2022信息安全技术公共域名服务系统安全要求.docx

《2022信息安全技术公共域名服务系统安全要求.docx》由会员分享，可在线阅读，更多相关《2022信息安全技术公共域名服务系统安全要求.docx（13页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全技术公共域名服务系统安全要求冷备份应保留自域名服务起始的全部日志。热备份的保留时间，应以满足域名管理者的日志分析需求为标准。5. 4. 3日志分析应建立解析服务日志的分析制度，以便于及时发现服务中的异常情况，并对非法访问采 取 必要的安全防范措施。6域名解析服务安全管理要求5.1 资产管理要求5.1.1 资产清单应清晰的识别域名解析服务所涉及的资产，编制并维护域名解析服务的核心资产清单。 清 单中应包括所有为从灾难中恢复而需要的资产，与域名解析服务相关的资产可能包括：信息 资产、软件资产、物理资产、服务、人员、无形资产等。5.1.2 资产责任人与域名解析服务有关的所有信息和资产都应指定

2、部门和人员承担责任，资产责任人应确 保：a）与域名解析服务相关的信息和资产进行了适当的分类；b）确定并周期性审查访问限制和分类。5.1.3 资产的合规使用与域名解析服务相关的信息和资产使用规则应当确认并形成文件加以实施。5.1.4 脆弱性和威胁分析脆弱性和威胁分析的具体要求如下：a）从技术脆弱性和管理脆弱性两个方面，对域名解析服务进行脆弱性的分析；b）从技术威胁、环境威胁、人为威胁三个方面，对域名解析服务进行威胁分析。5.2 人员管理要求在域名解析服务的管理人员和第三方人员的整个任职周期内，包括聘任前、聘任中、离 职 三个阶段，采取相应的控制措施，降低域名解析服务所面临的人为威胁，具体应做到如

3、下 方面：a）确保域名解析服务管理人员和第三方人员理解其职责，确保其具备相应的技术能 力, 以降低域名解析服务被破坏或者不当使用的风险；b）应对域名解析服务管理人员和第三方人员提供适当程度的安全意识和安全技术培训 以及域名解析服务相关信息和资产的正确使用方法，并建立一个正式的处理安全 违 规的纪律处理过程；c）应有流程或规定规范域名解析服务管理人员和第三方人员退出域名解析服务的管 理, 并确保相关人员归还所有设备及删除他们的对域名解析服务的所有访问权限。5.3 运行管理要求域名解析服务应遵守YD/T 2138-2010以及YD/T 2137-2010中相关的运行管理要求。此外，域名解析服务中所

4、有涉及到的服务应对国家主管部门提供数据采集接口，并应按 照国 家主管部门的规定对相应网络安全事件进行通报工作。5.4 物理和环境管理要求物理和环境管理方面，设置安全区域的要求如下：a）应设置安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护域名 解 析服务信息和资产所在的区域；b）应设置恰当的进出控制措施，确保只有授权任用才能进出，同时进出的信息要予以 记 录和审计；c）应有适当的措施来避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或 人为灾难对域名服务系统所在区域的破坏；d）应有足够的支持性设施（例如电、供水、排污、加热/通风和空调）来支持域名服务 系 统。支持性设施应

5、定期检查并适当的测试以确保它们的功能，减少由于它们的故 障或 失效带来的风险。5.5 设备管理要求6. 5. 1设备安置和保护具体要求如下：a）域名解析服务的设备应进行适当安置，以防止对相关设备的未授权物理访问；b）对于可能对域名解析服务运行状态产生负面影响的环境条件（例如温度和湿度）要予 以监视；c）建筑物应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过滤器。7. 5.2布线和设备维护具体要求如下：a）应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏；b）使用文件化配线列表减少失误的可能性；c）要按照供应商推荐的服务时间间隔和规范由已授权人员对设备进行维护，同时保存

