信息安全技術(shù) 公共域名服務(wù)系統(tǒng)安全要求

代替GB/T33134—2016信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求2023-03-17發(fā)布2023-10-01實施國家標準化管理委員會 I 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 35概述 36公共域名服務(wù)系統(tǒng)安全技術(shù)要求 46.1權(quán)威域名服務(wù)系統(tǒng)技術(shù)要求 46.2遞歸域名服務(wù)系統(tǒng)技術(shù)要求 66.3授權(quán)安全要求 76.4DNS數(shù)據(jù)備份要求 77公共域名服務(wù)系統(tǒng)安全管理要求 87.1資產(chǎn)管理要求 87.2人員管理要求 87.3運行管理要求 87.4物理和環(huán)境管理要求 87.5設(shè)備管理要求 97.6操作管理要求 97.7訪問控制管理要求 7.8連續(xù)性管理要求 7.9網(wǎng)絡(luò)安全事件管理要求 附錄A(規(guī)范性)重要DNS基礎(chǔ)設(shè)施和政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求 本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T33134—2016《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》,與GB/T33134—b)刪除了圖1的說明內(nèi)容(見第5章，2016年版的4.1);c)增加了關(guān)于重要DNS基礎(chǔ)設(shè)施部署及政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求(見第5章，2016年版的4.2);e)增加了權(quán)威服務(wù)器的系統(tǒng)安全要求和解析安全要求(見6.1.3);f)增加了遞歸服務(wù)器與客戶端連接安全要求(見6.2.3);g)增加了遞歸服務(wù)器的系統(tǒng)安全要求和解析安全要求(見6.2.4);h)更改了對外服務(wù)的訪問控制的規(guī)定(見7.7.1,2016年版的6.7.1);i)增加了重要DNS基礎(chǔ)設(shè)施部署安全要求(見附錄A中A.1);j)增加了政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求(見附錄A中A.2)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口?？萍即髮W(xué)、中國科學(xué)院計算機網(wǎng)絡(luò)信息中心、北京密安網(wǎng)絡(luò)技術(shù)股份有限公司、北京奇虎科技有限公司、啟明星辰信息技術(shù)集團股份有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：—-2016年首次發(fā)布為GB/T33134—2016;——本次為第一次修訂。I信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求本文件規(guī)定了公共域名服務(wù)系統(tǒng)的安全技術(shù)要求和安全管理要求。本文件適用于各級公共域名服務(wù)系統(tǒng)的運營和管理。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文YD/T2052—2015域名系統(tǒng)安全防護要求YD/T2137域名系統(tǒng)遞歸服務(wù)器運行技術(shù)要求YD/T2138域名系統(tǒng)權(quán)威服務(wù)器運行技術(shù)要求YD/T2142基于國際多語種域名體系的中文域名總體技術(shù)要求YD/T2143基于國際多語種域名體系的中文域名的編碼處理技術(shù)要求YD/T2438基于國際多語種域名體系的中文域名注冊字表要求IETFRFC1034域名概念和基礎