草案計劃制定速覽1高安全區(qū) TLD 咨詢委員會1 制定速覽摘自 2010 年 2 月 17 日的 HSTLD AG 維客和電子郵件列表 ,本文檔的來由狀況這是高安全區(qū) TL

草案計劃制定速覽1

高安全區(qū) TLD 咨詢委員會

1 制定速覽摘自 2010 年 2 月 17 日的 HSTLD AG 維客和電子郵件列表

本文檔的來由狀況

這是高安全區(qū) TLD 咨詢委員會（“HSTLD AG”）已完成或正在進行的活動的制定速覽。本文檔的起草工作反映了相關(guān)方為增強公眾對于選擇加入計劃的 TLD 的信任，而圍繞旨在支持控制標準和鼓勵措施的志愿項目所做的持續(xù)制定工作。

摘要

作為新 gTLD《申請人指南》現(xiàn)行制定工作的一部分，本報告將提交給 ICANN 機構(gòu)群體供征詢公眾意見。本報告所反映的工作被稱作“正在進行的工作”，因為我們開展了高安全性 TLD 的志愿活動。 文件標準

作為制定速覽，本文就 HSTLD 計劃中正在制定的計劃內(nèi)容進行了簡要說明并描述了其當前的實際狀況。為了區(qū)分對計劃內(nèi)容的說明和實際制定的計劃內(nèi)容，前者采用正常的文本格式，而后者用斜體表示。

目錄

1.0

2.0 執(zhí)行摘要 ......................................................................................................................................... 4 制定活動 ......................................................................................................................................... 5

2.1 HSTLD AG 的成立................................................................................................................................ 5

2.2 HSTLD 最初要求和依據(jù)的說明文檔 ................................................................................................. 5

2.3 編制材料概況 . .................................................................................................................................... 5

2.4 組織目標聲明 . .................................................................................................................................... 6

2.5 組織問題聲明 . .................................................................................................................................... 6

2.6 組織益處聲明 . .................................................................................................................................... 6

2.7 “報告單”概念 . ................................................................................................................................ 7

2.8 原則、主題、目標、樣本標準 . ........................................................................................................ 8 3.0

后續(xù)措施 ....................................................................................................................................... 13

1.0 執(zhí)行摘要

在 ICANN 首爾國際公開會議之前，開始啟動志愿計劃的初步制定工作。該志愿計劃由控制標準和鼓勵性措施組成，旨在增強對選擇參與該計劃的 TLD 的信任。首爾會議之前的一段時間內(nèi)，ICANN 工作人員創(chuàng)建了一份概念文件。文件針對如何完成該志愿計劃的初步想法進行了概述。該概念文件是第 3 版的新 gTLD 《申請人指南草案》的一個組成部分。要參閱概念文件，請單擊以下鏈接：

大多數(shù)機構(gòu)群體都對概念文件持肯定意見。為了繼續(xù)獲得對這一概念的支持，ICANN 已邀請機構(gòu)群體成員加入 HSTLD 咨詢委員會（“HSTLD AG”）。HSTLD AG 目前是由 ICANN 工作人員、表示有意協(xié)助計劃的機構(gòu)群體成員以及該計劃相關(guān)領(lǐng)域（如，安全、審計、認證計劃）的各專家組成。HSTLD AG 定期召開會議，以原始文件中的概念為基礎(chǔ)，起草控制要素和活動要求，并發(fā)布可執(zhí)行計劃以供機構(gòu)群體審查討論。本文介紹的是 HSTLD AG 目前正在審查或編制的最新材料。

HSTLD AG 通過公開透明的流程開展活動和制定計劃。該制定速覽就是這一流程中的一部分。請通過以下鏈接查詢更多信息，其中包括組織的參與人員和 HSTLD AG 的每周會議記錄：

2.0 制定活動

自 ICANN 在韓國首爾召開國際公開會議以來出現(xiàn)的最重要的發(fā)展活動包括：

? HSTLD AG 的成立以及 HSTLD AG 對原始概念文件的審查；

? HSTLD 最初要求和依據(jù)的說明文檔；

? 改進原有概念文件內(nèi)容（包括基礎(chǔ)組件）的額外工作：

? 組織目標聲明

? HSTLD 問題陳述

? HSTLD 益處說明；

? 改進原有的概念文件的原則、主題、目標和樣本標準的額外工作；以及

? 添加一個新的“報告單”概念。

本制定速覽文件的其余部分將就上述每個活動進行解釋，并以“速覽”方式闡述其當前的發(fā)展狀態(tài)。HSTLD AG 通過每周的會議、電子郵件、HSTLD AG 維客和其他協(xié)作工具編制 HSTLD 計劃材料。最終，HSTLD AG 編制的材料將被用于創(chuàng)建可執(zhí)行的 HSTLD 計劃及其關(guān)鍵內(nèi)容。屆時 AG 將公布計劃以征詢公眾意見。