6、所 有可疑的或实际的故障以及所有预防和纠正维护的记录；d）应绘制与当前运行情况相符的系统拓扑结构图。6.5 . 3设备的安全检测和监控具体要求如下：a）域名解析服务的硬件设备应进行安全检测，确保其满足相应的行业标准、技术规范等, 并保留检测证据；b）操作系统的安装应遵循最小化原则，并及时进行升级和安装补丁；c）域名解析软件的安全性应定期跟踪并及时升级和更新，防止漏洞带来的威胁；d）对业务、应用软件、服务器、网络设备等子系统进行7*24小时不间断探测监控，监 测 的频率应不低于10分钟一次，监控日志的保存时间应至少为三个月；e）对域名资源记录和解析结果进行正确性抽检，抽检频率建议至少每小时1次。

7、6.6 操作管理要求6. 6.1操作程序和职责具体要求如下：a）与域名解析服务相关的操作应有规范的操作程序，例如计算机启动和关机程序、备份、 设备维护、介质处理、计算机机房、DNS软件的配置维护和物理安全等；b）与域名解析服务相关的各类责任及职责范围应加以分割，以减少因未授权或无意识修 改而不当使用域名服务系统资产的操作。6. 6. 2防范恶意代码防范恶意代码应采取恶意代码监测、修复软件、提高安全意识、适当的系统访问和变更管理控制等措施，可考虑以下内容：a）建立禁止使用未授权软件和正确使用授权软件的策略；b）安装和定期更新恶意代码检测和修复软件来扫描域名服务系统，并根据扫描结果升级 域名服务系

8、统；c）制定适当的从恶意代码攻击中恢复的业务连续性计划。6. 6. 3设备和线路备份具体要求如下：a）系统应为分布式广域部署，节点间服务互备；b）系统关键设备、重要线路应采用冗余的保护方式，提供灾难备份和恢复的能力。6. 6.4数据备份具体要求如下：a）应根据风险评估的结果，确定需要备份的数据和文件，一般情况下需考虑系统配置文件、解析日志、区文件等，备份时间至少为3个月；b）应建立备份拷贝的准确完整的记录和文件化的恢复程序；c）宜定期测试备份介质，以确保当需要应急使用时可以依靠这些备份介质；d）恢复程序应定期检查和测试，以确保他们有效，并能在操作程序恢复所分配的时间内 完成。6. 6. 5网络

9、安全管理具体要求如下：a）应建立远程设备管理的职责和程序；b）主域名服务系统、辅域名服务系统以及备份服务系统的部署应处于不同自治域，避 免 单一网络失效引起的解析中断；c）宜建立专门的控制，以保护在公网上传递数据的保密性和完整性，并且保护已连接 的 系统及应用；d）必要情况下，应按照相关标准要求，阻断或重定向用户对恶意域名的访问。6. 6. 6 审计和分析具体要求如下：a）应产生记录用户活动、异常和信息安全事态的审计日志，并要保存至少3个月以支 持将来的调查和访问控制监视；b）应采取措施保证主域名服务系统、辅域名服务系统、备份域名服务系统内设备之间 的时间同步，实现日志时间的精确同步；10c）

10、审计的内容至少包括：授权访问、特殊权限操作、未授权的访问尝试、系统警报或 故 障；d）记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。6.7 访问控制管理要求6. 7.1域名解析服务对外公开服务的访问控制域名解析服务对外开放服务建议只开放UDP和TCP53端口，如果开展了 DoH和DoT 服务，还应提供DoH协议853端口和DoT协议443端口。7. 7.2访问控制策略和用户访问管理具体要求如下：a）应在访问控制策略中清晰地规定每个用户或每组用户的访问控制规则和权利；b）应限制和控制特殊权限的分配及使用，防范未授权访问的多用户系统应通过正式的 授 权过程使特殊权限的分配受到控制；

11、c）应定期检查权限的分配，确保用户访问权限的正确分配。8. 7. 3网络访问控制具体要求如下：a）应能为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级；b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级; c）应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制 策略。9. 7.4操作系统访问控制具体要求如下：a）登录到操作系统的程序应设计成使未授权访问的机会减到最小；b）所有域名解析服务的管理员和第三方人员（包括技术支持人员、操作员、网络管理 员、系统程序员和数据库管理员等）应有唯一的、专供其个人使用的标识符（用户 ID）,应选择一种

