GB/T 33562-2017信息安全技術(shù)安全域名系統(tǒng)實施指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T33562—2017

信息安全技術(shù)安全域名系統(tǒng)實施指南

Informationsecuritytechnology—Securedomainnamesystemdeploymentguide

2017-05-12發(fā)布2017-12-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T33562—2017

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………4

安全技術(shù)指南

5DNS………………………5

概述

5.1…………………5

權(quán)威域名系統(tǒng)安全指南

5.2……………5

遞歸域名系統(tǒng)安全指南

5.3……………6

事務(wù)安全指南

5.4DNS…………………6

數(shù)據(jù)安全指南

5.5DNS…………………8

查詢響應(yīng)安全指南規(guī)范

6DNS/(DNSSec)………………9

機制和操作

6.1DNSSec…………………9

公私密鑰對的生成

6.2…………………10

私鑰的安全存儲

6.3……………………10

公鑰的發(fā)布和建立信任錨

6.4…………10

區(qū)簽名和區(qū)重簽名

6.5…………………10

密鑰輪轉(zhuǎn)

6.6……………11

創(chuàng)建信任鏈和簽名驗證

6.7……………11

附錄資料性附錄具體配置命令

A()BIND……………12

參考文獻(xiàn)

……………………14

GB/T33562—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位山東省標(biāo)準(zhǔn)化研究院中國互聯(lián)網(wǎng)絡(luò)信息中心天津卓朗科技發(fā)展有限公司青島

:、、、

以太科技股份有限公司深圳市信息安全測評中心深圳市坪山新區(qū)信息化管理辦公室常州富國信息

、、、

技術(shù)有限公司遼寧省信息安全與軟件測評認(rèn)證中心青島大學(xué)青島科技大學(xué)互聯(lián)網(wǎng)域名系統(tǒng)北京市

、、、、

工程研究中心

。

本標(biāo)準(zhǔn)主要起草人王曙光王慶升公偉隗玉凱姚健康劉杰林明貴王偉武剛唐增來

:、、、、、、、、、、

邱建中黎文輝陶毅國陳多思丁鋒于佳程相國劉國柱馬迪

、、、、、、、、。

Ⅰ

GB/T33562—2017

引言

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展及漏洞的頻繁出現(xiàn)攻擊者已經(jīng)大大縮短了劫持查找過程的

DNS,DNS

任一步驟所需的時間從而可以更快地取得對會話的控制以實施某種惡意操作若要在長期內(nèi)消除此

,。

漏洞唯一的解決方案是以端到端的形式部署協(xié)議即從根區(qū)到最終域名的查找過程中每一步

,DNSSec,

都部署

DNSSec。

目前作為信任鏈的根服務(wù)器都已經(jīng)部署服務(wù)與此同時隨著業(yè)界對

,DNSSecDNSSec。,DNSSec

的努力推動各頂級域名管理機構(gòu)陸續(xù)開始部署服務(wù)但在頂級域名之下的二級權(quán)威域及遞歸

,DNSSec,

域名對支持相對較低雖然國內(nèi)重點權(quán)威域名服務(wù)器和主要遞歸域名服務(wù)器對支持

DNSSec。DNSSec

只有和但它們對支持相比以前有了較大改善

0.9%2.2%,DNSSec。

本標(biāo)準(zhǔn)可以為域名系統(tǒng)部署過程提供權(quán)威域名系統(tǒng)安全指南遞歸域名系統(tǒng)安全指南

DNSSec、、

事務(wù)安全指南和數(shù)據(jù)安全指南等安全技術(shù)指南為部署到各級域名系統(tǒng)提供

DNSDNSDNS,DNSSec

技術(shù)支撐和實踐指導(dǎo)

。

Ⅱ

GB/T33562—2017

信息安全技術(shù)安全域名系統(tǒng)實施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了域名系統(tǒng)安全擴展協(xié)議部署過程中權(quán)威域名系統(tǒng)安全遞歸域名系統(tǒng)安

(DNSSec)、

全事務(wù)安全數(shù)據(jù)安全等安全技術(shù)指南

、DNS、DNSDNS。

本標(biāo)準(zhǔn)適用于運行域名系統(tǒng)的組織內(nèi)域名系統(tǒng)安全管理人員

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)詞匯第部分安全

GB/T5271.8—20018:

信息技術(shù)詞匯第部分?jǐn)?shù)據(jù)通信

GB/T5271.9—20019:

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息安全技術(shù)公共域名服務(wù)系統(tǒng)安全要求

GB/T33134—2016

域名系統(tǒng)遞歸服務(wù)器運行技術(shù)要求

YD/T2137—2010

域名系統(tǒng)權(quán)威服務(wù)器運行技術(shù)要求

YD/T2138—2010

域名服務(wù)安全框架技術(shù)要求

YD/T2140—2010

域名服務(wù)系統(tǒng)安全擴展