ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T33134—2023 代替GB/T33134—2016 信息安全技术 公共域名服务系统安全要求 Information security technology- Security requirement of public domain name service system 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T33134—2023 目 次 前言 1 范围 规范性引用文件 术语和定义 缩略语 4 5 概述 6 公共域名服务系统安全技术要求 6.1 权威域名服务系统技术要求 6.2 递归域名服务系统技术要求 6.3 授权安全要求 6.4DNS数据备份要求 公共域名服务系统安全管理要求 资产管理要求 7.1 7.2 人员管理要求 7.3 运行管理要求 7.4 物理和环境管理要求 7.5 设备管理要求 7.6 操作管理要求 7.7 访问控制管理要求 11 7.8 连续性管理要求 7.9 网络安全事件管理要求 12 附录A（规范性） 重要DNS基础设施和政府重要网站公共域名服务系统安全要求 .. 13 GB/T33134—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 2016相比，除结构调整和编辑性改动外，主要技术变化如下： a） 删除了图1的说明内容（见第5章，2016年版的4.1）； 增加了关于重要DNS基础设施部署及政府重要网站公共域名服务系统安全要求（见第5 c) 章，2016年版的4.2）； (P 更改了协议要求（见6.1.1、6.2.1,2016年版的5.1.1、5.2.1）； e) 增加了权威服务器的系统安全要求和解析安全要求（见6.1.3）； 增加了递归服务器与客户端连接安全要求（见6.2.3）； g) 增加了递归服务器的系统安全要求和解析安全要求（见6.2.4）； 更改了对外服务的访问控制的规定（见7.7.1，2016年版的6.7.1)； 增加了重要DNS基础设施部署安全要求（见附录A中A.1)； j） 增加了政府重要网站公共域名服务系统安全要求（见附录A中A.2）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国互联网络信息中心、国家计算机网络应急技术处理协调中心、清华大学、华为 技术有限公司、阿里云计算有限公司、广东盈世计算机科技有限公司、中国联合网络通信有限公司、国防 科技大学、中国科学院计算机网络信息中心、北京密安网络技术股份有限公司、北京奇虎科技有限公司、 启明星辰信息技术集团股份有限公司。 本文件主要起草人：李洪涛、姚健康、周琳琳、曾宇、董科军、延志伟、张曼、舒敏、段海新、陈悦、 樊洞阳、宋林健、吴秀诚、孔令飞、蔡志平、吴双力、韩永飞、张屹、邓轶。 本文件及其所代替文件的历次版本发布情况为： 2016年首次发布为GB/T33134-2016； ——本次为第一次修订。 GB/T33134—2023 信息安全技术 公共域名服务系统安全要求 1范围 本文件规定了公共域名服务系统的安全技术要求和安全管理要求。 本文件适用于各级公共域名服务系统的运营和管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 YD/T2052—2015域名系统安全防护要求 YD/T2137 域名系统递归服务器运行技术要求 YD/T 2138 域名系统权威服务器运行技术要求 YD/T 2142 基于国际多语种域名体系的中文域名总体技术要求 YD/T 2143 基于国际多语种域名体系的中文域名的编码处理技术要求 YD/T 2438 基于国际多语种域名体系的中文域名注册字表要求 IETFRFC1034 域名概念和基础设施（Domainnames一conceptsandfacilities） IETFRFC1035 域名实现与详述（Domainnames一implementationand specification) IETFRFC4033 DNSSEC介绍与需求(DNS security introduction and requirements) IETFRFC4034 资源记录支持DNSSEC(ResourcerecordsfortheDNS securityextensions) IETFRFC4035 支持DNSSEC的协议修改(Protocol modifications for the DNS security exten sions) IETFRFC7858 基于TLS的DNS规范（SpecificationforDNSovertransportlayersecurity (TLS)) IETFRFC8310 基于TLS的DNS和基于DTLS的DNS的使用情况（Usageprofiles for DNS over TLS and DNS over DTLS) IETFRFC8484 基于HTTPS的DNS查询[DNSqueriesoverHTTPS（DoH)] 3术语和定义 下列术语和定义适用于本文件。 3.1 名字空间 namespace 以树形结构分层表示的名字命名层次结构。 注：名字空间是一个树状结构，每个节点对应于相应的资源集合（这个资源集合可能为空），DNS不区别树内节点和 叶子节点，统称为节点。每个节点有一个标记，这个标记的长度不超过63字节。父节点不同的节点可使用相 1 GB/T33134—2023 同的标记。只有根节点的标记长度为0（空标记）。 3.2 域名domain name 域名系统名字空间中，从当前节点到根节点的路径上所有节点标记的点分顺序连接的字符串。 3.3 域domain 域名系统名字空间中的一个子集（即树形结构名字空间中的一棵子树）。 注：这个子树根节点的域名就是该域的名字。 3.4 顶级域 topleveldomain 域名系统名字空间中根节点下最顶层的域。 3.5 资源记录 resource record 域名系统中存储的与域名相关的属性信息。 注：每个域名对应的记录可能为空或者多条。域名的资源记录由名字、类型、种类、生存时间、记录数据长度、记录 数据等字段组成。 3.6 区文件 zone file 某个区内的域名和资源记录及相关的权威起始信息按照一定的格式进行组合，从而构成存储这些 信息的文件。 注：权威起始信息包含了区的管理员电子邮件地址、序列号、更新周期、重试周期和过期时间等信息。 3.7 域名系统domainnamesystem 一种将域名映射为某些预定义类型资源记录的分布式互联网服务系统。 注：网络中域名服务系统间通过相互协作，实现将域名最终解析到相应的资源记录。 3.8 域名服务系统domainnameservicesystem 提供域名解析服务的系统。 注：由权威域名服务系统、递归域名服务系统组成。 3.9 权威域名服务系统 authoritativedomainnameservicesystem 对于某个或者多个区具有可信数据功能的域名服务系统。 注：权威域名服务系统保存着其所拥有区的原始域名资源记录信息。 3.10 递归域名服务系统 recursive domain name service system 负责接收用户（解析器）的解析请求，并通过查询本地缓存或者执行从根域名服务系统到被查询域 名所属权威域名服务系统的递归查询过程，获得解析结果并返回给用户的域名服务系统。 3.11 公共域名服务系统 publicdomainnameservicesystem 3.12 解析器 resolver 向名字服务系统发送域名解析请求，并从名字服务系统返回的响应消息中提取所需信息的程序。 2 GB/T 33134—2023 注：解析器软件通常集成到操作系统内核或者应用软件中。 3.13 authoritative name server 权威域名服务器 对于某个或者多个区具有权威的服务器，保存其原始域名资源记录信息。 注：简称"权威服务器”。 3.14 递归域名服务器 recursive name server 负责接收用户端发送的请求，然后通过向各级权威服务器发出查询请求获得用户需要的查询结 果，最后返回给用户端的解析器。 注：简称“递归服务器”。 3.15 主域名服务系统 master domain name service system 被配置成区数据发布源的权威域名服务系统。 3.16 辅域名服务系统 slave domain name service system 通过区传送协议来获取区数据的权威域名服务系统。 4缩略语 下列缩略语适用于本文件。 AS：自治系统（AutonomousSystem） BGP：边界网关协议（BorderGatewayProtocol) DNS:域名系统(Domain Name System) DNSSEC:DNS安全扩展（DomainNameSystemSecurityExtensions) DoH:基于HTTPS的DNS(DNSoverHTTPS) DoT:基于 TLS 的 DNS(DNS over TLS) FTP：文件传输协议（FileTransferProto