信息安全技術 公共域名服務系統(tǒng)安全要求

GB/T33134—xxxxGB/T33134—xxxx信息安全技術公共域名服務系統(tǒng)安全要求范圍本文件規(guī)定了公共域名服務系統(tǒng)的基本要求、技術要求以及管理要求等內容，定義了域名系統(tǒng)（DNS）的基本概念、組成和架構，提出了國家關鍵基礎設施DNS總體技術要求，并給出了域名系統(tǒng)安全部署指南。本文件適用于公共域名服務系統(tǒng)單位對頂級域名服務系統(tǒng)、其他各級域名服務系統(tǒng)及遞歸域名服務系統(tǒng)的開發(fā)和管理。規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T2137-2010域名系統(tǒng)遞歸服務器運行技術要求YD/T2138-2010域名系統(tǒng)權威服務器運行技術要求YD/T2142-2010基于國際多語種域名體系的中文域名總體技術要求YD/T2143-2010基于國際多語種域名體系的中文域名的編碼處理技術要求YD/T2438-2012基于國際多語種域名體系的中文域名注冊字表要求IETFRFC1034域名系統(tǒng)概念和基礎設施IETFRFC1035域名系統(tǒng)的實現(xiàn)與詳述IETFRFC4033DNSSEC介紹與需求IETFRFC4034資源記錄支持DNSSEC擴展IETFRFC4035支持DNSSEC的協(xié)議修改IETFRFC7858基于TLS的DNS傳輸IETFRFC8310基于TLS的DNS和基于DTLS的DNS的使用情況IETFRFC8484基于HTTPS的DNS傳輸術語、定義和縮略語術語和定義下列術語和定義適用于本文件。名字空間NameSpace域名系統(tǒng)的名字空間是一個樹狀結構，每個節(jié)點對應于相應的資源集合（這個資源集合可能為空），域名系統(tǒng)不區(qū)別樹內節(jié)點和葉子節(jié)點，統(tǒng)稱為節(jié)點（Node）。每個節(jié)點有一個標記（Label），這個標記的長度不超過63字節(jié)。父節(jié)點不同的節(jié)點可以使用相同的標記。只有根節(jié)點（Root）的標記長度為0（空標記）。域名DomainName名字空間中，從當前節(jié)點到根節(jié)點的路徑上所有節(jié)點標記的點分順序連接的字符串。域Domain指名字空間中的一個子集，也就是樹形結構名字空間中的一棵子樹。這個子樹根節(jié)點的域名就是該域的名字。頂級域TopLevelDomain指域名系統(tǒng)名字空間中根節(jié)點下最頂層的域。資源記錄ResourceRecord指在域名系統(tǒng)中用于存儲與域名相關的屬性信息，簡稱RR。注：每個域名對應的記錄可能為空或者多條。域名的資源記錄由名字（NAME）、類型（TYPE）、種類（CLASS）、生存時間（TTL）、記錄數(shù)據(jù)長度（RDLENGTH）、記錄數(shù)據(jù)（RDATA）等字段組成。域名系統(tǒng)DomainNameSystem一種將域名映射為某些預定義類型資源記錄（ResourceRecord）的分布式互聯(lián)網(wǎng)服務系統(tǒng)，網(wǎng)絡中域名服務系統(tǒng)間通過相互協(xié)作，實現(xiàn)將域名最終解析到相應的資源記錄。域名服務系統(tǒng)DomainNameServiceSystem指提供域名解析服務的系統(tǒng)，由權威域名服務系統(tǒng)、遞歸域名服務系統(tǒng)組成。權威域名服務系統(tǒng)AuthoritativeDomainNameServiceSystem指對于某個或者多個區(qū)具有可信數(shù)據(jù)功能的服務系統(tǒng)，權威域名服務系統(tǒng)保存著其所擁有區(qū)的原始域名資源記錄信息。