1、ICS 35.020 L 80 GB 和国国家标准11: ./、中华人民G/T 28447-2012 信息安全技术电子认证服务机构运营管理规范Information security technology-Specification on the operation management of a certificate authority 2012-06-29发布_(10653,._ 时f06()吨极吵毡。./毛畸E事数码防伪中华人民共和国国家质量监督检验检瘦总局中国国家标准化管理委员会2012-10-01实施发布GB/T 28447-2012 目次前言.皿引言.凹1 范围.2 规范性引用文
2、件.3 术语和定义4 缩略语25 电子认证服务机构运营的业务.2 5.1 用户证书服务.2 5.2 用户证书密钥服务45.3 认证系统功能要求5.4 认证业务流程要求-6 业务运营中的风险.7 认证系统运行要求7.1 网络系统安全.7.2 主机系统安全7.3 系统冗余与备份.7 7.4 系统运营维护安全管理.8 7.5 密码设备安全管理.9 7.6 CA密钥和证书管理108 物理环境与设施8. 1 运营场地.8.2 运营区域划分及要求.8.3 安全监控系统8.4 环境保护与控制设施8.5 支撑设施148. 6 场地访问安全管理.14 8. 7 场地监控安全管理.148.8 注册机构场地安全.1
3、4 9 组织与人员管理.u9. 1 职能与角色设置.14 9.2 安全组织.15 9.3 人员安全管理四川文档、记录与介质管理10. 1 文档管理.10.2 记录管理四GB/T 28447-2012 10.3 介质管理MU 业务连续性要求.四11. 1 业务连续性计划.19 11. 2 应急处理预案.19 11. 3 灾难恢复计划四川.4灾备中心.20M 审计与改进.20 12.1 审计.20 12. 2 改进21附录A(资料性附录)业务运营风险举例.22 E GB/T 28447-2012 前言本标准按照GBjT1. 1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SACj
4、TC260)提出并归口。本标准主要起草单位:北京天威诚信电子商务服务有限公司、颐信科技有限公司。本标准主要起草人:唐志红、李延昭、魏一才、徐虎、龙毅宏、刘旭、许蕾、赵宏科、张海松、郭宏杰。皿GB/T 28447-2012 51 -一一同本标准是为贯彻执行中华人民共和国电子签名法)(以下简称电子签名法),规范电子认证服务机构的运营管理而制定。本标准覆盖了电子认证服务机构运营管理的主要方面,提供公共认证服务的电子认证服务机构应按本标准的规定开展相关的工作。本标准涉及面多,但对每方面只做重点的、关键的、必要的要点性规定,确保电子认证服务机构执行本标准时在具体技术上、策略上和方案上有很大的灵活性。比如
5、,对于认证系统安全方面,本标准只规定需要采用的安全防护技术和手段及需要考虑的关键点,对具体实现技术并未做规定。N GB/T 28447-2012 信息安全技术电子认证服务机构运营管理规范1 范围本标准规定了电子认证服务机构在业务运营、认证系统运行、物理环境与设施安全、组织与人员管理、文档、记录、与介质管理、业务连续性、审计与改进等多方面应遵循的要求。本标准适用于在开放互联环境中提供数字证书服务的电子认证服务机构的建设、管理及评估。对于在封闭环境中(如在特定团体或某个行业内)运行的电子认证服务机构可根据自身安全风险评估以及国家有关的法律法规有选择性地参考本标准。国家有关的测评机构、监管部门也可以
6、将本标准作为测评和监管的依据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 2887 计算机场地通用规范GB/T 9361 计算机场地安全要求GB/T 25056一2010信息安全技术证书认证系统密码及其相关安全技术规范GB/T 26855-2011 信息安全技术公钥基础设施证书策略与认证业务声明框架GB 50045 高层民用建筑设计防火规范GB 50057 建筑物防雷设计规范GB 50174 电子信息系统机房设计规范GB 50343 建筑物电子信息系统防雷
