摘要
- ICP-2 要求候选 RIR 证明广泛的区域支持、自下而上的治理、中立性、技术能力、资金、记录保存和保密性。IANA 对 AFRINIC 的评估展示了这些条件在准入时能够被多么仔细地审查,但认可不会过期,证据也不会由独立机构定期重新测试。
- ICANN 于 2024 年 12 月批准的程序使持续的 ICP-2 义务明确,但其合规审查是事件驱动的。审查开始于可能存在的重大不合规严重到足以威胁稳定安全运行之时,而非按照可预测的周期进行,该周期本可在危机前检测到控制弱化。
- 应至少每三年进行一次有限的重新认证,仅测试定义的连续性能力:准确的记录、可恢复的系统、受保护的凭证、充足的人员配置、法律上可用的运营资源、事件性能以及经过演练的服务移交。未通过的控制通常应产生修复和重新测试,而非自动失去认可。
- 重新认证不得成为对区域政策、领导层受欢迎程度或制度意识形态的重复投票。通用的证据标准、独立的轮换审计员、公开摘要、保密安全附件以及与撤销认可的明确分离,将使保证更强,同时使政治许可更弱。
认可是决定;能力是条件
机构认可具有诱人的终结性。候选人提交证据,审阅者检查证据,主管机构做出决定,所产生的状态成为周围系统既定架构的一部分。终结性是有价值的。网络无法围绕一个权威在每个预算周期都消失的注册机构进行协调。如果认可取决于最新的会议争端,员工无法规划安全基础设施。资源持有者不应担心一项不受欢迎的政策提案会导致其注册提供商消失。
但状态的终结性并不会创造能力的持久性。员工会离职。恢复流程会老化。备份介质保持完整,但使用它们所需的知识会消失。在全职董事会时有效的公司规则在出现空缺时变得不可用。储备看起来很大,直到法律限制将该组织与其账户分开。数据库保持可用,而将其转移给另一个运营商的未经测试的流程变得过时。认可可以是持久的,即使证明认可的证据已经衰减。
现有的区域互联网注册机构处于这一区间的两端。它们在协调编号系统中的地位应该是稳定的。它们执行基本注册服务的能力应该是可证明的。将这两个命题视为相同会造成在自满和政治监管之间的糟糕选择。要么过去的批准被推定证明当前的能力,要么外部行为者被邀请在出现担忧时重新考虑 RIR 的合法性。
更好的设计保护认可,同时使某些能力在未经重新测试的情况下过期。该机构不需要定期请求存在的许可。它需要定期证明记录可以恢复、证书可以找回、合格员工可以维持服务、事件在既定目标内处理、以及在普通权力失效时可以执行有限的移交。这就是对安全关键能力的重新认证:证据具有有限的有效期,因为基础条件可以变化。
这种区别在政治上很重要。如果重新认证是对 RIR 是否仍然良好、一致或受欢迎的总体审查,它就成为一种杠杆工具。如果是对指定服务是否能在指定故障条件下存活的有限测试,它就变成了基础设施保证。前者允许自由裁量权。后者可以被指定、观察和上诉。
ICP-2 在准入时严苛,但未设定下次测试日期
原始的 ICP-2 标准并非随意认可。它们描述了新 RIR 的十个条件,并指出这些条件的编号不重要,因为所有条件都是必要的。候选人需要大约大陆规模的区域、来自本地注册机构和互联网服务提供商的广泛支持、自下而上的政策程序、中立性、技术专长、与全球目标一致的政策、详细的活动计划、可信的资金模式、适当的记录和严格的保密性。
几个标准已经被表述为运营纪律而非仪式性承诺。候选人必须提供生产级连接、反向 DNS 支持、适当的内部基础设施和足够的技术熟练员工。政策过程必须公开、记录并存档。记录必须保存证明负责任和中立运营所需的可审计性。核心材料必须提供英文版本以供交换和审查。资金必须通过成员支持走向独立。
文本还预期迁移。当新 RIR 创建时,服务于该区域网络的现有注册机构需要能够提议将服务协议迁移到新机构。因此 ICP-2 理解认可不仅仅是一个头衔。它连接了权威、记录、客户关系、技术系统和运营过渡。
但它没有为证据设定到期日期。没有三年的恢复演练,没有对服务水平的定期独立审查,没有对记录紧急访问的定期验证,也没有继任者可以使用转移材料的定期演示。记录保存标准使运营可审计,但可审计性是证据的一个属性。它本身不是时间表、审阅者、方法或后果。
