YDB 113-2012
基本信息
标准号: YDB 113-2012
中文名称:域名服务系统安全防护定级和评测实施规范
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 域名服务 系统安全 防护 定级 评测 实施 规范
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 113-2012.Implementation Specification of Classified Security Protection and Testing for Domain Name System.
1范围
YDB 113规范规定了域名服务系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
YDB 113规范适用于互联网域名服务系统,包括提供域名注册服务、域名权威解析服务和域名递归解析服务的设备/系统。本实施规范中出现的所有未指明的定级对象、系统等均特指域名服务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD 5098-2005 通信局(站)防雷与接地工程设计规范
YD 5002 邮电建筑防火设计标准
YD/T 5026-2005 电信机房铁架安装设计标准
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本实施规范。
3.1.1
域名服务系统安全等级security classification of DNS
域名服务系统重要程度的表征。重要程度从域名服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。
3.1.2
域名服务系统安全等级保护classified security protection of DNS
1范围
YDB 113规范规定了域名服务系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
YDB 113规范适用于互联网域名服务系统,包括提供域名注册服务、域名权威解析服务和域名递归解析服务的设备/系统。本实施规范中出现的所有未指明的定级对象、系统等均特指域名服务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD 5098-2005 通信局(站)防雷与接地工程设计规范
YD 5002 邮电建筑防火设计标准
YD/T 5026-2005 电信机房铁架安装设计标准
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本实施规范。
3.1.1
域名服务系统安全等级security classification of DNS
域名服务系统重要程度的表征。重要程度从域名服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。
3.1.2
域名服务系统安全等级保护classified security protection of DNS
标准图片预览
标准内容
中国通信标准化协会标准
YDB113—2012wwW.bzxz.Net
域名服务系统安全防护定级
和评测实施规范
Implementation Specification of Classified SecurityProtectionandTesting for Domain Name System2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语,
4概述,
安全防护范围
安全风险分析:
4.3安全防护内容
5定级实施规范
安全等级划分
定级要素
安全等级的计算方法
6安全防护要求.
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
安全防护评测实施指南
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
YDB113—2012
YDB113—2012
本实施规范按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”,推荐有关方面参考采用。有关对本实施规范的建议和意见,向中国通信标准化协会反映。本实施规范由中国通信标准化协会提出并归口。本实施规范起草单位:工业和信息化部电信研究院。本实施规范主要起草人:魏亮、谢、杨剑锋、魏薇、封莎、黄晨、鲁冬雪、祝卓、下哲、何友斌、许子先、邓东丰、张彦超。
iiiKAoNiKAca
1范围
域名服务系统安全防护定级和评测实施规范YDB113—2012
本实施规范规定了域名服务系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
本实施规范适用于互联网域名服务系统,包括提供域名注册服务、域名权威解析服务和域名递归解析服务的设备/系统。本实施规范中出现的所有未指明的定级对象,系统等均特指域名服务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD5098-2005
YD5002
YD/T5026-2005
3术语、定义和缩略语
3.1术语和定义
通信局(站)防雷与接地工程设计规范邮电建筑防火设计标准
电信机房铁架安装设计标准
下列术语和定义适用于本实施规范。3.1.1
域名服务系统安全等级securityclassificationofDNs域名服务系统重要程度的表征。重要程度从域名服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
域名服务系统安全等级保护classifiedsecurityprotectionofDNs对域名服务系统分等级实施安全保护。3.1.3
域名服务系统安全风险securityriskofDNs人为或自然的威胁可能利用域名服务系统中存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
域名服务系统资产assetofDNs
HiiKAoNiKAca
YDB1132012
域名服务系统中具有价值的资源,是安全防护体系保护的对象。域名服务系统中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括域名服务器、系统结构布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源。3.1.5
