YD/T 2052-2009
基本信息
标准号: YD/T 2052-2009
中文名称:域名系统安全防护要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1327468
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2052-2009.Security protection requirements for the domain name system.
1范围
YD/T 2052规定了公众电信网和互联网相关域名系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。
YD/T 2052适用于域名服务系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1728-2008电信网和互联网安全防护管理指南
YD/T 1729-2008电信网和互联网安全等级保护实施指南
YD/T 1730-2008电信网和互联网安全风险评估实施指南
YD/T 1731-2008电信网和互联网灾难备份及恢复实施指南
YD/T 1754-2008电信网和互联网物理环境安全等级保护要求
YD/T 1756-2008电信网和互联网管理安全等级保护要求
3缩略语和定义
3.1缩略语
下列缩略语适用于本标准。
DNS Domain Name System 域名系统
DNSSEC DNS Security Extension 域名系统安全
DoS Denial of Service 拒绝服务
DDoS Distributed Denial of Service 分布式拒绝服务
1范围
YD/T 2052规定了公众电信网和互联网相关域名系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。
YD/T 2052适用于域名服务系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1728-2008电信网和互联网安全防护管理指南
YD/T 1729-2008电信网和互联网安全等级保护实施指南
YD/T 1730-2008电信网和互联网安全风险评估实施指南
YD/T 1731-2008电信网和互联网灾难备份及恢复实施指南
YD/T 1754-2008电信网和互联网物理环境安全等级保护要求
YD/T 1756-2008电信网和互联网管理安全等级保护要求
3缩略语和定义
3.1缩略语
下列缩略语适用于本标准。
DNS Domain Name System 域名系统
DNSSEC DNS Security Extension 域名系统安全
DoS Denial of Service 拒绝服务
DDoS Distributed Denial of Service 分布式拒绝服务
标准图片预览
标准内容
ICS35.100.70
中华人民共和国通信行业标准
YD/T2052-2009
域名系统安全防护要求
Security protection requirements for the domain name system2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件….
3缩略语和定义-
3.1缩略语
3.2定义
4域名系统安金防护概述
4.1域名系统安全防护范围·
4.2域名系统安全防护内容
5域名系统定级对象和安全等级确定-6域名系统资产、脆弱性、威胁分析….6.1资产分析·免费标准bzxz.net
6.2脆弱性分析
6.3威胁分析·
域名系统安全等级保护要求·
7.1 第 1 级要求
7.2第2级要求·
7.3第3.1级要求
7.4第3.2级要求
7.5第4级要求
7.6第 5 级要求,
8域名系统灾难备份及恢复要求…8.1概述***
8.2第1级要求…·
8.3第 2 级要求
8.4第 3.1级要求
8.5第3.2级要求
8.6第4级要求
8.7第 5级要求..
参考文献
IKAONIKAa
YD/T 2052-2009
YD/T2052-2009
本标准是“电信网和互联网安全防护体系”系列标准之一,该系标准的结构及名称预计如下:《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和五联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
移动通信网安全防护要求》
一《万联网安全防护要求》
《增值业务网一消息网安全防护要求》一《增值业务网一智能网安企防护要求》《接入网安全防护要求》
一《传送网安全防护要求》
《承载网安全防护要求》
《信令网安全防护要求》
一《同步网安企防护要求》
《支撑网安全防护要求》
一《非核心生产单元安全防护要求》一《电信网和互联网物理环境安全等级保护要求》一《电信网利五联网管理安全等级保护要求》《固定通信网安全防扩检测要求》《移动通信网安全防护检测要求》《互联网安全防护检测要求》
《增值业务网一消息网安金防护检测要求》《增值业务网:智能网安全防护检测要求》一《接入网安全防护检测要求》《传送网安全防护检测要求》
《IP承载网安企防护检测要求》《信令网安全防护检测要求》
一《同步网安全防扩检测要求》《支撑网安全防护检测要求》
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全等级保护检测要求》《电信网和互联网管理安企等级保护检测要求》YD/T2052-2009
《域名系统安全防护要求》(本标准)《域名系统安全防护检测要求》《网上营业厅安全防护要求》
一《网上营业厅安全防护检测要求》本标准同时是“域名系统运行技术规范体系”系列标准之一,该系列标准的结构及名称如下:《域名系统运行总体技术要求》《域名系统权威服务器运行技术要求》一《域名系统递归服务器运行技术要求》《域名服务安全框架技术要求》一《IPv6网络域名服务技术要求》一《域名系统授权体系技术要求》《域名系统安全防护要求》
《域名系统安全防护检测要求》《公共域名解析系统安全标准》本标准与YD/T2053-2009《域名系统安全防护检测婴求》配套使用。随若电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国互联网络信息中心、1业租信息化部电信研究院。本标推主要起草人:李晓东、杨剑锋、王伟、山慧蓉、陈涛、胡安磊。KAONIKAca-
1范围
域名系统安全防护要求
YD/T 2052-2009
本标准规定了公众电信网和互联网相关域名系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。
本标准适用丁域名服务系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用-\本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的晟新版本。凡是不注口期的引用文件,H最新版本适用丁本标准。YD/T 1728-2008
