中国移动集团 - dns网络安全通知

中国移动集团 - dns网络安全通知 关于加强互联网域名系统安全防护与维护工作的通知 各省、自治区、直辖市公司: 域名系统,DNS,作为互联网基础设施～在互联网服务中占据着越来越重要的地位～保障域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。从对近期互联网领域发生的DDOS攻击,分布式拒绝服务攻击,、缓存投毒、权威域名篡改等导致互联网断网或者重要应用无法访问等安全事件发生的原因分析～及对各省公司调研的基本情况来看～全网域名系统面临的主要安全风险如下: 1、安徽、北京、甘肃、广东、广西、海南、河北、河南、黑龙江、湖北、吉林、江西、辽宁、内蒙、宁夏、青海、山东、陕西、四川、天津、西藏、云南、重庆等23个省公司域名系统架构不合理～存在授权服务器和缓存服务器合设的情况～在遭受DDoS攻击时可能导致授权服务器和缓存服务器同时瘫痪, 2、安徽、甘肃、广东、海南、河北、湖北、辽宁、宁夏、青海、西藏、云南等11个省公司域名系统日常监控能力不足～北京、福建、甘肃、河南、黑龙江、吉林、江西、内蒙古、宁夏、山西、陕西、西藏、新疆、云南、浙江等15个省公司日常维护作业执行不到位～存在无法及时发现系统故障和安全事件的风险, 3、安徽、北京、福建、甘肃、广东、广西、河北、河南、湖北、江苏、江西、辽宁、内蒙、宁夏、青海、山东、山西、陕 西、天津、新疆、云南、浙江、重庆等23个省公司域名系统日志记录内容不完整或日志保存时间过短～存在安全事件发生后无法追查的风险, 4、黑龙江、江西等2个省公司没有针对DDoS攻击、权威解析篡改、缓存投毒等高危安全风险制定有针对性的应急预案～甘肃、黑龙江、江西、新疆等4个省公司没有开展过应急演练～难以快速有效的进行应急处臵, 5、安徽、北京、福建、甘肃、广东、广西、贵州、河北、河南、黑龙江、湖北、湖南、吉林、江西、辽宁、内蒙、青海、山西、陕西、四川、天津、西藏、新疆、云南、重庆等25个省公司域名系统缺乏必要的安全配臵和专用流量清洗设备～难以应对日益频繁的网络攻击。 为优化域名系统结构～提升域名系统性能～消除当前域名系统维护管理工作中的薄弱环节和安全隐患～保障域名系统平稳运行～总部决定开展互联网域名系统安全提升专项工作～具体要求如下: 一、合理调整域名系统架构～优化系统性能～提升系统健壮性和服务能力 ,一,系统架构 1、域名系统最少由四台DNS服务器组成～其中两,多,台为授权服务器～负责提供省网范围内权威域名的解析服务,两,多,台为缓存服务器～负责为省内用户提供域名递归解析服务。建议授权服务器和缓存服务器划分到不同vlan。 2、各缓存服务器之间要采用负载均衡策略～或在其之前部 署负载均衡设备。这样单台设备出现异常时～其他设备可自动承担其业务。 3、设备接入网络时要考虑网络接入冗余性～避免由于网络设备单点阻断导致的主备用DNS设备同时脱网。 ,二,系统性能 1、正常情况下～各DNS节点中的每台DNS服务器CPU利用率峰值应在50%以下～整个节点DNS平均解析时延应在180ms以内～解析成功率,每秒回复用户的响应包数/每秒用户发送的查询包数,应在90%以上～四层交换机CPU负荷不超过50%。 2、如采用四层交换机进行负载均衡～要对性能较低、型号较老、负荷较高的四层交换机进行更新改造～确保满足CPU负荷要求并具备一定的冗余能力。 3、在扩容或新建DNS节点时～要至少按现网高峰流量的两倍进行性能规划。 