zh

跟踪 SSR 审核实施

2012 年 12 月 19 日
作者: Patrick JonesPatrick Jones

本文旨在提供安全性、稳定性和灵活性 (SSR) 审核小组提出的 28 条建议的最新实施进展。在 10 月举行的 ICANN 多伦多会议上,ICANN 理事会批准了安全性、稳定性和灵活性审核小组的最终报告和建议并指示工作人员着手落实 [链接:http://www.icann.org/zh/groups/board/documents/resolutions-18oct12-zh.htm#1.e]。自多伦多会议后,ICANN 工作人员一直忙于落实这些建议。机构群体很快就可以通过安全小组的 SSR 实施页面以及问责制和透明度网页关注我们的进展情况。在此期间,该公示通过常规跟踪和报告将我们的进展情况公诸于众。

SSR 是需要按照 ICANN 和美国商务部于 2009 年共同签署的《义务确认书》 [链接:http://www.icann.org/zh/about/agreements/aoc/affirmation-of-commitments-30sep09-zh.htm] 持续接受义务审核的四个方面之一。ICANN 安全小组的职责是在 SSR 的审核下履行 ICANN 的义务,并指导落实该审核小组的建议。如需了解 ICANN 的《义务确认书》审核进度,请访问 http://www.icann.org/en/news/in-focus/accountability

正如我们上个月在洛杉矶向 ICANN 安全与稳定咨询委员会所作的陈述,我们的策略是采纳这 28 条建议并使之与 CEO FadiChehade 在多伦多会议期间公布的 ICANN 管理实施架构中的上述四个方面相协调。这四个方面包括:

  1. 目的确认 [建议 1、2、18、24]
  2. 卓越运营 [建议 7、8、17、20、21、9、10、11、22、25、26、27、15、28]
  3. 国际化 [建议 3、4、5、14、16]
  4. 多利益主体模式的发展 [建议 6、19、23]

除以下调整外,我们还制作了一个图表以展示所有 28 条建议及 2013-2015 财年间的活动安排。

目的确认 – ICANN的职权范围、使命

SSR RT建议 实施和状态
#1 – ICANN 应该就其 SSR 职权范围和有限技术使命发布唯一、清楚且一致的声明。 公众意见已被纳入 2012 年 5-9 月间制定的声明草案 [链接:http://www.icann.org/en/news/public-comment/draft-ssr-role-remit-17may12-en.htm]。该声明草案在 2012 年 10 月 4 日被修订 [链接:http://toronto45.icann.org/meetings/toronto2012/presentation-draft-ssr-role-
remit-04oct12-en.pdf
[PDF,133 KB]]。
#2 – ICANN 应该对其 SSR 职权范围和有限技术使命的定义和执行进行审核,以达成共识并征询机构群体的反馈意见。 下一届 SSR RT 将于 2015 年对最新的角色和职权范围声明进行审核。
#24 – ICANN 必须明确定义首席安全官小组的章程、角色和职责。 通过 2012 年 10 月 4 日更新的安全小组页面 [链接: https://www.icann.org/security] 以及发布 2013 财年 SSR 框架来实施。将于 2013 年通过执行新的管理实施架构对角色和责任进行进一步定义。
#18 – ICANN 应该为其在执行 SSR 框架中取得的进展执行年度运营审核,并将此评估作为一个要素纳入下一年的 SSR 框架中。 将作为 2013 财年 SSR 框架的一部分来实施且每年重复进行。将于 2013 年第 1 季度制定下一 SSR 框架,并在 ICANN 网站中安全小组页面的新公告板页面添加进度跟踪。

 

卓越运营–目的

SSR RT建议 实施和状态
#7 – ICANN 应该通过设立一系列明确目标并按这些目标确定其举措和活动的优先顺序,以扩展其目前的 SSR 框架。 新管理实施架构将用于根据年度 SSR 框架调整 ICANN 的目标和举措,并为制定 2014 财年的预算、运营计划和下一 ICANN 战略计划提供支持。我们目前已着手根据此架构调整我们的目标和活动。
#8 – ICANN 应该继续细化其战略计划目标,尤其是维持和推动 DNS 可用性的目标。确保框架和战略计划完全相符。 这涉及下一个战略计划。工作人员需要根据 SSR 框架和 SSR 审核小组建议调整战略计划中的目标和活动。

 