7、技术规范SJ/T 10796 防静电活动地板通用规范3 术语和定义下列术语和定义适用于本文件。3. 1 电子认证服务机构certificate authority 负责创建、分发证书并在必要时提供验证以证实用户身份的机构,一般是受用户信任的权威机构,用户可以选择该机构为其创建密钥。通常将电子认证服务机构简称为CA,也称为CA中心、CA机构、认证机构、证书认证机构等。3.2 电子认证服务electronic certification service 电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的活动。3.3 证书策略certificate policy 命名的一组规则,指出证书对具
8、有共同安全要求的特定团体和/或应用的适用性。1 GB/T 28447-2012 3.4 电子认证业务规则certification practice statement 电子认证服务机构在提供电子认证服务时,在责任范围、作业操作规范、信息安全保障措施等方面所遵循的业务规则。3.5 证书撤销列表certificate revocation list 由电子认证服务机构签署的一个失效证书列表,它给出了一套证书发布者认为元效的证书。3.6 数字证书digital certificate 由电子认证服务机构采用非对称密码技术签发的、证实主体身份与特定公钥间对应关系的数据电文。3. 7 公钥基础设施pu
9、blic key infrastructure 支持公开密钥体制的安全基础设施,提供身份鉴别、信息加密、数据完整性和交易抗抵赖的技术支撑。3.8 注册机构registration authority 具有下列一项或多项功能的实体:识别和鉴别证书申请者,同意或拒绝证书申请,在某些环境下主动撤销或挂起证书,处理用户撤销或挂起其证书的请求,同意或拒绝用户更新其证书或密钥的请求。通常将注册机构简称为RA或RA机构。3.9 秘密共享secret sharing 秘密共享指将一个秘密在一组参入者间进行分发的方法,其中每个参入者被分配了该秘密经分割后的一份(称为秘密份额或秘密分割)。只有足够数量的秘密份额才
10、能恢复原秘密,单个的秘密份额本身是无法恢复秘密的。注z在本标准中,被分担的秘密可能是CA私钥备份恢复数据或CA私钥。4 缩略语下列缩略语适用于本文件zCA 证书认证机构,本标准中称为电子认证服务机构CertificateAuthority CP 证书策略CertificatePolicy CPS 电子认证业务规则CertificationPractice Statement CRL 证书撤销列表CertificateRevocation List OCSP在线证书状态查询协议OnlineCertificate Status Protocol PKI 公钥基础设施PublicKey Infras
11、tructure RA 注册机构RegistrationAuthority 5 电子认证服务机构运营的业务5. 1 用户证书服务5. 1. 1 证书申请与审核用户通过认证系统在线提交证书申请或通过注册机构申请证书,应按照电子认证服务机构的要求2 GB/T 28447-2012 提供相应的申请信息,如申请者姓名、域名、公司名、地址、联系方式等。用户还应提供电子认证服务机构审核证书申请所需要的相关证明材料,如机构资质证明、域名所有权证明等。电子认证服务机构的审核人员,依据用户提交的证明材料,对证书申请者的身份进行审核。电子认证服务机构在证书申请审核过程中,应保留完整的审核记录,以供日后审计、审查、
12、责任追踪和界定使用。5. 1.2 证书签发电子认证服务机构必须在完成规定的证书申请审核后,通过认证系统批准、签发证书。证书签发应有记录。5. 1.3 证书存储与发布电子认证服务机构通过认证系统为用户提供数字证书的存储与发布功能,使得依赖方可以查询、获取。5. 1.4 证书更新证书用户在证书有效期到达前,可以申请更新证书,已过期或撤销的证书不能更新。对证书用户提交的证书更新请求,电子认证服务机构必须进行审核,审核的方式包括手工和自动两种方式。于工审核的过程,要求在安全保障方面应与证书申请等同。对于自动审核方式,证书更新请求必须用原证书私钥签名,认证系统验证签名的有效性并自动签发更新证书。5. 1
13、. 5 证书撤销证书撤销有下列3种发起方式za) 由证书用户发起一一用户申请撤销证书,电子认证服务机构必须明确规定撤销证书申请的接受方式,如通过电话、邮件、在线申请等,以及审核程序。b) 由电子认证服务机构发起一一电子认证服务机构如发现用户证书申请资料存在虚假信息、不能满足证书签发条件等情况,或者发生(或怀疑发生)电子认证服务机构CA私钥泄露、认证系统存在安全隐患威胁用户证书安全等情况,可以不经过证书用户本人同意,予以撤销证书。c) 由依赖方发起一一当依赖方提出证书撤销申请时,如证书仅用于依赖方的系统,可以不经过证书用户本人同意,予以撤销证书。证书撤销后,电子认证服务机构必须在周期性签发的CR
14、L中,于最近的下次更新时间发布所撤销证书,或签发临时CRL发布所撤销证书;电子认证服务机构如提供OCSP服务,必须立即更新OCSP查询数据库,确保实时发布所撤销证书。证书撤销后,应通过电话、邮件、在线等方式,及时告知用户或依赖方证书撤销结果。电子认证服务机构必须记录所有证书撤销请求和相关操作结果。5. 1.6 证书冻结证书冻结有下列3种发起方式:a) 由证书用户发起一一用户申请冻结证书,电子认证服务机构必须明确规定冻结证书申请的接受方式,如通过电话、邮件、在线申请等,以及审核程序。b) 由电子认证服务机构发起一一-电子认证服务机构如发现用户证书申请资料存在虚假信息、不能满足证书签发条件等情况,
15、或者发生(或怀疑发生)电子认证服务机构CA私钥泄露、认证系统存在安全隐患威胁用户证书安全等情况,可以不经过证书用户本人同意,予以冻结证书。3 GB/T 28447-2012 c) 由依赖方发起一一当依赖方提出证书冻结申请时,如证书仅用于依赖方的系统,可以不经过证书用户本人同意,予以冻结证书。冻结的证书需在CRL中发布,当被冻结证书失效后,将不再出现在CRL中。在证书有效期内,对被冻结的证书有3种处理方式:a) 被冻结证书有效性元法验证,用户和依赖方不能使用证书;b) 被冻结证书转为正式撤销;c) 被冻结证书解冻,从CRL中删除,重新转为有效证书。证书冻结后,电子认证服务机构必须在周期性签发的C
16、RL中,于最近的下次更新时间发布所冻结证书,或签发临时CRL发布所冻结证书;电子认证服务机构如提供OCSP服务,必须立即更新OCSP查询数据库,确保实时发布所冻结证书。冻结的证书解冻后,电子认证服务机构应在周期性签发的CRL中,于最近的下次CRL更新中删除冻结的证书,电子认证服务机构如提供OCSP服务,应立即更新OCSP查询数据库,确保解冻的证书变为有效。证书冻结和解冻后,应通过电话、邮件、在线等方式,及时告知用户或依赖方冻结和解冻结果。电子认证服务机构必须记录所有证书冻结请求和相关操作结果。5. 1. 7 证书状态查询电子认证服务机构应为用户和依赖方提供如下2种证书状态查询服务(包括证书撤销
17、列表和/或在线证书状态查询): a) CRL查询。电子认证服务机构必须能够提供证书撤销列表(CRL)查询服务,CRL发布必须符合标准;必须明确规定CRL发布周期和发布时间,宜每天签发CRL;根据证书策略或当发生严重私钥泄露情况时,电子认证服务机构可签发临时CRL;根据证书策略和依赖方协议,用户和依赖方应及时检查、下载临时CRLo在证书有效期内的,被撤销证书必须一直保留在CRL中直至证书过期失效,被冻结证书在冻结期内必须保留在CRL中直至解冻。当被撤销或被冻结证书过期时,应从CRL中删除。电子认证服务机构发布的所有CRL必须定期归档保存,在证书失效后至少保留5年。b) OCSP查询。电子认证服务
