《信息安全技术 安全域名系统实施指南》编制说明

一、任务来源

根据国家标准化管理委员会2011年下达的国家标准制修订计划，国家标准《信息安全

技术安全域名系统实施指南》由山东省标准化研究院负责主办，标准计划号为

20111630-T-469（全国信息安全标准化技术委员会2010年信息安全专项标准制定项目）。

二、编制原则

本标准属于域名系统安全方面的标准，以修改采用国际标准的方式完成。标准编制参照

美国NIST（NationalInstituteofStandardsandTechnology）发布的关于信息安全的指南

SP800中的SP800-81《安全域名系统实施指南》。标准编制以通信行业域名系统运行技术

规范体系为基本依据，广泛深入的研究国外域名系统安全领域标准，结合我国域名系统安全

现状，在研究域名系统面临威胁及保护方法，以及DNS安全扩展机制评的基础上，完成国

家标准《信息安全技术安全域名系统实施指南》的编制。

同时，为使标准能够满足科学、规范地开展安全域名系统实施工作的需要，客观反映我

国域名系统安全水平，规范域名系统安全实施过程，提高标准的可操作性，在标准制定过程

中，还力求做到符合国家的有关政策法规要求；与已颁布实施的相关标准相协调；并适度考

虑目前处于发展成熟过程中的技术，保持一定的前瞻性。

三、主要工作过程

(一)标准制定的主要工作过程如下：

1)2011年10月成立了以山东省标准化研究院为牵头单位，包括中国互联网络信息中

心、深圳市信息安全测评中心、辽宁省信息安全与软件测评认证中心、青岛大学、青岛科技

大学等十余家单位组成的项目组，并于2011年10月28日在山东泰安举办了《信息安全技

术安全域名系统实施指南》国家标准项目启动会。

2)2012年7月17日，参加安标委秘书处在北京召开的2010年和2011年信息安全专

项标准制定项目检查会议，会议领导和专家包括宿忠民、崔书昆、赵战生、王立福、吴源俊、

闵京华、曲成义等。会议评议了《信息安全技术安全域名系统实施指南》草案初稿，各位

专家提出了一些意见和建议。

3)2012年8月－2013年6月，《信息安全技术安全域名系统实施指南》草案初稿专

家意见及建议（参见标准草案稿意见汇总处理表的第1部分）基础上，研讨和完善《信息安

全技术安全域名系统实施指南》草案，2013年7月向安标委WG6提交《信息安全技术安

全域名系统实施指南》草案（第一稿），2013年7月17日，安标委WG6在青岛开会讨论了

《信息安全技术安全域名系统实施指南》草案（第一稿）。

4)2013年8月－2013年9月，按照安标委WG6开会专家的意见对标准进行修改（参

见标准草案稿意见汇总处理表的第2部分），2013年10月形成并提交《信息安全技术安

全域名系统实施指南》草案（第二稿）。

5)2013年10月22日，参加安标委WG6工作组专家审查会，《信息安全技术安全域

名系统实施指南》草案（第二稿）通过了审查。出席审查会的专家包括陈剑勇（组长）、陈

璟、姚建康、沈军、艾明、落红卫、夏俊杰。会后，根据审查会专家意见进行修改（参见标

准草案稿意见汇总处理表的第3部分），形成并提交《信息安全技术安全域名系统实施指

南》草案（第三稿）。

6)2013年12月19日，WG6组织了工作组全体成员大会对《信息安全技术安全域名

系统实施指南》草案（第三稿）进行投票表决，以100%投票率通过了工作组全体成员单位

的投票。会后，对标准意见及标准格式进行修改（参见标准草案稿意见汇总处理表的第4

部分），2014年2月形成并提交《信息安全技术安全域名系统实施指南》征求意见稿。

(二)标准征求意见的落实情况如下：

1)发送《标准草案稿》的单位包括工作组专家（评审）；有建议或意见的单位数共计

12个；没有回函的单位数为0个。

2)共汇集反馈意见37条，其中未采纳的意见3条，其余意见为采纳或部分采纳，具

体参见意见汇总处理表。

四、标准的主要内容

本标准依据国家有关域名系统安全的政策法规，修改采用美国NIST（NationalInstitute

ofStandardsandTechnology）发布的关于信息安全的指南SP800中的SP800-81《安全

域名系统实施指南》，提出了安全域名系统实施的指南。本标准主要内容包括DNS主机环

境安全指南、DNS事务安全指南、DNS数据安全指南和DNS安全管理指南等。

本标准主要框架如下：

1范围

2规范性引用文件

3术语和定义

4缩略语

5DNS主机环境-威胁、安全目标和保护方法

6DNS事务-威胁、安全目标和保护方法

7DNS主机环境安全指南

8DNS事务安全指南

9安全的DNS查询/响应指南

10通过DNS数据内容管理最小化信息泄漏指南

11DNS安全管理操作指南

附录A（资料性附录）具体BIND配置命令

参考文献

五、与相关法律法规及国家有关规定、国内相关标准的关系

1)与相关法律法规及国家有关规定的关系

2010年2月8日工信部发布的《关于加强互联网域名系统安全保障工作的通知》（工

信部保[2010]53号）中指出“加强域名系统安全防护和应急工作。”本标准正是符合此要求，

可以加强域名系统安全防护工作，落实各项安全防护措施的标准。

2)与通信行业域名系统运行技术规范体系的关系

2009年中国互联网络信息中心、北龙中网（北京）科技有限责任公司为主要编制单位，

编制并发布实施了“域名系统运行技术规范体系”系列标准，包括《域名系统安全防护技术

要求》、《域名系统权威服务器运行技术要求》、《域名系统递归服务器运行技术要求》、《域名

服务安全框架技术要求》等9项行业标准，由中国通信标准化协会提出并归口。标准是从整

体公网域名系统角度，对域名体系结构组成、技术要求和安全防护要求提出规范性指南，系

列标准具有宏观规划指导性，在技术操作细节尤其是DNSSEC方面更多的是为用户提供

RFC等文件的引用指导。

本标准是修改采用NISTsp800-81《SecureDomainNameSystem(DNS)Deployment

Guide》标准，标准内容侧重于提供域名服务的主机系统部署要求，通过对提供域名服务的

主机系统的安全部署来保障主机环境安全、事务安全以及数据安全，其为域名主机系统实施

DNSSEC、TSIG提供规范性指南。

因此，行业标准是从整体上规划公网体系下域名系统的架构及安全要求，而本标准更侧

重于为运行域名解析服务的主机系统部署实施DNSSEC提供规范性指南，在内容上是对行

业标准中涉及域名系统安全部分的进一步细化，两者不存在矛盾冲突，