YD/T 1729-2008
YD/T 1730-2008
YD/T 1731-2008
YD/T 1754-2008
YD/T 1756-2008
3缩略语和定义
3.1缩略语
电信网和互联网安全防扩管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和工联网灾难备份及恢复实施指南电信网和互联网物现环境安全等级保护要求中信网和互联网管理安全等级保护要求下列缩略语透用于本标准。
DNSSEC
3.2定义
Domain Name Syster
DNS Security Extension
Denial of Service
Distributed Denial of ScrviccInternet Protocol
Transmission Control ProtocolDNSSEC Lookaside Validation
Key Signing Key
Sirnple Network Management ProtocolTransaction Signature
User Datagram Protocol
Network Time Protocol
下列定义适用于本标准。
域名系统
域名系统安企
拒绝服务
分布式拒绝服务
网际协议
传输控制协议
域名系统安仑旁路认证
密钥签名密钥
简单网络管理协议
事务签名
用户数据报协议
网络时问即设
YD/T 2052-2009
域名系统安全等级securityclassificationofthedomainnamesystem域名系统安全重要程度的表征。重要程度可从域名系统受到破坏后,对国家安全、社会秋序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.2.2
域名系统安全等级保护classifiedsecurityprotectionofthedomainnamesystem对域名系统分等级实施安全保护。3.2.3
组织organization
由不同作用的个体为实施共同的业务月标血建立的结构,组织的特性在下为完成日标而分丁、合作一个单位是一个组织,某个业务部门也可以是:-个组织。3.2.4
域名系统安全风险security riskofthedomainnamesystem人为或自然的威胁可能利用域名系统中存在的脆弱性导致安企事件的发生及其对组织造成的影响。3.2.5
域名系统安全风险评估security risk assessment of the domain name system运用科学的方法和手段,系统地分析域名系统所面临的威胁及其存在的跪弱性,评估安全事件一-日发生可能造成的危害程度,提出有针对性的抵御崴盼的防护对策和安全措施。防范利化解域名系绕安个风险,或者将风险控制在可接受的水平,为最大限度地为保障域名系统的安企提供科学依据。3.2.6
域名系统资产assetof thedomain namesystem域名系统中具有价值的资源,是安全防护保扩的对象。域名系统中的资产可能是以多种形式存在如无形的和有形的或硬件和软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源,如域名系统的设备、线路和数据信息等。3.2.7
域名系统资产价值assetvalueofthedomainnamesystem域名系统中资产的重要程度或敏感程度。域名系统资产价值是域名系统资产的属性,也是行城系统资产识别的主要内容。
域名系统威胁threat otf thedomain name system可能导致对域名系统产生危害的不希望事件潜在起因,它叫能是人为的,也可能是作人为的:可能是无意失误,也可能是恶意攻击。常见的域名系统威胁有攻所、故障和灾善等。3.2.9
域名系统脆弱性vulnerabilityofthedomainnamesystem域名系统中存在的弱点、缺陷与不足,脆弱性不直接对域名系统资产造成危害,但可能被域名系统威胁所利用从而危及域名系统资产的安企。2
TIKAONIKACa-
域名系统灾难disasterofthedomainnamesystemYD/T 2052-2009
由于各种原因,造成域名系统故障或瘫痪,域名系统提供的服务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
域名系统灾难备份backupfardisasterrecoveryofthedomainnamesystem为了或名系统灾难恢复而对和关的要素进行备份的过程3.2.12
域名系统灾难恢复disasterrecoveryofthedomainnamesystem为了将域名系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,为将其提供的服务功能、服务水平等从灾难造成的不正常状态恢复到可接受状态,而设计的活动租流程。4域名系统安全防护概述
4.1域名系统安全防护范围
域名系统是负责记录IP网络中主机名和相应工机IP地址间映射关系、提供将域名解析成P地址:(正向解析)或将IP地址解析为域名(反向解析)服务的系统。本标准适用丁构建或者运营域名服务系统的国内各级单位。4.2域名系统安全防护内容
根据YD/T1728-2008《电信网和五联网安全防护管理指南》中电信网和互联网安全防护体系的要求,将域名系统安全防护内容分为安全风险评估、安全等级保护和灾难备份及恢复等3个部分:*域名系统安全等级保护
主要包括定级对象和安伞等级的确定、业务及应用安企、拓扑安全、设备安全、物理环境安全和管理安全等。
·域名系统安全风险评估
主要包括资产识别、脆弱性识别、威胁识别、已有安企措施的确认、风险分析、风险评估文件记录等。本标准仪对域名系统进行资产分析、脆弱性分析和或胁分析,在域名系统安企风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、威助的赋值方法及资产价值,风险值的计算方法参见YD/T1730-2008《电信网和互联网安全风险评估实施指南》。·域名系统灾难备份及恢复
主要包括灾难备份及恢复等级确定、针对灾难备份及恢复对各资源要索的具体要求等。5域名系统定级对象和安全等级确定本标推的域名系统定级对象为我国具有管辖权的IP网络域名解析服务系统。提供域名解析服务的网络和业务运营商、服务提供商应根据YD/T1729-2008《电信网和互联网安全等级保护实施指南》附录A中确定安全等级的方法对域名系统定级,即对所属域名解桁系统根据社会影响力、所提供服务的重要性、服务规模的大小分别定级,权重(、β、>可根据具体网络情况进行调节。3
YD/T2052-2009
6域名系统资产、脆弱性、威胁分析6.1资产分析
域名系统资产的识别与选取应符合科学性,合理性,域名系统资产人致包括各类设备硬件、设备软件、数据信息、服务、人员、网络拓扑和环境设施等。或名系统的资产分析应包括但不限于表1所列范圈。表1资产类别
