测要求
增值业务网消息网安全防护检测要求》一增值业务网一智能网安全防护检翘要求》一《接入网安全防护检测要求
一传送网安全防护检测要求
《P承载网安全防护检测要求》
一《信令网安全防护检测要求
《同步网安金防护检测要求》
一支撑网安全防护检测要求
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全等级保护检测要求》一电信网和互联网管理安全等级保护检测要求1
TKNTKACA
YD/T2245-2011
《域名系统安全防护要求》
一域名系统安全防护检测要求》网上营业厅安全防护要求》
-网上营业厅安全防护检测要求”一域名注册系统安全防护要求”(本标推)一《域名注册系统安全防护检测要求”WAP网关系统安全防护要求
《WAP网关系统安全防护检测要求》一电信网和互联网信息服务业务系统安全防护要求一《电信网和互联网信息服务业务系统安全防护检测要求”《增值业务网即时消息业务系统安全防护要求《增值业务网即时消息业务系统安全防护检测要求》本标准同时是*域名注册服务技术规范体系”系列标推之一,该系列标准的结构及名称如下一域名注册服务总体技术要求
《域名注册数据存储技术要求》《域名注册服务系统安全技术要求”一域名注册系统服务水平要求》—《域名注册审核要求》
一《域名注册协议可扩展供应协议技术要求》《域名注册协议传输技术要求》《域名注册协议联系人供应技术要求\一《域名注册协议城名供应技术要求》一《域名注册协议主机供应技术要求》一域名注册系统安全防护要求【本标摊)一&域名注册系统安全防护检测要求》本标准与YD/T2246-2011(域名注册系统安全防护检测要求》配套使用。随着电信网和互联网的发展,将不断补充和完菩电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中函互联网络信息中心、工业和信息化部电信研究院。本标准主要起草人:毛伟、李晓东、李洪涛、王巍、徐颖、耿光刚。TKAaNYKACA
1范围
域名注册系统安金防护要求,
YD/T 2245-2011
本标准规定了公众电信网和互联网相关域名注册系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。
本标准适用于国内各級域名注册服务系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的亲款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的录新版本。凡甚不注日期的引用文件,其最新版本适用于本标推。YD/T 1728-2008
YD/T 1729-2008
YD/T 1730-2008
YD/T 1731-2008
YD/T 1754-2008
YD/T 1756-2008
3缩略语、术语和定义
3.1缩略语
电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和互联网灾难备份及恢复实施指南电信网和互联网物理环境安全等级保护要求电信网和互联网管理安全等级保护要求下列缩略语适用于本标准。
3.2术语和定义
Denial of Service
Distributed Denial of ServiceInternet Protoco!
Transmission Control ProtocolSimple Network Management ProtocolName Server
Network Time Protacol
Secure Sockets Layer
Stream Control Transmission ProtocolExtensible Provisioning Protocoi下列术语和定义适用于本标准。3.2.1
拒绝服务
分布式拒绝服务
网际协议
传输控制协议
简单网络管理协议
名字服务器
网络时间协议
安全套接层
流控制传输协议
可扩展供应协议
域名注册系统安全等级SecurityClassificationoftheDomainNameRegistrationSystem1
TTTKANTKACA
YD/T2245-2011
域名注册系统安全重要程度的表征。重要程度可从城名注册系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.2.2