这一遗漏符合历史任务。ICP-2 关注于额外 RIR 的建立。它需要区分可行的候选人和有抱负的协会,并确保区域过渡不会分裂号码管理。迫切的问题是提议的机构能否开始。设计者并非在为可能运营数十年的成熟机构编写完整的维护规范。
结果是不对称的。准入能力通过特殊程序得到证明。持续能力在很大程度上通过日常运营假定,除非问题变得足够明显而引发审查。进入门槛是证据性的;成熟系统严重依赖声誉、自我报告和没有公认的紧急情况。
AFRINIC 的认可文件展示了快照的优势和局限
关于AFRINIC 认可的 IANA 报告展示了准入方法的最强形式。IANA 根据每个 ICP-2 原则审查了申请。它检查了拟议的区域、支持、治理、技术运营、政策、活动、财务、记录和保密性。其他 RIR 通过号码资源组织行动,评估了准备情况并支持最终批准。从现有服务的过渡受到监控而非假定。
技术描述是具体的。报告描述了冗余连接、数据库和反向 DNS 安排、备份和灾难恢复能力、训练有素的员工以及来自已建立注册机构的运营支持。它指出了涉及不同非洲地点的技术运营、灾难恢复、培训和公司实体的分布式设计。它发现技术运营和专业知识令人印象深刻。
财务描述同样针对启动。会员费与资源类别挂钩。支持组织将承担部分前两年的成本。AFRINIC 预计在孵化期后完全负责分布式地点,由其自己的会员收入支持。商业计划被视为它可以承担该负担的证据。
这是认真的尽职调查。问题不在于 IANA 未能预测随后二十年中的每一事件。没有审查能够做到这一点。问题出现在 2005 年的发现被用来回答 2026 年的不同问题时。报告确定了特定团队、计划、系统和支持安排在特定时间满足准入标准。它没有确定相同的恢复路径、权威结构、现金获取或员工深度将无限期保持有效。
认可文件自然倾向于在运营成熟之前可以展示的内容。架构图、员工简历、政策、预算和过渡计划是可用的。长期事件数据则不可用。候选人可以演练恢复,但还不能展示多年的恢复性能。候选人可以承诺会员支持的模式,但不能展示该模式如何应对长期的治理争端。准入证据是前瞻性的。定期证据可以是观察性的。
这一差异应该改善后续保证,而不是使原始审查者难堪。成熟的 RIR 可以显示实际的服务可用性、纠正时间、安全事件、恢复演练、员工离职、储备可访问性、投诉结果以及向交易对手提供的记录。拒绝审查此类证据,因为认可已经确立,将浪费成熟期的主要信息优势。
永久认可将启动证明转化为无限期推定
在大多数许可制度中,初始决定和持续条件通过更新、检查、报告或事件驱动的执行相关联。互联网编号系统演变出一个不那么明确的桥梁。一旦 RIR 被认可,其持续合法性来自多个来源:日常服务、区域参与、同行协调、公司法和资源持有者的实际依赖。这种组合可以是韧性的,但它使证据基础难以定位。
成功的日常运营提供了强有力的证据。如果记录能够解决、反向 DNS 正常工作、资源请求得到处理、与 IANA 的协调持续进行,则该机构显然在执行重要功能。然而,没有明显的失败是专门针对罕见事件的控制措施的一个薄弱测试。灾难恢复系统可能在多年内未经测试,而日常服务看起来出色。董事会继任机制可能在空缺与法定人数规则相互作用时才显得不足。紧急签署安排可能在文件上存在,而指定人员已经离职。
因此,永久认可产生了一个安静的证据转变。在准入时被证明的事实成为该机构身份的一部分。RIR 过去是技术能力、自治、支持和良好治理的;后来的讨论很容易简化为 RIR 是那些东西。动词变了,而证据没有。
自我报告部分纠正了这个问题。RIR 发布年度报告、审计账目、统计数据、会议记录和技术信息。这些出版物很有价值,应该保持为问责的第一来源。但管理层选择报告框架,金融审计师不一定测试注册机构移交、密钥恢复、反向 DNS 连续性、政策实施知识或法定人数缺失时的权力。不同的 RIR 发布不同的衡量标准,使得跨执行相关基本服务的机构难以进行比较。
同行观察也有帮助。RIR 交换信息并依赖于彼此的协调。同行可能比遥远的审阅者更早注意到遗漏的义务或弱化的能力。困难在于同行既是监督者也是当权者。他们共享运营利益,参与联合机构,并可能在失败时被要求提供协助。他们的知识是有用的;独占地依赖他们的判断会产生冲突,并使保证易受团结或竞争的影响。
缺失的工具不是持续监督。而是针对一个狭隘问题的偶发、通用且独立验证的答案:证明依赖的连续性能力是否仍然有效?