(chǔ)設(shè)施(Domainnames—conceptsandfacilities)IETFRFC1035域名實現(xiàn)與詳述(Domainnames—implementationandspecification)IETFRFC4033DNSSEC介紹與需求(DNSsecurityintroductionandrequirements)IETFRFC4034資源記錄支持DNSSEC(ResourcerecordsfortheDNIETFRFC4035支持DNSSEC的協(xié)議修改(ProtocolmodificationsfortheDNSsecurityeIETFRFC8310基于TLS的DNS和基于DTLS的DNS的使用情況(Usageprofilesfor以樹形結(jié)構(gòu)分層表示的名字命名層次結(jié)構(gòu)。注：名字空間是一個樹狀結(jié)構(gòu)，每個節(jié)點對應(yīng)于相應(yīng)的資源集合(這個資源集合可能為空),DNS不區(qū)別樹內(nèi)節(jié)點和葉子節(jié)點，統(tǒng)稱為節(jié)點。每個節(jié)點有一個標記，這個標記的長度不超過63字節(jié)。父節(jié)點不同的節(jié)點可使用相1同的標記。只有根節(jié)點的標記長度為0(空標記)。域名系統(tǒng)名字空間中的一個子集(即樹形結(jié)構(gòu)名字空間中的一棵子樹)。注：這個子樹根節(jié)點的域名就是該域的名字。域名系統(tǒng)名字空間中根節(jié)點下最頂層的域。域名系統(tǒng)中存儲的與域名相關(guān)的屬性信息。注：每個域名對應(yīng)的記錄可能為空或者多條。域名的資源記錄數(shù)據(jù)等字段組成。某個區(qū)內(nèi)的域名和資源記錄及相關(guān)的權(quán)威起始信息按照一定的格式進行組合，從而構(gòu)成存儲這些一種將域名映射為某些預(yù)定義類型資源記錄的分布式互聯(lián)網(wǎng)服務(wù)系統(tǒng)。注：網(wǎng)絡(luò)中域名服務(wù)系統(tǒng)間通過相互協(xié)作，實現(xiàn)將域名最終解析到相應(yīng)的資源記錄。注：由權(quán)威域名服務(wù)系統(tǒng)、遞歸域名服務(wù)系統(tǒng)組成。對于某個或者多個區(qū)具有可信數(shù)據(jù)功能的域名服務(wù)系統(tǒng)。注：權(quán)威域名服務(wù)系統(tǒng)保存著其所擁有區(qū)的原始域名資源記錄信息。負責(zé)接收用戶(解析器)的解析請求，并通過查詢本地緩存或者執(zhí)行從根域名服務(wù)系統(tǒng)到被查詢域面向互聯(lián)網(wǎng)用戶提供公開服務(wù)且量級達到十萬級以上的域名服務(wù)系統(tǒng)。2注：解析器軟件通常集成到操作系統(tǒng)內(nèi)核或者應(yīng)用軟件中。負責(zé)接收用戶端發(fā)送的請求，然后通過向各級權(quán)威服務(wù)器發(fā)出查詢請求獲得用戶需要的查詢結(jié)被配置成區(qū)數(shù)據(jù)發(fā)布源的權(quán)威域名服務(wù)系統(tǒng)。通過區(qū)傳送協(xié)議來獲取區(qū)數(shù)據(jù)的權(quán)威域名服務(wù)系統(tǒng)。BGP:邊界網(wǎng)關(guān)協(xié)議(BorderGatewayProtocol)DNS:域名系統(tǒng)(DomainNameSystem)DNSSEC:DNS安全擴展(DomainNameSystemSecuritDoH:基于HTTPS的DNS(DNSoverHDoT:基于TLS的DNS(DNSoverTLS)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)IANA:互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(InternetAssignedNumbersAuthority)ICANN:互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