城名注册系统安全等级保护 Classified Security Protection of the Domain Name RegistatiarSystem
对域名注册系统分等级实施安全保护。3.2.3
维织Organization
由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工,合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.2.4
域名注册系统安全风险SecurityRiskoftheDamalnNameRegistrationSystem人为或自然的戚胁可能科用城名注册系统中存在的跪弱性导致安全事件的发生及其对组织造成的影响。3.2.5
域名注册系统安全风验评估SecurityRiskAssessmeritoftheDomainNarmeRegistrationSyster运用科学的方法和手段,系统地分析域名注册系统所面临的威胁及其存在的脆性,评估安全事件一且发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解域名注册系统安全风险,或者将风险控制在可接受的水平,为最大限度地为保障域名注册系统的安全提供科学依据。3.2.6
域名注册系统资产Assetof theDomalnNameRegistrationSystem域名注册系统中具有价值的资源,是安全防护保护的对象。域名注册系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、信设备、物理线路、数据、软件、文档、规程、业务,人员、管理等各种类型的资源,如域名注册系统的设备、线路、数据信息等。3.2.7
域名注册系统资产价值AssetValueoftheDamainNameRagistrationSysten域名注册系统中资产的重要程度或敏感程度。域名注册系统资产价值是城名注册系统资产的属性,也是进行域名注册系统资产识别的主要内容,3.2.8
域注册系统威ThreatoftheDomainNameRegistratlonSystem可能导致对域名注册系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的域名注册系统威胁有攻击、故障、灾害等。3.2.9
城名注册系统脆弱性Vulnerabllity of the Domain Name Registratlon System域名注册系统中存在的弱点、缺陷与不足,不直接对域名注册系统资产造成危害,但可能被城名注册系统威胁所利用从而危及域名注册系统资产的安全。3.2.10
域名注册系统灾难DisasteroftheDomalnNameRegistrationSystem2
TTTKONYKAA
YD/T 2245-2011
由于各种原因,造成域名注册系统故障或瘫痪,使域名注册系统提供的服务功能停顿或服务水平不可接受、达到特定时间的突发性事件。3.2.11
减名注册系统灾难备份BackupforDisasterRecoveryoftheDomainNameReglstratlonSystem为了域名注册系统灾难恢复而对相关的要素进行备份的过程。3.2.12
域名注册系统灾难恢复Disaster Recovery of the Domalin NamRegistratian System为了将境名注册系统从灾难造成的故障或靡痪状态恢复到正常运行状态或部分正常运行状态、并将其提供的服务功能、服务水平等从究难造成的不正常状态恢复到可接受状态,而设计的活动和流程。4域名注册系统安全防护概述
4.1域名注册系统安全防护范围
城名注册系统是注册管理机构和注册服务机构提供域名的注册、更改、查询、转移、删除以及续费等操作的服务系统。域名注册系统通带由一个域名注册数据库服务器和一至多个城名注册最务器组成4.2域名注册系统安全防护内容
根据YD/T1728-2008《电信网和互联网安全防护管理指南》中电信网和互联网安全防护体系的要求,将域名注册系统安全防护内容分为安全等级保护、安全风险评估、灾难备份及恢复等3个部分:一域名注册索统安全等级保护
主要包括定级对象和安全等级的确定、业务及应用安全、拓扑安全、设备安全、物理环境安全、管理安全等。
城名注册系统安全风验评
