《信息安全技術(shù) 安全域名系統(tǒng)實(shí)施指南》編制說(shuō)明

一、任務(wù)來(lái)源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2011年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全

技術(shù)安全域名系統(tǒng)實(shí)施指南》由山東省標(biāo)準(zhǔn)化研究院負(fù)責(zé)主辦，標(biāo)準(zhǔn)計(jì)劃號(hào)為

20111630-T-469（全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2010年信息安全專(zhuān)項(xiàng)標(biāo)準(zhǔn)制定項(xiàng)目）。

二、編制原則

本標(biāo)準(zhǔn)屬于域名系統(tǒng)安全方面的標(biāo)準(zhǔn)，以修改采用國(guó)際標(biāo)準(zhǔn)的方式完成。標(biāo)準(zhǔn)編制參照

美國(guó)NIST（NationalInstituteofStandardsandTechnology）發(fā)布的關(guān)于信息安全的指南

SP800中的SP800-81《安全域名系統(tǒng)實(shí)施指南》。標(biāo)準(zhǔn)編制以通信行業(yè)域名系統(tǒng)運(yùn)行技術(shù)

規(guī)范體系為基本依據(jù)，廣泛深入的研究國(guó)外域名系統(tǒng)安全領(lǐng)域標(biāo)準(zhǔn)，結(jié)合我國(guó)域名系統(tǒng)安全

現(xiàn)狀，在研究域名系統(tǒng)面臨威脅及保護(hù)方法，以及DNS安全擴(kuò)展機(jī)制評(píng)的基礎(chǔ)上，完成國(guó)

家標(biāo)準(zhǔn)《信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南》的編制。

同時(shí)，為使標(biāo)準(zhǔn)能夠滿足科學(xué)、規(guī)范地開(kāi)展安全域名系統(tǒng)實(shí)施工作的需要，客觀反映我

國(guó)域名系統(tǒng)安全水平，規(guī)范域名系統(tǒng)安全實(shí)施過(guò)程，提高標(biāo)準(zhǔn)的可操作性，在標(biāo)準(zhǔn)制定過(guò)程

中，還力求做到符合國(guó)家的有關(guān)政策法規(guī)要求；與已頒布實(shí)施的相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)；并適度考

慮目前處于發(fā)展成熟過(guò)程中的技術(shù)，保持一定的前瞻性。

三、主要工作過(guò)程

(一)標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：

1)2011年10月成立了以山東省標(biāo)準(zhǔn)化研究院為牽頭單位，包括中國(guó)互聯(lián)網(wǎng)絡(luò)信息中

心、深圳市信息安全測(cè)評(píng)中心、遼寧省信息安全與軟件測(cè)評(píng)認(rèn)證中心、青島大學(xué)、青島科技

大學(xué)等十余家單位組成的項(xiàng)目組，并于2011年10月28日在山東泰安舉辦了《信息安全技

術(shù)安全域名系統(tǒng)實(shí)施指南》國(guó)家標(biāo)準(zhǔn)項(xiàng)目啟動(dòng)會(huì)。

2)2012年7月17日，參加安標(biāo)委秘書(shū)處在北京召開(kāi)的2010年和2011年信息安全專(zhuān)

項(xiàng)標(biāo)準(zhǔn)制定項(xiàng)目檢查會(huì)議，會(huì)議領(lǐng)導(dǎo)和專(zhuān)家包括宿忠民、崔書(shū)昆、趙戰(zhàn)生、王立福、吳源俊、

閔京華、曲成義等。會(huì)議評(píng)議了《信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南》草案初稿，各位

專(zhuān)家提出了一些意見(jiàn)和建議。

3)2012年8月－2013年6月，《信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南》草案初稿專(zhuān)

家意見(jiàn)及建議（參見(jiàn)標(biāo)準(zhǔn)草案稿意見(jiàn)匯總處理表的第1部分）基礎(chǔ)上，研討和完善《信息安

全技術(shù)安全域名系統(tǒng)實(shí)施指南》草案，2013年7月向安標(biāo)委WG6提交《信息安全技術(shù)安

全域名系統(tǒng)實(shí)施指南》草案（第一稿），2013年7月17日，安標(biāo)委WG6在青島開(kāi)會(huì)討論了

《信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南》草案（第一稿）。

4)2013年8月－2013年9月，按照安標(biāo)委WG6開(kāi)會(huì)專(zhuān)家的意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行修改（參

見(jiàn)標(biāo)準(zhǔn)草案稿意見(jiàn)匯總處理表的第2部分），2013年10月形成并提交《信息安全技術(shù)安

全域名系統(tǒng)實(shí)施指南》草案（第二稿）。

5)2013年10月22日，參加安標(biāo)委WG6工作組專(zhuān)家審查會(huì)，《信息安全技術(shù)安全域

名系統(tǒng)實(shí)施指南》草案（第二稿）通過(guò)了審查。出席審查會(huì)的專(zhuān)家包括陳劍勇（組長(zhǎng)）、陳

璟、姚建康、沈軍、艾明、落紅衛(wèi)、夏俊杰。會(huì)后，根據(jù)審查會(huì)專(zhuān)家意見(jiàn)進(jìn)行修改（參見(jiàn)標(biāo)

