GB∕ T 33134-2023 信息安全技術(shù) 公共域名服務(wù)系統(tǒng)安全要求（正式版）

代替GB/T33134—2016信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T33134—2023 I 3 36公共域名服務(wù)系統(tǒng)安全技術(shù)要求 46.1權(quán)威域名服務(wù)系統(tǒng)技術(shù)要求 6.2遞歸域名服務(wù)系統(tǒng)技術(shù)要求 66.3授權(quán)安全要求 77公共域名服務(wù)系統(tǒng)安全管理要求 87.1資產(chǎn)管理要求 87.2人員管理要求 87.3運(yùn)行管理要求 87.4物理和環(huán)境管理要求 87.5設(shè)備管理要求 97.6操作管理要求 97.7訪問控制管理要求 7.8連續(xù)性管理要求 7.9網(wǎng)絡(luò)安全事件管理要求 附錄A(規(guī)范性)重要DNS基礎(chǔ)設(shè)施和政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求 IGB/T33134—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草起草。本文件代替GB/T33134—2016《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》,與GB/T33134—b)刪除了圖1的說明內(nèi)容(見第5章，2016年版的4.1);c)增加了關(guān)于重要DNS基礎(chǔ)設(shè)施部署及政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求(見第5e)增加了權(quán)威服務(wù)器的系統(tǒng)安全要求和解析安全要求(見6.1.3);f)增加了遞歸服務(wù)器與客戶端連接安全要求(見6.2.3);g)增加了遞歸服務(wù)器的系統(tǒng)安全要求和解析安全要求(見6.2.4);h)更改了對(duì)外服務(wù)的訪問控制的規(guī)定(見7.7.1,2016年版的6.7.1);i)增加了重要DNS基礎(chǔ)設(shè)施部署安全要求(見附錄A中A.1);j)增加了政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求(見附錄A中A.2)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。啟明星辰信息技術(shù)集團(tuán)股份有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2016年首次發(fā)布為GB/T33134—2016;1GB/T33134—2023信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求本文件規(guī)定了公共域名服務(wù)系統(tǒng)的安全技術(shù)要求和安全管理要求。本文件適用于各級(jí)公共域名服務(wù)系統(tǒng)的運(yùn)營(yíng)和管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。YD/T2052—2015域名系統(tǒng)安全防護(hù)要求YD/T2137域名系統(tǒng)遞歸服務(wù)器運(yùn)行技術(shù)要求YD/T2138域名系統(tǒng)權(quán)威服務(wù)器運(yùn)行技術(shù)要求YD/T2142基于國(guó)際多語種域名體系的中文域名總體技術(shù)要求YD/T2143基于國(guó)際多語種域名體系的中文域名的編碼處理技術(shù)要求YD/T2438基于國(guó)際多語種域名體系的中文域名注冊(cè)字表要求IETF域名概念和基礎(chǔ)設(shè)施(Domainnames—conceptsandfacilities)IETF域名實(shí)現(xiàn)與詳述(Domainnames—implementationandspecification)IETFRFC