GB/T 33134-2023 英文版 信息安全技术 公共域名服务系统安全要求
GB/T 33134-2023 英文版 信息安全技术 公共域名服务系统安全要求
GB/T 33134-2023 英文版
前言
本文件按照GB/T 1.1-202《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T33134-2016《信息安全技术公共域名服务系统安全要求》,与GB/T 33134-2016相比,除结构调整和编辑性改动外,主要技术变化如下:
a)增加了术语“名字空间”和“公共域名服务系统”(见3.1、3.11);
b)删除了图1的说明内容(见第5章,2016年版的4.1);
增加了关于重要DNS基础设施部署及政府重要网站公共域名服务系统安全要求(见第5
c)章,2016年版的4.2);
d)更改了协议要求(见6.1.1,6.2,1,2016年版的5.1,1,5.2.1);
e)增加了权威服务器的系统安全要求和解析安全要求(见6.1.3);
f增加了递归服务器与客户端连接安全要求(见6.2.3);
g增加了递归服务器的系统安全要求和解析安全要求(见6.2.4);
h)更改了对外服务的访问控制的规定(见7.7.1,2016年版的6.7.1);
增加了重要DNS基础设施部署安全要求(见附录中A.1);i)增加了政府重要网站公共域名服务系统安全要求(见附录A中A.2)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
1范围
本文件规定了公共域名服务系统的安全技术要求和安全管理要求。
本文件适用于各级公共域名服务系统的运营和管理。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2052-2015域名系统安全防护要求
YD/T 2137域名系统递归服务器运行技术要求
YD/T 2138域名系统权威服务器运行技术要求
YD/T 2142基于国际多语种域名体系的中文域名总体技术要求
YD/T 2143基于国际多语种域名体系的中文域名的编码处理技术要求
YD/T 2438基于国际多语种域名体系的中文域名注册字表要求
IETFRFC 1034域名概念和基础设施
IETFRFC 1035域名实现与详述
IETFRFC 4033DNSSEC个绍与需求
IETFRFC 4034资源记录支持DNSSEC
IETFRFC 4035支持DNSSEC的协议修改
IETFRFC8310基于TLS的DNS和基于DTLS的DNS的使用情况
IETFRFC8484基于HTTPS的DNS查询
3术语和定义
下列术语和定义适用于本文件,
4缩略语
下列缩略语适用于本文件。
AS:自治系统(Autonomous System)
5概述
域名服务系统是以树形拓扑结构来定义的,由不同类别的域名服务系统服务机构负责不同级域名的解析服务,其对应关系见图1。
6公共域名服务系统安全技术要求
61权威域名服务系统技术要求
6.1.1协议要求
权威域名服务系统的权威域名服务器(简称“权威服务器”)的实现应符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的规定。
6.1.2拓扑规划要求
针对某个权威域,提供权威域解析的服务器数量应保证多台备份,提供权威域解析的服务器应部署在多个不同的自治域网络中,且宜在地理上进行合理分布,达到抗自然灾害等灾备目的。具体部署数量和分配要求应符合YD/T 2138的规定。
6.1.3权威服务器安全要求
6.1.3.1系统安全要求
6.2递归域名服务系统技术要求
6.2.1协议要求
递归域名服务系统的递归域名服务器(简称“递归服务器”)应具备安全的查询、缓存等基本功能,应符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的规定。
6.2.2拓扑规划要求
针对某个自治域内提供递归域解析的服务器数量应保证多台备份。同一自治域内的不同递归服务器在部署上应进行相应分布,同一用户访问两台服务器的路径上不存在单一故障点。具体部署数量和分配要求应符合YD/T 2137的规定。
6.2.3递归服务器与客户端连接要求
递归服务器与客户端之间可选择建立加密可靠的连接传输数据。递归服务器可通过基于TLS或者HTTPS的DNS与客户端进行连接:
a)如果选择基于TLS的DNS,应符合IETFRFC7858和IETFRFC8310的规定;如果选择基于HTTPS的DNS,应符合IETFRFC8484的规定。6)
6.2.4递归服务器安全要求
6.2.4.1系统安全要求
系统安全应满足YD/T 2052-2015中三级及议上域名系统安全等级保护要求。系统安全要求如下
7公共域名服务系统安全管理要求
7.1资产管理要求
7.1.1资产清单
应清晰地识别公共域名服务所涉及的资产,编制并维护公共域名服务系统的核心资产清单。清单中应包括所有为从灾难中恢复而需要的资产,与公共域名服务系统相关的资产可能包括:信息资产、软件资产、物理资产、服务、人员、无形资产等。
7.1.2资产责任人
与公共域名服务系统有关的所有信息和资产均应指定部门和人员承担责任,资产责任人应,a)确保与公共域名服务系统相关的信息和资产进行了恰当合理的分类:b)确定并周期性审查访问限制和分类。
7.1.3资产的合规使用
与公共域名服务系统相关的信息和资产使用规则应确认并形成文档加以实施。
7.7访问控制管理要求
7.7.1对外公开服务的访问控制
公共域名服务系统对外开放服务宜只开放UDP和TCP53端口,如果支持DH和DOT服务,还应提供DoH协议443端口和DOT协议853端口。
7.7.2访问控制策略和用户访问管理
访问控制策略和用户访问管理要求如下:
a在访问控制策略中清晰地规定每个用户或每组用户的访问控制规则和权利;6限制和控制特殊权限的分配及使用,防范未授权访问的多用户系统应通过正式的授权过程使特殊权限的分配受到控制:;
定期检查权限的分配,确保用户访问权限的正确分配,
附录A(规范性)重要DNS基础设施和政府重要网站公共域名服务系统安全要求