遞歸域名服務系統(tǒng)RecursiveDomainNameServiceSystem指負責接收用戶（解析器）的解析請求，并通過查詢本地緩存或者執(zhí)行從根域名服務系統(tǒng)到被查詢域名所屬權威服務系統(tǒng)的遞歸查詢過程，獲得解析結果并返回給用戶的域名服務系統(tǒng)。區(qū)文件ZoneFile某個區(qū)內的域名和資源記錄及相關的權威起始信息（StartofAuthority，SOA）按照一定的格式進行組合，從而構成存儲這些信息的文件。其中，權威起始信息包含了區(qū)的管理員電子郵件地址（MailAddress）、序列號（Serial）、更新周期（Refresh）、重試周期（Retry）和過期時間（Expire）等信息。任播Anycast指一種通信方式，它在IP網(wǎng)絡上通過一個專門地址標識一組提供特定服務的主機，同時服務訪問方并不關心提供服務的具體是哪一臺主機（比如DNS或者鏡像服務），訪問該地址的報文可以被IP網(wǎng)絡路由到這一組目標中的任何一臺主機上，它提供的是一種無狀態(tài)的、盡力而為的服務。主域名服務系統(tǒng)MasterDomainNameServiceSystem指被配置成區(qū)數(shù)據(jù)發(fā)布源的權威域名服務系統(tǒng)。輔域名服務系統(tǒng)SlaveDomainNameServiceSystem指通過區(qū)傳送協(xié)議來獲取區(qū)數(shù)據(jù)的權威域名服務系統(tǒng)。解析器Resolver指向名字服務系統(tǒng)發(fā)送域名解析請求，并且從名字服務系統(tǒng)返回的響應消息中提取所需信息的程序。解析器軟件通常集成到操作系統(tǒng)內核或者應用軟件中。縮略語下列縮略語適用于本文件。DNS：域名系統(tǒng)（DomainNameSystem）IP： 網(wǎng)際協(xié)議（InternetProtocol）SOA：起始授權（StartofAuthority）TCP ：傳輸控制協(xié)議（TransmissionControlProtocol）TTL：生存時間（TimetoLive）UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol） RFC ：請求注解（RequestForComments）概述域名系統(tǒng)架構和基本要求域名解析服務是一種互聯(lián)網(wǎng)應用層資源的尋址服務，是其他互聯(lián)網(wǎng)絡應用服務的基礎。常見的互聯(lián)網(wǎng)絡應用服務有web服務，電子郵件服務，ftp服務等，它們都是以域名服務為基礎，來實現(xiàn)系統(tǒng)內部資源的尋址和定位的。域名服務系統(tǒng)是以樹型拓撲結構來定義的，由不同類別的域名服務系統(tǒng)服務機構負責不同級域名的解析服務。其對應關系如下圖1所示：全球域名服務體系結構圖整個域名服務系統(tǒng)從職能上看，包括兩大類系統(tǒng)，即權威域名服務系統(tǒng)（AuthoritativeDNS）和遞歸域名解析服務（RecursiveDNS）。權威域名系統(tǒng)服務是指擁有某個區(qū)的域名信息，并為該區(qū)提供域名解析的服務。權威域名系統(tǒng)通常面向的不是終端用戶。圖1中，cn和的域名服務系統(tǒng)就屬于權威域名系統(tǒng)。遞歸域名系統(tǒng)則相反，它不針對某個區(qū)提供域名解析服務，而是直接面向終端用戶，為終端用戶提供遞歸的域名服務系統(tǒng)。關于中文域名的注冊、管理、DNS存儲，應按照YD/T2438-2012、YD/T2142-2010和YD/T2143-2010標準中的相關規(guī)定。針對上述域名服務系統(tǒng)的組成結構，本文件涵蓋權威域名服務系統(tǒng)、權威域名服務器、遞歸域名服務系統(tǒng)以及遞歸域名服務器等方面的安全要求。