GB/T 28447-2012 信息安全技术 电子认证服务机构运营管理规范

　　ICS 35. 020 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 28447—2012

　　信息安全技术

　　电子认证服务机构运营管理规范

　　Information securitytechnology—Specification on theoperation managementofa

　　certificateauthority

　　2012-06-29发布 2012-10-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 28447—2012

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 2

　　5 电子认证服务机构运营的业务 2

　　5. 1 用户证书服务 2

　　5. 2 用户证书密钥服务 4

　　5. 3 认证系统功能要求 5

　　5. 4 认证业务流程要求 5

　　6 业务运营中的风险 6

　　7 认证系统运行要求 6

　　7. 1 网络系统安全 6

　　7. 2 主机系统安全 6

　　7. 3 系统冗余与备份 7

　　7. 4 系统运营维护安全管理 8

　　7. 5 密码设备安全管理 9

　　7. 6 CA密钥和证书管理 10

　　8 物理环境与设施 11

　　8. 1 运营场地 11

　　8. 2 运营区域划分及要求 11

　　8. 3 安全监控系统 12

　　8. 4 环境保护与控制设施 13

　　8. 5 支撑设施 14

　　8. 6 场地访问安全管理 14

　　8. 7 场地监控安全管理 14

　　8. 8 注册机构场地安全 14

　　9 组织与人员管理 14

　　9. 1 职能与角色设置 14

　　9. 2 安全组织 15

　　9. 3 人员安全管理 16

　　10 文档 、记录与介质管理 16

　　10. 1 文档管理 16

　　10. 2 记录管理 18

　　Ⅰ

　　GB/T 28447—2012

　　10. 3 介质管理 18

　　11 业务连续性要求 19

　　11. 1 业务连续性计划 19

　　11. 2 应急处理预案 19

　　11. 3 灾难恢复计划 19

　　11. 4 灾备中心 20

　　12 审计与改进 20

　　12. 1 审计 20

　　12. 2 改进 21

　　附录 A (资料性附录) 业务运营风险举例 22

　　Ⅱ

　　GB/T 28447—2012

　　前 言

　　本标准按照 GB/T 1. 1—2009给出的规则起草 。

　　本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归 口 。

　　本标准主要起草单位 :北京天威诚信电子商务服务有限公司 、颐信科技有限公司 。

　　本标准主要起草人 :唐志红 、李延昭 、魏一才 、徐虎 、龙毅宏 、刘旭 、许蕾 、赵宏科 、张海松 、郭宏杰 。

　　Ⅲ

　　GB/T 28447—2012

　　引 言

　　本标准是为贯彻执行《中华人民共和国电子签名法》(以下简称《电子签名法》) ,规范电子认证服务机构的运营管理而制定 。

　　本标准覆盖了电子认证服务机构运营管理的主要方面 ,提供公共认证服务的电子认证服务机构应按本标准的规定开展相关的工作 。本标准涉及面多 ,但对每方面只做重点的 、关键的 、必要的要点性规定 ,确保电子认证服务机构执行本标准时在具体技术上 、策略上和方案上有很大的灵活性 。 比如 ,对于认证系统安全方面 ,本标准只规定需要采用的安全防护技术和手段及需要考虑的关键点 ,对具体实现技术并未做规定 。

　　Ⅳ

　　GB/T 28447—2012

　　信息安全技术

　　电子认证服务机构运营管理规范

　　1 范围

　　本标准规定了电子认证服务机构在业务运营 、认证系统运行 、物理环境与设施安全 、组织与人员管理 、文档 、记录 、与介质管理 、业务连续性 、审计与改进等多方面应遵循的要求 。

　　本标准适用于在开放互联环境中提供数字证书服务的电子认证服务机构的建设 、管理及评估 。

　　对于在封闭环境中(如在特定团体或某个行业内)运行的电子认证服务机构可根据自身安全风险评估以及国家有关的法律法规有选择性地参考本标准 。 国家有关的测评机构 、监管部门也可以将本标准作为测评和监管的依据 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。

　　GB/T 2887 计算机场地通用规范

　　GB/T 9361 计算机场地安全要求

　　GB/T 25056—2010 信息安全技术 证书认证系统密码及其相关安全技术规范

　　GB/T 26855—2011 信息安全技术 公钥基础设施 证书策略与认证业务声明框架

　　GB

　　50045

　　高层民用建筑设计防火规范

　　GB

　　50057

　　建筑物防雷设计规范

　　GB

　　50174

　　电子信息系统机房设计规范

　　GB

　　50343

　　建筑物电子信息系统防雷技术规范

　　SJ/T 10796 防静电活动地板通用规范

　　3 术语和定义

　　下列术语和定义适用于本文件 。

　　3. 1

　　电子认证服务机构 certificateauthority

　　负责创建 、分发证书并在必要时提供验证以证实用户身份的机构 ,一般是受用户信任的权威机构 ,用户可以选择该机构为其创建密钥 。通常将电子认证服务机构简称为 CA,也称为 CA 中心 、CA 机构 、认证机构 、证书认证机构等 。