二、完善维护与～切实做好日常维护工作 ,一,提高DNS重点安全事件监控能力 DNS设备要接入数据网管系统～并至少提供以下监控指标: 1、设备运行指标:服务器的CPU、内存、主要进程、磁盘空间等～并提供5分钟粒度的实时指标曲线呈现和告警呈现。 2、业务相关指标:DNS业务解析成功率、并发请求数QPS 和解析时延～并提供5分钟粒度的实时指标曲线呈现和告警呈现。 3、至少保存三个月的上述监控记录数据。 ,二,落实日常维护作业计划 1、根据集团网络部有关入网要求～保持全网DNS软件版本 的统一。 2、每季度对域名解析软件及配臵、域名解析日志、域名系统监控数据等关键数据和重要信息进行一次备份。 3、每半年安装安全补丁程序～并进行全面安全扫描～对安全设臵不当或安全漏洞及时进行修补。 4、每周使用文件完整性检测工具对授权服务器的数据文件进行完整性检查～防止恶意修改授权数据。 5、针对域名系统可能发生的DDoS攻击、权威解析篡改、缓存投毒等安全事件～编写落实到具体设备、具体指令、具体人员的应急预案～并明确预案触发条件、联系方式、知晓范围等内容。组织应急演练～完善安全事件的联动处理流程。 6、每月对系统日志和操作日志进行安全审计。 三、落实安全功能和配臵要求～完善安全防护手段～提高抗攻击能力 ,一,安全功能 1、设备要支持完备的日志管理功能。支持syslog功能～支持日志的本地保存和远程保存。本地日志要保存在非易失性的介质上～系统重启或宕机时日志数据不会消失。设备输出的日志要包括系统日志、解析日志和操作日志三部分。系统日志要包括系统硬件、软件运行状态。解析日志信息中要至少包括用户源地址、请求域名、请求接受时间和处理时延、域名解析结果IP、解析结果代码等。操作日志要记录对DNS的所有操作情况,至少记录到文件级别,。要求三类日志应存储至少三个月。 2、DNS软件要具备支持标准DNSSEC协议的功能～具备根据 未来总部要求快速启用的能力。 ,二,安全配臵 1、根据系统的整体安全策略和安全目标～在系统边界规划、设臵正确的安全过滤规则～如对互联网仅开放TCP和UDP协议53端口的标准DNS解析服务、过滤所有私网地址的解析请求、缓存服务器配臵为只允许来自中国移动网内的IP地址进行查询、限制远程管理服务器的IP地址并使用SSH保密协议进行传输加密等。 2、关闭不必要的服务～如finger、echo、TCP UDP Small、chargen等,对FTP、TFTP、HTTP、CDP等服务应视实际应用情况进行开放～开放的服务要采用ACL拦截非法的访问～同时ACL中的合法列范围应尽量精确。 3、SNMP Community值采用强口令～不要采用“public”、“private”等弱口令,采用ACL拦截不属于网管系统的主机通过SNMP非法访问网元设备～同时ACL中的合法列表范围应尽量精确。 4、对于远程登录的终端～网元设备要设臵无操作超时自动退出的机制～禁止用户无操作一直在线。 5、授权服务器关闭递归查询功能～缓存服务器分开设臵对外的服务IP和递归查询IP。 6、DNS服务器、网管终端及DNS软件可参考《中国移动操作系统安全功能和配臵规范》、《中国移动BIND域名解析软件安全配臵规范》进行安全加固。 ,三,安全防护手段 1、旁路部署流量清洗设备～当发生异常DNS Flood攻击时～通过人工路由宣告～将DNS流量牵引到流量清洗设备进行清洗～保障DNS业务系统的正常运营。 2、将DNS纳入安全管控平台管理范围。 以上整改工作应于2010年底前完成。请各省公司于2010年7月23日前～将本省域名系统安全提升专项工作联系人上报总部。 