域名服务系统威胁threatofDNS
可能导致对域名服务系统产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
域名服务系统脆弱性vulnerability of DNS域名服务系统的资产中存在的弱点、缺陷与不足,不直接对域名服务系统资产造成危害,但可能被域名服务系统威胁所利用从而危害域名服务系统资产的安全。3.1.7
域名服务系统灾难disasterofDNS由于各种原因,造成域名服务系统故障或瘫痪,使域名服务系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
域名服务系统灾难备份backupfordisasterrecoveryofDNs为了域名服务系统灾难恢复而对相关要素进行备份的过程。3.1.9
域名服务系统灾难恢复disasterrecoveryofDNs为了将域名服务系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
域名服务系统安全评测securitytestingofDNs对域名服务系统的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.1.11
域名服务系统DNS
即域名系统,是将域名映射为特定的预定义类型资源记录(域名相关的属性信息记录)的分布式的互联网服务系统。根据有关设备/系统提供服务的不司,可分为域名注册服务系统和域名解析服务系统。3.1.12
域名注册服务系统domainnameregistrationsystem指提供对域名和有关资源记录进行登记,维护和管理等功能的设备集合,主要涉及域名相关注册更改、查询、转移、删除等操作功能以及资源记录维护管理相关其他辅助功能等。3.1.13
HiiKAoNiKAca
域名解析服务系统domainnameresolutionsystemYDB113—2012
域名解析服务系统:指根据域名解析请求为用户提供资源记录信息解析服务的设备集合,其域名解析功能的主要由域名解析服务器实现,按功能可分为权威解析服务系统和递归解析服务系统两类3.2缩略语
下列缩略语适用于本实施规范。DDoS
DNSSEC
4概述
4.1安全防护范围
Distributed Dos
DNSSCElookaside validation
Domain Name System
DNS Security Extensions
Denial of Service
Extensible Provisioning ProtocolFile Transfer Protocol
Internet Protocol
Key Signing Key
Media Access Control
Network Time Protocol
Stream Control Transmission ProtocolSimple Network Management ProtocolSecure Sockets Layer
Transmission Control ProtocolUser Datagram Protocol
分布式DoS
DNSSEC旁路认证
域名系统
DNS安全扩展
拒绝服务
扩展配置协议
文件传输协议
网际协议
密钥签名密钥
媒体控制协议
网络时间协议
流控制传输协议
简单网络管理协议
安全套接层
传输控制协议
用户数据报协议
域名服务是特定服务机构(如域名注册服务机构、电信业务经营机构等)依托互联网域名系统为客户提供域名注册及域名解析等类型的服务。域名系统的名字空间是一个分层次的树状结构。网络中的域名服务器通过相互协作,实现将域名(或者其他的查询对象)最终解析到与域名相对应的资源记录。域名系统的资源记录主要存储包含IP地址等与域名相关的多种信息,这些信息分布在与名字空间对应的各级域名服务器上,按约定的查询机制来实现对域名属性信息的分布式检索。其典型的应用形式为向互联网公众用户提供将域名解析成对应的IF地址(正向解析)或将IP地址解析为相应主机域名(反向解析)的解析服务。域名服务包括域名注册服务和域名解析服务。a)
根据域名解析请求为用户提供资源记录信息解析服务的系统称为域名解析服务系统,其域名解析功能主要由域名解析服务器(名字服务器)实现。域名解析服务器按功能权威服务器和递归服务器:
权威服务器是指对于某个或者多个区具有权威的服务器,权威服务器保存着其所拥有权威的区的原始域名资源记录信息;
递归服务器是指负责接受用户的解析请求,通过向各级权威服务器发出查询请求获得用户所需资源记录信息,并最终向用户返回结果的解析服务器,由于在递归解析过程中常将权威服务器返回的各种记录进行缓存以减少后续查询频次和提高查询效率,因此也称为缓存服务器。3
iiiKAoNhikAca
YDB113—2012
b)域名系统中对域名和有关资源记录进行登记,维护和管理的功能由域名注册服务系统来实现:主要涉及域名注册管理机构和注册服务机构提供的域名注册、更改、查询、转移、删除等操作功能以及资源记录维护管理相关其他辅助功能的服务权威解析服务系统
数据摩
递归解折服务系统
递归期折
服务器
解析请求
解析器
(用户)
权威解桥
服务器
递归查询
互联网
域名服务系统示意图
量据库
注册服务器
代理注册
服务器
本规范所称域名服务系统安全防护定级和评测对象包括域名注册服务系统和域名解析服务系统。考虑到不同服务机构有关系统的规模、结构、运营、管理等因素,可根据实际情况,将域名权威解析服务系统和域名递归解析服务系统作为独立的对象进行安全防护定级和开展评测。4.2安全风险分析
域名服务系统资产的识别与选取应符合科学性、合理性原则。域名服务系统资产大致可包括但不限于设备硬件、设备软件、数据信息、服务、人员、网络拓扑、环境设施等类别。域名服务系统中的重要资产主要包括:a)关键软硬件设备一一如递归服务器、主权威服务器、辅权威服务器、注册服务器、四层交换机、防火墙、后台数据库服务器等;b)
关键数据信息一一如域名相关数据(资源记录信息、区文件信息等)、域名服务系统相关数据(域名系统节点和部署信息、服务器内网地址、软件版本和设置、内外部安全策略等),域名服务系统相关代表性资产的类别划分见表1。表1资产类别
设备硬件
设备软件
数据信息
主要资产
