《域名服务系统风险调查报告》
公司信息系统运行管理办法
附件:公司信息系统运行管理办法(试行)第一章总则第一条为进一步规范信息系统运行管理工作,促进信息系统运维工作适应公司各项业务工作需要,依据《国家电网公司信息系统运行管理暂行办法》,制定本办法。
第二条本办法中所称信息系统主要包括一体化企业级信息集成平台、业务应用系统、安全防护系统以及信息基础类应用。
(一)一体化企业级信息集成平台(以下简称“一体化平台”)是指信息网络、数据中心、集成服务和信息展现。
(二)业务系统是指公司财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理等业务应用系统以及各单位正式运行的业务管理系统。
(三)信息基础类应用是指邮件、域名服务、目录、数据备份、信息综合运维监管、病毒防护、桌面管理、机房动力环境监控等服务系统。
第三条信息系统运行管理工作应纳入各单位安全生产管理体系。
第四条本办法适用于公司本部及所属各单位的信息系统运行管理工作.第二章组织体系及职责分工第五条公司科技信息部是信息系统运行管理工作归口管理部门,其主要职责是:贯彻落实上级有关法律、方针、政策、标准、规程及规范,组织制定公司统一推广建设业务系统运行管理工作制度,对各单位信息系统运行工作协调管理和检查考核;协同安全监察部做好信息系统事故调查处置工作。
第六条公司各业务部门负责审批系统用户权限和业务应用配置参数,负责业务应用的数据质量管理和应用情况监督;组织业务应用的培训、交流、检查、统计、分析、评价和考核工作。
第七条公司信息中心负责公司统一集中部署信息系统的运行维护工作,参与制定并贯彻落实各业务系统运行维护工作细则;负责公司统一集中部署信息系统运行情况的监管、指标统计和运行分析,编制信息系统年度运行方式、年度检修计划和公司信息系统运行月报,完成信息系统应急处置;负责公司信息骨干网(包括公司本部与各二级单位间的广域网、公司本部与外部单位的专网互联、公司与国家电网公司网络接入等)以及纵向贯通信息系统的运行维护;负责公司本部的信息客户服务;负责对各二级单位信息中心提供技术支持和指导。
国网-重庆市-2024年《信息安规》科目 单选题+多选题+判断题+简答题真题拔高卷-9月份-B卷
国网-重庆市-2024年《信息安规》科目单选题+多选题+判断题+简答题真题拔高卷-9月份-B卷一、【单选题】1. 《国家电网公司电力安全工作规程(信息部分)》一般安全要求中规定:信息系统检修宜通过具备()功能的设备开展。
A、统计分析B、回放检索C、日志查看D、运维审计2. 在不间断电源上工作,新增前,应核查电源负载能力()A、出线B、负载C、电池D、母排3. 信息设备变更用途或下线,应()其中数据。
A、保存B、备份C、擦除或销毁D、迁移4. 《国家电网公司电力安全工作规程(信息部分)》3.2.2规定:()业务系统的版本升级、漏洞修复、数据操作等检修工作应填用信息工作票。
A、一、二类B、二、三类C、三、四类D、四、五类5. 在信息系统上工作时的授权,下列说法不正确的是()。
A、工作前,作业人员应进行身份登记B、工作前,作业人员应进行授权C、授权应基于权限分离的原则D、授权应基于权限最小化的原则6. 下列对访问控制影响不大的是()A、主体身份B、客体身份C、访问类型D、主体与客体的类型7. 应()开展信息系统及设备运行状态评估。
A、按月B、每半年C、按年D、定期8. 检修前,在冗余系统中将检修设备切换成检修状态时,应确认其余正常运行()A、主机.存储、通道或板卡B、主机.存储、网络或电源C、主机.节点、网络或板卡D、主机.节点、通道或电源9. 中间件检修工作结束前,应验证所承载的()运行正常。
A、业务系统B、主机系统C、数据库系统D、存储系统10. 计算机信息系统,是指由()及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、储存、传输、检索等处理的人机系统。
A、计算机硬件B、计算机C、计算机软件D、计算机网络11. 办理信息工作任务单延期手续,应在信息工作任务单的有效期内,由工作负责人向()提出申请,得到同意后给予办理。
A、业务管理单位B、信息运维单位C、工作票签发人D、工作许可人12. UNIX/Linux系统中,下列命令可以将普通帐号变为root帐号的是()。
信息系统安全风险评估报告