设备硬件
设备软件
数据信息
系统拓扑
环境/设施
6.2脆弱性分析
包括各类服务器、终端、辅助设各等系统网终和关各类路由、交换设备,安全过滤、入侵检测和防护段备等,系统机关内部线缆包括有必要独立识别的软件,如操作系统、域名软件,控制软件、数据库、操作维护软件等支撑域名业务运行的数据和信息,包括域名记录、域名相关信息、服务器和设备配置数据、管理操作维护记录、存放和使用的各类文挡、资料链域名解析服务,以及域名解析服务的性能、服务质量、业务稳定性等各类操作、维护,管埋人员,以及档关人员的经验和能力等各个独立域名解析服务系统之间的连接和协同作关系域务解析服务系统和关各类网络设备、服务器、安全设各等之问的连接关系包括系统关物理环境,以及配套的电力供应、防火、防水、防静电、温混度等设备/设施等域名系统的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象成以资产为核心。域名系统的脆弱性分析应包括但不限于表2所列范用。表 2脆弱性类别
物理环境
理璐弱性
脆弱性
网络和设备的处理能力不够导致在突发访问量高时业务提供不连续、业务数据的保密性不够、重要数据本及进行本地和异地备份包括系统功能规划、部界、资源配置的缺陷等:系统网络保护和恢复能力的缺陷、安全技术措施和策略等方而的漏润等:和关数据信总在存放、使用。传送、备份、保存和恢复等环节的安全保护技术缺陷和安全策略的漏等他括各设备、服务器、终端硬件安个性和软件安全性的漏测等;可靠性、稳定性、业务支持能力和数据处理能力、容错和恢复能力的缺陷等;后台维护和访问相关摄权、管等方而的安全溺洞,以及授权接入的口令、方式、安全连接、月户别和代理等访问控制方面存在的漏溯隐惠等
包括物理环境安全防护能力的缺陷:可分为场地选择,防火、供配、防静电、接地与防击、电磁防护、温湿度控制。线路和其他设施及设备的保护等包括相关的方案和预案、人员、保障、组织等安全机制和管理制度在制定和实施等不节的漏润和缺陷,可分为安企管理机构方面(如岗位设置、授权和审批程序、沟还和合作等),安全管理制度方面(如管理制度及相应的评伟利修订等),人员安全管理方面(如人员录用、上岗、安全培训、组织、访问控制等),建设管理方面(如安全方案不完普、软件发不符合程序、丁程实施本进行安全验收或验收不严格等),运维管理方面(如物理环境管理、设备维护、技术支持、关链性能指标监控、攻击防范措施、数据备份和恢复、访问控制、操作管理、应急保障措施等)-KAONIKACa
6.3威胁分析
YD/T 2052-2009
域名系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境崴胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。域名系统的威胁分析应包括但不限于表3所列范围。
表3威胁类别
技术威胁
环境威胁
人为威胁
物理环境
恶意人员
非恶意
包括设备/主机相关故障,末充分考虑亢余,可靠性及安全,服务需求等原因,妨碍相关功能光全实现的缺陷或隐忠而造成的安全事件等:错误响成和恢复等,相关数、信息在备份、保存、处理过程中发生的差错、损坏、丢失等;其他突发、异常事件的冲新和数据捆等包括供电故障,灰查、潮湿、温度超标,静电、电磁十扰等:意外事故或线路方面的故障等包括鼠蚁虫害;洪灾、火灾、地震、台风、雷电等自然火害:战争、社会动乱、恐柿活动等包括针对相关功能系统的恶意抑塞,针对服务、设备等相关数据和信息的拦截、篡改、删除等攻守行为和恶意扫抛、监听、截获等喉深行为;恶意代码、病毒等;非授权访问、越权操作等;伪造和欺骗等;物理攻击,损坏、盗窃等包括误操作:无作为,技能不足等;相关数据、信息无意泄潮,数据损坏和丢失等;纽织、安全管理制度不完善、制度排行不力、缺乏资源等非规范安全管理等7域名系统安全等级保护要求
7.1第1级要求
本标准对安全等级为第1级的域名系统暂不作要求,7.2第2级要求
7.2.1业务及应用安全要求
7.2.1.1业务提供
a)系统要求不问断运行,在排除不可抗因素的情况下,按月统计:权威服务器和递归服务器业务可用性均应大了99.99%;
b)不考虑网络延返,按月统计,95%的权威服务器域名解析响应时问<500ms,95%的递归服务器域名解析响应时间<1500ms权威服务器和递归服务器均可处理3倍任·单个节点(每个对外提供解析服务的节点IP记为--个节点)历史访问量采样集的95th百分点(95th百分点是指所给数集\超过其95%的数。95th百分点是统计时所采用的最高值,超过的5%的数据将被含弃:实践中采用等问隔采样,每分钟采样1次,采样点均匀分布丁流量曲线,去掉最大的5%采样值,剩下的最大值为95th百分点,以下皆同):c)递归服务器白身不应同时兼备权威服务器功能,同时不提供除了域名服务之外的其他服务:d)对权威域名服务系统,应保持主服务器对辅服务器(组)的记录信息进行更新,保证数据同步:e)域名解析辅服务器与主服务器应保持时间」:的同步,建议采用NTP协议或其他技术。7.2.1.2身份鉴别
a)应提供专用的登录控制模块对登录系统的用户进行身份标识和鉴别;b)应提供用户身份标识惟一和鉴别信息复杂度检查功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被用:
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;5
YD/T 2052-2009
d)应启用身份鉴别、用户身份标识惟一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。7.2.1.3访问控制
a)应提供访问控制功能,依据安全策略控制用户对系统文件、数据库表等客体的访问,b)访问控制的覆盖范围应包括与系统资源访问相关的主体、客体及它们之间的操作:c)应由授权主体配置访问控制策略,并严格限制默认账户的访问权限:d)应授予不同的系统账户为完成各自承担任务所需的最小权限,并在它们之问形成相互制约的关系,
e)域名服务器应该只向公共互联网提供TCP和UDP53端口的标准DNS解析服务;f)域名服务器对其他服务器TCP和UDP53端口的访问不应进行限制。:7.2.1.4安全审计
a)应提供覆盖到每个系统账号的安全审计功能,应对系统重要安全事件进行审计:b)应保证无法删除、修改或覆盖审计记录:c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。7.2.1.5通信数据安全性
a)系统用户登录应进行会话初始验证:b)应采用加密(如采用TSIG协议)或其他保护措施实现系统鉴别信息的存储保密性:c)应采用内外网隔离或加密等保护措施避免远程访问和域名数据在公共互联网的明文传输;d)域名服务器应支持标准DNSSEC协议及DNSSEC旁路认证(DLV),并进行正确的协议配置e)域名服务器应配置正确的信任锚及其公钥(KSK),应配置国家域名系统DLV服务器(DLV.DNS.CN).
