电子认证服务机构运营管理规范国标.docx
《电子认证服务机构运营管理规范国标.docx》由会员分享,可在线阅读,更多相关《电子认证服务机构运营管理规范国标.docx(44页珍藏版)》请在冰豆网上搜索。
电子认证服务机构运营管理规范国标
电子认证服务机构运营管理规范(国标)
电子认证服务机构运营管理规范
(国标)
2010年8月
目 次
电子认证服务机构运营管理规范
1 范围
本标准规定了电子认证服务机构在运营管理方面的规范性要求。
本标准适用于在开放的互联网环境中提供数字证书服务的电子认证服务机构,对于在封闭环境中(如在特定团体或某个行业内)运行的电子认证服务机构可根据自身安全风险评估以及国家有关的法律法规有选择性地参考本标准。
国家有关的测评机构、监管部门也可以将本标准作为测评和监管的依据。
电子认证服务机构的行政管理应遵从《中华人民共和国电子签名法》等相关法律法规和管理部门的规定。
本标准所涉及的密码管理部分,按照国家密码管理机构的相关规定执行。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是未标注日期的引用文件,其最新版本适用于本标准。
GB6650计算机机房用活动地板技术条件
GB50045高层民用建筑设计防火规范
GB50174电子信息系统机房设计规范
GB/T2887计算站场地技术条件
GB/T9361计算站场地安全要求
GB/T—2005信息技术开放系统互联目录第8部分:
公钥和属性证书框架
GB/T19713—2005信息技术安全技术公钥基础设施在线证书状态协议
GB/T19716—2005信息技术信息安全管理实用规则
GB/TAAAA—AAAA证书认证系统密码及其相关安全技术规范
GB/TAAAA—AAAA信息技术安全技术公钥基础设施数字证书格式
GB/TYYYY—YYYY信息技术安全技术公钥基础设施证书策略与认证业务声明框架
IETFRFC1777LightweightDirectoryAccessProtocol
IETFRFC2560InternetPublicKeyInfrastructureOnlineCertificateStatusProtocol-OCSP
IETFRFC2587InternetPublicKeyInfrastructureLDAPv2Schema
3 术语和定义
下列术语和定义适用于本标准。
3.1
3.2 电子认证服务机构certificationauthority
一个被终端实体所信任的签发公钥证书的证书认证实体,它是一个可信的权威机构,获得授权面向社会公众提供第三方电子认证服务的数字证书认证中心(简称CA、CA中心、CA机构、电子认证服务机构)。
3.3
3.4 证书策略certificatepolicy
是一个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适用性。
3.5
3.6 电子认证业务规则certificationpracticestatement
关于电子认证服务机构在签发、管理、撤销或更新证书(或更新证书中的密钥)时的业务实施声明。
3.7
3.8 证书撤销列表certificaterevocationlist
一个经电子认证服务机构数字签名的列表,它标出了一系列证书颁发者认为无效的证书。
3.9
3.10 自主访问控制discretionaryaccesscontrol
由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。
有访问权限的主体能按授权方式对指定客体实施访问,并能根据授权,对访问权限进行转移。
3.11
3.12 数字证书digitalcertificate
