ممارسات المركز السعودي لمعلومات الشبكة (SaudiNIC) لتطبيق الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) 

تهدف هذه الوثيقة إلى بيان وتوثيق الممارسات والإجراءات والضوابط الأمنية التي يعمل بها المركز السعودي لمعلومات الشبكة (SaudiNIC) لتطبيق الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) وذلك على النطاقات العلوية السعودية والتي يديرها ويشرف عليها المركز السعودي لمعلومات الشبكة

١. مقدمة

تهدف هذه الوثيقة إلى بيان وتوثيق الممارسات والإجراءات والضوابط الأمنية التي يعمل بها المركز السعودي لمعلومات الشبكة (SaudiNIC) لتطبيق الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) وذلك على النطاقات العلوية السعودية والتي يديرها ويشرف عليها المركز السعودي لمعلومات الشبكة ( .sa و .السعودية). وتعتمد هذه الوثيقة على الوثيقة المرجعية RFC 6841، وعنوانها: "A Framework for DNSSEC Policies and DNSSEC Practice Statements."

١.١ نظرة عامة

الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) هو تطوير لنظام أسماء النطاقات الحالي (DNS) بحيث يوفر إمكانيات التحقق من صحة البيانات وأنها لم تُبدل ولم يعبث بها أثناء انتقالها خلال شبكة الإنترنت وأنها آتية من مصدرها الصحيح. ويتحقق ذلك من خلال تبني المفاتيح العامة للتشفير ضمن هيكلية خدمة أسماء النطاقات لتشكيل سلسلة موثوقة نابعة من منطقة الجذر (root zone).

٢.١ التعريف واسم الوثيقة

  • عنوان الوثيقة: ممارسات المركز السعودي لمعلومات الشبكة (SaudiNIC) لتطبيق الامتداد الآمن لنظام أسماء النطاقات (DNSSEC)
  • الإصدار: 1.0
  • تاريخ الإنشاء:7 يونيو 2017م

٣.١ مجال التطبيق

خصصت هذه الوثيقة حصريا للنطاقات العلوية السعودية والتي يتم إدارتها من قبل المركز السعودي لمعلومات الشبكة ( .sa و .السعودية). وهي تصف الإجراءات والضوابط الأمنية المطبقة عند إدارة واستخدام مفاتيح التشفير والتوقيعات الإلكترونية لملفات النطاقات العلوية السعودية.

١.٣.١ مركز التسجيل (Registry)

يقوم المركز السعودي لمعلومات الشبكة (SaudiNIC) بمهام مركز التسجيل للنطاقات العلوية السعودية (.sa و .السعودية). ويعني ذلك أن المركز مسؤول عن إدارة جميع البيانات المرتبطة بتسجيل وتعديل وحذف أسماء نطاقات المستوى الثاني (تحت الامتدادات .SA و .السعودية) وأسماء نطاقات المستوى الثالث (تحت النطاقات الفرعية com.sa, net.sa, gov.sa, org.sa, edu.sa, med.sa, sch.sa, pub.sa). والمركز مسؤول أيضا عن إنشاء المفاتيح العامة والخاصة ومسؤول عن حماية سرية المفاتيح الخاصة لكل من مفتاح توقيع المفاتيح (KSK) ومفتاح توقيع ملفات أسماء النطاقات (ZSK) والمستخدمة في توقيع سجلات ملفات أسماء النطاقات (DNS resource records) للنطاقات العلوية السعودية. بالإضافة إلى ذلك، يعد المركز مسئولا عن تزويد الملف الجذري (root zone) بسجل توثيق توقيع التفويض (Delegation Signer - DS) والمستخدمة للنطاقات العلوية السعودية.

٢.٣.١ وكيل التسجيل (Registrar)

هي الجهة المخولة من قبل المركز لتقديم خدمات التسجيل للمسجلين، و

يكون وكيل التسجيل - في حال وجوده - مسؤولا عن إدارة وتنظيم أسماء النطاقات نيابة عن المسجلين (Registrants). وهو مسؤول أيضا عن تسجيل وتحديث سجلات توثيق توقيع التفويض (DS Records) الخاصة بأسماء نطاقات عملائه (المسجلين) والمسجلة لدى المركز.