域名解析服務安全要求域名解析服務安全要求包括技術要求和管理要求，具體包括以下內容：公共域名解析服務的技術要求，主要包括權威服務系統(tǒng)、遞歸域名服務系統(tǒng)、域名授權和DNS數(shù)據(jù)備份等的技術要求；公共域名解析服務的管理要求，主要包括資產(chǎn)管理、人員管理、運行管理、物理和環(huán)境安全、設備安全、通信和操作安全、訪問控制、連續(xù)性管理以及信息安全事件等具體管理要求。公共域名服務系統(tǒng)安全技術要求權威域名服務系統(tǒng)技術要求協(xié)議要求作為權威域名系統(tǒng)的權威服務器，應能夠正常處理來自互聯(lián)網(wǎng)絡的任何客戶端的域名查詢請求，與該區(qū)的可信任輔服務器之間實現(xiàn)安全的區(qū)數(shù)據(jù)傳送，支持DNS安全協(xié)議。其實現(xiàn)應符合IETFRFC1034、RFC1035、RFC4033、RFC4034和RFC4035的基本要求。拓撲規(guī)劃要求針對某個權威域，提供權威域解析的服務器數(shù)量應保證多臺備份，提供權威域解析的服務器應部署在多個不同的自治域網(wǎng)絡中，并且建議在地理上進行合理分配分布，達到抗自然災害等災備目的。為保證性能要求，針對某個域提供權威域解析的服務器數(shù)量應不少于2臺，建議獨立的名字服務器數(shù)量不少于5臺。提供權威域解析的服務器應至少部署于2個不同的網(wǎng)絡中，并且建議在地理上進行分布。性能要求權威域名服務系統(tǒng)應保證業(yè)務處理能力，預留應對突發(fā)流量的處理能力。一般來說，公開的解析服務可用性需要達到99.999%。具體實施過程中，應利用多點冗余的部署實施方法，滿足服務系統(tǒng)的高可用性要求。權威域名解析系統(tǒng)應保證具備負載最重節(jié)點請求峰值的3倍請求量的處理能力，以應對可能針對域名系統(tǒng)的突發(fā)訪問或服務攻擊。域名解析系統(tǒng)的最低響應時間應在500毫秒之內。權威域名服務器安全要求為提供穩(wěn)定可靠的服務，權威域名服務系統(tǒng)需要保證DNS服務的的數(shù)據(jù)安全和解析安全。a）數(shù)據(jù)安全有如下要求：權威服務器不應提供遞歸服務；權威服務器應只提供TCP協(xié)議和UDP協(xié)議53端口的標準DNS解析服務；在權威域名服務器其它TCP/UDP端口上提供的服務應該限制在該服務系統(tǒng)內部的服務器之間進行；應該禁止除管理員之外的其他人或其他服務器從域名解析服務器上下載區(qū)文件；權威服務器自身不應提供除了域名服務之外的其他服務，比如HTTP、Telnet、Rlogin、FTP等等；服務器必須通過一種安全機制來進行遠程管理和維護；服務器所在的局域網(wǎng)內不能放置容易被攻破的主機；服務器所在的局域網(wǎng)應該有包過濾機制，以阻斷來自域名服務端口以外的端口訪問；應采用隱藏的主服務器作為一個權威域名服務系統(tǒng)的數(shù)據(jù)源；域名數(shù)據(jù)的更新應該在一些必要的更新錯誤檢測之后進行。一旦更新失敗，需要人為干預。當發(fā)生嚴重的網(wǎng)絡故障時，每個權威服務器都應該有替換辦法（備份網(wǎng)絡通道或者非網(wǎng)絡途徑）來更新域名數(shù)據(jù)；權威服務器應該維護和記錄全局的統(tǒng)計數(shù)據(jù)（包括用戶查詢日志等），以便于進行數(shù)據(jù)分析，發(fā)現(xiàn)安全隱患。b）解析安全有如下要求：語法檢查在權威服務器提供域名解析服務前，應采取措施對每一次生成的域名數(shù)據(jù)進行語法檢查和數(shù)據(jù)匹配檢查。語法檢查，檢查區(qū)文件格式是否符合域名解析軟件的格式要求。語法檢查應在區(qū)文件生成之后，區(qū)數(shù)據(jù)的傳送開始之前完成；匹配檢查，全量/隨機檢查區(qū)文件與數(shù)據(jù)庫注冊數(shù)據(jù)信息的一致性。匹配檢查的時間應保證在域名注冊生效時間周期內完成。域名解析軟件安全域名解析軟件應經(jīng)過安全檢驗，避免業(yè)已發(fā)現(xiàn)的漏洞造成域名劫持或域名篡改等安全事件。