互联网域名解析服务业务经营者业务管理系统建设说明

2021-04-01 17:35:27 李传广 57

按照互联网域名递归解析服务管理的相关要求,互联网域名递归解析服务提供者(以下简称“服务者”)应当建设域名递归解析服务管理系统(以下简称“DRMS”),并与电信主管部门侧的递归解析监管系统(以下简称“DRSS”)对接,以实现对其所服务范围内所有域名递归服务业务单元的管理。

通信行业标准《域名递归解析服务管理系统技术要求》(见附件1,以下简称标准)中,对DRSS和DRMS之间的接口功能和信息模型进行了详细要求。现以标准为基础,对服务提供者建设DRMS系统的基本情况进行简要说明。

一、 概述

DRMS是服务者开展服务自律,接受行业监管的重要信息系统平台,服务者应当:1、按照标准要求建设一个唯一的DRMS,并确保DRMS可以有效覆盖服务者在我国境内的所有互联网域名递归解析服务业务单元;2、根据自身的服务规模为DRMS配置必要的人员、设备和资源,保证DRMS可以实现标准要求的所有功能;3、围绕DRMS建立必要的管理机制,保证DRMS正常运行,遇重大事件及时向电信主管部门报告。

二、 功能描述

DRMS的包括数据管理以及指令执行两类功能,日常态和应急态两种系统运行模式。

(一)数据管理功能

DRMS应能够统计服务者境内所有业务单元的互联网域名递归解析服务数据,并定期上报至DRSS。DRMS上报的数据应仅包括可公开的信息,保密信息以及公开后会对系统安全稳定运行产生影响的数据不得上报。除基础数据外,DRMS原则上仅需上报统计数据,另有要求的除外。

(1)基础数据管理

基础数据包括服务者信息以及递归服务业务节点(含缓存)信息等。其中,服务者信息包括域名递归解析服务机构名称、单位地址及邮编、企业法定代表人、网络信息安全责任人及联系信息、许可信息(包括许可批复单位、批复时间、批复文件、许可证号等)等;业务节点信息管理包括业务节点名称、接入方式与详细的接入信息(接入地、接入企业、接入机房、接入链路带宽、对应的IP地址等)等。

DRMS应实现基础信息数据的集中管理,包括基础信息数据本地存储以及有关数据本地进行增加、删除、修改等操作的功能。DRMS应实现向DRSS上报基础信息数据的功能,并接受电信管理机构对基础信息数据的查询、检索。

(2)域名递归解析记录管理

DRMS应能够接收DRSS下发的域名监测指令,按照指令有关起止时间要求对特定域名进行监测,形成域名递归解析记录并上报。

DRMS应能够记录并按天上报服务者所有业务单元全部域名递归解析统计信息。记录和上报信息字段要求见标准。

DRMS应本地留存相关日志信息直至成功上报。相关法律法规明确有关日志信息留存时限的,从其规定。

(3)根访问数据管理

根查询量数据,DRMS应能自动实现对服务者所有业务单元全部递归解析中指向每个根的查询数量进行统计,并主动定时将统计结果上报给DRSS。

(4)黑白名单数据管理

DRMS应能够接收DRSS下发的域名黑名单列表并自动更新。对于进入列表的域名,服务者不得提供域名递归解析服务。

DRMS应能够接收DRSS下发的域名白名单列表并自动更新。对于进入白名单列表的域名,服务者应保证提供安全稳定的递归解析服务。当接收到针对白名单域名的处置指令时,服务者应与电信主管部门进行线下确认,确认无误后方可执行。未经线下确认,不得执行针对白名单列表域名的任何处置。

DRMS应能对白名单中所列域名的解析异常进行记录,并主动定时将解析异常数据上报给DRSS。

(5)根区副本数据管理

根区副本数据包括基础数据、运行数据和解析数据。

DRMS应实现向DRSS上报根区副本基础数据的功能,根区副本基础数据上报内容包括主体信息、根区副本节点信息等,DRMS应在本地新增或更新基础数据后,经核实无误后立即将新增数据记录或含修改内容的数据记录上报给DRSS,并接受电信主管部门对基础数据的查询、检索。DRMS根区副本基础数据上报类型分为:新增、变更、删除三种方式。

DRMS应实现对服务者全部根区副本服务器的运行情况、解析情况进行记录,并主动定时将数据上报给DRSS,具体要求见标准。

(6)疑似数据与异常数据管理

DRMS应支持对DRSS下发的疑似数据或异常数据信息的管理和处理反馈功能。

DRMS应在接收到DRSS下发的疑似数据或异常数据后一周之内,完成核实处理(对存在问题的疑似或异常数据重新上报或者整改,对核实后无误的数据进行反馈),并将处理后的情况上报给DRSS。