(TheInternetCorporationforAssignedNamesandNumbers)IP:網(wǎng)際協(xié)議(InternetProtocol)NS:名字服務(wù)器(NameServer)NTP:網(wǎng)絡(luò)時間協(xié)議(NetworkTimeProtocol)Rlogin:遠程登錄(RemoteLogin)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)TLS:傳輸層安全(TransportLayerSecurUDP:用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)域名服務(wù)系統(tǒng)是以樹形拓撲結(jié)構(gòu)來定義的，由不同類別的域名服務(wù)系統(tǒng)服務(wù)機構(gòu)負責(zé)不同級域名3的解析服務(wù)，其對應(yīng)關(guān)系見圖1。權(quán)威域名權(quán)威域名根域名礦面向終端用戶遞歸域名服務(wù)系統(tǒng)二級域名頂級域名Raotcomnetbi圖1全球域名服務(wù)體系結(jié)構(gòu)整個域名服務(wù)系統(tǒng)從職能上看，包括兩大類系統(tǒng)：權(quán)威域名服務(wù)系統(tǒng)和遞歸域名服務(wù)系統(tǒng)。權(quán)威域名服務(wù)系統(tǒng)是指擁有某個區(qū)的域名信息，并為該區(qū)提供域名解析的服務(wù)。權(quán)威域名服務(wù)系統(tǒng)通常面向的不是終端用戶。圖1中，cn和的域名服務(wù)系統(tǒng)就屬于權(quán)威域名系統(tǒng)。遞歸域名服務(wù)系統(tǒng)則相反，它不針對某個區(qū)提供域名解析服務(wù)，而是直接面向終端用戶，為終端用戶提供遞歸的域名服務(wù)系統(tǒng)。ICANN開放的新通用頂級域，同樣適用于以上域名服務(wù)系統(tǒng)。公共域名服務(wù)系統(tǒng)安全技術(shù)要求，包括權(quán)威域名服務(wù)系統(tǒng)、遞歸域名服務(wù)系統(tǒng)、授權(quán)和DNS數(shù)據(jù)備全、通信和操作安全、訪問控制、連續(xù)性管理以及網(wǎng)絡(luò)安全事件等；關(guān)于重要DNS基礎(chǔ)設(shè)施部署及政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求，按附錄A。6公共域名服務(wù)系統(tǒng)安全技術(shù)要求6.1權(quán)威域名服務(wù)系統(tǒng)技術(shù)要求權(quán)威域名服務(wù)系統(tǒng)的權(quán)威域名服務(wù)器(簡稱“權(quán)威服務(wù)器”)的實現(xiàn)應(yīng)符合IETFRFC1034、IETFRFC1035、IETFRFC4033,IETFRFC4034和IETFRFC403針對某個權(quán)威域，提供權(quán)威域解析的服務(wù)器數(shù)量應(yīng)保證多臺備份，提供權(quán)威域解析的服務(wù)器應(yīng)部署在多個不同的自治域網(wǎng)絡(luò)中，且宜在地理上進行合理分布，達到抗自然災(zāi)害等災(zāi)備目的。具體部署數(shù)量和分配要求應(yīng)符合YD/T2138的規(guī)定。6.1.3權(quán)威服務(wù)器安全要求系統(tǒng)安全應(yīng)滿足YD/T2052—2015中三級及以上域名系統(tǒng)安全等級保護要求。系統(tǒng)安全要求4a)權(quán)威服務(wù)器不應(yīng)提供遞歸服務(wù)。b)權(quán)威服務(wù)器應(yīng)僅提供TCP和UDP53端口務(wù)，還應(yīng)提供DoH協(xié)議443端口和DoT協(xié)議853端口解析服務(wù)。c)在權(quán)威服務(wù)器其他TCP/UDP端口上提供的服務(wù)應(yīng)限制在該服務(wù)系統(tǒng)內(nèi)部的服務(wù)器之間進行。