反向解析為確保解析服務的安全性，域名注冊管理機構、域名注冊服務機構以及網(wǎng)絡互聯(lián)單位的域名解析服務器，在內部管理政策允許的情況下，應提供反向域名解析服務。時間同步 域名權威輔服務器與主服務器應保持時間上的同步，建議采用網(wǎng)絡時間協(xié)議（NTP）協(xié)議或其他技術手段實現(xiàn)時間同步。遞歸域名服務系統(tǒng)技術要求協(xié)議要求作為遞歸域名系統(tǒng)的遞歸服務器，應具備遞歸服務器的基本功能，即能夠安全的實現(xiàn)查詢、緩存等功能。其實現(xiàn)應符合包括RFC1034、RFC1035、RFC4033、RFC4034和RFC4035在內的IETF相關RFC標準的基本要求，符合必備的接口和安全協(xié)議。拓撲規(guī)劃要求針對某個自治域內，提供遞歸域解析的服務器數(shù)量應保證多臺備份。同一自治域內的不同遞歸服務器在部署上應該進行相應分布，同一用戶訪問兩臺服務器的路徑上不存在單一故障點。服務器數(shù)量在指定服務域內，提供遞歸解析的服務器數(shù)量應不低于兩臺。性能要求性能要求如下：遞歸域名服務系統(tǒng)應保證業(yè)務處理能力，預留應對突發(fā)流量的處理能力，域名解析系統(tǒng)的服務要盡最大可能做到不發(fā)生中斷，服務可用性需要達到99.99%；具體實施過程中，應利用多服務器冗余的部署實施方法，滿足服務系統(tǒng)的高可用性要求；遞歸域名解析系統(tǒng)應保證具備服務域內歷史請求量峰值3倍的處理能力，以應對可能針對域名系統(tǒng)的突發(fā)訪問或服務攻擊；服務器的最低響應時間在1500ms之內。遞歸域名服務器與客戶端連接要求遞歸服務器與客戶端之間可選擇建立加密可靠的連接傳輸數(shù)據(jù)。遞歸域名服務器可以通過基于安全傳輸層協(xié)議（TLS）或者基于超文本傳輸安全協(xié)議（HTTPS）的DNS與客戶端進行連接。如果選擇基于安全傳輸層協(xié)議（TLS）的DNS，具體要求參見RFC7858與RFC8310；如果選擇基于超文本傳輸安全協(xié)議（HTTPS）的DNS，具體要求參見RFC8484。遞歸域名服務器安全要求a)數(shù)據(jù)安全有如下要求：遞歸服務器通常應該只提供TCP協(xié)議、UDP協(xié)議53端口的標準DNS解析服務。如果開展了DoH和DoT服務，還應提供DoH協(xié)議853端口和DoT協(xié)議443端口；對于遞歸服務器向外的TCP協(xié)議和UDP協(xié)議53端口訪問不應進行限制；遞歸服務器自身不應同時兼?zhèn)錂嗤掌鞴δ?，同時不提供除了域名服務之外的其他服務，比如HTTP、Telnet、Rlogin、FTP等等；遞歸服務器必須通過一種安全機制來進行遠程管理和維護；遞歸服務器所在的局域網(wǎng)段不能放置容易被攻破的主機；遞歸服務器所在的局域網(wǎng)段應該擁有包過濾機制，以阻斷來自域名服務端口以外的端口訪問；應當具備對遞歸服務器緩存數(shù)據(jù)進行清空的技術手段；遞歸服務器應該維護和記錄全局的統(tǒng)計數(shù)據(jù)(包括用戶查詢日志等)，以便于進行數(shù)據(jù)分析審計，發(fā)現(xiàn)安全隱患。b)解析安全有如下要求：域名解析軟件安全域名解析軟件應經(jīng)過安全檢驗，避免業(yè)已發(fā)現(xiàn)的漏洞造成域名劫持或域名更改等安全事件。根服務器指向為確保遞歸解析的正確運行，遞歸服務器要配置正確的根服務器指向。時間同步 域名解析輔服務器與主服務器應保持時間上的同步，建議采用NTP協(xié)議或其他技術手段實現(xiàn)時間同步。中文域名支持要求遞歸服務器應配置對中文域名（CDN/IDN）的支持，比如.中國，.中國，.網(wǎng)絡，.公司，.網(wǎng)絡，.公益，.政務等。遞歸服務器的配置應確保通過其進行查詢的用戶能夠正確解析相應的域名。