2024 年程序确认了持续义务但仍由危机触发
ICANN 董事会于 2024 年 12 月 24 日批准的ICP-2 合规性实施和评估程序解决了一个模糊性。它们指出标准适用于 RIR 认可状态的整个期间,并且所有五个 RIR 接受相同的持续义务。该文件将原始原则转化为关于支持、治理、平等、技术能力、运营自主权、记录和保密性的现在时义务。
这是一个重要的进步。认可不再容易被描述为一次性测试而没有任何持续内容。该程序还建立了一条审查路径。当合理怀疑存在重大不合规时,其他 RIR 可以一致请求 ICANN 审查。当 ICANN 合理认为 RIR 危及唯一标识符系统的安全运行时,它可以自行启动审查。被审查的 RIR 必须提供信息和访问权限,可以通过协议保护机密材料,并可以纠正草案发现中的重大事实错误。
但这是一个警报程序,而非常规重新认证。第 3.1 节指出评估机制适用于绩效或非绩效重大到足以影响稳定安全运行的情况。审查的需求取决于整体情况和重要性。ICANN 自行发起的审查明确受限,不得成为广泛的通用合规角色。
这些限制对于执法是合理的。外部干预不应因每份延迟报告或普通分歧而开始。然而,适合合规案件的阈值对于预防性保证来说太高了。当有合理理由相信安全运行处于风险中时,相关的控制措施可能已经失败了。触发条件询问问题是否严重到需要调查。重新认证则按计划并在指控之前询问保护机制是否仍然按设计运行。
可能的结果确认了补救导向。ICANN 可以发现无需行动,RIR 可以在商定过程中迅速恢复合规,或者不存在足够快的现实恢复路径以避免伤害。在后一种情况下,ICANN 与其余 RIR 合作寻求紧急提供商,并在必要时寻找继任者。这些是对损害的反应。它们并未创建可检测逐渐恶化的重复基线。
因此,2024 年程序应被保留,而非扩展。将每个预定测试转变为第 3 节合规审查,会将执法污名附加到日常保证上,并使 ICANN 进入该文件拒绝的角色。一个单独的重新认证通道可以在不假装每次失败的演练都是重大不合规的情况下产生证据和修复。
没有审计周期的可审计性只是潜在的问责
ICP-2 的记录保存原则通常被视为证据表明定期保证已经是隐含的。文本确实强调可审计性。2024 年程序要求注册活动记录和运营审计所需信息在合理时间内以英文提供。这些都是必要的基础。
然而,一个可审计的机构不一定是一个被审计的机构。数据库可以保存决策记录,而没有独立审阅者抽样检查准确性。日志可以显示每次管理更改,而没有人测试它们是否可以在恢复后调和。恢复计划可以列出关键依赖项,而没有演练撤回主系统并测量实际恢复。证据可以保持完整、有序且未使用。
潜在问责有三个弱点。首先,它倾向于在冲突后激活。诉讼当事人、成员、同行或监督者在信心已经下降时要求记录。其次,范围由指控塑造。调查人员寻求涉嫌失败的证据,可能错过不同的弱点。第三,风险鼓励防御。一旦认可或紧急干预在望,每次承认都可能显得代价高昂。
计划周期改变了激励。日期提前几年已知。RIR 可以为演练预算,保存所需证据,并在审阅者到来之前修复弱点。所有五个注册机构的可比测试减少了单一机构被针对的感觉。失败的控制成为需要补救的正常治理事实,而非对机构合法性的即时裁决。
例行测试还创建了有用的历史序列。一次成功的修复表明系统曾经工作过。重复演练揭示恢复时间是否改善,员工深度是否经受住离职,以及相同的例外是否跨周期保持开放。趋势证据区分临时偏差和结构性疏忽。
这不需要外部监督者的持续访问。测试可以是周期性的、有限的,并由独立的专家根据公布的条款进行。大多数证据可以保留在 RIR,直到预定审查。公众需要方法、发现和修复承诺的摘要,而不是安全控制的实时信息。