经权威的、可信赖的、公正的第三方机构(即电子认证服务机构,CA),数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
3.13
3.14 公钥基础设施publickeyinfrastructure
支持公开密钥体制的安全基础设施,提供身份鉴别、信息加密、数据完整性和交易抗抵赖。
3.15
3.16 注册机构registrationauthority
具有下列一项或多项功能的实体:
识别和鉴别证书申请者,同意或拒绝证书申请,在某些环境下主动撤销或挂起证书,处理订户撤销或挂起其证书的请求,同意或拒绝订户更新其证书或密钥的请求。
通常将注册机构简称为RA,或RA机构。
3.17
3.18 秘密分担secretsharing
秘密分担指将一个秘密在一组参入者间进行分发的方法,其中每个参入者被分配了该秘密经分割后的一份,称为秘密份额或秘密分割。
只有足够数量的秘密份额才能恢复原秘密,单个的秘密份额本身是没有的。
在本标准中,被分担的秘密可能是CA私钥激活数据、CA私钥备份恢复数据或CA私钥。
4 缩略语
下列缩略语适用于本标准:
CA电子认证服务机构
CP证书策略
CPS电子认证业务规则
CRL证书注销列表
IETF互联网工程任务组
LDAP轻量目录访问协议
OCSP在线证书状态查询协议
PKI公钥基础设施
RA证书注册机构
5 运营系统
5.1 认证系统
电子认证服务机构使用的认证系统(包括证书认证系统和密钥管理系统)应该遵循《GB/TAAAA—AAAA证书认证系统密码及其相关安全技术规范》。
5.2 运营网络
电子认证服务机构及其注册机构的认证系统运行网络,须采用独立的接入链路与公共网络连接,并与办公网络隔离,网段划分应符合《GB/TAAAA—AAAA证书认证系统密码及其相关安全技术规范》的要求。
电子认证服务机构认证系统运行网络应尽可能采用多路冗余链路接入公共网络,且多路接入链路来自不同的独立网络通信提供商。
5.3 密码设备
电子认证服务机构及其注册机构所使用的密码设备,必须是通过国家密码主管部门审查、具备销售资质的设备。
5.4 系统安全
电子认证服务机构应依据所制定的安全策略,在认证系统的实体身份标识与鉴别、访问控制与权限分割、信息与数据安全、网络系统安全、主机系统安全等方面采取相应安全措施。
5.4.1 身份标识与鉴别
认证系统必须对如下实体进行身份标识和鉴别:
1)对外的服务器(模块);
2)内部服务器(模块);
3)密码设备(模块);
4)证书管理员;
5)数据库管理员;
6)主机系统帐户。
采用的身份标识和鉴别技术应该与相应的安全需求一致。
若采用用户名/口令方式进行身份标识和鉴别,则在安全需求较高时,必须对口令的长度、内容和更换频度做出相应的规定。
对外服务器(模块)、证书管理员的身份标识和鉴别应该采用数字证书;证书管理员身份标识证书的私钥应该存放在安全硬件介质中,如USBKey、智能卡,并保证私钥的安全。
5.4.2 访问控制与权限分割
认证系统应该基于对实体的身份鉴别实现访问控制,而且,对证书、密钥管理中的关键操作必须进行权限分割。
5.4.3 信息与数据安全
对于CA系统与外部用户、系统间的通信,CA系统内服务器、模块之间的通信,必须保证通信数据的保密性、完整性及数据收、发方的身份真实性。
5.4.4 网络系统安全
1)网络安全
a)为了保护网络免受网络攻击的威胁,应部署安全网关设备,将认证系统网络与其他网络进行物理隔离,并将认证系统网络按照技术规范要求划分为不同的网段。
安全网关设置应只允许必需的访问,设定允许访问的主体(主机、端口)和对应的访问对象(主机、端口)以及连接方向,其他访问禁止;安全网关应有充分的日志和审计功能。
b)应对网络中的实体设备进行网络漏洞扫描,根据检测结果及时发现存在的不安全网络协议、网络服务,将不需要的网络协议、网络服务关闭,对于因业务需要而开启的不安全网络协议、网络服务应采取相应措施,需要用更安全的网络协议、网络服务替换。