18、机构必须能够提供在线证书状态查询(OCSP)服务,查询数据格式和响应查询结果必须符合国家有关标准;必须保证查询服务响应速度和并发查询性能满足服务要求;必须保证查询结果的实时性和准确性。5. 1. 8 证书归档电子认证服务机构应定期对过期失效以及被撤销的证书进行归档。在证书失效至少5年后,方可销毁归档数据。5.2 用户证书密钥服务电子认证服务机构必须说明所提供的证书类型及密钥对产生的方式,并告知证书用户和依赖方电子认证服务机构是否保存有用户证书私钥的备份。5.2. 1 用户证书密钥的产生、传递和存储通常情况下,用户的签名证书的密钥对由用户自己在其密码设备中生成,并由用户控制。用户加密证书密钥对可
19、由用户自己产生,或者由电子认证服务机构通过密钥管理中心集中生成,并通过安全的途径传送给用户。若加密证书密钥对由电子认证服务机构通过密钥管理中心集中生成,则加密证书私钥在传送给用户的过程中,不能以明文形式出现。当电子认证服务机构通过密钥管理中心G/T 28447-2012 为用户生成加密证书密钥对时,电子认证服务机构可将加密证书私钥的备份加密保存在密钥库中,以便在必要的时候恢复用户加密证书私钥。5.2.2 用户证书私钥激活数据的产生、传递和存储用户加密证书密钥对及其私钥激活数据可由用户自己产生和保存,或者由电子认证服务机构通过密钥管理中心集中生成。在后者的情况下,电子认证服务机构代用户产生的私钥
20、激活数据必须有足够的安全强度并通过一定的安全方式传送给用户,确保激活数据在传递过程中不被泄漏,并对传递过程进行跟踪和记录。5.2.3 用户证书私钥恢复电子认证服务机构不应保存用户签名证书的私钥备份。若电子认证服务机构保留有用户加密证书的私钥备份,则只能应用户自己要求或司法恢复需要,电子认证服务机构才能对用户加密证书的私钥进行恢复。私钥恢复应有多人参与才能完成,且应对操作过程及结果进行记录。5.2.4 用户证书密钥对的更新用户在进行证书更新时应同时更新证书的密钥对。若出于特别的原因和安排,允许用户在进行证书更新时不更新证书的密钥对,那么电子认证服务机构必须确保这种方式是安全的,且必须为不更新的密
21、钥对规定一个适合的、安全的最大期限,在这个期限后,该密钥不能再使用。5.2.5 用户证书私钥的归档和销毁电子认证服务机构不得拥有用户签名证书私钥,用户签名证书的私钥由用户自己根据需要进行管理和销毁。用户加密证书的密钥对由电子认证服务机构的密钥管理中心产生,在用户密钥对、证书失效后,电子认证服务机构应以加密的方式归档保留;所有归档密钥对,应至少在证书失效5年后方可销毁,销毁方式应能可靠地、彻底地销毁密钥信息。5.3 认证系统功能要求电子认证服务机构使用的认证系统应符合GB/T25056-2010中的要求,能够提供用户证书的申请、签发、存储、发布、更新、撤销、冻结、状态查询、归档以及用户证书密钥管
22、理等功能。5.4 认证业务流程要求认证业务流程应符合如下要求:a) 对于证书申请审核过程,电子认证服务机构应根据认证业务规则,制定严格的证书申请审核流程和规范,鉴别证书申请者提供的身份信息的真伪,验证证书申请者的身份,确认是证书申请者所声称的人、机构在申请证书。b) 对于证书更新的自动审核方式,电子认证服务机构必须确保能够通过一定的方式控制哪些证书可自动更新,防止非授权的更新。c) 电子认证服务机构应制定证书撤销管理策略和流程,确保撤销过程的规范和撤销结果的准确、及时。d) 电子认证服务机构可根据具体业务需要,制定证书冻结策略和流程,包括冻结请求、条件、宽限期及冻结状态的发布等。e) 电子认证
23、服务机构应在CP和CPS中发布证书状态查询服务策略,并在相关协议中明确提示证书用户和依赖方,使用证书时必须使用证书状态查询服务。5 GB/T 28447-2012 f) 电子认证服务机构应制定证书归档策略,以保证对过期失效以及被撤销的证书及时归档。g) 电子认证服务机构应制定用户证书密钥和私钥激活数据的传递策略,以保障传递过程中的安全性。h) 电子认证服务机构应制定严格的用户证书私钥恢复的管理规定和流程,确保用户私钥恢复的规范性和安全性。i) 电子认证服务机构应制定用户证书私钥归档、销毁流程,保证私钥被安全地归档或销毁,确保私钥不会泄漏。6 业务运营中的风险电子认证服务机构在业务运营过程中面临