当前草案走向定期审计,并暴露出未完成的选择
2025 年 8 月的RIR 治理文件第 2 版草案明确了缺失的周期。其第 4 条草案要求每个 RIR 参与由 ICANN 任命的外部独立审计员进行的定期或临时审计。它表示应发布摘要,并要求至少每三年进行一次定期审计。
该提案还定义了比 2001 年准入文本更合适的持续义务。绩效、连续性、治理、透明度、争端解决、财务独立和生态系统稳定性是不同的义务。连续性包括与紧急运营商共享足够的记录、程序和系统,受托管和数据保护控制。这更接近成年标准,因为它测试制度替换下的服务,而不仅是在位者运营。
2026 年 2 月的NRO 状态报告显示了为什么仅靠周期性是不够的。它记录了反馈意见,即草案未明确要求审计报告后采取行动,并表示文本将进行修订以澄清 RIR 的义务。它还说过渡条款需要更多细节以保护资源持有者权利并维持社区参与。因此,审计在设计中出现,而后果和受益人保护仍在完善中。
这不是放弃三年期规则的理由。这是定义发现与补救之间桥梁的理由。只公布弱点的审计可能变成作秀。每个弱点都触发撤销的审计可能变成胁迫。缺失的中间是纠正协议:发现分类、有日期的修复计划、验证、重复测试,以及仅当缺陷重大、持续且与受保护服务相关时才升级。
草案的状态也很重要。截至 2026 年 7 月,公开文本仍是草案,而非 ICP-2 的最终替代。其定期审计是改革方向的证据,而非关于当前完成的全球重新认证制度的声明。操作设计在通过前仍可通过准确指定哪些过期、哪些重新测试、谁选择审阅者以及失败测试不授权什么来改进。
重新认证服务能力,而非区域授权
“重新认证”一词可能令机构警觉,因为它暗示认可本身变得临时。这不是必要的。证书应附加到一组定义的能力,而非 RIR 存在的政治权利。
第一组是记录完整性。审阅者应测试抽样注册变更是否可以追溯到权威和支持证据;备份是否与生产状态一致;历史变更是否仍然可用;恢复是否保留了待处理争端、限制和修正历史。仅恢复最新公共字段的注册机构并未恢复继续服务所需的行政真相。
第二组是技术连续性。演练应测量目录服务、反向 DNS 管理、注册系统、安全通信以及 RIR 实际提供的 RPKI 服务的恢复。测试应包括主站点或特权账户的丢失,而不仅仅是审查文档。恢复时间和恢复点目标应在适当聚合的级别公布,详细拓扑受保护。
第三组是人员连续性。基本服务不能依赖于一个记住手动序列的管理员。审阅者应检查角色覆盖、继任、特权访问恢复、职责分离以及次要团队根据书面程序操作的能力。这不是对人员配置政策的判断。这是测试指定服务是否在可预见的缺席情况下存活。
第四组是机构访问。当常规治理受损时,资金、合同和权威必须仍然可用。测试应验证最低服务资金、合法的紧急支出权限、供应商连续性以及更换签署人或董事的公司机制。它不应规定普通预算。它应回答基本承诺是否能在 RIR 自身识别的场景下仍然得到满足。
第五组是移交准备。一个受保护的独立团队应收到足够的数据、程序、凭证或受控替代品的当前包,以证明有限的服务移交。演练无需移动实时权威。它必须证明另一个合格操作员可以在测量期内理解状态、重现定义输出并识别未解决的异常。
这些测试都不询问审计员是否喜欢区域转移政策、会议形式、费用水平或董事会候选人。它们询问现有义务是否仍然可以履行。认可保持永久,除非单独、预先存在的程序建立重大不合规并证明比例补救是合理的。
重新认证矩阵可以保持自由裁量权很小
有界审查需要矩阵在证据收集前公布。每个能力应有定义的目标、允许的证据、测试方法、发现等级和纠正周期。没有这种结构,即使技术上描述的审计也可能变成关于机构美德的谈判。