c)应在关键网段安装入侵检测系统,能够及时检测到并报告常见的入侵模式,能够且应该及时更新入侵模式知识库,有完善的日志与审计功能。
d)实施网络服务安全配置与加固,只开启必需的网络服务,关闭所有其他的网络服务;对开启了的网络服务进行优化配置,定期打补丁。
e)采取其他必要的安全措施,以保障运营网络的安全。
2)网络设备安全
对于网络设备应该从如下几个方面保证安全:
a)采用通过安全检测、安全认证的网络设备,包括路由器、各类安全网关、交换机等。
b)若网络设备帐户使用用户名/口令方式进行身份鉴别,则口令应具有足够的安全强度。
c)有完备的审计日志。
5.4.5 主机系统安全
1)认证系统的主机应从如下几个方面确保主机系统自身安全:
a)采用可靠的操作系统。
b)实现自主访问控制。
c)通过主机漏洞扫描系统发现系统存在的安全漏洞,如口令设置、文件权限、帐户管理、用户组管理、系统配置,并采取相应措施,包括进行系统安全优化。
d)及时对系统安全漏洞打补丁。
e)采取防病毒措施。
f)采用其它系统安全加固技术。
2)认证系统的主机应该从如下几个方面确保主机系统管理安全:
a)只创建、开启必需帐户,关闭不需要的缺省帐户;
b)帐户口令具有足够的安全强度;
c)确保只有授权用户、进程和应用才能访问相应的资源。
5.5 系统冗余与备份
5.5.1 系统冗余
应采用设备冷/热备份、单机逻辑备份、双机备份等,对于生产系统的重要设备进行备份/冗余设置和容错设计。
应采用冗余技术、路由选择技术、路由备份技术等,实现网络备份与冗余。
1)网络链路冗余
CA系统的网络对外应采用双路接入,并且两路网络接入来自不同的网络设施运营商(仅仅是服务提供商还不行),一路网络接入作为主服务线路,另一路接入作为备用线路,当主服务线路出现故障时能够迅速切换到备用线路。
2)主机冗余
CA系统对关键业务、功能的主机必须采用双机热备措施。
对非关键业务、功能的设备,应该至少采用硬盘冷备份的方式进行系统备份。
3)电源冗余与后备发电
对电子认证服务机构的电源有如下要求:
a)放置有CA系统的数据中心应该采用双路供电系统,必须至少保证从建筑外至数据中心内具有两条供电线路;
b)必须为认证系统及安全设备提供不间断电源(UPS),且不间断电源设备(UPS)应该具有冗余,不间断电源提供的电力必须足够支持通常的断电时间;
c)有条件的电子认证服务机构应配置备用发电机,当出现停电且不间断电源不能提供持续的电力时,能够提供电力。
5.5.2 系统备份
电子认证服务机构应采用完全备份与增量备份相结合的方式对生产系统数据和信息进行备份。
应制定备份数据收集、保管、押运、恢复管理策略,确保备份数据的安全,防止泄露和XX使用。
备份数据宜实行同城异地保管,如租用银行保管箱保存数据备份。
应定期检查备份系统和设备的可靠性和可用性,定期检查备份介质可靠性和数据完整性。
应根据设备的重要程度、故障率、供应难度、库存数据量、设备金额等因素,综合评估运营风险,确定并建立关键设备和系统备份管理办法。
应对关键设备做备份或采取有效办法保证供应的及时性(如与供应商签订应急维修或紧急供货合同)。
1)软件与数据备份
软件与数据备份包括如下内容:
a)主机操作系统;
b)系统应用软件,如邮件系统、Web服务程序、数据库系统等;
c)认证系统软件;
d)系统上的客户化定制数据;
e)系统配置;
f)数据库用户数据。
对软件与数据备份有要求如下:
a)必须采用专门的备份系统对整个CA系统进行备份,备份数据可以保存在磁带、硬盘或其他介质上;
b)备份策略采用全备份与增量备份相结合;
c)备份策略应该保证没有数据丢失或数据丢失不会造成实质性的影响;