包括各类服务器、终端、辅助设备等,系统网络相关各类路由、交换设备,安全过滤、入侵检测和防护设备等,系统相关内部线缆。包括有必要独立识别的软件,如域名解析软件、域名注册和管理软件、控制软件、数据库、操作维护软件等。
支撑域名解析服务和域名注册服务运行的数据和信息,包括域名记录、域名相关信息、服务器和设备配置数据、管理操作维护记录、存放和使用的各类文档、资料等。iiikAoNnikAca
系统拓扑
环境/设施
表1(续)
主要资产
YDB113—2012
域名解析服务、域名注册服务,以及域名系统的服务性能、服务质量、稳定性等。各类操作、维护、管理人员,以及相关人员的经验、能力等。各个(逻辑上独立的)域名解析服务(和注册服务)系统之间的连接和协同工作关系:域名系统相关各类网络设备、服务器、安全设备等之间的连接关系。包括系统相关物理环境,以及配套的电力供应、防火、防水、防静电、温湿度等设备/设施等。互联网绝大多数业务和应用都依赖于域名,域名服务系统的安全性是关系到互联网以及各类上层业务和应用稳定和可靠的基础。
对于域名解析功能而言,权威服务器和递归服务器是两类尤为重要的设备。互联网络的域名服务质量很大程度上依赖于权威域名服务的正确、安全和可靠的运行,特别是顶级域的安全运行对于整个互联网的发展和建设来说至关重要:递归服务器是面对互联网用户接受请求并最终回应解析结果的关键设备,其安全性直接决定了服务域内域名解析的可靠性和稳定性,是局部范围内域名服务安全的核心。这两类设备面临各类网络威胁和攻击(如缓存中毒、域名劫持、DNS放大攻击、DDoS拒绝服务等)的问题日益突出。
对于域名注册服务系统,在系统功能实现、设备部署、安全策略配置、操作管理等环节均存在一定的固有安全脆弱性。相应的安全脆弱性存在被利用的可能,从而构成对系统安全性的威胁,需要通过有效的应对措施来降低可能潜在的安全风险。例如系统部署防入侵防攻击措施不到位,攻击者可通过渗透并成功进入系统内部:系统管理操作过程的失误,可造成系统信息泄漏:系统安全审计,保护措施的不到位,则存在系统数据信息被取或恶意套改。注册系统存在的普通安全漏洞可能会对域名解析服务系统及相关资源记录数据构成较严重的安全威胁,甚至进一步间接的影响基础网络、站点主机的安全域名服务系统的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象应以资产为核心。域名系统的脆弱性分析应包括但不限于表2所列范围。表2脆弱性类别
脆弱性
物理环境
管理脆弱性
主要脆弱性
网络和设备的处理能力不够导致在访问量突增时业务提供不连续、业务数据的保密性不够、重要数据未及时进行本地和异地备份等。包括系统功能规划、部署、资源配置的缺陷等;系统网络保护和恢复能力的缺陷、安全技术措施和策略等方面的漏洞等;相关数据信息在存放、使用、传送、备份、保存、恢复等环节的安全保护技术缺陷和安全策略的漏洞等。包括各设备、服务器、终端硬件安全性和软件安全性的漏洞等;可靠性、稳定性、业务支持能力和数据处理能力、容错和恢复能力的缺陷等;后台维护和访问相关授权、管理等方面的安全漏洞,以及授权接入的口令、方式、安全连接、用户鉴别、代理等访问控制方面存在的漏洞隐患等
包括物理环境安全防护能力的缺陷:可分为场地选择,防火,供配电、防静电、接地与防雷、电磁防护、温湿度控制、线路、其他设施及设备的保护等。包括相关的方案和预案、人员、保障、组织等安全机制和管理制度在制定和实施等环节的漏洞和缺陷,可分为安全管理机构方面(如岗位设置、授权和审批程序、沟通和合作等),安全管理制度方面(如管理制度及相应的评审和修订等),人员安全管理方面(如人员录用、上岗、安全培训、组织、访问控制等),建设管理方面(如安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格等),运维管理方面(如物理环境管理、设备维护、技术支持、关键性能指标监控、攻击防范措施、数据备份和恢复、访问控制、操作管理、应急保障措施等)。5
HiiKAoNiKAca
YDB1132012
域名服务系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威肋。根据威胁的动机,人为威胁文可分为恶意和非恶意两种。域名系统的威胁分析应包括但不限于表3所列范围
表3威胁类别
技术威胁
物理环境
恶意人员
非恶意
4.3安全防护内容
主要威胁
包括设备/主机相关故障,未充分考虑穴余、可靠性及安全、服务需求等原因,妨碍相关功能完全实现的缺陷或隐惠而造成的安全事件等;错误响应和恢复等:相关数据、信息在备份、保存、处理过程中发生的差错、损坏、丢失等:其他突发、异常事件的冲击和数据拥塞等。包括供电故障,灰尘、潮湿、温度超标,静电、电磁干扰等:意外事故或线路方面的故障等。包括鼠蚁虫害:洪灾、火灾、地震、台风、雷电等自然灾害:战争、社会动乱、恐怖活动等。包括针对系统相关功能的恶意拥塞,针对服务、设备等有关数据和信息的拦截、篡改、删除等攻击行为和恶意扫描、监听,截获等喉探行为:恶意代码、病毒等:非授权访问、越权操作等;伪造和欺骗等;物理攻击,损坏、盗窃等。包括误操作;无作为、技能不足等;相关数据、信息无意泄漏,数据损坏和丢失等;组织、安全管理制度不完善、制度推行不力、缺乏资源等非规范安全管理等域名系统的安全是互联网业务应用安全的基础,其安全防护的要求覆盖以域名注册服务和域名解析服务为主的系统功能实现、系统性能、系统结构和设备部署、安全边界和策略设置、运行维护管理等各个方面,主要内容可归类划分为业务及应用安全、网络安全、设备及软件系统安全、物理环境安全、管理安全等。
4.3.1业务及应用安全
业务及应用安全包括业务提供、身份鉴别、访问控制、安全审计、数据安全、资源控制等方面的安全要求。
4.3.2网络安全
网络安全包括结构安全、安全审计、入侵防范等方面的安全要求。4.3.3设备及软件系统安全
设备及软件系统安全包括系统相关设备和软件在安全检测、身份鉴别、访问控制、安全审计、恶意代码防范、资源控制等方面的安全要求。4.3.4物理环境安全
物理环境安全主要包括防火,防盗、温湿度控制、电力供应、电磁防护等方面的安全要求。4.3.5管理安全
管理安全主要包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5定级实施规范
iiiKAoNikAca
5.1安全等级划分
YDB1132012
域名服务系统进行安全等级划分的总体原则是:依据定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及业务运营企业的合法权益的损害程度,对域名服务系统进行安全等级划分,共分为5个等级。