٣.٣.١ المسجل (Registrant)

هو شخص طبيعي أو معنوي طلب أو سيقوم بطلب خدمات التسجيل من المركز، سواء بشكل مباشر أو عن طريق طرف ثالث، ويمكن أن يكون أيضا أحد المسجلين الحاليين لاسم نطاق سعودي.

تكون المسؤولية كاملة على المسجل للتأكد من صحة وسلامة التوقيعات الإلكترونية لملفات النطاقات التابعة له وكذلك لتسجيل وتحديث سجلات توثيق توقيع التفويض (DS Records) الخاصة بهذه النطاقات. ويمكن للمسجل - عند الحاجة - تفويض التوقيعات الإلكترونية وإدارة المفاتيح إلى طرف ثالث (مثل وكلاء التسجيل أو مزودي خدمات الإنترنت).

٤.٣.١ الجهات ذات العلاقة

هي الجهات التي تستخدم بيانات الامتداد الآمن لنظام أسماء النطاقات (DNSSEC)، مثل - على سبيل المثال لا الحصر - مزودي خدمات الإنترنت وذلك عن طريق استخدام أدوات التحقق (validating resolvers) أو غيرها من التطبيقات. تكون هذه الجهات مسؤولة عن المحافظة على روابط الثقة (DNSSEC trust anchors) وما يتبعها من تجهيز وتهيئة.

٥.٣.١ قابلية التطبيق

كل مسجل مسؤول عن تحديد المستوى المناسب من الأمان للنطاق الخاص به. وهذه الوثيقة مخصصة حصريا للنطاقات العلوية السعودية ( .sa و .السعودية)، وهي تصف الإجراءات والضوابط الأمنية المطبقة عند إدارة واستخدام مفاتيح التشفير والتوقيعات الإلكترونية لملفات النطاقات العلوية السعودية.

ويمكن للجهات ذات العلاقة، استنادا على هذه الوثيقة، تحديد مستوى الثقة التي يمكن أن يمنحها الامتداد الآمن لنظام أسماء النطاقات (DNSSEC)، وعليه تقييم المخاطر التي يمكن أن تلحق بهم.

٤.١ إدارة الوثيقة

سيتم مراجعة وتحديث هذه الوثيقة بشكل دوري حسب الحاجة.

١.٤.١ الجهة المعنية بإدارة الوثيقة

المركز السعودي لمعلومات الشبكة (SaudiNIC)، التابع لهيئة الاتصالات والفضاء والتقنية (CITC).

٢.٤.١ الاتصال

المركز السعودي لمعلومات الشبكة، هيئة الاتصالات والفضاء والتقنية، ص.ب: 75606، الرياض 11588، المملكة العربية السعودية

:هاتف +966-11-4619488

:فاكس +966-11-4619480

الموقع الإلكتروني : www.nic.sa

٣.٤.١ إجراءات تحديث الوثيقة

سيؤدي أي تغيير على هذه الوثيقة إلى إصدار نسخة جديدة منها، وسيتم نشر النسخة الأحدث من هذه الوثيقة على الموقع الإلكتروني للمركز: www.nic.sa.

٢. النشر والحفظ

١.٢ موقع النشر

يتم نشر جميع المعلومات المتعلقة بالامتداد الآمن لنظام أسماء النطاقات (DNSSEC) على موقع المركز: www.nic.sa

٢.٢ نشر مفتاح توقيع المفاتيح (KSK)

يتم إعلان ونشر الجزء العام من مفتاح توقيع المفاتيح (KSK) من خلال سجل المفاتيح (DNSKEY record) ضمن ملف النطاق ذي الصلة، وأيضا من خلال سجل توثيق توقيع التفويض (DS record) لدى ملف النطاق الأعلى (مثال: الملف الجذري root zone).

٣.٢ التحكم في الوصول

جميع المعلومات المتعلقة بالامتداد الآمن لنظام أسماء النطاقات (DNSSEC) والمنشورة على موقع النشر متاحة للعموم.