12、适当的鉴别技术（口令、令牌或智能卡）证实用户所宣称的身份， 静 态口令应满足一定的长度要求和复杂性要求并且定期更换；c）在一个设定的休止期后，超时登录应清空会话屏幕，也可以设置关闭应用和网络会话; d）对多次不成功的登录，应进行限制，以避免未经授权的访问。10. 7. 5信息和敏感系统访问控制具体要求如下：a）应对设备重要信息资源设置敏感标记；b）依据安全策略严格控制用户对有敏感标记重要信息资源的操作；c）应实现操作系统和数据库系统特权用户的权限分离。6.8 连续性管理要求6. 8.1连续性管理的制定11具体要求如下：a）应防止域名解析服务的服务失效，保护域名解析服务免受重大失误或者灾难的影响

13、, 并且在遇到灾难的情况下及时恢复解析服务；b）应为域名解析服务制定一个解析服务连续性管理的过程，识别可能引起解析服务中 断 的事态以及这种事态发生的概率；c）应为域名解析服务制定一个解析服务连续性计划，来保持域名解析服务的可用性， 在 解析服务中断的情况下能够在要求的时间内恢复系统的服务。6. 8. 2制定连续性计划考虑的方面具体要求如下：a）冗余方面：设备处理能力、关键设备及其重要部件、网络接入、系统的广域分布；b）数据及业务备份方面：关键数据和重要信息的备份和备份频率、业务状态的保护和 恢 复、业务系统的完整备份；c）应急处置预案方面：应制定应急处置预案，并定期对应急预案进行及时修订、修

14、订期 不低于1年；每年应进行不低于1次的应急预案演练。6.9 信息安全事件管理要求为了应对网络安全事故，对有可能出现的信息安全事件，及时采取措施，应建立如下制 度：a）建立信息安全领导小组，确定安全领导小组负责人和信息安全管理责任人；b）配备与经营规模相适应的计算机信息网络安全专业技术人员，并定期参加信息网络安 全专业技术人员继续教育培训；c）保持与主管机关联系渠道畅通，自觉接受主管机关的业务监督检查；d）制定信息安全事故应急处置措施和紧急处理预案。6.10 国家关键基础设施DNS部署要求国家关键基础设施DNS部署时应满足以下要求：a）实时性、健壮性、安全性是国家关键基础设施DNS的基本要求。

15、DNS名字服务可划分 为2个角色：权威服务和递归服务。权威服务器保存DNS区文件数据信息，递归服 务器接收DNS客户端查询并将响应在返回客户端的同时保存在本地缓存中；b）权威服务：应符合本文件5.1节的要求。必须保证在网络异常情况下仍能提供服务， 如果所有服务器位于同一子网，当遭受拒绝服务攻击或网络中断时将被迫下线，无 法提供DNS服务。基于服务对象处于内网还是外网，必须分割部署为内部、外部权威 服务器。内部权威服务器存储内部区文件，处于内部网络（防火墙内），只响应内部 主机请求；外部权威服务器处于隔离区或服务网络，响应外部互联网用户查询。此外，网 络管理者还应该使用隐藏主服务器，后者不存在于

16、区数据中，并且无法被外部互联网 查询，唯一功能是存储区文件，并与辅服务器进行区文件信息传送；c）递归服务：应符合本文件5.2节的要求。递归服务器处于内部网络，仅接收内部主机 的 查询请求。对于大型组织将需要多于2个的递归服务器；d）应符合本文件6.1节-6.9节的安全管理要求。7政府重要网站公共域名解析服务安全管理要求 7.1解析系统要求12政府重要网站公共域名解析系统应满足以下要求：a）政府重要网站域名解析系统应提供至少2个基于IPv4的NS服务地址。不同的NS服务器 应处于不同的网段（以C类地址为最小单位）之内；b）政府重要网站域名解析系统应配置基于IPv6的NS服务地址，支持基于IPv6

17、协议的网络 访问；c）政府重要网站域名解析系统应采用专用的服务器和网络。应在物理和网络上将承担 政 府重要网站域名解析的服务器和承担非政府类网站域名解析的服务器隔离开，避 免由 于非政府类域名解析被攻击导致的政府域名解析服务中断；d）政府重要网站域名解析系统应具备多视图配置功能，可以分区域、分线路提供智能解 析服务；e）政府重要网站域名解析系统应支持DNS安全扩展协议DNSSEC；0 政府重要网站域名解析系统应与其他服务进行安全隔离，做到专机专用，禁止开启递 归解析服务。7. 2网络架构要求政府重要网站公共域名网络架构应满足以下要求：a）政府重要网站域名解析系统应具备合理的网络架构为域名解析提