d)禁止除管理員之外的其他人或其他服務(wù)器從域名解析服務(wù)器上下載區(qū)文件。f)服務(wù)器應(yīng)通過一種安全機制來進行遠程管理和維護。g)服務(wù)器所在的局域網(wǎng)內(nèi)不應(yīng)放置容易被攻破的主機。h)服務(wù)器所在的局域網(wǎng)應(yīng)有包過濾機制，以阻斷來自域名服務(wù)端口以外的端口訪問。i)采用隱藏的主服務(wù)器作為一個權(quán)威域名服務(wù)系統(tǒng)的數(shù)據(jù)源。嚴重的網(wǎng)絡(luò)故障時，每個權(quán)威服務(wù)器都應(yīng)有替換辦法(備份網(wǎng)絡(luò)通道或者非網(wǎng)絡(luò)途徑)來更新域名數(shù)據(jù)。k)權(quán)威服務(wù)器應(yīng)維護和記錄全局的統(tǒng)計數(shù)據(jù)(包括用戶查詢?nèi)罩镜?,以便于進行數(shù)據(jù)分析，發(fā)現(xiàn)安全隱患。在權(quán)威服務(wù)器提供域名解析服務(wù)前，應(yīng)采取下列措施對每一次生成的域名數(shù)據(jù)進行語法檢查和匹配檢查。a)語法檢查，檢查區(qū)文件格式是否符合域名解析軟件的格式要求。語法檢查應(yīng)在區(qū)文件生成之b)匹配檢查，全量/隨機檢查區(qū)文件與數(shù)據(jù)庫注冊數(shù)據(jù)信息的一致性。匹配檢查的時間應(yīng)保證在域名注冊生效時間周期內(nèi)完成。應(yīng)對域名解析軟件進行防范緩存中毒、DNS重定向漏洞造成域名劫持或域名更改等事件的安全域名權(quán)威輔服務(wù)器與主服務(wù)器應(yīng)保持時間上的同步，可采用NTP或其他技術(shù)手段實現(xiàn)時間同步。56.2遞歸域名服務(wù)系統(tǒng)技術(shù)要求針對某個自治域內(nèi)提供遞歸域解析的服務(wù)器數(shù)量應(yīng)保證多臺備份。同一自治域內(nèi)的不同遞歸服務(wù)器在部署上應(yīng)進行相應(yīng)分布，同一用戶訪問兩臺服務(wù)器的路徑上不存在單一故障點。具體部署數(shù)量和分配要求應(yīng)符合YD/T2137的規(guī)定。遞歸服務(wù)器與客戶端之間可選擇建立加密可靠的連接傳輸數(shù)據(jù)。遞歸服務(wù)器可通過基于TLS或a)如果選擇基于TLS的DNS,應(yīng)符合IETFRFC7858和IETFRFC8310的規(guī)定；b)如果選擇基于HTTPS的DNS,應(yīng)符合IETFRFC8484的規(guī)定。系統(tǒng)安全應(yīng)滿足YD/T2052—2015中三級及以上域名系統(tǒng)安全等級保護要求。系統(tǒng)安全要求a)遞歸服務(wù)器應(yīng)僅提供TCP、UDP53端口的標準DNS解析服務(wù)。如果支持DoH和DoT服務(wù)，還應(yīng)提供DoH協(xié)議443端口和DoT協(xié)議853端口解析服務(wù)。b)對于遞歸服務(wù)器向外的TCP協(xié)議和UDP協(xié)議53端口訪問不應(yīng)進行限制。如果支持DoH和DoT服務(wù)，DoH協(xié)議443端口和DoT協(xié)議853端口也不應(yīng)進行限制。d)遞歸服務(wù)器應(yīng)通過一種安全機制來進行遠程管理和維護。e)遞歸服務(wù)器所在的局域網(wǎng)段不應(yīng)放置容易被攻破的主機。f)遞歸服務(wù)器所在的局域網(wǎng)段應(yīng)有包過濾機制，以阻斷來自域名服務(wù)端口以外的端口訪問。g)具備對遞歸服務(wù)器緩存數(shù)據(jù)進行清空的技術(shù)手段。h)遞歸服務(wù)器應(yīng)維護和記錄全局的統(tǒng)計數(shù)據(jù)(包括用戶查詢?nèi)罩镜?,以便進行數(shù)據(jù)分析審計，發(fā)現(xiàn)安全隱患。解析安全要求如下：a)域名解析軟件安全：應(yīng)對域名解析軟件進行防范緩存中毒、DNS重定向漏洞造成域名劫持或域名更改等事件的安全檢驗；b)根服務(wù)器指向：遞歸服務(wù)器應(yīng)配置由IANA發(fā)布的13個根服務(wù)器指向地址；c)時間同步：域名解析輔服務(wù)器與主服務(wù)器應(yīng)保持時間上的同步，可采用NTP或其他技術(shù)手段實現(xiàn)時間同步。