　　3. 2

　　电子认证服务 electroniccertification service

　　电子认证服务是指为电子签名相关各方提供真实性 、可靠性验证的活动 。

　　3. 3

　　证书策略 certificatepolicy

　　命名的一组规则 ,指出证书对具有共同安全要求的特定团体和/或应用的适用性 。

　　1

　　GB/T 28447—2012

　　3. 4

　　电子认证业务规则 certification practicestatement

　　电子认证服务机构在提供电子认证服务时 ,在责任范围 、作业操作规范 、信息安全保障措施等方面所遵循的业务规则 。

　　3. 5

　　证书撤销列表 certificaterevocation list

　　由电子认证服务机构签署的一个失效证书列表 ,它给出了一套证书发布者认为无效的证书 。 3. 6

　　数字证书 digitalcertificate

　　由电子认证服务机构 采 用 非 对 称 密 码 技 术 签 发 的 、证 实 主 体 身 份 与 特 定 公 钥 间 对 应 关 系 的 数 据电文 。

　　3. 7

　　公钥基础设施 publickeyinfrastructure

　　支持公开密钥体制的安 全 基 础 设 施 , 提 供 身 份 鉴 别 、信 息 加 密 、数 据 完 整 性 和 交 易 抗 抵 赖 的 技 术支撑 。

　　3. 8

　　注册机构 registration authority

　　具有下列一项或多项功能的实体 :识别和鉴别证书申请者 , 同意或拒绝证书申请 ,在某些环境下主动撤销或挂起证书 ,处理用户撤销或挂起其证书的请求 , 同意或拒绝用户更新其证书或密钥的请求 。通常将注册机构简称为 RA或 RA机构 。

　　3. 9

　　秘密共享 secretsharing

　　秘密共享指将一个秘密在一组参入者间进行分发的方法 ,其中每个参入者被分配了该秘密经分割后的一份(称为秘密份额或秘密分割) 。 只有足够数量的秘密份额才能恢复原秘密 ,单个的秘密份额本身是无法恢复秘密的 。

　　注 : 在本标准中 ,被分担的秘密可能是 CA私钥备份恢复数据或 CA私钥 。

　　4 缩略语

　　下列缩略语适用于本文件 :

　　CA 证书认证机构 ,本标准中称为电子认证服务机构 Certificate Authority

　　CP 证书策略 Certificate Policy

　　CPS 电子认证业务规则 Certification Practice Statement

　　CRL 证书撤销列表 Certificate Revocation List

　　OCSP 在线证书状态查询协议 Online Certificate Status Protocol

　　PKI 公钥基础设施 Public Key Infrastructure

　　RA 注册机构 Registration Authority

　　5 电子认证服务机构运营的业务

　　5. 1 用户证书服务

　　5. 1. 1 证书申请与审核

　　用户通过认证系统在线提交证书申请或通过注册机构申请证书 ,应按照电子认证服务机构的要求

　　2

　　GB/T 28447—2012

　　提供相应的申请信息 ,如申请者姓名 、域名 、公司名 、地址 、联系方式等 。

　　用户还应提供电子认证服务机构审核证书申请所需要的相关证明材料 ,如机构资质证明 、域名所有权证明等 。

　　电子认证服务机构的审核人员 ,依据用户提交的证明材料 ,对证书申请者的身份进行审核 。

　　电子认证服务机构在证书申请审核过程中 ,应保留完整的审核记录 , 以供日后审计 、审查 、责任追踪和界定使用 。

　　5. 1. 2 证书签发

　　电子认证服务机构必须在完成规定的证书申请审核后 ,通过认证系统批准 、签发证书 。证书签发应有记录 。

　　5. 1. 3 证书存储与发布

　　电子认证服务机构通过认证系统为用户提供数字证书的存储与发布功能 ,使得依赖方可以查询 、获取 。

　　5. 1. 4 证书更新

　　证书用户在证书有效期到达前 ,可以申请更新证书 , 已过期或撤销的证书不能更新 。

　　对证书用户提交的证书更新请求 , 电子认证服务机构必须进行审核 ,审核的方式包括手工和自动两种方式 。手工审核的过程 ,要求在安全保障方面应与证书申请等同 。对于自动审核方式 ,证书更新请求必须用原证书私钥签名 ,认证系统验证签名的有效性并自动签发更新证书 。

　　5. 1. 5 证书撤销

　　证书撤销有下列 3种发起方式 :

　　a) 由证书用户发起 — 用户申请撤销证书 , 电子认证服务机构必须明确规定撤销证书申请的接受方式 ,如通过电话 、邮件 、在线申请等 , 以及审核程序 。

　　b) 由电子认证服务机构发起 — 电子认证服务机构如发现用户证书申请资料存在虚假信息 、不能满足证书签发条件等情况 ,或者发生(或怀疑发生)电子认证服务机构 CA私钥泄露 、认证系统存在安全隐患威胁用户证书安全等情况 ,可以不经过证书用户本人同意 ,予以撤销证书 。

　　c) 由依赖方发起 — 当依赖方提出证书撤销申请时 ,如证书仅用于依赖方的系统 ,可以不经过证书用户本人同意 ,予以撤销证书 。

　　证书撤销后 , 电子认证服务机构必须在周期性签发的 CRL 中 , 于最近的下次更新时间发布所撤销证书 ,或签发临时 CRL发布所撤销证书 ; 电子认证服务机构如提供 OCSP服 务 , 必 须 立 即 更 新 OCSP查询数据库 ,确保实时发布所撤销证书 。