٣. المتطلبات التشغيلية

١.٣ معنى أسماء النطاقات

يمكن الاطلاع على المقصود بأسماء النطاقات والغرض منها في تنظيمات تسجيل أسماء النطاقات السعودية.

٢.٣ تفعيل الامتداد الآمن للنطاقات المسجلة

يتم تفعيل الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) لنطاق مسجل مع المركز بعد طلب المسجل لذلك بشرط أن يتم تزويد المركز بسجل توثيق توقيع التفويض (DS Record) بشكل صحيح وأيضا بعد نشره في ملف النطاقات الأعلى التابع له.

تقع على المسجل المسؤولية كاملة عن صحة وسلامة سجلات توثيق توقيع التفويض (DS Record) الخاصة بأسماء نطاقاته المسجلة مع المركز. ومن المحتمل – إذا لزم الأمر - أن يقوم المركز بإجراء عمليات التحقق الفني لتلك السجلات بشكل دوري.

٣.٣ التعريف والتحقق بالمسؤول عن النطاق

تقع مسؤولية إثبات والتحقق من المسؤول عن اسم نطاق سعودي مسجل مع المركز من ضمن اختصاصات المركز أو وكلاء التسجيل إذا تم التسجيل من خلالهم.

٤.٣ تسجيل سجلات توثيق توقيع التفويض (DS)

يقبل المركز سجلات توثيق توقيع التفويض (Delegation Signer – DS Records) من المسجل مباشرةً أو من خلال وكلاء التسجيل. ويسمح بتسجيل حتى ستة سجلات كحد أقصى لكل اسم نطاق.

يمكن للمسجل إدخال بيانات سجل توثيق توقيع التفويض مستخدما النموذج المخصص لذلك في بوابة المركز الإلكترونية، وفي تلك الحالة يجب أن تكون بيانات السجل سليمة ومدخلة وفق الصيغة المحددة في الوثيقة المرجعية (RFC 4034).

وفي حالة قيام وكيل التسجيل بإضافة السجل نيابة عن المسجل، فإنه يتحتم على وكيل التسجيل استخدام الواجهة المخصصة لذلك والتي تعتمد على بروتوكول التزويد القابل للتوسع (EPP). وسيتم التعرف والتحقق من هوية الوكيل من خلال هذه الواجهة، ومن ثم يتعين على الوكيل تزويد المركز بالسجل المطلوب بشكل سليم وبالصيغة المحددة في الوثيقة المرجعية (RFC 5910).

٥.٣ طريقة إثبات حيازة المفتاح الخاص

لا يقوم المركز بإجراء أي عملية للتحقق أو للتأكد من حيازة المسجل للمفتاح الخاص والمتعلق باسم النطاق المسجل له مع المركز ولا من كيفية إدارته لذلك المفتاح.

٦.٣ حذف سجل توثيق توقيع التفويض (DS Record)

يتقبل المركز طلبات الحذف من المسجل مباشرة أو عن طريق وكيل التسجيل.

يمكن للمسجلين حذف سجلات توثيق توقيع التفويض (DS Records) الخاص بهم مباشرة عن طريق نظام التسجيل الذي يوفره المركز، أو من خلال تخويل وكيل التسجيل للقيام بذلك.

وفي حال كان الحذف من قبل وكيل التسجيل نيابة عن المسجل، فعلى وكيل التسجيل استخدام الواجهة المخصصة لذلك والتي تعتمد على بروتوكول التزويد القابل للتوسع (EPP)، وسوف يتم التعرف والتحقق من هوية الوكيل من خلال هذه الواجهة.

إذا تم حذف جميع سجلات توثيق توقيع التفويض (DS records) لنطاق مسجل فإن خاصية الامتداد الآمن لذلك النطاق تكون معطلة. مع العلم بأن المركز يمكن أن يحذف السجلات التي لم يتم تهيئتها بطريقة صحيحة وسليمة.