4033DNSSEC介紹與需求(DNSsecurityintroductionandrequirements)IETFRFC4034資源記錄支持DNSSEC(ResourcerecordsfortheDNSsecurityextensions)IETFRFC4035支持DNSSEC的協(xié)議修改(ProtocolmodificationsfortheDNSsecurityexten-IETFRFC7858基于TLS的DNS規(guī)范(SpecificationforDNSovertransporIETFRFC8310基于TLS的DNS和基于DTLS的DNS的使用情況(UsageprofilesforDNSoverTLSandDNSoverDTLS)IETFRFC8484基于HTTPS的DNS查詢[DNSqueriesoverHTTPS(DoH)]3術(shù)語和定義3.1名字空間namespace以樹形結(jié)構(gòu)分層表示的名字命名層次結(jié)構(gòu)。注：名字空間是一個(gè)樹狀結(jié)構(gòu)，每個(gè)節(jié)點(diǎn)對(duì)應(yīng)于相應(yīng)的資源集合(這個(gè)資源集合可能為空),DNS不區(qū)別樹內(nèi)節(jié)點(diǎn)和葉子節(jié)點(diǎn)，統(tǒng)稱為節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)有一個(gè)標(biāo)記，這個(gè)標(biāo)記的長(zhǎng)度不超過63字節(jié)。父節(jié)點(diǎn)不同的節(jié)點(diǎn)可使用相2GB/T33134—2023同的標(biāo)記。只有根節(jié)點(diǎn)的標(biāo)記長(zhǎng)度為0(空標(biāo)記)。域domain注：這個(gè)子樹根節(jié)點(diǎn)的域名就是該域的名字。數(shù)據(jù)等字段組成。注：網(wǎng)絡(luò)中域名服務(wù)系統(tǒng)間通過相互協(xié)作，實(shí)現(xiàn)將域名最終解析到相應(yīng)的資源記錄。對(duì)于某個(gè)或者多個(gè)區(qū)具有可信數(shù)據(jù)功能的域名服務(wù)系統(tǒng)。注：權(quán)威域名服務(wù)系統(tǒng)保存著其所擁有區(qū)的原始域名資源記錄信息。3GB/T33134—20233.133.14負(fù)責(zé)接收用戶端發(fā)送的請(qǐng)求，然后通過向各級(jí)權(quán)威服務(wù)器發(fā)出查詢請(qǐng)求獲得用戶需要的查詢結(jié)3.15主域名服務(wù)系統(tǒng)masterdomainname被配置成區(qū)數(shù)據(jù)發(fā)布源的權(quán)威域名服務(wù)系統(tǒng)。3.16輔域名服務(wù)系統(tǒng)slavedomainname通過區(qū)傳送協(xié)議來獲取區(qū)數(shù)據(jù)的權(quán)威域名服務(wù)系統(tǒng)。4縮略語下列縮略語適用于本文件。AS:自治系統(tǒng)(AutonomousSystem)BGP:邊界網(wǎng)關(guān)協(xié)議(BorderGatewayProtocol)DNS:域名系統(tǒng)(DomainNameSystem)DoH:基于HTTPS的DNS(DNSoverHTTPS)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:超文本傳輸安全協(xié)議(HyperTextTransferProtocoloverSecureSocketLayer)IANA:互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(InternetAssignedNumbersAuthority)ICANN:互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(TheInternetCorporationforAssignedNamesandNumbers)NS:名字服務(wù)器(NameServer)NTP:網(wǎng)絡(luò)時(shí)間協(xié)議(NetworkTimeProtocol)Rlogin:遠(yuǎn)程登錄(RemoteLogin)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)TLS:傳輸層安全(TransportLayerSecurity)UDP:用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)5概述域名服務(wù)系統(tǒng)是以樹形拓?fù)浣Y(jié)構(gòu)來定義的，由不同類別的域名服務(wù)系統(tǒng)服務(wù)機(jī)構(gòu)負(fù)責(zé)不同級(jí)域名4GB/T33134—2023的解析服務(wù)，其對(duì)應(yīng)關(guān)系見圖1。的解析服務(wù)，其對(duì)應(yīng)關(guān)系見圖1。遞歸域名根域名二級(jí)域名biRoot圖1全球域名服務(wù)體系結(jié)構(gòu)整個(gè)域名服務(wù)系統(tǒng)從職能上看，包括兩大類系統(tǒng)：權(quán)威域名服務(wù)系統(tǒng)和遞歸域名服務(wù)系統(tǒng)。權(quán)威域名服務(wù)系統(tǒng)是指擁有某個(gè)區(qū)的域名信息，并為該區(qū)提供域名解析的服務(wù)。權(quán)威域名服務(wù)系統(tǒng)通常面向的不是終端用戶。圖1中，cn和的域名服務(wù)系統(tǒng)就屬于權(quán)威域名系統(tǒng)。遞歸域名服務(wù)系統(tǒng)則相反，它不針對(duì)某個(gè)區(qū)提供域名解析服務(wù)，而是直接面向終端用戶，為終端用戶提供遞歸的域名服務(wù)系統(tǒng)。ICANN開放的新通用頂級(jí)域，同樣適用于以上域名服務(wù)系統(tǒng)。公共域名服務(wù)系統(tǒng)安全技術(shù)要求，包括權(quán)威域名服務(wù)系統(tǒng)、遞歸域名服務(wù)系統(tǒng)、授權(quán)和DNS數(shù)據(jù)備全、通信和操作安全、訪問控制、連續(xù)性管理以及網(wǎng)絡(luò)安全事件等；關(guān)于重要DNS基礎(chǔ)設(shè)施部署及政府重要網(wǎng)站公共域名服務(wù)系統(tǒng)安全要求，按附錄A。6公共域名服務(wù)系統(tǒng)安全技術(shù)要求6.1權(quán)威域名服務(wù)系統(tǒng)技術(shù)要求權(quán)威域名服務(wù)系統(tǒng)的權(quán)威域名服務(wù)器(簡(jiǎn)稱“權(quán)威服務(wù)器”)的實(shí)現(xiàn)應(yīng)符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的規(guī)定。6.1.2拓?fù)湟?guī)劃要求針對(duì)某個(gè)權(quán)威域，提供權(quán)威域解析的服務(wù)器數(shù)量應(yīng)保證多臺(tái)備份，提供權(quán)威域解析的服務(wù)器應(yīng)部署在多個(gè)不同的自治域網(wǎng)絡(luò)中，且宜在地理上進(jìn)行合理分布，達(dá)到抗自然災(zāi)害等災(zāi)備目的。具體部署數(shù)量和分配要求應(yīng)符合YD/T2138的規(guī)定。6.1.3權(quán)威服務(wù)器安全要求系統(tǒng)安全應(yīng)滿足YD/T2052—2015中三級(jí)及以上域名系統(tǒng)安全等級(jí)保護(hù)要求。系統(tǒng)安全要求5GB/T33134—2023a)權(quán)威服務(wù)器不應(yīng)提供遞歸服務(wù)。b)權(quán)威服務(wù)器應(yīng)僅提供TCP和UDP53端口的標(biāo)準(zhǔn)DNS解析服務(wù)；如果支持DoH和DoT服務(wù)，還應(yīng)提供DoH協(xié)議443端口和DoT協(xié)議853端口解析服務(wù)。c)在權(quán)威服務(wù)器其他TCP/UDP端口上提供的服務(wù)應(yīng)限制在該服務(wù)系統(tǒng)內(nèi)部的服務(wù)器之間進(jìn)行。