GB/T 33562-2017信息安全技术　安全域名系统实施指南.pdf

ICS 35.040 L 80 OB 中华人民共和国国家标准 GB/T 33562—2017 信息安全技术安全域名系统实施指南 Information security technology—Secure domain name system deployment guide 2017-05-12 发布 2017-12-01 实施 发布 GB/T 33562—2017 目 次 .-a.Z-A T 冃U有 I 引言n i范围 i 2规范性引用文件 1 3术语和定义 1 4 缩略语 4 5 DNS安全技术指南5 5.1 概述 5 5.2权威域名系统安全指南 5 5.3递归域名系统安全指南 6 5.4 DNS事务安全指南 6 5.5 DNS数据安全指南 8 6 DNS查询/响应安全指南（DNSSec规范）9 6.1 DNSSec机制和操作 9 6.2公私密钥对的生成10 6.3 私钥的安全存储 10 6.4公钥的发布和建立信任锚 10 6.5 区签名和区重签名10 6.6 密钥轮转 11 6.7 创建信任链和签名验证 11 附录A （资料性附录）具体BIND配 命令 12 参考文献 14 GB/T 33562—2017 ■ r ■ —— 刖 弓 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。 本标准起草单位：山东省标准化研究院、 中国互联网络信息中心、天津卓朗科技发展有限公司、青岛 以太科技股份有限公司、深圳市信息安全测评中心、深圳市坪山新区信息化管理办公室、常州富国信息 技术有限公司、辽宁省信息安全与软件测评认证中心、青岛大学、青岛科技大学、互联网域名系统北京市 丁程研究中心。 本标准主要起草人：王曙光、王庆升、公伟、隗玉凯、姚健康、刘杰、林明贵、王伟、武刚、唐增来、 邱建中、黎文辉、陶毅国、陈多思、丁锋、于佳、程相国、刘国柱、马迪。 T GB/T 33562—2017 引 言 随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的 任一步骤所需的时间，从而可以更快地取得对会话的控制以实施某种恶意操作。若要在长期内消除此 漏洞，唯一的解决方案是以端到端的形式部署DNSSec协议，即从根区到最终域名的查找过程中每一步 都部署DNSSec。 目前，作为DNSSec信任链的根服务器都已经部署DNSSec服务。与此同时，随着业界对DNSSec 的努力推动，各顶级域名管理机构陆续开始部署DNSSec服务，但在顶级域名之下的二级权威域及递归 域名对DNSSec支持相对较低。虽然国内重点权威域名服务器和主要递归域名服务器对DNSSec支持 只有0.9%和2.2%,但它们对DNSSec支持相比以前有了较大改善。 本标准可以为域名系统DNSSec部署过程提供权威域名系统安全指南、递归域名系统安全指南、 DNS事