　　证书撤销后 ,应通过电话 、邮件 、在线等方式 ,及时告知用户或依赖方证书撤销结果 。

　　电子认证服务机构必须记录所有证书撤销请求和相关操作结果 。

　　5. 1. 6 证书冻结

　　证书冻结有下列 3种发起方式 :

　　a) 由证书用户发起 — 用户申请冻结证书 , 电子认证服务机构必须明确规定冻结证书申请的接受方式 ,如通过电话 、邮件 、在线申请等 , 以及审核程序 。

　　b) 由电子认证服务机构发起 — 电子认证服务机构如发现用户证书申请资料存在虚假信息 、不能满足证书签发条件等情况 ,或者发生(或怀疑发生)电子认证服务机构 CA私钥泄露 、认证系统存在安全隐患威胁用户证书安全等情况 ,可以不经过证书用户本人同意 ,予以冻结证书 。

　　3

　　GB/T 28447—2012

　　c) 由依赖方发起 — 当依赖方提出证书冻结申请时 ,如证书仅用于依赖方的系统 ,可以不经过证书用户本人同意 ,予以冻结证书 。

　　冻结的证书需在 CRL 中发布 , 当被冻结证书失效后 ,将不再出现在 CRL 中 。

　　在证书有效期内 ,对被冻结的证书有 3种处理方式 :

　　a) 被冻结证书有效性无法验证 ,用户和依赖方不能使用证书 ;

　　b) 被冻结证书转为正式撤销 ;

　　c) 被冻结证书解冻 ,从 CRL 中删除 ,重新转为有效证书 。

　　证书冻结后 , 电子认证服务机构必须在周期性签发的 CRL 中 , 于最近的下次更新时间发布所冻结证书 ,或签发临时 CRL发布所冻结证书 ; 电子认证服务机构如提供 OCSP服 务 , 必 须 立 即 更 新 OCSP查询数据库 ,确保实时发布所冻结证书 。

　　冻结的证书解冻后 , 电子认证服务机构应在周期性签发的 CRL 中 ,于最近的下次 CRL更新中删除冻结的证书 , 电子认证服务机构如提供 OCSP服务 ,应立即更新 OCSP查询数据库 ,确保解冻的证书变为有效 。

　　证书冻结和解冻后 ,应通过电话 、邮件 、在线等方式 ,及时告知用户或依赖方冻结和解冻结果 。

　　电子认证服务机构必须记录所有证书冻结请求和相关操作结果 。

　　5. 1. 7 证书状态查询

　　电子认证服务机构应为用户和依赖方提供如下 2种证书状态查询服务(包括证书撤销列表和/或在线证书状态查询) :

　　a) CRL查询 。 电子认证服务机构必须能够提供证书撤销列表(CRL)查询服务 ,CRL发布必须符合标准 ;必须明确规定 CRL发布周期和发布时间 , 宜每天签发 CRL;根据证书策略或当发生严重私钥泄露情况时 , 电子认证服务机构可签发临时 CRL;根据证书策略和依赖方协议 ,用户和依赖方应及时检查 、下载临时 CRL。

　　在证书有效期内的 ,被撤销证书必须一直保留在 CRL 中直至证书过期失效 ,被冻结证书在冻结期内必须保留在 CRL 中直至解冻 。 当被撤销或被冻结证书过期时 ,应从 CRL 中删除 。

　　电子认证服务机构发布的所有 CRL必须定期归档保存 ,在证书失效后至少保留 5 年 。

　　b) OCSP查询 。 电子认证服务机构必须能够提供在线证书状态查询(OCSP)服务 ,查询数据格式和响应查询结果必须符合国家有关标准 ;必须保证查询服务响应速度和并发查询性能满足服务要求 ;必须保证查询结果的实时性和准确性 。

　　5. 1. 8 证书归档

　　电子认证服务机构应定期对过期失效以及被撤销的证书进行归档 。

　　在证书失效至少 5 年后 ,方可销毁归档数据 。

　　5. 2 用户证书密钥服务

　　电子认证服务机构必须说明所提供的证书类型及密钥对产生的方式 ,并告知证书用户和依赖方电子认证服务机构是否保存有用户证书私钥的备份 。

　　5. 2. 1 用户证书密钥的产生、传递和存储

　　通常情况下 ,用户的签名证书的密钥对由用户 自 己在其密码设备中生成 ,并由用户控制 。

　　用户加密证书密钥对可由用户 自 己产生 ,或者由电子认证服务机构通过密钥管理中心集中生成 ,并通过安全的途径传送给用户 。若加密证书密钥对由电子认证服务机构通过密钥管理中心集中生成 ,则加密证书私钥在传送给用户的过程中 ,不能以明文形式出现 。 当电子认证服务机构通过密钥管理中心