d)禁止除管理員之外的其他人或其他服務(wù)器從域名解析服務(wù)器上下載區(qū)文件。f)服務(wù)器應(yīng)通過一種安全機(jī)制來進(jìn)行遠(yuǎn)程管理和維護(hù)。g)服務(wù)器所在的局域網(wǎng)內(nèi)不應(yīng)放置容易被攻破的主機(jī)。h)服務(wù)器所在的局域網(wǎng)應(yīng)有包過濾機(jī)制，以阻斷來自域名服務(wù)端口以外的端口訪問。i)采用隱藏的主服務(wù)器作為一個(gè)權(quán)威域名服務(wù)系統(tǒng)的數(shù)據(jù)源。j)域名數(shù)據(jù)的更新應(yīng)在必要的更新錯(cuò)誤檢測(cè)之后進(jìn)行。一旦更新失敗，需要人為干預(yù)。當(dāng)發(fā)生嚴(yán)重的網(wǎng)絡(luò)故障時(shí)，每個(gè)權(quán)威服務(wù)器都應(yīng)有替換辦法(備份網(wǎng)絡(luò)通道或者非網(wǎng)絡(luò)途徑)來更新k)權(quán)威服務(wù)器應(yīng)維護(hù)和記錄全局的統(tǒng)計(jì)數(shù)據(jù)(包括用戶查詢?nèi)罩镜?,以便于進(jìn)行數(shù)據(jù)分析，發(fā)現(xiàn)安全隱患。在權(quán)威服務(wù)器提供域名解析服務(wù)前，應(yīng)采取下列措施對(duì)每一次生成的域名數(shù)據(jù)進(jìn)行語法檢查和匹配檢查。a)語法檢查，檢查區(qū)文件格式是否符合域名解析軟件的格式要求。語法檢查應(yīng)在區(qū)文件生成之b)匹配檢查，全量/隨機(jī)檢查區(qū)文件與數(shù)據(jù)庫(kù)注冊(cè)數(shù)據(jù)信息的一致性。匹配檢查的時(shí)間應(yīng)保證在域名注冊(cè)生效時(shí)間周期內(nèi)完成。應(yīng)對(duì)域名解析軟件進(jìn)行防范緩存中毒、DNS重定向漏洞造成域名劫持或域名更改等事件的安全檢驗(yàn)。域名權(quán)威輔服務(wù)器與主服務(wù)器應(yīng)保持時(shí)間上的同步，可采用NTP或其他技術(shù)手段實(shí)現(xiàn)時(shí)間同步。6GB/T33134—2023符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的規(guī)定。針對(duì)某個(gè)自治域內(nèi)提供遞歸域解析的服務(wù)器數(shù)量應(yīng)保證多臺(tái)備份。同一自治域內(nèi)的不同遞歸服務(wù)器在部署上應(yīng)進(jìn)行相應(yīng)分布，同一用戶訪問兩臺(tái)服務(wù)器的路徑上不存在單一故障點(diǎn)。具體部署數(shù)量和分配要求應(yīng)符合YD/T2137的規(guī)定。遞歸服務(wù)器與客戶端之間可選擇建立加密可靠的連接傳輸數(shù)據(jù)。遞歸服務(wù)器可通過基于TLS或a)如果選擇基于TLS的DNS,應(yīng)符合IETFRFC7858和IETFRFC8310的規(guī)定；b)如果選擇基于HTTPS的DNS,應(yīng)符合IETFRFC8484的規(guī)定。系統(tǒng)安全應(yīng)滿足YD/T2052—2015中三級(jí)及以上域名系統(tǒng)安全等級(jí)保護(hù)要求。系統(tǒng)安全要求如下。a)遞歸服務(wù)器應(yīng)僅提供TCP、UDP53端口的標(biāo)準(zhǔn)DNS解析服務(wù)。如果支持DoH和DoT服務(wù)，還應(yīng)提供DoH協(xié)議443端口和DoT協(xié)議853端口解析服務(wù)。b)對(duì)于遞歸服務(wù)器向外的TCP協(xié)議和UDP協(xié)議53端口訪問不應(yīng)進(jìn)行限制。如果支持DoH和DoT服務(wù)，DoH協(xié)議443端口和DoT協(xié)議853端口也不應(yīng)進(jìn)行限制。d)遞歸服務(wù)器應(yīng)通過一種安全機(jī)制來進(jìn)行遠(yuǎn)程管理和維護(hù)。