1、.wd電子認(rèn)證效勞機(jī)構(gòu)運(yùn)營管理標(biāo)準(zhǔn)國標(biāo)2021年8月目次1 范圍32 標(biāo)準(zhǔn)性引用文件33 術(shù)語和定義43.1 電子認(rèn)證效勞機(jī)構(gòu) certification authority43.2 證書策略 certificate policy43.3 電子認(rèn)證業(yè)務(wù)規(guī)那么 certification practice statement43.4 證書撤銷列表 certificate revocation list43.5 自主訪問控制 discretionary access control43.6 數(shù)字證書 digital certificate43.7 公鑰根底設(shè)施 public key infrast

2、ructure43.8 注冊機(jī)構(gòu) registration authority53.9 秘密分擔(dān) secret sharing54 縮略語55 運(yùn)營系統(tǒng)55.1 認(rèn)證系統(tǒng)55.2 運(yùn)營網(wǎng)絡(luò)55.3 密碼設(shè)備55.4 系統(tǒng)平安65.5 系統(tǒng)冗余與備份76 運(yùn)營場地與設(shè)施86.1 運(yùn)營場地86.2 運(yùn)營區(qū)域劃分及要求86.3 平安監(jiān)控系統(tǒng)96.4 環(huán)境保護(hù)與控制設(shè)施106.5 支撐設(shè)施106.6 RA場地平安117 職能與角色117.1 必需的部門職能117.2 必須的崗位角色118 認(rèn)證業(yè)務(wù)管理128.1 業(yè)務(wù)標(biāo)準(zhǔn)和協(xié)議128.2 用戶證書生命周期管理128.3 用戶證書密鑰管理148.4 CA

3、密鑰和證書管理158.5 客戶隱私保護(hù)168.6 RA管理179 平安管理179.1 平安策略與規(guī)劃179.2 平安組織179.3 場地訪問平安管理189.4 場地監(jiān)控平安管理189.5 系統(tǒng)運(yùn)維平安管理189.6 人員平安管理199.7 密碼設(shè)備平安管理199.8 文檔平安管理209.9 介質(zhì)平安管理209.10 平安實(shí)施與監(jiān)視2110 業(yè)務(wù)連續(xù)性控制2110.1 概要2110.2 業(yè)務(wù)連續(xù)性方案2110.3 應(yīng)急處理2110.4 災(zāi)難恢復(fù)2310.5 災(zāi)備中心2311 記錄與審計(jì)2311.1 記錄保存2411.2 記錄的查閱2411.3 記錄歸檔2411.4 記錄銷毀2411.5 審計(jì)24

4、參考文獻(xiàn)26電子認(rèn)證效勞機(jī)構(gòu)運(yùn)營管理標(biāo)準(zhǔn)1 范圍本標(biāo)準(zhǔn)規(guī)定了電子認(rèn)證效勞機(jī)構(gòu)在運(yùn)營管理方面的標(biāo)準(zhǔn)性要求。本標(biāo)準(zhǔn)適用于在開放的互聯(lián)網(wǎng)環(huán)境中提供數(shù)字證書效勞的電子認(rèn)證效勞機(jī)構(gòu)，對于在封閉環(huán)境中如在特定團(tuán)體或某個(gè)行業(yè)內(nèi)運(yùn)行的電子認(rèn)證效勞機(jī)構(gòu)可根據(jù)自身平安風(fēng)險(xiǎn)評估以及國家有關(guān)的法律法規(guī)有選擇性地參考本標(biāo)準(zhǔn)。國家有關(guān)的測評機(jī)構(gòu)、監(jiān)管部門也可以將本標(biāo)準(zhǔn)作為測評和監(jiān)管的依據(jù)。電子認(rèn)證效勞機(jī)構(gòu)的行政管理應(yīng)遵從?中華人民共和國電子簽名法?等相關(guān)法律法規(guī)和管理部門的規(guī)定。本標(biāo)準(zhǔn)所涉及的密碼管理局部，按照國家密碼管理機(jī)構(gòu)的相關(guān)規(guī)定執(zhí)行。2 標(biāo)準(zhǔn)性引用文件以下文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。但凡標(biāo)注日

5、期的引用文件，其隨后所有的修改單不包括訂正的內(nèi)容或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。但凡未標(biāo)注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB 6650 計(jì)算機(jī)機(jī)房用活動地板技術(shù)條件GB 50045 高層民用建筑設(shè)計(jì)防火標(biāo)準(zhǔn)GB 50174 電子信息系統(tǒng)機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)GB/T 2887 計(jì)算站場地技術(shù)條件GB/T 9361 計(jì)算站場地平安要求GB/T 16264.82005 信息技術(shù) 開放系統(tǒng)互聯(lián) 目錄 第8局部：公鑰和屬性證書框架GB/T 197132005 信息技術(shù) 平安技術(shù) 公鑰根底設(shè)施 在線證書狀態(tài)協(xié)議GB/T 197162005 信

6、息技術(shù) 信息平安管理實(shí)用規(guī)那么GB/T AAAAAAAA證書認(rèn)證系統(tǒng)密碼及其相關(guān)平安技術(shù)標(biāo)準(zhǔn)GB/T AAAAAAAA 信息技術(shù) 平安技術(shù) 公鑰根底設(shè)施 數(shù)字證書格式GB/T YYYYYYYY 信息技術(shù) 平安技術(shù) 公鑰根底設(shè)施 證書策略與認(rèn)證業(yè)務(wù)聲明框架IETF RFC1777 Lightweight Directory Access ProtocolIETF RFC2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol - OCSPIETF RFC2587 Internet X.509

7、Public Key Infrastructure LDAPv2 Schema3 術(shù)語和定義以下術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1 電子認(rèn)證效勞機(jī)構(gòu) certification authority一個(gè)被終端實(shí)體所信任的簽發(fā)公鑰證書的證書認(rèn)證實(shí)體，它是一個(gè)可信的權(quán)威機(jī)構(gòu)，獲得授權(quán)面向社會公眾提供第三方電子認(rèn)證效勞的數(shù)字證書認(rèn)證中心簡稱CA、CA中心、CA機(jī)構(gòu)、電子認(rèn)證效勞機(jī)構(gòu)。3.2 證書策略 certificate policy是一個(gè)指定的規(guī)那么集合，它指出證書對于具有普通平安需求的一個(gè)特定團(tuán)體和或具體應(yīng)用類的適用性。3.3 電子認(rèn)證業(yè)務(wù)規(guī)那么 certification practice sta

8、tement關(guān)于電子認(rèn)證效勞機(jī)構(gòu)在簽發(fā)、管理、撤銷或更新證書或更新證書中的密鑰時(shí)的業(yè)務(wù)實(shí)施聲明。3.4 證書撤銷列表 certificate revocation list一個(gè)經(jīng)電子認(rèn)證效勞機(jī)構(gòu)數(shù)字簽名的列表，它標(biāo)出了一系列證書頒發(fā)者認(rèn)為無效的證書。3.5 自主訪問控制 discretionary access control由客體的所有者主體自主地規(guī)定其所擁有客體的訪問權(quán)限的方法。有訪問權(quán)限的主體能按授權(quán)方式對指定客體實(shí)施訪問，并能根據(jù)授權(quán)，對訪問權(quán)限進(jìn)展轉(zhuǎn)移。3.6 數(shù)字證書 digital certificate經(jīng)權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)即電子認(rèn)證效勞機(jī)構(gòu)，CA，數(shù)字簽名的包含

9、公開密鑰擁有者信息以及公開密鑰的文件。3.7 公鑰根底設(shè)施 public key infrastructure支持公開密鑰體制的平安根底設(shè)施，提供身份鑒別、信息加密、數(shù)據(jù)完整性和交易抗抵賴。3.8 注冊機(jī)構(gòu) registration authority具有以下一項(xiàng)或多項(xiàng)功能的實(shí)體：識別和鑒別證書申請者，同意或拒絕證書申請，在某些環(huán)境下主動撤銷或掛起證書，處理訂戶撤銷或掛起其證書的請求，同意或拒絕訂戶更新其證書或密鑰的請求。通常將注冊機(jī)構(gòu)簡稱為RA，或RA機(jī)構(gòu)。3.9 秘密分擔(dān) secret sharing秘密分擔(dān)指將一個(gè)秘密在一組參入者間進(jìn)展分發(fā)的方法，其中每個(gè)參入者被分配了該秘密經(jīng)分割后的一

