GB∕ T 33134-2023 信息安全技術 公共域名服務系統(tǒng)安全要求（正式版）

代替GB/T33134—2016信息安全技術公共域名服務系統(tǒng)安全要求國家市場監(jiān)督管理總局國家標準化管理委員會GB/T33134—2023 I 3 36公共域名服務系統(tǒng)安全技術要求 46.1權威域名服務系統(tǒng)技術要求 6.2遞歸域名服務系統(tǒng)技術要求 66.3授權安全要求 77公共域名服務系統(tǒng)安全管理要求 87.1資產管理要求 87.2人員管理要求 87.3運行管理要求 87.4物理和環(huán)境管理要求 87.5設備管理要求 97.6操作管理要求 97.7訪問控制管理要求 7.8連續(xù)性管理要求 7.9網絡安全事件管理要求 附錄A(規(guī)范性)重要DNS基礎設施和政府重要網站公共域名服務系統(tǒng)安全要求 IGB/T33134—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草起草。本文件代替GB/T33134—2016《信息安全技術公共域名服務系統(tǒng)安全要求》,與GB/T33134—b)刪除了圖1的說明內容(見第5章，2016年版的4.1);c)增加了關于重要DNS基礎設施部署及政府重要網站公共域名服務系統(tǒng)安全要求(見第5e)增加了權威服務器的系統(tǒng)安全要求和解析安全要求(見6.1.3);f)增加了遞歸服務器與客戶端連接安全要求(見6.2.3);g)增加了遞歸服務器的系統(tǒng)安全要求和解析安全要求(見6.2.4);h)更改了對外服務的訪問控制的規(guī)定(見7.7.1,2016年版的6.7.1);i)增加了重要DNS基礎設施部署安全要求(見附錄A中A.1);j)增加了政府重要網站公共域名服務系統(tǒng)安全要求(見附錄A中A.2)。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。啟明星辰信息技術集團股份有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2016年首次發(fā)布為GB/T33134—2016;1GB/T33134—2023信息安全技術公共域名服務系統(tǒng)安全要求本文件規(guī)定了公共域名服務系統(tǒng)的安全技術要求和安全管理要求。本文件適用于各級公共域名服務系統(tǒng)的運營和管理。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文本文件。YD/T2052—2015域名系統(tǒng)安全防護要求YD/T2137域名系統(tǒng)遞歸服務器運行技術要求YD/T2138域名系統(tǒng)權威服務器運行技術要求YD/T2142基于國際多語種域名體系的中文域名總體技術要求YD/T2143基于國際多語種域名體系的中文域名的編碼處理技術要求YD/T2438基于國際多語種域名體系的中文域名注冊字表要求IETF域名概念和基礎設施(Domainnames—conceptsandfacilities)IETF域名實現(xiàn)與詳述(Domainnames—implementationandspecification)IETFRFC4033DNSSEC介紹與需求(DNSsecurityintroductionandrequirements)IETFRFC4034資源記錄支持DNSSEC(ResourcerecordsfortheDNSsecurityextensions)IETFRFC4035支持DNSSEC的協(xié)議修改(ProtocolmodificationsfortheDNSsecurityexten-IETFRFC7858基于TLS的DNS規(guī)范(SpecificationforDNSovertransporIETFRFC8310基于TLS的DNS和基于DTLS的DNS的使用情況(UsageprofilesforDNSoverTLSandDNSoverDTLS)IETFRFC8484基于HTTPS的DNS查詢[DNSqueriesoverHTTPS(DoH)]3術語和定義3.1名字空間namespace以樹形結構分層表示的名字命名層次結構。注：名字空間是一個樹狀結構，每個節(jié)點對應于相應的資源集合(這個資源集合可能為空),DNS不區(qū)別樹內節(jié)點和葉子節(jié)點，統(tǒng)稱為節(jié)點。每個節(jié)點有一個標記，這個標記的長度不超過63字節(jié)。