下面是左传的赏析，不需要的朋友可以编辑删除～～～ 谢谢～～ 郑伯克段于鄢 朝代:先秦 作者:左丘明 原文: 初，郑武公娶于申，曰武姜，生庄公及共叔段。庄公寤生，惊姜氏，故名曰寤生，遂恶之。爱共叔段，欲立之。亟请于武公，公弗许。 及庄公即位，为之请制。公曰:“制，岩邑也，虢叔死焉。佗邑唯命。”请京，使居之，谓之京城大叔。祭仲曰:“都城过百雉，国之害也。先王之制:大都不过参国之一，中五之一，小九之一 。今京不度，非制也，君将不堪。”公曰:“姜氏欲之，焉辟害,”对曰:“姜氏何厌之有～不如早为之所，无使滋蔓，蔓难图也。蔓草犹不可除，况君之宠弟乎～”公曰:“多行不义，必自毙，子 姑待之。” 既而大叔命西鄙北鄙贰于己。公子吕曰:“国不堪贰，君将若之何,欲与大叔，臣请事之;若弗与，则请除之。无生民心。”公曰:“无庸，将自及。”大叔又收贰以为己邑，至于廪延。子封曰 :“可矣，厚将得众。”公曰:“不义，不暱，厚将崩。” 大叔完聚，缮甲兵，具卒乘，将袭郑。夫人将启之。公闻其期，曰:“可矣～”命子封帅车二百乘以伐京。京叛大叔段，段入于鄢，公伐诸鄢。五月辛丑，大叔出奔共。 书曰:“郑伯克段于鄢。”段不弟，故不言弟;如二君，故曰克;称郑伯，讥失教也;谓之郑志。不言出奔，难之也。 遂寘姜氏于城颍，而誓之曰:“不及黄泉，无相见也。”既而悔之。颍考叔为颍谷封人，闻之，有献于公，公赐之食，食舍肉。公问之，对曰:“小人有母，皆尝小人之食矣，未尝君之羹，请以 遗之。”公曰:“尔有母遗，繄我独无～”颍考叔曰:“敢问何谓也,”公语之故，且告之悔。对曰:“君何患焉,若阙地及泉，隧而相见，其谁曰不然,”公从之。公入而赋:“大隧之中，其乐也 融融～”姜出而赋:“大隧之外，其乐也洩洩。”遂为母子如初。 君子曰:“颍考叔，纯孝也，爱其母，施及庄公。《诗》曰:‘孝子不匮，永锡尔类。’其是之谓乎～” 参考翻译 写翻译 译文及注释 译文从前，郑武公在申国娶了一妻子，叫武姜，她生下庄公和共叔段。庄公出生时脚先出来，武姜受到惊吓，因此给他取名叫“寤生”，所以很厌恶他。武姜偏爱共叔段，想立共叔段为世子，多次向 武公请求，武公都不答应。到庄公即位的时候，武姜就替共叔段请求分封到制邑去。庄公说:“制邑是个险要的地方，从前虢叔就死在那里，若? 参考赏析 写赏析 艺术特点 1.人物个性鲜明。郑庄公老谋深算，阴险狡猾。主要表现在对自己的同胞兄弟“纵其欲而使之放，养其恶而使其成”(宋人吕祖谦语，见《东莱博议》)，充分暴露共叔段的“不义”。所以当姜氏“ 请京”，太叔“收贰”时，他都尽量满足，并驳回大臣们的建议。但当共叔段“将袭郑”时，他先发制人，一举把他赶到了“共”，绝除后患? 读解 这是一个流传甚广、十分典型的兄弟相争的。人们常用“亲如兄弟”来形容亲情的深厚，也用“亲兄弟，明算帐”来说明亲情和利益冲突之间的关系。我们凭自己的生活体验深知，亲情在很多时 候是脆弱的，在利益的驱使之下，亲情远远不足以化解由利益导致的矛盾冲突。当然，兄弟相争，并非完全没有是非曲直，并非完全没有正 义? 赏析 《郑伯克段于鄢》是编年体史书《左传》的一个片段，却俨然一篇完整而优美的记事散文。文章把发生在两千七百多年前的这一历史事件，具体可感地呈现在我们眼前，使我们仿佛真的进入了时间隧 道，面对面地聆听历史老人绘声绘色地讲述这一事件的缘起、发生、发展和最后结局。从而，不仅让我们明了这一历史事件的真实情况，同时也? 创作背景 春秋时期，周王室逐渐衰微，各诸侯国之间开始了互相兼并的战争，各国内部统治者之间争夺权势的斗争也加剧起来。为了争夺王位，骨肉至亲成为殊死仇敌。