信息安全技術(shù) 公共域名服務(wù)系統(tǒng)安全要求編制說明

國家標(biāo)準(zhǔn)報(bào)批資料國家標(biāo)準(zhǔn)《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》（征求意見稿）編制說明一、工作簡況1.1任務(wù)來源根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2020年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制修訂計(jì)劃，國家標(biāo)準(zhǔn)《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》由中國互聯(lián)網(wǎng)絡(luò)信息中心負(fù)責(zé)進(jìn)行修訂，標(biāo)準(zhǔn)項(xiàng)目編號(hào)為2020BZXD-WG6-001。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。1.2主要起草單位和工作組成員中國互聯(lián)網(wǎng)絡(luò)信息中心負(fù)責(zé)主要起草，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、華為技術(shù)有限公司、阿里云計(jì)算有限公司、北京奇虎科技有限公司、中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心、橫琴密達(dá)科技有限責(zé)任公司、國防科技大學(xué)、啟明星辰信息技術(shù)集團(tuán)股份有限公司等單位共同參與了該標(biāo)準(zhǔn)的起草工作。本標(biāo)準(zhǔn)工作組成員包括：李洪濤、姚健康、周琳琳、曾宇、董科軍、延志偉、張曼、舒敏、陳悅、樊洞陽、宋林健、張屹、韓永飛、蔡志平、吳雙力、鄧軼。1.3主要工作過程(一)標(biāo)準(zhǔn)制定的主要工作過程如下：1) 2019年1月成立了資深專家組成的《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》標(biāo)準(zhǔn)編寫組。2) 2019年4月，參加全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2019年第一次工作組“會(huì)議周”WG6工作組會(huì)議。會(huì)議評(píng)議了《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》立項(xiàng)建議，討論了草案初稿，確定了本標(biāo)準(zhǔn)的內(nèi)容要求。會(huì)議擬支持標(biāo)準(zhǔn)修訂。3) 2019年5月-2020年3月，完善各方提出的修改意見，對(duì)草案稿陸續(xù)進(jìn)行修訂。4) 2020年8月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)關(guān)于2020年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)發(fā)布通知，《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》修訂項(xiàng)目通過立項(xiàng)。5) 2020年10月，召開《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》國家標(biāo)準(zhǔn)項(xiàng)目啟動(dòng)會(huì)。6) 2020年11月12日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2020年第二次工作組“會(huì)議周”上，WG6組討論了本標(biāo)準(zhǔn)的草案稿，與會(huì)代表提出修改意見，并同意推動(dòng)標(biāo)準(zhǔn)進(jìn)入征求意見稿。7) 2020年11-2020年12月，《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》編寫組對(duì)標(biāo)準(zhǔn)意見進(jìn)行修改，形成征求意見稿。(二)標(biāo)準(zhǔn)征求意見的落實(shí)情況如下：1) 2020年11月12日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2020年第二次工作組“會(huì)議周”WG6工作組會(huì)議上，與會(huì)代表對(duì)標(biāo)準(zhǔn)草案進(jìn)行了認(rèn)真討論，提出了修改意見。會(huì)后，編寫組對(duì)草案稿進(jìn)行了修改，并提交征求意見稿。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題2.1編制原則本標(biāo)準(zhǔn)吸取國際上先進(jìn)的公共域名服務(wù)系統(tǒng)安全標(biāo)準(zhǔn)的相關(guān)理念，結(jié)合我國當(dāng)前域名系統(tǒng)安全現(xiàn)狀，針對(duì)公共域名系統(tǒng)存在的問題，修訂了國家標(biāo)準(zhǔn)GB/T33134-2016《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》。在標(biāo)準(zhǔn)修定過程中，還力求做到符合國家的有關(guān)政策法規(guī)要求；與已頒布實(shí)施的相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)；與信息安全的相關(guān)標(biāo)準(zhǔn)要求相適應(yīng)；并適度考慮目前處于發(fā)展成熟過程中的技術(shù)和方法，保持一定的前瞻性。原有標(biāo)準(zhǔn)GB/T33134-2016《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》在2009年提出，2016年正式發(fā)布。