卓越运营–透明度

SSR RT建议 实施和状态
#17 – ICANN 应该建立一个结构更清晰的内部流程,以展示活动和举措如何与 SSR 框架内的具体战略目标和工作重点相关。 管理实施架构对实施该建议已显成效,为内部流程创建了一种机制,将展示 ICANN 的 SSR 活动和举措是如何与目标、目的和重点工作相关联的。有关该流程的更多信息将会在 2013 年北京会议之前通过 MyICANN 和 ICANN 网站向机构群体公布。
#20 – ICANN 应该提高关于执行 SSR 框架和履行 SSR 相关职能的组织和预算的信息的透明度。 这将通过 2014 财年 SSR 框架以及 2014 财年运营计划和预算流程来实施。同时也会使用新安全小组公告板页面来实施该建议。

 

卓越运营–架构

SSR RT建议 实施和状态
#21 – ICANN 应该建立结构更清晰的内部流程,以展示组织和预算决策与 SSR 框架的相关性,包括基本的成本收益分析。

我们将绘制出一个管理图解,作为结构化流程来确定组织和预算决策,并根据年度框架中的 SSR 活动进行调整。

2014 财年运营计划和预算将执行此方案。安全小组将与财政小组协力实施该建议。

 

卓越运营–标准与合规

SSR RT建议 实施和状态
#9 – ICANN 应根据普遍接受的国际标准(如 ITIL、ISO 和 SAS-70)评估其运营职责的认证选项。ICANN 应针对认证发布明确的路线图。 ICANN 在根区域中的 DNSSEC 实施已取得 SysTrust 认证 [链接:https://www.iana.org/dnssec/systrusthttps://cert.webtrust.org/icann.html]。其他认证流程由 ICANN 的 IANA 职能小组、IT 和 DNS 运营小组负责,由安全小组提供支持。
#10 – ICANN 应该继续努力加强合同合规性的强制执行,并为此职能提供足够的资源。ICANN 还应该为监控合规性问题和调查工作制定并执行结构更清晰的流程。 此建议由 ICANN 合规小组负责,并通过实施 WHOIS 审核小组的建议来执行。

 

卓越运营 – nTLD

SSR RT建议 实施和状态
#11 – ICANN 应该最终落实并执行对以下方面所取得成绩的衡量,即与 SSR 相关计划目标明确关联的新 gTLD 和 IDN 快速通道,其中包括对减少域名滥用的机制的有效性衡量。

工作人员正在全面探索该建议的影响。安全小组希望机构群体工作人员能协同合作以全面执行该建议。

通过 IDN ccTLD 快速通道授权的新 gTLD 和 IDN ccTLD 需要进行竞争性、消费者信任度和消费者选择三方面的审核和衡量,而该建议与此相关,因此,整个机构群体的利益主体都将会参与其中。该建议的焦点是与减少域名滥用相关的机制。工作人员正在为咨询委员会和机构群体中有关滥用指标的工作提供支持。

#22 – ICANN 应该发布、监控和更新管理 SSR 问题并引入新 gTLD 所需的组织和预算资源的文档。 这涉及到第 21 条建议(预算和组织决策),随着新 gTLD 的引进,还涉及到监控的开发。

 

卓越运营–风险管理和威胁缓解

SSR RT建议 实施和状态
#25 – ICANN 应该制定相关机制来确定其风险管理框架中的短期和长期风险及战略因素。 这方面的工作正在进行,且与第 26 条建议中的风险管理框架制定相关联。
#26 – ICANN 应该优先及时完成风险管理框架。 这方面的工作正在进行。ICANN 已留用 Westlake Governance 以协助进行 ICANN 的 DNS 风险管理框架项目。Westlake 在多伦多召开了一次公开会议,并且在不久的将来就会提供框架草案。
#27 – ICANN 的风险管理框架在 SSR 职权范围和有限使命范围内应该全面周到。 风险管理框架将根据 ICANN 的活动进行调整,以支持其技术使命和机构群体。在这些范围内该框架将是全面周到的,此建议的实施将在制定第 26 条建议中的框架后得以完成。
#15 – ICANN 应该扮演推动者角色,负责公布和普及 DNS 安全威胁及缓解技术。