生要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等。本标准仅对域名注册系统进行资产分析、脆弱性分析、威胁分析,在城名注册系统安全风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、胁的赋值方法及资产价值、风险值的计算方法参见YD/T1730-2008《电信网和互联网安全风险评估实施指南》。—域名注册系统灾难备份及恢复主要包括灾难备份及恢复等级确定、针对灾难备份及恢复对各资源要素的具体要求等,5域名注册系统定级对象和安全等级确定本标准的域名注册系统定级对象为我国的域名注册服务系统。提供城名注册服务的网络和业务运营商、服务提供商应根据YDT1729-2008电信网和互联网安全等级保护实施指南》附录A中确定安全等级的方法对域名注册系统定级,即对所属域名注册系统根据社会影响力、所提供服务的重要性、服务规模的大小分别定级,权重、8、可根据具体网络情况进行调节。6域名注册系统资产、脆弱性、藏胁分析6.1资产分析
域名注册系统资产的识别与选取应符合科学性、合理性,域名注册系统资产大致包括各类设备硬件、设备软件、数据信息、服务、人员、网络拓扑、环境设施等。域名注册系统的资产分析应包括但不限于装1所列获围。
TTTKANTKACA
YD/T2245-2011
设备硬
设备款件
数据信息
系统拓扑
环境/设施
6.2脆弱性分析
表 1 资产类别
包括各类服务器、终端、辅助设备等,系统网络相关各类路由、交换设备,安全过滤、入慢检测种防护设各等,系统相关内部线缆包括有必要独立识别的软件,如操作系统、城名逆用软件、控制软件、数据库,操作维护软件等
支撑城名注册业务运行的数据和息:包括城名记录、域名注册相关信息、服务翠和设备配置数据、管理操作维护记录、存放和使用的各类文档、资料等域名注孵服务,以及域名注册服务的性能、服务质查、业务稳定性等各类操作、维护、管理人员,以及相关人员的经验、能力等各个独立城名注册服务系统之间的连接和协同工作关系。城名注册服务系统相关各类网络设备、服务器、安全设备等之间的连接关系包括系统相关物理环境,以及配套的电力供应、防火、防水、防静电、温差度等设备/设施等
城名注册系统的脆性包括技术瞻弱性和管理脆弱性两个方面。脆性识别对象应以资产为核心域名注册系统的脆弱性分析应包括但不限于表2所列范围。丧2脆弱性类别
脆姆性
物理环境
管理胞摄性
6.3截肪分析
网络和设备的处理能办不够导致在突发防问且高时业务提供不连续,业务数据的保密性不够、重要数据未及时进行本地和异地备划包括系统功能规划、部署、资源配置的缺陷等:系统网络保护和恢复能力的缺陷、安全技术措施和策略等方面的漏等;相关数据循息在存放、使用、传送、备份、保存、恢复等环节的安全保护技术快陷和安全策略的通润等包括各设备、服务器、终端硬件安全性和软件安全性的漏满等,可靠性、稳定性、业务支持能力和数据处理能力、容错和恢复能力的缺陷等,后台摊护和访问相关授权、管理等方面的安全漏洞,以及授权接入的口令、方式、安全连接、用户监别、代理等访问控制方面存在的漏洞险患等
包括物理环境安全防护能力的缺陷:可分为场地选择,防火、供配电、防静电、接地与防备、电避防护。温湿度控制、线略。其他设施及设备的保护等包括相关的方案和预案、人员、保障、组织等安全机制和管理制度在制定和实施等环节的漏和缺陷,可分为安全管理机构方面(如岗位设置、授权和审批程序、沟通和合作等),安全管理制度方面(如管理制度及相应的评审和订等》,人员安全管理方面(如人员录用、上岗安全培训、组织、访间控制等),建设管理方面(如安全方案不完善、软件开发不符合程序、工程实施末进行安全验收或验收不严格等),运维管理方面(如物理环境管理、设备维护、技术支持、关键性能指标监控、攻击防范措施、数据备份和恢复、访问控制、操作管理、应急保障措施等)
域名注册系统的威胁根据来源可分为技术成胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。域名注册系统的威胁分析应包括但不限于表3所列范围。4
TTTKAONATKACA
技术威胁
环境威肪
人为威胁
物理环境
驱意人员
非恶意人员
衰3威胁类别
YD/T2245-2011
