ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T33562—2017

信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南

Informationsecuritytechnology—Securedomainnamesystemdeploymentguide

2017-05-12發(fā)布2017-12-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T33562—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………4

安全技術(shù)指南

5DNS………………………5

概述

5.1…………………5

權(quán)威域名系統(tǒng)安全指南

5.2……………5

遞歸域名系統(tǒng)安全指南

5.3……………6

事務(wù)安全指南

5.4DNS…………………6

數(shù)據(jù)安全指南

5.5DNS…………………8

查詢響應(yīng)安全指南規(guī)范

6DNS/(DNSSec)………………9

機(jī)制和操作

6.1DNSSec…………………9

公私密鑰對(duì)的生成

6.2…………………10

私鑰的安全存儲(chǔ)

6.3……………………10

公鑰的發(fā)布和建立信任錨

6.4…………10

區(qū)簽名和區(qū)重簽名

6.5…………………10

密鑰輪轉(zhuǎn)

6.6……………11

創(chuàng)建信任鏈和簽名驗(yàn)證

6.7……………11

附錄資料性附錄具體配置命令

A()BIND……………12

參考文獻(xiàn)

……………………14

GB/T33562—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位山東省標(biāo)準(zhǔn)化研究院中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心天津卓朗科技發(fā)展有限公司青島

:、、、

以太科技股份有限公司深圳市信息安全測(cè)評(píng)中心深圳市坪山新區(qū)信息化管理辦公室常州富國(guó)信息

、、、

技術(shù)有限公司遼寧省信息安全與軟件測(cè)評(píng)認(rèn)證中心青島大學(xué)青島科技大學(xué)互聯(lián)網(wǎng)域名系統(tǒng)北京市

、、、、

工程研究中心

。

本標(biāo)準(zhǔn)主要起草人王曙光王慶升公偉隗玉凱姚健康劉杰林明貴王偉武剛唐增來(lái)

:、、、、、、、、、、

邱建中黎文輝陶毅國(guó)陳多思丁鋒于佳程相國(guó)劉國(guó)柱馬迪

、、、、、、、、。

Ⅰ

GB/T33562—2017

引言

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展及漏洞的頻繁出現(xiàn)攻擊者已經(jīng)大大縮短了劫持查找過(guò)程的

DNS,DNS

任一步驟所需的時(shí)間從而可以更快地取得對(duì)會(huì)話的控制以實(shí)施某種惡意操作若要在長(zhǎng)期內(nèi)消除此

,。

漏洞唯一的解決方案是以端到端的形式部署協(xié)議即從根區(qū)到最終域名的查找過(guò)程中每一步

,DNSSec,

都部署

DNSSec。

目前作為信任鏈的根服務(wù)器都已經(jīng)部署服務(wù)與此同時(shí)隨著業(yè)界對(duì)

,DNSSecDNSSec。,DNSSec

的努力推動(dòng)各頂級(jí)域名管理機(jī)構(gòu)陸續(xù)開(kāi)始部署服務(wù)但在頂級(jí)域名之下的二級(jí)權(quán)威域及遞歸

,DNSSec,

域名對(duì)支持相對(duì)較低雖然國(guó)內(nèi)重點(diǎn)權(quán)威域名服務(wù)器和主要遞歸域名服務(wù)器對(duì)支持

DNSSec。DNSSec

只有和但它們對(duì)支持相比以前有了較大改善

0.9%2.2%,DNSSec。

本標(biāo)準(zhǔn)可以為域名系統(tǒng)部署過(guò)程提供權(quán)威域名系統(tǒng)安全指南遞歸域名系統(tǒng)安全指南

DNSSec、、

事務(wù)安全指南和數(shù)據(jù)安全指南等安全技術(shù)指南為部署到各級(jí)域名系統(tǒng)提供

DNSDNSDNS,DNSSec

技術(shù)支撐和實(shí)踐指導(dǎo)

。

Ⅱ

GB/T33562—2017

信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了域名系統(tǒng)安全擴(kuò)展協(xié)議部署過(guò)程中權(quán)威域名系統(tǒng)安全遞歸域名系統(tǒng)安

(DNSSec)、

全事務(wù)安全數(shù)據(jù)安全等安全技術(shù)指南

、DNS、DNSDNS。

本標(biāo)準(zhǔn)適用于運(yùn)行域名系統(tǒng)的組織內(nèi)域名系統(tǒng)安全管理人員

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)詞匯第部分安全

GB/T5271.8—20018:

信息技術(shù)詞匯第部分?jǐn)?shù)據(jù)通信

GB/T5271.9—20019:

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求

GB/T33134—2016

域名系統(tǒng)遞歸服務(wù)器運(yùn)行技術(shù)要求

YD/T2137—2010

域名系統(tǒng)權(quán)威服務(wù)器運(yùn)行技術(shù)要求

YD/T2138—2010

域名服務(wù)安全框架技術(shù)要求

YD/T2140—2010

域名服務(wù)系統(tǒng)安全擴(kuò)展