(二)指令执行

(1)特定域名/特定域处置

DRMS应能够接收DRSS下发的特定域名(或特定域)处置指令,按照指令时限要求对域名(或域)进行处置,并上报处置结果。

DRSS的处置指令包括四种紧急程度:一般,处置完成时限24小时;紧急,处置完成时限2小时;特急,处置完成时限30分钟;立即,处置完成时限10分钟。其中,紧急程度为“立即”的处置指令仅在DRMS处于应急状态时有效,非应急状态DRMS不执行“立即”处置指令。

(2)指向切换

DRMS应能接收DRSS下发的递归解析指向切换指令,按照指令时限要求启动根区副本服务器的解析响应或调整根区副本的数据来源,并上报切换结果。

指向切换命令根据紧急程度不同分为普通和立即两种,普通切换指令执行时限为2小时,立即切换指令执行时限为10分钟。其中,紧急程度为“立即”的切换指令仅在DRMS处于应急状态时有效,非应急状态DRMS不执行立即切换指令。

对于DRSS下达的切换指令,域名递归解析服务机构应与电信主管部门进行线下确认,确认无误后方可执行。未经线下确认,不得执行指向切换指令。切换时限从完成线下之指令确认后起算。

(三)应急状态切换

DRMS应能接收DRSS下发的应急状态切换指令,按照指令时限要求进入或结束系统应急运行状态,并向DRSS上报状态切换结果。应急状态切换指令执行时限为2小时。

应急运行状态下:1、DRMS可执行紧急程度为“立即”的处置指令和根区副本切换指令;2、根区副本运行数据、根访问量数据、解析异常数据上报周期从常态运行的每天上报一次调整至每十五分钟上报一次。其他功能与常态相同。

三、 DRMS的实现方式示例

(一)系统结构

简称DRMS有多种实现方式,下图为其中一种可能的实现方式。

 

上图所示的实现方式中,DRMS包括控制单元(Control Unit,简称CU)和执行单元(Execution Unit,简称EU)两个部分。CU负责与电信管理部门建设的安全监管系统(DRSS)进行通信,接收来自DRSS的管理指令,并根据要求向DRSS上报数据,同时还要实现对本单位各执行点的EU进行集中管理,完成管理指令的调度、转发和执行及数据的汇总、分析和预警。

(二)系统功能

DRMS的主要功能是接收并执行来自DRSS的指令,并根据指令要求,将指令执行情况及执行过程中产生的日志记录上报给DRSS。

DRMS的控制单元(CU)可以同时实现对多个执行单元(EU)的管理,并将管理指令分发给EU执行;CU还要接收EU对指令的执行结果和日志记录,完成所接收数据的汇总和分析。

执行单元(EU)根据指令要求,实现域名递归解析服务机构的相关功能,并将结果汇总到控制单元(CU)。

(1)控制单元功能

数据通信。DRMS的控制单元(CU)应实现与监管机构DRSS的数据通信功能,接收DRSS下发的指令,并完成向DRSS的数据上报。

基础数据管理。实现对所有基础数据的集中管理,包括导入、添加、修改、删除和上报基础数据。

监管功能。保存各执行单元(EU)上报的监测信息及其他信息,并根据已设置的策略向DRSS进行上报。

权限管理。实现对系统管理人员、操作人员、维护人员的身份认证和权限管理,根据不同的角色授予相应的权限,未经授权的用户不得使用本系统的相应功能。对所有使用本系统的操作进行日志记录。

运行维护。实现各子系统、组件程序的集中配置管理,对各系统、服务程序的运行状态进行实时监控,为系统的正常运行提供保障。系统应具备可扩展能力,可以灵活扩展执行单元(EU)。

(2)执行单元功能

数据通信。接收并执行来自控制单元(CU)的管理指令、配置参数及管理策略。监测并上报本执行点的基础数据变更情况。实时将本地的日志数据上报给控制单元(CU)进行集中存储和汇总分析,以便控制单元(CU)上报给DRSS。

基础数据采集及管理。对本执行点的基础数据进行采集和管理。

监管功能。根据控制单元(CU)配置的控制策略,对特定域名进行监测、处置等操作,并进行日志记录。维护并保存本地的处置规则。

权限管理。实现对系统管理人员、操作人员、维护人员的身份认证和权限管理,根据不同的角色授予相应的权限,未经授权的用户不得使用本系统的相应功能。对所有使用本系统的操作进行日志记录。

运行维护。定时将EU的运行状态上报给控制单元(CU),以便CU进行设备异常告警和处理。

四、 DRMS的建设

服务者应指定专人负责DRMS的建设、对接以及测试,向电信主管部门报备DRMS建设方案和时间规划,并就建设进展和存在的问题与电信主管部门保持沟通。

本建设说明以及所附标准和常见问题(见附件2)与正式公布的《域名递归解析服务管理系统技术要求》存在矛盾的,以正式公布的《域名递归解析服务管理系统技术要求》为准。

 

 

 

系统建设对接联系人:张昊星 

联系方式:18501365433


服务热线

021-6911 0890

上海总部地址

上海市江桥万达9号写字楼709室

苏州分部地址

昆山市开发区港龙国际1号楼526室

电话咨询
服务分类
关于我们
QQ客服