e)遞歸服務(wù)器所在的局域網(wǎng)段不應(yīng)放置容易被攻破的主機(jī)。f)遞歸服務(wù)器所在的局域網(wǎng)段應(yīng)有包過濾機(jī)制，以阻斷來自域名服務(wù)端口以外的端口訪問。g)具備對(duì)遞歸服務(wù)器緩存數(shù)據(jù)進(jìn)行清空的技術(shù)手段。h)遞歸服務(wù)器應(yīng)維護(hù)和記錄全局的統(tǒng)計(jì)數(shù)據(jù)(包括用戶查詢?nèi)罩镜?,以便進(jìn)行數(shù)據(jù)分析審計(jì)，發(fā)現(xiàn)安全隱患。解析安全要求如下：a)域名解析軟件安全：應(yīng)對(duì)域名解析軟件進(jìn)行防范緩存中毒、DNS重定向漏洞造成域名劫持或域名更改等事件的安全檢驗(yàn)；b)根服務(wù)器指向：遞歸服務(wù)器應(yīng)配置由IANA發(fā)布的13個(gè)根服務(wù)器指向地址；c)時(shí)間同步：域名解析輔服務(wù)器與主服務(wù)器應(yīng)保持時(shí)間上的同步，可采用NTP或其他技術(shù)手段實(shí)現(xiàn)時(shí)間同步。7GB/T33134—2023遞歸服務(wù)器的配置應(yīng)確保通過其進(jìn)行查詢的用戶能正確解析相應(yīng)的域名。6.3授權(quán)安全要求授權(quán)安全要求如下。a)作為授權(quán)而使用的NS記錄應(yīng)保持一致，即在下級(jí)DNS區(qū)中的域名NS記錄在服務(wù)器數(shù)量、名字上均應(yīng)與在上級(jí)域權(quán)威服務(wù)器中相應(yīng)域名的NS記錄保持完全一致。b)NS記錄應(yīng)符合IETFRFC1035的規(guī)定，其所指向的服務(wù)器為合法的主機(jī)名。c)權(quán)威服務(wù)器的IP地址應(yīng)使用合法的互聯(lián)網(wǎng)地址，并確保以任何互聯(lián)網(wǎng)地址可訪問服務(wù)器的UDP和TCP的53端口。如果支持DoH和DoT服務(wù)，還應(yīng)支持訪問DoH協(xié)議443端口和DoT協(xié)議853端口。e)同一DNS區(qū)的權(quán)威服務(wù)器的數(shù)量應(yīng)至少為2臺(tái)，以確保解析服務(wù)的可靠性。f)權(quán)威服務(wù)器的最大數(shù)量應(yīng)保證在響應(yīng)對(duì)所服務(wù)區(qū)的NS記錄的查詢時(shí)：●包含NS記錄和粘連記錄(A記錄和AAAA記錄)的響應(yīng)包的大小限制在512字節(jié)以●在每個(gè)服務(wù)器都使用AAAA記錄時(shí)，權(quán)威服務(wù)器的數(shù)量上限不應(yīng)超過8。域名解析日志應(yīng)采用冷備份或熱備份的方式。注：冷備份是指將日志按日期存放在至少兩種以上介質(zhì)上，包括硬盤、磁帶、光盤等。熱備份是指將日志存放在正在運(yùn)行中的服務(wù)器存儲(chǔ)設(shè)備上。a)冷備份應(yīng)保留自域名服務(wù)起始的全部日志；b)熱備份的保留時(shí)間應(yīng)滿足域名管理者的日志分析需求。8GB/T33134—20237公共域名服務(wù)系統(tǒng)安全管理要求7.1資產(chǎn)管理要求應(yīng)清晰地識(shí)別公共域名服務(wù)所涉及的資產(chǎn)，編制并維護(hù)公共域名服務(wù)系統(tǒng)的核心資產(chǎn)清單。清單中應(yīng)包括所有為從災(zāi)難中恢復(fù)而需要的資產(chǎn)，與公共域名服務(wù)系統(tǒng)相關(guān)的資產(chǎn)可能包括：信息資產(chǎn)、軟7.1.2資產(chǎn)責(zé)任人與公共域名服務(wù)系統(tǒng)有關(guān)的所有信息和資產(chǎn)均應(yīng)指定部門和人員承擔(dān)責(zé)任，資產(chǎn)責(zé)任人應(yīng)：a)確保與公共域名服務(wù)系統(tǒng)相關(guān)的信息和資產(chǎn)進(jìn)行了恰當(dāng)合理的分類；b)確定并周期性審查訪問限制和分類。