66.2.5中文域名支持安全要求務(wù)”等中文頂級域以及其他頂級域下中文二級域名。遞歸服務(wù)器的配置應(yīng)確保通過其進行查詢的用戶能正確解析相應(yīng)的域名。中的相關(guān)規(guī)定。6.3授權(quán)安全要求授權(quán)安全要求如下。a)作為授權(quán)而使用的NS記錄應(yīng)保持一致，即在下級DNS區(qū)中的域名NS記錄在服務(wù)器數(shù)量、名字上均應(yīng)與在上級域權(quán)威服務(wù)器中相應(yīng)域名的NS記錄保持完全一致。b)NS記錄應(yīng)符合IETFRFC1035的規(guī)定，其所指向的服務(wù)器為合法的主機名。c)權(quán)威服務(wù)器的IP地址應(yīng)使用合法的互聯(lián)網(wǎng)地址，并確保以任何互聯(lián)網(wǎng)地址可訪問服務(wù)器的UDP和TCP的53端口。如果支持DoH和DoT服務(wù)，還應(yīng)支持訪問DoH協(xié)議443端口和DoT協(xié)議853端口。d)同一DNS區(qū)的所有權(quán)威服務(wù)器在響應(yīng)對NS記錄的請求時，應(yīng)返回相同的結(jié)果。e)同一DNS區(qū)的權(quán)威服務(wù)器的數(shù)量應(yīng)至少為2臺，以確保解析服務(wù)的可靠性。f)權(quán)威服務(wù)器的最大數(shù)量應(yīng)保證在響應(yīng)對所服務(wù)區(qū)的NS記錄的查詢時：●包含NS記錄和粘連記錄(A記錄和AAAA記錄)的響應(yīng)包的大小限制在512字節(jié)以內(nèi)，即在不使用AAAA記錄時，權(quán)威服務(wù)器數(shù)量的上限不應(yīng)超過13?！裨诿總€服務(wù)器都使用AAAA記錄時，權(quán)威服務(wù)器的數(shù)量上限不應(yīng)超過8。6.4DNS數(shù)據(jù)備份要求域名解析日志應(yīng)采用冷備份或熱備份的方式。注：冷備份是指將日志按日期存放在至少兩種以上介質(zhì)上，包括硬盤、磁帶、光盤等。熱備份是指將日志存放在正在運行中的服務(wù)器存儲設(shè)備上。日志存放要求如下：a)冷備份應(yīng)保留自域名服務(wù)起始的全部日志；b)熱備份的保留時間應(yīng)滿足域名管理者的日志分析需求。應(yīng)建立解析服務(wù)日志的分析制度，以便及時發(fā)現(xiàn)服務(wù)中的異常情況，并對非法訪問采取必要的安全防范措施。77公共域名服務(wù)系統(tǒng)安全管理要求7.1資產(chǎn)管理要求7.1.1資產(chǎn)清單應(yīng)清晰地識別公共域名服務(wù)所涉及的資產(chǎn)，編制并維護公共域名服務(wù)系統(tǒng)的核心資產(chǎn)清單。清單中應(yīng)包括所有為從災(zāi)難中恢復(fù)而需要的資產(chǎn)，與公共域名服務(wù)系統(tǒng)相關(guān)的資產(chǎn)可能包括：信息資產(chǎn)、軟與公共域名服務(wù)系統(tǒng)有關(guān)的所有信息和資產(chǎn)均應(yīng)指定部門和人員承擔(dān)責(zé)任，資產(chǎn)責(zé)任人應(yīng)：a)確保與公共域名服務(wù)系統(tǒng)相關(guān)的信息和資產(chǎn)進行了恰當(dāng)合理的分類；b)確定并周期性審查訪問限制和分類。7.1.3資產(chǎn)的合規(guī)使用與公共域名服務(wù)系統(tǒng)相關(guān)的信息和資產(chǎn)使用規(guī)則應(yīng)確認并形成文檔加以實施。7.1.4脆弱性和威脅分析脆弱性和威脅分析要求如下：a)從技術(shù)脆弱性和管理脆弱性兩個方面，對公共域名服務(wù)系統(tǒng)進行脆弱性分析；b)從技術(shù)威脅、環(huán)境威脅、人為威脅三個方面，對公共域名服務(wù)系統(tǒng)進行威脅分析。