ICS 35.240.30 CCS M 07 YD 中华人民共和国通信行业标准 YD/TXXXX--202X 互联网域名系统根服务风险评估技术要求 Technicalrequirementsforroot servicerisk assessment of Internetdomainnamesystem (报批稿) 行业标准信息服务平台 202x-XX-XX发布 202x-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXX-202X 目次 前言 1范围 2规范性引用文件, 2 3术语和定义 4缩略语.. 5评估原则 5.1过程可控性原则 5.2最小影响性原则 6根服务风险分析与风险程度划分 6.1孤立式风险 6.2致盲式风险 6.3消失式风险 6.4劫持式风险 7根服务风险评估实施过程 6 7.1域名系统的体系结构 6 7.2准备阶段 7.3根服务风险测量评估方法 8根服务风险评估工作形式.. 8 附录A(资料性)根服务风险评估相关的参考测量方法 行业标准信息服务平台
YD/TXXXX-202X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
本文件是互联网域名系统根服务系列标准之一,该系列标准包括: 一《互联网域名系统根服务配置技术要求》 一 《互联网域名系统根服务风险评估技术要求》 《互联网域名系统根区数据备份技术要求》 请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件牵头起草单位:广州大学网络空间先进技术研究院、哈尔滨工业大学、鹏城实验室.
本文件参与起草单位:北京奇虎科技有限公司、北京邮电大学、中山大学、中国信息通信研究院、 中国科学院计算机网络信息中心、互联网域名系统北京市工程研究中心有限公司、中国电子信息产业集 团有限公司第六研究所、中国联合网络通信集团有限公司、中国电信集团有限公司、中国移动通信集团 有限公司、中国科学院信息工程研究所、国家计算机网络应急技术处理协调中心、湖南合天智汇信息技 术有限公司.
本文件主要起草人:姜誉、方滨兴、张宇、张伟哲、余翔湛、金舒原、濮灿、元峰、张宾、谢家 贵、齐超、尚清涛、马迪、加雄伟、刘式颖、赵玉震、王晓宇、贾召鹏、田志宏、孙彦斌、陈松、苏 申、李广措、曾德顺、李树栋、王东滨、崔宇、姜政伟、徐小琳、杨晨.
行业标准信息服务平台
YD/TXXXX202X 互联网域名系统根服务风险评估技术要求 1范围 本文件从推动实现安全可信的互联网域名系统根服务的角度,规定了互联网域名系统根服务风险评 估的方法和过程.
本文件适用于互联网域名系统根服务结构性风险分析,指定管理域的域名服务安全风险评估,以及 根服务规划、设计、建设等工作.
域名系统根服务包括根区数据管理与根解析服务.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T31509-2015信息安全技术信息安全风险评估实施指南 YD/T2135-2010域名系统运行总体技术要求 IETF RFC 8499 DNS术语(DNS Terminology) 3术语和定义 YD/T2135-2010、IETFRFC8499界定的以及下列术语和定义适用于本文件.
3.1 区zone 域名系统名字空间中面向管理的基本单元,通常是若干个域的集合.
[来源:YD/T2135-2010 3.1.9] 3.2 根区rootzone 域名系统名字空间树上的区,该区的顶点(apex)是零长度标签(zero-lengthlabel).
[来源:IETF RFC 8499.7] 也称为DNS根,它是没有父结点的区,因为它在DNS层次结构的项端(倒置的树).
根区包含 为找到顶级域所需要的全部信息.
[来源:ICANN根服务器系统咨询委员会文档RSSAC026v2.2] 3.3 根服务器root server 一个特别的任播实例,即一个响应根区内容查询的权威名字服务器.
也称为根权威服务器(root authoritative server).
[来源:RSSAC026v2 2] 3.4 根服务root service
YD/TXXXX202X 根服务器运营机构管理的任播实例提供的集体服务.
这些实例响应关于根区的DNS查询.
哪个实例来响应查询无关紧要.
具有相同版本根区数据的根服务器都提供等效的答案.
[来源:RSSAC026v2 2] 3.5 根区文件rootzonefile 根区按照一定格式存储的区文件.
[来源:区文件的定义见YD/T2135-2010,3.1.11] 3.6 孤立式风险isolationrisk 因某国家或地区(以下统称为“区域”)互联网被断开(如物理线路失效、路由信息发布失效等) 而导致该区域互联网域名解析服务受到影响的严重程度.
3.7 致盲式风险blindnessrisk 因存在根服务器通过访问控制配置来拒绝对某国家或地区指定范围的用户解析请求进行服务响应 面导致该区域互联网域名服务解析体系运行受到影响的严重程度.
消失式风险vanishingrisk 因存在对根区文件部分删除或纂改导致某国家或地区互联网域名所承载的网络服务不再被互联网 社会通过域名解析访问该区域对应的项级域名记录的严重程度.
劫持式风险hijackingrisk 因存在对根区文件某国家或地区项级域名记录募改而导致该区域互联网顶级域名解析服务被劫持 使该区域互联网域名解析服务受到影响的严重程度.
3.10 镜像根服务器mirrorrootserver 也称为根服务器的任播实例.
任播路由允许多个根服务器使用同一个IP地址,每个这样的根服务 器称为一个实例.
在各根服务器的任播实例之间没有层次结构,每个实例都有相同的授权级别.
[来源:RSSAC026v2,2] 3.11 递归服务器recursive server 也称为本地域名服务器,或缓存服务器,或递归解析服务器,或递归解析器.
它负责接受用户端 (解析器)发送的请求,然后通过向各级权成服务器发出查询请求获得用户需要的查询结果,最后返回 给用户端的解析器.
它配置根服务器信息来实现域名解析.
[来源:YD/T2135-2010,3.1.15,有修改] 3.12 互联网数字分配机构根IANAroot 在互联网数字分配机构发布的根区文件中包含的全球13个DNS根服务系统,简称IANA根.
3.13 根提示roothint