2.1 HSTLD AG 的成立

最初的工作是，ICANN 贊助成立一個咨詢委員會以改善志愿 HSTLD 計劃概念。該咨詢委員會是由 ICANN 工作人員和感興趣的機構(gòu)群體成員組成的。成立該咨詢委員會的目的是繼續(xù)編制志愿 HSTLD 概念材料。該材料最初是在 ICANN 韓國首爾國際公開會議上作為會議內(nèi)容的一部分公布的。HSTLD AG 的首次會議已于 2010 年 1 月6 日召開，咨詢委員會繼續(xù)每周召開一次會議，致力于 HSTLD 計劃概念的制定工作。委員會制定工作的現(xiàn)狀、制定速覽更新以及最終編制的新的概念文件（如果考慮公布該計劃）將在 ICANN 國際會議期間匯報。

2.2 HSTLD 最初要求和依據(jù)的說明文檔

HSTLD AG 組建過程中，委員會列舉了 HSTLD 概念文件的最初的要求和依據(jù)，以幫助制定核心材料。請通過以下鏈接，參閱這些收集的材料：

2.3 編制材料概況

HSTLD AG 的首要重點領(lǐng)域之一就是 HSTLD 組織目標、問題和益處。這些領(lǐng)域是 HSTLD 計劃順利執(zhí)行的基礎(chǔ)，同時還是 HSTLD 計劃所依據(jù)的總體指導(dǎo)方針。HSTLD AG 的討論目前已經(jīng)超越了這些范圍，但在整個 HSTLD 制定工作中還將根據(jù)需要對其進行重新討論。

在目標、問題和益處聲明的編制過程中，HSTLD AG 的成員提出了供有意成為 HSTLD TLD 的 TLD 使用的新報告方式。新的報告方法基于“報告單”概念。它為 TLD 自行驗證其自身是否符合 HSTLD 計劃提供了方法。AG 將對這一報告方法進行評估，并且與其他認證、信任標識以及相似的驗證程序相比較。

創(chuàng)建并討論了 HSTLD 目標、問題和益處材料之后，HSTLD AG 的重點集中在原則、主題、目標和樣本標準上。這些材料是最近討論過并且仍處于積極編制狀態(tài)的材料。

下面對每部分進行簡要介紹，普通文本格式代表該材料，斜體文本代表 HSTLD AG 工作草案材料。

2.4 組織目標聲明

HSTLD AG 承擔的第一份制定任務(wù)是起草 HSTLD AG 組織目標聲明。HSTLD AG 組織目標聲明向機構(gòu)群體提供了 HSTLD AG 總體目標的章程。還提供了與機構(gòu)群體和 HSTLD AG 成員就總體目標和方向進行溝通的方法。當前的 HSTLD AG 目標聲明草案如下：

“高安全區(qū)頂級域名咨詢委員會的目標是將各機構(gòu)群體代表聚集在一起，共同評估一項支持控制標準和鼓勵性措施的志愿活動的可行性。這些控制標準和鼓勵性措施可提高基本注冊管理控制的信任度和安全性?！?/p>

2.5 組織問題聲明

在 HSTLD AG 開始制定適合的目標聲明時，一些 AG 成員提出，應(yīng)當界定 HSTLD AG 的成立目的是解決哪些問題，因此這些問題被記錄下來以供機構(gòu)群體審查。由于制定了旨在減少這些問題的控制措施，這類材料有助于 HSTLS AG 不偏離重點。HSTLD AG 問題聲明如下：

“某些個人/組織為已經(jīng)試圖利用 DNS 技術(shù)的漏洞以及某些注冊管理機構(gòu)的商業(yè)慣例，達到不當?shù)暮?或非法目的?！睂@些漏洞的利用已經(jīng)威脅到了互聯(lián)網(wǎng)的安全和穩(wěn)定，并且對用戶在使用互聯(lián)網(wǎng)時的信任度產(chǎn)生了負面影響。