7.2人員管理要求在公共域名服務(wù)系統(tǒng)的管理人員和第三方人員的整個任職周期內(nèi)，包括聘任前、聘任中、離職三個階段，應(yīng)采取相應(yīng)的控制措施，降低公共域名服務(wù)系統(tǒng)所面臨的人為威脅，人員管理要求如下：a)確保公共域名服務(wù)系統(tǒng)管理人員和第三方人員理解其職責(zé)，確保其具備相應(yīng)的技術(shù)能力，以降低公共域名服務(wù)系統(tǒng)被破壞或者不當(dāng)使用的風(fēng)險；b)對公共域名服務(wù)系統(tǒng)管理人員和第三方人員進行適當(dāng)程度的安全意識和安全技術(shù)培訓(xùn)，以及公共域名服務(wù)相關(guān)信息和資產(chǎn)的正確使用方法，并建立一個正式的處理安全違規(guī)的紀律處理c)應(yīng)制定流程或規(guī)定，規(guī)范公共域名服務(wù)系統(tǒng)管理人員和第三方人員退出公共域名服務(wù)的管理，確保相關(guān)人員歸還所有設(shè)備，并刪除其對公共域名服務(wù)的所有訪問權(quán)限。7.3運行管理要求運行管理要求如下：a)公共域名服務(wù)系統(tǒng)應(yīng)符合YD/T2138和YD/T2137規(guī)定的運行管理要求；b)公共域名服務(wù)系統(tǒng)中所有涉及的服務(wù)應(yīng)對國家主管部門提供數(shù)據(jù)采集接口，并應(yīng)按照國家主管部門的規(guī)定對相應(yīng)網(wǎng)絡(luò)安全事件進行通報工作。7.4物理和環(huán)境管理要求物理和環(huán)境管理要求如下：87.5設(shè)備管理要求a)公共域名服務(wù)系統(tǒng)的設(shè)備應(yīng)進行適當(dāng)安置，以防止對相關(guān)設(shè)備的未授權(quán)物理訪問；b)對于可能對公共域名服務(wù)系統(tǒng)運行狀態(tài)產(chǎn)生負面影響的環(huán)境條件(例如：溫度和濕度)應(yīng)予以c)建筑物應(yīng)采用避雷保護，所有進入的電源和通信線路都應(yīng)裝配雷電保護過濾器。a)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞；b)使用文件化配線列表減少失誤的可能性；c)按照供應(yīng)商推薦的服務(wù)時間間隔和規(guī)范由已授權(quán)人員對設(shè)備進行維護，同時保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護的記錄；d)繪制與當(dāng)前運行情況相符的系統(tǒng)拓撲結(jié)構(gòu)圖。c)域名解析軟件的安全性應(yīng)定期跟蹤并及時升級和更新少于1次/10min,監(jiān)控日志的保存時間應(yīng)至少為180d;e)對域名資源記錄和解析結(jié)果進行正確性抽檢，抽檢頻率宜至少1次/h。b)與公共域名服務(wù)系統(tǒng)相關(guān)的各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以減少因未授權(quán)或無意識修改9a)建立禁止使用未授權(quán)軟件和正確使用授權(quán)軟件的策略；b)應(yīng)安裝和定期更新惡意代碼監(jiān)測和修復(fù)軟件來掃描域名服務(wù)系統(tǒng)，并根據(jù)掃描結(jié)果升級域名c)應(yīng)制定適當(dāng)?shù)膹膼阂獯a攻擊中恢復(fù)的業(yè)務(wù)連續(xù)性計劃。b)應(yīng)建立備份拷貝的準確完整的記錄和文件化的恢復(fù)程序；a)應(yīng)建立遠程設(shè)備管理的職責(zé)和程序；c)建立專門的控制，以保護在公網(wǎng)上傳遞數(shù)據(jù)的保密性和完整性，并且保護已連接的系統(tǒng)及a)生成記錄用戶活動、異常和網(wǎng)絡(luò)安全事態(tài)的審計日志，并應(yīng)保存至少180天以支持將來的調(diào)查b)采取措施保證主域名服務(wù)系統(tǒng)、輔域名服務(wù)系統(tǒng)、備份域名服務(wù)系統(tǒng)內(nèi)設(shè)備之間的時間同c)審計的內(nèi)容應(yīng)包括但不限于：授權(quán)訪問、特殊權(quán)限操作、未授權(quán)的訪問嘗試、系統(tǒng)警報或故障；應(yīng)提供DoH協(xié)議443端口和DoT協(xié)議853端口。