之后安全技術(shù)有了新進(jìn)展，為了應(yīng)對(duì)新的安全問題，原標(biāo)準(zhǔn)需要進(jìn)行相應(yīng)修訂以適應(yīng)新技術(shù)。近年來，為了應(yīng)對(duì)域名的隱私泄露問題，國際標(biāo)準(zhǔn)組織互聯(lián)網(wǎng)工程任務(wù)組（IETF）相繼制定了DoH(DNSoverHTTPS，RFC8484)和DoT(DNSoverTLS，RFC7858)標(biāo)準(zhǔn)，對(duì)外提供DNS的安全傳輸服務(wù)。DoH和DoT保證了DNS客戶端與公共遞歸解析服務(wù)器之間的數(shù)據(jù)加密傳輸，改善了客戶端與遞歸解析服務(wù)之間的傳輸安全問題，加強(qiáng)了用戶訪問互聯(lián)網(wǎng)的安全性、解析穩(wěn)定和隱私保護(hù)。在原標(biāo)準(zhǔn)發(fā)布時(shí)，針對(duì)DNS最后一公里的查詢安全問題，國內(nèi)外還沒有成熟的技術(shù)解決方案，相關(guān)技術(shù)未體現(xiàn)在原有標(biāo)準(zhǔn)里，因此有必要遵循現(xiàn)有技術(shù)的發(fā)展趨勢(shì)，增加從用戶客戶端到遞歸服務(wù)器的DNS最后一公里查詢安全問題，完善公共域名服務(wù)系統(tǒng)的防護(hù)鏈。本標(biāo)準(zhǔn)主要規(guī)定公共域名服務(wù)系統(tǒng)的基本要求、技術(shù)要求以及管理要求等內(nèi)容。本標(biāo)準(zhǔn)適用于頂級(jí)域名服務(wù)系統(tǒng)，其他各級(jí)域名服務(wù)系統(tǒng)、遞歸域名服務(wù)系統(tǒng)的開發(fā)和管理。適用于開展公共域名服務(wù)系統(tǒng)的單位使用。本標(biāo)準(zhǔn)在定義域名系統(tǒng)（DNS）的基本概念、組成和架構(gòu)的基礎(chǔ)上，規(guī)定了國家關(guān)鍵基礎(chǔ)設(shè)施DNS總體技術(shù)要求，并做出域名系統(tǒng)安全部署指南。2.2確定主要內(nèi)容的依據(jù)本標(biāo)準(zhǔn)基于GB/T33134-2016《信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求》進(jìn)行修訂。2.3解決的主要問題本標(biāo)準(zhǔn)對(duì)公共域名服務(wù)系統(tǒng)的安全技術(shù)進(jìn)行了規(guī)范。本標(biāo)準(zhǔn)提出的目的是為了從宏觀上規(guī)定目前存在于整個(gè)DNS系統(tǒng)體系的安全問題，推廣安全協(xié)議以及增強(qiáng)域名服務(wù)體系的安全措施。從而在各個(gè)層次上提高域名系統(tǒng)的抗攻擊性，減少安全漏洞。本標(biāo)準(zhǔn)發(fā)布后，將為我國公共域名服務(wù)體系的安全運(yùn)行提供依據(jù)，有助于提升我國域名服務(wù)整體的安全性和穩(wěn)定性。本標(biāo)準(zhǔn)主要規(guī)定了公共域名服務(wù)系統(tǒng)的基本要求、技術(shù)要求以及管理要求等內(nèi)容。本標(biāo)準(zhǔn)在定義域名系統(tǒng)（DNS）的基本概念、組成和架構(gòu)的基礎(chǔ)上，規(guī)定了國家重要基礎(chǔ)設(shè)施DNS總體技術(shù)要求，并提出域名系統(tǒng)安全部署指南。三、主要試驗(yàn)[或驗(yàn)證]情況分析本標(biāo)準(zhǔn)已經(jīng)通過中國互聯(lián)網(wǎng)絡(luò)信息中心的多年驗(yàn)證，此標(biāo)準(zhǔn)的相關(guān)技術(shù)要求合理可行。如果按照此標(biāo)準(zhǔn)實(shí)施，將更好的保證公共域名系統(tǒng)的解析安全。四、知識(shí)產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)發(fā)布后，將為我國公共域名服務(wù)體系的安全運(yùn)行提供依據(jù)，有助于提升我國域名服務(wù)整體的安全性和穩(wěn)定性，從而在各個(gè)層次上提高域名系統(tǒng)的抗攻擊性，減少安全漏洞，避免由此遭受的經(jīng)濟(jì)損失。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)定義一個(gè)可操作的安全標(biāo)準(zhǔn)，指導(dǎo)各機(jī)構(gòu)提升域名服務(wù)安全。目前沒有完全對(duì)應(yīng)的國際標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)參考引用的國際標(biāo)準(zhǔn)包括：IETFRFC1034域名系統(tǒng)-----概念和基礎(chǔ)設(shè)施IETFRFC1035域名系統(tǒng)的實(shí)現(xiàn)與詳述IETFRFC2845TSIG協(xié)議IETFRFC4033DNSSEC介紹與需求IETFRFC4034資源記錄支持DNSSEC擴(kuò)展IETFRFC4035支持DNSSEC的協(xié)議修改IETFRFC7858基于TLS的DNS傳輸IETFRFC8484基于HTTPS的DNS傳輸七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)與現(xiàn)行法律法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)沒有沖突和矛盾。八、重大分歧意見的處理經(jīng)過和依據(jù)編制過程中未出現(xiàn)重大分歧。九、標(biāo)準(zhǔn)性質(zhì)的建議本標(biāo)準(zhǔn)定義一個(gè)可操作的安全標(biāo)準(zhǔn)，指導(dǎo)各單位提升域名服務(wù)安全。建議本標(biāo)準(zhǔn)以推薦性標(biāo)準(zhǔn)發(fā)布。十、貫徹標(biāo)準(zhǔn)的