关于加强互联网域名系统安全保障工作的通知
工信部保[2010]53号
各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心、部电信研究院、中国软件评测中心,中国互联网络信息中心、政务和公益机构域名注册管理中心,各互联网域名注册服务机构:
域名系统是互联网的重要组成部分。保障域名系统的安全,对维护互联网安全、促进互联网健康发展具有重要意义。当前,域名系统面临的安全威胁和风险不断加大,安全事件增多,必须采取切实有效的措施,加强域名系统安全保障工作。现将有关工作要求通知如下:
一、提高认识,突出重点。各单位要充分认识各级域名系统面临的新情况新问题新威胁,切实增强保障域名系统安全的责任感和紧迫感。针对外部网络攻击、域名劫持等威胁以及安全防护和应急管理薄弱等突出问题,要进一步加强域名系统安全防护和应急工作,建立完善域名安全技术手段,推进域名安全标准化和自主创新,强化域名安全保障工作的监督检查,确保重点域名解析正常,确保重要域名系统安全可靠运行。
二、加强域名系统安全防护和应急工作。基础电信运营企业、域名注册管理机构和域名注册服务机构等域名系统运行单位,要按照“谁运行、谁负责”的原则,加强对本单位运行管理且对外提供服务的权威、递归域名解析系统和域名注册系统的安全防护和应急工作,确保本单位所属域名系统安全稳定运行,确保域名注册信息安全。一是建立健全域名系统运行维护和安全管理制度,落实责任制,不断优化域名系统架构,加强冗余备份,提高域名解析能力。二是按照工业和信息化部的统一部署,对本单位域名系统进行定级备案,按照有关标准落实各项安全防护措施,定期对本单位域名系统进行检测、评估和整改,并接受通信管理机构的监督检查。三是建设域名安全监控手段,对本单位域名系统的解析请求量、解析成功率、解析速度、服务器负荷等关键指标进行动态监测,对异常和无效域名请求及时进行过滤,提高对网络攻击、信息篡改和域名劫持等各类安全事件的预警监控能力。四是按照有关规定做好相关日志留存工作,加强本单位域名系统的安全审计,提高对安全事件的溯源能力。五是根据工业和信息化部《公共互联网网络安全应急预案》,制定完善本单位域名系统安全专项应急预案,做好域名安全事件信息报送工作,组织开展应急演练。基础电信运营企业要协助域名注册管理机构做好国家顶级域名系统节点的安全保障工作。域名注册管理机构、域名注册服务机构要加强宣传,指导域名注册用户增强域名安全意识,科学选择域名解析服务。
三、建立完善公共域名安全技术平台。国家计算机网络应急技术处理协调中心(以下简称CNCERT)和域名注册管理机构要加强公共域名安全技术平台建设,实现对重要域名系统运行状况和重点域名解析状况的及时准确监测,建立健全针对政府网站、重点新闻网站、重要信息系统的域名安全支撑保障机制;研究制定根域名镜像服务器专项应急方案,落实相关技术保障措施。基础电信运营企业、域名注册管理机构和域名注册服务机构要对CNCERT和域名注册管理机构有关平台的建设和运行给予支持配合。
四、推进域名安全标准化和自主创新工作。完善标准体系,加快制订发布域名系统安全防护系列标准,加强标准宣贯,推进标准贯彻实施。积极研究域名系统安全检测、评估和监测等技术,开发相关工具,加大推广应用力度。加快制定联网软件行为规范和测试要求,并通过行业自律等方式探索开展联网软件评测工作。加强自主创新,积极推进具有我国自主知识产权的域名解析软件的研究、开发和应用。跟踪全球DNSSEC部署应用情况,做好相关配套工作。
五、强化域名安全保障工作的监督检查。工业和信息化部通信保障局负责按照本通知精神,对域名系统安全保障工作进行指导、协调、监督和检查。各地通信管理局要把域名系统安全作为通信网络安全管理工作的重要内容,指导督促当地基础电信运营企业落实域名系统安全防护标准、建设域名系统安全监控手段、制定域名系统专项应急预案、落实域名安全信息通报工作。做好域名安全事件的应急指挥协调工作。
基础电信运营企业集团公司、域名注册管理机构和域名注册服务机构请于2010年2月28日前,将本单位域名系统安全保障工作落实情况和工作计划报工业和信息化部(通信保障局)。基础电信运营企业省级公司的有关工作情况和计划,请于2010年2月28日前报当地通信管理局。其他单位有关工作进展情况,请及时向工业和信息化部(通信保障局)反馈。