準(zhǔn)草案稿意見(jiàn)匯總處理表的第3部分），形成并提交《信息安全技術(shù)安全域名系統(tǒng)實(shí)施指

南》草案（第三稿）。

6)2013年12月19日，WG6組織了工作組全體成員大會(huì)對(duì)《信息安全技術(shù)安全域名

系統(tǒng)實(shí)施指南》草案（第三稿）進(jìn)行投票表決，以100%投票率通過(guò)了工作組全體成員單位

的投票。會(huì)后，對(duì)標(biāo)準(zhǔn)意見(jiàn)及標(biāo)準(zhǔn)格式進(jìn)行修改（參見(jiàn)標(biāo)準(zhǔn)草案稿意見(jiàn)匯總處理表的第4

部分），2014年2月形成并提交《信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南》征求意見(jiàn)稿。

(二)標(biāo)準(zhǔn)征求意見(jiàn)的落實(shí)情況如下：

1)發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括工作組專(zhuān)家（評(píng)審）；有建議或意見(jiàn)的單位數(shù)共計(jì)

12個(gè)；沒(méi)有回函的單位數(shù)為0個(gè)。

2)共匯集反饋意見(jiàn)37條，其中未采納的意見(jiàn)3條，其余意見(jiàn)為采納或部分采納，具

體參見(jiàn)意見(jiàn)匯總處理表。

四、標(biāo)準(zhǔn)的主要內(nèi)容

本標(biāo)準(zhǔn)依據(jù)國(guó)家有關(guān)域名系統(tǒng)安全的政策法規(guī)，修改采用美國(guó)NIST（NationalInstitute

ofStandardsandTechnology）發(fā)布的關(guān)于信息安全的指南SP800中的SP800-81《安全

域名系統(tǒng)實(shí)施指南》，提出了安全域名系統(tǒng)實(shí)施的指南。本標(biāo)準(zhǔn)主要內(nèi)容包括DNS主機(jī)環(huán)

境安全指南、DNS事務(wù)安全指南、DNS數(shù)據(jù)安全指南和DNS安全管理指南等。

本標(biāo)準(zhǔn)主要框架如下：

1范圍

2規(guī)范性引用文件

3術(shù)語(yǔ)和定義

4縮略語(yǔ)

5DNS主機(jī)環(huán)境-威脅、安全目標(biāo)和保護(hù)方法

6DNS事務(wù)-威脅、安全目標(biāo)和保護(hù)方法

7DNS主機(jī)環(huán)境安全指南

8DNS事務(wù)安全指南

9安全的DNS查詢/響應(yīng)指南

10通過(guò)DNS數(shù)據(jù)內(nèi)容管理最小化信息泄漏指南

11DNS安全管理操作指南

附錄A（資料性附錄）具體BIND配置命令

參考文獻(xiàn)

五、與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

1)與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定的關(guān)系

2010年2月8日工信部發(fā)布的《關(guān)于加強(qiáng)互聯(lián)網(wǎng)域名系統(tǒng)安全保障工作的通知》（工

信部保[2010]53號(hào)）中指出“加強(qiáng)域名系統(tǒng)安全防護(hù)和應(yīng)急工作?！北緲?biāo)準(zhǔn)正是符合此要求，

可以加強(qiáng)域名系統(tǒng)安全防護(hù)工作，落實(shí)各項(xiàng)安全防護(hù)措施的標(biāo)準(zhǔn)。

2)與通信行業(yè)域名系統(tǒng)運(yùn)行技術(shù)規(guī)范體系的關(guān)系

2009年中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心、北龍中網(wǎng)（北京）科技有限責(zé)任公司為主要編制單位，

編制并發(fā)布實(shí)施了“域名系統(tǒng)運(yùn)行技術(shù)規(guī)范體系”系列標(biāo)準(zhǔn)，包括《域名系統(tǒng)安全防護(hù)技術(shù)

要求》、《域名系統(tǒng)權(quán)威服務(wù)器運(yùn)行技術(shù)要求》、《域名系統(tǒng)遞歸服務(wù)器運(yùn)行技術(shù)要求》、《域名

服務(wù)安全框架技術(shù)要求》等9項(xiàng)行業(yè)標(biāo)準(zhǔn)，由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。標(biāo)準(zhǔn)是從整

體公網(wǎng)域名系統(tǒng)角度，對(duì)域名體系結(jié)構(gòu)組成、技術(shù)要求和安全防護(hù)要求提出規(guī)范性指南，系

列標(biāo)準(zhǔn)具有宏觀規(guī)劃指導(dǎo)性，在技術(shù)操作細(xì)節(jié)尤其是DNSSEC方面更多的是為用戶提供

RFC等文件的引用指導(dǎo)。

本標(biāo)準(zhǔn)是修改采用NISTsp800-81《SecureDomainNameSystem(DNS)Deployment

Guide》標(biāo)準(zhǔn)，標(biāo)準(zhǔn)內(nèi)容側(cè)重于提供域名服務(wù)的主機(jī)系統(tǒng)部署要求，通過(guò)對(duì)提供域名服務(wù)的

主機(jī)系統(tǒng)的安全部署來(lái)保障主機(jī)環(huán)境安全、事務(wù)安全以及數(shù)據(jù)安全，其為域名主機(jī)系統(tǒng)實(shí)施

DNSSEC、TSIG提供規(guī)范性指南。

因此，行業(yè)標(biāo)準(zhǔn)是從整體上規(guī)劃公網(wǎng)體系下域名系統(tǒng)的架構(gòu)及安全要求，而本標(biāo)準(zhǔn)更側(cè)

重于為運(yùn)行域名解析服務(wù)的主機(jī)系統(tǒng)部署實(shí)施DNSSEC提供規(guī)范性指南，在內(nèi)容上是對(duì)行

業(yè)標(biāo)準(zhǔn)中涉及域名系統(tǒng)安全部分的進(jìn)一步細(xì)化，兩者不存在矛盾沖突，