xx有限公司记录编号005创建日期2015年8月16日信息系统安全风险评估报告文档密级更改记录时间更改内容更改人项目名称:XXX风险评估报告被评估公司单位:XXX有限公司参与评估部门:XXXX委员会一、风险评估项目概述1.1工程项目概况1.1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。
2.2风险评估工作过程本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。
1.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号法律、法规及其他要求名称颁布时间实施时间颁布部门全国人大常委会关于维护互联12000.12.282000.12.28全国人大常委会网安全的决定中华人民共和国计算机信息系21994.02.181994.02.18国务院第147号令统安全保护条例中华人民共和国计算机信息网31996.02.011996.02.01国务院第195号令络国际联网管理暂行规定中华人民共和国计算机软件保42001.12.202002.01.01国务院第339号令护条例中华人民共和国信息网络传播52006.05.102006.07.01国务院第468号令权保护条例中华人民共和国计算机信息网国务院信息化工作领导61998.03.061998.03.06络国际联网管理暂行规定实施小组办法计算机信息网络国际联网安全71997.12.161997.12.30公安部第33号令保护管理办法计算机信息系统安全专用产品81997.06.281997.12.12公安部第32号令检测和销售许可证管理办法9计算机病毒防治管理办法2000.03.302000.04.26公安部第51号令10恶意软件定义2007.06.272007.06.27中国互联网协会11抵制恶意软件自律公约2007.06.272007.06.27中国互联网协会计算机信息系统保密管理暂行121998.2.261998.02.26国家保密局规定计算机信息系统国际联网保密132000.01.012000.01.01国家保密局管理规定中华人民共和国工业和14软件产品管理办法2000.10.082000.10.08信息化部互联网等信息系统网络传播视152004.06.152004.10.11国家广播电影电视总局听节目管理办法16互联网电子公告服务管理规定2000.10.082000.10.08信息产业部信息系统工程监理工程师资格172003年颁布2003.03.26信息产业部管理办法信息系统工程监理单位资质管182003.03.262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31信息产业部关于印发《国家电子信息产业基中华人民共和国信息产202008.03.042008.03.04地和产业园认定管理办法(试业部行)》的通知21计算机软件著作权登记收费项1992.03.161992.04.01机电部计算机软件登记办目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常务委23中华人民共和国专利法2010.01.092010.02.01员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272010.10.01国家知识产权局26中华人民共和国著作权法2010.02.262010.02.26全国人大常委会中华人民共和国著作权法实施272002.08.022002.9.15国务院第359号令条例28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令中华人民共和国保守国家秘密312010.04.292010.10.01全国人大常委会法32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会中华人民共和国商用密码管理331999.10.071999.10.07国务院第273号令条例34消防监督检查规定2009.4.302009.5.1公安部第107号中华人民共和国公安部35仓库防火安全管理规则1990.03.221994.04.10令第6号36地质灾害防治条例2003.11.242004.03.01国务院394号国家电力监管委员会第2 37《电力安全生产监管办法》2004.03.092004.03.09号华人民共和国主席令第二38中华人民共和国劳动法2007.06.292008.1.1十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部中华人民共和国企业劳动争议411993.06.111993.08.01国务院处理条例1.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