　　4

　　GB/T 28447—2012

　　为用户生成加密证书密钥对时 , 电子认证服务机构可将加密证书私钥的备份加密保存在密钥库中 , 以便在必要的时候恢复用户加密证书私钥 。

　　5. 2. 2 用户证书私钥激活数据的产生、传递和存储

　　用户加密证书密钥对及其私钥激活数据可由用户 自 己产生和保存 ,或者由电子认证服务机构通过密钥管理中心集中生成 。在后者的情况下 , 电子认证服务机构代用户产生的私钥激活数据必须有足够的安全强度并通过一定的安全方式传送给用户 ,确保激活数据在传递过程中不被泄漏 ,并对传递过程进行跟踪和记录 。

　　5. 2. 3 用户证书私钥恢复

　　电子认证服务机构不应保存用户签名证书的私钥备份 。

　　若电子认证服务机构保留有用户加密证书的私钥备份 ,则只能应用户 自 己要求或司法恢复需要 , 电子认证服务机构才能对用户加密证书的私钥进行恢复 。

　　私钥恢复应有多人参与才能完成 ,且应对操作过程及结果进行记录 。

　　5. 2. 4 用户证书密钥对的更新

　　用户在进行证书更新时应同时更新证书的密钥对 。若出于特别的原因和安排 ,允许用户在进行证书更新时不更新证书的密钥对 ,那么电子认证服务机构必须确保这种方式是安全的 ,且必须为不更新的密钥对规定一个适合的 、安全的最大期限 ,在这个期限后 ,该密钥不能再使用 。

　　5. 2. 5 用户证书私钥的归档和销毁

　　电子认证服务机构不得拥有用户签名证书私钥 ,用户签名证书的私钥由用户 自 己根据需要进行管理和销毁 。用户加密证书的密钥对由电子认证服务机构的密钥管理中心产生 ,在用户密钥对 、证书失效后 , 电子认证服务机构应以加密的方式归档保留 ;所有归档密钥对 ,应至少在证书失效 5 年后方可销毁 ,销毁方式应能可靠地 、彻底地销毁密钥信息 。

　　5. 3 认证系统功能要求

　　电子认证服务机构使用的认证系统应符合 GB/T 25056—2010 中的要求 , 能够提供用户证书的申请 、签发 、存储 、发布 、更新 、撤销 、冻结 、状态查询 、归档以及用户证书密钥管理等功能 。

　　5. 4 认证业务流程要求

　　认证业务流程应符合如下要求 :

　　a) 对于证书申请审核过程 , 电子认证服务机构应根据认证业务规则 ,制定严格的证书申请审核流程和规范 ,鉴别证书申请者提供的身份信息的真伪 ,验证证书申请者的身份 ,确认是证书申请者所声称的人 、机构在申请证书 。

　　b) 对于证书更新的自动审核方式 , 电子认证服务机构必须确保能够通过一定的方式控制哪些证书可自动更新 , 防止非授权的更新 。

　　c) 电子认证服务机构应制定证书撤销管理策略和流程 ,确保撤销过程的规范和撤销结果的准确 、及时 。

　　d) 电子认证服务机构可根据具体业务需要 ,制定证书冻结策略和流程 ,包括冻结请求 、条件 、宽限期及冻结状态的发布等 。

　　e) 电子认证服务机构应在 CP和 CPS中发布证书状态查询服务策略 ,并在相关协议中明确提示证书用户和依赖方 ,使用证书时必须使用证书状态查询服务 。

　　5

　　GB/T 28447—2012

　　f) 电子认证服务机构应制定证书归档策略 , 以保证对过期失效以及被撤销的证书及时归档 。

　　g) 电子认证服务机构应制定用户证书密钥和私钥激活数据的传递策略 , 以保障传递过程中的安全性 。

　　h) 电子认证服务机构应制定严格的用户证书私钥恢复的管理规定和流程 ,确保用户私钥恢复的规范性和安全性 。

　　i) 电子认证服务机构应制定用户证书私钥归档 、销毁流程 ,保证私钥被安全地归档或销毁 ,确保私钥不会泄漏 。

　　6 业务运营中的风险

　　电子认证服务机构在业务运营过程中面临着各类风险 ,包括系统风险 、物理环境风险以及管理风险等 。 附录 A对各类风险进行了举例说明 , 以供参考 。

　　本标准后面各章节描述了电子认证服务机构为应对各类风险所应采取的控制措施 。

　　7 认证系统运行要求

　　7. 1 网络系统安全

　　网络系统安全应符合如下要求 :

　　a) 电子认证服务机构及其注册机构的认证系统运行网络 ,必须采用独立的接入链路与公共网络连接 ,并与办公网络隔离 , 网段划分应符合 GB/T 25056—2010中的要求 。

　　b) 网络访问策略应只允许必需的访问 ,设定允许访问的主体(主机 、端口) 和对应的访问对象(主机 、端口)以及连接方向 ,其他访问禁止 。

　　c) 应对网络中的实体设备进行网络漏洞扫描 ,根据检测结果及时发现存在的不安全网络协议 、网络服务 ,将不需要的网络协议 、网络服务关闭 ,对于因业务需要而开启的不安全网络协议 、网络服务应采取相应措施 ,使用更安全的网络协议 、网络服务进行替换 。