5.1.1第1级
定级对象受到破坏后,会对其业务运营企业的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由业务运营企业依据国家和通信行业有关标准进行保护。5.1.2第2级
定级对象受到破坏后,会对业务运营企业的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
5.1.3第3级
5.1.3.1第3.1级
定级对象受到破坏后,会对业务运营企业的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。
5.1.3.2第3.2级
定级对象受到破坏后,会对业务运营企业的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。
5.1.4第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。
本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。5.1.5第5级
定级对象受到破坏后,会对国家安全造成特别严重损害本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。5.2定级要素
YDB1132012
确定定级对象的安全等级应根据如下三个相互独立的定级要素:社会影响力、规模和服务范围和所提供服务的重要性。
5.2.1社会影响力-1
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度,对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序,经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。
域名注册服务系统和域名解析服务系统是互联网核心服务系统,绝大多数互联网业务应用都依赖其提供的名址查询解析功能,服务对象范围广泛,数量众多,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害。
适用本规范的域名注册服务系统定级对象建议社会影响力赋值为2、域名解析服务系统定级对象建议社会影响力赋值为3。
5.2.2规模和服务范围-R
域名服务系统定级对象的规模和服务范围由其服务用户数来确定。各域名服务系统的实际服务用户数,可由域名注册管理机构、域名注册服务机构电信业务经营机构等提供。对于提供注册服务的域名系统,服务规模以月均注册域名数(R1)来表示:对于提供权威解析服务的域名系统,服务规模以权威解析域名数(R2)来表示;对于提供递归解析服务的域名系统,服务规模以递归服务用户数(R3)来表示。对于同时提供多类服务的定级对象(如合设式域名服务系统):R取单项赋值高的指标。
定级对象的规模和服务范围R的赋值如表4到表6所示。表4注册系统的服务规模R1赋值表规模指标
月均注册域名数在500以下
月均注册域名数在500及以上,1000以下月均注册域名数在1000及以上,5000以下月均注册域名数在5000及以上,20000以下月均注册域名数在20000及以上
注:含直管的下级业务代理机构的业务量表5权威解析系统的服务规模R2赋值表规模指标
权威解析域名数在1万以下
权威解析域名数在1万及以上,20万以下权威解析域名数在20万及以上,100万以下权威解析域名数在100万及以上,400万以下权威解析域名数在400万及以上
服务用户数在5万以下
表6递归解析系统的服务规模R3赋值表规模指标
服务用户数在5万及以上,50万以下服务用户数在50万及以上,200万以下服务用户数在200万及以上,500万以下服务用户数在500万及以上
5.2.3所提供服务重要性-V
YDB113—2012
定级对象所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度,此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
域名注册服务系统和域名解析服务系统所提供服务的重要性一般,被破坏后会对业务运营企业的合法权益造成较大损害。
适用本规范的域名注册服务系统和域名解析服务系统定级对象建议所提供服务重要性赋值为2。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。5.3安全等级的计算方法
在完成定级对象的社会影响力I、规模和服务范围R、所提供服务重要性V三个定级要素的赋值后,需采用以下公式来计算定级对象的安全等级值:k=Round1(Log2[αx2'+βx2\+yx2'])).1
其中,K代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Round10表示四舍五入处理,保留1位小数,Log2[表示取以2为底的对数,α、β、7分别表示定级对象的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,α≥0,β≥0,≥0,且α+β+=1。应根据实际情况确定权重值α、B、7,建议分别取:1/3、1/3、1/3,或者0.3、0.4、0.3。计算所得定级对象的安全等级值与安全等级的映射关系如表7所示。表7安全等级值与安全等级的映射关系安全等级值k
1≤k<1.5
1.5≤k<2.5
2.5≤K3.3
3.3≤k≤4
4.5≤k≤5
6安全防护要求
6.1第1级要求
不作要求。
6.2第2级要求
安全等级
第1级
第2级
第3.1级
第3.2级
第4级
第5级
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB113—2012wwW.bzxz.Net
域名服务系统安全防护定级
和评测实施规范
Implementation Specification of Classified SecurityProtectionandTesting for Domain Name System2012-11-13印发
中国通信标准化协会
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语,
4概述,
安全防护范围
安全风险分析:
4.3安全防护内容
5定级实施规范
安全等级划分
定级要素
安全等级的计算方法
6安全防护要求.
