草案計(jì)劃制定速覽1高安全區(qū) TLD 咨詢委員會(huì)1 制定速覽摘自 2010 年 2 月 17 日的 HSTLD AG 維客和電子郵件列表 ,本文檔的來由狀況這是高安全區(qū) TL

草案計(jì)劃制定速覽1

高安全區(qū) TLD 咨詢委員會(huì)

1 制定速覽摘自 2010 年 2 月 17 日的 HSTLD AG 維客和電子郵件列表

本文檔的來由狀況

這是高安全區(qū) TLD 咨詢委員會(huì)（“HSTLD AG”）已完成或正在進(jìn)行的活動(dòng)的制定速覽。本文檔的起草工作反映了相關(guān)方為增強(qiáng)公眾對(duì)于選擇加入計(jì)劃的 TLD 的信任，而圍繞旨在支持控制標(biāo)準(zhǔn)和鼓勵(lì)措施的志愿項(xiàng)目所做的持續(xù)制定工作。

摘要

作為新 gTLD《申請(qǐng)人指南》現(xiàn)行制定工作的一部分，本報(bào)告將提交給 ICANN 機(jī)構(gòu)群體供征詢公眾意見。本報(bào)告所反映的工作被稱作“正在進(jìn)行的工作”，因?yàn)槲覀冮_展了高安全性 TLD 的志愿活動(dòng)。 文件標(biāo)準(zhǔn)

作為制定速覽，本文就 HSTLD 計(jì)劃中正在制定的計(jì)劃內(nèi)容進(jìn)行了簡(jiǎn)要說明并描述了其當(dāng)前的實(shí)際狀況。為了區(qū)分對(duì)計(jì)劃內(nèi)容的說明和實(shí)際制定的計(jì)劃內(nèi)容，前者采用正常的文本格式，而后者用斜體表示。

目錄

1.0

2.0 執(zhí)行摘要 ......................................................................................................................................... 4 制定活動(dòng) ......................................................................................................................................... 5

2.1 HSTLD AG 的成立................................................................................................................................ 5

2.2 HSTLD 最初要求和依據(jù)的說明文檔 ................................................................................................. 5

2.3 編制材料概況 . .................................................................................................................................... 5

2.4 組織目標(biāo)聲明 . .................................................................................................................................... 6

2.5 組織問題聲明 . .................................................................................................................................... 6

2.6 組織益處聲明 . .................................................................................................................................... 6

2.7 “報(bào)告單”概念 . ................................................................................................................................ 7

2.8 原則、主題、目標(biāo)、樣本標(biāo)準(zhǔn) . ........................................................................................................ 8 3.0

后續(xù)措施 ....................................................................................................................................... 13

1.0 執(zhí)行摘要

在 ICANN 首爾國(guó)際公開會(huì)議之前，開始啟動(dòng)志愿計(jì)劃的初步制定工作。該志愿計(jì)劃由控制標(biāo)準(zhǔn)和鼓勵(lì)性措施組成，旨在增強(qiáng)對(duì)選擇參與該計(jì)劃的 TLD 的信任。首爾會(huì)議之前的一段時(shí)間內(nèi)，ICANN 工作人員創(chuàng)建了一份概念文件。文件針對(duì)如何完成該志愿計(jì)劃的初步想法進(jìn)行了概述。該概念文件是第 3 版的新 gTLD 《申請(qǐng)人指南草案》的一個(gè)組成部分。要參閱概念文件，請(qǐng)單擊以下鏈接：

大多數(shù)機(jī)構(gòu)群體都對(duì)概念文件持肯定意見。為了繼續(xù)獲得對(duì)這一概念的支持，ICANN 已邀請(qǐng)機(jī)構(gòu)群體成員加入 HSTLD 咨詢委員會(huì)（“HSTLD AG”）。HSTLD AG 目前是由 ICANN 工作人員、表示有意協(xié)助計(jì)劃的機(jī)構(gòu)群體成員以及該計(jì)劃相關(guān)領(lǐng)域（如，安全、審計(jì)、認(rèn)證計(jì)劃）的各專家組成。HSTLD AG 定期召開會(huì)議，以原始文件中的概念為基礎(chǔ)，起草控制要素和活動(dòng)要求，并發(fā)布可執(zhí)行計(jì)劃以供機(jī)構(gòu)群體審查討論。本文介紹的是 HSTLD AG 目前正在審查或編制的最新材料。

HSTLD AG 通過公開透明的流程開展活動(dòng)和制定計(jì)劃。該制定速覽就是這一流程中的一部分。請(qǐng)通過以下鏈接查詢更多信息，其中包括組織的參與人員和 HSTLD AG 的每周會(huì)議記錄：

