YD/T 4659-2024
Технические требования оценки рисков корневой службы системы доменных имен Интернета (Англоязычная версия)
- Стандартный №
- YD/T 4659-2024
- язык
- Китайский, Доступно на английском
- Дата публикации
- 2023
- Разместил
- Professional Standard - Post and Telecommunication
- Последняя версия
- YD/T 4659-2024
- сфера применения
-
История и значение стандарта
В условиях меняющегося ландшафта глобального управления интернетом безопасность корневой службы системы доменных имен (DNS) стала ключевым вопросом национальной безопасности киберпространства. Этот стандарт впервые систематически разрабатывает структуру оценки рисков корневой службы, предлагая количественную систему оценки рисков для распределения прав управления корневыми серверами IANA и их зеркальными узлами.
Анализ основных типов рисков
Тип риска Условие запуска Область воздействия Ключевые показатели Изолированный риск Прерывание выхода из международной сети Глобальный сбой разрешения Количество выходов ≥ 5 или наличие зеркального корневого сервера Риск ослепления Отказано в доступе к рекурсивному серверу Локальный сбой разрешения Коэффициент внешней рекурсии ≤ 20% Риск исчезновения Удаление записи корневой зоны Недоступность доменного имени верхнего уровня Владение полномочиями управления корневой зоной Риск перехвата Фальсификация записи корневой зоны Перехват разрешения доменного имени Владение полномочиями управления корневой зоной
Ключевые технические требования
1. Система индикаторов оценки риска
Установите четырехуровневые количественные индикаторы: выходное сетевое подключение (≥5 низкий риск), рекурсивная зависимость сервера (коэффициент внешних подключений ≤7% низкий риск), владение полномочиями управления корневой зоной (внутренние/зарубежные), распределение зеркальных узлов и т. д.
2. Методология измерения и оценки
Пример: изолированное измерение риска Используя traceroute для 13 глобальных корневых серверов, мы подсчитали количество независимых международных выходов. При обнаружении смежных переходов между внутренними и международными IP-адресами они регистрировались как допустимые выходы.
Рекомендации по внедрению
- Создание зеркальных корневых узлов: Развертывание внутренних зеркальных корневых серверов может напрямую снизить изолированные риски до низкого уровня.
- Управление рекурсивным сервером: Контролируйте внешнее рекурсивное отношение до ≤20%, при этом рекомендуется, чтобы параметр j был равен 15, а k — 20.
- Мониторинг данных корневой зоны: Создайте механизм раннего оповещения в режиме реального времени об изменениях записей ccTLD.
Направление развития стандарта
Этот стандарт впоследствии улучшит оценку совместимости новых архитектур корневых серверов (таких как блокчейн DNS) и дополнит поправочный коэффициент для развертывания DNSSEC на уровне риска.
YD/T 4659-2024 Ссылочный документ
- GB/T 31509-2015 Технология информационной безопасности. Руководство по внедрению оценки рисков информационной безопасности.
- YD/T 2135-2010 Общие технические характеристики работы DNS
YD/T 4659-2024 История
- 2023 YD/T 4659-2024 Технические требования оценки рисков корневой службы системы доменных имен Интернета