7.1.3資產(chǎn)的合規(guī)使用與公共域名服務(wù)系統(tǒng)相關(guān)的信息和資產(chǎn)使用規(guī)則應(yīng)確認(rèn)并形成文檔加以實(shí)施。7.1.4脆弱性和威脅分析脆弱性和威脅分析要求如下：a)從技術(shù)脆弱性和管理脆弱性兩個(gè)方面，對(duì)公共域名服務(wù)系統(tǒng)進(jìn)行脆弱性分析；b)從技術(shù)威脅、環(huán)境威脅、人為威脅三個(gè)方面，對(duì)公共域名服務(wù)系統(tǒng)進(jìn)行威脅分析。7.2人員管理要求在公共域名服務(wù)系統(tǒng)的管理人員和第三方人員的整個(gè)任職周期內(nèi)，包括聘任前、聘任中、離職三個(gè)階段，應(yīng)采取相應(yīng)的控制措施，降低公共域名服務(wù)系統(tǒng)所面臨的人為威脅，人員管理要求如下：a)確保公共域名服務(wù)系統(tǒng)管理人員和第三方人員理解其職責(zé)，確保其具備相應(yīng)的技術(shù)能力，以降低公共域名服務(wù)系統(tǒng)被破壞或者不當(dāng)使用的風(fēng)險(xiǎn)；b)對(duì)公共域名服務(wù)系統(tǒng)管理人員和第三方人員進(jìn)行適當(dāng)程度的安全意識(shí)和安全技術(shù)培訓(xùn)，以及公共域名服務(wù)相關(guān)信息和資產(chǎn)的正確使用方法，并建立一個(gè)正式的處理安全違規(guī)的紀(jì)律處理c)應(yīng)制定流程或規(guī)定，規(guī)范公共域名服務(wù)系統(tǒng)管理人員和第三方人員退出公共域名服務(wù)的管理，確保相關(guān)人員歸還所有設(shè)備，并刪除其對(duì)公共域名服務(wù)的所有訪問權(quán)限。7.3運(yùn)行管理要求運(yùn)行管理要求如下：a)公共域名服務(wù)系統(tǒng)應(yīng)符合YD/T2138和YD/T2137規(guī)定的運(yùn)行管理要求；b)公共域名服務(wù)系統(tǒng)中所有涉及的服務(wù)應(yīng)對(duì)國(guó)家主管部門提供數(shù)據(jù)采集接口，并應(yīng)按照國(guó)家主管部門的規(guī)定對(duì)相應(yīng)網(wǎng)絡(luò)安全事件進(jìn)行通報(bào)工作。7.4物理和環(huán)境管理要求物理和環(huán)境管理要求如下：9GB/T33134—2023a)設(shè)置安全邊界(例如：墻、卡控制的入口或有人管理的接待臺(tái)等屏障)來保護(hù)公共域名服務(wù)系統(tǒng)信息和資產(chǎn)所在的區(qū)域；b)設(shè)置恰當(dāng)?shù)倪M(jìn)出控制措施，確保僅授權(quán)人員能進(jìn)出，同時(shí)進(jìn)出的信息應(yīng)予以記錄和審計(jì)；共域名服務(wù)系統(tǒng)所在區(qū)域的破壞；d)有足夠的支持性設(shè)施(例如：電、供水、排污、加熱/通風(fēng)和空調(diào))來支持公共域名服務(wù)系統(tǒng)。應(yīng)定期檢查并測(cè)試支持性設(shè)施以確保它們的功能，減少由于其故障或失效帶來的風(fēng)險(xiǎn)。7.5設(shè)備管理要求設(shè)備安置和保護(hù)要求如下：a)公共域名服務(wù)系統(tǒng)的設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以防止對(duì)相關(guān)設(shè)備的未授權(quán)物理訪問；b)對(duì)于可能對(duì)公共域名服務(wù)系統(tǒng)運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件(例如：溫度和濕度)應(yīng)予以監(jiān)視；c)建筑物應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通信線路都應(yīng)裝配雷電保護(hù)過濾器。