父節(jié)點不同的節(jié)點可使用相2GB/T33134—2023同的標記。只有根節(jié)點的標記長度為0(空標記)。域domain注：這個子樹根節(jié)點的域名就是該域的名字。數據等字段組成。注：網絡中域名服務系統(tǒng)間通過相互協(xié)作，實現(xiàn)將域名最終解析到相應的資源記錄。對于某個或者多個區(qū)具有可信數據功能的域名服務系統(tǒng)。注：權威域名服務系統(tǒng)保存著其所擁有區(qū)的原始域名資源記錄信息。3GB/T33134—20233.133.14負責接收用戶端發(fā)送的請求，然后通過向各級權威服務器發(fā)出查詢請求獲得用戶需要的查詢結3.15主域名服務系統(tǒng)masterdomainname被配置成區(qū)數據發(fā)布源的權威域名服務系統(tǒng)。3.16輔域名服務系統(tǒng)slavedomainname通過區(qū)傳送協(xié)議來獲取區(qū)數據的權威域名服務系統(tǒng)。4縮略語下列縮略語適用于本文件。AS:自治系統(tǒng)(AutonomousSystem)BGP:邊界網關協(xié)議(BorderGatewayProtocol)DNS:域名系統(tǒng)(DomainNameSystem)DoH:基于HTTPS的DNS(DNSoverHTTPS)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:超文本傳輸安全協(xié)議(HyperTextTransferProtocoloverSecureSocketLayer)IANA:互聯(lián)網數字分配機構(InternetAssignedNumbersAuthority)ICANN:互聯(lián)網名稱與數字地址分配機構(TheInternetCorporationforAssignedNamesandNumbers)NS:名字服務器(NameServer)NTP:網絡時間協(xié)議(NetworkTimeProtocol)Rlogin:遠程登錄(RemoteLogin)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)TLS:傳輸層安全(TransportLayerSecurity)UDP:用戶數據報協(xié)議(UserDatagramProtocol)5概述域名服務系統(tǒng)是以樹形拓撲結構來定義的，由不同類別的域名服務系統(tǒng)服務機構負責不同級域名4GB/T33134—2023的解析服務，其對應關系見圖1。的解析服務，其對應關系見圖1。遞歸域名根域名二級域名biRoot圖1全球域名服務體系結構整個域名服務系統(tǒng)從職能上看，包括兩大類系統(tǒng)：權威域名服務系統(tǒng)和遞歸域名服務系統(tǒng)。權威域名服務系統(tǒng)是指擁有某個區(qū)的域名信息，并為該區(qū)提供域名解析的服務。權威域名服務系統(tǒng)通常面向的不是終端用戶。圖1中，cn和的域名服務系統(tǒng)就屬于權威域名系統(tǒng)。遞歸域名服務系統(tǒng)則相反，它不針對某個區(qū)提供域名解析服務，而是直接面向終端用戶，為終端用戶提供遞歸的域名服務系統(tǒng)。ICANN開放的新通用頂級域，同樣適用于以上域名服務系統(tǒng)。公共域名服務系統(tǒng)安全技術要求，包括權威域名服務系統(tǒng)、遞歸域名服務系統(tǒng)、授權和DNS數據備全、通信和操作安全、訪問控制、連續(xù)性管理以及網絡安全事件等；關于重要DNS基礎設施部署及政府重要網站公共域名服務系統(tǒng)安全要求，按附錄A。6公共域名服務系統(tǒng)安全技術要求6.1權威域名服務系統(tǒng)技術要求權威域名服務系統(tǒng)的權威域名服務器(簡稱“權威服務器”)的實現(xiàn)應符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的規(guī)定。6.1.2拓撲規(guī)劃要求針對某個權威域，提供權威域解析的服務器數量應保證多臺備份，提供權威域解析的服務器應部署在多個不同的自治域網絡中，且宜在地理上進行合理分布，達到抗自然災害等災備目的。具體部署數量和分配要求應符合YD/T2138的規(guī)定。6.1.3權威服務器安全要求系統(tǒng)安全應滿足YD/T2052—2015中三級及以上域名系統(tǒng)安全等級保護要求。系統(tǒng)安全要求5GB/T33134—2023a)權威服務器不應提供遞歸服務。