٤. الضوابط الإدارية والتشغيلية للمرافق

١.٤ الضوابط المادية

١.١.٤ موقع التشغيل

يتم تشغيل البنية التحتية للمركز (SaudiNIC) على الأقل من مكانين منفصلين وفي أماكن متباعدة جغرافيا.

٢.١.٤ دخول الأشخاص

يقتصر الدخول لمواقع التشغيل على الأشخاص المصرح لهم.

٣.١.٤ الطاقة والتبريد

تتوفر الطاقة عبر مغذيات منفصلة ومستقلة، وفي حال انقطاعها يتم استخدام وحدات إمدادات الطاقة غير المنقطعة (UPS) وكذلك مولدات الطاقة الاحتياطية. وجميع مراكز التشغيل مجهزة بأنظمة تبريد وتكييف الهواء.

٤.١.٤ الوقاية من الفيضانات

جميع مراكز التشغيل تقع في مناطق غير مهددة بالفيضانات لذلك لا يوجد حاجة لإجراءات الوقاية من الفيضانات.

٥.١.٤ الحماية والوقاية من الحرائق

تستوفي جميع مراكز التشغيل أنظمة ولوائح السلامة المحلية، وجميع المرافق مجهزة بأجهزة الكشف عن الحريق إضافة إلى أجهزة إطفاء الحرائق.

٦.١.٤ تخزين الوسائط

يتم تخزين وسائط البيانات الحساسة في مكان آمن ومحمي ضد الحرائق ولا يمكن الوصول إليه إلا من قبل الأشخاص المصرح لهم بذلك.

٧.١.٤ التخلص من المهملات

جميع الوثائق ووسائط التخزين السرية يتم تمزيقها أو إتلافها قبل التخلص منها.

٨.١.٤ النسخ الاحتياطي خارج الموقع

هناك نسخ احتياطية لجميع الأنظمة في مكتبة تخزين خارجية بإحدى مراكز التشغيل المنفصلة.

٢.٤ الضوابط الإجرائية

١.٢.٤ الأدوار الموثوقة

يوكل ما يسمى بـ "الأدوار الموثوقة" إلى الموظفين ذوي الخبرة ممن حصلوا على تدريب عالي ويكون بمقدورهم الوصول والتحكم بعمليات التشفير مما يتيح لهم تنفيذ جميع المهام المتعلقة بالامتداد الآمن لنظام أسماء النطاقات (DNSSEC)، مثل:

  • إنشاء المفاتيح
  • حماية الجزء الخاص للمفاتيح
  • نشر الجزء العام للمفاتيح
  • توقيع ملف أسماء النطاقات

ومن غير المسموح أداء هذه المهام بوجود أشخاص غير مصرح لهم، وتشمل الأدوار الموثوق ما يلي:

  • مسؤول النظام (SA)
  • أخصائي الامتداد الآمن لنظام أسماء النطاقات (DSS)

بالإضافة إلى ما سبق فيوجد دور إضافي هو الشاهد (WI)، وهو شخص متواجد خلال أداء العمليات ولكن ليس له دور في تنفيذها، ولكن يحق للشاهد الاستفسار والاستيضاح من المنفذين خلال أي مرحلة من مراحل تنفيذ العمليات الخاصة بالامتداد الآمن لنظام أسماء النطاقات، ويمكن تمثيل دور الشاهد من داخل أو خارج الهيئة.

٢.٢.٤ المهام التي تتطلب فصل المسؤوليات

تتطلب أي مهمة يتم تنفيذها على مفاتيح النظام المخصص للتواقيع الإلكترونية من تواجد شخص واحد على الأقل من مسؤول النظام، وشخص واحد على الأقل من أخصائي الامتداد الآمن، بحيث لا يمكن لشخص واحد أن يمثل دورين مختلفين، ولابد من حضور مدير المركز أو من ينوب عنه.

٣.٤ ضوابط الموظفين

١.٣.٤ المؤهلات والخبرات

يجب أن يكون الموظفين المشاركين في الأدوار الموثوقة ممن أمضوا عام واحد على الأقل في العمل لدى المركز أو الهيئة وأن يكون لديهم جميع المؤهلات والكفاءات المطلوبة.