24、着各类风险,包括系统风险、物理环境风险以及管理风险等。附录A对各类风险进行了举例说明,以供参考。本标准后面各章节描述了电子认证服务机构为应对各类风险所应采取的控制措施。7 认证系统运行要求7. 1 网络系统安全网络系统安全应符合如下要求:a) 电子认证服务机构及其注册机构的认证系统运行网络,必须采用独立的接入链路与公共网络连接,并与办公网络隔离,网段划分应符合GB/T25056-2010中的要求。b) 网络访问策略应只允许必需的访问,设定允许访问的主体(主机、端口)和对应的访问对象(主机、端口)以及连接方向,其他访问禁止。c) 应对网络中的实体设备进行网络漏洞扫描,根据检测结果及时发现存在的不
25、安全网络协议、网络服务,将不需要的网络协议、网络服务关闭,对于因业务需要而开启的不安全网络协议、网络服务应采取相应措施,使用更安全的网络协议、网络服务进行替换。d) 应在关键网段安装入侵检测系统,能够及时检测到并报告常见的入侵模式,能够且应该及时更新入侵模式知识库,具备完善的日志与审计功能。e) 实施网络服务安全配置与加固,只开启必需的网络服务,关闭其他的网络服务;对开启了的网络服务进行优化配置,定期打补丁。f) 网络应采用通过安全检测、安全认证的网络设备,如路由器、各类安全网关、交换机等。g) 若网络设备账户使用用户名/口令方式进行身份鉴别,则口令应具有足够的安全强度。h) 网络设备应有完备
26、的审计日志。i) 采取其他必要的安全措施,保障运营网络的安全。7.2 主机系统安全6 主机系统安全应符合如下要求za) 应通过主机漏洞扫描系统发现系统存在的安全漏洞,并采取应对措施,包括进行系统安全优化等。b) 应及时对系统安全漏洞打补丁,并采取防病毒措施,同时考虑采用其他系统安全加固技术,保障主机系统安全。c) 主机系统应只创建、开启必需账户,关闭不需要的默认账户,账户口令应具有足够的安全强度,确保只有授权用户、进程和应用才能访问相应的资源。GB/T 28447-2012 7.3 系统冗余与备份7.3. 1 系统冗余应采用设备冷/热备份、单机逻辑备份、双机备份等方式,对于生产系统的重要设备进
27、行备份/冗余设置和容错设计。应采用冗余技术、路由选择技术、路由备份技术等技术手段,实现网络备份与冗余。a) 网络链路冗余认证系统的网络对外应采用双路接人,并且两路网络接入来自不同的网络设施运营商,一路网络接人作为主服务线路,另一路接入作为备用线路,当主服务线路出现故障时能够迅速切换到备用线路。b) 主机冗余认证系统对关键业务、功能所在主机必须采用双机热备措施。对非关键业务、功能的设备,应该至少采用硬盘冷备份的方式进行系统备份。c) 电源冗余与后备发电对电子认证服务机构的电源有如下要求:1) 放置有认证系统的数据中心宜采用双路供电系统,即从建筑外至数据中心内至少具有两条供电线路;2) 必须为认证
28、系统及安全设备提供不间断电源(UPS),且不间断电源设备应该具有冗余,不间断电源提供的电力必须足够支持通常的断电时间;3) 有条件的电子认证服务机构应配置备用发电机,当出现停电且不间断电源不能提供持续的电力时,能够提供电力。7.3.2 系统备份电子认证服务机构应采用完全备份与增量备份相结合的方式对生产系统数据和信息进行备份。应制定备份数据收集、保管、押运、恢复的管理策略,确保备份数据的安全,防止泄露和未经授权的使用。备份数据宜实行同城异地保管,如租用银行保管箱保存数据备份。应定期检查备份系统和设备的可靠性和可用性,定期检查备份介质可靠性和数据完整性。应根据设备的重要程度、故障频率、供应难度、库