安全风险视域下的云平台责任界定与治理探析
安全风险视域下的云平台责任界定与治理探析一云平台安全风险域与安全责任(一)云平台及其安全风险域云计算作为随着信息技术演进而出现的一种新型生产和服务模式,能够按需配置和优化一种或多种昂贵的计算资源,实现资源的有效整合,促进生产效率提升,创新数字经济商业模式。
市场调研公司Gartner的数据显示,2018年全球公共云服务市场规模为1824亿美元,到2022年全球公有云服务营收将增长至3312亿美元。
[1]在全球云服务市场,存在产业相互依存与用户层级嵌套的现象,“服务商—用户”身份可随着产业链延伸而不断衍化(见图1)。
本文所指的云平台服务商是指管理、运营、支撑云计算的基础设施及软件,并通过网络交付云计算资源的供应方;云平台用户是指直接使用云计算服务,并同云平台服务商建立业务关系的参与方;而云计算平台即云平台,则是云平台服务商提供的云计算基础设施及其上的服务软件的集合。
[2]图1 本文研究的“云平台服务商—云平台用户”范围以云平台服务商提供的资源类型划分,云平台主要有三种服务模式(见图2):基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。
在IaaS模式下,云平台是作为网络基础设施存在的,云平台服务商向用户提供虚拟计算机、存储、网络等计算资源及访问云平台的服务接口,用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等;在PaaS模式下,云平台主要作为软件开发和运行平台,云平台服务商向用户提供标准语言与工具、数据访问、通用接口等,用户可利用该平台开发和部署软件;在SaaS模式下,云平台主要作为应用软件,云平台服务商向用户提供的是运行在云计算基础设施上的应用软件,用户无须自行开发软件,可利用不同设备上的用户端(如Web浏览器)或程序接口直接使用云平台服务商提供的应用软件。
图2 云平台三种服务模式在不同的云平台服务模式和运营方式中,潜藏着各种安全风险,深刻影响了云平台的广泛应用,可谓“牵一发而动全身”。
域名注册实施细则第一章总则
域名注册实施细则第一章 总则第一条 为了规范域名注册服务和管理,根据《互联网域名管理办法》(第43号令)(以下简称《管理办法》)和互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers,以下简称ICANN)的《注册管理机构协议》,制定本实施细则。
第二条 申请注册由都能网络技术(上海)有限公司负责管理的顶级域名(域名列表见后附录,最新信息请参考公司官网http://cn.donuts.domains),以及提供域名注册相关服务的,应当遵守本实施细则。
第三条 本实施细则涉及的域名体系遵守工业和信息化部关于中国互联网络域名体系的公告。
第二章 域名注册服务机构第四条 在中华人民共和国境内提供本实施细则规定的域名注册服务的注册服务机构,须具备ICANN认证的注册服务机构资质,且经电信主管部门批准,并与都能网络技术(上海)有限公司(或其母公司)签订协议。
第五条 从事域名的注册服务,应当具备以下条件:(一)申请在中华人民共和国境内(不含港澳台)设立域名注册的,拟设置的域名注册服务系统、注册数据库和解析系统等应设置在中华人民共和国境内;(二)是依法设立的企业法人或事业法人;(三)申请单位及其主要出资者、主要经营管理人员三年内无违法违规行为;(四)有完善的业务发展计划和技术方案,以及有与从事域名注册服务相适应的场地、资金和专门人员;(五)有符合电信管理机构要求的信息管理系统;(六)有对域名注册申请者进行真实信息核验的能力;(七)有用户个人信息保护的能力;(八)有提供长期服务的能力及健全的域名注册服务退出机制;(九)有健全的域名注册服务管理制度和对域名注册代理机构的监督机制;(十)有健全的网络与信息安全保障措施,包括管理人员、制度、应急处置预案和相关技术管理措施的情况等;(十一)国家规定的其他条件第六条 域名注册服务机构应当规范开展域名注册服务,并与申请者签订单独域名注册协议。