b)權威服務器應僅提供TCP和UDP53端口的標準DNS解析服務；如果支持DoH和DoT服務，還應提供DoH協(xié)議443端口和DoT協(xié)議853端口解析服務。c)在權威服務器其他TCP/UDP端口上提供的服務應限制在該服務系統(tǒng)內部的服務器之間進行。d)禁止除管理員之外的其他人或其他服務器從域名解析服務器上下載區(qū)文件。f)服務器應通過一種安全機制來進行遠程管理和維護。g)服務器所在的局域網內不應放置容易被攻破的主機。h)服務器所在的局域網應有包過濾機制，以阻斷來自域名服務端口以外的端口訪問。i)采用隱藏的主服務器作為一個權威域名服務系統(tǒng)的數據源。j)域名數據的更新應在必要的更新錯誤檢測之后進行。一旦更新失敗，需要人為干預。當發(fā)生嚴重的網絡故障時，每個權威服務器都應有替換辦法(備份網絡通道或者非網絡途徑)來更新k)權威服務器應維護和記錄全局的統(tǒng)計數據(包括用戶查詢日志等),以便于進行數據分析，發(fā)現(xiàn)安全隱患。在權威服務器提供域名解析服務前，應采取下列措施對每一次生成的域名數據進行語法檢查和匹配檢查。a)語法檢查，檢查區(qū)文件格式是否符合域名解析軟件的格式要求。語法檢查應在區(qū)文件生成之b)匹配檢查，全量/隨機檢查區(qū)文件與數據庫注冊數據信息的一致性。匹配檢查的時間應保證在域名注冊生效時間周期內完成。應對域名解析軟件進行防范緩存中毒、DNS重定向漏洞造成域名劫持或域名更改等事件的安全檢驗。域名權威輔服務器與主服務器應保持時間上的同步，可采用NTP或其他技術手段實現(xiàn)時間同步。6GB/T33134—2023符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的規(guī)定。針對某個自治域內提供遞歸域解析的服務器數量應保證多臺備份。同一自治域內的不同遞歸服務器在部署上應進行相應分布，同一用戶訪問兩臺服務器的路徑上不存在單一故障點。具體部署數量和分配要求應符合YD/T2137的規(guī)定。遞歸服務器與客戶端之間可選擇建立加密可靠的連接傳輸數據。遞歸服務器可通過基于TLS或a)如果選擇基于TLS的DNS,應符合IETFRFC7858和IETFRFC8310的規(guī)定；b)如果選擇基于HTTPS的DNS,應符合IETFRFC8484的規(guī)定。系統(tǒng)安全應滿足YD/T2052—2015中三級及以上域名系統(tǒng)安全等級保護要求。系統(tǒng)安全要求如下。a)遞歸服務器應僅提供TCP、UDP53端口的標準DNS解析服務。如果支持DoH和DoT服務，還應提供DoH協(xié)議443端口和DoT協(xié)議853端口解析服務。b)對于遞歸服務器向外的TCP協(xié)議和UDP協(xié)議53端口訪問不應進行限制。如果支持DoH和DoT服務，DoH協(xié)議443端口和DoT協(xié)議853端口也不應進行限制。d)遞歸服務器應通過一種安全機制來進行遠程管理和維護。e)遞歸服務器所在的局域網段不應放置容易被攻破的主機。f)遞歸服務器所在的局域網段應有包過濾機制，以阻斷來自域名服務端口以外的端口訪問。g)具備對遞歸服務器緩存數據進行清空的技術手段。h)遞歸服務器應維護和記錄全局的統(tǒng)計數據(包括用戶查詢日志等),以便進行數據分析審計，發(fā)現(xiàn)安全隱患。解析安全要求如下：a)域名解析軟件安全：應對域名解析軟件進行防范緩存中毒、DNS重定向漏洞造成域名劫持或域名更改等事件的安全檢驗；b)根服務器指向：遞歸服務器應配置由IANA發(fā)布的13個根服務器指向地址；c)時間同步：域名解析輔服務器與主服務器應保持時間上的同步，可采用NTP或其他技術手段實現(xiàn)時間同步。7GB/T33134—2023遞歸服務器的配置應確保通過其進行查詢的用戶能正確解析相應的域名。6.3授權安全要求授權安全要求如下。a)作為授權而使用的NS記錄應保持一致，即在下級DNS區(qū)中的域名NS記錄在服務器數量、名字上均應與在上級域權威服務器中相應域名的NS記錄保持完全一致。b)NS記錄應符合IETFRFC1035的規(guī)定，其所指向的服務器為合法的主機名。c)權威服務器的IP地址應使用合法的互聯(lián)網地址，并確保以任何互聯(lián)網地址可訪問服務器的UDP和TCP的53端口。如果支持DoH和DoT服務，還應支持訪問DoH協(xié)議443端口和DoT協(xié)議853端口。e)同一DNS區(qū)的權威服務器的數量應至少為2臺，以確保解析服務的可靠性。