工作人员正在全面探索该建议的影响。我们已注意到,我们需要对事件作出快速回应,以确保信息和人员在事件发生期间及之后得到保护,并准确、负责地报告事件。

在 DNS 安全威胁和缓解技术方面,工作人员会和运营商以及可信的安全机构群体实体展开合作。这涉及到第 28 条建议。

#28 – ICANN 应该继续积极开展威胁检测和缓解工作,并参与宣传威胁和事故信息的工作。 该建议支持继续进行 ICANN 的工作,大体包括根区域监控、与 ICANN 的 DNS 运营以及 DNS 威胁和事件有关的威胁检测和缓解。

 

国际化–术语和关系

SSR RT建议 实施和状态
#3 – 在 ICANN 对其 SSR 职权范围和有限技术使命发布基于共识的声明后,ICANN 应在所有材料中一致地应用本声明中的术语和描述。 在 ICANN 的 SSR 角色和职权范围方面,安全小组将致力于让整个组织在 ICANN 的材料中使用一致的术语和描述。首先会对 ICANN 工作人员进行培训,然后开展网络研讨会让机构群体参与其中。我们也会在 ICANN 的演讲和活动参与中使用这些术语和描述。
#4 – ICANN 应该记录并明确定义其在 ICANN 机构群体内拥有的 SSR 关系的性质,以便为理解不同组织之间的相互依赖性提供单一关注点。

工作人员正在准备进行有关 ICANN 的 SSR 关系的记录演练。机构群体将有机会参与该演练。这将会明确与机构群体的既有关系和联系点,以及有待追踪或加强的关系缺口。

根据公众意见,第 4 条建议的实施将涉及机构群体内的广泛外展,以及与 ICANN SO/AC/利益主体组织和合作伙伴的合作。

#5 – ICANN 应使用其 SSR 关系的定义来保持有效的工作安排,并说明如何利用这些关系实现每个 SSR 目标。 安全小组将与 ICANN 的全球利益主体参与度小组协作,以维持并加强有效的工作安排和关系。

 

国际化–外展和参与

SSR RT建议 实施和状态
#14 – ICANN 应该确保其与 SSR 相关的外展活动不断发展,以保持相关、及时和适当。 外展活动已得到扩展并且每年都会接受审核。安全小组不但会作为主题专家向 ICANN 的全球利益主体参与度小组提供服务职能,还会在 SSR 事务的外展和参与中提供机构群体职能。
#16 – ICANN 应该继续实施其外展工作,以在 SSR 框架制定流程中扩展机构群体的参与并提供意见。ICANN 还应该建立一个流程以便从其他生态系统参与者处获得更系统化的意见。

外展活动和流程已得到扩展并且每年都会接受审核。

这与第 4、5 和 14 条建议有关。

安全小组会按照利益主体的要求为各类能力构建举措提供支持,例如 DNSSEC 培训、ccTLD 攻击与意外事件反应培训、执法培训,以及在 CaribNOG、MENOG 等网络运营商组织会议上的外展。

 

多利益主体模式的发展

SSR RT建议 实施和状态
#6 – ICANN 应该发布一个文档,其中明确罗列 SSAC 和 RSSAC 的角色和职责,以便明确描述这两个组织的活动。

执行该建议需要机构群体工作人员的合作。我们将该建议划分为 6A [SSAC] 和 6B [RSSAC]。

6A – SSAC 的运营规程中定义有 SSAC 的角色和职责。SSAC 正在检查其 2013 年运营规程,并且有意向根据 RSSAC 的角色和职责调整此规程。

6B – RSSAC 的角色和职责正在制定中。

#19 – ICANN 应该建立一个流程,以让机构群体跟踪 SSR 框架的执行情况。提供的信息应足够清晰,以便让机构群体可以跟踪 ICANN 对其 SSR 职责的执行情况。 安全小组将在其小组页面上发布公告板,以表明对 SSR 框架和 ICANN 的 SSR 举措的状态跟踪。
#23 – ICANN 必须根据对 SSR 相关工作组和咨询委员会提出的要求为其提供适当资源。ICANN 还必须确保工作组和咨询委员会所做的决策是在不受外部或内部压力的情况下客观地作出的。

工作人员正在编制 SSR 相关的既有工作组和咨询委员会(SSAC 和 RSSAC)的活动目录 [23A]。

目录编制完成后,将对 SO/AC 意见的预算流程进行描述或记录 [23B]。

23C 将描述一个标准的运营流程,以表明 SO/AC/工作组决策是以一种客观的方式作出的。

Authors

Patrick Jones

Patrick Jones

Senior Director, Global Stakeholder Engagement
Read biographyRead biography