10、份，稱為秘密份額或秘密分割。只有足夠數(shù)量的秘密份額才能恢復(fù)原秘密，單個(gè)的秘密份額本身是沒有的。在本標(biāo)準(zhǔn)中，被分擔(dān)的秘密可能是CA私鑰激活數(shù)據(jù)、CA私鑰備份恢復(fù)數(shù)據(jù)或CA私鑰。4 縮略語以下縮略語適用于本標(biāo)準(zhǔn)：CA 電子認(rèn)證效勞機(jī)構(gòu)CP 證書策略CPS 電子認(rèn)證業(yè)務(wù)規(guī)那么CRL 證書注銷列表IETF 互聯(lián)網(wǎng)工程任務(wù)組LDAP 輕量目錄訪問協(xié)議OCSP 在線證書狀態(tài)查詢協(xié)議PKI公鑰根底設(shè)施RA 證書注冊機(jī)構(gòu)5 運(yùn)營系統(tǒng)5.1 認(rèn)證系統(tǒng)電子認(rèn)證效勞機(jī)構(gòu)使用的認(rèn)證系統(tǒng)包括證書認(rèn)證系統(tǒng)和密鑰管理系統(tǒng)應(yīng)該遵循?GB/T AAAAAAAA證書認(rèn)證系統(tǒng)密碼及其相關(guān)平安技術(shù)標(biāo)準(zhǔn)?。5.2 運(yùn)營網(wǎng)絡(luò)電子認(rèn)證效勞

11、機(jī)構(gòu)及其注冊機(jī)構(gòu)的認(rèn)證系統(tǒng)運(yùn)行網(wǎng)絡(luò)，須采用獨(dú)立的接入鏈路與公共網(wǎng)絡(luò)連接，并與辦公網(wǎng)絡(luò)隔離，網(wǎng)段劃分應(yīng)符合?GB/T AAAAAAAA證書認(rèn)證系統(tǒng)密碼及其相關(guān)平安技術(shù)標(biāo)準(zhǔn)?的要求。電子認(rèn)證效勞機(jī)構(gòu)認(rèn)證系統(tǒng)運(yùn)行網(wǎng)絡(luò)應(yīng)盡可能采用多路冗余鏈路接入公共網(wǎng)絡(luò)，且多路接入鏈路來自不同的獨(dú)立網(wǎng)絡(luò)通信提供商。5.3 密碼設(shè)備電子認(rèn)證效勞機(jī)構(gòu)及其注冊機(jī)構(gòu)所使用的密碼設(shè)備，必須是通過國家密碼主管部門審查、具備銷售資質(zhì)的設(shè)備。5.4 系統(tǒng)平安電子認(rèn)證效勞機(jī)構(gòu)應(yīng)依據(jù)所制定的平安策略，在認(rèn)證系統(tǒng)的實(shí)體身份標(biāo)識與鑒別、訪問控制與權(quán)限分割、信息與數(shù)據(jù)平安、網(wǎng)絡(luò)系統(tǒng)平安、主機(jī)系統(tǒng)平安等方面采取相應(yīng)平安措施。5.4.1 身份標(biāo)識

12、與鑒別認(rèn)證系統(tǒng)必須對如下實(shí)體進(jìn)展身份標(biāo)識和鑒別：1對外的效勞器模塊；2內(nèi)部效勞器模塊；3密碼設(shè)備模塊；4證書管理員；5數(shù)據(jù)庫管理員；6主機(jī)系統(tǒng)帳戶。采用的身份標(biāo)識和鑒別技術(shù)應(yīng)該與相應(yīng)的平安需求一致。假設(shè)采用用戶名/口令方式進(jìn)展身份標(biāo)識和鑒別，那么在平安需求較高時(shí)，必須對口令的長度、內(nèi)容和更換頻度做出相應(yīng)的規(guī)定。對外效勞器模塊、證書管理員的身份標(biāo)識和鑒別應(yīng)該采用數(shù)字證書；證書管理員身份標(biāo)識證書的私鑰應(yīng)該存放在平安硬件介質(zhì)中，如USB Key、智能卡，并保證私鑰的平安。5.4.2 訪問控制與權(quán)限分割認(rèn)證系統(tǒng)應(yīng)該基于對實(shí)體的身份鑒別實(shí)現(xiàn)訪問控制，而且，對證書、密鑰管理中的關(guān)鍵操作必須進(jìn)展權(quán)限分割。5

13、.4.3 信息與數(shù)據(jù)平安對于CA系統(tǒng)與外部用戶、系統(tǒng)間的通信，CA系統(tǒng)內(nèi)效勞器、模塊之間的通信，必須保證通信數(shù)據(jù)的保密性、完整性及數(shù)據(jù)收、發(fā)方的身份真實(shí)性。5.4.4 網(wǎng)絡(luò)系統(tǒng)平安1) 網(wǎng)絡(luò)平安a) 為了保護(hù)網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊的威脅，應(yīng)部署平安網(wǎng)關(guān)設(shè)備，將認(rèn)證系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)進(jìn)展物理隔離，并將認(rèn)證系統(tǒng)網(wǎng)絡(luò)按照技術(shù)標(biāo)準(zhǔn)要求劃分為不同的網(wǎng)段。平安網(wǎng)關(guān)設(shè)置應(yīng)只允許必需的訪問，設(shè)定允許訪問的主體主機(jī)、端口和對應(yīng)的訪問對象主機(jī)、端口以及連接方向，其他訪問制止；平安網(wǎng)關(guān)應(yīng)有充分的日志和審計(jì)功能。b) 應(yīng)對網(wǎng)絡(luò)中的實(shí)體設(shè)備進(jìn)展網(wǎng)絡(luò)漏洞掃描，根據(jù)檢測結(jié)果及時(shí)發(fā)現(xiàn)存在的不平安網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)效勞，將不需要的網(wǎng)絡(luò)協(xié)

14、議、網(wǎng)絡(luò)效勞關(guān)閉，對于因業(yè)務(wù)需要而開啟的不平安網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)效勞應(yīng)采取相應(yīng)措施，需要用更平安的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)效勞替換。c) 應(yīng)在關(guān)鍵網(wǎng)段安裝入侵檢測系統(tǒng)，能夠及時(shí)檢測到并報(bào)告常見的入侵模式，能夠且應(yīng)該及時(shí)更新入侵模式知識庫，有完善的日志與審計(jì)功能。d) 實(shí)施網(wǎng)絡(luò)效勞平安配置與加固，只開啟必需的網(wǎng)絡(luò)效勞，關(guān)閉所有其他的網(wǎng)絡(luò)效勞；對開啟了的網(wǎng)絡(luò)效勞進(jìn)展優(yōu)化配置，定期打補(bǔ)丁。e) 采取其他必要的平安措施，以保障運(yùn)營網(wǎng)絡(luò)的平安。2) 網(wǎng)絡(luò)設(shè)備平安對于網(wǎng)絡(luò)設(shè)備應(yīng)該從如下幾個(gè)方面保證平安：a) 采用通過平安檢測、平安認(rèn)證的網(wǎng)絡(luò)設(shè)備，包括路由器、各類平安網(wǎng)關(guān)、交換機(jī)等。b) 假設(shè)網(wǎng)絡(luò)設(shè)備帳戶使用用戶名/口令

15、方式進(jìn)展身份鑒別，那么口令應(yīng)具有足夠的平安強(qiáng)度。c) 有完備的審計(jì)日志。5.4.5 主機(jī)系統(tǒng)平安1) 認(rèn)證系統(tǒng)的主機(jī)應(yīng)從如下幾個(gè)方面確保主機(jī)系統(tǒng)自身平安：a) 采用可靠的操作系統(tǒng)。b) 實(shí)現(xiàn)自主訪問控制。c) 通過主機(jī)漏洞掃描系統(tǒng)發(fā)現(xiàn)系統(tǒng)存在的平安漏洞，如口令設(shè)置、文件權(quán)限、帳戶管理、用戶組管理、系統(tǒng)配置，并采取相應(yīng)措施，包括進(jìn)展系統(tǒng)平安優(yōu)化。d) 及時(shí)對系統(tǒng)平安漏洞打補(bǔ)丁。e) 采取防病毒措施。f) 采用其它系統(tǒng)平安加固技術(shù)。2) 認(rèn)證系統(tǒng)的主機(jī)應(yīng)該從如下幾個(gè)方面確保主機(jī)系統(tǒng)管理平安：a) 只創(chuàng)立、開啟必需帳戶，關(guān)閉不需要的缺省帳戶；b) 帳戶口令具有足夠的平安強(qiáng)度；c) 確保只有授權(quán)用戶、

16、進(jìn)程和應(yīng)用才能訪問相應(yīng)的資源。5.5 系統(tǒng)冗余與備份5.5.1 系統(tǒng)冗余應(yīng)采用設(shè)備冷/熱備份、單機(jī)邏輯備份、雙機(jī)備份等，對于生產(chǎn)系統(tǒng)的重要設(shè)備進(jìn)展備份/冗余設(shè)置和容錯(cuò)設(shè)計(jì)。應(yīng)采用冗余技術(shù)、路由選擇技術(shù)、路由備份技術(shù)等，實(shí)現(xiàn)網(wǎng)絡(luò)備份與冗余。1) 網(wǎng)絡(luò)鏈路冗余CA系統(tǒng)的網(wǎng)絡(luò)對外應(yīng)采用雙路接入，并且兩路網(wǎng)絡(luò)接入來自不同的網(wǎng)絡(luò)設(shè)施運(yùn)營商僅僅是效勞提供商還不行，一路網(wǎng)絡(luò)接入作為主效勞線路，另一路接入作為備用線路，當(dāng)主效勞線路出現(xiàn)故障時(shí)能夠迅速切換到備用線路。2) 主機(jī)冗余CA系統(tǒng)對關(guān)鍵業(yè)務(wù)、功能的主機(jī)必須采用雙機(jī)熱備措施。對非關(guān)鍵業(yè)務(wù)、功能的設(shè)備，應(yīng)該至少采用硬盤冷備份的方式進(jìn)展系統(tǒng)備份。3) 電源冗余