记录完整性可以通过近期和历史变更的统计可辩护样本、受保护快照的恢复以及签署或独立保存的检查的调和来测试。通过条件不是每个字段完美。而是在公开阈值内的错误率、高风险状态的完全保存以及差异的功能纠正过程。
连续性可以通过从公布家族中选择的场景来测试:主站点丢失、凭证泄露、领导不可用、受限运营账户或重大供应商失败。审阅者可以在演练前不久选择场景,以便结果不是脚本化的。RIR 应知道正在检查的能力,但不一定是每个事件序列。
移交准备需要更多小心,因为实时移交可能创造风险。影子环境可以接收消毒或加密保护的包,重建服务并比较输出,而不发布替代权威答案。需要个人或机密信息的地方,应独立验证受控访问、最小化和删除。演练测试可用性,而非公开披露。
发现应至少有四个级别。观察识别改进点而不违反要求。轻微不符合需要在下一周期前纠正。重大不符合影响连续性能力,需要在数月而非数年内进行近期重复测试。关键发现意味着基本服务当前暴露于重大中断,并应被引用到现有合规程序并立即采取保护措施。
矩阵还应命名排除项。审计员不能重新开放实质性区域政策、从狭隘调查推断社区支持、要求与连续性无关的特权法律策略或推荐领导层移除。这些排除不是对当权者的优惠。它们是使强有力的运营测试可接受的管辖保护。
独立性必须在审查双方设计
称审计员独立并不会使关系独立。任命、资金、重复业务、访问和出版物都可以塑造结果。仅由 ICANN 选择的审阅者可能被视为扩展 ICANN 权威。由被审查 RIR 选择的审阅者可能软化发现以保留业务。同行 RIR 团队带来专长但不带来距离。
常设小组提供了更好的安排。ICANN 和 RIR 社区可以通过公开程序批准资格标准。公司或多学科团队需要注册运营、安全、公司连续性、数据保护和保证能力。然后个人任务通过轮换或透明随机选择分配,并披露冲突检查。被审查 RIR 可以因记录在案的冲突而挑战审阅者,但不能选择首选的替代者。
资金应来自所有 RIR 根据预设公式支付的共同评估,而非在令人担忧的事件后协商的费用。平等风险很重要:APNIC、ARIN、LACNIC、RIPE NCC 和 AFRINIC 应面对相同的周期和核心方法。基于风险的增加可以解决规模或先前发现,但测试的存在不能取决于该机构当前是否具有争议性。
审计员应向一个小型保证秘书处报告,该秘书处无权决定认可。该机构检查方法、保护机密材料、发布摘要并跟踪修复。它不谈判区域政策或指示普通 RIR 管理。如果发现可能值得正式合规行动,记录将移入单独程序,在那里附加通知、事实纠正和适用的决定权。
审阅者轮换应为强制性的。没有公司应无限期审计同一 RIR。工作底稿应定期由另一小组成员进行质量审查,敏感材料受保护。公开的方法变更日志应揭示标准是否在周期之间发生变化。
独立性也保护 RIR。公共程序可以通过显示相关控制最近经过测试来反驳机会主义的指控。外部保证不仅是批评的途径。它是针对政治主张的证据防御,这些主张无法在既定标准下存活。
出版物应揭示保证而不发布攻击手册
RIR 问责需要公开证据,但连续性测试触及敏感系统。发布凭证、故障转移拓扑、供应商依赖、个人数据或利用细节会削弱审计旨在保护的服务。完全保密同样有缺陷,因为公众无法将真实测试与仪式性证明区分开来。
答案是分层报告。公开摘要应命名范围、日期、审阅者、方法版本、测试的场景、能力评级、未解决的发现、纠正日期和 RIR 的回应。它应披露实质性限制,包括排除在测试之外的系统和依赖管理层陈述。它应说明审计员是否验证了补救。