f)權威服務器的最大數量應保證在響應對所服務區(qū)的NS記錄的查詢時：●包含NS記錄和粘連記錄(A記錄和AAAA記錄)的響應包的大小限制在512字節(jié)以●在每個服務器都使用AAAA記錄時，權威服務器的數量上限不應超過8。域名解析日志應采用冷備份或熱備份的方式。注：冷備份是指將日志按日期存放在至少兩種以上介質上，包括硬盤、磁帶、光盤等。熱備份是指將日志存放在正在運行中的服務器存儲設備上。a)冷備份應保留自域名服務起始的全部日志；b)熱備份的保留時間應滿足域名管理者的日志分析需求。8GB/T33134—20237公共域名服務系統(tǒng)安全管理要求7.1資產管理要求應清晰地識別公共域名服務所涉及的資產，編制并維護公共域名服務系統(tǒng)的核心資產清單。清單中應包括所有為從災難中恢復而需要的資產，與公共域名服務系統(tǒng)相關的資產可能包括：信息資產、軟7.1.2資產責任人與公共域名服務系統(tǒng)有關的所有信息和資產均應指定部門和人員承擔責任，資產責任人應：a)確保與公共域名服務系統(tǒng)相關的信息和資產進行了恰當合理的分類；b)確定并周期性審查訪問限制和分類。7.1.3資產的合規(guī)使用與公共域名服務系統(tǒng)相關的信息和資產使用規(guī)則應確認并形成文檔加以實施。7.1.4脆弱性和威脅分析脆弱性和威脅分析要求如下：a)從技術脆弱性和管理脆弱性兩個方面，對公共域名服務系統(tǒng)進行脆弱性分析；b)從技術威脅、環(huán)境威脅、人為威脅三個方面，對公共域名服務系統(tǒng)進行威脅分析。7.2人員管理要求在公共域名服務系統(tǒng)的管理人員和第三方人員的整個任職周期內，包括聘任前、聘任中、離職三個階段，應采取相應的控制措施，降低公共域名服務系統(tǒng)所面臨的人為威脅，人員管理要求如下：a)確保公共域名服務系統(tǒng)管理人員和第三方人員理解其職責，確保其具備相應的技術能力，以降低公共域名服務系統(tǒng)被破壞或者不當使用的風險；b)對公共域名服務系統(tǒng)管理人員和第三方人員進行適當程度的安全意識和安全技術培訓，以及公共域名服務相關信息和資產的正確使用方法，并建立一個正式的處理安全違規(guī)的紀律處理c)應制定流程或規(guī)定，規(guī)范公共域名服務系統(tǒng)管理人員和第三方人員退出公共域名服務的管理，確保相關人員歸還所有設備，并刪除其對公共域名服務的所有訪問權限。7.3運行管理要求運行管理要求如下：a)公共域名服務系統(tǒng)應符合YD/T2138和YD/T2137規(guī)定的運行管理要求；b)公共域名服務系統(tǒng)中所有涉及的服務應對國家主管部門提供數據采集接口，并應按照國家主管部門的規(guī)定對相應網絡安全事件進行通報工作。7.4物理和環(huán)境管理要求物理和環(huán)境管理要求如下：9GB/T33134—2023a)設置安全邊界(例如：墻、卡控制的入口或有人管理的接待臺等屏障)來保護公共域名服務系統(tǒng)信息和資產所在的區(qū)域；b)設置恰當的進出控制措施，確保僅授權人員能進出，同時進出的信息應予以記錄和審計；共域名服務系統(tǒng)所在區(qū)域的破壞；d)有足夠的支持性設施(例如：電、供水、排污、加熱/通風和空調)來支持公共域名服務系統(tǒng)。應定期檢查并測試支持性設施以確保它們的功能，減少由于其故障或失效帶來的風險。7.5設備管理要求設備安置和保護要求如下：a)公共域名服務系統(tǒng)的設備應進行適當安置，以防止對相關設備的未授權物理訪問；b)對于可能對公共域名服務系統(tǒng)運行狀態(tài)產生負面影響的環(huán)境條件(例如：溫度和濕度)應予以監(jiān)視；c)建筑物應采用避雷保護，所有進入的電源和通信線路都應裝配雷電保護過濾器。7.5.2布線和設備維護布線和設備維護要求如下：a)保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或損壞；b)使用文件化配線列表減少失誤的可能性；c)按照供應商推薦的服務時間間隔和規(guī)范由已授權人員對設備進行維護，同時保存所有可疑的或實際的故障以及所有預防和糾正維護的記錄；d)繪制與當前運行情況相符的系統(tǒng)拓撲結構圖。7.5.3設備的安全檢測和監(jiān)控設備的安全檢測和監(jiān)控要求如下：a)公共域名服務系統(tǒng)的硬件設備應進行安全檢測，確保其滿足相應的行業(yè)標準、技術規(guī)范等，并保留檢測證據；b)操作系統(tǒng)的安裝應遵循最小化原則，并及時進行升級和安裝補??