GB_T 33134-2023 信息安全技术 公共域名服务系统安全要求.docx

ICS35.030(S1.«0G日中华人民共和家标准GB/T331342023代GBT531342016信息安全技术公共域名服务系统安全要求Informationsecuritytechno1.ogy一Securityrequirementofpub1.icdomainnameservicesystem2023-03-17发布国家市场监督管理总局国家标准化管理委员会本文件按照GB"1.1-2020£标准化工作导则第1部分：标准化文件的结构和起草规则？的规定起草。本文件代替GBT331M2016£信息安全技术公共域名服务系统安全要求3,与GBT331342016料比,除结构调整和编辑性改动外,主要技术变化如下：a）增加J'术语"名字空间”和“公共域名服务系统”（见X1、a11）;b）删除了图1的说明内容（见第5章,2016年版的4.D：C）增加了美丁重要DNS基础设施部署及政府重要网站公共域名服务系统安全要求（见第5章，2016年版的4.2）;d）更改了协议要求（见6.1.1、6.2.1,2016年版的5.1.1,5.2.1）：e）均加权成服务洪的系统安全要求和解析安全要求（见61.3）;0增加了递归服务器与客户端连接安全要求（见6.2.31；g）增加了递归服务器的系统安全要求和解析安全要求（见6.2.1）：h）更改了对外服务的访问控制的规定（见77.1,2016年版的6.7.1）;i）增加重要DNS暴础设施部署安全要求（见附录A中A.1）;j）增加了政府通要网站公共域名服务系统安全要求（见附录A中A.2）,请注意本文件的某些内容可能涉及利。本文件的发布机构不承担识别学利的责任。本文件由全国信息安全标准化技术委员会（SAeTC260）提出并归口.本文件起草单位：中国互联网络信息中心、国家计算机网络应急技术处理协刑中心、清华大学、华为技术有照公司、阿里云计算有限公司、广东盈世计算机科技有限公司、中国联合网络通信有限公司、国防科技大学、中国科学院计算机网络信息中心、北京密安网络技术股份有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司.本文件主要起草人：李洪涛.姚健康、周琳册、曾宇、戒科军、空志伟、张曼、舒敬、段海新、陈悦、宽同阳、宋林健、吴秀诚、孔令G蔡志平、吴双力、韩永E、！；俄、不快.本文件及其所代替文件的历次版本发布情况为：-2016年首次发布为GBT331342016：本次为第一次修订。信息安全技术公共域名服务系统安全要求1范BI本文件规定了公共域名服务系统的安全技术要求和安全管理要求.本文件适用于各级公共域名服务系统的运营和管理.2规范性引用文件列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件，仪该日期对应的版本适用r本文件；不注口期的引用文件，其城新版木(包括所有的修改科适用于本文件。YDT2052-2015域名系统安全防护要求YD.T2137域名系统递归服务滞运行技术要求YD/T2138域名系统权威服务器运行技术要求YDT2142基于国际多语种域名体系的中文域名做体技术要求YDrr2143基于国际多语种域名体系的中文域名的编码处理技术要求YD-T2438基于国际多语种域名体系的中文域名注册字表要求IETFRFC1034域名概念和基础设施(DOmainnames-conceptsandfaci1.ities)IETFRFC1035域名实现与详述(DOmainnamesimp1.ementationandSPeCiGCaI沁n)IETFRFC4033DNSSEe介绍与需求(DNSsecurityintroductionandrequirements)IHTERFC4034资源记录支持DNSSEC(ReSOUrCerecordsfortheDNSsecurityextenskns)IETFRFC4035支持DNSSEC的协议修改(Pro1.OCO1.II1.Odiffca1.ionSforIheDNSsecurityextensions)IETFRFC7858携TT1.S的DNS规他(SPeCifka1.iOnforDNSovertransport1.ayersecurity(T1.S)IETFRFC8310基于T1.S的DNS和唯于DT1.S的DNS的使用情况(USageprofi1.esforDNSoverT1.SandDNSoverDT1.S)IETFRFC84S4基于HTTPS的DNS查询DNSqueriesoverHTTPS(DoH)3 *W11下列术语和定义适用于本文件。3.1名字空间namcspa<x以树形结构分层表示的名字命名层次结构.&名字空间处个树状结构，每个节点对应于相应的资源集合购个资源蛆合可能为空),DNS不区别树内节点和叶子节点，统称为节点。每个节点有一个标记，这个标i己的长皮不超过63字节，父节点不问的节点可使JR相同的标。只彳眼节点的标i已长度为0饺标D3.2MjSdomainname域名系统名字空间中，从当前节点到根节点的路径上所有15点标记的点分顺序连接的字符*,3.3domain域名系统名字空间中的一个子集（即树形结构名字空间中的棵f树）.注：这:树根节点的城名就是该城的名字.3.4J（ftMt<,p1.eve1.domain域名系统名字空间中根节点下最顶层的域.3.5责毒记录resourcerecord域名系统中存储的与域名相关的属性信息.