8.2 安全

8.2.1　概述

CA系統的安全包括系統安全、通信安全、密鑰安全、證書管理安全、安全審計、物理安全、人員安全等各方面的安全。

8.2.2　系統安全

系統安全的主要目標是保障網絡、主機系統、應用系統及數據庫運行的安全。應采取防火墻、病毒防治、漏洞掃描、入侵監測或入侵防御、數據備份、災難恢復等安全防護措施。

8.2.3　通信安全

通信安全的主要目標是保障CA系統各子系統之間、CA與KMC之間、CA與RA之間的安全通信，應采取通信加密、安全通信協議等安全措施。

8.2.4　密鑰安全

8.2.4.1　概述

密鑰安全的主要目標是保障CA系統中所使用的密鑰，在其生成、存儲、使用、更新、廢除、歸檔、銷毀、備份和恢復整個生命周期中的安全。應采取硬件密碼設備、密鑰管理安全協議、密鑰存取訪問控制、密鑰管理操作審計等多種安全措施。

8.2.4.2　基本要求

密鑰安全的基本要求是：

a) 密鑰的生成和使用必須在硬件密碼設備中完成；

b) 密鑰的生成和使用必須有安全可靠的管理機制；

c) 存在于硬件密碼設備之外的所有密鑰必須加密；

d) 密鑰必須有安全可靠的備份恢復機制；

e) 對密碼設備操作必須由多個操作員實施。

8.2.4.3 根CA密鑰

根CA密鑰的安全性除了滿足基本要求外，還應滿足下列要求：

a) 根CA密鑰的產生

CA系統的根密鑰由硬件密碼設備生成并存放在該密碼設備中，應采用（3，5）秘密共享機制將密鑰份額分享給5個分管者保管。

生成根CA密鑰時，應先選定分管者。選定的分管者應分別用自己輸入的口令保護分管的密鑰份額，分管的密鑰份額應存放在智能密碼鑰匙中。智能密碼鑰匙也應備份，并安全存放。

根CA密鑰的產生過程必須進行記錄。

b) 根CA密鑰的恢復

恢復根CA密鑰時，由5個分管者中任意3個將各自保管的密鑰份額輸入密碼設備，在密碼設備中恢復根CA密鑰。

c) 根CA密鑰的更新

根CA密鑰的更新，需重新生成根CA密鑰，其過程同根CA密鑰的生成。

d) 根CA密鑰的廢除

根CA密鑰的廢除應與根CA密鑰的更新同步。

e) 根CA密鑰的銷毀

根CA密鑰的銷毀應與備份的根CA密鑰一同銷毀。由密碼主管部門授權的機構實施。

8.2.4.4 非根CA密鑰

非根CA密鑰的安全性要求與根CA密鑰的安全性要求一致。

8.2.4.5 管理員證書密鑰

管理員包括超級管理員、審計管理員、審計員、業務管理員和業務操作員等。管理員證書對應的公私密鑰對必須使用硬件來產生，并將私鑰存儲在不可讀出的硬件（如智能密碼鑰匙）中。

管理員證書密鑰的安全性應滿足下列要求：

a) 管理員證書密鑰的產生和使用必須在證書載體中完成；

b) 密鑰的生成和使用必須有安全可靠的管理機制；

c) 管理員的口令長度為8個字節以上；

d) 管理員的帳號要和普通用戶帳號嚴格分類管理。

8.2.5　證書管理安全

證書的管理安全應滿足下列要求：

a) 驗證證書申請者的身份；

b) 防止非法簽發和越權簽發證書，通過審批的證書申請必須提交給CA，由CA簽發與申請者身份相符的證書；

c) 保證證書管理的可審計性，對于證書的任何處理都應作日志記錄。通過對日志文件的分析，可以對證書事件進行審計和跟蹤。

8.2.6 安全審計

8.2.6.1　概述

CA系統在運行過程中涉及大量功能模塊之間的相互調用，以及各種管理員的操作，對這些調用和操作需要以日志的形式進行記載，以便用于系統錯誤分析、風險分析和安全審計等工作。

8.2.6.2　功能模塊調用日志

系統內的各功能模塊在運行過程中會調用其他功能模塊或被其他功能模塊所調用，對于這些相互之間的功能調用，各模塊應該記錄如下數據：

a) 調用請求的接收時間；

b) 調用請求的來源網絡地址；

c) 調用請求發起者的身份；

d) 調用請求的內容；

e) 處理結果等。

8.2.6.3　CA超級管理員審計

CA超級管理員的下列操作應被記錄：

a) 根CA證書加載；

b) CA證書加載；

c) 證書撤銷列表加載；

d) 證書撤銷列表更新等。

e) 系統配置；

f) 權限分配。

8.2.6.4　CA業務操作員審計

CA業務操作員的下列操作應被記錄：

a) 證書請求批準；

b) 證書請求拒絕；

c) 證書請求分配；

d) 證書注銷。

8.2.6.5　RA業務操作員審計

RA業務操作員的下列操作應被記錄：

a) 證書請求批準；

b) 證書請求拒絕；

c) 證書請求分配；

d) 證書注銷。