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
安全防护评测实施指南
第1级要求
第2级要求
第3.1级要求
第3.2级要求
第4级要求
第5级要求
YDB113—2012
YDB113—2012
本实施规范按照GB/T1.1-2009给出的规则起草。为适应信息通信业发展对通信标准文件的需要,由中国通信标准化协会组织制定“中国通信标准化协会标准”,推荐有关方面参考采用。有关对本实施规范的建议和意见,向中国通信标准化协会反映。本实施规范由中国通信标准化协会提出并归口。本实施规范起草单位:工业和信息化部电信研究院。本实施规范主要起草人:魏亮、谢、杨剑锋、魏薇、封莎、黄晨、鲁冬雪、祝卓、下哲、何友斌、许子先、邓东丰、张彦超。
iiiKAoNiKAca
1范围
域名服务系统安全防护定级和评测实施规范YDB113—2012
本实施规范规定了域名服务系统开展网络安全防护有关系统定级、分等级防护和安全评测等方面的规范性要求。
本实施规范适用于互联网域名服务系统,包括提供域名注册服务、域名权威解析服务和域名递归解析服务的设备/系统。本实施规范中出现的所有未指明的定级对象,系统等均特指域名服务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD5098-2005
YD5002
YD/T5026-2005
3术语、定义和缩略语
3.1术语和定义
通信局(站)防雷与接地工程设计规范邮电建筑防火设计标准
电信机房铁架安装设计标准
下列术语和定义适用于本实施规范。3.1.1
域名服务系统安全等级securityclassificationofDNs域名服务系统重要程度的表征。重要程度从域名服务系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、业务运营企业造成的损害来衡量。3.1.2
域名服务系统安全等级保护classifiedsecurityprotectionofDNs对域名服务系统分等级实施安全保护。3.1.3
域名服务系统安全风险securityriskofDNs人为或自然的威胁可能利用域名服务系统中存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
域名服务系统资产assetofDNs
HiiKAoNiKAca
YDB1132012
域名服务系统中具有价值的资源,是安全防护体系保护的对象。域名服务系统中的资产可能以多种形式存在,无形的、有形的、硬件、软件,包括域名服务器、系统结构布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源。3.1.5
域名服务系统威胁threatofDNS
可能导致对域名服务系统产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。3.1.6
域名服务系统脆弱性vulnerability of DNS域名服务系统的资产中存在的弱点、缺陷与不足,不直接对域名服务系统资产造成危害,但可能被域名服务系统威胁所利用从而危害域名服务系统资产的安全。3.1.7
域名服务系统灾难disasterofDNS由于各种原因,造成域名服务系统故障或瘫痪,使域名服务系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
域名服务系统灾难备份backupfordisasterrecoveryofDNs为了域名服务系统灾难恢复而对相关要素进行备份的过程。3.1.9
域名服务系统灾难恢复disasterrecoveryofDNs为了将域名服务系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
域名服务系统安全评测securitytestingofDNs对域名服务系统的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.1.11
域名服务系统DNS
即域名系统,是将域名映射为特定的预定义类型资源记录(域名相关的属性信息记录)的分布式的互联网服务系统。根据有关设备/系统提供服务的不司,可分为域名注册服务系统和域名解析服务系统。3.1.12
域名注册服务系统domainnameregistrationsystem指提供对域名和有关资源记录进行登记,维护和管理等功能的设备集合,主要涉及域名相关注册更改、查询、转移、删除等操作功能以及资源记录维护管理相关其他辅助功能等。3.1.13
HiiKAoNiKAca
域名解析服务系统domainnameresolutionsystemYDB113—2012
域名解析服务系统:指根据域名解析请求为用户提供资源记录信息解析服务的设备集合,其域名解析功能的主要由域名解析服务器实现,按功能可分为权威解析服务系统和递归解析服务系统两类3.2缩略语
下列缩略语适用于本实施规范。DDoS
DNSSEC
4概述
4.1安全防护范围
Distributed Dos
DNSSCElookaside validation
Domain Name System
DNS Security Extensions
Denial of Service
Extensible Provisioning ProtocolFile Transfer Protocol