授權安全要求授權安全有如下要求：作為授權而使用的NS記錄必須保持一致，即在下級DNS區(qū)中的域名NS記錄在服務器數(shù)量、名字上均應與在上級域權威服務器中相應域名的NS記錄保持完全一致；NS記錄應該符合IETFRFC1035的規(guī)定，其所指向的服務器為合法的主機名；權威服務器的IP地址應該使用合法的互聯(lián)網(wǎng)地址，并確保以任何互聯(lián)網(wǎng)地址可以訪問服務器的UDP和TCP的53端口；同一DNS區(qū)的所有權威服務器在響應對NS記錄的請求時，應該返回相同的結果；同一DNS區(qū)的權威服務器的數(shù)量至少應為2臺，以確保解析服務的可靠性；權威服務器的最大數(shù)量應該保證在響應對所服務區(qū)的NS記錄的查詢時，包含NS記錄和粘連記錄（A記錄和AAAA記錄）的響應包的大小限制在512字節(jié)以內，即在不使用AAAA記錄時，權威服務器的數(shù)量上限不應該超過13；在每個服務器都使用AAAA記錄時，權威服務器的數(shù)量上限不應該超過8。DNS數(shù)據(jù)備份要求日志存放形式域名解析日志可采用冷備份和熱備份的方式。冷備份是指將日志按日期存放在至少兩種以上介質上，包括硬盤、磁帶、光盤等。熱備份是指將日志存放在正在運行中的服務器存儲設備上。日志存放時間冷備份應保留自域名服務起始的全部日志。熱備份的保留時間，應以滿足域名管理者的日志分析需求為標準。日志分析應建立解析服務日志的分析制度，以便于及時發(fā)現(xiàn)服務中的異常情況，并對非法訪問采取必要的安全防范措施。域名解析服務安全管理要求資產(chǎn)管理要求資產(chǎn)清單應清晰的識別域名解析服務所涉及的資產(chǎn)，編制并維護域名解析服務的核心資產(chǎn)清單。清單中應包括所有為從災難中恢復而需要的資產(chǎn)，與域名解析服務相關的資產(chǎn)可能包括：信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、服務、人員、無形資產(chǎn)等。資產(chǎn)責任人與域名解析服務有關的所有信息和資產(chǎn)都應指定部門和人員承擔責任，資產(chǎn)責任人應確保：與域名解析服務相關的信息和資產(chǎn)進行了適當?shù)姆诸?；確定并周期性審查訪問限制和分類。資產(chǎn)的合規(guī)使用與域名解析服務相關的信息和資產(chǎn)使用規(guī)則應當確認并形成文件加以實施。脆弱性和威脅分析脆弱性和威脅分析的具體要求如下：從技術脆弱性和管理脆弱性兩個方面，對域名解析服務進行脆弱性的分析；從技術威脅、環(huán)境威脅、人為威脅三個方面，對域名解析服務進行威脅分析。人員管理要求在域名解析服務的管理人員和第三方人員的整個任職周期內，包括聘任前、聘任中、離職三個階段，采取相應的控制措施，降低域名解析服務所面臨的人為威脅，具體應做到如下方面：確保域名解析服務管理人員和第三方人員理解其職責，確保其具備相應的技術能力，以降低域名解析服務被破壞或者不當使用的風險；應對域名解析服務管理人員和第三方人員提供適當程度的安全意識和安全技術培訓以及域名解析服務相關信息和資產(chǎn)的正確使用方法，并建立一個正式的處理安全違規(guī)的紀律處理過程；應有流程或規(guī)定規(guī)范域名解析服務管理人員和第三方人員退出域名解析服務的管理，并確保相關人員歸還所有設備及刪除他們的對域名解析服務的所有訪問權限。運行管理要求域名解析服務應遵守YD/T2138-2010以及YD/T2137-2010中相關的運行管理要求。此外，域名解析服務中所有涉及到的服務應對國家主管部門提供數(shù)據(jù)采集接口，并應按照國家主管部門的規(guī)定對相應網(wǎng)絡安全事件進行通報工作。物理和環(huán)境管理要求物理和環(huán)境管理方面，設置安全區(qū)域的要求如下：應設置安全邊界（諸如墻、卡控制的入口或有人管理的接待臺等屏障）來保護域名解析服務信息和資產(chǎn)所在的區(qū)域；應設置恰當?shù)倪M出控制措施，確保只有授權任用才能進出，同時進出的信息要予以記錄和審計；應有適當?shù)拇胧﹣肀苊饣馂?