　　d) 应在关键网段安装入侵检测系统 ,能够及时检测到并报告常见的入侵模式 ,能够且应该及时更新入侵模式知识库 ,具备完善的 日志与审计功能 。

　　e) 实施网络服务安全配置与加固 ,只开启必需的网络服务 ,关闭其他的网络服务 ;对开启了的网络服务进行优化配置 ,定期打补丁 。

　　f) 网络应采用通过安全检测 、安全认证的网络设备 ,如路由器 、各类安全网关 、交换机等 。

　　g) 若网络设备账户使用用户名/口令方式进行身份鉴别 ,则口令应具有足够的安全强度 。

　　h) 网络设备应有完备的审计日志 。

　　i) 采取其他必要的安全措施 ,保障运营网络的安全 。

　　7. 2 主机系统安全

　　主机系统安全应符合如下要求 :

　　a) 应通过主机漏洞扫描系统发现系统存在的安全漏洞 ,并采取应对措施 ,包括进行系统安全优化等 。

　　b) 应及时对系统安全漏洞打补丁 ,并采取防病毒措施 , 同时考虑采用其他系统安全加固技术 ,保障主机系统安全 。

　　c) 主机系统应只创建 、开启必需账户 ,关闭不需要的默认账户 ,账户口令应具有足够的安全强度 ,确保只有授权用户 、进程和应用才能访问相应的资源 。

　　6

　　GB/T 28447—2012

　　7. 3 系统冗余与备份

　　7. 3. 1 系统冗余

　　应采用设备冷/热备份 、单机逻辑备份 、双机备份等方式 ,对于生产系统的重要设备进行备份/冗余设置和容错设计 。

　　应采用冗余技术 、路由选择技术 、路由备份技术等技术手段 ,实现网络备份与冗余 。

　　a) 网络链路冗余

　　认证系统的网络对外应采用双路接入 ,并且两路网络接入来自不同的网络设施运营商 ,一路网络接入作为主服务线路 ,另一路接入作为备用线路 , 当主服务线路出现故障时能够迅速切换到备用线路 。

　　b) 主机冗余

　　认证系统对关键业务 、功能所在主机必须采用双机热备措施 。对非关键业务 、功能的设备 ,应该至少采用硬盘冷备份的方式进行系统备份 。

　　c) 电源冗余与后备发电

　　对电子认证服务机构的电源有如下要求 :

　　1) 放置有认证系统的数据中心宜采用双路供电系统 , 即从建筑外至数据中心内至少具有两条供电线路 ;

　　2) 必须为认证系统及安全设备提供不间断电源(UPS) ,且不间断电源设备应该具有冗余 ,不间断电源提供的电力必须足够支持通常的断电时间 ;

　　3) 有条件的电子认证服务机构应配置备用发电机 , 当出现停电且不间断电源不能提供持续的电力时 ,能够提供电力 。

　　7. 3. 2 系统备份

　　电子认证服务机构应采用完全备份与增量备份相结合的方式对生产系统数据和信息进行备份 。

　　应制定备份数据收集 、保管 、押运 、恢复的管理策略 ,确保备份数据的安全 , 防止泄露和未经授权的使用 。备份数据宜实行同城异地保管 ,如租用银行保管箱保存数据备份 。

　　应定期检查备份系统和设备的可靠性和可用性 ,定期检查备份介质可靠性和数据完整性 。

　　应根据设备的重要程度 、故障频率 、供应难度 、库存数据量 、设备金额等因素 ,综合评估运营风险 ,确定并建立关键设备和系统备份管理办法 。应对关键设备做备份或采取有效办法保证供应的及时性(如与供应商签订应急维修或紧急供货合同) 。

　　a) 软件与数据备份

　　软件与数据备份包括如下内容 :

　　1) 主机操作系统 ;

　　2) 系统应用软件 ,如邮件系统 、Web 服务程序 、数据库系统等 ;

　　3) 认证系统软件 ;

　　4) 系统上的客户定制数据 ;

　　5) 系统配置 ;

　　6) 数据库用户数据 。

　　对软件与数据备份有如下要求 :

　　1) 必须采用专门的备份系统对整个认证系统进行备份 ,备份数据可以保存在磁带 、硬盘或其他介质上 ;

　　2) 备份策略采用全备份与增量备份相结合的方式 ;

　　3) 备份策略应该保证没有数据丢失或数据丢失不会造成实质性的影响 ;

　　7

　　GB/T 28447—2012

　　4) 在系统出现故障 、遭遇灾难时 ,备份方案能够在最短的时间内从备份数据中恢复出原系统及数据 ;

　　5) 选择的备份介质应能保证数据的长期可靠 ,否则应定期更新 ;