18、供安全稳定的保 障。解析系统应采用边界网关协议（Border Gateway Protocol, BGP）方式接入互 联网，应具备独自的自治系统（Autonomous System, AS）号。如果是多点结构, 应保证至少一点采用BGP方式接入互联网；b）政府重要网站域名解析系统应具有异地冗余备份机制，应保证至少有3个异地服务 节点，避免节点失效导致的服务中断；c）政府重要网站域名解析系统单个解析节点应多于3台服务器，避免服务器失效导致 的服务中断。13前 言II1范围12规范性引用文件13术语、定义和缩略语17.9 术语和定义17.10 缩略语34概述34.1 域名系统架构和基本要求34.2

19、 域名解析服务安全要求45公共域名服务系统安全技术要求45.1 权威域名服务系统技术要求45.2 递归域名服务系统技术要求65.3 授权安全要求75.4 DNS数据备份要求76域名解析服务安全管理要求86.1 资产管理要求86.2 人员管理要求86.3 运行管理要求86.4 物理和环境管理要求96.5 设备管理要求96.6 操作管理要求96.7 访问控制管理要求116.8 连续性管理要求116.9 信息安全事件管理要求126.10 国家关键基础设施DNS部署要求127政府重要网站公共域名解析服务安全管理要求127.1 解析系统要求127.2 网络架构要求13信息安全技术公共域名服务系统安全要求

20、1范围本文件规定了公共域名服务系统的基本要求、技术要求以及管理要求等内容，定义了域 名 系统（DNS）的基本概念、组成和架构，提出了国家关键基础设施DNS总体技术要求，并 给出 了域名系统安全部署指南。本文件适用于公共域名服务系统单位对顶级域名服务系统、其他各级域名服务系统及递 归 域名服务系统的开发和管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期 的 引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括 所有的 修改单）适用于本文件。YD/T 2137-2010YD/T 2138-2010 YD/T 2142-20

21、10 YD/T 2143-2010 YD/T 2438-2012 IETF RFC 1034 IETF RFC 1035 IETF RFC 4033 IETF RFC 4034 IETF RFC 4035IETF RFC 7858 IETF RFC 8310 IETF RFC 8484域名系统递归服务器运行技术要求域名系统权威服务器运行技术要求基于国际多语种域名体系的中文域名总体技术要求基于国际多语种域名体系的中文域名的编码处理技术要求基于国际多语种域名体系的中文域名注册字表要求域名系统-概念和基础设施域名系统的实现与详述DNSSEC介绍与需求资源记录支持DNSSEC扩展支持DNSSEC的协议

22、修改基于TLS的DNS传输基于TLS的DNS和基于DTLS的DNS的使用情况基于HTTPS的DNS传输3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。3. 1. 1名字空间Name Space域名系统的名字空间是一个树状结构，每个节点对应于相应的资源集合（这个资源集合 可能为空），域名系统不区别树内节点和叶子节点，统称为节点（Node）。每个节点有一 个标记（Label）,这个标记的长度不超过63字节。父节点不同的节点可以使用相同的标记。只有根节点（Root）的标记长度为0 （空标记）。3. 1.2域名 Domain Name名字空间中，从当前节点到根节点的路径上所有节点标记的

23、点分顺序连接的字符串。3. 1.3域 Domain指名字空间中的一个子集，也就是树形结构名字空间中的一棵子树。这个子树根节点的 域 名就是该域的名字。3. 1.4顶级域 Top Level Domain指域名系统名字空间中根节点下最顶层的域。3. 1.5资源记录 Resource Record指在域名系统中用于存储与域名相关的属性信息，简称RR。注：每个域名对应的记录可能为空或者多条。域名的资源记录由名字（NAME）、类型（TYPE）、种 类（CLASS）、生存时间（TTL）、记录数据长度（RDLENGTH） 记录数据（RDATA）等字段组成。3. 1.6域名系统 Domain Name Sy

