《信息安全技术 安全域名系统实施指南》.docxVIP

GB/TXXXXX—XXXX

PAGE1

GB/TXXXXX—XXXX

PAGEII

XXXX-XX-XX实施XXXX

XXXX-XX-XX实施

XXXX-XX-XX发布

GB/TXXXXX—XXXX

中华人民共和国国家标准

ICS35.040

L80

信息安全技术

安全域名系统实施指南

Informationsecuritytechnology—

Securedomainnamesystemdeploymentguide

（征求意见稿）

（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）

GB/TXXXXX—XXXX

PAGE1

GB/TXXXXX—XXXX

PAGE2

信息技术安全技术安全域名系统实施指南

范围

本标准为组织实施一个安全的域名系统提供DNS主机环境安全、DNS事务安全、DNS数据安全和DNS安全管理方面指南。本标准可作为组织内部域名系统安全管理人员的指导。

本标准适用于使用BIND1?Bind是使用最广泛的DomainNameServer，原本bind的版本一直在4.8.x-4.9.x，后经过功能大幅度改进，并修复漏洞发展到8.1.x。现在bind有两个版本在同时发展，bind8.x和bind9.x，最新版本是8.3.3和9.2.1。?DNS域名服务软件的环境。在可能的情况下，本标准还可用于使用其他DNS权威软件包如NSD和MicrosoftWindowsServer域名服务软件的环境。

1?Bind是使用最广泛的DomainNameServer，原本bind的版本一直在4.8.x-4.9.x，后经过功能大幅度改进，并修复漏洞发展到8.1.x。现在bind有两个版本在同时发展，bind8.x和bind9.x，最新版本是8.3.3和9.2.1。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T5271.8-2001信息技术词汇第8部分：安全（ISO/IEC2382-8:1998，IDT）

GB/T5271.9-2001信息技术词汇第9部分：数据通信（ISO/IEC2382-9:1995，EQV）

GB/T25069-2010信息安全技术术语

YD/T2586-2013域名服务系统安全扩展(DNSSEC)协议和实现要求

术语和定义

GB/T5271.8-2001、GB/T5271.9-2001、GB/T25069-2006-2010中界定的以及下列术语和定义适用于本文件。

域名系统domainnamesystem

将域名映射为某些预定义类型资源记录（ResourceRecord）的分布式互联网服务系统，网络中域名服务器间通过相互协作，实现将域名（或者其他的查询对象）最终解析到相应的资源记录。

[修改自YD/T2135-2010，定义3.1.1]

名字空间namespace

一种节点与资源集合相对应的树状结构（如图1所示）。

[修改自YD/T2135-2010，定义3.1.2]

图1域名系统名字空间示意图

域名domainname

域名系统名字空间中，从当前节点到根节点的路径上所有节点标记的点分顺序连接的字符串。

[修改自YD/T2135-2010，定义3.1.3]

域domain

域名系统名字空间中的一个子集，也就是树形结构名字空间中的一棵子树。

[修改自YD/T2135-2010，定义3.1.4]

顶级域topleveldomain

域名系统名字空间中根节点下最顶层的域。

[修改自YD/T2135-2010，定义3.1.5]

资源记录resourcerecord

域名系统中用于存储与域名相关的属性信息，简称RR。

[修改自YD/T2135-2010，定义3.1.6]

域名服务器nameserver

名字服务器

用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求的服务器。

[修改自YD/T2135-2010，定义3.1.7]

区zone

域名系统名字空间中面向管理的基本单元。

[修改自YD/T2135-2010，定义3.1.9]

权威服务器authoritativeserver

具有数据源功能的服务器。

[修改自YD/T2135-2010，定义3.1.10]

区文件zonefile

某个区内的域名和资源记录及相关的权威起始信息（StartofAuthority，SOA）按照一定的格式进行组合构成的文件。

[修改自YD/T2135-2010，定义