、洪水、地震、爆炸、社會動蕩和其他形式的自然災難或人為災難對域名服務系統(tǒng)所在區(qū)域的破壞；應有足夠的支持性設施（例如電、供水、排污、加熱/通風和空調）來支持域名服務系統(tǒng)。支持性設施應定期檢查并適當?shù)臏y試以確保它們的功能，減少由于它們的故障或失效帶來的風險。設備管理要求設備安置和保護具體要求如下：域名解析服務的設備應進行適當安置，以防止對相關設備的未授權物理訪問；對于可能對域名解析服務運行狀態(tài)產(chǎn)生負面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；建筑物應采用避雷保護，所有進入的電源和通信線路都應裝配雷電保護過濾器。布線和設備維護具體要求如下：應保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和通信布纜免受竊聽或損壞；使用文件化配線列表減少失誤的可能性；要按照供應商推薦的服務時間間隔和規(guī)范由已授權人員對設備進行維護，同時保存所有可疑的或實際的故障以及所有預防和糾正維護的記錄；應繪制與當前運行情況相符的系統(tǒng)拓撲結構圖。設備的安全檢測和監(jiān)控具體要求如下：域名解析服務的硬件設備應進行安全檢測，確保其滿足相應的行業(yè)標準、技術規(guī)范等，并保留檢測證據(jù)；操作系統(tǒng)的安裝應遵循最小化原則，并及時進行升級和安裝補?。挥蛎馕鲕浖陌踩詰ㄆ诟櫜⒓皶r升級和更新，防止漏洞帶來的威脅；對業(yè)務、應用軟件、服務器、網(wǎng)絡設備等子系統(tǒng)進行7*24小時不間斷探測監(jiān)控，監(jiān)測的頻率應不低于10分鐘一次，監(jiān)控日志的保存時間應至少為三個月；對域名資源記錄和解析結果進行正確性抽檢，抽檢頻率建議至少每小時1次。操作管理要求操作程序和職責具體要求如下：與域名解析服務相關的操作應有規(guī)范的操作程序，例如計算機啟動和關機程序、備份、設備維護、介質處理、計算機機房、DNS軟件的配置維護和物理安全等；與域名解析服務相關的各類責任及職責范圍應加以分割，以減少因未授權或無意識修改而不當使用域名服務系統(tǒng)資產(chǎn)的操作。防范惡意代碼防范惡意代碼應采取惡意代碼監(jiān)測、修復軟件、提高安全意識、適當?shù)南到y(tǒng)訪問和變更管理控制等措施，可考慮以下內容：建立禁止使用未授權軟件和正確使用授權軟件的策略；安裝和定期更新惡意代碼檢測和修復軟件來掃描域名服務系統(tǒng)，并根據(jù)掃描結果升級域名服務系統(tǒng)；制定適當?shù)膹膼阂獯a攻擊中恢復的業(yè)務連續(xù)性計劃。設備和線路備份具體要求如下：系統(tǒng)應為分布式廣域部署，節(jié)點間服務互備；系統(tǒng)關鍵設備、重要線路應采用冗余的保護方式，提供災難備份和恢復的能力。數(shù)據(jù)備份具體要求如下：應根據(jù)風險評估的結果，確定需要備份的數(shù)據(jù)和文件，一般情況下需考慮系統(tǒng)配置文件、解析日志、區(qū)文件等，備份時間至少為3個月；應建立備份拷貝的準確完整的記錄和文件化的恢復程序；宜定期測試備份介質，以確保當需要應急使用時可以依靠這些備份介質；恢復程序應定期檢查和測試，以確保他們有效，并能在操作程序恢復所分配的時間內完成。網(wǎng)絡安全管理具體要求如下：應建立遠程設備管理的職責和程序；主域名服務系統(tǒng)、輔域名服務系統(tǒng)以及備份服務系統(tǒng)的部署應處于不同自治域，避免單一網(wǎng)絡失效引起的解析中斷；宜建立專門的控制，以保護在公網(wǎng)上傳遞數(shù)據(jù)的保密性和完整性，并且保護已連接的系統(tǒng)及應用；必要情況下，應按照相關標準要求，阻斷或重定向用戶對惡意域名的訪問。