网络云安全防护服务方案
网络云安全防护服务方案一、安全服务内容(1)网站云安全防护服务(2)安全通告服务(3)漏洞扫描及渗透测试服务(4)应急响应二、安全服务要求(一)质量保证措施及服务承诺1、提供7*24小时的技术支持(包括电话咨询与现场服务)。
2、在接到电话后,必须在30分钟内响应,2个小时内必须到达现场,如无法解决,按合总同价的1%/次作为赔偿,扣除合同余款。
3、每次对系统进行扫描、渗透测试之前必须要先提供相应的技术方案与业主方技术人员充分沟通,以确保系统的安全运行。
4、进行任何渗透测试,需要在业主方许可的时间、环境下由经验丰富的专业技术人员进行。
5、实施过程中应尽可能小的影响系统和网络的正常运行,做好备份和应急措施,不能对应用系统的正常运行产生影响,包括系统性能明显下降、网络拥塞、服务中断等,如无法避免出现这些情况应先停止项目实施,并向业主方书面详细描述。
6、投标供应商所使用的信息安全类工具软件(包括云安全防护平台、WEB应用弱点扫描工具、数据库扫描工具、应急处置工具箱等)必须为正版产品,具有销售许可证书,并进行详细说明。
7、须对本次安全建设项目实施过程的数据和结果数据严格保密,未经业主方授权,任何机构和个人不得泄露给其它单位和个人,同时要求在此次项目结束之后将所有和本项目有关的数据和文档移交业主方后全部销毁。
(二)服务时间及考核1、服务时间服务时间为合同签订生效后,投标方人员到位正式开始服务后一年。
2、验收方式考核至少满足:提供所列的安全服务,提交各类报告;响应甲方提出的应急服务请求,响应时间未超出规定期限;服务期间重要网站未出现重大安全事故。
否则不具备考核条件,招标单位可单方中止服务合同。
信息化 科技 违法乱纪案例
No.1某微信公众号违规发布涉淫秽色情低俗信息,被依法关闭。
2019年7月,网民举报无锡某微信公众号发布大量淫秽色情低俗信息,违反了《中华人民共和国网络安全法》《即时通信工具公众信息服务发展管理暂行规定》,造成恶劣社会影响。
市互联网信息办公室依法督促有关网站依照用户服务协议予以永久关闭。
No.2宜兴一微信公众号持续违规发布新闻信息,被暂停更新一周。
2019年7月,在无锡市互联网信息办公室指导下,宜兴市互联网信息办公室会同宜兴市公安局网安大队约谈某微信号负责人。
针对该微信公众号落实主体责任不力、违反《互联网新闻信息服务管理规定》,持续违规发布新闻信息、违规发布有害不良信息等严重问题,责令其立即自查自纠,全面深入整改,并暂停更新一周。
No.3微信群造谣“凌晨露纹身人员将被拘留”,2名网民被江阴警方行政拘留。
2019年5月,徐某(男,28岁,江阴人)在网上看到“重庆渝中区派出所通知您”相关谣言信息后,在明知其为谣言的情况下,出于“恶搞”其朋友的目的,上网搜索并获取江阴城中派出所办公电话后,将谣言信息中的抬头和结尾替换,自编自导制造短信截图后通过QQ发给俞某某(男,18岁,江阴人),俞某某在未经核实的情况下将该图片发至其微信朋友圈,导致谣言大量扩散,造成恶劣社会影响。
江阴警方以制造和传播虚假信息扰乱社会公共秩序分别对徐某和俞某某依法处以行政拘留7日和5日。
No.4微信群制造谣言网民被宜兴警方行政拘留。
2019年4月,网民史某锋(男,29岁,宜兴人)在微信群为博人眼球,故意编造并发布“扫黄抓了1200多人,警方查转账记录扫码超600被传唤”等言论,引发大量网民关注,造成恶劣社会影响,经查,上述言论系谣言,史某锋已被宜兴警方依法行政拘留10日。
No.5利用网络,传输发布违法信息,江阴某信息技术有限公司被依法查处。
该公司在提供云主机租赁服务过程中,1台服务器多次为境外违法网站提供网络跳转服务,涉及被绑定的境外赌博、色情网站域名数百个。
网络安全管理员习题及答案
网络安全管理员习题及答案一、单选题(共100题,每题1分,共100分)1、根据一定的信息道德规范对人们的信息行为进行善恶判断即为( )。
A、信息道德修养B、信息道德评价C、信息道德教育D、信息道德行为正确答案:B2、以下下关于职业道德描述错误的是( )。
A、职业道德是从业人员特定行为规范。
B、职业道德是职业纪律方面的最低要求。
C、职业道德是从业人员在职业活动中的行为准则。
D、职业道德是从业人员的基本品质。