　　6) 备份数据 应 存 放 在 电 子 认 证 服 务 机 构 以 外 安 全 的 地 方 , 比 如 银 行 保 管 箱 、灾 难 恢 复 中心等 。

　　b) 硬件设备备份

　　电子认证服务机构硬件设备必须具有冗余 、备份 ,在系统设备出现故障 、损坏时能够及时更换 。

　　7. 4 系统运营维护安全管理

　　7. 4. 1 系统权限管理

　　电子认证服务机构应制定系统访问控制方面的管理规定 ,制定访问控制权限分配表 ,正确设置系统的用户角色和相应权限 ,所有运营维护只被赋予必须的 、最小的权限 ,并对关键的 、敏感的操作进行权限分割 。

　　7. 4. 2 系统操作管理

　　系统操作管理应符合如下要求 :

　　a) 应根据生产系统建设厂商的维护要求 ,制定运营维护策略和流程 。

　　b) 不经批准不得在服务器上安装任何软件和硬件 ;不经批准不得删除服务器上的任何文件 。

　　c) 应正确配置安全设备 、网络设备 、业务系统 ,定期检查 、测试配置策略的有效性 。应及时分析入侵检测系统的 日志和所发现的问题 ,及时响应安全事件 ,调整安全策略 。

　　d) 应有与生产系统功能相一致的测试系统 ,用于功能 、补丁的部署 、升级等测试用途 。测试系统中不得使用生产系统的业务数据 。

　　e) 应及时升级系统和数据库补丁包 、安全包 ;及时升级防病毒软件病毒库 ;及时升级入侵检测系统 、防火墙及网 络 设 备 固 件 等 。 只 有 在 测 试 系 统 中 经 测 试 合 格 后 , 方 能 在 生 产 系 统 上 正 式部署 。

　　f) 应监控系统容量需求 ,制定未来容量需求的项目计划 ,保持适当的处理能力和存储能力 。

　　g) 生产系统的任何调整和升级 ,应先制定详细的技术实施方案 ,经电子认证服务机构的安全策略管理组织审核批准后 ,方可实施 ,并应有完整的实施记录 。

　　h) 对系统的任何操作 ,应做好操作记录 。 系统的事件和 日志应及时归档保存 。

　　7. 4. 3 系统变更和升级

　　应制定严谨的系统变更和升级的申请及审批策略 、操作流程及验收标准 , 明确管理责任和程序 ,严格遵守管理控制程序 , 防止因为系统的变更和升级影响认证系统的正常运行 。 系统变更和升级应遵循如下准则 :

　　a) 对设备 、软件或程序的所有变更制定严格的程序 。

　　b) 变更 、升级前 ,对原系统业务数据和业务系统进行全备份 。

　　c) 保证原有系统中的数据到变更 、升级后系统的平稳过渡 。

　　d) 系统变更和升级的实施方案和过程不应对已有客户 、用户产生严重的影响 。

　　7. 4. 4 账户、口令管理

　　应对网络设备和主机系统的账户口令的安全强度 、使用期限 、更换频率 、保管手段 、传输方式等进行要求和管理 ;应确保网络设备 、主机和应用程序中没有设置默认的用户名 、口令 。

　　8

　　GB/T 28447—2012

　　7. 4. 5 系统安全监控

　　电子认证服务机构应在系统的各个重要环节设置各类监测 、防护设备 ,实时监测网络数据流量 ,监视并记录内部 、外部用户的操作行为 ,监测并记录各类安全事件 ,如攻击 、入侵 、病毒等 ,能对异常的行为和安全事件采取相应的控制并及时报警 。

　　电子认证服务机构应在运营场地管理区建立专门的系统监控室 , 由系统安全监控人员通过监控系统和设备对运营系统的运行状况 、安全状况进行实时监控 。 当安全监控人员发现异常情况或安全事件后 ,应及时采取措施 进 行 处 理 和 记 录 , 并 报 告 安 全 主 管 , 对 于 严 重 的 安 全 事 件 , 须 上 报 安 全 策 略 管 理组织 。

　　7. 5 密码设备安全管理

　　7. 5. 1 认证系统密码设备管理

　　认证系统所使用的密码设备应符合如下要求 :

　　a) 购买和运输

　　电子认证服务机构 及 其 注 册 机 构 购 买 、使 用 的 密 码 设 备 , 必 须 是 通 过 国 家 密 码 管 理 机 构 审 查 的设备 。

　　密码设备从制造商到电子认证服务机构的运输过程应安全可靠 , 防止篡改或非授权地接触 。

　　电子认证服务机构收到密码设备后 ,应及时确认密码设备没有被替换或改动 。

　　b) 保管和存储

　　电子认证服务机构应委派可信人员负责密码设备的接收 、存储 、保管 、领用等流程 ,并留有完整的记录 。

　　c) 安装 、升级和维修

　　电子认证服务机构的密码设备 ,在运营环境中的安装 、拆卸 、硬件更换 、固件和软件升级等过程中应有两名以上可信人员现场监督 。

　　对密码设备进行故障诊断时 ,必须有两名以上可信人员在场 ;密码设备的维修必须始终处于电子认证服务机构可信人员的控制中 。

　　d) 功能测试

　　新设备或密码设备修复 后 , 在 安 装 到 认 证 系 统 使 用 前 , 应 进 行 功 能 测 试 , 只 有 测 试 正 常 方 能 投 入使用 。

　　认证系统所有密码设备应做周期性测试和校验 ,并做好相应记录 。

　　e) 报废和销毁

　　生产系统中的密码设备不再使用后 ,应进行报废 。所有报废必须经过审批 ,然后在安全环境中进行删除或归零操作 ,清除其中的密钥信息 ,并实施硬件销毁 。报废和销毁必须有相应的记录 。

