关于加强互联网域名系统安全防护与维护工作的
通知
关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知
各省、自治区、直辖市公司:
域名系统(DNS)作为互联网基础设施,在互联网服务中占据着越来越重要的地位,保障域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。从对近期互联网领域发生的DDOS攻击(分布式拒绝服务攻击)、缓存投毒、权威域名篡改等导致互联网断网或者重要应用无法访问等安全事件发生的原因
分析,及对各省公司调研的基本情况来看,全网域名系统面临的主要安全风险如下:
1、安徽、北京、甘肃、广东、广西、海南、河北、河南、黑龙江、湖北、吉林、江西、辽宁、内蒙、宁夏、青海、山东、陕西、四川、天津、西藏、云南、重庆等23个省公司域名系统架构不合理,存在授权服务器和缓存服务器合设的情况,在遭受DDoS攻击时可能导致授权服务器和缓存服务器同时瘫痪;
2、安徽、甘肃、广东、海南、河北、湖北、辽宁、宁夏、青海、西藏、云南等11个省公司域名系统日常监控能力不足,北京、福建、甘肃、河南、黑龙江、吉林、江西、内蒙古、宁夏、山西、陕西、西藏、新疆、云南、浙江等15个省公司日常维护作业计划执行不到位,存在无法及时发现系统故障和安全事件的风险;
3、安徽、北京、福建、甘肃、广东、广西、河北、河南、湖北、江苏、江西、辽宁、内蒙、宁夏、青海、山东、山西、陕
西、天津、新疆、云南、浙江、重庆等23个省公司域名系统日志记录内容不完整或日志保存时间过短,存在安全事件发生后无法追查的风险;
4、黑龙江、江西等2个省公司没有针对DDoS攻击、权威解析篡改、缓存投毒等高危安全风险制定有针对性的应急
预案
社区应急预案下载社区应急预案下载社区应急预案下载应急救援预案下载应急救援预案下载
,甘肃、黑龙江、江西、新疆等4个省公司没有开展过应急演练,难以快速有效的进行应急处臵;
5、安徽、北京、福建、甘肃、广东、广西、贵州、河北、河南、黑龙江、湖北、湖南、吉林、江西、辽宁、内蒙、青海、山西、陕西、四川、天津、西藏、新疆、云南、重庆等25个省公司域名系统缺乏必要的安全配臵和专用流量清洗设备,难以应对日益频繁的网络攻击。
为优化域名系统结构,提升域名系统性能,消除当前域名系统维护管理工作中的薄弱环节和安全隐患,保障域名系统平稳运行,总部决定开展互联网域名系统安全提升专项工作,具体要求如下:
一、合理调整域名系统架构,优化系统性能,提升系统健壮性和服务能力
(一)系统架构
1、域名系统最少由四台DNS服务器组成,其中两(多)台为授权服务器,负责提供省网范围内权威域名的解析服务;两(多)台为缓存服务器,负责为省内用户提供域名递归解析服务。建议授权服务器和缓存服务器划分到不同vlan。
2、各缓存服务器之间要采用负载均衡策略,或在其之前部
署负载均衡设备。这样单台设备出现异常时,其他设备可自动承担其业务。
3、设备接入网络时要考虑网络接入冗余性,避免由于网络设备单点阻断导致的主备用DNS设备同时脱网。
(二)系统性能
1、正常情况下,各DNS节点中的每台DNS服务器CPU利用率峰值应在50%以下,整个节点DNS平均解析时延应在180ms以内,解析成功率(每秒回复用户的响应包数/每秒用户发送的查询包数)应在90%以上,四层交换机CPU负荷不超过50%。
2、如采用四层交换机进行负载均衡,要对性能较低、型号较老、负荷较高的四层交换机进行更新改造,确保满足CPU负荷要求并具备一定的冗余能力。
3、在扩容或新建DNS节点时,要至少按现网高峰流量的两倍进行性能规划。
二、完善维护
制度
关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载
与流程,切实做好日常维护工作
(一)提高DNS重点安全事件监控能力
DNS设备要接入数据网管系统,并至少提供以下监控指标:
1、设备运行指标:服务器的CPU、内存、主要进程、磁盘空间等,并提供5分钟粒度的实时指标曲线呈现和告警呈现。
2、业务相关指标:DNS业务解析成功率、并发请求数QPS 和解析时延,并提供5分钟粒度的实时指标曲线呈现和告警呈现。
3、至少保存三个月的上述监控记录数据。
(二)落实日常维护作业计划
1、根据集团网络部有关入网要求,保持全网DNS软件版本
的统一。
2、每季度对域名解析软件及配臵、域名解析日志、域名系统监控数据等关键数据和重要信息进行一次备份。
3、每半年安装安全补丁程序,并进行全面安全扫描,对安全设臵不当或安全漏洞及时进行修补。
4、每周使用文件完整性检测工具对授权服务器的数据文件进行完整性检查,防止恶意修改授权数据。
5、针对域名系统可能发生的DDoS攻击、权威解析篡改、缓存投毒等安全事件,编写落实到具体设备、具体指令、具体人员的应急预案,并明确预案触发条件、联系方式、知晓范围等内容。组织应急演练,完善安全事件的联动处理流程。
6、每月对系统日志和操作日志进行安全审计。
三、落实安全功能和配臵要求,完善安全防护手段,提高抗攻击能力
(一)安全功能
1、设备要支持完备的日志管理功能。支持syslog功能,支持日志的本地保存和远程保存。本地日志要保存在非易失性的介质上,系统重启或宕机时日志数据不会消失。设备输出的日志要包括系统日志、解析日志和操作日志三部分。系统日志要包括系统硬件、软件运行状态。解析日志信息中要至少包括用户源地址、请求域名、请求接受时间和处理时延、域名解析结果IP、解析结果代码等。操作日志要记录对DNS的所有操作情况(至少记录到文件级别)。要求三类日志应存储至少三个月。
2、DNS软件要具备支持标准DNSSEC
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
的功能,具备根据
未来总部要求快速启用的能力。
(二)安全配臵
1、根据系统的整体安全策略和安全目标,在系统边界规划、设臵正确的安全过滤规则,如对互联网仅开放TCP和UDP协议53端口的标准DNS解析服务、过滤所有私网地址的解析请求、缓存服务器配臵为只允许来自中国移动网内的IP地址进行查询、限制远程管理服务器的IP地址并使用SSH保密协议进行传输加密等。
2、关闭不必要的服务,如finger、echo、TCP UDP Small、chargen等;对FTP、TFTP、HTTP、CDP等服务应视实际应用情况进行开放,开放的服务要采用ACL拦截非法的访问,同时ACL 中的合法列表范围应尽量精确。
3、SNMP Community值采用强口令,不要采用“public”、“private”等弱口令;采用ACL拦截不属于网管系统的主机通过SNMP非法访问网元设备,同时ACL中的合法列表范围应尽量精确。
4、对于远程登录的终端,网元设备要设臵无操作超时自动退出的机制,禁止用户无操作一直在线。
5、授权服务器关闭递归查询功能,缓存服务器分开设臵对外的服务IP和递归查询IP。
6、DNS服务器、网管终端及DNS软件可参考《中国移动操作系统安全功能和配臵
规范
编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载
》、《中国移动BIND域名解析软件安全配臵规范》进行安全加固。
(三)安全防护手段