注：毋个域名对应的记录可能为空或者多条，域名的资源记录由名字、类型、种类、生存时间、记录数据长度、记录喇的幽城.3.6区文件zonefi1.e某个区内的域名和资源记录及相关的权威起始信息按照一定的格式进行组合，从而构成存储这也伯恩的文件.注：板成起始信息包含r区的管理员电子邮件地址.序列号、更新周期、重试周版和过期H间等信息.3,7名M（IftdomainnameSyStem种将域名映射为某些预定义类型资源记录的分布式互联网服务系统。注：网络中域名服务系统间通过相丸协作，实J贿域名最终斛析到相应的资源i（!录，3.8K务系统domainnameserviceS）S1.Cm提供域名解析眼务的系统。注：由杈或域名服务系统、递域名服务系级U必3.9权威域名AR务系统authoritativedomainnameserviceSyStem对于某个或首多个区具有可信数据功能的域名服务系统，注：削减农朋务系统保存制场制Kj区的原始域名资源加信息.3.10现日城名魔务JMtrecursivedomainnameservicesystem负击接收用户（解析器）的蟀析请求,并通过查询本地缓存或拧执行从根域名眼芬系统到被查卸域名所属权城域名服务系统的递归杳询过程，获得解析结果并返回给用户的域名限务系统。3.11公共域名服务系毓pub1.icdomainnameservicesystem面向互联网用户提供公开极务且出级达到十万级以上的域名服务系统.3.12f1.Wreso1.ver向名字眼务系统发送域名解析请求，并从名字取务系统返回的响应消息中提取所需信息的程序.&斤器软件端捌好蝴K系统内核或者网瞅件中.3.13权威域名朦务BIauthoritativenameserver对于某个或拧多个区具有权威的服务潜，保存其原始域名资源记录信息.注：简称“权威服务器”3.14递归册名屡务recursivenameserver负责接收用户端发送的请求，然后通过向各级权或服务器发出资询谛求获得用户需要的查询结果，鼠后返回给用户端的解析器。注：确:-WHIMS*.3.15主域名JR务系统masterdomainnameservicesystem被配置成区数据发布海的权或域幺服务系统C3.16tt域名服务系线s1.avedomainnameserviceSyStem通过区传送协议来获取区数据的权威域名服务系统.4 Btff下列缩略谱适用于本文件.AS:自治系统(AiitonomosSystem)BGP:边界网关步议(BorderGatewayPro1.oco1.)DNS:域名系统(DOmainNameSystem)DNSSECDNS安全扩展(DOmainNameSystemSecurityExtensions)DoH:战THTTPS的DNS(DNSoverHTTPS)DOT:肥于T1.S的DNS(DNSoverT1.S)FTP:文件传输协议(Fi1.CTransferProtoco1.)HTTP:超文本传输协议(HyPCrTextTransferProtoco1.)HTTpS:超文本传输安全协议(HyParTextTransferProtoco1.overSccurcSocket1.-aycr)IANA:互联网数字分配机构(hucmc1.AssignedNumbersAuthority)ICANN:互联网名称与数字地址分配机构(The1.11(emetCofponi1.ionforAssignedNamesandNumbers)IP:网际例议Hn1.Crne1.Pro1.oco1.)NS:名字服务器(NiHnCServer)NTP：网络时间协议(Ne1.WOrkTimeP(oco1.)R1.ogin:远程登录(ReInO<c1.ogin)TCP:传输控制协议(TrUnSmiSSionContro1.Protoco1.)T1.S:传怆层安全(Tranjort1.ayerSecurity)UDP:用户数据报协议(UserDatagramPro1.iKoI)5 0域名服务系统足以树形拓扑结构来定义的,由不同类别的域名服务系统服务机构负贡不同级域名的解析服务，其对应关系见图1.整个域名服务系统从职但上看，包括两大类系统：权威域为服务系统和递归域名服务系统，权威域名服务系统是指拥有某个区的域名信息，并为该IX提供域名斛析的服务.权威域名服务系统通常面向的不是终端用户0图1中.Cn和的域名服务系统就属于权或域名系统.递归域名服务系统则相反，它不针对某个区提供域名解断服务,而是直接而向终端用户，为终端用户提供递归的域名服务系统.ICANN开放的新通用顶银域，同样适用于以上域名服务系统。公共域名服务系统安全技术要求,包括权或域名服务系统、递归域名服务系统、授权和DNS数据备份等：公共域名服务系统安全管理要求,包括资产管理、人员管理、运行管理,物理和环境安全、设备安全、通信和操作安全、访问控制、连续性管理以及网络安全事件等：关于理要DNS基础i焕部署及政府小要网站公共域名服务系统安全要求，按附录A,66.1 权皿名JK务系魁附竦&1.1权威域名服务系统的权成域名J1.1.i务器（简称“权成服务器"）的实现应符合IETFRFC1034,IETFRFCKB5、IETFRFC4033、IETFRFC4034和IETFRFC4035的规定。6.1.2拓扑融!要求针时某个权威域，提供权威域解析的服务器数俄应保证多台备份，提的权成城解析的服务潜应部潜在多个不同的自治域网络中,且宜在地理上进行合理分布,达到抗自然灾击等灾备目的。具体部署数盘和分配要求应符合YDjT2138的规定。&1.3&1A1刎侬虹求系统安全应满足YD"20