7.2.1.6资源控制
a)当系统通信的会话中的一方在一段时间内末作任何响应,另一方应能够自动结束会话:b)应能够对系统的最大并发会话连接数进行限制;c)应能够对单个账户的多重并发会话进行限制。7.2.2拓扑安全要求
7.2.2.1结构安全
a)应绘制与当前运行情况相符的系统拓扑结构图:b)在指定服务域内,提供解析的服务器数量应不低于2台:c)应根据业务的特点,在满足高峰期流量需求的基础上,合埋设计带宽,7.2.2.2访问控制
a)应在系统边界部署访问控制设备,非启用访问控制功能,并只在53端口比向公众提供域名解析服务,除此之外,不对公众开放任何服务;b)应能为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;c)应按用户和系统之间的允许访问间规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
7.2.2.3安全审计
IKAONIKACa
a)应对系统中的设备运行状况、流量、域名访问量和用户行为等进行日志记录;YD/T2052-2009
b)审计记录应包括事件的日期和时问、用户、事件类型、事件是否成功及其他与审计相关的信息。7.2.2.4入侵防范
应在系统边界处对发生的端口扫描、强力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、P碎片攻击和网络蠕虫攻击等攻击和入侵事件提供有效的抵御和防范能力。7.2.3设备安全要求
7.2.3.1安全检测
a)应对构建系统结构的计算机、服务器、网络设备等硬件设备进行必要的安全检测,出具安全测试及验收报告安善保存,相关设备的安全应满足相应设备技术规范、设备安全要求等行业标准的相关规定,网络设备原则上应符合电信设备入网管理相关要求的规定:b)各型设备的操作系统应遵循最小安装的原则,仪安装和开通需要的功能组件利应用程序,并通过安全方式(如设置升级服务器)保持系统共补丁及时得到更新:c)通用主机应安装防悉意代码软件,井及时更新防恶意代码软件版本和恶意代码库;d)应定期监测DNS解析软件的版本安全性,避免业已发现的洞造成域名劫持或域名更改等安全事件。
7.2.3.2身份鉴别
a)应对避录操作系统和数据降系统的用户进行身份标识和鉴别:b)逆用主机操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求开定期更换
)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:d)当对主机进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听:e)应为操作系统和数据库系统的不同用户分配不间的用户名,确保用户名具有惟一性。7.2.3.3访问控制
a)应启用访问控制功能,依据安全策略控制用户对设备的访问;b)应实现操作系统和数据库系统特权用户的权限分离:c)应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令:d)应及时删除多余的、过期的账户,避免共享账户的存在。7.2.3.4安全审计
a)审计范围应覆盖到主机/服务器上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和1重要系统命令的使用等系统内重要的安全相关事件:
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。7.2.3.5恶意代码防范
a)通用主机操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补及时得到更新:b)通用主机成安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。YD/T2052-2009
7.2.3.6资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录特定的设备;b)应根据安全策略设置登录终端的操作超时锁定:c)应限制单个用户对主机资源的最大或最小使用限度:d)应对能够对服务器、数据库、路由器等设备进行性能监和服务水平监控,监控方式可基汀监听、agent、模拟访问、SNMP、NetFlow等网管技术和协议:并设定阙值,在监测到服务水平降低到阅值时进行报警:
e)监控要求以不低于5min一次的频率进行轮询扫描。7.2.4物理环境安全要求
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第2级的相关要求。7.2.5管理安全要求
应满足YD/T1756-2008《电信网和互联网等理安全等级保护要求》中第2级的相关要求。7.3第3.1级要求
7.3.1业务及应用安全要求
7.3.1.1业务提供
除满足第2级的要求之外,还应满足:a)系统要求不问断运行,应采取亢余架构和多点任播分布的方式,提高域名系统的可用性,在排除不可抗因素导致单点失败的情况下,按月统计,权威服务器可用性应大于99.999%,递归服务器可用性应人1-99.99%:
b)不考虑网络延迟,可处理整个系统(由所有对外提供解析服务的节点组成)的历史访问量采样集的95th百分点的3倍访问量;
c)应定期对系统记录数据相关信息进行备份,以便数据被破坏,能够及时恢复服务:d)应能通过严格的安全策略和措施,抵御缓冲区污染、放大递归查询、漏洞侦测等类型的攻击:一对缀冲区污染攻击:采月无Kaminsky漏洞的的新版DNS软件做缓存服务器;使用尽可能大范固的源端口;有条件时实施DNSSEC,一对放大递归查询攻击:对来自单一IP的请求,如果请求内容(QNAME/QTYPEIQCLASS)有关联或者请求量过于频繁,可以对其进行部份过滤。一对漏洞侦测攻击:尽可能采用包含最新补丁的DNS服务器软件;对服务器进行安全设置,减少服务器相关信息的泄漏:在防火墙上对异常的侦测请求进行过滤。e)应定期根据系统日志信息进行入侵检测和入侵企图分析。7.3.1.2身份鉴别
除满足第2级的要求之外,还应满足应能根据需要对系统的同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。7.3.1.3访问控制
除满足第2级的要求之外,还应满足:a)应对重要信息资源设置敏感标记:b)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。8
TIKAONIKACa-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2052-2009
域名系统安全防护要求
Security protection requirements for the domain name system2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件….