2.0 制定活動(dòng)

自 ICANN 在韓國(guó)首爾召開國(guó)際公開會(huì)議以來出現(xiàn)的最重要的發(fā)展活動(dòng)包括：

? HSTLD AG 的成立以及 HSTLD AG 對(duì)原始概念文件的審查；

? HSTLD 最初要求和依據(jù)的說明文檔；

? 改進(jìn)原有概念文件內(nèi)容（包括基礎(chǔ)組件）的額外工作：

? 組織目標(biāo)聲明

? HSTLD 問題陳述

? HSTLD 益處說明；

? 改進(jìn)原有的概念文件的原則、主題、目標(biāo)和樣本標(biāo)準(zhǔn)的額外工作；以及

? 添加一個(gè)新的“報(bào)告單”概念。

本制定速覽文件的其余部分將就上述每個(gè)活動(dòng)進(jìn)行解釋，并以“速覽”方式闡述其當(dāng)前的發(fā)展?fàn)顟B(tài)。HSTLD AG 通過每周的會(huì)議、電子郵件、HSTLD AG 維客和其他協(xié)作工具編制 HSTLD 計(jì)劃材料。最終，HSTLD AG 編制的材料將被用于創(chuàng)建可執(zhí)行的 HSTLD 計(jì)劃及其關(guān)鍵內(nèi)容。屆時(shí) AG 將公布計(jì)劃以征詢公眾意見。

2.1 HSTLD AG 的成立

最初的工作是，ICANN 贊助成立一個(gè)咨詢委員會(huì)以改善志愿 HSTLD 計(jì)劃概念。該咨詢委員會(huì)是由 ICANN 工作人員和感興趣的機(jī)構(gòu)群體成員組成的。成立該咨詢委員會(huì)的目的是繼續(xù)編制志愿 HSTLD 概念材料。該材料最初是在 ICANN 韓國(guó)首爾國(guó)際公開會(huì)議上作為會(huì)議內(nèi)容的一部分公布的。HSTLD AG 的首次會(huì)議已于 2010 年 1 月6 日召開，咨詢委員會(huì)繼續(xù)每周召開一次會(huì)議，致力于 HSTLD 計(jì)劃概念的制定工作。委員會(huì)制定工作的現(xiàn)狀、制定速覽更新以及最終編制的新的概念文件（如果考慮公布該計(jì)劃）將在 ICANN 國(guó)際會(huì)議期間匯報(bào)。

2.2 HSTLD 最初要求和依據(jù)的說明文檔

HSTLD AG 組建過程中，委員會(huì)列舉了 HSTLD 概念文件的最初的要求和依據(jù)，以幫助制定核心材料。請(qǐng)通過以下鏈接，參閱這些收集的材料：

2.3 編制材料概況

HSTLD AG 的首要重點(diǎn)領(lǐng)域之一就是 HSTLD 組織目標(biāo)、問題和益處。這些領(lǐng)域是 HSTLD 計(jì)劃順利執(zhí)行的基礎(chǔ)，同時(shí)還是 HSTLD 計(jì)劃所依據(jù)的總體指導(dǎo)方針。HSTLD AG 的討論目前已經(jīng)超越了這些范圍，但在整個(gè) HSTLD 制定工作中還將根據(jù)需要對(duì)其進(jìn)行重新討論。

在目標(biāo)、問題和益處聲明的編制過程中，HSTLD AG 的成員提出了供有意成為 HSTLD TLD 的 TLD 使用的新報(bào)告方式。新的報(bào)告方法基于“報(bào)告單”概念。它為 TLD 自行驗(yàn)證其自身是否符合 HSTLD 計(jì)劃提供了方法。AG 將對(duì)這一報(bào)告方法進(jìn)行評(píng)估，并且與其他認(rèn)證、信任標(biāo)識(shí)以及相似的驗(yàn)證程序相比較。

創(chuàng)建并討論了 HSTLD 目標(biāo)、問題和益處材料之后，HSTLD AG 的重點(diǎn)集中在原則、主題、目標(biāo)和樣本標(biāo)準(zhǔn)上。這些材料是最近討論過并且仍處于積極編制狀態(tài)的材料。

