信息安全技术 公共域名服务系统安全要求编制说明

国家标准报批资料国家标准《信息安全技术公共域名服务系统安全要求》（征求意见稿）编制说明一、工作简况1.1任务来源根据全国信息安全标准化技术委员会2020年网络安全标准制修订计划，国家标准《信息安全技术公共域名服务系统安全要求》由中国互联网络信息中心负责进行修订，标准项目编号为2020BZXD-WG6-001。该标准由全国信息安全标准化技术委员会归口管理。1.2主要起草单位和工作组成员中国互联网络信息中心负责主要起草，国家计算机网络应急技术处理协调中心、华为技术有限公司、阿里云计算有限公司、北京奇虎科技有限公司、中国科学院计算机网络信息中心、横琴密达科技有限责任公司、国防科技大学、启明星辰信息技术集团股份有限公司等单位共同参与了该标准的起草工作。本标准工作组成员包括：李洪涛、姚健康、周琳琳、曾宇、董科军、延志伟、张曼、舒敏、陈悦、樊洞阳、宋林健、张屹、韩永飞、蔡志平、吴双力、邓轶。1.3主要工作过程(一)标准制定的主要工作过程如下：1) 2019年1月成立了资深专家组成的《信息安全技术公共域名服务系统安全要求》标准编写组。2) 2019年4月，参加全国信息安全标准化技术委员会2019年第一次工作组“会议周”WG6工作组会议。会议评议了《信息安全技术公共域名服务系统安全要求》立项建议，讨论了草案初稿，确定了本标准的内容要求。会议拟支持标准修订。3) 2019年5月-2020年3月，完善各方提出的修改意见，对草案稿陆续进行修订。4) 2020年8月，全国信息安全标准化技术委员会关于2020年网络安全标准项目立项发布通知，《信息安全技术公共域名服务系统安全要求》修订项目通过立项。5) 2020年10月，召开《信息安全技术公共域名服务系统安全要求》国家标准项目启动会。6) 2020年11月12日，全国信息安全标准化技术委员会2020年第二次工作组“会议周”上，WG6组讨论了本标准的草案稿，与会代表提出修改意见，并同意推动标准进入征求意见稿。7) 2020年11-2020年12月，《信息安全技术公共域名服务系统安全要求》编写组对标准意见进行修改，形成征求意见稿。(二)标准征求意见的落实情况如下：1) 2020年11月12日，全国信息安全标准化技术委员会2020年第二次工作组“会议周”WG6工作组会议上，与会代表对标准草案进行了认真讨论，提出了修改意见。会后，编写组对草案稿进行了修改，并提交征求意见稿。二、标准编制原则和确定主要内容的论据及解决的主要问题2.1编制原则本标准吸取国际上先进的公共域名服务系统安全标准的相关理念，结合我国当前域名系统安全现状，针对公共域名系统存在的问题，修订了国家标准GB/T33134-2016《信息安全技术公共域名服务系统安全要求》。在标准修定过程中，还力求做到符合国家的有关政策法规要求；与已颁布实施的相关标准相协调；与信息安全的相关标准要求相适应；并适度考虑目前处于发展成熟过程中的技术和方法，保持一定的前瞻性。原有标准GB/T33134-2016《信息安全技术公共域名服务系统安全要求》在2009年提出，2016年正式发布。之后安全技术有了新进展，为了应对新的安全问题，原标准需要进行相应修订以适应新技术。近年来，为了应对域名的隐私泄露问题，国际标准组织互联网工程任务组（IETF）相继制定了DoH(DNSoverHTTPS，RFC8484)和DoT(DNSoverTLS，RFC7858)标准，对外提供DNS的安全传输服务。DoH和DoT保证了DNS客户端与公共递归解析服务器之间的数据加密传输，改善了客户端与递归解析服务之间的传输安全问题，加强了用户访问互联网的安全性、解析稳定和隐私保护。在原标准发布时，针对DNS最后一公里的查询安全问题，国内外还没有成熟的技术解决方案，相关技术未体现在原有标准里，因此有必要遵循现有技术的发展趋势，增加从用户客户端到递归服务器的DNS最后一公里查询安全问题，完善公共域名服务系统的防护链。本标准主要规定公共域名服务系统的基本要求、技术要求以及管理要求等内容。本标准适用于顶级域名服务系统，其他各级域名服务系统、递归域名服务系统的开发和管理。适用于开展公共域名服务系统的单位使用。本标准在定义域名系统（DNS）的基本概念、组成和架构的基础上，规定了国家关键基础设施DNS总体技术要求，并做出域名系统安全部署指南。2.2确定主要内容的依据本标准基于GB/T33134-2016《信息安全技术公共域名服务系统安全要求》进行修订。2.3解决的主要问题本标准对公共域名服务系统的安全技术进行了规范。本标准提出的目的是为了从宏观上规定目前存在于整个DNS系统体系的安全问题，推广安全协议以及增强域名服务体系的安全措施。从而在各个层次上提高域名系统的抗攻击性，减少安全漏洞。本标准发布后，将为我国公共域名服务体系的安全运行提供依据，有助于提升我国域名服务整体的安全性和稳定性。本标准主要规定了公共域名服务系统的基本要求、技术要求以及管理要求等内容。本标准在定义域名系统（DNS）的基本概念、组成和架构的基础上，规定了国家重要基础设施DNS总体技术要求，并提出域名系统安全部署指南。三、主要试验[或验证]情况分析本标准已经通过中国互联网络信息中心的多年验证，此标准的相关技术要求合理可行。如果按照此标准实施，将更好的保证公共域名系统的解析安全。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果本标准发布后，将为我国公共域名服务体系的安全运行提供依据，有助于提升我国域名服务整体的安全性和稳定性，从而在各个层次上提高域名系统的抗攻击性，减少安全漏洞，避免由此遭受的经济损失。六、采用国际标准和国外先进标准情况本标准定义一个可操作的安全标准，指导各机构提升域名服务安全。目前没有完全对应的国际标准。本标准参考引用的国际标准包括：IETFRFC1034域名系统-----概念和基础设施IETFRFC1035域名系统的实现与详述IETFRFC2845TSIG协议IETFRFC4033DNSSEC介绍与需求IETFRFC4034资源记录支持DNSSEC扩展IETFRFC4035支持DNSSEC的协议修改IETFRFC7858基于TLS的DNS传输IETFRFC8484基于HTTPS的DNS传输七、与现行相关法律、法规、规章及相关标准的协调性本标准与现行法律法规和强制性国家标准没有冲突和矛盾。八、重大分歧意见的处理经过和依据编制过程中未出现重大分歧。九、标准性质的建议本标准定义一个可操作的安全标准，指导各单位提升域名服务安全。建议本标准以推荐性标准发布。十、贯彻标准的