3缩略语和定义-
3.1缩略语
3.2定义
4域名系统安金防护概述
4.1域名系统安全防护范围·
4.2域名系统安全防护内容
5域名系统定级对象和安全等级确定-6域名系统资产、脆弱性、威胁分析….6.1资产分析·免费标准bzxz.net
6.2脆弱性分析
6.3威胁分析·
域名系统安全等级保护要求·
7.1 第 1 级要求
7.2第2级要求·
7.3第3.1级要求
7.4第3.2级要求
7.5第4级要求
7.6第 5 级要求,
8域名系统灾难备份及恢复要求…8.1概述***
8.2第1级要求…·
8.3第 2 级要求
8.4第 3.1级要求
8.5第3.2级要求
8.6第4级要求
8.7第 5级要求..
参考文献
IKAONIKAa
YD/T 2052-2009
YD/T2052-2009
本标准是“电信网和互联网安全防护体系”系列标准之一,该系标准的结构及名称预计如下:《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和五联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
移动通信网安全防护要求》
一《万联网安全防护要求》
《增值业务网一消息网安全防护要求》一《增值业务网一智能网安企防护要求》《接入网安全防护要求》
一《传送网安全防护要求》
《承载网安全防护要求》
《信令网安全防护要求》
一《同步网安企防护要求》
《支撑网安全防护要求》
一《非核心生产单元安全防护要求》一《电信网和互联网物理环境安全等级保护要求》一《电信网利五联网管理安全等级保护要求》《固定通信网安全防扩检测要求》《移动通信网安全防护检测要求》《互联网安全防护检测要求》
《增值业务网一消息网安金防护检测要求》《增值业务网:智能网安全防护检测要求》一《接入网安全防护检测要求》《传送网安全防护检测要求》
《IP承载网安企防护检测要求》《信令网安全防护检测要求》
一《同步网安全防扩检测要求》《支撑网安全防护检测要求》
《非核心生产单元安全防护检测要求》《电信网和互联网物理环境安全等级保护检测要求》《电信网和互联网管理安企等级保护检测要求》YD/T2052-2009
《域名系统安全防护要求》(本标准)《域名系统安全防护检测要求》《网上营业厅安全防护要求》
一《网上营业厅安全防护检测要求》本标准同时是“域名系统运行技术规范体系”系列标准之一,该系列标准的结构及名称如下:《域名系统运行总体技术要求》《域名系统权威服务器运行技术要求》一《域名系统递归服务器运行技术要求》《域名服务安全框架技术要求》一《IPv6网络域名服务技术要求》一《域名系统授权体系技术要求》《域名系统安全防护要求》
《域名系统安全防护检测要求》《公共域名解析系统安全标准》本标准与YD/T2053-2009《域名系统安全防护检测婴求》配套使用。随若电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国互联网络信息中心、1业租信息化部电信研究院。本标推主要起草人:李晓东、杨剑锋、王伟、山慧蓉、陈涛、胡安磊。KAONIKAca-
1范围
域名系统安全防护要求
YD/T 2052-2009
本标准规定了公众电信网和互联网相关域名系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。
本标准适用丁域名服务系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用-\本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的晟新版本。凡是不注口期的引用文件,H最新版本适用丁本标准。YD/T 1728-2008
YD/T 1729-2008
YD/T 1730-2008
YD/T 1731-2008
YD/T 1754-2008
YD/T 1756-2008
3缩略语和定义
3.1缩略语
电信网和互联网安全防扩管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和工联网灾难备份及恢复实施指南电信网和互联网物现环境安全等级保护要求中信网和互联网管理安全等级保护要求下列缩略语透用于本标准。
DNSSEC
3.2定义
Domain Name Syster
DNS Security Extension
Denial of Service
Distributed Denial of ScrviccInternet Protocol
Transmission Control ProtocolDNSSEC Lookaside Validation
Key Signing Key
Sirnple Network Management ProtocolTransaction Signature
User Datagram Protocol
Network Time Protocol
下列定义适用于本标准。
域名系统
域名系统安企
拒绝服务
分布式拒绝服务
网际协议
传输控制协议
域名系统安仑旁路认证
密钥签名密钥
简单网络管理协议
事务签名
用户数据报协议
网络时问即设
YD/T 2052-2009
域名系统安全等级securityclassificationofthedomainnamesystem域名系统安全重要程度的表征。重要程度可从域名系统受到破坏后,对国家安全、社会秋序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.2.2
域名系统安全等级保护classifiedsecurityprotectionofthedomainnamesystem对域名系统分等级实施安全保护。3.2.3
组织organization
由不同作用的个体为实施共同的业务月标血建立的结构,组织的特性在下为完成日标而分丁、合作一个单位是一个组织,某个业务部门也可以是:-个组织。3.2.4