7.5.2布線和設(shè)備維護(hù)布線和設(shè)備維護(hù)要求如下：a)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞；b)使用文件化配線列表減少失誤的可能性；c)按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范由已授權(quán)人員對(duì)設(shè)備進(jìn)行維護(hù)，同時(shí)保存所有可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；d)繪制與當(dāng)前運(yùn)行情況相符的系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖。7.5.3設(shè)備的安全檢測(cè)和監(jiān)控設(shè)備的安全檢測(cè)和監(jiān)控要求如下：a)公共域名服務(wù)系統(tǒng)的硬件設(shè)備應(yīng)進(jìn)行安全檢測(cè)，確保其滿足相應(yīng)的行業(yè)標(biāo)準(zhǔn)、技術(shù)規(guī)范等，并保留檢測(cè)證據(jù)；b)操作系統(tǒng)的安裝應(yīng)遵循最小化原則，并及時(shí)進(jìn)行升級(jí)和安裝補(bǔ)丁；c)域名解析軟件的安全性應(yīng)定期跟蹤并及時(shí)升級(jí)和更新，防止漏洞帶來的威脅；少于1次/10min,監(jiān)控日志的保存時(shí)間應(yīng)至少為180d;e)對(duì)域名資源記錄和解析結(jié)果進(jìn)行正確性抽檢，抽檢頻率宜至少1次/h。7.6操作管理要求操作程序和職責(zé)要求如下：b)與公共域名服務(wù)系統(tǒng)相關(guān)的各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以減少因未授權(quán)或無意識(shí)修改而不當(dāng)使用域名服務(wù)系統(tǒng)資產(chǎn)的操作。GB/T33134—2023a)建立禁止使用未授權(quán)軟件和正確使用授權(quán)軟件的策略；b)應(yīng)安裝和定期更新惡意代碼監(jiān)測(cè)和修復(fù)軟件來掃描域名服務(wù)系統(tǒng)，并根據(jù)掃描結(jié)果升級(jí)域名c)應(yīng)制定適當(dāng)?shù)膹膼阂獯a攻擊中恢復(fù)的業(yè)務(wù)連續(xù)性計(jì)劃。設(shè)備和線路備份要求如下：數(shù)據(jù)備份要求如下：b)應(yīng)建立備份拷貝的準(zhǔn)確完整的記錄和文件化的恢復(fù)程序；c)定期測(cè)試備份介質(zhì)；d)恢復(fù)程序應(yīng)定期檢查和測(cè)試，并能在操作程序恢復(fù)所分配的時(shí)間內(nèi)完成。a)應(yīng)建立遠(yuǎn)程設(shè)備管理的職責(zé)和程序；c)建立專門的控制，以保護(hù)在公網(wǎng)上傳遞數(shù)據(jù)的保密性和完整性，并且保護(hù)已連接的系統(tǒng)及審計(jì)和分析要求如下：a)生成記錄用戶活動(dòng)、異常和網(wǎng)絡(luò)安全事態(tài)的審計(jì)日志，并應(yīng)保存至少180天以支持將來的調(diào)查和訪問控制監(jiān)視；b)采取措施保證主域名服務(wù)系統(tǒng)、輔域名服務(wù)系統(tǒng)、備份域名服務(wù)系統(tǒng)內(nèi)設(shè)備之間的時(shí)間同c)審計(jì)的內(nèi)容應(yīng)包括但不限于：授權(quán)訪問、特殊權(quán)限操作、未授權(quán)的訪問嘗試、系統(tǒng)警報(bào)或故障；d)記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡GB/T33134—20237.7訪問控制管理要求7.7.1對(duì)外公開服務(wù)的訪問控制公共域名服務(wù)系統(tǒng)對(duì)外開放服務(wù)宜只開放UDP和TCP53端口，如果支持DoH和DoT服務(wù)，還應(yīng)提供DoH協(xié)議443端口和DoT協(xié)議853端口。