受限附件可以包含证据样本、安全架构、个人数据、法律意见和详细故障序列。访问应遵循定义的角色列表并留下审计轨迹。保密决定应由外界审查,而非完全留给被审查机构,每个编辑类别应在公开摘要中解释。
聚合指标应在 RIR 之间可比:恢复时间、测试的最大数据丢失、具有合格备份的基本角色比例、最新移交包的年龄、重大发现的关闭时间和重复测试的成功。精度应在创造安全风险的地方受限,但方向和阈值仍可发布。
事件历史应受到相同纪律。重新认证应检查先前事件是否产生纠正行动。公开报告无需重述每个安全事件。它可以说明多少重大建议逾期、反复原因是否出现以及测试的控制是否反映了声称的经验教训。
信任来自有界坦诚。报告一个失败恢复步骤、纠正它并通过重复测试的注册机构可能值得比仅发布完美自我描述的机构更多的信心。制度应奖励学习的证据,而非要求不可能完美的记录。
失败应首先创造修复的权利和义务
当审阅者可以将任何缺陷转化为对地位的威胁时,保证制度就变成了政治许可。因此,失败重新认证的默认后果必须是纠正,而非撤销认可。
轻微发现可以通过书面证据或下一次预定演练关闭。重大发现需要带日期的计划、指定的负责人、临时控制和在数月而非数年内的独立重新测试。公开摘要应保持开放,直到重新测试通过。重复延迟应提高分类,因为未能修复成为与原始缺陷不同的证据。
关键发现需要立即保护。如果特权访问无法恢复、记录无法还原或最低服务缺乏合法资金,RIR 和相关协调者应隔离受威胁的功能、保存证据并激活有限援助。引用 2024 年合规程序可能是合理的,因为问题已从预防性保证跨越到实质性运营风险。
即使如此,审计本身不应决定撤销认可。合规过程必须评估总情况、快速恢复的前景以及干预的伤害。被审查 RIR 必须收到通知和纠正事实错误的机会,除非紧急情况使立即决定在现有程序下成为必要。紧急服务应保护连续性而非惩罚机构。
制度还需要对审计员发现的审查。技术上诉小组可以检查方法是否遵循、证据是否误读或分类是否不成比例。它不应重新运行整个演练,因为管理层不喜欢结果。简短的、已发布的处置对大多数争端来说已经足够。
这种分离产生了一个理性的阶梯:测试、发现、临时控制、修复、重新测试、如果重大风险持续则进行正式合规审查、如果服务受威胁则进行紧急连续性、然后才由治理规则授权的任何单独的认可后果。每一步回答不同的问题,并需要自己的证据。
重新认证不得成为社区支持的公投
ICP-2 在准入时需要广泛的区域支持,2024 年程序将持续支持描述为持续义务。这一原则很重要。RIR 不能声称自下而上的合法性,同时系统性地排除其所服务的资源持有者。然而,定期重新认证不应试图通过公民投票重新证明区域同意。
支持难以在没有操纵的情况下衡量。成员计数混合了活跃网络、中介和休眠账户。会议出席偏向有时间和旅行预算的参与者。调查取决于问题框架和回应率。选举衡量的是公司规则下候选人之间的选择,而非对机构存在的同意。坚定的行动者可以将任何阈值转化为支持或反对认可的运动。
保证周期应改为测试支持可以表达的机制:公布的选举规则、可访问的参与、准确的成员名单、及时通知、冲突控制、投诉处理以及有效结果的实施。这些是可观察的机构条件。它们不告诉参与者应采取什么立场。
严重排斥或伪造过程的证据可能成为重大合规问题,但审计员不应询问社区是否批准了最新政策。政策分歧是生命系统的标志,而非机构失败的证明。低投票率也不应自动使 RIR 无效。相关调查是屏障、不平等待遇或有缺陷的记录是否阻止了公平的参与机会。
这一边界防止重新认证成为由外部人员管理的区域信任投票。它也防止技术连续性补偿程序性滥用。这两个轨道可以用不同的证据检查:服务能力通过测试,治理机制通过可验证的过程记录。没有审阅者获得宣布该机构政治可接受的通用授权。