；c)域名解析軟件的安全性應定期跟蹤并及時升級和更新，防止漏洞帶來的威脅；少于1次/10min,監(jiān)控日志的保存時間應至少為180d;e)對域名資源記錄和解析結果進行正確性抽檢，抽檢頻率宜至少1次/h。7.6操作管理要求操作程序和職責要求如下：b)與公共域名服務系統(tǒng)相關的各類責任及職責范圍應加以分割，以減少因未授權或無意識修改而不當使用域名服務系統(tǒng)資產的操作。GB/T33134—2023a)建立禁止使用未授權軟件和正確使用授權軟件的策略；b)應安裝和定期更新惡意代碼監(jiān)測和修復軟件來掃描域名服務系統(tǒng)，并根據掃描結果升級域名c)應制定適當的從惡意代碼攻擊中恢復的業(yè)務連續(xù)性計劃。設備和線路備份要求如下：數據備份要求如下：b)應建立備份拷貝的準確完整的記錄和文件化的恢復程序；c)定期測試備份介質；d)恢復程序應定期檢查和測試，并能在操作程序恢復所分配的時間內完成。a)應建立遠程設備管理的職責和程序；c)建立專門的控制，以保護在公網上傳遞數據的保密性和完整性，并且保護已連接的系統(tǒng)及審計和分析要求如下：a)生成記錄用戶活動、異常和網絡安全事態(tài)的審計日志，并應保存至少180天以支持將來的調查和訪問控制監(jiān)視；b)采取措施保證主域名服務系統(tǒng)、輔域名服務系統(tǒng)、備份域名服務系統(tǒng)內設備之間的時間同c)審計的內容應包括但不限于：授權訪問、特殊權限操作、未授權的訪問嘗試、系統(tǒng)警報或故障；d)記錄日志的設施和日志信息應加以保護，以防止篡GB/T33134—20237.7訪問控制管理要求7.7.1對外公開服務的訪問控制公共域名服務系統(tǒng)對外開放服務宜只開放UDP和TCP53端口，如果支持DoH和DoT服務，還應提供DoH協(xié)議443端口和DoT協(xié)議853端口。7.7.2訪問控制策略和用戶訪問管理訪問控制策略和用戶訪問管理要求如下：a)在訪問控制策略中清晰地規(guī)定每個用戶或每組用戶的訪問控制規(guī)則和權利；b)限制和控制特殊權限的分配及使用，防范未授權訪問的多用戶系統(tǒng)應通過正式的授權過程使特殊權限的分配受到控制；c)定期檢查權限的分配，確保用戶訪問權限的正確分配。7.7.3網絡訪問控制網絡訪問控制要求如下：a)能為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級；b)能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c)在網絡中實施路由控制，以確保計算機連接和信息流不違反業(yè)務應用的訪問控制策略。操作系統(tǒng)訪問控制要求如下：a)登錄到操作系統(tǒng)的程序應設計成使未授權訪問的機會減到最??；b)所有公共域名服務系統(tǒng)的管理員和第三方人員(包括技術支持人員、操作員、網絡管理員、系統(tǒng)程序員和數據庫管理員等)應有唯一的、專供其個人使用的標識符(例如：用戶ID),應選擇一種適當的鑒別技術(例如：口令、令牌或智能卡)證實用戶所宣稱的身份，靜態(tài)口令應滿足一定的長度要求和復雜性要求并且定期更換；c)在一個設定的休止期后，超時登錄應清空會話屏幕或設置關閉應用和網絡會話；d)對多次不成功的登錄，應進行限制，以防止未經授權的訪問。7.7.5信息和敏感系統(tǒng)訪問控制信息和敏感系統(tǒng)訪問控制要求如下：a)對設備重要信息(數據)資源設置分級分類的敏感標記；b)依據安全策略嚴格控制用戶對有敏感標記重要信息(數據)資源的操作；c)實現(xiàn)操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限分離。7.8連續(xù)性管理要求連續(xù)性管理的制定要求如下：a)具備異地冗余備份機制，防止公共域名服務系統(tǒng)的服務失效，保護公共域名服務系統(tǒng)免受重大失誤或者災難的影響，并且在遇到災難的情況下及時恢復解析服務；b)為公共域名服務系統(tǒng)制定一個解析服務連續(xù)性管理的過程，識別可能引起解析服務中斷的事GB/T33134—2023態(tài)以及這種事態(tài)發(fā)生的概率；務中斷的情況下能在要求的時間內恢復系統(tǒng)的服務。制定連續(xù)性計劃要求如下：c)應急處置預案方面：應制定應急處置預案，并定期對應急預案進行及時修訂，修訂期不少于1年；每年應進行不少于1次的應急預案演練。網絡安全事件管理要求如下：a)建立網絡安全領導小組，確定安全領導