域名服务体系一体化监测指标及技术要求

■制定 □修订

□IDT □MOD □NEQ

□FTP

33.040.40

中国互联网络信息中心

中国互联网络信息中心,暨南大学,中国联合网络通信集团有限公司

域名服务系统(Domain Name System，DNS)负责提供域名和IP地址之间的映射和解析,是维持互联网正常运转的核心基础服务。域名服务系统作为互联网的基础设施,其安全稳定运行事关互联网正常运行，关系着社会稳定和国家安全。2017年8月16日，工业和信息化部发布《互联网域名管理办法》细化了有关域名服务的一系列监管制度，为贯彻落实中央有关要求，维护网络与信息安全，针对我国域名服务体系，围绕配置、性能、可用性、安全、流量等方面进行全面的一体化监测是极为必要和重要的。 域名服务体系一体化监测的目的就是要对我国域名服务体系各个环节制定规范的监测方法和评价指标，实现对互联网域名系统，尤其是我国域名服务体系的全方位状态监测，以支撑全球性、国家级、多维度、分布式的综合数据采集及监测分析系统的建设，支撑我国域名服务领域监测分析、预警通报、保障支撑和安全态势评估工作的开展。 本文件参考了“YD/T 3008-2016域名服务安全状态检测要求”等成熟标准的相关内容，定义了一套针对域名服务体系一体化监测的指标体系，规范了监测方法相关技术要求，用于构建便于全方位掌握域名服务体系状态的监测技术框架。通过使用统一规范化的监测方法和评价指标，更容易地协调及管理域名服务的多数据源信息，同时，也有助于实现对域名服务状态的自动分析，便于及时预警并在第一时间启动应急处置。

本文件定义了域名服务体系一体化监测指标，并对监测方法和评价标准进行了详细阐述，规范了域名服务体系一体化监测的技术要求，适用于公众电信网和互联网提供域名权威解析服务器、域名递归解析服务器所提供的服务，适用于对域名服务体系各个环节的系统软件、协议支持、服务性能等方面的评价、检测和监控。主要技术内容包括对域名服务体系一体化监测对象、整体流程与逻辑架构的概述，以及域名服务体系一体化监测在配置、性能、可用性、安全、流量五大维度的监测方法和指标规范。

目前，国际国内有若干标准对域名服务系统数据交换等安全协议和域名安全检测问题进行了分析，但在域名服务体系一体化监测方面尚未形成一套全球通用的指标体系和技术规范，本文件参考相关成熟标准，系统地梳理域名服务体系一体化监测的指标和技术要求，制定了域名服务体系一体化监测指标要求和技术规范，以标准化我国域名服务体系状态监测方法和评价指标。相关参考技术标准包括：RFC1912：Common DNS Operational and Configuration Errors RFC6891：Extension Mechanisms for DNS (EDNS(0)) RFC4033：DNS Security Introduction and Requirements RFC4035：Protocol Modifications for the DNS Security Extensions RFC3845：DNS Security (DNSSEC) NextSECure (NSEC) RDATA Format RFC5155：DNS Security (DNSSEC) Hashed Authenticated Denial of Existence RFC7873：Domain Name System (DNS) Cookies YD/T 2140-2010：域名服务系统安全框架技术要求 YD/T 2052-2009：域名系统安全防护技术要求 YD/T 2053-2009：域名系统安全防护检测要求 YD/T 1840-2013：域名服务安全状态检测要求 本文件不对应国际标准，是国内制定的通信行业标准。本文件所规范的指标体系和监测方法中域名服务可用性监测指标及技术方法部分将引用专利《一种基于用户感知的dns服务器可用性检测方法》（已授权，申请号CN201410842071.6，专利权人为中国互联网络信息中心）的部分内容。