17、與后備發(fā)電對電子認(rèn)證效勞機(jī)構(gòu)的電源有如下要求：a) 放置有CA系統(tǒng)的數(shù)據(jù)中心應(yīng)該采用雙路供電系統(tǒng),必須至少保證從建筑外至數(shù)據(jù)中心內(nèi)具有兩條供電線路；b) 必須為認(rèn)證系統(tǒng)及平安設(shè)備提供不連續(xù)電源UPS，且不連續(xù)電源設(shè)備UPS應(yīng)該具有冗余，不連續(xù)電源提供的電力必須足夠支持通常的斷電時(shí)間；c) 有條件的電子認(rèn)證效勞機(jī)構(gòu)應(yīng)配置備用發(fā)電機(jī)，當(dāng)出現(xiàn)停電且不連續(xù)電源不能提供持續(xù)的電力時(shí)，能夠提供電力。5.5.2 系統(tǒng)備份電子認(rèn)證效勞機(jī)構(gòu)應(yīng)采用完全備份與增量備份相結(jié)合的方式對生產(chǎn)系統(tǒng)數(shù)據(jù)和信息進(jìn)展備份。應(yīng)制定備份數(shù)據(jù)收集、保管、押運(yùn)、恢復(fù)管理策略，確保備份數(shù)據(jù)的平安，防止泄露和未經(jīng)授權(quán)使用。備份數(shù)據(jù)宜實(shí)行同城

18、異地保管，如租用銀行保管箱保存數(shù)據(jù)備份。應(yīng)定期檢查備份系統(tǒng)和設(shè)備的可靠性和可用性，定期檢查備份介質(zhì)可靠性和數(shù)據(jù)完整性。應(yīng)根據(jù)設(shè)備的重要程度、故障率、供給難度、庫存數(shù)據(jù)量、設(shè)備金額等因素，綜合評估運(yùn)營風(fēng)險(xiǎn)，確定并建立關(guān)鍵設(shè)備和系統(tǒng)備份管理方法。應(yīng)對關(guān)鍵設(shè)備做備份或采取有效方法保證供給的及時(shí)性如與供給商簽訂應(yīng)急維修或緊急供貨合同。1) 軟件與數(shù)據(jù)備份軟件與數(shù)據(jù)備份包括如下內(nèi)容：a) 主機(jī)操作系統(tǒng)；b) 系統(tǒng)應(yīng)用軟件，如郵件系統(tǒng)、Web效勞程序、數(shù)據(jù)庫系統(tǒng)等；c) 認(rèn)證系統(tǒng)軟件；d) 系統(tǒng)上的客戶化定制數(shù)據(jù)；e) 系統(tǒng)配置；f) 數(shù)據(jù)庫用戶數(shù)據(jù)。對軟件與數(shù)據(jù)備份有要求如下：a) 必須采用專門的備份系

19、統(tǒng)對整個(gè)CA系統(tǒng)進(jìn)展備份，備份數(shù)據(jù)可以保存在磁帶、硬盤或其他介質(zhì)上；b) 備份策略采用全備份與增量備份相結(jié)合；c) 備份策略應(yīng)該保證沒有數(shù)據(jù)喪失或數(shù)據(jù)喪失不會造成實(shí)質(zhì)性的影響；d) 在系統(tǒng)出現(xiàn)故障、災(zāi)難時(shí)，備份方案能夠在最短的時(shí)間內(nèi)從備份數(shù)據(jù)中恢復(fù)出原系統(tǒng)及數(shù)據(jù)；e) 選擇的備份介質(zhì)應(yīng)能保證數(shù)據(jù)的長期可靠，否那么應(yīng)定期更新；f) 備份數(shù)據(jù)應(yīng)存放在電子認(rèn)證效勞機(jī)構(gòu)以外平安的地方，比方銀行保險(xiǎn)柜、災(zāi)難恢復(fù)中心。2) 硬件設(shè)備備份電子認(rèn)證效勞機(jī)構(gòu)硬件設(shè)備必須具有冗余、備份，在系統(tǒng)設(shè)備出現(xiàn)故障、損壞時(shí)能夠及時(shí)更換設(shè)備。6 運(yùn)營場地與設(shè)施6.1 運(yùn)營場地電子認(rèn)證效勞機(jī)構(gòu)及其注冊機(jī)構(gòu)提供電子認(rèn)證效勞必須有

20、固定和適宜的經(jīng)營場所和機(jī)房場地?cái)?shù)據(jù)中心。電子認(rèn)證效勞機(jī)構(gòu)的場地環(huán)境建立應(yīng)符合以下標(biāo)準(zhǔn)：1) 計(jì)算機(jī)機(jī)房數(shù)據(jù)中心的平安建立必須符合GB/T9361；2) 活動地板應(yīng)該具有穩(wěn)定的抗靜電性能和承載能力，同時(shí)要耐油、耐腐蝕、柔光、不起塵等，具體要符合GB 6650的要求；3) 計(jì)算機(jī)系統(tǒng)的供電電源技術(shù)指標(biāo)、相對濕度控制、接地系統(tǒng)設(shè)置等應(yīng)按GB/T 2887中的規(guī)定執(zhí)行；4) 電子計(jì)算機(jī)機(jī)房的耐火等級應(yīng)符合GB 50045及GB/T 9361的規(guī)定；5) 計(jì)算機(jī)機(jī)房設(shè)計(jì)應(yīng)符合GB 50174的規(guī)定。6.2 運(yùn)營區(qū)域劃分及要求6.2.1 根本要求電子認(rèn)證效勞機(jī)構(gòu)機(jī)房場所為平安控制區(qū)域，必須在機(jī)房場所的周邊

21、，建立明確和清晰的平安邊界設(shè)置標(biāo)志、物理障礙、門禁管理系統(tǒng)等，進(jìn)展物理保護(hù)；平安邊界應(yīng)完善和完整，能及時(shí)發(fā)現(xiàn)任何入侵企圖；平安邊界應(yīng)設(shè)置向外開啟的消防通道防火門，并應(yīng)能快速關(guān)閉；消防門應(yīng)有防誤開啟標(biāo)識和報(bào)警裝置，開啟時(shí)應(yīng)能以聲、光或電的方式向平安監(jiān)控中心報(bào)警。平安區(qū)域應(yīng)使用合格門鎖，門應(yīng)鞏固，保證關(guān)閉平安；應(yīng)使用適宜的門禁系統(tǒng)和輔助設(shè)備，如加裝閉門器、門位置狀態(tài)檢測器和門開啟報(bào)警器等；采取必要措施，在各個(gè)區(qū)域防止尾隨進(jìn)入。平安區(qū)域物理環(huán)境的任何變更，如設(shè)備或系統(tǒng)的新增、撤消、部署調(diào)整等，必須事先完成風(fēng)險(xiǎn)評估和平安分析，形成正式文檔向認(rèn)證機(jī)構(gòu)的平安策略管理組織申報(bào)，經(jīng)審核批準(zhǔn)后，方可實(shí)施。同時(shí)應(yīng)

22、做好完整的過程記錄。6.2.2 區(qū)域劃分CA機(jī)房場地根據(jù)業(yè)務(wù)功能分為公共區(qū)、效勞區(qū)、管理區(qū)、核心區(qū)、屏蔽區(qū)，各功能區(qū)域?qū)?yīng)的平安級別為控制區(qū)、限制區(qū)、敏感區(qū)、機(jī)密區(qū)、高度敏感區(qū)，平安等級和要求逐級提高。平安等級要求越高，平安防護(hù)措施和配套設(shè)施要求越嚴(yán)格。宜使用層級式平安區(qū)域防護(hù)，進(jìn)展平安區(qū)域隔離和物理保護(hù)。層級式平安區(qū)域防護(hù)是指，將平安區(qū)域按照平安等級的重要程度，由外向內(nèi)平安級別逐步提高，且只有經(jīng)由低級別的區(qū)域方能進(jìn)入更高級別平安區(qū)域。不宜劃分層級式平安區(qū)域的機(jī)房場所，應(yīng)按照平安等級功能等同的原那么保護(hù)各平安區(qū)域。1) 公共區(qū)控制區(qū)電子認(rèn)證效勞機(jī)構(gòu)場地的入口處、辦公區(qū)域、輔助和支持區(qū)域?qū)儆诠?/p>