下面對(duì)每部分進(jìn)行簡(jiǎn)要介紹，普通文本格式代表該材料，斜體文本代表 HSTLD AG 工作草案材料。

2.4 組織目標(biāo)聲明

HSTLD AG 承擔(dān)的第一份制定任務(wù)是起草 HSTLD AG 組織目標(biāo)聲明。HSTLD AG 組織目標(biāo)聲明向機(jī)構(gòu)群體提供了 HSTLD AG 總體目標(biāo)的章程。還提供了與機(jī)構(gòu)群體和 HSTLD AG 成員就總體目標(biāo)和方向進(jìn)行溝通的方法。當(dāng)前的 HSTLD AG 目標(biāo)聲明草案如下：

“高安全區(qū)頂級(jí)域名咨詢委員會(huì)的目標(biāo)是將各機(jī)構(gòu)群體代表聚集在一起，共同評(píng)估一項(xiàng)支持控制標(biāo)準(zhǔn)和鼓勵(lì)性措施的志愿活動(dòng)的可行性。這些控制標(biāo)準(zhǔn)和鼓勵(lì)性措施可提高基本注冊(cè)管理控制的信任度和安全性?！?/p>

2.5 組織問題聲明

在 HSTLD AG 開始制定適合的目標(biāo)聲明時(shí)，一些 AG 成員提出，應(yīng)當(dāng)界定 HSTLD AG 的成立目的是解決哪些問題，因此這些問題被記錄下來以供機(jī)構(gòu)群體審查。由于制定了旨在減少這些問題的控制措施，這類材料有助于 HSTLS AG 不偏離重點(diǎn)。HSTLD AG 問題聲明如下：

“某些個(gè)人/組織為已經(jīng)試圖利用 DNS 技術(shù)的漏洞以及某些注冊(cè)管理機(jī)構(gòu)的商業(yè)慣例，達(dá)到不當(dāng)?shù)暮?或非法目的?！睂?duì)這些漏洞的利用已經(jīng)威脅到了互聯(lián)網(wǎng)的安全和穩(wěn)定，并且對(duì)用戶在使用互聯(lián)網(wǎng)時(shí)的信任度產(chǎn)生了負(fù)面影響。

利益相關(guān)方包括：

1 注冊(cè)人想要確定其注冊(cè)的域名不會(huì)因?yàn)槭芾塾谧?cè)服務(wù)商/注冊(cè)管理機(jī)構(gòu)/自己的賬戶而被劫

持。（包括DNS 、WHOIS 等）

2 注冊(cè)服務(wù)商希望能夠向注冊(cè)人合理保證第 1 條所述的情況不會(huì)出現(xiàn)，因?yàn)樗麄儾扇×丝刂拼?/p>

施。為了做到這一點(diǎn)，他們要求注冊(cè)人和注冊(cè)管理機(jī)構(gòu)共同合作。

3 注冊(cè)管理機(jī)構(gòu)也希望滿足第 1 條，這需要注冊(cè)人與注冊(cè)服務(wù)商的合作。

4 最終用戶希望知道當(dāng)他們輸入某一類型的域名，或通過書簽導(dǎo)航時(shí)，進(jìn)入了正確的域，而且

DNS 等未被劫持。

5 最終用戶希望了解在特定 gTLD 中注冊(cè)的域名符合旨在減少注冊(cè)人惡意行為的注冊(cè)標(biāo)準(zhǔn)、政策

和程序?！?/p>

2.6 組織益處聲明

到目前為止，計(jì)劃制訂的最終基礎(chǔ)領(lǐng)域是制定 HSTLD AG 益處聲明。這種益處材料的最終目的是讓機(jī)構(gòu)群體了解通過遵守 HSTLD 計(jì)劃可以獲得哪些益處。該材料并不是全面的商業(yè)利益分析。相反，它所提供的是整體的群體利益，并按受 HSTLD 計(jì)劃影響最大的組織對(duì)其進(jìn)行分解。當(dāng)前的 HSTLD AG 益處材料如下：

“注冊(cè)管理機(jī)構(gòu)得益于：

Ry1.

Ry2.

Ry3.

Ry4.

Ry5.

通過審計(jì)流程證明其具備有關(guān)連續(xù)性、安全性和運(yùn)營(yíng)完整性的高標(biāo)準(zhǔn) 證明其業(yè)務(wù)運(yùn)作已經(jīng)過審查并符合組織、運(yùn)營(yíng)和財(cái)務(wù)完整性的標(biāo)準(zhǔn) 證明其具備滿足數(shù)據(jù)保密性、準(zhǔn)確性、完整性和數(shù)據(jù)恢復(fù)等高標(biāo)準(zhǔn)的數(shù)據(jù)處理和存儲(chǔ)方法 證明其已經(jīng)采取了措施，以減輕域名服務(wù)和域名注冊(cè)服務(wù)的濫用行為 滿足 (Ry1) 到 (Ry4)，培養(yǎng)最終用戶和注冊(cè)人對(duì)其業(yè)務(wù)和財(cái)務(wù)狀況的信任，并確保為注冊(cè)管理執(zhí)行機(jī)構(gòu)執(zhí)行注冊(cè)過程的注冊(cè)服務(wù)商實(shí)施其降低惡意注冊(cè)域名發(fā)生率的措施 注冊(cè)服務(wù)商得益于：

Rr1.