24、stem一种将域名映射为某些预定义类型资源记录（Resource Record）的分布式互联网服务系 统，网络中域名服务系统间通过相互协作，实现将域名最终解析到相应的资源记录。3. 1.7域名服务系统 Domain Name Service System指提供域名解析服务的系统，由权威域名服务系统、递归域名服务系统组成。3. 1.8权威域名服务系统 Authoritative Domain Name Service System指对于某个或者多个区具有可信数据功能的服务系统，权威域名服务系统保存着其所拥有 区的原始域名资源记录信息。3. 1.9递归域名服务系统 Recursive Domain

25、 Name Service System指负责接收用户（解析器）的解析请求，并通过查询本地缓存或者执行从根域名服务系 统 到被查询域名所属权威服务系统的递归查询过程，获得解析结果并返回给用户的域名服务系统。3. 1. 10区文件Zone File某个区内的域名和资源记录及相关的权威起始信息（Start of Authority, SOA）按照一 定的格式进行组合，从而构成存储这些信息的文件。其中，权威起始信息包含了区的管理员电子邮件地址(Mail Address) 序列号(Serial) 更新周期(Refresh) 重试周期(Retry) 和过期时间(Expire)等信息。3. 1. 11任播

26、 Anycast指一种通信方式，它在IP网络上通过一个专门地址标识一组提供特定服务的主机，同时 服 务访问方并不关心提供服务的具体是哪一台主机(比如DNS或者镜像服务)，访问该地址 的报 文可以被IP网络路由到这一组目标中的任何一台主机上，它提供的是一种无状态的、尽 力而为的 服务。3. 1. 12主域名服务系统 Master Domain Name Service System指被配置成区数据发布源的权威域名服务系统。3. 1. 13辅域名服务系统 Slave Domain Name Service System指通过区传送协议来获取区数据的权威域名服务系统。3. 1. 14解析器Resol

27、ver指向名字服务系统发送域名解析请求，并且从名字服务系统返回的响应消息中提取所需 信 息的程序。解析器软件通常集成到操作系统内核或者应用软件中。3.2缩略语下列缩略语适用于本文件。DNS ：域名系统(Domain Name System)IP：网 际协议 (Internet Protocol)SOA：起始授权(Start of Authority)TCP ：传输控制协议(Transmission Control Protocol) TTL：生存时间(Time to Live)UDP：用户数据报协议(User Datagram Protocol)RFC ：请求注解(Request For Co

28、mments)4概述4.1 域名系统架构和基本要求域名解析服务是一种互联网应用层资源的寻址服务，是其他互联网络应用服务的基础。 常 见的互联网络应用服务有web服务，电子邮件服务，即服务等，它们都是以域名服务为基础, 来实现系统内部资源的寻址和定位的。域名服务系统是以树型拓扑结构来定义的，由不同类别的域名服务系统服务机构负责不同 级域名的解析服务。其对应关系如下图1所示：，MH卅礼仪琳,A ,人 -Y整个域名服务系统从职能上看，包括两大类系统，即权威域名服务系统(Authoritative DNS)和递归域名解析服务(Recursive DNS)。权威域名系统服务是指拥有某个区的域名 信息，并

29、为该区提供域名解析的服务。权威域名系统通常面向的不是终端用户。图1中，cn 和的域名服务系统就属于权威域名系统。递归域名系统则相反，它不针对某个区提供域名 解析服务，而是直接面向终端用户，为终端用户提供递归的域名服务系统。关于中文域名的注册、管理、DNS存储，应按照YD/T 2438-2012、YD/T 2142-2010和YD/T 2143-2010标准中的相关规定。针对上述域名服务系统的组成结构，本文件涵盖权威域名服务系统、权威域名服务器、递归域名服务系统以及递归域名服务器等方面的安全要求。4.2 域名解析服务安全要求域名解析服务安全要求包括技术要求和管理要求，具体包括以下内容：a)公共域

30、名解析服务的技术要求，主要包括权威服务系统、递归域名服务系统、域名 授 权和DNS数据备份等的技术要求；b)公共域名解析服务的管理要求，主要包括资产管理、人员管理、运行管理、物理和 环 境安全、设备安全、通信和操作安全、访问控制、连续性管理以及信息安全事件 等具体 管理要求。5公共域名服务系统安全技术要求5.1 权威域名服务系统技术要求5.1.1 协议要求作为权威域名系统的权威服务器，应能够正常处理来自互联网络的任何客户端的域名查 询 请求，与该区的可信任辅服务器之间实现安全的区数据传送，支持DNS安全协议。其实现 应符 合IETFRFC1034、RFC 1035 RFC4033、RFC403

