信息安全技术公共域名服务系统安全要求编制说明.doc

国家标准《信息安全技术公共域名服务系统安全要求》(征
求意见稿)编制说明
一、工作简况

根据全国信息安全标准化技术委员会2020年网络安全标准制修订计划，国家 标准《信息安全技术公共域名服务系统安全要求》由中国互联网对标准草案进行了认真讨论，提出了修 改意见。会后，编写组对草案稿进行了修改，并提交征求意见稿。
二、标准编制原则和确定主要内容的论据及解决的主要问题
2. 1编制原则
本标准吸取国际上先进的公共域名服务系统安全标准的相关理念，结合我国 当前域名系统安全现状，针对公共域名系统存在的问题，修订了国家标准GB/T 33134-2016《信息安全技术公共域名服务系统安全要求》。在标准修定过程中， 还力求做到符合国家的有关政策法规要求；与已颁布实施的相关标准相协调；与 信息安全的相关标准要求相适应；并适度考虑目前处于发展成熟过程中的技术和 方法，保持一定的前瞻性。
原有标准GB/T 33134-2016《信息安全技术公共域名服务系统安全要求》 在2009年提出，2016年正式发布。之后安全技术有了新进展，为了应对新的安全 问题，原标准需要进行相应修订以适应新技术。近年来，为了应对域名的隐私泄 露问题，国际标准组织互联网工程任务组(IETF)相继制定了DoH (DNS over HTTPS, RFC8484)和DoT (DNS over TLS, RFC7858)标准，对外提供DNS的安全传 输服务。DoH和DoT保证了 DNS客户端与公共递归解析服务器之间的数据加密传输, 改善了客户端与递归解析服务之间的传输安全问题，加强了用户访问互联网的安 全性、解析稳定和隐私保护。在原标准发布时，针对DNS最后一公里的查询安全 问题，国内外还没有成熟的技术解决方案，相关技术未体现在原有标准里，因此
有必要遵循现有技术的发展趋势，增加从用户客户端到递归服务器的DNS最后一 公里查询安全问题，完善公共域名服务系统的防护链。
本标准主要规定公共域名服务系统的基本要求、技术要求以及管理要求等内 容。本标准适用于顶级域名服务系统，其他各级域名服务系统、递归域名服务系 统的开发和管理。适用于开展公共域名服务系统的单位使用。本标准在定义域名 系统（DNS）的基本概念、组成和架构的基础上，规定了国家关键基础设施DNS 总体技术要求，并做出域名系统安全部署指南。

本标准基于GB/T 33134-2016《信息安全技术公共域名服务系统安全要求》 进行修订。

本标准对公共域名服务系统的安全技术进行了规范。本标准提出的目的是为 了从宏观上规定目前存在于整个DNS系统体系的安全问题，推广安全协议以及增 强域名服务体系的安全措施。从而在各个层次上提高域名系统的抗攻击性，减少 安全漏洞。本标准发布后，将为我国公共域名服务体系的安全运行提供依据，有 助于提升我国域名服务整体的安全性和稳定性。
本标准主要规定了公共域名服务系统的基本要求、技术要求以及管理要求等 内容。本标准在定义域名系统（DNS）的基本概念、组成和架构的基础上，规定 了国家重要基础设施DNS总体技术要求，并提出域名系统安全部署指南。
三、 主要试验［或验证］情况分析
本标准已经通过中国互联网络信息中心的多年验证，此标准的相关技术