29、存数据量、设备金额等因素,综合评估运营风险,确定并建立关键设备和系统备份管理办法。应对关键设备做备份或采取有效办法保证供应的及时性(如与供应商签订应急维修或紧急供货合同)。a) 软件与数据备份软件与数据备份包括如下内容:1) 主机操作系统;2) 系统应用软件,如邮件系统、Web服务程序、数据库系统等;3) 认证系统软件;的系统上的客户定制数据;5) 系统配置;的数据库用户数据。对软件与数据备份有如下要求z1) 必须采用专门的备份系统对整个认证系统进行备份,备份数据可以保存在磁带、硬盘或其他介质上;2) 备份策略采用全备份与增量备份相结合的方式;3) 备份策略应该保证没有数据丢失或数据丢失不会造
30、成实质性的影响;7 GB/T 28447-2012 。在系统出现故障、遭遇灾难时,备份方案能够在最短的时间内从备份数据中恢复出原系统及数据;5) 选择的备份介质应能保证数据的长期可靠,否则应定期更新;的备份数据应存放在电子认证服务机构以外安全的地方,比如银行保管箱、灾难恢复中心等。b) 硬件设备备份电子认证服务机构硬件设备必须具有冗余、备份,在系统设备出现故障、损坏时能够及时更换。7.4 系统运营维护安全管理7.4. 1 系统权限管理电子认证服务机构应制定系统访问控制方面的管理规定,制定访问控制权限分配表,正确设置系统的用户角色和相应权限,所有运营维护只被赋予必须的、最小的权限,并对关键的、敏
31、感的操作进行权限分割。7.4.2 系统操作管理系统操作管理应符合如下要求:a) 应根据生产系统建设厂商的维护要求,制定运营维护策略和流程。b) 不经批准不得在服务器上安装任何软件和硬件;不经批准不得删除服务器上的任何文件。c) 应正确配置安全设备、网络设备、业务系统,定期检查、测试配置策略的有效性。应及时分析人侵检测系统的日志和所发现的问题,及时响应安全事件,调整安全策略。d) 应有与生产系统功能相一致的测试系统,用于功能、补丁的部署、升级等测试用途。测试系统中不得使用生产系统的业务数据。e) 应及时升级系统和数据库补丁包、安全包;及时升级防病毒软件病毒库;及时升级入侵检测系统、防火墙及网络设
32、备固件等。只有在测试系统中经测试合格后,方能在生产系统上正式部署。f) 应监控系统容量需求,制定未来容量需求的项目计划,保持适当的处理能力和存储能力。g) 生产系统的任何调整和升级,应先制定详细的技术实施方案,经电子认证服务机构的安全策略管理组织审核批准后,方可实施,并应有完整的实施记录。h) 对系统的任何操作,应做好操作记录。系统的事件和日志应及时归档保存。7.4.3 系统变更和升级应制定严谨的系统变更和升级的申请及审批策略、操作流程及验收标准,明确管理责任和程序,严格遵守管理控制程序,防止因为系统的变更和升级影响认证系统的正常运行。系统变更和升级应遵循如下准则za) 对设备、软件或程序的所
33、有变更制定严格的程序。b) 变更、升级前,对原系统业务数据和业务系统进行全备份。c) 保证原有系统中的数据到变更、升级后系统的平稳过渡。d) 系统变更和升级的实施方案和过程不应对已有客户、用户产生严重的影响。7.4.4 账户、口令管理应对网络设备和主机系统的账户口令的安全强度、使用期限、更换频率、保管手段、传输方式等进行要求和管理;应确保网络设备、主机和应用程序中没有设置默认的用户名、口令。GB/T 28447-2012 7.4.5 系统安全监控电子认证服务机构应在系统的各个重要环节设置各类监测、防护设备,实时监测网络数据流量,监视并记录内部、外部用户的操作行为,监测并记录各类安全事件,如攻击
34、、入侵、病毒等,能对异常的行为和安全事件采取相应的控制并及时报誓。电子认证服务机构应在运营场地管理区建立专门的系统监控室,由系统安全监控人员通过监控系统和设备对运营系统的运行状况、安全状况进行实时监控。当安全监控人员发现异常情况或安全事件后,应及时采取措施进行处理和记录,并报告安全主管,对于严重的安全事件,须上报安全策略管理组织。7.5 密码设备安全管理7.5. 1 认证系统密码设备管理认证系统所使用的密码设备应符合如下要求:a) 购买和运输电子认证服务机构及其注册机构购买、使用的密码设备,必须是通过国家密码管理机构审查的设备。密码设备从制造商到电子认证服务机构的运输过程应安全可靠,防止篡改或