٢.٣.٤ التحقق من الخلفية

يتم إجراء عمليات تحقق عن خلفية الموظفين المشاركين في الأدوار الموثوقة.

٣.٣.٤ متطلبات التدريب

يقدم المركز التدريب اللازم على نظام أسماء النطاقات (DNS) والامتداد الآمن لنظام أسماء النطاقات (DNSSEC) للموظفين المشاركين في الأدوار الموثوقة.

٤.٣.٤ متطلبات الموظفين المتعاقدين

لا يسمح بالوصول لأنظمة الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) سوى للموظفين الموكل إليهم أدوار موثوقة بشكل محدد. أما إذا استلزم الأمر الاستعانة بموظف خارجي، فإنه يجب أن يصاحب هذا الموظف ويراقبه دائما عدد اثنين على الأقل من موظفي هيئة الاتصالات والفضاء والتقنية (CITC) ممن يوكل اليهم دور أو أكثر من الأدوار الموثوقة.

٥.٣.٤ الوثائق المقدمة إلى الموظفين

يوفر المركز الوثائق اللازمة للموظفين لأداء أعمالهم بطريقة آمنة ومناسبة.

٤.٤ إجراءات تدقيق التسجيل

يتم حفظ تسجيل الوقائع (logging) لجميع الأنشطة التي تحدث من خلال أنظمة المركز تلقائيا وبشكل مستمر. ويتم استخدام بيانات سجل الوقائع في مراقبة العمليات، ولأغراض إحصائية، ولغرض التحقيق في الحالات التي يشتبه فيها بحدوث انتهاك لتنظيمات ولوائح المركز.

١.٤.٤ أنواع الوقائع المسجلة

يتم تسجيل الوقائع التالية للكشف عن أي عملية خاطئة أو غير نظامية:

  • الدخول إلى جميع مرافق مراكز التشغيل
  • محاولات الوصول عن بعد (الناجحة وغير الناجحة) إلى جميع أنظمة الامتداد الآمن لنظام أسماء النطاقات (DNSSEC)
  • أي نوع من عمليات الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) ، مثل إنشاء المفتاح، استبدال المفاتيح، إلخ...).

٢.٤.٤ معالجة سجل الوقائع

يتم فحص جميع سجلات الوقائع بشكل منتظم ومتى اقتضت الضرورة بواسطة عدد من الطرق اليدوية والآلية.

٣.٤.٤ فترة الاحتفاظ بسجل الوقائع

يتم الاحتفاظ بملفات سجل الوقائع لمدة 30 يوم على الأقل على جهاز تجميع الوقائع. وبعد ذلك يتم أرشفتها إلكترونيا على أنظمة النسخ الاحتياطي لمدة لا تقل عن 3 أشهر.

٤.٤.٤ حماية سجل التدقيق

يقتصر الوصول إلى سجلات الوقائع على الموظفين المصرح لهم.

٥.٤.٤ إجراءات النسخ الاحتياطي لسجل الوقائع

يتم نسخ سجل الوقائع احتياطيا على وسائط تخزين خارجية بشكل دوري، وتحفظ هذه الوسائط في أحد مراكز التشغيل المنفصلة. أيضا يتم نسخ السجلات الورقية احتياطيا عن طريق المسح الضوئي وتخزينها إلكترونيا.

٦.٤.٤ نظام جمع سجل الوقائع

يتم نقل بيانات سجل الوقائع الإلكترونية وبشكل فوري إلى أحد أنظمة التجميع.

٧.٤.٤ الإشعار عن المواضيع المسببة للأحداث

لا يتم إشعار أي شخص يقوم بتحفيز حدث معين عن العمل الذي قام به ولا بوجود عملية تسجيل للحدث.

٨.٤.٤ تقييم مواطن الضعف

يتم دراسة الحالات الغريبة والشاذة في سجل الوقائع لغرض تحليل مواطن الضعف المحتملة.