利益相關(guān)方包括：

1 注冊人想要確定其注冊的域名不會因為受累于注冊服務(wù)商/注冊管理機構(gòu)/自己的賬戶而被劫

持。（包括DNS 、WHOIS 等）

2 注冊服務(wù)商希望能夠向注冊人合理保證第 1 條所述的情況不會出現(xiàn)，因為他們采取了控制措

施。為了做到這一點，他們要求注冊人和注冊管理機構(gòu)共同合作。

3 注冊管理機構(gòu)也希望滿足第 1 條，這需要注冊人與注冊服務(wù)商的合作。

4 最終用戶希望知道當他們輸入某一類型的域名，或通過書簽導(dǎo)航時，進入了正確的域，而且

DNS 等未被劫持。

5 最終用戶希望了解在特定 gTLD 中注冊的域名符合旨在減少注冊人惡意行為的注冊標準、政策

和程序?！?/p>

2.6 組織益處聲明

到目前為止，計劃制訂的最終基礎(chǔ)領(lǐng)域是制定 HSTLD AG 益處聲明。這種益處材料的最終目的是讓機構(gòu)群體了解通過遵守 HSTLD 計劃可以獲得哪些益處。該材料并不是全面的商業(yè)利益分析。相反，它所提供的是整體的群體利益，并按受 HSTLD 計劃影響最大的組織對其進行分解。當前的 HSTLD AG 益處材料如下：

“注冊管理機構(gòu)得益于：

Ry1.

Ry2.

Ry3.

Ry4.

Ry5.

通過審計流程證明其具備有關(guān)連續(xù)性、安全性和運營完整性的高標準 證明其業(yè)務(wù)運作已經(jīng)過審查并符合組織、運營和財務(wù)完整性的標準 證明其具備滿足數(shù)據(jù)保密性、準確性、完整性和數(shù)據(jù)恢復(fù)等高標準的數(shù)據(jù)處理和存儲方法 證明其已經(jīng)采取了措施，以減輕域名服務(wù)和域名注冊服務(wù)的濫用行為 滿足 (Ry1) 到 (Ry4)，培養(yǎng)最終用戶和注冊人對其業(yè)務(wù)和財務(wù)狀況的信任，并確保為注冊管理執(zhí)行機構(gòu)執(zhí)行注冊過程的注冊服務(wù)商實施其降低惡意注冊域名發(fā)生率的措施 注冊服務(wù)商得益于：

Rr1.

Rr2.

Rr3.

Rr4.

Rr5. 通過審計流程，證明其滿足了從 HSTLD 注冊管理機構(gòu)“滴入”的所有連續(xù)性、安全性和運營完整性的標準。（“滴入”的意思是，注冊服務(wù)商執(zhí)行任何強加于注冊管理機構(gòu)的條件，如果沒有注冊服務(wù)商的協(xié)助，則無法滿足這些條件，例如影響注冊服務(wù)商和注冊人之間的業(yè)務(wù)接口的條件） 證明其業(yè)務(wù)運作已經(jīng)過審查而且符合 HSTLD 注冊管理機構(gòu)“滴入”的組織、運營和財務(wù)完整性標準 通過 Ry3“滴入” 通過 Ry4“滴入” 滿足 (Rr1) 到 (Rr4)，培養(yǎng)了用戶和注冊人的信任，使其相信 HSTLD 委托注冊服務(wù)商代表注

冊管理機構(gòu)執(zhí)行注冊。較高的注冊程序標準也向用戶和注冊人保證了注冊數(shù)據(jù)的準確性，以及對濫用問題投訴的處理符合標準做法等。

注冊人得益于：

Re1.

Re2.

Re3.

Re4.

Re5.

證明其愿意遞交與 HSTLD 注冊管理機構(gòu)有關(guān)的嚴格驗證措施 證明其愿意維持準確的注冊數(shù)據(jù)（并遵守確保數(shù)據(jù)準確性的驗證措施） 證明其愿意同意服務(wù)和 AUP 條款，AUP 列舉了禁用和濫用情況，并授權(quán)注冊管理機構(gòu)/注冊服務(wù)商在處理違背 TOS/AUP 的情況時采取暫停服務(wù)或其他應(yīng)對措施 實施減少惡意域名注冊行為的措施：許多這樣的措施增加了攻擊者損害合法注冊人賬號的難度 實施減少 DNS 濫用情況的措施：許多這樣的措施增加了攻擊者損害合法注冊人賬號并改變 DNS 配置信息的難度。

用戶得益于：

U1.