　　7. 5. 2 用户密码设备管理

　　电子认证服务机构 为 用 户 提 供 的 、用 于 生 成 和 存 储 用 户 私 钥 的 密 码 设 备 , 在 管 理 上 应 符 合 如 下要求 :

　　a) 用户密码设备应是经国家密码管理机构批准生产和销售的密码设备 。

　　b) 电子认证服务机构应建立采购 、测试 、保管 、使用 、废弃等管理制度 。

　　c) 用户密码设备的管理应由可信雇员执行 。

　　d) 用户密码设备经测试功能正常后 ,方可进入生产流程 。

　　e) 电子认证服务机构应采用适当措施 ,保证用户能安全地获得密码设备和激活数据 。

　　9

　　GB/T 28447—2012

　　f) 电子认证服务机构应对密码设备各阶段的管理信息进行记录 。

　　7. 6 CA密钥和证书管理

　　7. 6. 1 CA密钥的生成和存储

　　电子认证服务机构 CA密钥(含根密钥)必须使用通过国家密码管理机构审查的设备生成 ,并在其中存储 。

　　电子认证服务机构必须制定认证系统 CA密钥的生成流程 、操作等文档 ,在安全的(包括物理环境安全 、流程安全以及参与的人员安全控制等)环境中操作 。操作过程中应有操作员 、见证人以及 CA 私钥激活数据保管员同时在场 ,并应对 CA密钥的生成操作过程进行录像或拍照 。

　　在整个 CA密钥生成过程中 ,所有关键步骤都要进行记录 , 以备审计 。

　　离线 CA私钥必须保存在核心区 ;存放在线 CA私钥的密码设备必须位于屏蔽区域 。

　　7. 6. 2 CA私钥激活数据的管理

　　电子认证服务机构应确保 CA私钥激活数据在生成 、保管及分发过程中安全可靠 。

　　7. 6. 3 CA密钥的使用

　　应建立管理制度对 CA密钥及其激活数据的使用权限进行严格控制 ,每次使用应有书面记录 ,记录应包括每次使用的时间 、用途及操作人员等内容 。

　　7. 6. 4 CA密钥的备份与恢复

　　为了防止存储 CA密钥的硬件发生损坏导致数据丢失 , CA 密钥在生成之后 ,应进行克隆备份 , 以便在必要时进行恢复 。

　　a) CA密钥备份

　　电子认证服务机构应制定 CA密钥备份策略 ,对 CA 密钥进行备份 。备份必须使用秘密共享和加密存储机制 ,确保 CA私钥不会以明文形式出现在密码硬件之外 。 被分割的秘密可以是 CA 私钥备份恢复数据(如口令)或 CA私钥本身 ,秘密共享采用公开的 m ofn算法(m≥60%×n) ,各秘密份额保存在不同的 IC卡或智能密码钥匙中 ,并分发给不同的可信人员持有 。

　　密钥备份必须妥善保存在核心区内 ,并实行双人访问控制存取 。可保存于具有防火 、防热 、防潮 、防尘 、防磁 、防 静 电 功 能 的 保 险 柜 中 。 保 险 柜 应 能 保 证 在 1 000 ℃火 灾 现 场 , 纸 张 防 火 柜 内 温 度 保 持≤180 ℃ 、磁盘防火柜内温度保持 ≤52℃不少于 1 h。

　　b) CA密钥恢复

　　当需要进行 CA密钥恢复时 ,应有操作员 、见证人 、私钥恢复秘密份额保管员同时在场 , 由满足恢复要求的数量的秘密份额保管员输入分割数据 ,按照一定的算法进行合成并恢复 CA密钥到密码设备中 。应将恢复操作全程进行记录 。

　　7. 6. 5 CA密钥的销毁

　　电子认证服务机构必须制定彻底清除或销毁存储 CA 私钥密码设备的操作流程和办法 ,对因退出产品系统 、超过归档期限或其他原因需要销毁的 CA密钥对进行安全销毁 , 即销毁或归零存放私钥的密码设备 。

　　7. 6. 6 CA证书的创建和发布

　　CA证书的创建 ,应事先进行审批 ,过程中做好记录 ,并在创建后适时发布 , 以保证用户和依赖方能

　　10

　　GB/T 28447—2012

　　及时 、安全的获取 。

　　7. 6. 7 CA证书的更新

　　电子认证服务机构的 CA证书可能会因为如下原因进行重新签发 ,称为 “CA证书更新 ”:

　　— 延长有效期 ;

　　— 更换密钥对 ;