٥.٤ التعافي من الاختراقات والكوارث

١.٥.٤ إجراءات التعامل مع الحوادث والاختراقات

إذا تم اختراق الجزء الخاص من المفتاح المستخدم حاليا والمتعلق بتوقيع المفاتيح أو بتوقيع ملف اسم النطاق (KSK أو ZSK) أو حتى الشك في حدوث ذلك فسيتم تنفيذ إجراء طارئ لاستبدال المفتاح.

٢.٥.٤ تلف المعدات أو البرمجيات أو المعلومات

في حالة تلف أحد الأجهزة يتم استبدال الجزء (أو الأجزاء) التالفة على الفور (يوجد عقود مع جميع موردي الأجهزة لتوفير الخدمة بشكل كامل). وفي حال حدوث مشكلة في البرمجيات أو البيانات فسوف يقوم المركز بتنفيذ إجراءات الإصلاح وفقا لخطط الإصلاح المحددة مسبقا.

٣.٥.٤ استمرارية الأعمال وقدرات التعافي من الكوارث

في حال تعطل خدمات الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) بسبب مشكلة في مقر مركز البيانات، على سبيل المثال، يقوم المركز باستعادة الخدمة (الخدمات) وفقا لخطة التعافي من الكوارث لدى المركز.

٦.٤ إنهاء الخدمة

إذا أصبح ضروريا إيقاف خدمات الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) لأي سبب من الأسباب فسيتم ذلك بطريقة منظمة، وسوف يتم إبلاغ العموم بشأن تلك الحالة. وإذا لزم الأمر نقل عملية التشغيل لجهة أخرى، فسوف يشارك المركز في عملية النقل لضمان إتمامها بأقصى سلاسة ممكنة.

٥. ضوابط الأمن التقني

١.٥ إنشاء وتنصيب زوج المفاتيح

١.١.٥ إنشاء زوج المفاتيح

يتم إجراء عملية إنشاء أزواج المفاتيح (العامة والخاصة) من خلال وحدة التشفير والتي يتولى إدارتها موظفين مدربين ومعينين لهذا الغرض تحديدا وفقا لأدوارهم الموثوقة، و تتم هذه الإجراءات متى ما استدعت الضرورة ذلك (على سبيل المثال قبل الاستبدال المخطط للمفتاح)، مع العلم أنه يتعين إجراءها بحضور اثنين على الأقل من الموظفين الموكلة إليهم أدوار موثوقة، كما يجب أن يكون هؤلاء الموظفين حاضرين أثناء العملية برمتها وبمشاركة شاهد (في الحالات العادية). ويتم تسجيل كافة وقائع إجراءات إنشاء المفتاح بشكل إلكتروني وتوثيقها يدويا من قبل أخصائي الامتداد الآمن (DSS).

٢.١.٥ نشر المفتاح العام

يتم نشر الجزء العام لكل مفتاح من نوع (KSK) وفقا لما ذكر في القسم 2.2، ويتم تزويد ملف النطاق الأعلى (parent zone) بهذا المفتاح عن طريق سجل توثيق توقيع التفويض (DS record). كما يتم نشر الجزء العام لكل مفتاح من نوع (ZSK) في ملف النطاق ذو العلاقة كسجل مفاتيح (DNSKEY Record).

٣.١.٥ إنشاء مواصفات المفتاح العام وفحص الجودة

تم تعريف مواصفات المفتاح في القسم 6، وتتضمن مراقبة الجودة فحص طول المفتاح.

٤.١.٥ أغراض استخدام المفتاح

يجب استخدام المفتاح المولد لأغراض الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) فقط ولا ينبغي أبدا استخدامه خارج أنظمة التوقيع.

٢.٥ حماية المفتاح العام وضوابط هندسة وحدات التشفير

يتم إجراء كافة عمليات التشفير ضمن وحدة التشفير.

١.٢.٥ معايير وضوابط وحدة التشفير

يستخدم النظام وحدة تشفير تتوافق مع المتطلبات الواردة في وثيقة المرجع (FIPS 140-2) المستوى 2.

٢.٢.٥ التحكم متعدد الأشخاص بالمفتاح الخاص

يلزم وجود ما لا يقل عن 3 من 6 أشخاص لتفعيل وحدة التشفير

٣.٢.٥ إيداع المفتاح لدى طرف ثالث

لا يتم إيداع المفتاح الخاص لدى أي طرف آخر.