23、區(qū)，應(yīng)采用訪問控制措施，可以使用身份標(biāo)識門禁卡控制出入。2) 效勞區(qū)限制區(qū)效勞區(qū)是提供證書審批、證書管理等電子認(rèn)證效勞的區(qū)域，必須使用身份標(biāo)識門禁卡控制出入。3) 管理區(qū)敏感區(qū)該區(qū)域是電子認(rèn)證系統(tǒng)運(yùn)營管理區(qū)域，系統(tǒng)監(jiān)控室、場地平安監(jiān)控中心、配電室等均屬于該區(qū)域。此區(qū)域必須使用身份標(biāo)識門禁卡或人體特征鑒別控制出入。4) 核心區(qū)機(jī)密區(qū)證書認(rèn)證系統(tǒng)、密鑰管理系統(tǒng)、離線私鑰和私鑰激活數(shù)據(jù)存放房間屬于核心區(qū)。核心區(qū)必須使用身份標(biāo)識門禁卡和人體特征鑒別身份，控制出入，且在核心區(qū)內(nèi)必須采取職責(zé)別離與權(quán)限分割的方案和措施，使得單個(gè)人員在核心區(qū)內(nèi)無法完成敏感操作。5) 屏蔽區(qū)高度敏感區(qū)屏蔽區(qū)位于核心區(qū)的數(shù)據(jù)中心

24、內(nèi)，放置有使用在線CA私鑰簽發(fā)數(shù)字證書的密碼設(shè)備。屏蔽區(qū)必須有平安的出入控制，且在屏蔽區(qū)內(nèi)必須采取職責(zé)別離與權(quán)限分割的方案和措施，使得單個(gè)人員在屏蔽區(qū)內(nèi)無法完成敏感操作。屏蔽區(qū)的屏蔽效果至少應(yīng)符合GB9361要求。6.3 平安監(jiān)控系統(tǒng)宜設(shè)置專門用途的平安監(jiān)控中心，對機(jī)房建筑整個(gè)區(qū)域發(fā)生的出入訪問進(jìn)展實(shí)時(shí)監(jiān)控。6.3.1 門禁認(rèn)證機(jī)構(gòu)機(jī)房區(qū)域必須采用適宜的門禁管理系統(tǒng)進(jìn)展物理場地訪問控制管理。門禁系統(tǒng)應(yīng)能支持以電子身份識別卡、生物特征、PKI/CA技術(shù)等單獨(dú)和/或以組合形式的方式鑒別身份；應(yīng)能控制認(rèn)證機(jī)構(gòu)整個(gè)運(yùn)營場地的所有出入口；應(yīng)能識別、區(qū)分正確進(jìn)出方式，如未刷卡進(jìn)入，那么不能刷卡離開；應(yīng)能與

25、平安偵測布防系統(tǒng)結(jié)合，對各個(gè)區(qū)域進(jìn)展平安布防，偵測到異常活動時(shí)，應(yīng)具備報(bào)警功能如聲光報(bào)警、短信/ 報(bào)警、門禁聯(lián)動鎖止等；門禁系統(tǒng)應(yīng)有備用電源，能保證不連續(xù)進(jìn)展訪問控制；系統(tǒng)應(yīng)有完善的事件紀(jì)錄和審計(jì)控制；門禁系統(tǒng)控制中心應(yīng)位于平安監(jiān)控中心或一樣平安等級的區(qū)域內(nèi)。在發(fā)生緊急情況如電力故障、消防報(bào)警時(shí)，所有消防疏散通道受控門應(yīng)處于開啟狀態(tài)，重要區(qū)域如核心機(jī)房、資料室等區(qū)域應(yīng)處于外部關(guān)閉、內(nèi)部可手工開啟的狀態(tài)；前述重要區(qū)域應(yīng)有應(yīng)急開啟裝置，且當(dāng)應(yīng)急開啟裝置開啟時(shí)，必須以聲、光、電的方式發(fā)出報(bào)警信號，同時(shí)系統(tǒng)應(yīng)顯示報(bào)警區(qū)域并記錄應(yīng)急情況發(fā)生詳細(xì)信息。應(yīng)定期將門禁記錄整理歸檔，并保存合理時(shí)間。6.3.2

26、入侵檢測在機(jī)房場所建筑區(qū)域內(nèi)應(yīng)安裝入侵檢測報(bào)警系統(tǒng)，進(jìn)展平安布防。平安區(qū)域窗戶上應(yīng)安裝玻璃破碎報(bào)警器，建筑內(nèi)天花板上應(yīng)安裝活動偵測器，發(fā)生非法入侵應(yīng)立即報(bào)警。入侵檢測系統(tǒng)應(yīng)有應(yīng)急備用電源提供電力支持，保證在出現(xiàn)外部供電中斷時(shí)系統(tǒng)能夠不連續(xù)的運(yùn)行。6.3.3 監(jiān)控錄像必須設(shè)置適宜的監(jiān)控點(diǎn)，采用錄像集中監(jiān)控對整個(gè)機(jī)房的活動區(qū)域進(jìn)展24小時(shí)不連續(xù)的監(jiān)控。錄像記錄可以采用兩種方式，一種為不連續(xù)錄像；另一種為采用活動偵測系統(tǒng)與錄像相結(jié)合的方式，不連續(xù)監(jiān)控，連續(xù)活動偵測錄像。合理調(diào)整錄像監(jiān)控鏡頭位置，應(yīng)能有效識別進(jìn)出人員和紀(jì)錄操作行為；錄像記錄應(yīng)平安保管并定期歸檔，錄像記錄的查閱必須經(jīng)平安主管批準(zhǔn)。錄像記

27、錄最少保存3個(gè)月；重大活動記錄應(yīng)保存1年以上，可采用刻盤備份等形式。監(jiān)控錄像系統(tǒng)應(yīng)配有應(yīng)急備用電源提供電力支持，保證在出現(xiàn)外部供電中斷時(shí)系統(tǒng)不連續(xù)運(yùn)行。6.4 環(huán)境保護(hù)與控制設(shè)施6.4.1 空氣和溫濕度控制必須有完備的空調(diào)系統(tǒng)，保證機(jī)房有充足、新鮮和干凈的空氣供給；保證機(jī)房各個(gè)區(qū)域的溫濕度能滿足系統(tǒng)運(yùn)行、人員活動和其他輔助設(shè)備的要求。6.4.2 防雷擊和接地必須采用符合國家標(biāo)準(zhǔn)的防雷措施。必須設(shè)置綜合地線系統(tǒng)；屏蔽機(jī)房必須設(shè)立保護(hù)地線，應(yīng)經(jīng)常檢測接地電阻，確保人身、設(shè)備運(yùn)行的平安；應(yīng)設(shè)置交流電源地線，交流供電應(yīng)采用符合標(biāo)準(zhǔn)的三芯線，即相線、中線、地線。計(jì)算機(jī)系統(tǒng)平安保護(hù)地電阻值、計(jì)算機(jī)系統(tǒng)防雷

28、保護(hù)地電阻值必須符合國家標(biāo)準(zhǔn)?建筑物防雷設(shè)計(jì)標(biāo)準(zhǔn)?GB50057和?建筑物電子信息系統(tǒng)防雷技術(shù)標(biāo)準(zhǔn)?GB50343的有關(guān)規(guī)定。6.4.3 靜電防護(hù)機(jī)房的地板或地面應(yīng)有靜電泄放措施和接地構(gòu)造，防靜電地板、地面的外表電阻或體積電阻應(yīng)為2.5×1041.0×109，且應(yīng)具有防火、環(huán)保、耐污耐磨性能。6.4.4 水患防治應(yīng)正確安裝水管和密封構(gòu)造，合理布置水管走向，防止發(fā)生水害損失。機(jī)房內(nèi)應(yīng)進(jìn)展防水檢測，發(fā)現(xiàn)水害能及時(shí)報(bào)警。6.4.5 消防設(shè)施建筑材料耐火等級必須符合GBJ45-1982規(guī)定。辦公區(qū)域必須設(shè)置火災(zāi)自動報(bào)警系統(tǒng)和滅火系統(tǒng)，可以使用水噴淋滅火裝置，并應(yīng)配備合理數(shù)量的手持滅

29、火器具。認(rèn)證系統(tǒng)所在機(jī)房必須安裝火災(zāi)自動報(bào)警系統(tǒng)和自動滅火系統(tǒng)，火災(zāi)探測系統(tǒng)應(yīng)能同時(shí)通過檢測溫度和煙霧發(fā)現(xiàn)火災(zāi)的發(fā)生，且火災(zāi)報(bào)警系統(tǒng)應(yīng)與滅火系統(tǒng)聯(lián)動。火災(zāi)報(bào)警系統(tǒng)包括火災(zāi)自動探測、區(qū)域報(bào)警器、集中報(bào)警器和控制器等，能夠?qū)馂?zāi)發(fā)生區(qū)域以聲、光或電的方式發(fā)出報(bào)警信號，并能以手動或自動的方式啟動滅火設(shè)備。用于生產(chǎn)系統(tǒng)的滅火系統(tǒng)，不得使用水作滅火介質(zhì)，必須使用干凈氣體滅火裝置。宜使用惰性氣體如IG541作為滅火介質(zhì)。凡設(shè)置干凈氣體滅火系統(tǒng)的機(jī)房區(qū)域，應(yīng)配置一定數(shù)量的專用空氣呼吸器或氧氣呼吸器。6.5 支撐設(shè)施6.5.1 供配電系統(tǒng)供配電系統(tǒng)布線應(yīng)采用金屬管、硬質(zhì)塑料管、塑料線槽等；塑料件應(yīng)采用阻燃型材