31、4和RFC4035的基本要求。5.1.2 拓扑规划要求针对某个权威域，提供权威域解析的服务器数量应保证多台备份，提供权威域解析的服务 器应部署在多个不同的自治域网络中，并且建议在地理上进行合理分配分布，达到抗自然灾害等 灾备目的。为保证性能要求，针对某个域提供权威域解析的服务器数量应不少于2台，建议独立的名字服务器数量不少于5台。提供权威域解析的服务器应至少部署于2个不同的网络中，并且建 议在地理上进行分布。5.1.3 性能要求权威域名服务系统应保证业务处理能力，预留应对突发流量的处理能力。一般来说，公 开的解析服务可用性需要达到99.999%。具体实施过程中，应利用多点冗余的部署实施方法，满

32、足 服务系统的高可用性要求。权威域名解析系统应保证具备负载最重节点请求峰值的3倍请求量的 处理能力，以应对可能针对域名系统的突发访问或服务攻击。域名解析系统的最低响应时间应 在500毫秒之内。5.1.4 权威域名服务器安全要求为提供稳定可靠的服务，权威域名服务系统需要保证DNS服务的的数据安全和解析安 全。a）数据安全有如下要求：1）权威服务器不应提供递归服务；2）权威服务器应只提供TCP协议和UDP协议53端口的标准DNS解析服务；3）在权威域名服务器其它TCP/UDP端口上提供的服务应该限制在该服务系统内部的 服务器之间进行；4）应该禁止除管理员之外的其他人或其他服务器从域名解析服务器上下

33、载区文件；5）权威服务器自身不应提供除了域名服务之外的其他服务，比如HTTP、Telnet、Rlogin、FTP 迂检 寸寸；6）服务器必须通过一种安全机制来进行远程管理和维护；7）服务器所在的局域网内不能放置容易被攻破的主机；8）服务器所在的局域网应该有包过滤机制，以阻断来自域名服务端口以外的端口访 问;9）应采用隐藏的主服务器作为一个权威域名服务系统的数据源；10）域名数据的更新应该在一些必要的更新错误检测之后进行。一旦更新失败，需要人 为 干预。当发生严重的网络故障时，每个权威服务器都应该有替换办法（备份网络通道 或者非网络途径）来更新域名数据；11）权威服务器应该维护和记录全局的统计数

34、据（包括用户查询日志等），以便于进行 数据分析，发现安全隐患。b）解析安全有如下要求：1）语法检查在权威服务器提供域名解析服务前，应采取措施对每一次生成的域名数据进行语法 检查和数据匹配检查U 语法检查，检查区文件格式是否符合域名解析软件的格式要求。语法检查应在区文件生 成之 后，区数据的传送开始之前完成； 匹配检查，全量/随机检查区文件与数据库注册数据信息的一致性。匹配检查的时间应 保证在域名注册生效时间周期内完成。2）域名解析软件安全域名解析软件应经过安全检验，避免业已发现的漏洞造成域名劫持或域名篡改等安 全事件。3）反向解析为确保解析服务的安全性，域名注册管理机构、域名注册服务机构以及网

35、络互联单 位的域名解析服务器，在内部管理政策允许的情况下，应提供in-addr.arpa反向域名 解析服务。4）时间同步域名权威辅服务器与主服务器应保持时间上的同步，建议采用网络时间协议（NTP） 协 议或其他技术手段实现时间同步。5.2递归域名服务系统技术要求5. 2.1协议要求作为递归域名系统的递归服务器，应具备递归服务器的基本功能，即能够安全的实现查询、 缓存等功能。其实现应符合包括RFC1034、RFC 1035 RFC4033、RFC4034和RFC4035在内 的IETF相关RFC标准的基本要求，符合必备的接口和安全协议。6. 2.2拓扑规划要求针对某个自治域内，提供递归域解析的服