٤.٢.٥ النسخ الاحتياطي للمفتاح الخاص

يتم إنشاء وتخزين نسخ احتياطية من المفاتيح الخاصة في وحدتي تشفير على الأقل على أن يتم تخزينها في صيغة مشفرة. كما يتم نسخ أرشيف المفتاح المشفر بشكل آمن ومزامنته بين مراكز التشغيل بعد فترة وجيزة من إنشاء المفتاح.

٥.٢.٥ تخزين المفتاح الخاص في وحدة التشفير

يتم تخزين المفاتيح الخاصة في وحدات التشفير بطريقة مشفرة.

٦.٢.٥ أرشفة المفتاح الخاص

لا يتم أرشفة المفاتيح الخاصة والتي لم تعد قيد الاستخدام في أي شكل معين باستثناء النسخ الاحتياطية العادية.

٧.٢.٥ تحويل المفتاح الخاص من أو إلى وحدة تشفير

يتم نقل المفاتيح الخاصة بين وحدات التشفير بطريقة مشفرة، ويجب ألا تتم عمليات النقل سوى أثناء النسخ الاحتياطي أو استعادة المفاتيح الخاصة ويقوم بإجرائها الموظفين الموكلة إليهم أدوار موثوقة.

٨.٢.٥ طريقة تفعيل المفتاح الخاص

يتم تفعيل المفتاح الخاص الجديد بواسطة فريق يتكون من واحد على الأقل من الأدوار الموثوقة التالية (مسؤول النظام ، أخصائي الامتداد الآمن).

٩.٢.٥ طريقة إتلاف المفتاح الخاص

لا يتم إتلاف المفاتيح الخاصة، ولكن في حالة وصول المفتاح إلى نهاية فترة استخدامه فإنه يتم إزالته من نظام الامتداد الآمن لنظام أسماء النطاقات (DNSSEC).

٣.٥ الجوانب الأخرى لإدارة زوج المفاتيح

١.٣.٥ أرشفة المفتاح العام

لا يتم أرشفة المفاتيح العامة المنتهية وغير المستخدمة

٢.٣.٥ فترة استخدام المفتاح

يصبح المفتاح غير صالح بمجرد أن يخرج خارج نطاق الاستخدام،

ولا يعاد استخدام المفاتيح القديمة.

٤.٥ بيانات التفعيل

١.٤.٥ إنشاء وتنصيب بيانات التفعيل

يكون كل موظف موكل إليه دور موثوق مسؤولاً عن إنشاء بيانات التفعيل الخاصة به.

٢.٤.٥ حماية بيانات التفعيل

يكون كل موظف موكل إليه دور موثوق مسؤولاً عن حماية بيانات التفعيل الخاصة به. إذا كان هناك اشتباه بحدوث اختراق لبيانات التفعيل، تقع المسؤولية على عاتق الموظف في تغييرها بشكل فوري.

٣.٤.٥ الجوانب الأخرى لبيانات التفعيل

كجزء من خطط الطوارئ، تكون هناك نسخ لجميع بيانات التفعيل في مظاريف مغلقة ومختومة مع تخزينها في مكان آمن.

٥.٥ ضوابط أمن الحاسبات

يتم تسجيل وقائع النفاذ إلى كافة المكونات الحاسوبية وأنظمة التسجيل مع إمكانية تتبعها. كما يتم أيضا تسجيل جميع وقائع العمليات الهامة التي تجرى على تلك الأنظمة، ويجب أن يستخدم جميع الموظفين المخول لهم صلاحية الدخول إلى تلك الأنظمة بيانات الاعتماد الخاصة بهم، ولا يسمح باستخدام بيانات دخول مشتركة.

٦.٥ ضوابط أمن الشبكات

تقسم أنظمة التسجيل إلى عدد من الشبكات المحلية الافتراضية (VLANs) والمناطق الأمنية المختلفة استنادا إلى التصنيف الأمني. ويتم تصفية جميع حركة تدفق البيانات بين تلك المناطق الأمنية بواسطة عدد من طبقات جدار الحماية (Firewall).