域名系统安全风险security riskofthedomainnamesystem人为或自然的威胁可能利用域名系统中存在的脆弱性导致安企事件的发生及其对组织造成的影响。3.2.5
域名系统安全风险评估security risk assessment of the domain name system运用科学的方法和手段,系统地分析域名系统所面临的威胁及其存在的跪弱性,评估安全事件一-日发生可能造成的危害程度,提出有针对性的抵御崴盼的防护对策和安全措施。防范利化解域名系绕安个风险,或者将风险控制在可接受的水平,为最大限度地为保障域名系统的安企提供科学依据。3.2.6
域名系统资产assetof thedomain namesystem域名系统中具有价值的资源,是安全防护保扩的对象。域名系统中的资产可能是以多种形式存在如无形的和有形的或硬件和软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员和管理等各种类型的资源,如域名系统的设备、线路和数据信息等。3.2.7
域名系统资产价值assetvalueofthedomainnamesystem域名系统中资产的重要程度或敏感程度。域名系统资产价值是域名系统资产的属性,也是行城系统资产识别的主要内容。
域名系统威胁threat otf thedomain name system可能导致对域名系统产生危害的不希望事件潜在起因,它叫能是人为的,也可能是作人为的:可能是无意失误,也可能是恶意攻击。常见的域名系统威胁有攻所、故障和灾善等。3.2.9
域名系统脆弱性vulnerabilityofthedomainnamesystem域名系统中存在的弱点、缺陷与不足,脆弱性不直接对域名系统资产造成危害,但可能被域名系统威胁所利用从而危及域名系统资产的安企。2
TIKAONIKACa-
域名系统灾难disasterofthedomainnamesystemYD/T 2052-2009
由于各种原因,造成域名系统故障或瘫痪,域名系统提供的服务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
域名系统灾难备份backupfardisasterrecoveryofthedomainnamesystem为了或名系统灾难恢复而对和关的要素进行备份的过程3.2.12
域名系统灾难恢复disasterrecoveryofthedomainnamesystem为了将域名系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,为将其提供的服务功能、服务水平等从灾难造成的不正常状态恢复到可接受状态,而设计的活动租流程。4域名系统安全防护概述
4.1域名系统安全防护范围
域名系统是负责记录IP网络中主机名和相应工机IP地址间映射关系、提供将域名解析成P地址:(正向解析)或将IP地址解析为域名(反向解析)服务的系统。本标准适用丁构建或者运营域名服务系统的国内各级单位。4.2域名系统安全防护内容
根据YD/T1728-2008《电信网和五联网安全防护管理指南》中电信网和互联网安全防护体系的要求,将域名系统安全防护内容分为安全风险评估、安全等级保护和灾难备份及恢复等3个部分:*域名系统安全等级保护
主要包括定级对象和安伞等级的确定、业务及应用安企、拓扑安全、设备安全、物理环境安全和管理安全等。
·域名系统安全风险评估
主要包括资产识别、脆弱性识别、威胁识别、已有安企措施的确认、风险分析、风险评估文件记录等。本标准仪对域名系统进行资产分析、脆弱性分析和或胁分析,在域名系统安企风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、威助的赋值方法及资产价值,风险值的计算方法参见YD/T1730-2008《电信网和互联网安全风险评估实施指南》。·域名系统灾难备份及恢复
主要包括灾难备份及恢复等级确定、针对灾难备份及恢复对各资源要索的具体要求等。5域名系统定级对象和安全等级确定本标推的域名系统定级对象为我国具有管辖权的IP网络域名解析服务系统。提供域名解析服务的网络和业务运营商、服务提供商应根据YD/T1729-2008《电信网和互联网安全等级保护实施指南》附录A中确定安全等级的方法对域名系统定级,即对所属域名解桁系统根据社会影响力、所提供服务的重要性、服务规模的大小分别定级,权重(、β、>可根据具体网络情况进行调节。3
YD/T2052-2009
6域名系统资产、脆弱性、威胁分析6.1资产分析
域名系统资产的识别与选取应符合科学性,合理性,域名系统资产人致包括各类设备硬件、设备软件、数据信息、服务、人员、网络拓扑和环境设施等。或名系统的资产分析应包括但不限于表1所列范圈。表1资产类别
设备硬件
设备软件
数据信息
系统拓扑
环境/设施
6.2脆弱性分析
包括各类服务器、终端、辅助设各等系统网终和关各类路由、交换设备,安全过滤、入侵检测和防护段备等,系统机关内部线缆包括有必要独立识别的软件,如操作系统、域名软件,控制软件、数据库、操作维护软件等支撑域名业务运行的数据和信息,包括域名记录、域名相关信息、服务器和设备配置数据、管理操作维护记录、存放和使用的各类文挡、资料链域名解析服务,以及域名解析服务的性能、服务质量、业务稳定性等各类操作、维护,管埋人员,以及档关人员的经验和能力等各个独立域名解析服务系统之间的连接和协同作关系域务解析服务系统和关各类网络设备、服务器、安全设各等之问的连接关系包括系统关物理环境,以及配套的电力供应、防火、防水、防静电、温混度等设备/设施等域名系统的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象成以资产为核心。域名系统的脆弱性分析应包括但不限于表2所列范用。表 2脆弱性类别
物理环境
理璐弱性
脆弱性