d)在系统出现故障、灾难时,备份方案能够在最短的时间内从备份数据中恢复出原系统及数据;
e)选择的备份介质应能保证数据的长期可靠,否则应定期更新;
f)备份数据应存放在电子认证服务机构以外安全的地方,比如银行保险柜、灾难恢复中心。
2)硬件设备备份
电子认证服务机构硬件设备必须具有冗余、备份,在系统设备出现故障、损坏时能够及时更换设备。
6 运营场地与设施
6.1 运营场地
电子认证服务机构及其注册机构提供电子认证服务必须有固定和适宜的经营场所和机房场地(数据中心)。
电子认证服务机构的场地环境建设应符合以下标准:
1)计算机机房(数据中心)的安全建设必须符合GB/T9361;
2)活动地板应该具有稳定的抗静电性能和承载能力,同时要耐油、耐腐蚀、柔光、不起尘等,具体要符合GB6650的要求;
3)计算机系统的供电电源技术指标、相对湿度控制、接地系统设置等应按GB/T2887中的规定执行;
4)电子计算机机房的耐火等级应符合GB50045及GB/T9361的规定;
5)计算机机房设计应符合GB50174的规定。
6.2 运营区域划分及要求
6.2.1 基本要求
电子认证服务机构机房场所为安全控制区域,必须在机房场所的周边,建立明确和清晰的安全边界(设置标志、物理障碍、门禁管理系统等),进行物理保护;安全边界应完善和完整,能及时发现任何入侵企图;安全边界应设置向外开启的消防通道防火门,并应能快速关闭;消防门应有防误开启标识和报警装置,开启时应能以声、光或电的方式向安全监控中心报警。
安全区域应使用合格门锁,门应坚固,保证关闭安全;应使用合适的门禁系统和辅助设备,如加装闭门器、门位置状态检测器和门开启报警器等;采取必要措施,在各个区域防止尾随进入。
安全区域物理环境的任何变更,如设备或系统的新增、撤消、部署调整等,必须事先完成风险评估和安全分析,形成正式文档向认证机构的安全策略管理组织申报,经审核批准后,方可实施。
同时应做好完整的过程记录。
6.2.2 区域划分
CA机房场地根据业务功能分为公共区、服务区、管理区、核心区、屏蔽区,各功能区域对应的安全级别为控制区、限制区、敏感区、机密区、高度敏感区,安全等级和要求逐级提高。
安全等级要求越高,安全防护措施和配套设施要求越严格。
宜使用层级式安全区域防护,进行安全区域隔离和物理保护。
层级式安全区域防护是指,将安全区域按照安全等级的重要程度,由外向内安全级别逐步提高,且只有经由低级别的区域方能进入更高级别安全区域。
不宜划分层级式安全区域的机房场所,应按照安全等级功能等同的原则保护各安全区域。
1)公共区(控制区)
电子认证服务机构场地的入口处、办公区域、辅助和支持区域属于公共区,应采用访问控制措施,可以使用身份标识门禁卡控制出入。
2)服务区(限制区)
服务区是提供证书审批、证书管理等电子认证服务的区域,必须使用身份标识门禁卡控制出入。
3)管理区(敏感区)
该区域是电子认证系统运营管理区域,系统监控室、场地安全监控中心、配电室等均属于该区域。
此区域必须使用身份标识门禁卡或人体特征鉴别控制出入。
4)核心区(机密区)
证书认证系统、密钥管理系统、离线私钥和私钥激活数据存放房间属于核心区。
核心区必须使用身份标识门禁卡和人体特征鉴别身份,控制出入,且在核心区内必须采取职责分离与权限分割的方案和措施,使得单个人员在核心区内无法完成敏感操作。
5)屏蔽区(高度敏感区)
屏蔽区位于核心区的数据中心内,放置有使用在线CA私钥签发数字证书的密码设备。
屏蔽区必须有安全的出入控制,且在屏蔽区内必须采取职责分离与权限分割的方案和措施,使得单个人员在屏蔽区内无法完成敏感操作。
屏蔽区的屏蔽效果至少应符合GB9361要求。
6.3 安全监控系统
宜设置专门用途的安全监控中心,对机房建筑整个区域发生的出入访问进行实时监控。
6.3.1 门禁
认证机构机房区域必须采用适宜的门禁管理系统进行物理场地访问控制管理。
