域名系统安全专项应急预案.docx

域名系统安全专项应急预案.docx

《域名系统安全专项应急预案.docx》由会员分享，可在线阅读，更多相关《域名系统安全专项应急预案.docx（16页珍藏版）》请在冰豆网上搜索。

域名系统安全专项应急预案

域名系统安全专项应急预案

1.

总

则..................................................................................................................................

2

1.1

编制目的...................................................................................................................

2

1.2

适用范围...................................................................................................................

2

2.

组织机构与职责..................................................................................................................

3

3.

分类分级..............................................................................................................................

4

4.

预防预警.......................................................................................................................

7

4.1

预防措施...................................................................................................................

7

4.2

预警分级、监测上报和预警发布...........................................................................

8

5.

应急处置..............................................................................................................................

9

5.1

应急监管分工...........................................................................................................

9

5.2

应急处置流程及措施.............................................................................................

10

6.

保障措施............................................................................................................................

11

6.1

专家队伍建设.........................................................................................................

11

6.2

联系机制.................................................................................................................

11

6.3

应急演练.................................................................................................................

11

6.4

技术手段建设.........................................................................................................

12

7.

附则....................................................................................................................................

12

7.1

预案解释部门.........................................................................................................

12

7.2

预案生效时间.........................................................................................................

12

附件一：

应急处置职责分工及措施......................................................

错误！

未定义书签。

附件二：

各组织机构联系方式..............................................................

错误！

未定义书签。

1.总则

1.1编制目的

为落实《公共互联网网络安全应急预案》，进一步健全域名安全事件应急处置工作机制，提高应对域名安全事件的

能力，预防和减少事件造成的损失、危害和影响，维护公共互联网网络安全，制定本预案。

1.2适用范围

我国管理的下列域名系统发生网络安全事件适用本预

案：

（一）“.CN、.中国、.公司、.网络、.政务、.公益”等顶级域名系统；

（二）域名服务机构的域名注册系统和权威域名系统；

（三）互联网站的权威域名系统；

（四）电信运营企业的递归域名系统；

非经营性互联单位和依托公共互联网运行的重要信息系统发生域名安全事件且需要工业和信息化部提供应急支援的，由非经营性互联单位和重要信息系统主管部门向工业和信息化部提出支援请求，工业和信息化部组织通信行业开展相应的应急支援工作。

2.组织机构与职责

（一）公共互联网网络安全应急工作办公室（以下简称互

联网应急办）：

在工业和信息化部公共互联网网络安全领导小

组的领导下，具体负责全国或跨地区域名安全事件处置工作

的组织、指挥和协调。

（二）各省（自治区、直辖市）通信管理局：

负责本地

区域名安全事件的管理，指挥、协调和监督本地区基础电信

业务经营者、经营性互联网站和互联网接入服务提供者

（ISP）等相关单位开展域名安全事件的预防监测、信息报告和应急处置工作。

（三）国家计算机网络应急技术处理协调中心（以下简称CNCERT）:

