以前发表的一篇博客文章在合同合规部和消费者保护部工作的六周时间向 ICANN 社群简单介绍了合同合规部的三项计划。今天这篇博客文章是对其中两项计划的更新:提高有关合规活动和域名系统 (DNS) 基础设施滥用问题的透明度。
许多人可能已经看到最近在提高透明度工作方面取得的一些改进。合同合规部月度公告板中现在包含有关处理投诉的注册服务机构相关 DNS 滥用报告的更多信息,包括关于垃圾邮件、网址嫁接、网络钓鱼、恶意软件和僵尸网络的报告。月度公告板中还包含关于假冒商品、网上药品、欺诈或欺骗行为、商标或版权侵权的信息,以及关于注册服务机构滥用问题联系人信息的投诉。
第二项计划是解决 DNS 基础设施滥用问题。提出这项计划的背景是,当时有很多社群成员表示对于这一滥用现象日益猖獗的情况十分担心,并询问 ICANN 组织和签约方是否愿意以及是否有能力解决这一问题。例如,竞争、消费者信任和消费者选择审核小组的最终报告中就用很长的篇幅介绍了 DNS 基础设施滥用问题,并提出了几项相关建议。政府咨询委员会 (GAC) 也在《哥本哈根公报》和其他一些场合中提出了对于 DNS 基础设施滥用问题的担忧。
合同合规部正在开展一些审计工作,专门针对有关 DNS 基础设施滥用这一主题进行审核。我们扩大了在注册服务机构和注册管理机构审计中所提问题和所检测内容的范围,重点审核流程、程序和对于 DNS 基础设施滥用问题的处理。修订后的审计测试主要审核安全威胁报告的完整性,并将这些报告与公开发布的报告进行比较。
ICANN 之前在 2018 年 3 月注册管理机构审计中增加了一些审计问题,此次审计工作的审计对象是 20 个通用顶级域 (gTLD)。通过此次审计,我们确定了注册管理机构和注册服务机构在解决 DNS 基础设施滥用问题时所采取的措施。这些措施包括定期执行安全威胁分析和保留分析报告以供将来参考。这些报告确定了在公开发布的滥用问题报告中也明确表示存在滥用问题的域名(例如,MalwarePatrol、PhishTank、Spamhaus 和 SURBL),报告中还提供了针对存在滥用问题的域所采取措施的证据。审计还显示对于 13 个顶级域 (TLD) 的分析和安全报告不完整,缺少标准化或记录成文的滥用问题处理程序,并且未对已明确的威胁采取任何措施。这 13 个新 gTLD 将在下一轮审计中重新接受检测。
这周,ICANN 针对将近 1200 个 gTLD 启动了主要针对 DNS 基础设施滥用问题的审计工作,并与注册管理机构召开了两次审计网络研讨会来解决相关问题和担忧事项。有一些担忧事项在注册管理机构利益相关方团体 (RySG) 最近发来的一封电子邮件中也被提出,合同合规部对这些担忧事项一一进行了解决。为了帮助做好充分准备来完成即将开始的审计工作,我们第一次向被审计对象发送了将在 2018 年 11 月注册管理机构审计中接受审计的 gTLD 完整列表,以及将在本轮审计中使用的问题和数据请求预估列表。ICANN 也是第一次将这些信息公布在 ICANN.org 上,以提高透明度。
ICANN 的使命是维护 DNS 的安全性和稳定性。如今,ICANN 合同合规部正在秉承我们的这一使命,通过对注册管理机构和注册服务机构执行审计来解决 DNS 基础设施滥用问题。这些审计工作的目的在于确保签约方严格履行他们在处理 DNS 基础设施滥用和安全威胁问题方面的合同义务。ICANN 合同合规部在完成这些审计工作后,会公布发现和观察到的结果,包括为缓解 DNS 基础设施滥用问题而采取的策略和流程示例。
如果您有任何与审计相关的疑问,请通过发送电子邮件至 complianceaudit@icann.org 来联系 ICANN 合同合规部。