门禁系统应能支持以电子身份识别卡、生物特征、PKI/CA技术等单独和/或以组合形式的方式鉴别身份;应能控制认证机构整个运营场地的所有出入口;应能识别、区分正确进出方式,如未刷卡进入,则不能刷卡离开;应能与安全侦测布防系统结合,对各个区域进行安全布防,侦测到异常活动时,应具备报警功能(如声光报警、短信/电话报警、门禁联动锁止等);门禁系统应有备用电源,能保证不间断进行访问控制;系统应有完善的事件纪录和审计控制;门禁系统控制中心应位于安全监控中心或相同安全等级的区域内。
在发生紧急情况(如电力故障、消防报警)时,所有消防疏散通道受控门应处于开启状态,重要区域如核心机房、资料室等区域应处于外部关闭、内部可手工开启的状态;前述重要区域应有应急开启装置,且当应急开启装置开启时,必须以声、光、电的方式发出报警信号,同时系统应显示报警区域并记录应急情况发生详细信息。
应定期将门禁记录整理归档,并保存合理时间。
6.3.2 入侵检测
在机房场所建筑区域内应安装入侵检测报警系统,进行安全布防。
安全区域窗户上应安装玻璃破碎报警器,建筑内天花板上应安装活动侦测器,发生非法入侵应立即报警。
入侵检测系统应有应急备用电源提供电力支持,保证在出现外部供电中断时系统能够不间断的运行。
6.3.3 监控录像
必须设置合适的监控点,采用录像集中监控对整个机房的活动区域进行24小时不间断的监控。
录像记录可以采用两种方式,一种为不间断录像;另一种为采用活动侦测系统与录像相结合的方式,不间断监控,间断(活动侦测)录像。
合理调整录像监控镜头位置,应能有效识别进出人员和纪录操作行为;录像记录应安全保管并定期归档,录像记录的查阅必须经安全主管批准。
录像记录最少保留3个月;重大活动记录应保留1年以上,可采用刻盘备份等形式。
监控录像系统应配有应急备用电源提供电力支持,保证在出现外部供电中断时系统不间断运行。
6.4 环境保护与控制设施
6.4.1 空气和温湿度控制
必须有完备的空调系统,保证机房有充足、新鲜和洁净的空气供应;保证机房各个区域的温湿度能满足系统运行、人员活动和其他辅助设备的要求。
6.4.2 防雷击和接地
必须采用符合国家标准的防雷措施。
必须设置综合地线系统;屏蔽机房必须设立保护地线,应经常检测接地电阻,确保人身、设备运行的安全;应设置交流电源地线,交流供电应采用符合规范的三芯线,即相线、中线、地线。
计算机系统安全保护地电阻值、计算机系统防雷保护地电阻值必须符合国家标准《建筑物防雷设计规范》GB50057和《建筑物电子信息系统防雷技术规范》GB50343的有关规定。
6.4.3 静电防护
机房的地板或地面应有静电泄放措施和接地构造,防静电地板、地面的表面电阻或体积电阻应为×104~×109Ω,且应具有防火、环保、耐污耐磨性能。
6.4.4 水患防治
应正确安装水管和密封结构,合理布置水管走向,防止发生水害损失。
机房内应进行防水检测,发现水害能及时报警。
6.4.5 消防设施
建筑材料耐火等级必须符合GBJ45-1982规定。
办公区域必须设置火灾自动报警系统和灭火系统,可以使用水喷淋灭火装置,并应配备合理数量的手持灭火器具。
认证系统所在机房必须安装火灾自动报警系统和自动灭火系统,火灾探测系统应能同时通过检测温度和烟雾发现火灾的发生,且火灾报警系统应与灭火系统联动。
火灾报警系统包括火灾自动探测、区域报警器、集中报警器和控制器等,能够对火灾发生区域以声、光或电的方式发出报警信号,并能以手动或自动的方式启动灭火设备。
用于生产系统的灭火系统,不得使用水作灭火介质,必须使用洁净气体灭火装置。
宜使用惰性气体如IG541作为灭火介质。
凡设置洁净气体灭火系统的机房区域,应配置一定数量的专用空气呼吸器或氧气呼吸器。
6.5 支撑设施
6.5.1 供配电系统
