5.2 權威域名系統安全指

5.2 權威域名系統安全指

5.2.1　權威域名服務器安全指南

宜對權威域名服務器進行安全檢測，并對服務器操作系統進行安全加固。宜保證權威域名服務器：
a) 符合GB/T AAAAA-BBBB 5.1的要求；
b) 操作系統遵循最小安裝的原則，僅安裝需要的組件和應用程序；
c) 操作系統已通過安全方式安裝最新的操作系統補丁；
d) 已安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；
e) 不提供其他服務，僅配置用來響應遞歸域名服務器DNS流量；
f) 配置拒絕遞歸服務，降低遭受DOS攻擊的風險；
g) 配置時間服務器，通過NTP進行時間同步；
h) 僅提供具有權威信息的區域名解析；

5.2.2　權威域名系統的軟件安全指南

保護權威域名系統的軟件安全包含如下：
a) 運行最新版本的權威域名系統軟件
對配置參數進行必要的變更，關注并定期檢測版本的安全性，避免業已發現的漏洞造成域名劫持或域名更改等安全事件。
配置拒絕版本應答功能，以防止泄露權威域名系統軟件版本信息。
b) 安裝補丁
關注軟件運行版本的漏洞和補丁，并及時進行補丁安裝和安全修復。
c) 限制其他應用程序
保證權威域名系統的軟件運行的平臺中不包含除了必要的操作系統和網絡支持軟件以外的程序。
d) 控制安裝軟件的主機設置