7.7.2訪問控制策略和用戶訪問管理訪問控制策略和用戶訪問管理要求如下：a)在訪問控制策略中清晰地規(guī)定每個用戶或每組用戶的訪問控制規(guī)則和權(quán)利；b)限制和控制特殊權(quán)限的分配及使用，防范未授權(quán)訪問的多用戶系統(tǒng)應(yīng)通過正式的授權(quán)過程使特殊權(quán)限的分配受到控制；網(wǎng)絡(luò)訪問控制要求如下：a)能為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；b)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c)在網(wǎng)絡(luò)中實施路由控制，以確保計算機連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問控制策略。操作系統(tǒng)訪問控制要求如下：a)登錄到操作系統(tǒng)的程序應(yīng)設(shè)計成使未授權(quán)訪問的機會減到最??；程序員和數(shù)據(jù)庫管理員等)應(yīng)有唯一的、專供其個人使用的標識符(例如：用戶ID),應(yīng)選擇一的長度要求和復(fù)雜性要求并且定期更換；c)在一個設(shè)定的休止期后，超時登錄應(yīng)清空會話屏幕或設(shè)置關(guān)閉應(yīng)用和網(wǎng)絡(luò)會話；信息和敏感系統(tǒng)訪問控制要求如下：a)對設(shè)備重要信息(數(shù)據(jù))資源設(shè)置分級分類的敏感標記；b)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息(數(shù)據(jù))資源的操作；c)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。7.8連續(xù)性管理要求連續(xù)性管理的制定要求如下：b)為公共域名服務(wù)系統(tǒng)制定一個解析服務(wù)連續(xù)性管理的過程，識別可能引起解析服務(wù)中斷的事態(tài)以及這種事態(tài)發(fā)生的概率；務(wù)中斷的情況下能在要求的時間內(nèi)恢復(fù)系統(tǒng)的服務(wù)。制定連續(xù)性計劃要求如下：c)應(yīng)急處置預(yù)案方面：應(yīng)制定應(yīng)急處置預(yù)案，并定期對應(yīng)急預(yù)案進行及時修訂，修訂期不少于1年；每年應(yīng)進行不少于1次的應(yīng)急預(yù)案演練。7.9網(wǎng)絡(luò)安全事件管理要求網(wǎng)絡(luò)安全事件管理要求如下：b)配備與經(jīng)營規(guī)模相適應(yīng)的計算機信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員，并定期參加信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員教育培訓(xùn)；c)保持與主管部門聯(lián)系渠道暢通，應(yīng)積極配合主管部門的業(yè)務(wù)監(jiān)督檢查；d)定期進行安全風(fēng)險評估，風(fēng)險評估范圍應(yīng)與域名系統(tǒng)安全防護范圍一致；e)制定網(wǎng)絡(luò)安全事故應(yīng)急處置措施和緊急處理預(yù)案。(規(guī)范性)重要DNS基礎(chǔ)設(shè)施和政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求A.1重要DNS基礎(chǔ)設(shè)施部署安全要求重要DNS基礎(chǔ)設(shè)施部署包括權(quán)威域名服務(wù)系統(tǒng)和遞歸域名服務(wù)系統(tǒng)。權(quán)威服務(wù)應(yīng)符