供配电系统布线应采用金属管、硬质塑料管、塑料线槽等;塑料件应采用阻燃型材料;强电与弱电线路应分开布设;线路设计容量应大于设备总用量;应设立独立的配电室,通过配电柜控制供电系统。
应使用双路供电,并安装使用在线式UPS对机房供电,保障机房(数据中心)有不间断的供电。
当出现意外情况导致供电中断时,在线式UPS应能以不间断的方式进行供电切换并持续向机房提供至少8小时的供电。
6.5.2 照明
机房工作区域主要照明应采用高效节能荧光灯,照度标准值为500lx,照明均匀度不应小于;主要通道应设置通道疏散照明及疏散指示灯,主机房疏散照明照度值不应低于5lx,其他区域通道疏散照明的照度值不应低于。
6.5.3 服务通信系统
电子认证服务机构应设置与开展认证服务有关的各类通信系统,如客户电话、传真、电子邮件系统,并保障24小时畅通。
6.6 RA场地安全
RA系统可建立、运行在电子认证服务机构中,也可建立、运行在RA机构中。
运行RA系统并开展RA业务的机构,其运营场地和设施应符合如下要求:
1)RA场地应有门禁监控系统,及为RA系统的各类设备提供电力、空气和温湿度控制、消防报警和灭火功能的环境保护设施和相关支撑系统;RA也可选择符合上述条件的IDC放置RA系统设备。
2)使用了加密机的RA系统,应另设专门的控制区域,对加密设备进行适当保护。
7 职能与角色
7.1 必需的部门职能
电子认证服务机构应设立开展电子认证服务所需的如下职能部门:
1)安全策略管理
审批电子认证服务机构整体安全策略、证书策略、电子认证业务规则等重要策略文档,监督安全制度、安全策略的执行,对异常情况、安全事故以及其他特殊事件进行处理。
2)安全管理
制定并贯彻执行公司的安全策略和安全制度。
3)运营管理
运行、维护和管理认证系统、密码设备及物理环境、场地设施。
4)人事管理
执行可信雇员背景调查,并对可信雇员进行管理。
5)认证服务
审批和管理用户证书。
6)技术服务:
提供技术咨询和支持服务。
7.2 必须的岗位角色
电子认证服务机构应设置如下必须的岗位角色:
1)安全策略管理组织负责人
负责安全策略管理组织的管理工作。
2)安全管理人员
包括安全经理和负责网络与系统安全管理、场地安全管理的专业人员。
3)密钥管理员
负责CA密钥和证书管理,以及核心区密码设备管理。
4)系统维护员
负责办公系统和认证系统的维护。
5)鉴别与验证员
负责用户证书的审批工作。
6)客户档案管理员:
负责管理客户资料档案。
7)客户服务员
为客户提供技术咨询与支持、和售后服务。
8)审计员
负责定期对系统运营状况、业务规范、安全制度执行情况进行检查与审计。
9)人事经理
负责制定可信雇员政策,对关键岗位人员进行管理。
8 认证业务管理
8.1 业务规范和协议
8.1.1 证书策略和认证业务规则
电子认证服务机构应制定证书策略(CP)与电子认证业务规则(CPS)。
证书策略要对电子认证服务机构签发的证书的类型、适用的环境、适用的应用、认证要求、安全保障要求等方面做出广泛而全面的规定。
电子认证业务规则须阐述电子认证服务机构如何贯彻实施其证书策略。
认证业务规则的编写应符合《GB/TYYYY—YYYY信息技术安全技术公钥基础设施证书策略与认证业务声明框架》的要求。
电子认证服务机构应对证书策略与电子认证业务规则进行有效管理,设有负责撰写、修改、审核、发布和管理的部门,并制定相应管理流程。
电子认证服务机构应根据其业务内容的变化,及时修改、调整其证书策略与电子认证业务规则。
证书策略与电子认证业务规则,以及其修改版本,须经认证机构的安全策略管理组织批准后才能公开发布。
8.1.2 客户协议
提供公共服务的电子认证服务机构,应对其提供的证书业务同客户签订或通过某种方式向客户明示相应的法律协议,这些协议对客户和电子认证服务机构所承担的责任和义务以协议的形式给出明确的规定和
升级会员 