三年周期是底线,而非监控的替代
草案第二版中“至少每三年一次”的间隔是一个可辩护的起点。它足够长以避免永久审计模式,也足够短以捕捉员工离职、系统替换和控制漂移。许多 RIR 系统和治理机构可以在三年内发生实质性变化。
周期应错开,以免同一审阅者和协调人员超负荷。核心方法应保持通用,而场景变化。第一个周期可以建立基线,而不将每个历史差距视为不当行为。新义务需要公布的过渡期,并在适当时提供技术援助。
三年不能承担全部负担。RIR 应报告少量年度连续性指标,并及时披露重大服务事件。重大架构变更、合并、长期治理空缺、关键员工离职或严重恢复失败可以触发有焦点的周期外测试。这与广泛的临时合规审查不同;范围仍限于变化的能力。
相反,干净的重新认证不应使 RIR 免于下一次日期。证据可以立即变化。证书应说明测试的条件和已知限制,而非承诺未来表现。如果发生关键事件,常规事件和合规机制仍然可用。
方法本身需要至少每五年审查一次,包括公共咨询和变化解释。新服务可能进入最低包;过时的测试可能消失。方法修订不应被用来追溯宣布先前的通过无效。目标是在已知标准下的当前保证。
随着时间的推移,数据集将支持更好的阈值。早期周期应抵制虚假精度。十二分钟的恢复对一个服务可能优秀,对另一个则不相关。比较数字需要上下文、服务定义和演练条件的披露。目标是能够判断的证据,而非排行榜。
成本是真实的,但垄断般的依赖提高了义务
定期独立测试消耗员工时间和资金。演练可能中断正常工作。准备证据可能偏向拥有成熟合规团队的较大 RIR。外部审计员可能引入不适合号码管理的金融或域名监管习惯。这些反对意见值得设计答案。
范围是成本的第一控制点。共同核心应关注那些中断或腐败会损害资源持有者或全球协调的服务。审阅者应重用来自金融、安全和公司审计的可靠证据,而非要求重复工作。抽样应在风险允许时替代详尽的重新执行。多年期日程让机构将演练与计划维护结合起来。
共享技术支持可以在不削弱独立性的情况下减少不平等负担。测试框架、数据模式和场景库可以共同维护并发布。每个 RIR 仍负责通过,但没有人需要单独发明方法。较小的团队可以接收不泄露所选场景的准备指导。
最强有力的答案是比例性:资源持有者在保持相同区域服务关系时通常不能选择不同的认可 RIR。因此,该机构的失败可能给退出有限的各方带来成本。在提供商选择受限的地方,连续性证据应更强,而非更弱。竞争的缺失移除了一种约束来源,并增加了有界独立测试的理由。
重新认证也可能降低危机成本。一个可用的移交包、经过测试的恢复序列和当前的权威图比在诉讼或领导失败期间重建更便宜。独立的通过可以降低供应商、成员、法院和交易对手的不确定性。即使没有执法行动跟进,演练也会产生运营价值。
成本论证最终取决于正在保护的东西。这不是对边缘协会的认证。它涉及维护权威注册关系、相关技术服务以及网络依赖的记录的制度。三年一次连续性演示,与数十年的假定能力相比,是一个适度的负担。
狭义模型通过限制许可来加强合法性
定期重新认证的理由很容易被误解为支持更强大的中央监督者。如果设计正确,它恰恰相反。非结构化的担忧为 ICANN、同行 RIR 和政治行动者在危机期间定义失败留出空间。预定义的测试减少了这种自由裁量权。
知道确切能力标准的 RIR 不需要寻求偏爱。它可以通过提供证据来通过。不喜欢区域政策的审阅者不能移动阈值。ICANN 可以接收报告而不将其转变为广泛监督。同行可以贡献运营知识而不投票决定被审查者是否仍然值得。资源持有者可以看到未解决的连续性风险,而不发起争取存在行动的运动。
