ICS35030

CCSL.80

中華人民共和國國家標準

GB/T33134—2023

代替GB/T33134—2016

信息安全技術

公共域名服務系統安全要求

Informationsecuritytechnology—

Securityrequirementofpublicdomainnameservicesystem

2023-03-17發布2023-03-17實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T33134—2023

目次

前言

…………………………Ⅰ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

概述

5………………………3

公共域名服務系統安全技術要求

6………………………4

權威域名服務系統技術要求

6.1………………………4

遞歸域名服務系統技術要求

6.2………………………6

授權安全要求

6.3………………………7

數據備份要求

6.4DNS…………………7

公共域名服務系統安全管理要求

7………………………8

資產管理要求

7.1………………………8

人員管理要求

7.2………………………8

運行管理要求

7.3………………………8

物理和環境管理要求

7.4………………8

設備管理要求

7.5………………………9

操作管理要求

7.6………………………9

訪問控制管理要求

7.7…………………11

連續性管理要求

7.8……………………11

網絡安全事件管理要求

7.9……………12

附錄規范性重要基礎設施和政府重要網站公共域名服務系統安全要求

A()DNS………………13

GB/T33134—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術公共域名服務系統安全要求與

GB/T33134—2016《》,GB/T33134—

相比除結構調整和編輯性改動外主要技術變化如下

2016,,:

增加了術語名字空間和公共域名服務系統見

a)“”“”(3.1、3.11);

刪除了圖的說明內容見第章年版的

b)1(5,20164.1);

增加了關于重要基礎設施部署及政府重要網站公共域名服務系統安全要求見第

c)DNS(5

章年版的

,20164.2);

更改了協議要求見年版的

d)(6.1.1、6.2.1,20165.1.1、5.2.1);

增加了權威服務器的系統安全要求和解析安全要求見

e)(6.1.3);

增加了遞歸服務器與客戶端連接安全要求見

f)(6.2.3);

增加了遞歸服務器的系統安全要求和解析安全要求見

g)(6.2.4);

更改了對外服務的訪問控制的規定見年版的

h)(7.7.1,20166.7.1);

增加了重要基礎設施部署安全要求見附錄中

i)DNS(AA.1);

增加了政府重要網站公共域名服務系統安全要求見附錄中

j)(AA.2)。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國互聯網絡信息中心國家計算機網絡應急技術處理協調中心清華大學華為

:、、、

技術有限公司阿里云計算有限公司廣東盈世計算機科技有限公司中國聯合網絡通信有限公司國防

、、、、

科技大學中國科學院計算機網絡信息中心北京密安網絡技術股份有限公司北京奇虎科技有限公司

、、、、

啟明星辰信息技術集團股份有限公司

。

本文件主要起草人李洪濤姚健康周琳琳曾宇董科軍延志偉張曼舒敏段海新陳悅

:、、、、、、、、、、

樊洞陽宋林健吳秀誠孔令飛蔡志平吳雙力韓永飛張屹鄧軼

、、、、、、、、。

本文件及其所代替文件的歷次版本發布情況為

:

年首次發布為

———2016GB/T33134—2016;

本次為第一次修訂

———。

Ⅰ

GB/T33134—2023

信息安全技術

公共域名服務系統安全要求

1范圍

本文件規定了公共域名服務系統的安全技術要求和安全管理要求

。

本文件適用于各級公共域名服務系統的運營和管理

。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

域名系統安全防護要求

YD/T2052—2015

域名系統遞歸服務器運行技術要求

YD/T2137

域名系統權威服務器運行技術要求

YD/T2138

基于國際多語種域名體系的中文域名總體技術要求

YD/T2142

基于國際多語種域名體系的中文域名的編碼處理技術要求

YD/T2143

基于國際多語種域名體系的中文域名注冊字表要求

YD/T2438

域名概念和基礎設施

IETFRFC1034(Domainnames—conceptsandfacilities)

域名實現與詳述

IETFRFC1035(Domainnames—implementationandspecification)

介紹與需求

IETFRFC4033DNSSEC(DNSsecurityintroductionandrequirements)

資源記錄支持

IETFRFC4034DNSSEC(ResourcerecordsfortheDNSsecurityextensions)

支持的協議修改

IETFRFC4035DNSSEC(ProtocolmodificationsfortheDNSsecurityexten-

sions)

基于的規范

IETFRFC7858TLSDNS(SpecificationforDNSovertransportlayersecuri