30、料；強(qiáng)電與弱電線路應(yīng)分開布設(shè)；線路設(shè)計(jì)容量應(yīng)大于設(shè)備總用量；應(yīng)設(shè)立獨(dú)立的配電室，通過配電柜控制供電系統(tǒng)。應(yīng)使用雙路供電，并安裝使用在線式UPS對機(jī)房供電，保障機(jī)房數(shù)據(jù)中心有不連續(xù)的供電。當(dāng)出現(xiàn)意外情況導(dǎo)致供電中斷時(shí)，在線式UPS應(yīng)能以不連續(xù)的方式進(jìn)展供電切換并持續(xù)向機(jī)房提供至少8小時(shí)的供電。6.5.2 照明機(jī)房工作區(qū)域主要照明應(yīng)采用高效節(jié)能熒光燈，照度標(biāo)準(zhǔn)值為500lx，照明均勻度不應(yīng)小于0.7；主要通道應(yīng)設(shè)置通道疏散照明及疏散指示燈，主機(jī)房疏散照明照度值不應(yīng)低于5lx，其他區(qū)域通道疏散照明的照度值不應(yīng)低于0.5lx。6.5.3 效勞通信系統(tǒng)電子認(rèn)證效勞機(jī)構(gòu)應(yīng)設(shè)置與開展認(rèn)證效勞有關(guān)的各類通信系

31、統(tǒng)，如客戶 、 、電子郵件系統(tǒng)，并保障24小時(shí)暢通。6.6 RA場地平安RA系統(tǒng)可建立、運(yùn)行在電子認(rèn)證效勞機(jī)構(gòu)中，也可建立、運(yùn)行在RA機(jī)構(gòu)中。運(yùn)行RA系統(tǒng)并開展RA業(yè)務(wù)的機(jī)構(gòu)，其運(yùn)營場地和設(shè)施應(yīng)符合如下要求：1) RA場地應(yīng)有門禁監(jiān)控系統(tǒng)，及為RA系統(tǒng)的各類設(shè)備提供電力、空氣和溫濕度控制、消防報(bào)警和滅火功能的環(huán)境保護(hù)設(shè)施和相關(guān)支撐系統(tǒng)；RA也可選擇符合上述條件的IDC放置RA系統(tǒng)設(shè)備。 2) 使用了加密機(jī)的RA系統(tǒng)，應(yīng)另設(shè)專門的控制區(qū)域，對加密設(shè)備進(jìn)展適當(dāng)保護(hù)。7 職能與角色7.1 必需的部門職能電子認(rèn)證效勞機(jī)構(gòu)應(yīng)設(shè)立開展電子認(rèn)證效勞所需的如下職能部門：1平安策略管理審批電子認(rèn)證效勞機(jī)構(gòu)整體平

32、安策略、證書策略、電子認(rèn)證業(yè)務(wù)規(guī)那么等重要策略文檔，監(jiān)視平安制度、平安策略的執(zhí)行，對異常情況、平安事故以及其他特殊事件進(jìn)展處理。2平安管理制定并貫徹執(zhí)行公司的平安策略和平安制度。3運(yùn)營管理運(yùn)行、維護(hù)和管理認(rèn)證系統(tǒng)、密碼設(shè)備及物理環(huán)境、場地設(shè)施。4人事管理執(zhí)行可信雇員背景調(diào)查，并對可信雇員進(jìn)展管理。5認(rèn)證效勞審批和管理用戶證書。6技術(shù)效勞：提供技術(shù)咨詢和支持效勞。7.2 必須的崗位角色電子認(rèn)證效勞機(jī)構(gòu)應(yīng)設(shè)置如下必須的崗位角色：1平安策略管理組織負(fù)責(zé)人負(fù)責(zé)平安策略管理組織的管理工作。2平安管理人員包括平安經(jīng)理和負(fù)責(zé)網(wǎng)絡(luò)與系統(tǒng)平安管理、場地平安管理的專業(yè)人員。3密鑰管理員負(fù)責(zé)CA密鑰和證書管理，以及

33、核心區(qū)密碼設(shè)備管理。4系統(tǒng)維護(hù)員負(fù)責(zé)辦公系統(tǒng)和認(rèn)證系統(tǒng)的維護(hù)。5鑒別與驗(yàn)證員負(fù)責(zé)用戶證書的審批工作。6客戶檔案管理員：負(fù)責(zé)管理客戶資料檔案。7客戶效勞員為客戶提供技術(shù)咨詢與支持、和售后效勞。8審計(jì)員負(fù)責(zé)定期對系統(tǒng)運(yùn)營狀況、業(yè)務(wù)標(biāo)準(zhǔn)、平安制度執(zhí)行情況進(jìn)展檢查與審計(jì)。9人事經(jīng)理負(fù)責(zé)制定可信雇員政策，對關(guān)鍵崗位人員進(jìn)展管理。8 認(rèn)證業(yè)務(wù)管理8.1 業(yè)務(wù)標(biāo)準(zhǔn)和協(xié)議8.1.1 證書策略和認(rèn)證業(yè)務(wù)規(guī)那么電子認(rèn)證效勞機(jī)構(gòu)應(yīng)制定證書策略CP與電子認(rèn)證業(yè)務(wù)規(guī)那么CPS。證書策略要對電子認(rèn)證效勞機(jī)構(gòu)簽發(fā)的證書的類型、適用的環(huán)境、適用的應(yīng)用、認(rèn)證要求、平安保障要求等方面做出廣泛而全面的規(guī)定。電子認(rèn)證業(yè)務(wù)規(guī)那么須闡述

34、電子認(rèn)證效勞機(jī)構(gòu)如何貫徹實(shí)施其證書策略。認(rèn)證業(yè)務(wù)規(guī)那么的編寫應(yīng)符合?GB/T YYYYYYYY 信息技術(shù) 平安技術(shù) 公鑰根底設(shè)施 證書策略與認(rèn)證業(yè)務(wù)聲明框架?的要求。電子認(rèn)證效勞機(jī)構(gòu)應(yīng)對證書策略與電子認(rèn)證業(yè)務(wù)規(guī)那么進(jìn)展有效管理，設(shè)有負(fù)責(zé)撰寫、修改、審核、發(fā)布和管理的部門，并制定相應(yīng)管理流程。電子認(rèn)證效勞機(jī)構(gòu)應(yīng)根據(jù)其業(yè)務(wù)內(nèi)容的變化，及時(shí)修改、調(diào)整其證書策略與電子認(rèn)證業(yè)務(wù)規(guī)那么。證書策略與電子認(rèn)證業(yè)務(wù)規(guī)那么，以及其修改版本，須經(jīng)認(rèn)證機(jī)構(gòu)的平安策略管理組織批準(zhǔn)后才能公開發(fā)布。8.1.2 客戶協(xié)議提供公共效勞的電子認(rèn)證效勞機(jī)構(gòu)，應(yīng)對其提供的證書業(yè)務(wù)同客戶簽訂或通過某種方式向客戶明示相應(yīng)的法律協(xié)議，這些

35、協(xié)議對客戶和電子認(rèn)證效勞機(jī)構(gòu)所承當(dāng)?shù)呢?zé)任和義務(wù)以協(xié)議的形式給出明確的規(guī)定和說明。通常的法律協(xié)議有，訂戶協(xié)議、信賴方協(xié)議、效勞協(xié)議等。當(dāng)電子認(rèn)證效勞機(jī)構(gòu)以外的實(shí)體要作為電子認(rèn)證效勞機(jī)構(gòu)的一個(gè)RA注冊機(jī)構(gòu)提供認(rèn)證業(yè)務(wù)時(shí)，電子認(rèn)證效勞機(jī)構(gòu)與該實(shí)體須通過相應(yīng)的協(xié)議明確規(guī)定雙方，特別是作為RA的一方，應(yīng)該承當(dāng)?shù)呢?zé)任和義務(wù)，包括該證書擁有者證書用戶和信賴方應(yīng)承當(dāng)?shù)呢?zé)任和義務(wù)。8.2 用戶證書生命周期管理8.2.1 證書申請與審核電子認(rèn)證效勞機(jī)構(gòu)應(yīng)明確制定各類證書申請所需的信息和條件，如申請者姓名、域名、公司名、地址、聯(lián)系方式、機(jī)構(gòu)資質(zhì)證明、域名所有權(quán)證明等信息和材料。電子認(rèn)證效勞機(jī)構(gòu)應(yīng)根據(jù)認(rèn)證業(yè)務(wù)規(guī)那么，