٧.٥ التزامن

تقوم أنظمة التسجيل بمزامنة كافة ساعات النظام مع مصادر موثوقة لمزامنة الوقت، بحيث يتم إنشاء جميع الطوابع الزمنية (time stamps) بواسطة نظام التسجيل وفق التوقيت العالمي (UTC).

٨.٥ ضوابط دورة الحياة الفنية

١.٨.٥ ضوابط تطوير النظام

يتم تقييم وتجربة جميع التطبيقات المستخدمة لتنفيذ الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) قبل اعتمادها في بيئة تجريبية تخضع لإطار اختبار محدد مسبقا. وبعد إكمال جميع الاختبارات بنجاح يمكن فقط حينها وضع البرنامج قيد الاستخدام الفعلي وفقا للإجراءات المحددة سلفا.

٢.٨.٥ ضوابط إدارة النظام

يتم تكرار عمليات التدقيق الأمني على فترات منتظمة.

٦. توقيع المنطقة

١.٦ خوارزميات وأطوال المفتاح

تستخدم خوارزمية RSA بمفتاح طوله 2048 خانة ثنائية (bits) في إنشاء مفاتيح توقيع المفتاح (KSKs) وبمفتاح طوله 2048 خانة ثنائية في إنشاء مفاتيح توقيع ملف النطاق (ZSKs).

٢.٦ توثيق نفي الوجود

يتم تقديم نفي الوجود الموثق عن طريق استخدام سجل توثيق النفي (NSEC3 records) كما هو محدد في الوثيقة المرجعية (RFC 5155).

٣.٦ صيغة التوقيع

خوارزمية التوقيع الرقمي المستخدمة في توقيع ملف النطاق العلوي (TLD zone) هي RSA/ SHA-2 كما هو محدد في الوثيقة المرجعية RFC 5702.

٤.٦ استبدال مفتاح توقيع ملف النطاق

يتم استبدال مفتاح توقيع ملف النطاق (ZSK) كل 6 أشهر.

٥.٦ استبدال مفتاح توقيع المفتاح

يتم استبدال مفتاح توقيع المفاتيح (KSK) إذا دعت الحاجة.

٦.٦ عمر التوقيع وتواتر إعادة التوقيع

يتم توقيع سجلات ملف النطاق (RRsets) باستخدام مفتاح توقيع ملف النطاق (ZSK) بفترة صلاحية تتراوح بين 12 إلى 16 يوم. وتتم إعادة التوقيع تلقائيا وبشكل يومي ولا يتم إعادة الإنشاء سوى للتوقيعات التي اقترب موعد انتهاء صلاحيتها.

٧.٦ التحقق من سجلات ملف النطاق

يقوم المركز بالتحقق من أن جميع سجلات ملف النطاق متوافقة مع المعايير الحالية قبل نشر الملف.

٨.٦ وقت الانتهاء لسجلات ملف النطاق (TTL)

حدد وقت الانتهاء لسجل توثيق توقيع التفويض (DS Records) بعد مرور 3600 ثانية (1 ساعة)، بينما حدد وقت الانتهاء لسجل المفاتيح (DNSKEY Records) وسجل توثيق النفي (NSEC3 Records) بعد مرور 3600 ثانية. وترث سجلات التواقيع (RRSIG Records) وقت الانتهاء الخاص بها من أوقات الانتهاء للسجلات (RRset records) المقابلة والموقعة.

٧. تدقيق الامتثال

يتم إجراء تدقيق لأنظمة وخدمات الامتداد الآمن لنظام أسماء النطاقات (DNSSEC) بصورة دورية، ويتسلم المركز تقارير التدقيق ومن ثم يقوم بتطبيق توصياته التنفيذية متى ما دعت الضرورة ذلك.

٨. المسائل القانونية

تخضع هذه الوثيقة للوائح المركز السعودي لمعلومات الشبكة (SaudiNIC) والأنظمة المعمول بها في المملكة العربية السعودية.