正确答案:B3、我国信息安全等级保护的内容不包括:( )A、对国家秘密信息. 法人和其他组织及公民的专有信息以及公开信息和存储. 传输和处理这些信息的信息系统分等级实行安全保护B、对信息系统中使用的信息安全产品实行按等级管理C、对信息安全从业人员实行按等级管理D、对信息安全违反行为实行按等级惩处正确答案:C4、网络安全包括物理安全和( ) 安全A、逻辑B、软件C、服务器D、硬件正确答案:A5、以下有关通信与日常操作描述不正确的是?( )A、信息系统的变更应该是受控的B、企业在岗位设计和人员工作分配时应该遵循职责分离的原则C、移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏D、所有日常操作按照最佳实践来进行操作,无需形成操作手册正确答案:C6、首先需保证控制的是( )A、不增加生产力B、基于成本效益的分析C、不检测行或改正性的D、满足控制一个风险问题的要求正确答案:D7、以下关于 SSID 设置的描述,错误的是:( )A、为了数据传输安全, SSID 需加密传输数据B、多 SSID 功能是平均分配网络带宽的,所以对原有的网络带宽也有一定要求C、所有的无线路由器都支持多 SSID 功能D、SSID 是一个惟一的 ID,由 32 个字符组成,用于命名无线网络正确答案:C8、办事公道是指对于人和事的一种态度,也是千百年来人们所称道的职业道德,它要求人们待人处世要( )。
A、诚实守信B、实事求是C、服务群众D、公平、公正正确答案:D9、如何在制定控制前保证控制( )A、不检测行或改正性的B、不基于成本效益的分析C、满足控制一个风险问题的要求D、不增加生产力正确答案:C10、加密技术主要有两大类:基于非对称密钥的加密法,称为( )算法。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《域名服务系统风险调查报告》关于域名服务系统风险的调查报告
国际经济与贸易专业
李庆生
调查目的及意义:
我于xx年3至5月在上海琵西网络信息技术有限公司做毕业实习。
我的实习的主要内容是联系国外的需要注册中国或亚洲境内域名的公司,申请作为其代理帮助他们注册包括.cn,.hk,.aisa在内的多种域名。
主要工作就是联系国外公司的负责人,并洽谈相关的代理细节问题,并完成为其注册的相关步骤。
在实习过程中,结合自己的实习经历及域名服务行业的具体情况,做了一个关于域名服务行业普遍存在的风险的调查报告,最后在参考域名行业知识的前提下提出了相关的防范建议。
调查内容:
我国互联网络域名服务系统的相关风险。
调查方式:
在调查的过程中除了采用我国互联网络信息中心的一些统计数据及方法外,还通过具体的事件案例调查,一般分析与具体事例相结合,最后总结出我国互联网络信息域名服务系统存在的风险。
调查结果:
域名服务包含了权威域名服务和递归域名服务,服务的正确、安全和可靠运行对于整个互联网的发展和建设来说至关重要。
分析发
现,国内域名服务在配置管理和运行维护方面均存在不同程度的安全隐患,域名服务系统面临的风险如下:
风险一:信息更改或过期:各级域名解析系统通常与域名注册、whois等系统协调工作,任一环节的漏洞都可能被黑客利用,篡改域名解析数据。
权威域名解析服务的主服务器或辅服务器如因配置不当,也容易被攻击,造成权威解析服务故障。
风险二:dns系统应用程序崩溃:域名解析服务系统所用软件极其重要,如因配置不当或升级延迟,软件存在的漏洞容易被黑客利用。
近年来开源软件bind被广泛使用,一旦该软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。
风险三:域名劫持(domainnamehijacking):通过各种攻击手段控制了域名管理密码和域名管理邮箱,然后将该域名的ns纪录指向到黑客可以控制的dns 服务器,然后通过在该dns服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。
值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至会导致域名所有权也旁落他人。
如果是国内的cn域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。
如果是国际域名被劫持,而且又是通过国际注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。
