GB/T 33134-2023 英文版 信息安全技術　公共域名服務系統(tǒng)安全要求

GB/T 33134-2023 英文版

?

前言
本文件按照GB/T 1.1-202《標準化工作導則 第1部分:標準化文件的結構和起草規(guī)則》的規(guī)定起草。
本文件代替GB/T33134-2016《信息安全技術公共域名服務系統(tǒng)安全要求》,與GB/T 33134-2016相比,除結構調整和編輯性改動外,主要技術變化如下:
a)增加了術語“名字空間”和“公共域名服務系統(tǒng)”(見3.1、3.11);
b)刪除了圖1的說明內容(見第5章,2016年版的4.1);
增加了關于重要DNS基礎設施部署及政府重要網站公共域名服務系統(tǒng)安全要求(見第5
c)章,2016年版的4.2);
d)更改了協(xié)議要求(見6.1.1,6.2,1,2016年版的5.1,1,5.2.1);
e)增加了權威服務器的系統(tǒng)安全要求和解析安全要求(見6.1.3);
f增加了遞歸服務器與客戶端連接安全要求(見6.2.3);
g增加了遞歸服務器的系統(tǒng)安全要求和解析安全要求(見6.2.4);
h)更改了對外服務的訪問控制的規(guī)定(見7.7.1,2016年版的6.7.1);
增加了重要DNS基礎設施部署安全要求(見附錄中A.1);i)增加了政府重要網站公共域名服務系統(tǒng)安全要求(見附錄A中A.2)。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。

1范圍
本文件規(guī)定了公共域名服務系統(tǒng)的安全技術要求和安全管理要求。
本文件適用于各級公共域名服務系統(tǒng)的運營和管理。
2規(guī)范性引用文件
下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
YD/T 2052-2015域名系統(tǒng)安全防護要求
YD/T 2137域名系統(tǒng)遞歸服務器運行技術要求
YD/T 2138域名系統(tǒng)權威服務器運行技術要求
YD/T 2142基于國際多語種域名體系的中文域名總體技術要求
YD/T 2143基于國際多語種域名體系的中文域名的編碼處理技術要求
YD/T 2438基于國際多語種域名體系的中文域名注冊字表要求
IETFRFC 1034域名概念和基礎設施
IETFRFC 1035域名實現與詳述
IETFRFC 4033DNSSEC個紹與需求
IETFRFC 4034資源記錄支持DNSSEC
IETFRFC 4035支持DNSSEC的協(xié)議修改
IETFRFC8310基于TLS的DNS和基于DTLS的DNS的使用情況
IETFRFC8484基于HTTPS的DNS查詢
3術語和定義
下列術語和定義適用于本文件，
4縮略語
下列縮略語適用于本文件。
AS:自治系統(tǒng)(Autonomous System)

5概述
域名服務系統(tǒng)是以樹形拓撲結構來定義的,由不同類別的域名服務系統(tǒng)服務機構負責不同級域名的解析服務,其對應關系見圖1。
6公共域名服務系統(tǒng)安全技術要求
61權威域名服務系統(tǒng)技術要求
6.1.1協(xié)議要求
權威域名服務系統(tǒng)的權威域名服務器(簡稱“權威服務器”)的實現應符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的規(guī)定。
6.1.2拓撲規(guī)劃要求
針對某個權威域,提供權威域解析的服務器數量應保證多臺備份,提供權威域解析的服務器應部署在多個不同的自治域網絡中,且宜在地理上進行合理分布,達到抗自然災害等災備目的。具體部署數量和分配要求應符合YD/T 2138的規(guī)定。
6.1.3權威服務器安全要求
6.1.3.1系統(tǒng)安全要求
6.2遞歸域名服務系統(tǒng)技術要求
6.2.1協(xié)議要求
遞歸域名服務系統(tǒng)的遞歸域名服務器(簡稱“遞歸服務器”)應具備安全的查詢、緩存等基本功能,應符合IETFRFC1034、IETFRFC1035、IETFRFC4033、IETFRFC4034和IETFRFC4035的規(guī)定。
6.2.2拓撲規(guī)劃要求
針對某個自治域內提供遞歸域解析的服務器數量應保證多臺備份。同一自治域內的不同遞歸服務器在部署上應進行相應分布,同一用戶訪問兩臺服務器的路徑上不存在單一故障點。具體部署數量和分配要求應符合YD/T 2137的規(guī)定。
6.2.3遞歸服務器與客戶端連接要求
遞歸服務器與客戶端之間可選擇建立加密可靠的連接傳輸數據。遞歸服務器可通過基于TLS或者HTTPS的DNS與客戶端進行連接:
a)如果選擇基于TLS的DNS,應符合IETFRFC7858和IETFRFC8310的規(guī)定;如果選擇基于HTTPS的DNS,應符合IETFRFC8484的規(guī)定。6)
6.2.4遞歸服務器安全要求
6.2.4.1系統(tǒng)安全要求
系統(tǒng)安全應滿足YD/T 2052-2015中三級及議上域名系統(tǒng)安全等級保護要求。系統(tǒng)安全要求如下
7公共域名服務系統(tǒng)安全管理要求
7.1資產管理要求
7.1.1資產清單
應清晰地識別公共域名服務所涉及的資產,編制并維護公共域名服務系統(tǒng)的核心資產清單。清單中應包括所有為從災難中恢復而需要的資產,與公共域名服務系統(tǒng)相關的資產可能包括:信息資產、軟件資產、物理資產、服務、人員、無形資產等。
7.1.2資產責任人
與公共域名服務系統(tǒng)有關的所有信息和資產均應指定部門和人員承擔責任,資產責任人應，a)確保與公共域名服務系統(tǒng)相關的信息和資產進行了恰當合理的分類:b)確定并周期性審查訪問限制和分類。
7.1.3資產的合規(guī)使用
與公共域名服務系統(tǒng)相關的信息和資產使用規(guī)則應確認并形成文檔加以實施。
7.7訪問控制管理要求
7.7.1對外公開服務的訪問控制
公共域名服務系統(tǒng)對外開放服務宜只開放UDP和TCP53端口,如果支持DH和DOT服務,還應提供DoH協(xié)議443端口和DOT協(xié)議853端口。
7.7.2訪問控制策略和用戶訪問管理
訪問控制策略和用戶訪問管理要求如下:
a在訪問控制策略中清晰地規(guī)定每個用戶或每組用戶的訪問控制規(guī)則和權利;6限制和控制特殊權限的分配及使用,防范未授權訪問的多用戶系統(tǒng)應通過正式的授權過程使特殊權限的分配受到控制:;
定期檢查權限的分配,確保用戶訪問權限的正確分配，

附錄A(規(guī)范性)重要DNS基礎設施和政府重要網站公共域名服務系統(tǒng)安全要求