ICS35040

L80.

中華人民共和國國家標準

GB/T33562—2017

信息安全技術安全域名系統實施指南

Informationsecuritytechnology—Securedomainnamesystemdeploymentguide

2017-05-12發布2017-12-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T33562—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………4

安全技術指南

5DNS………………………5

概述

5.1…………………5

權威域名系統安全指南

5.2……………5

遞歸域名系統安全指南

5.3……………6

事務安全指南

5.4DNS…………………6

數據安全指南

5.5DNS…………………8

查詢響應安全指南規范

6DNS/(DNSSec)………………9

機制和操作

6.1DNSSec…………………9

公私密鑰對的生成

6.2…………………10

私鑰的安全存儲

6.3……………………10

公鑰的發布和建立信任錨

6.4…………10

區簽名和區重簽名

6.5…………………10

密鑰輪轉

6.6……………11

創建信任鏈和簽名驗證

6.7……………11

附錄資料性附錄具體配置命令

A()BIND……………12

參考文獻

……………………14

GB/T33562—2017

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位山東省標準化研究院中國互聯網絡信息中心天津卓朗科技發展有限公司青島

:、、、

以太科技股份有限公司深圳市信息安全測評中心深圳市坪山新區信息化管理辦公室常州富國信息

、、、

技術有限公司遼寧省信息安全與軟件測評認證中心青島大學青島科技大學互聯網域名系統北京市

、、、、

工程研究中心

。

本標準主要起草人王曙光王慶升公偉隗玉凱姚健康劉杰林明貴王偉武剛唐增來

:、、、、、、、、、、

邱建中黎文輝陶毅國陳多思丁鋒于佳程相國劉國柱馬迪

、、、、、、、、。

Ⅰ

GB/T33562—2017

引言

隨著網絡攻擊技術的發展及漏洞的頻繁出現攻擊者已經大大縮短了劫持查找過程的

DNS,DNS

任一步驟所需的時間從而可以更快地取得對會話的控制以實施某種惡意操作若要在長期內消除此

,。

漏洞唯一的解決方案是以端到端的形式部署協議即從根區到最終域名的查找過程中每一步

,DNSSec,

都部署

DNSSec。

目前作為信任鏈的根服務器都已經部署服務與此同時隨著業界對

,DNSSecDNSSec。,DNSSec

的努力推動各頂級域名管理機構陸續開始部署服務但在頂級域名之下的二級權威域及遞歸

,DNSSec,

域名對支持相對較低雖然國內重點權威域名服務器和主要遞歸域名服務器對支持

DNSSec。DNSSec

只有和但它們對支持相比以前有了較大改善

0.9%2.2%,DNSSec。

本標準可以為域名系統部署過程提供權威域名系統安全指南遞歸域名系統安全指南

DNSSec、、

事務安全指南和數據安全指南等安全技術指南為部署到各級域名系統提供

DNSDNSDNS,DNSSec

技術支撐和實踐指導

。

Ⅱ

GB/T33562—2017

信息安全技術安全域名系統實施指南

1范圍

本標準規定了域名系統安全擴展協議部署過程中權威域名系統安全遞歸域名系統安

(DNSSec)、

全事務安全數據安全等安全技術指南

、DNS、DNSDNS。

本標準適用于運行域名系統的組織內域名系統安全管理人員

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術詞匯第部分安全

GB/T5271.8—20018:

信息技術詞匯第部分數據通信

GB/T5271.9—20019:

信息安全技術術語

GB/T25069—2010

信息安全技術公共域名服務系統安全要求

GB/T33134—2016

域名系統遞歸服務器運行技術要求

YD/T2137—2010

域名系統權威服務器運行技術要求

YD/T2138—2010

域名服務安全框架技術要求

YD/T2140—2010

域名服務系統安全擴展