Rr2.

Rr3.

Rr4.

Rr5. 通過審計(jì)流程，證明其滿足了從 HSTLD 注冊(cè)管理機(jī)構(gòu)“滴入”的所有連續(xù)性、安全性和運(yùn)營(yíng)完整性的標(biāo)準(zhǔn)。（“滴入”的意思是，注冊(cè)服務(wù)商執(zhí)行任何強(qiáng)加于注冊(cè)管理機(jī)構(gòu)的條件，如果沒有注冊(cè)服務(wù)商的協(xié)助，則無法滿足這些條件，例如影響注冊(cè)服務(wù)商和注冊(cè)人之間的業(yè)務(wù)接口的條件） 證明其業(yè)務(wù)運(yùn)作已經(jīng)過審查而且符合 HSTLD 注冊(cè)管理機(jī)構(gòu)“滴入”的組織、運(yùn)營(yíng)和財(cái)務(wù)完整性標(biāo)準(zhǔn) 通過 Ry3“滴入” 通過 Ry4“滴入” 滿足 (Rr1) 到 (Rr4)，培養(yǎng)了用戶和注冊(cè)人的信任，使其相信 HSTLD 委托注冊(cè)服務(wù)商代表注

冊(cè)管理機(jī)構(gòu)執(zhí)行注冊(cè)。較高的注冊(cè)程序標(biāo)準(zhǔn)也向用戶和注冊(cè)人保證了注冊(cè)數(shù)據(jù)的準(zhǔn)確性，以及對(duì)濫用問題投訴的處理符合標(biāo)準(zhǔn)做法等。

注冊(cè)人得益于：

Re1.

Re2.

Re3.

Re4.

Re5.

證明其愿意遞交與 HSTLD 注冊(cè)管理機(jī)構(gòu)有關(guān)的嚴(yán)格驗(yàn)證措施 證明其愿意維持準(zhǔn)確的注冊(cè)數(shù)據(jù)（并遵守確保數(shù)據(jù)準(zhǔn)確性的驗(yàn)證措施） 證明其愿意同意服務(wù)和 AUP 條款，AUP 列舉了禁用和濫用情況，并授權(quán)注冊(cè)管理機(jī)構(gòu)/注冊(cè)服務(wù)商在處理違背 TOS/AUP 的情況時(shí)采取暫停服務(wù)或其他應(yīng)對(duì)措施 實(shí)施減少惡意域名注冊(cè)行為的措施：許多這樣的措施增加了攻擊者損害合法注冊(cè)人賬號(hào)的難度 實(shí)施減少 DNS 濫用情況的措施：許多這樣的措施增加了攻擊者損害合法注冊(cè)人賬號(hào)并改變 DNS 配置信息的難度。

用戶得益于：

U1.

U2.

U3. 更準(zhǔn)確的注冊(cè)數(shù)據(jù) HSTLD 中注冊(cè)的域名的惡意注冊(cè)事件和 DNS 濫用事件發(fā)生率降低 明確定義的濫用問題處理程序”

2.7 “報(bào)告單”概念

由于 HSTLD AG 編制了上述的基礎(chǔ)材料，出現(xiàn)了有關(guān)最初驗(yàn)證概念文件的認(rèn)證過程的問題。最初的概念文件將第三方驗(yàn)證方式作為向整個(gè)機(jī)構(gòu)群體報(bào)告 TLD 采用 HSTLD 計(jì)劃控制措施的機(jī)制。通過組織討論過程，引入了一個(gè) TLD 采用 HSTLD 控制措施的替代方法（盡管并不互相排斥）這一替代

方法是基于報(bào)告單的概念，TLD 能夠填寫該報(bào)告單向機(jī)構(gòu)群體報(bào)告其 HSTLD 控制措施的合規(guī)程度。對(duì)于該概念的概述如下：

“TLD 安全記分卡

目前，對(duì)于如何讓注冊(cè)人做出關(guān)于其域名注冊(cè)選項(xiàng)的知情決策，ICANN 沒有提供任何標(biāo)準(zhǔn)。安全記分卡將作為可納入 ICANN 當(dāng)前儀表板特征的概念。