该设计还纠正了仅危机审查的不公平。遇到明显争端的机构受到异常关注,而安静的机构可能携带同等陈旧的控件。通用周期以相同基础检查所有五个 RIR。它可以发现卓越和弱点,并传播经过验证的方法,而不将某个区域视为永久问题。
最重要的是,有限证书回答了正确的时间问题。认可询问候选人是否应进入协调系统。重新认证询问一组命名的当前能力是否在最近期间被展示。合规审查询问实质性义务是否被违反。紧急连续性询问现在如何保护服务。撤销询问机构关系是否必须结束。混淆这些问题创造了没有精确性的权力。
ICP-2 的成就是使准入取决于证据而非愿望。其弱点是未要求决定性证据老化。补救措施不是将每个 RIR 置于政治缓刑期。而是为记录、系统、权威和移交仍然有效的保证设定到期日期。
可行的第一轮重新认证
第一轮全球范围应有意识地限制。它可以测试每个 RIR 共有的六个命题:生产记录与恢复的受保护副本一致;关键目录和反向 DNS 功能在声明的目标内恢复;特权访问在主要管理员丢失后存活;最低服务在治理中断期间拥有合法权威和资金;安全和服务事件产生经核实的纠正行动;以及合格的次要团队可以使用受保护的移交包。
每个 RIR 应在其测试前六个月发布准备声明。声明将标识范围内的服务、声明的恢复目标、适用的数据保护限制以及自先前基线以来的重大变化。它不会包含敏感拓扑或凭证。
独立小组随后将选择一个恢复场景和一个权威场景。它将抽样近期和较旧时期的记录,观察恢复,采访主要和次要角色持有者,检查事件关闭的证据,并监督移交演示。管理层陈述将被标记而非视为验证。
在六十天内,审阅者将发布公开摘要和受限附件。重大发现将收到纠正截止日期和重复测试。报告将明确说明通过不批准实质性政策,失败本身不改变认可。只有关键当前风险或持续重大失败才被引用到正式合规审查。
在所有五份报告之后,独立方法审查将比较演练质量,而非对机构进行排名。它将识别产生模糊证据的测试、应更好保护的安全信息以及需要修订的阈值。资源持有者团体可以评论公开报告是否回答了连续性担忧,而不寻求机密操作细节。
第一轮将把宪法辩论转化为实际证据。它将显示提议的移交有多少可以在不移动实时权威的情况下测试,独立审查实际上有多昂贵,以及三年是否为正确的间隔。系统将在范围扩大之前学习。
证据和分析限制
ICP-2 标准支持对原始准入条件、它们同等重要性、可审计性角色以及预期迁移到新区域机构的描述。它们没有建立定期重新认证周期。
2005 年 IANA AFRINIC 评估支持对涵盖技术能力、资金、治理、记录、保密性和过渡准备的详细准入评估的描述。它未被用于声称 IANA 承诺这些条件将无限期持续,或后续失败在认可时是可预测的。
2024 年实施和评估程序支持以下主张:ICP-2 义务是持续的,所有五个 RIR 都接受它们,审查可由一致同行行动请求或由 ICANN 在所述条件下发起,且 ICANN 发起的审查必须保持有限。它们的阈值是总情况下的重大风险;它们没有规定固定间隔的例行审计。
NRO 第 2 版草案支持对拟议的至少每三年一次的独立审计、单独的绩效和连续性义务、紧急操作和移交准备的描述。2026 年第一季度状态报告支持更狭窄的主张,即审计后果和过渡保护仍在起草中。两个来源均未被呈现为截至出版日已最终通过的 ICP-2 替代。
重新认证矩阵、保证小组、发现等级、分层发布模型和首轮设计是分析性提议。没有引用的来源确定 ICANN、NRO 或所有 RIR 社区已采纳它们。文章不评估任何当前 RIR 是否会通过拟议的测试,不从缺少公开证书推断技术弱点,也不将审计发现视为撤销认可自动权限。

