5.5 DNS數據安全指南

5.5 DNS數據安全指南

5.5.1　概述

DNS數據安全指南包括：
a) 權威域名服務器數據安全符合YD/T 2138-2010的要求；
b) 遞歸域名服務器數據安全符合YD/T 2137-2010 的要求；
c) DNS數據內容備份符合GB/T AAAAA-BBBB 5.4的要求。
d) 借助于工具對區文件內容進行驗證，保證部署過程中數據內容安全；
e) 最小化DNS信息泄露：針對DNSSEC僅提供源驗證和數據完整性保護，不提供保密性保護，通過DNS數據內容控制的如下措施保護DNS信息泄露：
1) SOA資源記錄參數值的選擇；
2) 避免資源記錄類型中信息泄露；

5.5.2　SOA資源記錄參數值的選擇

SOA資源記錄中的數據值可以規范主域名服務器和輔域名服務器之間的通信，應保證SOA資源記錄中數據值的正確性。設置：
a）區SOA資源記錄的刷新值，其小于RRSIG有效期；
b）區SOA 資源記錄的重試值，其小于刷新值；

5.5.3　避免資源記錄類型中的信息泄露

避免使用對攻擊者有利的主機信息記錄、響應者記錄、位置記錄或者其他可能泄露信息的記錄的類型。

5.5.4　使用RRSIG有效期最小化密鑰泄露

設置DNSKEY資源記錄集的RRSIG的有效期。對于一個擁有授權的子域，設置涉及DS資源記錄的RRSIG的有效期以保護公鑰信息。根據內容管理為區內容選擇一個簽名有效期。