審計和分析具體要求如下：應產(chǎn)生記錄用戶活動、異常和信息安全事態(tài)的審計日志，并要保存至少3個月以支持將來的調查和訪問控制監(jiān)視；應采取措施保證主域名服務系統(tǒng)、輔域名服務系統(tǒng)、備份域名服務系統(tǒng)內設備之間的時間同步，實現(xiàn)日志時間的精確同步；審計的內容至少包括：授權訪問、特殊權限操作、未授權的訪問嘗試、系統(tǒng)警報或故障；記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪問。訪問控制管理要求域名解析服務對外公開服務的訪問控制域名解析服務對外開放服務建議只開放UDP和TCP53端口，如果開展了DoH和DoT服務，還應提供DoH協(xié)議853端口和DoT協(xié)議443端口。訪問控制策略和用戶訪問管理具體要求如下：應在訪問控制策略中清晰地規(guī)定每個用戶或每組用戶的訪問控制規(guī)則和權利；應限制和控制特殊權限的分配及使用，防范未授權訪問的多用戶系統(tǒng)應通過正式的授權過程使特殊權限的分配受到控制；應定期檢查權限的分配，確保用戶訪問權限的正確分配。網(wǎng)絡訪問控制具體要求如下：應能為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；應在網(wǎng)絡中實施路由控制，以確保計算機連接和信息流不違反業(yè)務應用的訪問控制策略。操作系統(tǒng)訪問控制具體要求如下：登錄到操作系統(tǒng)的程序應設計成使未授權訪問的機會減到最?。凰杏蛎馕龇盏墓芾韱T和第三方人員（包括技術支持人員、操作員、網(wǎng)絡管理員、系統(tǒng)程序員和數(shù)據(jù)庫管理員等）應有唯一的、專供其個人使用的標識符（用戶ID），應選擇一種適當?shù)蔫b別技術（口令、令牌或智能卡）證實用戶所宣稱的身份，靜態(tài)口令應滿足一定的長度要求和復雜性要求并且定期更換；在一個設定的休止期后，超時登錄應清空會話屏幕，也可以設置關閉應用和網(wǎng)絡會話；對多次不成功的登錄，應進行限制，以避免未經(jīng)授權的訪問。信息和敏感系統(tǒng)訪問控制具體要求如下：應對設備重要信息資源設置敏感標記；依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離。連續(xù)性管理要求連續(xù)性管理的制定具體要求如下：應防止域名解析服務的服務失效，保護域名解析服務免受重大失誤或者災難的影響，并且在遇到災難的情況下及時恢復解析服務；應為域名解析服務制定一個解析服務連續(xù)性管理的過程，識別可能引起解析服務中斷的事態(tài)以及這種事態(tài)發(fā)生的概率；應為域名解析服務制定一個解析服務連續(xù)性計劃，來保持域名解析服務的可用性，在解析服務中斷的情況下能夠在要求的時間內恢復系統(tǒng)的服務。制定連續(xù)性計劃考慮的方面具體要求如下：冗余方面：設備處理能力、關鍵設備及其重要部件、網(wǎng)絡接入、系統(tǒng)的廣域分布；數(shù)據(jù)及業(yè)務備份方面：關鍵數(shù)據(jù)和重要信息的備份和備份頻率、業(yè)務狀態(tài)的保護和恢復、業(yè)務系統(tǒng)的完整備份；應急處置預案方面：應制定應急處置預案，并定期對應急預案進行及時修訂、修訂期不低于1年；每年應進行不低于1次的應急預案演練。信息安全事件管理要求為了應對網(wǎng)絡安全事故，對有可能出現(xiàn)的信息安全事件，及時采取措施，應建立如下制度：建立信息安全領導小組，確定安全領導小組負責人和信息安全管理責任人；配備與經(jīng)營規(guī)模相適應的計算機信息網(wǎng)絡安全專業(yè)技術人員，并定期參加信息網(wǎng)絡安全專業(yè)技術人員繼續(xù)教育培訓；保持與主管機關聯(lián)系渠道暢通，自覺接受主管機關的業(yè)務監(jiān)督檢查；制定信息安全事故應急處置措施和緊急處理預案。國家關鍵基礎設施DNS部署要求國家關鍵基礎設施DNS部署時應滿足以下要求：實時性、健壯性、安全性是國家關鍵基礎設施DNS的基本要求。DNS名字服務可劃分為