Internet Protocol
Key Signing Key
Media Access Control
Network Time Protocol
Stream Control Transmission ProtocolSimple Network Management ProtocolSecure Sockets Layer
Transmission Control ProtocolUser Datagram Protocol
分布式DoS
DNSSEC旁路认证
域名系统
DNS安全扩展
拒绝服务
扩展配置协议
文件传输协议
网际协议
密钥签名密钥
媒体控制协议
网络时间协议
流控制传输协议
简单网络管理协议
安全套接层
传输控制协议
用户数据报协议
域名服务是特定服务机构(如域名注册服务机构、电信业务经营机构等)依托互联网域名系统为客户提供域名注册及域名解析等类型的服务。域名系统的名字空间是一个分层次的树状结构。网络中的域名服务器通过相互协作,实现将域名(或者其他的查询对象)最终解析到与域名相对应的资源记录。域名系统的资源记录主要存储包含IP地址等与域名相关的多种信息,这些信息分布在与名字空间对应的各级域名服务器上,按约定的查询机制来实现对域名属性信息的分布式检索。其典型的应用形式为向互联网公众用户提供将域名解析成对应的IF地址(正向解析)或将IP地址解析为相应主机域名(反向解析)的解析服务。域名服务包括域名注册服务和域名解析服务。a)
根据域名解析请求为用户提供资源记录信息解析服务的系统称为域名解析服务系统,其域名解析功能主要由域名解析服务器(名字服务器)实现。域名解析服务器按功能权威服务器和递归服务器:
权威服务器是指对于某个或者多个区具有权威的服务器,权威服务器保存着其所拥有权威的区的原始域名资源记录信息;
递归服务器是指负责接受用户的解析请求,通过向各级权威服务器发出查询请求获得用户所需资源记录信息,并最终向用户返回结果的解析服务器,由于在递归解析过程中常将权威服务器返回的各种记录进行缓存以减少后续查询频次和提高查询效率,因此也称为缓存服务器。3
iiiKAoNhikAca
YDB113—2012
b)域名系统中对域名和有关资源记录进行登记,维护和管理的功能由域名注册服务系统来实现:主要涉及域名注册管理机构和注册服务机构提供的域名注册、更改、查询、转移、删除等操作功能以及资源记录维护管理相关其他辅助功能的服务权威解析服务系统
数据摩
递归解折服务系统
递归期折
服务器
解析请求
解析器
(用户)
权威解桥
服务器
递归查询
互联网
域名服务系统示意图
量据库
注册服务器
代理注册
服务器
本规范所称域名服务系统安全防护定级和评测对象包括域名注册服务系统和域名解析服务系统。考虑到不同服务机构有关系统的规模、结构、运营、管理等因素,可根据实际情况,将域名权威解析服务系统和域名递归解析服务系统作为独立的对象进行安全防护定级和开展评测。4.2安全风险分析
域名服务系统资产的识别与选取应符合科学性、合理性原则。域名服务系统资产大致可包括但不限于设备硬件、设备软件、数据信息、服务、人员、网络拓扑、环境设施等类别。域名服务系统中的重要资产主要包括:a)关键软硬件设备一一如递归服务器、主权威服务器、辅权威服务器、注册服务器、四层交换机、防火墙、后台数据库服务器等;b)
关键数据信息一一如域名相关数据(资源记录信息、区文件信息等)、域名服务系统相关数据(域名系统节点和部署信息、服务器内网地址、软件版本和设置、内外部安全策略等),域名服务系统相关代表性资产的类别划分见表1。表1资产类别
设备硬件
设备软件
数据信息
主要资产
包括各类服务器、终端、辅助设备等,系统网络相关各类路由、交换设备,安全过滤、入侵检测和防护设备等,系统相关内部线缆。包括有必要独立识别的软件,如域名解析软件、域名注册和管理软件、控制软件、数据库、操作维护软件等。
支撑域名解析服务和域名注册服务运行的数据和信息,包括域名记录、域名相关信息、服务器和设备配置数据、管理操作维护记录、存放和使用的各类文档、资料等。iiikAoNnikAca
系统拓扑
环境/设施
表1(续)
主要资产
YDB113—2012
域名解析服务、域名注册服务,以及域名系统的服务性能、服务质量、稳定性等。各类操作、维护、管理人员,以及相关人员的经验、能力等。各个(逻辑上独立的)域名解析服务(和注册服务)系统之间的连接和协同工作关系:域名系统相关各类网络设备、服务器、安全设备等之间的连接关系。包括系统相关物理环境,以及配套的电力供应、防火、防水、防静电、温湿度等设备/设施等。互联网绝大多数业务和应用都依赖于域名,域名服务系统的安全性是关系到互联网以及各类上层业务和应用稳定和可靠的基础。
对于域名解析功能而言,权威服务器和递归服务器是两类尤为重要的设备。互联网络的域名服务质量很大程度上依赖于权威域名服务的正确、安全和可靠的运行,特别是顶级域的安全运行对于整个互联网的发展和建设来说至关重要:递归服务器是面对互联网用户接受请求并最终回应解析结果的关键设备,其安全性直接决定了服务域内域名解析的可靠性和稳定性,是局部范围内域名服务安全的核心。这两类设备面临各类网络威胁和攻击(如缓存中毒、域名劫持、DNS放大攻击、DDoS拒绝服务等)的问题日益突出。