网络和设备的处理能力不够导致在突发访问量高时业务提供不连续、业务数据的保密性不够、重要数据本及进行本地和异地备份包括系统功能规划、部界、资源配置的缺陷等:系统网络保护和恢复能力的缺陷、安全技术措施和策略等方而的漏润等:和关数据信总在存放、使用。传送、备份、保存和恢复等环节的安全保护技术缺陷和安全策略的漏等他括各设备、服务器、终端硬件安个性和软件安全性的漏测等;可靠性、稳定性、业务支持能力和数据处理能力、容错和恢复能力的缺陷等;后台维护和访问相关摄权、管等方而的安全溺洞,以及授权接入的口令、方式、安全连接、月户别和代理等访问控制方面存在的漏溯隐惠等
包括物理环境安全防护能力的缺陷:可分为场地选择,防火、供配、防静电、接地与防击、电磁防护、温湿度控制。线路和其他设施及设备的保护等包括相关的方案和预案、人员、保障、组织等安全机制和管理制度在制定和实施等不节的漏润和缺陷,可分为安企管理机构方面(如岗位设置、授权和审批程序、沟还和合作等),安全管理制度方面(如管理制度及相应的评伟利修订等),人员安全管理方面(如人员录用、上岗、安全培训、组织、访问控制等),建设管理方面(如安全方案不完普、软件发不符合程序、丁程实施本进行安全验收或验收不严格等),运维管理方面(如物理环境管理、设备维护、技术支持、关链性能指标监控、攻击防范措施、数据备份和恢复、访问控制、操作管理、应急保障措施等)-KAONIKACa
6.3威胁分析
YD/T 2052-2009
域名系统的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境崴胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。域名系统的威胁分析应包括但不限于表3所列范围。
表3威胁类别
技术威胁
环境威胁
人为威胁
物理环境
恶意人员
非恶意
包括设备/主机相关故障,末充分考虑亢余,可靠性及安全,服务需求等原因,妨碍相关功能光全实现的缺陷或隐忠而造成的安全事件等:错误响成和恢复等,相关数、信息在备份、保存、处理过程中发生的差错、损坏、丢失等;其他突发、异常事件的冲新和数据捆等包括供电故障,灰查、潮湿、温度超标,静电、电磁十扰等:意外事故或线路方面的故障等包括鼠蚁虫害;洪灾、火灾、地震、台风、雷电等自然火害:战争、社会动乱、恐柿活动等包括针对相关功能系统的恶意抑塞,针对服务、设备等相关数据和信息的拦截、篡改、删除等攻守行为和恶意扫抛、监听、截获等喉深行为;恶意代码、病毒等;非授权访问、越权操作等;伪造和欺骗等;物理攻击,损坏、盗窃等包括误操作:无作为,技能不足等;相关数据、信息无意泄潮,数据损坏和丢失等;纽织、安全管理制度不完善、制度排行不力、缺乏资源等非规范安全管理等7域名系统安全等级保护要求
7.1第1级要求
本标准对安全等级为第1级的域名系统暂不作要求,7.2第2级要求
7.2.1业务及应用安全要求
7.2.1.1业务提供
a)系统要求不问断运行,在排除不可抗因素的情况下,按月统计:权威服务器和递归服务器业务可用性均应大了99.99%;
b)不考虑网络延返,按月统计,95%的权威服务器域名解析响应时问<500ms,95%的递归服务器域名解析响应时间<1500ms权威服务器和递归服务器均可处理3倍任·单个节点(每个对外提供解析服务的节点IP记为--个节点)历史访问量采样集的95th百分点(95th百分点是指所给数集\超过其95%的数。95th百分点是统计时所采用的最高值,超过的5%的数据将被含弃:实践中采用等问隔采样,每分钟采样1次,采样点均匀分布丁流量曲线,去掉最大的5%采样值,剩下的最大值为95th百分点,以下皆同):c)递归服务器白身不应同时兼备权威服务器功能,同时不提供除了域名服务之外的其他服务:d)对权威域名服务系统,应保持主服务器对辅服务器(组)的记录信息进行更新,保证数据同步:e)域名解析辅服务器与主服务器应保持时间」:的同步,建议采用NTP协议或其他技术。7.2.1.2身份鉴别
a)应提供专用的登录控制模块对登录系统的用户进行身份标识和鉴别;b)应提供用户身份标识惟一和鉴别信息复杂度检查功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被用:
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;5
YD/T 2052-2009
d)应启用身份鉴别、用户身份标识惟一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。7.2.1.3访问控制
a)应提供访问控制功能,依据安全策略控制用户对系统文件、数据库表等客体的访问,b)访问控制的覆盖范围应包括与系统资源访问相关的主体、客体及它们之间的操作:c)应由授权主体配置访问控制策略,并严格限制默认账户的访问权限:d)应授予不同的系统账户为完成各自承担任务所需的最小权限,并在它们之问形成相互制约的关系,
e)域名服务器应该只向公共互联网提供TCP和UDP53端口的标准DNS解析服务;f)域名服务器对其他服务器TCP和UDP53端口的访问不应进行限制。:7.2.1.4安全审计
a)应提供覆盖到每个系统账号的安全审计功能,应对系统重要安全事件进行审计:b)应保证无法删除、修改或覆盖审计记录:c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。7.2.1.5通信数据安全性
a)系统用户登录应进行会话初始验证:b)应采用加密(如采用TSIG协议)或其他保护措施实现系统鉴别信息的存储保密性:c)应采用内外网隔离或加密等保护措施避免远程访问和域名数据在公共互联网的明文传输;d)域名服务器应支持标准DNSSEC协议及DNSSEC旁路认证(DLV),并进行正确的协议配置e)域名服务器应配置正确的信任锚及其公钥(KSK),应配置国家域名系统DLV服务器(DLV.DNS.CN).
