5.3 遞歸域名系統安全指南

5.3 遞歸域名系統安全指南

5.3.1　遞歸域名服務器安全指南

宜對遞歸域名服務器進行安全檢測，并對服務器操作系統進行安全加固。宜保證遞歸域名服務器：
a) 符合GB/T AAAAA-BBBB 5.2的要求；
b) 操作系統遵循最小安裝的原則，僅安裝需要的組件和應用程序；
c) 操作系統已通過安全方式安裝最新的操作系統補丁；
d) 已安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；
e) 不提供其他服務，僅配置用來響應DNS流量；
f) 配置時間服務器，通過網絡時間協議進行時間同步；
g) 僅為客戶端提供域名查詢解析服務；
h) 增強對大數據包（超過512字節）的支持；

5.3.2　遞歸域名系統的軟件安全指南

保護遞歸域名系統的軟件安全包含如下：
a) 運行最新版本的遞歸域名系統軟件
對配置參數進行必要的變更，關注并定期檢測版本的安全性，避免業已發現的漏洞造成域名劫持或域名更改等安全事件。
配置拒絕版本應答功能，以防止泄漏遞歸域名系統軟件版本信息。
b) 安裝補丁
關注軟件運行版本的漏洞和補丁，并及時進行補丁安裝和安全修復。
c) 以受限權限運行遞歸域名服務器軟件
以非特權用戶的身份運行遞歸域名系統的解析軟件，限制對目錄的訪問，防止因文件損壞帶來破壞性結果。
d) 在運行環境中限制其他應用程序
保證遞歸域名系統的軟件運行的平臺中不包含除了必要的操作系統和網絡支持軟件以外的程序。
e) 控制安裝軟件的主機設置

5.3.3　遞歸域名系統的客戶端安全指南

宜對遞歸域名系統的客戶端操作系統進行安全加固。宜保證遞歸域名系統的客戶端：
a) 操作系統已安裝最新的操作系統補丁；
b) 運行在安全工具如防火墻防護范圍內；
c) 僅用于查詢域名信息；
d) 對服務器的訪問權限受到控制；