35、非授权地接触。电子认证服务机构收到密码设备后,应及时确认密码设备没有被替换或改动。b) 保管和存储电子认证服务机构应委派可信人员负责密码设备的接收、存储、保管、领用等流程,并留有完整的记录。c) 安装、升级和维修电子认证服务机构的密码设备,在运营环境中的安装、拆卸、硬件更换、固件和软件升级等过程中应有两名以上可信人员现场监督。对密码设备进行故障诊断时,必须有两名以上可信人员在场;密码设备的维修必须始终处于电子认证服务机构可信人员的控制中。d) 功能测试新设备或密码设备修复后,在安装到认证系统使用前,应进行功能测试,只有测试正常方能投入使用。认证系统所有密码设备应做周期性测试和校验,并做好相应记
36、录。e) 报废和销毁生产系统中的密码设备不再使用后,应进行报废。所有报废必须经过审批,然后在安全环境中进行删除或归零操作,清除其中的密钥信息,并实施硬件销毁。报废和销毁必须有相应的记录。7.5.2 用户密码设备管理电子认证服务机构为用户提供的、用于生成和存储用户私钥的密码设备,在管理上应符合如下要求:a) 用户密码设备应是经国家密码管理机构批准生产和销售的密码设备。b) 电子认证服务机构应建立采购、测试、保管、使用、废弃等管理制度。c) 用户密码设备的管理应由可信雇员执行。d) 用户密码设备经测试功能正常后,方可进入生产流程。e) 电子认证服务机构应采用适当措施,保证用户能安全地获得密码设备和
37、激活数据。9 GB/T 28447-2012 f) 电子认证服务机构应对密码设备各阶段的管理信息进行记录。7.6 CA密钥和证书管理7.6.1 CA密钥的生成和存储电子认证服务机构CA密钥(含根密钥)必须使用通过国家密码管理机构审查的设备生成,并在其中存储。电子认证服务机构必须制定认证系统CA密钥的生成流程、操作等文档,在安全的(包括物理环境安全、流程安全以及参与的人员安全控制等)环境中操作。操作过程中应有操作员、见证人以及CA私钥激活数据保管员同时在场,并应对CA密钥的生成操作过程进行录像或拍照。在整个CA密钥生成过程中,所有关键步骤都要进行记录,以备审计。离线CA私钥必须保存在核心区;存放
38、在线CA私钥的密码设备必须位于屏蔽区域。7.6.2 CA私钥激活数据的管理电子认证服务机构应确保CA私钥激活数据在生成、保管及分发过程中安全可靠。7.6.3 CA密钥的使用应建立管理制度对CA密钥及其激活数据的使用权限进行严格控制,每次使用应有书面记录,记录应包括每次使用的时间、用途及操作人员等内容。7.6.4 CA密钥的备份与恢复为了防止存储CA密钥的硬件发生损坏导致数据丢失,CA密钥在生成之后,应进行克隆备份,以便在必要时进行恢复。的CA密钥备份电子认证服务机构应制定CA密钥备份策略,对CA密钥进行备份。备份必须使用秘密共享和加密存储机制,确保CA私钥不会以明文形式出现在密码硬件之外。被分
39、割的秘密可以是CA私钥备份恢复数据(如口令)或CA私钥本身,秘密共享采用公开的mof 算法(m二三60%X训,各秘密份额保存在不同的IC卡或智能密码钥匙中,并分发给不同的可信人员持有。密钥备份必须妥善保存在核心区内,并实行双人访问控制存取。可保存于具有防火、防热、防潮、防尘、防磁、防静电功能的保险柜中。保险柜应能保证在1000 .C火灾现场,纸张防火柜内温度保持180.C、磁盘防火柜内温度保持52.C不少于1h. b) CA密钥恢复当需要进行CA密钥恢复时,应有操作员、见证人、私钥恢复秘密份额保管员同时在场,由满足恢复要求的数量的秘密份额保管员输入分割数据,按照一定的算法进行合成并恢复CA密钥
40、到密码设备中。应将恢复操作全程进行记录。7.6.5 CA密钥的销毁电子认证服务机构必须制定彻底清除或销毁存储CA私钥密码设备的操作流程和办法,对因退出产品系统、超过归档期限或其他原因需要销毁的CA密钥对进行安全销毁,即销毁或归零存放私钥的密码设备。7.6.6 CA证书的创建和发布CA证书的创建,应事先进行审批,过程中做好记录,并在创建后适时发布,以保证用户和依赖方能10 GB/T 28447-2012 及时、安全的获取。7.6.7 CA证书的更新电子认证服务机构的CA证书可能会因为如下原因进行重新签发,称为CA证书更新一一延长有效期;一一更换密钥对;一一改变证书的其他信息(如签名算法、扩展项等
