6.5 設施、管理和操作控制

6.5.0 本項說明

此項描述非技術安全控制（即物理、過程和人員控制），簽發CA使用這些控制手段來安全地實現密鑰生成、主體鑒別、證書簽發、證書吊銷、審計和歸檔等功能。

此項也用于定義信息庫、主體CA、RA、訂戶和其他參與者的非技術安全控制，主體CA、RA、訂戶和其他參與者的這些非技術控制手段可能會相同、相近或非常不同。

對證書的可信而言，這些非技術安全控制很重要，因為缺乏安全控制可能會使CA在創建證書或CRL時混入錯誤信息，或者CA的私鑰泄漏。

在每個子項當中，通常對每個實體類型都要給予分別考慮，即簽發CA、信息庫、主體CA、RA、訂戶和其他參與者。

6.5.1　物理控制

該子項當中，描述了針對放置實體系統的機房設施的物理控制，可以包括下列主題：

—— 場所區域和建筑，如對高安全區的建筑要求，使用帶鎖的房間、屏蔽室、保險柜、櫥柜；

—— 物理訪問，也就是從場所的一個區域到另一個區域或進入安全區的訪問控制機制，如將CA的運營安置在有門衛把守或安全警報的安全計算機機房內，從一個區域到另一個區域的移動需要使用令牌、生物識別設備和（或）訪問控制列表；

—— 電力和空調；

—— 水患防治；

—— 火災預防和保護；

—— 介質存儲，例如需要在不同的場所利用備份介質進行存儲，該場所在物理上是安全的，能夠防止水災和火災的破壞；

—— 廢物處理；

—— 異地備份。

6.5.2　過程控制

該子項中，描述定義可信角色的要求，以及各個角色的責任。可信角色包括系統管理員、安全官員和系統審計員等。

對于規劃出每項任務，要聲明完成該項任務所需的每個角色人員數，還可以定義對每個角色的標識和鑒別要求。

此項還可能包括按照角色而定義的責任分離，這些角色不能由相同的人承擔。

6.5.3　人員控制

該子項說明下列內容：

—— 對于充當可信角色或其他重要角色的人員，其需要具備的資格、經歷和無過失證明要求，例如對這些職位的候選者所需具備的信任證明、工作經歷和官方憑證；

—— 在雇傭充當可信角色或其他重要角色的人員時所需背景審查程序，這些角色可能要求調查其犯罪記錄、檔案，以及參加者需要持有為雇傭特定人員而制作的附加憑證；

—— 雇傭人員后對每個角色的培訓要求和過程；

—— 在完成原始培訓后對每個角色的再培訓周期和過程；

—— 在不同角色間的工作輪換周期和順序

—— 對下列行為的處罰：未授權行為、未授予的權力使用和對系統的未授權使用，從而破壞全體人員過程的可追蹤性；

—— 對獨立合約人而非實體內部雇員的控制，包括：

●　 對締約人員的責任要求；

●　 合同要求，包括對由締約人員行為造成的損失的賠償；

●　 對締約人員的審計和監控；

●　 對締約人員的其他控制。

—— 對全體人員在初始培訓、再培訓和其他過程中使用的文檔。

6.5.4　審計日志程序

該子項用于描述事件日志和審計系統，實現該系統的目的在于維護一個安全的環境。包括下列元素：

—— 記錄事件的類型，如證書生命周期操作、對系統的訪問企圖和對系統的請求；

—— 處理或歸檔日志的周期，如每星期、在報警或異常事件之后，或審計日志已滿時；

—— 審計日志的保存期；

—— 審計日志保護：

●　 誰可以瀏覽審計日志，如只能是審計管理員；

●　 對審計日志更改的保護，如要求沒有人能夠更改或刪除審計記錄或者只有審計管理員才能夠刪除審計文件；

●　 對審計日志刪除的保護。

—— 審計日志備份程序；

—— 審計日志收集系統是在實體的內部還是外部；

—— 是否對觸發事件的主體進行通告；

—— 脆弱性評估，如審計數據的運行工具破壞系統安全性的潛在可能。

6.5.5　記錄歸檔

該子項用于描述通用的記錄歸檔（或記錄保留）策略，包括：

—— 歸檔記錄的類型，例如所有審計數據、證書申請信息、支持證書申請的文檔；

—— 檔案的保存期；

—— 檔案的保護：

●　 誰可以瀏覽檔案，如要求只有審計管理員才能瀏覽；

●　 對檔案更改的保護，如將數據保存在只能一次寫入的介質中；

●　 對檔案刪除的保護；

●　 對檔案保存介質老化的保護，如要求周期性地將數據保存到新的介質；

●　 對硬件、操作系統和其他軟件廢止的保護，如將硬件、操作系統和（或）其他軟件作為歸檔的一部分，以能夠在后期訪問和使用歸檔數據。

—— 檔案備份程序；

—— 對記錄加蓋時間戳的要求；

—— 檔案收集系統是內部還是外部；

—— 獲得和驗證檔案信息的程序，如由兩個人分別來保留歸檔數據的兩個拷貝，并且為了確保檔案信息的準確，需要對這兩個拷貝進行比較。

6.5.6　CA密鑰更替

該子項描述CA產生新密鑰，并將新的公鑰提供給CA用戶的過程。此過程可以與產生當前密鑰的過程相同，而且可以用舊密鑰為新密鑰簽發證書。

6.5.7　損害和災難恢復

該子項描述與密鑰損害或災難事件相關的通告和恢復過程要求，對下列內容需要分別考慮：

—— 適用事件和損害的列表，以及對事件的報告和處理過程。

—— 對計算資源、軟件和（或）數據被破壞或懷疑被破壞的恢復過程，此過程包括如何重建一個安全環境，哪些證書要吊銷，實體的密鑰是否被吊銷，如何將新的實體公鑰提供給用戶，以及如何為主體重新發證。

—— 對實體私鑰損害的恢復過程，此過程包括如何重建一個安全環境，如何將新的實體公鑰提供給用戶，以及如何為主體重新發證。

—— 自然或其他災難后實體的業務連續性能力，此能力包括遠程熱備站點對運營的恢復，也可以包括在災難發生后到重建安全環境前，或者在原始站點，或者在遠程站點保護其設施的程序。例如，防止從遭地震破壞的站點偷竊敏感信息的程序。

6.5.8　CA或RA終止

該子項描述與CA或RA終止和終止通告相關的過程的要求，包括CA或RA檔案記錄管理者的身份問題。