域名服务业务连续性管理要求-中国通信标准化协会.doc

行业标准项目建议书 建议项目名称 (中文) 域名服务业务连续性管理要求 建议项目名称 (英文) Requirements for domain name service business continuity management 制定或修订 ■制定 □修订 被修订标准号 采用程度 □IDT □MOD □NEQ 采标号 国际标准名称 (中文) 国际标准名称 (英文) 采用快速程序 □FTP 快速程序代码 □B □C ICS分类号 33.040.40 中国标准分类号 M32 牵头单位 中国互联网络信息中心 计划起止时间 2012/6-2013/12 参加单位 工业和信息化部电信研究院 目的、意义或必要性 随着互联网的不断发展，域名服务作为互联网重要的基础设施也成为影响互联网安全稳定的重要因素。对域名服务来说，保障其“可用性”是其核心目标，对域名服务实现业务连续性管理是保障可用性的最佳方式。例如，ICANN在新gTLD的申请指南中就明确提出要求域名注册管理机构制订业务连续性计划并配备相关的实施条件。 当前，我国虽对提供域名服务的机构有保障域名服务安全性和稳定性的一般性要求，但是现有的域名相关行标和国标中并未建立符合国际规范及我国实际情况的域名服务业务连续性规范或标准，也没有制定针对业务连续性要求的规范指标。从实践来看，除国家顶级域名管理机构CNNIC已参照ISO27001标准及多年的运营经验实施了域名业务连续性管理外，其他的域名注册管理机构、根域名服务器镜像管理机构、域名注册服务机构、二级及二级以下域名服务机构、递归域名解析服务机构尚无公开实施案例，也缺乏统一、有效的业务连续性管理规范指导其进行实际操作。此外，随着New gTLD的开放，将有大量新的域名注册管理机构加入域名服务行业。由于缺乏运营经验，这些新的机构难以真正保障其域名服务的业务连续性。 由于国际上通用的业务连续性管理标准并不能完全符合我国域名服务的实际情况，因此，在参考国际通用标准的基础上，依据我国域名服务实践，建立清晰明确的《域名服务业务连续性管理要求》，指导各类域名服务机构提升其技术和管理水平，已成为保证整个域名服务行业健康发展的迫切要求和关键所在。 《域名服务业务连续性管理要求》将从操作层面上提供互联网域名服务业务连续性管理的客观标准和执行方法，指导域名服务机构进行业务连续性管理，对整个域名行业的发展具有十分重要的意义：通过《域名服务业务连续性管理要求》，可以规范行业内域名服务机构的基本服务水平，进一步提高域名服务机构的持续服务能力，相应提高域名服务的可用性水平，从而为中国互联网基础设施的安全稳定运行提供更好的保障。 范围和主要 技术内容 《域名服务业务连续性管理要求》将在通用业务连续性国际标准和域名运营经验的基础上，结合域名服务的现实情况和发展趋势，从操作层面上规范域名服务机构业务连续性管理，并对具体指标提出要求。 《域名服务业务连续性管理要求》将主要规定如下内容： 互联网域名服务业务连续性的概念及业务连续性管理策略； 关键业务功能识别：规范不同类型域名服务机构的业务连续性管理所应覆盖的关键业务功能，以及进行关键资源识别的方法，包括域名解析、注册、查询、DNSSEC等； 业务影响分析方法：规范不同类型域名服务机构对各关键业务功能进行中断影响分析应考虑的内容及分析方法； RPO及RTO指标：规范不同类型域名服务机构各关键业务功能最低的RPO及RTO指标； 风险评估制度：规范不同类型域名服务机构的风险评估制度和风险分析方法； 业务连续性组织：规范不同类型域名服务机构建设业务连续性组织的方法，包括其基本组成及通信保障机制； 应急响应机制：规范不同类型域名服务机构建设不同应急场景下应急响应流程的方法，包括所须覆盖的基本应急场景； 灾难恢复机制：规范不同类型域名服务机构应建立的灾难备份措施，以及灾难情况下不同业务功能的灾难恢复机制； 业务连续性计划维护：规范不同类型域名服务机构进行业务连续性计划维护、培训、演练的制度和流程。 《域名服务业务连续性管理要求》主要适用于国内相关企事业单位开展互联网域名服务业务时的业务连续性管理工作。 国内外情况 简要说明 当前，国内外均没有针对域名服务行业的业务连续性标准，只存在若干域名服务体系标准以及通用的业务连续性标准，《域名服务业务连续性管理要求》将充分参考这些通用业务连续性标准和域名标准，结合域名行业自身特点进行编制。对这些标准的介绍如下： 1、针对域名服务系统，国内外有很多相关标准，包括IETF标准及国内由CNNIC主导建设的多个国标及行标，这些标准覆盖了域名服务体系的总体技术要求、授权、运行、安全框架、安全防护、安全管理、IPv6支持、DNSSEC等各方面内容，上述标准中包括了系统备份、服务可用