36、制定嚴(yán)格的證書申請審核流程和標(biāo)準(zhǔn)，鑒別證書申請者提供的身份信息的真?zhèn)危?yàn)證證書申請者的身份，確認(rèn)是證書申請者所聲稱的人、機(jī)構(gòu)在申請證書。電子認(rèn)證效勞機(jī)構(gòu)在證書申請審核過程中，應(yīng)保存完整的審核記錄，以供日后審計(jì)、審查、責(zé)任追蹤和界定使用。8.2.2 證書簽發(fā)電子認(rèn)證效勞機(jī)構(gòu)必須在完成規(guī)定的證書申請審核后，才能簽發(fā)證書。證書簽發(fā)需有記錄。8.2.3 證書存儲與發(fā)布對于簽發(fā)的數(shù)字證書，電子認(rèn)證效勞機(jī)構(gòu)應(yīng)保存在專門的證書庫中，并對外公開發(fā)布，可供依賴方查詢、獲取。8.2.4 證書更新證書用戶在證書有效期到達(dá)前，可以申請更新證書，已過期或撤銷的證書不能更新。對證書用戶提交的證書更新請求，電子認(rèn)證效勞機(jī)構(gòu)

37、必須進(jìn)展審核，審核的方式包括手工和自動兩種方式。手工審核的過程、要求在平安保障性方面應(yīng)與證書申請等同。對于自動審核方式，證書更新請求必須用原證書私鑰簽名，認(rèn)證系統(tǒng)驗(yàn)證簽名的有效性并自動簽發(fā)更新證書。對于自動審核方式，電子認(rèn)證效勞機(jī)構(gòu)須確保能通過一定的方式控制哪些證書可自動更新，防止非授權(quán)的更新。8.2.5 證書撤銷電子認(rèn)證效勞機(jī)構(gòu)應(yīng)制定證書撤銷管理策略和流程。證書撤銷有三種發(fā)起方式：由證書用戶發(fā)起，由電子認(rèn)證效勞機(jī)構(gòu)，或者由依賴方發(fā)起。1) 用戶申請撤銷證書，電子認(rèn)證效勞機(jī)構(gòu)必須明確規(guī)定撤銷證書申請承受方式，如通過 、郵件、在線申請等，以及審核程序。2) 電子認(rèn)證效勞機(jī)構(gòu)如發(fā)現(xiàn)用戶證書申請資料

38、存在虛假情況、不能滿足證書簽發(fā)條件等，或者發(fā)生或疑心發(fā)生電子認(rèn)證效勞機(jī)構(gòu)根私鑰泄露、認(rèn)證系統(tǒng)存在平安隱患威脅用戶證書平安等，可以不經(jīng)過證書用戶本人同意，予以撤銷證書。3) 當(dāng)依賴方提出證書撤銷申請時(shí)，如證書僅用于依賴方的系統(tǒng)，可以不經(jīng)過證書用戶本人同意，予以撤銷證書。證書撤銷后，電子認(rèn)證效勞機(jī)構(gòu)必須在周期性簽發(fā)的CRL中，于最近的下次更新時(shí)間發(fā)布所撤銷證書，或簽發(fā)臨時(shí)CRL發(fā)布所撤銷證書；電子認(rèn)證效勞機(jī)構(gòu)如提供OCSP效勞，必須立即更新OCSP查詢數(shù)據(jù)庫，確保實(shí)時(shí)發(fā)布所撤銷證書。證書撤銷后，應(yīng)通過 、郵件、在線等方式，及時(shí)告知用戶或依賴方證書撤銷結(jié)果。電子認(rèn)證效勞機(jī)構(gòu)必須記錄所有證書撤銷請求和

39、相關(guān)操作結(jié)果。8.2.6 證書凍結(jié)電子認(rèn)證效勞機(jī)構(gòu)可根據(jù)具體業(yè)務(wù)需要，制定證書凍結(jié)策略和流程，包括凍結(jié)請求、條件、寬限期及凍結(jié)狀態(tài)的發(fā)布等。證書凍結(jié)有三種發(fā)起方式：由證書用戶發(fā)起，由電子認(rèn)證效勞機(jī)構(gòu)，或者由依賴方發(fā)起。1) 用戶申請凍結(jié)證書，電子認(rèn)證效勞機(jī)構(gòu)必須明確規(guī)定凍結(jié)證書申請承受方式，如通過 、郵件、在線申請等，以及審核程序。2) 電子認(rèn)證效勞機(jī)構(gòu)如發(fā)現(xiàn)用戶證書申請資料存在虛假情況、不能滿足證書簽發(fā)條件等，或者發(fā)生或疑心發(fā)生電子認(rèn)證效勞機(jī)構(gòu)根私鑰泄露、認(rèn)證系統(tǒng)存在平安隱患威脅用戶證書平安等，可以不經(jīng)過證書用戶本人同意，予以凍結(jié)證書。3) 當(dāng)依賴方提出證書凍結(jié)申請時(shí)，如證書僅用于依賴方的系

40、統(tǒng)，可以不經(jīng)過證書用戶本人同意，予以凍結(jié)證書。凍結(jié)的證書需在CRL中發(fā)布，當(dāng)被凍結(jié)證書失效后，將不再出現(xiàn)在CRL中。在證書有效期內(nèi)，對被凍結(jié)的證書有三種處理方式：1) 被凍結(jié)證書有效性無法驗(yàn)證，用戶和依賴方不能使用證書；2) 被凍結(jié)證書轉(zhuǎn)為正式撤銷；3) 被凍結(jié)證書解凍，從CRL中刪除，重新轉(zhuǎn)為有效證書。證書凍結(jié)后，電子認(rèn)證效勞機(jī)構(gòu)必須在周期性簽發(fā)的CRL中，于最近的下次更新時(shí)間發(fā)布所凍結(jié)證書，或簽發(fā)臨時(shí)CRL發(fā)布所凍結(jié)證書；電子認(rèn)證效勞機(jī)構(gòu)如提供OCSP效勞，必須立即更新OCSP查詢數(shù)據(jù)庫，確保實(shí)時(shí)發(fā)布所凍結(jié)證書。凍結(jié)的證書解凍后，電子認(rèn)證效勞機(jī)構(gòu)應(yīng)在周期性簽發(fā)的CRL中，于最近的下次CRL

41、更新中刪除凍結(jié)的證書，電子認(rèn)證效勞機(jī)構(gòu)如提供OCSP效勞，應(yīng)立即更新OCSP查詢數(shù)據(jù)庫，確保解凍的證書變?yōu)橛行АＷC書凍結(jié)和解凍后，應(yīng)通過 、郵件、在線等方式，及時(shí)告知用戶或依賴方凍結(jié)結(jié)果。電子認(rèn)證效勞機(jī)構(gòu)必須記錄所有證書凍結(jié)請求和相關(guān)操作結(jié)果。8.2.7 證書狀態(tài)查詢電子認(rèn)證效勞機(jī)構(gòu)應(yīng)能夠?yàn)橛脩艉鸵蕾嚪教峁┳C書狀態(tài)查詢效勞包括證書撤銷列表和/或在線證書狀態(tài)查詢，并在CP和CPS中發(fā)布證書狀態(tài)查詢效勞策略；在相關(guān)協(xié)議中，應(yīng)明確提示證書用戶和依賴方，使用證書時(shí)必須使用證書狀態(tài)查詢效勞。1) CRL查詢電子認(rèn)證效勞機(jī)構(gòu)必須能夠提供證書撤銷列表CRL查詢效勞，CRL發(fā)布必須符合標(biāo)準(zhǔn)；必須明確規(guī)定CRL

42、發(fā)布周期和發(fā)布時(shí)間，宜每天簽發(fā)CRL；根據(jù)證書策略或當(dāng)發(fā)生嚴(yán)重私鑰泄露情況時(shí)，電子認(rèn)證效勞機(jī)構(gòu)應(yīng)簽發(fā)臨時(shí)CRL；根據(jù)證書策略和依賴方協(xié)議，用戶和依賴方應(yīng)及時(shí)檢查、下載臨時(shí)CRL。在證書有效期內(nèi)的，被撤銷證書必須一直保存在CRL中直至證書過期失效，被凍結(jié)證書，在凍結(jié)期內(nèi)必須保存在CRL中直至解凍。當(dāng)被撤銷和被凍結(jié)證書過期時(shí)，應(yīng)從CRL中刪除。電子認(rèn)證效勞機(jī)構(gòu)發(fā)布的所有CRL必須定期歸檔保存，在證書失效后至少保存五年。2) OCSP查詢電子認(rèn)證效勞機(jī)構(gòu)必須能夠提供在線證書狀態(tài)查詢OCSP效勞，查詢數(shù)據(jù)格式和響應(yīng)查詢結(jié)果必須符合國家有關(guān)標(biāo)準(zhǔn)；必須保證查詢效勞響應(yīng)速度和并發(fā)查詢性能滿足效勞要求；必須保