36、务器数量应保证多台备份。同一自治域内的不 同递 归服务器在部署上应该进行相应分布，同一用户访问两台服务器的路径上不存在单一故 障点。服 务器数量在指定服务域内，提供递归解析的服务器数量应不低于两台。7. 2.3性能要求性能要求如下：a）递归域名服务系统应保证业务处理能力，预留应对突发流量的处理能力，域名解析系 统的服务要尽最大可能做到不发生中断，服务可用性需要达至U99.99%；b）具体实施过程中，应利用多服务器冗余的部署实施方法，满足服务系统的高可用性 要求;c）递归域名解析系统应保证具备服务域内历史请求量峰值3倍的处理能力，以应对可 能针对域名系统的突发访问或服务攻击；d）服务器的最低响应

37、时间在1500ms之内。5. 2.4递归域名服务器与客户端连接要求递归服务器与客户端之间可选择建立加密可靠的连接传输数据。递归域名服务器可以通 过基于安全传输层协议（TLS）或者基于超文本传输安全协议（HTTPS）的DNS与客户端进 行连接。如果选择基于安全传输层协议（TLS）的DNS,具体要求参见RFC7858与RFC8310；如果选择基于超文本传输安全协议（HTTPS）的DNS,具体要求参见RFC8484。5. 2.5递归域名服务器安全要求a）数据安全有如下要求：1）递归服务器通常应该只提供TCP协议、UDP协议53端口的标准DNS解析服务。 如果开展了 DoH和DoT服务，还应提供DoH

38、协议853端口和DoT协议443端口；2）对于递归服务器向外的TCP协议和UDP协议53端口访问不应进行限制；3）递归服务器自身不应同时兼备权威服务器功能，同时不提供除了域名服务之外的其 他 服务，比如 HTTP、Telnet Rlogin、FTP 等等；4）递归服务器必须通过一种安全机制来进行远程管理和维护；5）递归服务器所在的局域网段不能放置容易被攻破的主机；6）递归服务器所在的局域网段应该拥有包过滤机制，以阻断来自域名服务端口以外的 端 口访问；7）应当具备对递归服务器缓存数据进行清空的技术手段；8）递归服务器应该维护和记录全局的统计数据（包括用户查询日志等），以便于进行数 据分析审计，

39、发现安全隐患。b）解析安全有如下要求：1）域名解析软件安全域名解析软件应经过安全检验，避免业已发现的漏洞造成域名劫持或域名更改等安 全 事件。2）根服务器指向为确保递归解析的正确运行，递归服务器要配置正确的根服务器指向。3）时间同步域名解析辅服务器与主服务器应保持时间上的同步，建议采用NTP协议或其他技术手 段实现时间同步。5.2.6 中文域名支持要求递归服务器应配置对中文域名（CDN/IDN）的支持，比如,中国，.中帙）, 网络，,公司，. 条院洛，.公益，.政务等。递归服务器的配置应确保通过其进行查询的用户能够正确解析相应的域名。5.3 授权安全要求授权安全有如下要求：a）作为授权而使用的

40、NS记录必须保持一致，即在下级DNS区中的域名NS记录在服 务器数量、名字上均应与在上级域权威服务器中相应域名的NS记录保持完全一致；b） NS记录应该符合IETFRFC1035的规定，其所指向的服务器为合法的主机名；c）权威服务器的IP地址应该使用合法的互联网地址，并确保以任何互联网地址可以 访问服务器的UDP和TCP的53端口；d）同一 DNS区的所有权威服务器在响应对NS记录的请求时，应该返回相同的结果； e）同一 DNS区的权威服务器的数量至少应为2台，以确保解析服务的可靠性；f）权威服务器的最大数量应该保证在响应对所服务区的NS记录的查询时，包含NS 记录和粘连记录（A记录和AAAA记录）的响应包的大小限制在512字节以内， 即在不使用AAAA记录时，权威服务器的数量上限不应该超过13；在每个服务器 都使用AAAA记录时，权威服务器的数量上限不应该超过8o5.4 DNS数据备份要求5. 4.1日志存放形式域名解析日志可采用冷备份和热备份的方式。冷备份是指将日志按日期存放在至少两种以上介质上，包括硬盘、磁带、光盘等。热备 份 是指将日志存放在正在运行中的服务器存储设备上。日志存放时间