7.2.1.6资源控制
a)当系统通信的会话中的一方在一段时间内末作任何响应,另一方应能够自动结束会话:b)应能够对系统的最大并发会话连接数进行限制;c)应能够对单个账户的多重并发会话进行限制。7.2.2拓扑安全要求
7.2.2.1结构安全
a)应绘制与当前运行情况相符的系统拓扑结构图:b)在指定服务域内,提供解析的服务器数量应不低于2台:c)应根据业务的特点,在满足高峰期流量需求的基础上,合埋设计带宽,7.2.2.2访问控制
a)应在系统边界部署访问控制设备,非启用访问控制功能,并只在53端口比向公众提供域名解析服务,除此之外,不对公众开放任何服务;b)应能为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;c)应按用户和系统之间的允许访问间规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
7.2.2.3安全审计
IKAONIKACa
a)应对系统中的设备运行状况、流量、域名访问量和用户行为等进行日志记录;YD/T2052-2009
b)审计记录应包括事件的日期和时问、用户、事件类型、事件是否成功及其他与审计相关的信息。7.2.2.4入侵防范
应在系统边界处对发生的端口扫描、强力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、P碎片攻击和网络蠕虫攻击等攻击和入侵事件提供有效的抵御和防范能力。7.2.3设备安全要求
7.2.3.1安全检测
a)应对构建系统结构的计算机、服务器、网络设备等硬件设备进行必要的安全检测,出具安全测试及验收报告安善保存,相关设备的安全应满足相应设备技术规范、设备安全要求等行业标准的相关规定,网络设备原则上应符合电信设备入网管理相关要求的规定:b)各型设备的操作系统应遵循最小安装的原则,仪安装和开通需要的功能组件利应用程序,并通过安全方式(如设置升级服务器)保持系统共补丁及时得到更新:c)通用主机应安装防悉意代码软件,井及时更新防恶意代码软件版本和恶意代码库;d)应定期监测DNS解析软件的版本安全性,避免业已发现的洞造成域名劫持或域名更改等安全事件。
7.2.3.2身份鉴别
a)应对避录操作系统和数据降系统的用户进行身份标识和鉴别:b)逆用主机操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求开定期更换
)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:d)当对主机进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听:e)应为操作系统和数据库系统的不同用户分配不间的用户名,确保用户名具有惟一性。7.2.3.3访问控制
a)应启用访问控制功能,依据安全策略控制用户对设备的访问;b)应实现操作系统和数据库系统特权用户的权限分离:c)应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令:d)应及时删除多余的、过期的账户,避免共享账户的存在。7.2.3.4安全审计
a)审计范围应覆盖到主机/服务器上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和1重要系统命令的使用等系统内重要的安全相关事件:
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。7.2.3.5恶意代码防范
a)通用主机操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如设置升级服务器)保持系统补及时得到更新:b)通用主机成安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。YD/T2052-2009
7.2.3.6资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录特定的设备;b)应根据安全策略设置登录终端的操作超时锁定:c)应限制单个用户对主机资源的最大或最小使用限度:d)应对能够对服务器、数据库、路由器等设备进行性能监和服务水平监控,监控方式可基汀监听、agent、模拟访问、SNMP、NetFlow等网管技术和协议:并设定阙值,在监测到服务水平降低到阅值时进行报警:
e)监控要求以不低于5min一次的频率进行轮询扫描。7.2.4物理环境安全要求
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护要求》中第2级的相关要求。7.2.5管理安全要求
应满足YD/T1756-2008《电信网和互联网等理安全等级保护要求》中第2级的相关要求。7.3第3.1级要求
7.3.1业务及应用安全要求
7.3.1.1业务提供
除满足第2级的要求之外,还应满足:a)系统要求不问断运行,应采取亢余架构和多点任播分布的方式,提高域名系统的可用性,在排除不可抗因素导致单点失败的情况下,按月统计,权威服务器可用性应大于99.999%,递归服务器可用性应人1-99.99%:
b)不考虑网络延迟,可处理整个系统(由所有对外提供解析服务的节点组成)的历史访问量采样集的95th百分点的3倍访问量;
c)应定期对系统记录数据相关信息进行备份,以便数据被破坏,能够及时恢复服务:d)应能通过严格的安全策略和措施,抵御缓冲区污染、放大递归查询、漏洞侦测等类型的攻击:一对缀冲区污染攻击:采月无Kaminsky漏洞的的新版DNS软件做缓存服务器;使用尽可能大范固的源端口;有条件时实施DNSSEC,一对放大递归查询攻击:对来自单一IP的请求,如果请求内容(QNAME/QTYPEIQCLASS)有关联或者请求量过于频繁,可以对其进行部份过滤。一对漏洞侦测攻击:尽可能采用包含最新补丁的DNS服务器软件;对服务器进行安全设置,减少服务器相关信息的泄漏:在防火墙上对异常的侦测请求进行过滤。e)应定期根据系统日志信息进行入侵检测和入侵企图分析。7.3.1.2身份鉴别
除满足第2级的要求之外,还应满足应能根据需要对系统的同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。7.3.1.3访问控制
除满足第2级的要求之外,还应满足:a)应对重要信息资源设置敏感标记:b)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。8
TIKAONIKACa-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。