包括设备/主机相关故障,未充分考虑元余、可靠性及安全、服务需求等原因,妨碍相关功能完全实现的缺陷或隐惠而造成的安全求件等:错误应和慢复等:相关数据、信息在备份、保存、处理过程中发生的差错、损坏、丢失等;其他爽发、异带事件的冲击和数据拥寒等包括供电故障,炭尘、潮湿,温度超标,静电,电磁干扰等:意外事故或线路方面的故障等包括鼠蚊虫害洪灾、火灾、地囊、台风、雷电等自然灾害,战争、杜会动乱、恐怖活动等包括针对相关功能系统的意拥寒,针对服务、设备等相关数据和信息的拦截、募改、删除等攻击行为和恶意扫描、监听、截状等膜探行为:恶意代码、病毒等:非授访问、越权操作等;伪造和欺骗等:物理攻击,损坏、盗窃等包括误操作;无作为、技能不足等;相关数据、信息无意泄漏,数据损坏和丢失等,组织,安全管理制度不究普、制度推行不力、缺乏资源等非规范安全管理等7名注册系统安全等级保护要求
7.1第1级要求
本标准对安全等级为第1级的域名注册系统暂不作要求。7.2第2级要求
7.2.1业务及应用安全要求
7.2.1.1业务提供
a)注册脏务机构根据注册管理机构提供的规范数据格式,提供规范的注册信息到注册普理机构:b)注册系统必须具有处理并发数据请求的功能:c)注册系统要求不间断运行,在排除不可抗因的情况下,按月统讨,域名注册服务可用性应大于-95.00%,确保续费、NS变更等操作可以顺利开展;注册管理机构的注册系统应确保不能望复注册包注册的域名:e)域名注册服务机构的注册系统在数据变更前,必须在注册服务机构和用户之闻进行强验证,使用密码验证、短信验证、邮件验证等多因素结合进行验证;f)域注册管理机构的注册系统在数据变更前,必须在注期管理机构和注册服务机构之间进行强验证,使用密码验证、安全证书验证,正限制等多固素结合进行验证;g)注册服务机构不能对外公开提供用户的注册信息;h)应定期(频率不低于每月一次)对注册数据库进行审计,并且生成相应记录,便于查询;i)应定期对系统记录数据相关信息进行备份,以便数据被破坏后,能够及时恢复服务,特别是注册信息;
j)注册系统日志定期备份,确保数据不会丢失,做到操作可追溯,历出数据可统计,7.2.1.2身份鉴别
a)应提供专用的登录控制模块对登录系统的用户进行身份标识和鉴别:b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被管用:
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:5
TTIKANYKACA
YD/T 2245-2011
d)应启用身份整别、用户身份标识唯一性检查,用户身份鉴别信息复茶度检查以及登录失败处理功能,并根据安全策略配置相关参数;e)应对用户和注册服务机构的登陆账户口令有复杂度要求(使用大写字母、小写字母、数字、标点及特殊字符4种字符中至少2种的组合,且与用户名无相关性),并定期更换(更新周期不大于90天)。7.2.1.3访问控制
8)应提供访问控制功能,依据安全策略控制用户对系统文件、数据库表等客体的访问:b)访问控制的覆盖范围应包括与系统资源访问相关的主体,客体及它们之间的操作:c)应由授权主体配置访问控制策略,并严格限制默认账户的坊问权限;d)应授子不同的系统账户为完成各白承担任务所需的最小权限,并在它们之间形成相互制约的关系
e)域名注册服务的传输控制应建立在TCP或SCTP之土。7.2.1.4安全审计
日)应提供覆盖到每个系统账号的安全审计功能,应对系统重要安全事件进行审计b)应保证无法删除,修改或盖审计记录;c)审计记录的内容至少应包括事件日期、时间,发起者信息、类型、描述和结果等。7.2.1.5通信数据安全性
a)系统用户登录应进行会话初始验证:b)域名注册系统之间的数据交互要基于安全链接SSL:c)城名注册系统需要支持EPP协议:d)应采用内外网隔离或加密等保护措施避免远程访问和域名注册数据在公共互联网的明文传输:7,2.1.6资源控制
a)当系统通宿的会话中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;6)应能够对系统的最大并发会话连接数进行限制:C)应能够对单个账户的多重并发会话进行限制。7.2.2拓扑安全要求
7.2.2.1结构安全
a)应绘制与当前运行情况相符的系统拓扑结构图:b)在指定服务域内,提供域名注册服务的服务器数量应不低于2台:c)应根据业务的特点,在满足高峰期流量需求的基础上,合理设计带宽:d)当需要进行远程管理时,应采取必要措施,包括加密或专线等,防止信息在网络传输过程中被听.