　　— 改变证书的其他信息(如签名算法 、扩展项等) 。

　　CA证书更新时 ,应采取与生成初始证书相同的流程和方法 。

　　对于更换密钥对的证书更新 ,则应采取与生成 CA密钥相同的流程和方法 。

　　7. 6. 8 CA证书的撤销

　　CA证书可能会被撤销的原因包括不再使用 、私钥损坏 、私钥泄漏或怀疑泄漏以及被认为需要撤销的其他原因 。

　　CA证书的撤销操作 ,应如创建操作一样 ,事先进行审批 ,并做好撤销操作的记录 ; 在被撤销后 , 相关信息被纳入到 CA 的 CRL 中 ,并及时发布 。

　　7. 6. 9 CA密钥和证书的归档

　　CA证书失效后 ,必须将失效的 CA密钥及 CA证书归档并妥善保存 。在证书失效至少 5 年后 ,方可销毁归档的 CA密钥 ;归档数据和操作宜做签名 。

　　8 物理环境与设施

　　8. 1 运营场地

　　电子认证服务机构及其注册机构提供电子认证服务必须有固定和适宜的运营场地(数据中心) 。

　　电子认证服务机构的场地环境建设应符合以下标准 :

　　a) 计算机机房(数据中心)的安全建设应符合 GB/T 9361的要求 ;

　　b) 活动地板应该具有稳定的抗静电性能和承载能力 , 同时应耐油 、耐腐蚀 、柔光 、不起尘 ,具体应符合 SJ/T 10796的要求 ;

　　c) 计算机系统的供电电源技术指标 、相对湿度控制 、接地系统设置等应按 GB/T 2887 中的规定执行 ;

　　d) 计算机机房的耐火等级应符合 GB 50045及 GB/T 9361的规定 ;

　　e) 计算机机房设计应符合 GB 50174的规定 。

　　8. 2 运营区域划分及要求

　　8. 2. 1 基本要求

　　电子认证服务机构机房场所为安全控制区域 ,必须在机房场所的周边建立明确和清晰的安全边界(设置标志 、物理障碍 、门禁管理系统等) ,进行物理保护 ;安全边界应完善和完整 , 能及时发现任何入侵企图 ;安全边界应设置向外开启的消防通道防火门 ,并应能快速关闭 ; 消防门应有防误开启标识和报警装置 ,开启时应能以声 、光或电的方式向安全监控中心报警 。

　　安全区域应使用合格门锁 , 门应坚固 ,保证关闭安全 ;应使用合适的门禁系统和辅助设备 ,如加装闭门器 、门位置状态检测器和门开启报警器等 ;采取必要措施 ,在各个区域防止尾随进入 。

　　安全区域物理环境的任何变更 ,如设备或系统的新增 、撤销 、部署调整等 ,必须事先完成风险评估和

　　11

　　GB/T 28447—2012

　　安全分析 ,形成正式文档向电子认证服务机构的安全策略管理组织申报 ,经审核批准后 ,方可实施 , 同时应做好完整的过程记录 。

　　8. 2. 2 区域划分

　　电子认证服务机构机房场地根据业务功能分为公共区 、服务区 、管理区 、核心区 ,各功能区域对应的安全级别为控制区 、限制区 、敏感区 、机密区 ,安全等级和要求逐级提高 。安全等级要求越高 ,安全防护措施和配套设施要求越严格 。

　　宜使用层级式安全区域防护进行安全区域隔离和物理保护 。层级式安全区域防护是指将安全区域按照安全等级的重要程度 , 由外向内安全级别逐步提高 ,且只有经由较低级别的区域方能进入更高级别安全区域 。

　　不宜划分层级式安全区域的机房场所 ,应按照安全等级功能等同的原则保护各安全区域 。

　　a) 公共区(控制区)

　　电子认证服务机构场地的入口处 、办公区域 、辅助和支持区域属于公共区 ,应采用访问控制措施 ,如使用身份标识门禁卡控制出入 。

　　b) 服务区(限制区)

　　服务区是提供证书审批 、证书管理等电子认证服务的区域 ,必须使用身份标识门禁卡控制出入 。

　　c) 管理区(敏感区)

　　该区域是电子认证系统运营管理区域 , 系统监控室 、场地安全监控中心 、配电室等均属于该区域 。此区域必须使用身份标识门禁卡控制出入 ,推荐使用人体特征鉴别控制出入 。

　　d) 核心区(机密区)

　　证书认证系统 、密钥管理系统 、离线私钥和私钥激活数据存放房间属于核心区 。核心区必须使用身份标识门禁卡和人体特征鉴别身份 ,控制出入 ,且在核心区内必须采取职责分离与权限分割的方案和措施 ,使得单个人员在核心区内无法完成敏感操作 。

　　在核心区内 ,放置有在线签发数字证书的 CA私钥的密码设备的区域 ,必须是至少符合 GB/T 9361要求的屏蔽区域 ,该区域必须有安全的出入控制 ,且必须采取职责分离与权限分割的方案和措施 ,使得单个人员在屏蔽区域内无法完成敏感操作 。

　　8. 3 安全监控系统

　　宜设置专门用途的安全监控中心 ,对机房建筑整个区域发生的出入访问进行实时监控 。