U2.

U3. 更準確的注冊數(shù)據(jù) HSTLD 中注冊的域名的惡意注冊事件和 DNS 濫用事件發(fā)生率降低 明確定義的濫用問題處理程序”

2.7 “報告單”概念

由于 HSTLD AG 編制了上述的基礎(chǔ)材料，出現(xiàn)了有關(guān)最初驗證概念文件的認證過程的問題。最初的概念文件將第三方驗證方式作為向整個機構(gòu)群體報告 TLD 采用 HSTLD 計劃控制措施的機制。通過組織討論過程，引入了一個 TLD 采用 HSTLD 控制措施的替代方法（盡管并不互相排斥）這一替代

方法是基于報告單的概念，TLD 能夠填寫該報告單向機構(gòu)群體報告其 HSTLD 控制措施的合規(guī)程度。對于該概念的概述如下：

“TLD 安全記分卡

目前，對于如何讓注冊人做出關(guān)于其域名注冊選項的知情決策，ICANN 沒有提供任何標準。安全記分卡將作為可納入 ICANN 當前儀表板特征的概念。

該記分卡將包括一個以約定的安全控制標準為 Y 軸，“所有”TLD 注冊管理執(zhí)行機構(gòu)為 X 軸的矩陣。矩陣中每個方塊將符合以下配色方案：

? 白/空方塊：注冊管理執(zhí)行機構(gòu)未提供與該控制元素相關(guān)的任何數(shù)據(jù)。

? 黃色陰影方塊：注冊管理執(zhí)行機構(gòu)已經(jīng)“自行認證”其自身與該控制元素的符合性。 ? 50 綠色陰影方塊：第三方已證實注冊管理機構(gòu)在某一特定時間點符合該控制元素，

但是未能確定長期的符合性。

? 100 綠色陰影方塊：第三方已證實注冊管理機構(gòu)能長期符合該控制元素。

? 紅色陰影方塊：注冊管理機構(gòu)就某一具體控制標準進行了“自行認證”，但是隨后被發(fā)

現(xiàn)并不符合。有關(guān)自行認證的任何虛假聲明都是違反注冊管理機構(gòu)協(xié)議的行為，將接受 ICANN 合規(guī)性團隊工作人員的調(diào)查?！?/p>

2.8 原則、主題、目標、樣本標準

原概念文件的第 3.2.1 節(jié)包含了有關(guān) HSTLD 計劃核心要求的具體內(nèi)容。本節(jié)闡述了原則、目標和標準的集合，它們是旨在改善 TLD 安全性和信任度的實際控制措施的基礎(chǔ)所在。HSTLD AG 一直致力于改善本節(jié)。最近，對最初的原則進行了審查并且正在對一份附加的原則草案（目前列為“原則 4”）進行討論，希望最終將其添加進原則中。HSTLD AG目前也在評估“可能的標準主題”，爭取就實際標準和支持說明性控制示例達成一致。全部完成時，每個標準主題將有一個或多個說明性控制示例，針對為符合標準要求而必須采用的適當?shù)目刂拼胧┨峁┲笇?dǎo)。本節(jié)當前的制定速覽如下：

“原則 1：通過執(zhí)行以下措施，注冊管理機構(gòu)保持有效的控制措施以合理地確保支持注冊管理機構(gòu)關(guān)鍵 IT （即，注冊服務(wù)、注冊管理機構(gòu)數(shù)據(jù)庫、區(qū)域管理和提供域名解析服務(wù)）和業(yè)務(wù)運營的系統(tǒng)和信息資產(chǎn)的安全性、可用性和保密性得到維護：

? 確定系統(tǒng)運營目標、政策和標準以及信息資產(chǎn)安全性、可用性、保密性和隱私性并就這些問題

進行溝通；

? 利用程序、人員、軟件、數(shù)據(jù)和基礎(chǔ)架構(gòu)，按照既定的政策和標準達到確定的目標；以及 ? 監(jiān)測系統(tǒng)和信息資產(chǎn)并采取行動以達到確定的目標并遵守既定政策和標準。

原則 2：注冊管理機構(gòu)保持有效的控制措施以合理保證注冊管理機構(gòu)核心職能的處理符合既定的政策和標準，經(jīng)過授權(quán)，且準確完整、實施及時。參與實體的身份經(jīng)過確定和認證。