7.2.2.2访问控制
a)应在系统边界部署访问控制设备,并自用访问控制功能,具有根据IP和端口为数据流提供明确的允许/拒绝访问的能力:
b)险通过访问控制投备限制只在注册端口上向公众提供城名注册服务,除此之外,不对公众并放在何服务:
c)应通过访问控制设备实现对特定用户访问权限的控制。6
TTIKANYKACA
7.2.2.3安全审计
a)应对核心网络设备运行状况、流量、用户行为等进行日志记录YD/T 2245-2011
b)日志记录应包括事件的日期和时间,用户、事件类型、事件是否成功及其他与审计相关的信息;C)应定期对日志记录进行审计,形成审计报告。7.2.2.4入侵防范
应在系统边界处对发生的网络入侵行为提供有效的检测能力,当检测到入侵行为时,应记录攻击源P,攻击类型、攻击目标P、攻击时间,在发生严重入径事件时应提供警,这些入慢行为包括但不限于端口扫描、强力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、IP碎片攻击和网络蟠虫攻击。此内容来自标准下载网
7.2.3设备安全要求
7.2.3.1安全检测
a)相关投备的安全应满足相应设备技术规范、设备安全要求等行业标准的相关规定,网络设备应符合电信设备入网管理相关要求的规定,安全设备应具有国家相关部门的安全认证许可:b)应定期(频率不低于每3个月一一次)对设备和系统进行安全扫描,发现并复系统漏洞,避免已发现的漏洞造成安全事件。
7.2.3.2身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别:6)通用主机操作系统和数据库系统管理账户的口令应有复杂度要求(使用大写宇母,小写字每、数字,标点及特殊字符4种字符中至少2种的组合:且与用户名无相关性),并定期更换(更新周期不大于990天)
c)应为操作系统和教据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。7.2.3.3访问控制
a)应实现操作系统和数据库系统特权用户的权限分离:b)应限制默认账户的访问权限,重命名系统默让账户,改这些账户的默认口令c)应及时删除多余的过期账户,避免共享账户的存在。7.2.3.4安全审计
a)审计范围应覆盖到域名注册服务器上的每个操作系统用户和数据库用户,b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件:
c)审计记录应包括事件的日期,时间、类型、主体标识、客体标识和结果等d)应定期对记录进行审计,形成审计报告。7.2.3.5恶意代码防范
)道用主机操作系统应避循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补丁及时得到更新:b)通用主机应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。7.2.3.6资源控制
8)应根据安全策略设置登录终端的操作超时锁定:了
YD/T2245-2011
b)应启用登录失败处理功能,设置非法登录次数,在登录次数到后采取结束会话和自动退出等措施:
c)应对服务器、数据库、路由器等设备进行性能和服务水平监控,监控方式可基于监听、agent、模拟访问,SNMP、NetFlow等网管技术和协议:并设定值,在监测到服务水平降低到阀值时进行报警;d)监控要求以不低手5min一次的频率进行轮询扫描:e)域名注册服务器和域名数据库服务器之间成保持时间上的同步,建议采用NTP协议或其他技术。7.2.4物理环境安全要求
满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第2级的安全要求外,还需满足:
的)机房整体抗震能力应不低于果氏了级;b)机房应具备防虫防鼠等相关措施,以有效防范鼠虫蚁害。7.2.5管理安全要求
应满足YD/T1756-2008电信网和互联网管理安全等级保护要求》中第2级的相关要求。7.3第3.1级要求
7.3.1业务及应用安全要求
7.3.1.1业务提供
除满足第2级的要求之外,还应满足:a)系统要求不间断运行,应采取亢余架构的方式,提高域名注册系统的可用性,在排除不可抗因素导致单点失敷的情况下,按月统计,注册服务器可用性应大于99.90%:b)不考患网络延退,可处理整个系统(由注册数据库脏务器和所有注册服务节点组成)的历史询问量(上一年度的历史访问量)采样集的95th百分点的3倍访问最(95th百分点是指所给数集中超过其95%的数,95百分点是统计时所采用的最商值,超过的5%的数据将被舍弃;实践中采用等间隔采样,每分钟采样1次,采样点均勾分布于流量曲线,去掉最大的5%采样值,剩下的最大值为95t百分点,以下皆同),
℃)定期根据系统日志信息进行入侵检测和入侵企图分析;d)注册管理机构的注册系统向解析系统提供数据时,要保证数据安全:e)WHOIS查询时,注册管理机构要保护用户的敏感信息,确保不泄漏用户的隐私信息,隐私信息包括手机号码,身份证号码等:f)注册系统应具有过负荷保护措施,7.3.1.2身份鉴别
除满足第2级的要求之外,还应清足:a)注册系统要支持基于安全证书的认证,对注册服务机构的客户端IP进行限制、验证。b)避守EPP协议,进行严格的会话验证:c)能根据需要对系统的同一用户采用两种或两种以上组合的鉴别技术实现用户身份整别。7.3.1.3访问控制
除满足第2级的要求之外,还应满足:a)对重要信息资源设置敏感标记;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。