负责域名安全事件的辅助监测和技术处置协

调，为互联网应急办和通信管理局提供技术支撑，向基础电

信业务经营者、增值电信业务经营者、域名注册管理机构和

域名服务机构提供技术支援。

（四）域名注册管理机构：

负责工业和信息化部委托其

管理的顶级域名系统安全事件的预防监测、信息报告和应急

处置工作。

（五）域名服务机构：

负责本单位所管理的权威域名系

统、域名注册系统安全事件的预防监测、信息报告和应急处

置工作。

（六）电信运营企业：

负责本单位所管理的递归域名系统安全事件的预防监测、信息报告和应急处置工作，并为其它单位域名安全事件的处置工作提供必要的支援配合。

（七）互联网站：

负责本单位所管理的网站域名系统网络安全事件的预防监测、信息报告和应急处置工作。

3.分类分级

互联网站分为两级，一级网站是指用户访问量大且具有

较大社会影响力的互联网信息服务企业，其它网站为二级网

站。

域名服务机构分为两级，一级域名服务机构是指实际解

析域名数量居国内同业前列的域名服务机构，其它为二级域

名服务机构。

网站、域名服务机构的分级规范由互联网网络安全应急

专家组提出，由互联网应急办审定后另行发布。

根据分级规

范，互联网应急办负责对工业和信息化部管理的互联网站和

域名服务机构进行分级，各省（自治区、直辖市）通信管理

局负责对本地发证的互联网站的分级，分级结果要公布。

域名安全事件的分类分级规范见下表。

分

对象

特别重大

重大事件

较大事件

一般事件

类

事件

域

顶级域名

顶级域名

顶级域名系统半数及以上

顶级域名系统半

顶级域名系统

名

系统

系统停止

顶级节点解析成功率低于

数以下顶级节点

注册服务性能

系

解析服

50％或解析响应时间高于5

解析成功率低于

下降或查询服

统

务，对全

秒；顶级域名节点解析数据

50%或解析响应

务不可用。

国互联网

缺失或出错超过0.1%；顶

时间高于5秒；

用户的域

级域名系统重点域名相关

顶级域名节点解

名解析服

解析数据出错。

析数据缺失或出

务失效。

错超过0.01%；

顶级域名系统的

注册服务不可用

4小时以上。

域名服务

1家或多

1家或多家一级域名服务机

1家或多家一级

1家或多家注

机构管理

家一级域

构域名解析系统服务性能

域名服务机构域

册服务机构域

的权威域

名服务机

下降，解析成功率低于50%

名解析系统服务

名注册系统服

名解析系

构域名解

或解析响应时间高于5秒,

性能下降，解析

务不可用。

统和域名

析系统停

或解析数据缺失或出错超

成功率低于80%

注册系统

止解析服

过1%。

注册服务机构域名

或解析响应时间

务，且造

系统核心数据库丢失或非

高于5秒,或解析

成特别重

正常修改，并影响到顶级域

数据缺失或出

大社会影名系统核心数据库导致产错，超过0.1%。

响的。

生顶级域名系统重大事件。

互联网站

N/A

N/A

一级网站的权威

网站的权威域

的权威域

域名解析系统停

名解析系统解

名解析系

止解析服务，造

析服务故障，造

统

成较大社会影响

成一定社会影

的。

响的。

电信运营

N/A

为多个省份提供服务的递

为一个省提供服

递归域名解析

企业的递

归域名解析系统停止解析

务的递归域名解

系统停止解析

归域名解

服务1小时以上。

析系统停止解析

服务，影响限于

析系统

服务1小时以上。

一个本地网的。

4.预防预警

4.1预防措施

各省（自治区、直辖市）通信管理局应根据本预案，结

合本地区实际情况制定地区性域名安全应急预案，指导、督

促、协调本地区的电信运营企业、互联网站等单位加强安全

防护，组织开展应急演练，加强对上述单位预防工作的监督

检查。

域名注册管理机构、域名服务机构、电信运营企业、互

联网站应根据本预案，制定本单位域名安全应急预案，应按

照通信网络安全防护相关政策和标准，开展定级备案、安全

评测、风险评估工作，落实各项安全防护措施，提高所管理

的域名系统的安全防护水平。

域名注册管理机构、域名服务

机构、互联网站要配置合理的网络带宽，选择服务优质的IDC

服务商，加强容灾备份。

互联网站应选择有服务质量保障的

域名服务机构或加强自有域名系统的保护。

电信运营企业在加强本单位所管理的递归域名系统的

安全保障的同时，应与域名注册管理机构、域名服务机构和

互联网站签署网络安全保障协议，根据协议提供网络接入、

IDC机房、电力保障等供应，完善应对网络攻击等突发情况

的安全措施，开展联合应急演练，提高应对域名安全事件的

能力。

电信运营企业对上述单位的域名安全事件应按照签署

的网络安全保障协议和工业和信息化部以及各省（自治区、

直辖市）通信管理局的要求进行应急处置，不得自行中断其

托管服务和接入服务。

CNCERT应加强对域名安全事件的综合监测和信息通

报工作。

4.2预警分级、监测上报和预警发布

预警分级、监测上报和预警发布均从《公共互联网网络

安全应急预案》的相关规定。

5.应急处置

5.1应急监管分工

特别重大、重大级别的域名安全事件：

由互联网应急办

负责组织、指挥和协调应急处置工作。

较大级别的域名安全事件：

顶级域名系统和一级域名服

务机构的域名系统安全事件由互联网应急办负责组织、指挥

和协调应急处置工作；一级网站域名系统事件，根据发证主

体的不同分别由互联网应急办和省（自治区、直辖市）通信

管理局负责组织、指挥和协调应急处置工作；省（自治区、

直辖市）范围内的递归域名系统事件由当地通信管理局负责

应急监管。

互联网应急办可根据处置工作需要，指定相关通

信管理局负责特定域名安全事件的应急监管。

一般级别的域名安全事件：

由涉事单位自行处置。

二级域名服务机构、二级网站发生域名安全事件：

由涉

事单位自行处置。

5.2应急处置流程及措施

域名安全事件发生后，涉事单位应根据《公共互联网网

络安全应急预案》及本预案相关规定，启动应急响应流程，

开展先期处置、信息报告、应急处置、后期恢复等工作。

根

据应急处置工作需要，涉事单位可直接向相关单位请求支

援，有关单位应积极为其提供支援配合。

在由于托管用户或接入用户原因危及基础通信网络安

全运行时，电信运营企业为保障公众通信安全，可根据与用

户签署的网络安全保障协议采取临时的、适度的处置措施，

如可对异常和无效域名请求进行过滤。

重大处置措施，如刷

新全国或省内的域名服务器缓存，须根据工业和信息化部以

及各省（自治区、直辖市）通信管理局的指令执行。

针对不同级别、不同类别的域名安全事件，各相关单位的职责分工以及应采取的主要应急处置措施见附件一。

6.保障措施

6.1专家队伍建设

工业和信息化部互联网网络安全应急专家组为域名安全应急管理工作提供决策支撑和技术咨询。

各省（自治区、直辖市）通信管理局、域名注册管理机构、域名服务机构、

电信运营企业、互联网站、CNCERT等单位应加强本地区、本单位的域名安全专家队伍建设，充分发挥专家作用。

6.2联系机制

各单位要落实应急工作机构和人员，确保相关人员24

小时联系可达。

如相关机构、人员以及联系方式发生变化，

应在三日内报互联网应急办。

相关人员的联系方式见附件

二。

6.3应急演练

互联网应急办组织开展全国或跨地区的域名安全应急

演练，域名注册管理机构、域名服务机构、电信运营企业、

互联网站、CNCERT应开展本单位的应急演练或联合应急演

练。

各省（自治区、直辖市）通信管理局组织开展地区性的

应急演练。

6.4技术手段建设

域名注册管理机构、域名服务机构、电信运营企业、互联网站、CNCERT等相关单位应根据域名系统相关安全标准和应急处置工作需要，加强域名安全技术手段建设，提高安全防护水平，增强监测预警、应急处置和事后恢复能力。

7.附则

7.1预案解释部门

本预案由工业和信息化部负责解释。

7.2预案生效时间

本预案自2011年3月1日起实施。