对于域名注册服务系统,在系统功能实现、设备部署、安全策略配置、操作管理等环节均存在一定的固有安全脆弱性。相应的安全脆弱性存在被利用的可能,从而构成对系统安全性的威胁,需要通过有效的应对措施来降低可能潜在的安全风险。例如系统部署防入侵防攻击措施不到位,攻击者可通过渗透并成功进入系统内部:系统管理操作过程的失误,可造成系统信息泄漏:系统安全审计,保护措施的不到位,则存在系统数据信息被取或恶意套改。注册系统存在的普通安全漏洞可能会对域名解析服务系统及相关资源记录数据构成较严重的安全威胁,甚至进一步间接的影响基础网络、站点主机的安全域名服务系统的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象应以资产为核心。域名系统的脆弱性分析应包括但不限于表2所列范围。表2脆弱性类别
脆弱性
物理环境
管理脆弱性
主要脆弱性
网络和设备的处理能力不够导致在访问量突增时业务提供不连续、业务数据的保密性不够、重要数据未及时进行本地和异地备份等。包括系统功能规划、部署、资源配置的缺陷等;系统网络保护和恢复能力的缺陷、安全技术措施和策略等方面的漏洞等;相关数据信息在存放、使用、传送、备份、保存、恢复等环节的安全保护技术缺陷和安全策略的漏洞等。包括各设备、服务器、终端硬件安全性和软件安全性的漏洞等;可靠性、稳定性、业务支持能力和数据处理能力、容错和恢复能力的缺陷等;后台维护和访问相关授权、管理等方面的安全漏洞,以及授权接入的口令、方式、安全连接、用户鉴别、代理等访问控制方面存在的漏洞隐患等
包括物理环境安全防护能力的缺陷:可分为场地选择,防火,供配电、防静电、接地与防雷、电磁防护、温湿度控制、线路、其他设施及设备的保护等。包括相关的方案和预案、人员、保障、组织等安全机制和管理制度在制定和实施等环节的漏洞和缺陷,可分为安全管理机构方面(如岗位设置、授权和审批程序、沟通和合作等),安全管理制度方面(如管理制度及相应的评审和修订等),人员安全管理方面(如人员录用、上岗、安全培训、组织、访问控制等),建设管理方面(如安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格等),运维管理方面(如物理环境管理、设备维护、技术支持、关键性能指标监控、攻击防范措施、数据备份和恢复、访问控制、操作管理、应急保障措施等)。5
HiiKAoNiKAca
YDB1132012
域名服务系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威肋。根据威胁的动机,人为威胁文可分为恶意和非恶意两种。域名系统的威胁分析应包括但不限于表3所列范围
表3威胁类别
技术威胁
物理环境
恶意人员
非恶意
4.3安全防护内容
主要威胁
包括设备/主机相关故障,未充分考虑穴余、可靠性及安全、服务需求等原因,妨碍相关功能完全实现的缺陷或隐惠而造成的安全事件等;错误响应和恢复等:相关数据、信息在备份、保存、处理过程中发生的差错、损坏、丢失等:其他突发、异常事件的冲击和数据拥塞等。包括供电故障,灰尘、潮湿、温度超标,静电、电磁干扰等:意外事故或线路方面的故障等。包括鼠蚁虫害:洪灾、火灾、地震、台风、雷电等自然灾害:战争、社会动乱、恐怖活动等。包括针对系统相关功能的恶意拥塞,针对服务、设备等有关数据和信息的拦截、篡改、删除等攻击行为和恶意扫描、监听,截获等喉探行为:恶意代码、病毒等:非授权访问、越权操作等;伪造和欺骗等;物理攻击,损坏、盗窃等。包括误操作;无作为、技能不足等;相关数据、信息无意泄漏,数据损坏和丢失等;组织、安全管理制度不完善、制度推行不力、缺乏资源等非规范安全管理等域名系统的安全是互联网业务应用安全的基础,其安全防护的要求覆盖以域名注册服务和域名解析服务为主的系统功能实现、系统性能、系统结构和设备部署、安全边界和策略设置、运行维护管理等各个方面,主要内容可归类划分为业务及应用安全、网络安全、设备及软件系统安全、物理环境安全、管理安全等。
4.3.1业务及应用安全
业务及应用安全包括业务提供、身份鉴别、访问控制、安全审计、数据安全、资源控制等方面的安全要求。
4.3.2网络安全
网络安全包括结构安全、安全审计、入侵防范等方面的安全要求。4.3.3设备及软件系统安全
设备及软件系统安全包括系统相关设备和软件在安全检测、身份鉴别、访问控制、安全审计、恶意代码防范、资源控制等方面的安全要求。4.3.4物理环境安全
物理环境安全主要包括防火,防盗、温湿度控制、电力供应、电磁防护等方面的安全要求。4.3.5管理安全
管理安全主要包括管理制度、人员和技术支持能力、运行维护管理能力、灾难恢复预案等方面的安全要求。
5定级实施规范
iiiKAoNikAca
5.1安全等级划分
YDB1132012
域名服务系统进行安全等级划分的总体原则是:依据定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及业务运营企业的合法权益的损害程度,对域名服务系统进行安全等级划分,共分为5个等级。
5.1.1第1级
定级对象受到破坏后,会对其业务运营企业的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由业务运营企业依据国家和通信行业有关标准进行保护。5.1.2第2级
定级对象受到破坏后,会对业务运营企业的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
5.1.3第3级
5.1.3.1第3.1级