41、)。CA证书更新时,应采取与生成初始证书相同的流程和方法。对于更换密钥对的证书更新,则应采取与生成CA密钥相同的流程和方法。7.6.8 CA证书的撤销CA证书可能会被撤销的原因包括不再使用、私钥损坏、私钥世漏或怀疑泄漏以及被认为需要撤销的其他原因。CA证书的撤销操作,应如创建操作一样,事先进行审批,并做好撤销操作的记录;在被撤销后,相关信息被纳入到CA的CRL中,并及时发布。7.6.9 CA密钥和证书的归档CA证书失效后,必须将失效的CA密钥及CA证书归档并妥善保存。在证书失效至少5年后,方可销毁归档的CA密钥;归档数据和操作宜做签名。8 物理环境与设施8. 1 运营场地电子认证服务机构及其注
42、册机构提供电子认证服务必须有固定和适宜的运营场地(数据中心)。电子认证服务机构的场地环境建设应符合以F标准:a) 计算机机房(数据中心)的安全建设应符合GB/T9361的要求;b) 活动地板应该具有稳定的抗静电性能和承载能力,同时应耐油、耐腐蚀、柔光、不起尘,具体应符合SJ/T10796的要求;c) 计算机系统的供电电源技术指标、相对湿度控制、接地系统设置等应按GB/T2887中的规定执行pd) 计算机机房的耐火等级应符合GB50045及GBjT9361的规定;e) 计算机机房设计应符合GB50174的规定。8.2 运营区域划分及要求8.2. 1 基本要求电子认证服务机构机房场所为安全控制区域
43、,必须在机房场所的周边建立明确和清晰的安全边界(设置标志、物理障碍、门禁管理系统等),进行物理保护;安全边界应完善和完整,能及时发现任何入侵企图;安全边界应设置向外开启的消防通道防火门,并应能快速关闭z消防门应有防误开启标识和报警装置,开启时应能以声、光或电的方式向安全监控中心报警。安全区域应使用合格门锁,门应坚固,保证关闭安全;应使用合适的门禁系统和辅助设备,如加装闭门器、门位置状态检测器和门开启报警器等;采取必要措施,在各个区域防止尾随进入。安全区域物理环境的任何变更,如设备或系统的新增、撤销、部署调整等,必须事先完成风险评估和11 GB/T 28447-2012 安全分析,形成正式文档向
44、电子认证服务机构的安全策略管理组织申报,经审核批准后,方可实施,同时应做好完整的过程记录。8.2.2 区域划分电子认证服务机构机房场地根据业务功能分为公共区、服务区、管理区、核心区,各功能区域对应的安全级别为控制区、限制区、敏感区、机密区,安全等级和要求逐级提高。安全等级要求越高,安全防护措施和配套设施要求越严格。宜使用层级式安全区域防护进行安全区域隔离和物理保护。层级式安全区域防护是指将安全区域按照安全等级的重要程度,由外向内安全级别逐步提高,且只有经由较低级别的区域方能进入更高级别安全区域。不宜划分层级式安全区域的机房场所,应按照安全等级功能等同的原则保护各安全区域。a) 公共区(控制区)
45、电子认证服务机构场地的人口处、办公区域、辅助和支持区域属于公共区,应采用访问控制措施,如使用身份标识门禁卡控制出人。b) 服务区(限制区)服务区是提供证书审批、证书管理等电子认证服务的区域,必须使用身份标识门禁卡控制出人。c) 管理区(敏感区)该区域是电子认证系统运营管理区域,系统监控室、场地安全监控中心、配电室等均属于该区域。此区域必须使用身份标识门禁卡控制出人,推荐使用人体特征鉴别控制出人。d) 核心区(机密区)证书认证系统、密钥管理系统、离线私钥和私钥激活数据存放房间属于核心区。核心区必须使用身份标识门禁卡和人体特征鉴别身份,控制出入,且在核心区内必须采取职责分离与权限分割的方案和措施,使得单个人员在核心区内无法完成敏感操作。在核心区内,放置有在线签发数字证书的CA私钥的密码设备的区域,必须是至少符合GB/T9361 要求的屏蔽区域,该区域必须有安全的出人控制,且必须采取职责分离与权限分割的方案和措施,使得单个人员在屏蔽区域内无法完成敏感操作。8.3 安全监控系统宜设置专门用