43、證查詢結(jié)果的實(shí)時(shí)性和準(zhǔn)確性。8.2.8 證書歸檔電子認(rèn)證效勞機(jī)構(gòu)應(yīng)制定證書歸檔策略，定期對過期失效以及被撤銷的證書進(jìn)展歸檔。在證書失效至少5年后，方可銷毀歸檔數(shù)據(jù)。8.3 用戶證書密鑰管理電子認(rèn)證效勞機(jī)構(gòu)必須說明所提供的證書類型及密鑰對產(chǎn)生的方式，并告知證書用戶和依賴方認(rèn)證機(jī)構(gòu)是否保存有用戶證書私鑰的備份。8.3.1 用戶證書密鑰產(chǎn)生、傳遞和存儲。通常情況下，用戶的簽名證書的密鑰對由用戶自己在其密碼設(shè)備中生成，并由用戶控制。但在某些特定的安排下，允許電子認(rèn)證效勞機(jī)構(gòu)代用戶在其密碼設(shè)備中生成簽名證書密鑰對。假設(shè)簽名證書的密鑰對由電子認(rèn)證效勞機(jī)構(gòu)代用戶在其密碼設(shè)備中生成，那么電子認(rèn)證效勞機(jī)構(gòu)必須通

44、過平安途經(jīng)將保存有簽名證書私鑰的密碼設(shè)備傳遞給用戶，確保證書私鑰在傳遞過程中不被盜用、損壞或泄漏，并對傳遞過程進(jìn)展跟蹤和記錄。無論何種情況，電子認(rèn)證效勞機(jī)構(gòu)不得擁有用戶簽名私鑰的備份。用戶加密證書密鑰對可由用戶自己產(chǎn)生，或者由電子認(rèn)證效勞機(jī)構(gòu)通過密鑰管理中心集中生成，并通過平安的途徑傳送給用戶。假設(shè)加密證書密鑰對由電子認(rèn)證效勞機(jī)構(gòu)通過密鑰管理中心集中生成，那么加密證書私鑰在傳送到用戶的過程中，不能以明文形式出現(xiàn)。當(dāng)電子認(rèn)證效勞機(jī)構(gòu)通過密鑰管理中心為用戶生成加密證書密鑰對時(shí)，電子認(rèn)證效勞機(jī)構(gòu)可將加密證書私鑰加密保存在密鑰庫中，以便在必要的時(shí)候恢復(fù)用戶加密證書私鑰。8.3.2 用戶證書私鑰激活數(shù)據(jù)

45、產(chǎn)生、傳遞和存儲通常情況下，用戶證書密鑰對及其私鑰激活數(shù)據(jù)由用戶自己產(chǎn)生和保存，但在某些特定的安排下，用戶證書密鑰對及其私鑰激活數(shù)據(jù)可由電子認(rèn)證效勞機(jī)構(gòu)代用戶在其密碼設(shè)備中產(chǎn)生。在后者的情況下，電子認(rèn)證效勞機(jī)構(gòu)代用戶產(chǎn)生的私鑰激活數(shù)據(jù)必須有足夠的平安強(qiáng)度并通過一定的平安方式傳送給用戶，確保激活數(shù)據(jù)在傳遞過程中不被泄漏，并對傳遞過程進(jìn)展跟蹤和記錄。8.3.3 用戶證書私鑰恢復(fù)電子認(rèn)證機(jī)構(gòu)不得保存用戶簽名證書的私鑰備份。電子認(rèn)證機(jī)構(gòu)保存有用戶加密證書的私鑰備份，那么只能應(yīng)用戶自己要求或司法恢復(fù)需要的目的，電子認(rèn)證效勞機(jī)構(gòu)才能對用戶加密證書的私鑰進(jìn)展恢復(fù)。電子認(rèn)證效勞機(jī)構(gòu)須制定嚴(yán)格的用戶證書私鑰恢復(fù)

46、的管理規(guī)定和流程，私鑰恢復(fù)必需有多人參與才能完成，且對操作過程及結(jié)果需進(jìn)展記錄。8.3.4 用戶證書密鑰對更新用戶在進(jìn)展證書更新時(shí)應(yīng)同時(shí)更新證書的密鑰對。假設(shè)出于特別的原因和安排，允許用戶在進(jìn)展證書更新時(shí)不更新證書的密鑰對，那么，電子認(rèn)證效勞機(jī)構(gòu)須確保這種方式是平安的，且必須為不更新的密鑰對規(guī)定一個(gè)適合的、平安的最大期限，在這個(gè)期限后，該密鑰不能再使用。8.3.5 用戶證書私鑰歸檔和銷毀電子認(rèn)證效勞機(jī)構(gòu)不得擁有用戶簽名證書私鑰，用戶證書簽名證書的私鑰，由用戶自己根據(jù)需要進(jìn)展管理和銷毀。用戶加密證書的密鑰對由電子認(rèn)證效勞機(jī)構(gòu)的密鑰管理中心產(chǎn)生，在用戶密鑰對、證書失效后，電子認(rèn)證效勞機(jī)構(gòu)應(yīng)以加密的

47、方式歸檔保存；所有歸檔密鑰對，在證書失效至少五年保存期后，應(yīng)以可靠方式徹底銷毀。電子認(rèn)證效勞機(jī)構(gòu)在對用戶證書私鑰進(jìn)展歸檔、銷毀時(shí)，必須保證被歸檔、銷毀的私鑰的平安，確保私鑰不會被泄漏。8.4 CA密鑰和證書管理電子認(rèn)證效勞機(jī)構(gòu)應(yīng)建立CA密鑰管理策略、申報(bào)和審批流程制度，對涉及CA密鑰的所有關(guān)鍵操作包括初始化、生成、保存、發(fā)布、使用、備份、恢復(fù)、更新、歸檔、銷毀等，必須經(jīng)審批后才能執(zhí)行，并應(yīng)做好完整記錄。8.4.1 CA密鑰生成和存儲電子認(rèn)證效勞機(jī)構(gòu)CA密鑰含根密鑰必須使用符合國家標(biāo)準(zhǔn)的密碼硬件設(shè)備生成，并在其中存儲。電子認(rèn)證效勞機(jī)構(gòu)必須制定認(rèn)證系統(tǒng)CA密鑰的生成流程、操作等文檔，在平安的環(huán)境包

48、括物理環(huán)境平安、流程平安以及參與的人員平安控制等中操作。操作過程中應(yīng)有操作員、見證人、CA私鑰激活數(shù)據(jù)秘密份額保管員同時(shí)在場，并應(yīng)對CA密鑰的生成操作過程錄像或拍照。在CA密鑰生成整個(gè)過程中，所有關(guān)鍵步驟都要進(jìn)展記錄，以備審計(jì)。離線CA私鑰必須保存在核心區(qū)；存放在線CA私鑰的密碼設(shè)備必須位于屏蔽區(qū)。8.4.2 CA私鑰激活數(shù)據(jù)管理電子認(rèn)證效勞機(jī)構(gòu)應(yīng)平安生成、保管及分發(fā)CA私鑰激活數(shù)據(jù)。CA私鑰激活數(shù)據(jù)必須經(jīng)過分割，生成秘密分割秘密份額，由不同的人持有。在激活CA私鑰時(shí)，須超過一定數(shù)量的秘密份額保管員輸入各自的秘密份額才能復(fù)原私鑰激活數(shù)據(jù)，激活CA私鑰。8.4.3 CA密鑰使用應(yīng)建立管理制度對C

49、A密鑰及其激活數(shù)據(jù)秘密分割秘密份額的使用權(quán)限進(jìn)展嚴(yán)格控制，每次使用應(yīng)有書面記錄，記錄應(yīng)包括每次使用時(shí)間、使用的用途及操作人員等內(nèi)容。8.4.4 CA密鑰備份與恢復(fù)為了防止產(chǎn)生的CA密鑰對出現(xiàn)硬件損壞而無法繼續(xù)使用，在生成之后，應(yīng)進(jìn)展克隆備份操作，并在必要時(shí)進(jìn)展恢復(fù)。1) CA密鑰備份電子認(rèn)證效勞機(jī)構(gòu)應(yīng)制定CA密鑰備份策略，對CA密鑰進(jìn)展備份。備份必須使用秘密分擔(dān)和加密存儲機(jī)制，確保CA私鑰不會以明文形式出現(xiàn)在密碼硬件之外。被分擔(dān)分割的秘密可以是CA私鑰備份恢復(fù)數(shù)據(jù)如口令或CA私鑰本身，秘密分擔(dān)采用公開的m of n算法m60%*n，各秘密份額保存在不同的IC卡或智能密碼鑰匙中。加密存儲的密鑰備

50、份的保管員與秘密份額保管員不能由同一人兼任。密鑰備份必須妥善保存在核心區(qū)內(nèi)，并實(shí)行雙人訪問控制存取。可保存于具有防火、防熱、防潮、防塵、防磁、防靜電功能的保險(xiǎn)柜中。保險(xiǎn)柜應(yīng)能保證在1000火災(zāi)現(xiàn)場，紙張防火柜內(nèi)溫度保持180、磁盤防火柜內(nèi)溫度保持52不少于1小時(shí)。2) CA密鑰恢復(fù)當(dāng)需要進(jìn)展CA密鑰恢復(fù)時(shí)，應(yīng)有操作員、見證人、私鑰恢復(fù)秘密份額保管員同時(shí)在場，由滿足恢復(fù)要求的數(shù)量的秘密份額保管員輸入激活數(shù)據(jù)，按照一定的算法進(jìn)展合成并恢復(fù)CA密鑰到密碼設(shè)備中。應(yīng)將恢復(fù)操作全程進(jìn)展記錄。8.4.5 CA密鑰銷毀電子認(rèn)證效勞機(jī)構(gòu)必須制定徹底去除或銷毀存儲CA私鑰密碼設(shè)備的操作流程和方法，對因退出產(chǎn)品系