风险四:中间人攻击(maninthemiddleattack):中间人攻击,是攻击者冒充域名服务器的一种欺骗行为,它主要用于向主机提供错误dns信息。
中间人攻击大多数本质都是被动,其检测和防御十分困难。
风险五:nsec游走:早期的dnssec使用nsec方案,会造成区文件被遍历、枚举,从而泄露所管理的域名解析数据,既是商业数据的泄露,也容易成为黑客攻击的靶子。
风险六:分布式拒绝服务攻击(ddosattack):ddos攻击手段是在传统的dos攻击基础之上产生的更有效的攻击方式。
其攻击手段往往是攻击者组织大量的傀儡机同时向域名服务器发送大量查询报文,这些报文看似完全符合规则,但往往需要dns服务器花费大量时间进行查询,从而使dns瘫痪。
xx年5月19日全国大面积断网事件起因即为ddos攻击。
风险七:缓存窥探(cachesnooping):dns缓存窥探是一个确定某一个资源记录是否存在于一个特定的dns缓存中的过程。
通过这个过程攻击者可以得到一些信息,例如解析器处理了哪些域名查询。
攻击者通常利用缓存窥探寻找可攻击对象。
风险八:缓存中毒(或dns欺骗)(cachepoisoningordnsspoofing):通过向dns服务器注入非法网络域名地址实现缓存中毒攻击,对该类安全威胁的检测十分困难。
利用该漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。
由于软件实现技术水平参差不齐,端口、报文id随机算法落后的域名服务器容易遭受缓存中毒攻击。
风险九:dns放大、反射攻击:目前的ddos攻击通常与“dns放大攻击”和“dns反射攻击”配合实施。
在这两类攻击中,dns服务器往往不受攻击目标,而是充当了无辜的被利用者的角色。
这种攻击
向互联网上的一系列无辜的第三方dns服务器发送小的和欺骗性的询问信息。
这些dns服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯流量的放大并且最终导致攻击目标瘫痪。
提供递归域名解析服务的主体需要控制服务范围,尽可能的避免提供开放递归服务,并借助于流量分析监测等手段发现潜在的ddos攻。
防范建议:
一、确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其他端口的服务。
权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供。
二、采用安全的操作系统平台和域名解析软件,并关注软件商发布的最新安全漏洞,定期升级软件系统。
三、选择安全性高、服务便捷的域名注册服务机构和域名注册管理机构;隐藏域名解析软件及操作系统等版本信息;限制域名区文件的传送权限;
四、使用入侵检测系统,尽可能的检测出中间人攻击行为;需对域名服务器边界网络设备的流量、数据包进行监控,监控方式可基于监听、snmp、flow等网管技术和协议;对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及内存数据是否变动。
在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;部署实施dnssec;
五、采用nsec3方案解决该问题;
六、提供域名服务的服务器数量应不低于2台,建议独立的名字服务器数量为5台。
并且建议将服务器部署在不同的物理网络环境中;限制递归服务的服务范围;利用流量分析等工具检测出ddos攻击行为,以便及时采取应急措施;在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
七、限制递归服务的服务范围,仅允许特定网段的用户使用递归服务。
八、对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时给出告警提示;部署实施dnssec;
九、利用流量分析等工具检测出攻击行为;在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
此外,为了加强域名服务的安全可靠性,域名服务部署时,需要考虑单节点故障问题。
所涉及的路由器、交换机等均需要有冗余备份能力,建立完善的数据备份机制和日志管理系统。
应保留最新的3个月的全部解析日志。
并且建议对重要的域名信息系统采取7×24的维护机制保障。
应急响应到场时间不能迟于30分钟。
内容仅供参考。