該記分卡將包括一個(gè)以約定的安全控制標(biāo)準(zhǔn)為 Y 軸，“所有”TLD 注冊(cè)管理執(zhí)行機(jī)構(gòu)為 X 軸的矩陣。矩陣中每個(gè)方塊將符合以下配色方案：

? 白/空方塊：注冊(cè)管理執(zhí)行機(jī)構(gòu)未提供與該控制元素相關(guān)的任何數(shù)據(jù)。

? 黃色陰影方塊：注冊(cè)管理執(zhí)行機(jī)構(gòu)已經(jīng)“自行認(rèn)證”其自身與該控制元素的符合性。 ? 50 綠色陰影方塊：第三方已證實(shí)注冊(cè)管理機(jī)構(gòu)在某一特定時(shí)間點(diǎn)符合該控制元素，

但是未能確定長(zhǎng)期的符合性。

? 100 綠色陰影方塊：第三方已證實(shí)注冊(cè)管理機(jī)構(gòu)能長(zhǎng)期符合該控制元素。

? 紅色陰影方塊：注冊(cè)管理機(jī)構(gòu)就某一具體控制標(biāo)準(zhǔn)進(jìn)行了“自行認(rèn)證”，但是隨后被發(fā)

現(xiàn)并不符合。有關(guān)自行認(rèn)證的任何虛假聲明都是違反注冊(cè)管理機(jī)構(gòu)協(xié)議的行為，將接受 ICANN 合規(guī)性團(tuán)隊(duì)工作人員的調(diào)查?！?/p>

2.8 原則、主題、目標(biāo)、樣本標(biāo)準(zhǔn)

原概念文件的第 3.2.1 節(jié)包含了有關(guān) HSTLD 計(jì)劃核心要求的具體內(nèi)容。本節(jié)闡述了原則、目標(biāo)和標(biāo)準(zhǔn)的集合，它們是旨在改善 TLD 安全性和信任度的實(shí)際控制措施的基礎(chǔ)所在。HSTLD AG 一直致力于改善本節(jié)。最近，對(duì)最初的原則進(jìn)行了審查并且正在對(duì)一份附加的原則草案（目前列為“原則 4”）進(jìn)行討論，希望最終將其添加進(jìn)原則中。HSTLD AG目前也在評(píng)估“可能的標(biāo)準(zhǔn)主題”，爭(zhēng)取就實(shí)際標(biāo)準(zhǔn)和支持說明性控制示例達(dá)成一致。全部完成時(shí)，每個(gè)標(biāo)準(zhǔn)主題將有一個(gè)或多個(gè)說明性控制示例，針對(duì)為符合標(biāo)準(zhǔn)要求而必須采用的適當(dāng)?shù)目刂拼胧┨峁┲笇?dǎo)。本節(jié)當(dāng)前的制定速覽如下：

“原則 1：通過執(zhí)行以下措施，注冊(cè)管理機(jī)構(gòu)保持有效的控制措施以合理地確保支持注冊(cè)管理機(jī)構(gòu)關(guān)鍵 IT （即，注冊(cè)服務(wù)、注冊(cè)管理機(jī)構(gòu)數(shù)據(jù)庫(kù)、區(qū)域管理和提供域名解析服務(wù)）和業(yè)務(wù)運(yùn)營(yíng)的系統(tǒng)和信息資產(chǎn)的安全性、可用性和保密性得到維護(hù)：

? 確定系統(tǒng)運(yùn)營(yíng)目標(biāo)、政策和標(biāo)準(zhǔn)以及信息資產(chǎn)安全性、可用性、保密性和隱私性并就這些問題

進(jìn)行溝通；

? 利用程序、人員、軟件、數(shù)據(jù)和基礎(chǔ)架構(gòu)，按照既定的政策和標(biāo)準(zhǔn)達(dá)到確定的目標(biāo)；以及 ? 監(jiān)測(cè)系統(tǒng)和信息資產(chǎn)并采取行動(dòng)以達(dá)到確定的目標(biāo)并遵守既定政策和標(biāo)準(zhǔn)。

原則 2：注冊(cè)管理機(jī)構(gòu)保持有效的控制措施以合理保證注冊(cè)管理機(jī)構(gòu)核心職能的處理符合既定的政策和標(biāo)準(zhǔn)，經(jīng)過授權(quán)，且準(zhǔn)確完整、實(shí)施及時(shí)。參與實(shí)體的身份經(jīng)過確定和認(rèn)證。