51、統(tǒng)、超過歸檔期限、或其它原因需要銷毀的CA密鑰對進(jìn)展平安銷毀，即銷毀或歸零存放私鑰的密碼硬件載體智能卡或智能密碼設(shè)備。8.4.6 CA證書的創(chuàng)立和發(fā)布CA證書的創(chuàng)立，應(yīng)事先進(jìn)展審批，過程中做好記錄，并在創(chuàng)立后適時(shí)發(fā)布，以保證用戶和依賴方能可靠、及時(shí)地獲取。8.4.7 CA證書更新電子認(rèn)證效勞機(jī)構(gòu)的CA證書可能會因?yàn)槿缦略蜻M(jìn)展重新簽發(fā)，稱之為“CA證書更新：延長有效期；更換密鑰對；改變證書的其它信息如甄別名、簽名算法、擴(kuò)展項(xiàng)等。CA證書更新時(shí)，應(yīng)采取與生成初始證書一樣的流程和方法。對于更換密鑰對的證書更新，那么應(yīng)采取與生成CA密鑰一樣的流程和方法。8.4.8 CA證書撤消CA證書可能會被撤消的

52、原因包括：不再使用；私鑰損壞；私鑰泄漏或疑心泄漏；被認(rèn)為需要撤消的其它原因。CA證書的撤消操作，應(yīng)如創(chuàng)立操作一樣，事先進(jìn)展審批，并做好撤消操作的記錄，在被撤消后，相關(guān)信息被納入到CA的CRLCA證書撤消列表，即ARL，并及時(shí)發(fā)布。8.4.9 CA密鑰和證書歸檔1) CA證書失效后，必須將失效的CA密鑰及CA證書歸檔并妥善保存。在證書失效至少5年后，方可銷毀歸檔的CA密鑰；2) 歸檔數(shù)據(jù)和操作宜作簽名。8.5 客戶隱私保護(hù)作為可信第三方的電子認(rèn)證效勞機(jī)構(gòu)會獲得用戶的各種信息，電子認(rèn)證效勞機(jī)構(gòu)應(yīng)制定嚴(yán)格的客戶信息保密政策和制度，確定哪些客戶信息是保密的，哪些客戶信息是可公開的，對于需要公開的信息應(yīng)

53、該讓客戶事先知曉。無論電子認(rèn)證效勞機(jī)構(gòu)還是其員工，都不能在未經(jīng)客戶許可的情況下向其他機(jī)構(gòu)或個(gè)人透露客戶信息。如因某種原因確實(shí)需要公開或向其他機(jī)構(gòu)提供客戶的信息，那么事先應(yīng)讓客戶知曉并獲得客戶同意。為了配合國家的行政和執(zhí)法的需要，電子認(rèn)證效勞機(jī)構(gòu)有可能需要在客戶不知曉的情況下向國家有關(guān)行政、執(zhí)法機(jī)構(gòu)提供客戶的涉密信息，對此，電子認(rèn)證效勞機(jī)構(gòu)應(yīng)事先向客戶說明電子認(rèn)證效勞機(jī)構(gòu)有責(zé)任和義務(wù)提供這種協(xié)助。8.6 RA管理8.6.1 RA設(shè)置管理電子認(rèn)證效勞機(jī)構(gòu)可在電子認(rèn)證效勞機(jī)構(gòu)運(yùn)營場地之外直接設(shè)置RA注冊機(jī)構(gòu)，或者授權(quán)其他機(jī)構(gòu)作為RA注冊機(jī)構(gòu)承當(dāng)RA的職能。承當(dāng)RA職能的RA注冊機(jī)構(gòu)必須有專門的運(yùn)營場

54、地，假設(shè)RA注冊機(jī)構(gòu)建有RA系統(tǒng)，那么RA注冊機(jī)構(gòu)須有專門的機(jī)房放置、運(yùn)行系統(tǒng)。RA注冊機(jī)構(gòu)運(yùn)營場地的不同功能區(qū)必須進(jìn)展平安分割，運(yùn)營場地必須有門禁、入侵檢測等平安防護(hù)系統(tǒng)，能有效防止、及時(shí)發(fā)現(xiàn)對運(yùn)營場地的非授權(quán)進(jìn)入。假設(shè)RA注冊機(jī)構(gòu)建有RA系統(tǒng)，那么RA系統(tǒng)應(yīng)采用同CA認(rèn)證系統(tǒng)等同的平安防護(hù)措施。RA注冊機(jī)構(gòu)必須有人員分別承當(dāng)認(rèn)證效勞、系統(tǒng)運(yùn)行維護(hù)和平安管理的職能。對于授權(quán)承當(dāng)RA職能的機(jī)構(gòu)，電子認(rèn)證效勞機(jī)構(gòu)應(yīng)與其簽訂相應(yīng)的協(xié)議，明確雙方的權(quán)利、義務(wù)和責(zé)任。8.6.2 RA業(yè)務(wù)管理RA注冊機(jī)構(gòu)應(yīng)制定與認(rèn)證效勞機(jī)構(gòu)一致的平安策略及運(yùn)營管理標(biāo)準(zhǔn)，如認(rèn)證效勞流程與標(biāo)準(zhǔn)、系統(tǒng)運(yùn)行維護(hù)流程與標(biāo)準(zhǔn)、人員

55、管理標(biāo)準(zhǔn)等。相關(guān)平安策略及運(yùn)營管理標(biāo)準(zhǔn)需經(jīng)過認(rèn)證效勞機(jī)構(gòu)的平安策略管理組織批準(zhǔn)才能實(shí)施。電子認(rèn)證效勞機(jī)構(gòu)應(yīng)對RA注冊機(jī)構(gòu)的認(rèn)證業(yè)務(wù)活動進(jìn)展監(jiān)控，檢查其是否嚴(yán)格按照相關(guān)的平安策略及運(yùn)營管理標(biāo)準(zhǔn)開展業(yè)務(wù)活動。假設(shè)發(fā)現(xiàn)違反策略、標(biāo)準(zhǔn)的情況，應(yīng)及時(shí)通知RA注冊機(jī)構(gòu)限期改正；假設(shè)超期不改，那么認(rèn)證效勞機(jī)構(gòu)應(yīng)立即暫停甚至中止RA注冊機(jī)構(gòu)的業(yè)務(wù)，并及時(shí)通知相關(guān)的用戶。9 平安管理9.1 平安策略與規(guī)劃認(rèn)證機(jī)構(gòu)的運(yùn)營管理者應(yīng)該分析認(rèn)證系統(tǒng)、場地設(shè)施、內(nèi)部信息系統(tǒng)、運(yùn)營管理等方面存在的平安風(fēng)險(xiǎn)，明確平安需求，制定相應(yīng)的平安策略。平安策略應(yīng)針對平安風(fēng)險(xiǎn)提出相應(yīng)的平安規(guī)那么和對策。平安策略應(yīng)包括信息平安的明確定義、

56、覆蓋的整體目標(biāo)和作用范圍。認(rèn)證機(jī)構(gòu)的運(yùn)營管理者應(yīng)根據(jù)平安策略制定相應(yīng)的平安技術(shù)與管理實(shí)施方案。9.2 平安組織電子認(rèn)證效勞機(jī)構(gòu)應(yīng)設(shè)立平安策略管理組織，如平安策略管理委員會，負(fù)責(zé)平安策略的審批、平安責(zé)任的落實(shí)，協(xié)調(diào)平安策略的實(shí)施，審查和監(jiān)控平安事故的處理活動。電子認(rèn)證效勞機(jī)構(gòu)應(yīng)設(shè)立貫徹平安策略、執(zhí)行平安制度的平安管理部門，設(shè)置平安經(jīng)理、網(wǎng)絡(luò)與系統(tǒng)平安管理人員、場地與設(shè)施平安管理人員、及審計(jì)員等平安管理崗位，建立覆蓋企業(yè)內(nèi)部和外部業(yè)務(wù)活動的信息平安組織架構(gòu)。9.3 場地訪問平安管理電子認(rèn)證效勞機(jī)構(gòu)應(yīng)制定物理場地授權(quán)與訪問規(guī)定，合理控制物理場地權(quán)限，保障場地平安。內(nèi)部人員因工作需要，可被賦予訪問相應(yīng)物理場地的權(quán)限。沒有訪問物理場地某區(qū)域權(quán)限而確因工作需要訪問該場地區(qū)域的內(nèi)部人員，在訪問該區(qū)域時(shí)，必