7.7.2訪問控制策略和用戶訪問管理訪問控制策略和用戶訪問管理要求如下：a)在訪問控制策略中清晰地規(guī)定每個(gè)用戶或每組用戶的訪問控制規(guī)則和權(quán)利；b)限制和控制特殊權(quán)限的分配及使用，防范未授權(quán)訪問的多用戶系統(tǒng)應(yīng)通過正式的授權(quán)過程使特殊權(quán)限的分配受到控制；c)定期檢查權(quán)限的分配，確保用戶訪問權(quán)限的正確分配。7.7.3網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制要求如下：a)能為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級(jí)；b)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；c)在網(wǎng)絡(luò)中實(shí)施路由控制，以確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問控制策略。操作系統(tǒng)訪問控制要求如下：a)登錄到操作系統(tǒng)的程序應(yīng)設(shè)計(jì)成使未授權(quán)訪問的機(jī)會(huì)減到最??；b)所有公共域名服務(wù)系統(tǒng)的管理員和第三方人員(包括技術(shù)支持人員、操作員、網(wǎng)絡(luò)管理員、系統(tǒng)程序員和數(shù)據(jù)庫(kù)管理員等)應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符(例如：用戶ID),應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)(例如：口令、令牌或智能卡)證實(shí)用戶所宣稱的身份，靜態(tài)口令應(yīng)滿足一定的長(zhǎng)度要求和復(fù)雜性要求并且定期更換；c)在一個(gè)設(shè)定的休止期后，超時(shí)登錄應(yīng)清空會(huì)話屏幕或設(shè)置關(guān)閉應(yīng)用和網(wǎng)絡(luò)會(huì)話；d)對(duì)多次不成功的登錄，應(yīng)進(jìn)行限制，以防止未經(jīng)授權(quán)的訪問。7.7.5信息和敏感系統(tǒng)訪問控制信息和敏感系統(tǒng)訪問控制要求如下：a)對(duì)設(shè)備重要信息(數(shù)據(jù))資源設(shè)置分級(jí)分類的敏感標(biāo)記；b)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息(數(shù)據(jù))資源的操作；c)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離。7.8連續(xù)性管理要求連續(xù)性管理的制定要求如下：a)具備異地冗余備份機(jī)制，防止公共域名服務(wù)系統(tǒng)的服務(wù)失效，保護(hù)公共域名服務(wù)系統(tǒng)免受重大失誤或者災(zāi)難的影響，并且在遇到災(zāi)難的情況下及時(shí)恢復(fù)解析服務(wù)；b)為公共域名服務(wù)系統(tǒng)制定一個(gè)解析服務(wù)連續(xù)性管理的過程，識(shí)別可能引起解析服務(wù)中斷的事GB/T33134—2023態(tài)以及這種事態(tài)發(fā)生的概率；務(wù)中斷的情況下能在要求的時(shí)間內(nèi)恢復(fù)系統(tǒng)的服務(wù)。制定連續(xù)性計(jì)劃要求如下：c)應(yīng)急處置預(yù)案方面：應(yīng)制定應(yīng)急處置預(yù)案，并定期對(duì)應(yīng)急預(yù)案進(jìn)行及時(shí)修訂，修訂期不少于1年；每年應(yīng)進(jìn)行不少于1次的應(yīng)急預(yù)案演練。網(wǎng)絡(luò)安全事件管理要求如下：a)建立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，確定安全領(lǐng)導(dǎo)