定级对象受到破坏后,会对业务运营企业的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。
5.1.3.2第3.2级
定级对象受到破坏后,会对业务运营企业的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。本级由业务运营企业依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。
5.1.4第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。
本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。5.1.5第5级
定级对象受到破坏后,会对国家安全造成特别严重损害本级由业务运营企业依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。5.2定级要素
YDB1132012
确定定级对象的安全等级应根据如下三个相互独立的定级要素:社会影响力、规模和服务范围和所提供服务的重要性。
5.2.1社会影响力-1
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度,对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序,经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。
域名注册服务系统和域名解析服务系统是互联网核心服务系统,绝大多数互联网业务应用都依赖其提供的名址查询解析功能,服务对象范围广泛,数量众多,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害。
适用本规范的域名注册服务系统定级对象建议社会影响力赋值为2、域名解析服务系统定级对象建议社会影响力赋值为3。
5.2.2规模和服务范围-R
域名服务系统定级对象的规模和服务范围由其服务用户数来确定。各域名服务系统的实际服务用户数,可由域名注册管理机构、域名注册服务机构电信业务经营机构等提供。对于提供注册服务的域名系统,服务规模以月均注册域名数(R1)来表示:对于提供权威解析服务的域名系统,服务规模以权威解析域名数(R2)来表示;对于提供递归解析服务的域名系统,服务规模以递归服务用户数(R3)来表示。对于同时提供多类服务的定级对象(如合设式域名服务系统):R取单项赋值高的指标。
定级对象的规模和服务范围R的赋值如表4到表6所示。表4注册系统的服务规模R1赋值表规模指标
月均注册域名数在500以下
月均注册域名数在500及以上,1000以下月均注册域名数在1000及以上,5000以下月均注册域名数在5000及以上,20000以下月均注册域名数在20000及以上
注:含直管的下级业务代理机构的业务量表5权威解析系统的服务规模R2赋值表规模指标
权威解析域名数在1万以下
权威解析域名数在1万及以上,20万以下权威解析域名数在20万及以上,100万以下权威解析域名数在100万及以上,400万以下权威解析域名数在400万及以上
服务用户数在5万以下
表6递归解析系统的服务规模R3赋值表规模指标
服务用户数在5万及以上,50万以下服务用户数在50万及以上,200万以下服务用户数在200万及以上,500万以下服务用户数在500万及以上
5.2.3所提供服务重要性-V
YDB113—2012
定级对象所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度,此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
域名注册服务系统和域名解析服务系统所提供服务的重要性一般,被破坏后会对业务运营企业的合法权益造成较大损害。
适用本规范的域名注册服务系统和域名解析服务系统定级对象建议所提供服务重要性赋值为2。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。5.3安全等级的计算方法
在完成定级对象的社会影响力I、规模和服务范围R、所提供服务重要性V三个定级要素的赋值后,需采用以下公式来计算定级对象的安全等级值:k=Round1(Log2[αx2'+βx2\+yx2'])).1
其中,K代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Round10表示四舍五入处理,保留1位小数,Log2[表示取以2为底的对数,α、β、7分别表示定级对象的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,α≥0,β≥0,≥0,且α+β+=1。应根据实际情况确定权重值α、B、7,建议分别取:1/3、1/3、1/3,或者0.3、0.4、0.3。计算所得定级对象的安全等级值与安全等级的映射关系如表7所示。表7安全等级值与安全等级的映射关系安全等级值k
1≤k<1.5
1.5≤k<2.5
2.5≤K3.3
3.3≤k≤4
4.5≤k≤5
6安全防护要求
6.1第1级要求
不作要求。
6.2第2级要求
安全等级
第1级
第2级
第3.1级
第3.2级
第4级
第5级
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。