隐公之年(公元前772年)，郑国国君 之弟公叔段，谋划夺取哥哥郑庄公的君位，庄公发现后，巧施心计，采取欲擒故纵的手段，诱使共叔段得寸进尺，愈加骄横，然后在鄢地打败? 作者介绍 左丘明 左丘明 (前556年,前451年)，姓丘，名明。汉族，春秋末期鲁国都君庄(今山东省肥城市石横镇东衡鱼村)人。相传为春秋末期曾任鲁国史官，是中国古代伟大的史学家、文学家、思想家、军事 家。晚年双目失明，相传著有中国重要的史书巨著《左氏春秋》(又称《左传》)和《国语》，两书记录了不少西周、春秋的重要史事，保存了具有很高价值的原始资料。由于史料翔实，文笔生动， 引起了古今中外学者的爱好和研讨。被誉为“文宗史圣”“经臣史祖”。孔子、司马迁均尊左丘明为“君子”。历代帝王多有敕封:唐封经师;宋封瑕丘伯和中都伯;明封先儒和先贤。... 周郑交质 朝代:先秦 作者:左丘明 原文: 郑武公、庄公为平王卿士。王贰于虢，郑伯怨王。王曰:“无之。”故周郑交质。王子狐为质于郑，郑公子忽为质于周。 王崩，周人将畀虢公政。四月，郑祭足帅师取温之麦。秋，又取成周之禾。周郑交恶。 君子曰:“信不由中，质无益也。明恕而行，要之以礼，虽无有质，谁能间之,苟有明信，涧溪沼沚之毛，苹蘩蕴藻之菜，筐筥錡釜之器，潢污行潦之水，可荐於鬼神，可羞於王公，而况君子结二国之信，行之以礼，又焉用质,《风》有《采蘩》、《采苹》，《雅》有《行苇》、《泂酌》，昭忠信也。” 写翻译 写赏析 纠错 收藏评分: 参考翻译 写翻译 译文及注释 译文 郑武公、郑庄公是周平王的卿士(官名)。(周平王)分权给虢公，郑庄公怨恨周平王。周平王说:“没有的事(偏心于虢公)。”于是周王、郑国交换人质(证明互信):(周平王)的儿子狐在郑国做人质，郑庄公的儿子忽在周王室做人质。周平王死(后)，周王室准备让虢公掌政。四月，郑国的祭足帅军队收割了温邑的麦子。? 参考赏析 写赏析 评析 本文前两段，只用寥寥七十多字，就把春秋初期周王室和它的同姓诸侯国郑国之间的微妙关系揭示出来。日渐衰微的周王室为了防止郑庄公独揽朝政，就想分政给另一个姬姓国国君虢公，以保持政权的平衡。然而，郑庄公不买周平王的账，对周平王准备采取的这一举措怨恨不已。尤其值得玩味的是，为了达成妥协，作为天子的周平王和作为? 赏析二 文章先简要记述了事情的前因后果，一方面揭示了郑庄公两次入侵东周之地，强逼平王立质、咄咄逼人的姿态;另一方面则反映了东周王室已然衰微、任人欺凌、委曲求全的历史情状。并由此得出结论，周天子与郑庄公想通过交换人质来缓解矛盾、取信对方的做法是不可靠、也不可取的，因为周郑之间并没有诚信之心，又不依“礼”行事，? 创作背景 在自春秋起始的东周，从平王东迁立国，就天下大乱，礼崩乐坏，连姬姓的宗室诸侯也不再忠心辅佐。天子和诸侯的信用，要用交换人质来作保证，成为笑谈。郑庄公不循礼法开了先例，王纲已堕。而后，周王室与执政大臣郑伯发生信任危机，郑国是西周末至战国初重要诸侯国之一，郑桓公曾经是周朝朝廷的司徒，郑武公也在周平王时出任? 作者介绍 左丘明 左丘明 (前556年,前451年)，姓丘，名明。汉族，春秋末期鲁国都君庄(今山东省肥城市石横镇东衡鱼村)人。相传为春秋末期曾任鲁国史官，是中国古代伟大的史学家、文学家、思想家、军事家。晚年双目失明，相传著有中国重要的史书巨著《左氏春秋》(又称《左传》)和《国语》，两书记录了不少西周、春秋的重要史事，保存了具有很高价值的原始资料。由于史料翔实，文笔生动，引起了古今中外学者的爱好和研讨。被誉为“文宗史圣”“经臣史祖”。孔子、司马迁均尊左丘明为“君子”。历代帝王多有敕封:唐封经师;宋封瑕丘伯和中都伯;明封先儒和先贤。...