1、電子認證服務機構運營管理規范（國標）2010年8月26目次1 范圍32 規范性引用文件33 術語和定義43.1 電子認證服務機構 certification authority43.2 證書策略 certificate policy43.3 電子認證業務規則 certification practice statement43.4 證書撤銷列表 certificate revocation list43.5 自主訪問控制 discretionary access control43.6 數字證書 digital certificate43.7 公鑰基礎設施 public key infrast

2、ructure43.8 注冊機構 registration authority53.9 秘密分擔 secret sharing54 縮略語55 運營系統55.1 認證系統55.2 運營網絡55.3 密碼設備55.4 系統安全65.5 系統冗余與備份76 運營場地與設施86.1 運營場地86.2 運營區域劃分及要求86.3 安全監控系統96.4 環境保護與控制設施106.5 支撐設施106.6 RA場地安全117 職能與角色117.1 必需的部門職能117.2 必須的崗位角色118 認證業務管理128.1 業務規范和協議128.2 用戶證書生命周期管理128.3 用戶證書密鑰管理148.4 CA

3、密鑰和證書管理158.5 客戶隱私保護168.6 RA管理179 安全管理179.1 安全策略與規劃179.2 安全組織179.3 場地訪問安全管理189.4 場地監控安全管理189.5 系統運維安全管理189.6 人員安全管理199.7 密碼設備安全管理199.8 文檔安全管理209.9 介質安全管理209.10 安全實施與監督2110 業務連續性控制2110.1 概要2110.2 業務連續性計劃2110.3 應急處理2110.4 災難恢復2310.5 災備中心2311 記錄與審計2311.1 記錄保存2411.2 記錄的查閱2411.3 記錄歸檔2411.4 記錄銷毀2411.5 審計24

4、參考文獻26電子認證服務機構運營管理規范1 范圍本標準規定了電子認證服務機構在運營管理方面的規范性要求。本標準適用于在開放的互聯網環境中提供數字證書服務的電子認證服務機構，對于在封閉環境中（如在特定團體或某個行業內）運行的電子認證服務機構可根據自身安全風險評估以及國家有關的法律法規有選擇性地參考本標準。國家有關的測評機構、監管部門也可以將本標準作為測評和監管的依據。電子認證服務機構的行政管理應遵從中華人民共和國電子簽名法等相關法律法規和管理部門的規定。本標準所涉及的密碼管理部分，按照國家密碼管理機構的相關規定執行。2 規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是標注日

5、期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是未標注日期的引用文件，其最新版本適用于本標準。GB 6650 計算機機房用活動地板技術條件GB 50045 高層民用建筑設計防火規范GB 50174 電子信息系統機房設計規范GB/T 2887 計算站場地技術條件GB/T 9361 計算站場地安全要求GB/T 16264.82005 信息技術 開放系統互聯 目錄 第8部分：公鑰和屬性證書框架GB/T 197132005 信息技術 安全技術 公鑰基礎設施 在線證書狀態協議GB/T 197162005

6、 信息技術 信息安全管理實用規則GB/T AAAAAAAA證書認證系統密碼及其相關安全技術規范GB/T AAAAAAAA 信息技術 安全技術 公鑰基礎設施 數字證書格式GB/T YYYYYYYY 信息技術 安全技術 公鑰基礎設施 證書策略與認證業務聲明框架IETF RFC1777 Lightweight Directory Access ProtocolIETF RFC2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol - OCSPIETF RFC2587 Internet X.509

7、 Public Key Infrastructure LDAPv2 Schema3 術語和定義下列術語和定義適用于本標準。3.1 電子認證服務機構 certification authority一個被終端實體所信任的簽發公鑰證書的證書認證實體，它是一個可信的權威機構，獲得授權面向社會公眾提供第三方電子認證服務的數字證書認證中心（簡稱CA、CA中心、CA機構、電子認證服務機構）。3.2 證書策略 certificate policy是一個指定的規則集合，它指出證書對于具有普通安全需求的一個特定團體和（或）具體應用類的適用性。3.3 電子認證業務規則 certification practice

8、statement關于電子認證服務機構在簽發、管理、撤銷或更新證書（或更新證書中的密鑰）時的業務實施聲明。3.4 證書撤銷列表 certificate revocation list一個經電子認證服務機構數字簽名的列表，它標出了一系列證書頒發者認為無效的證書。3.5 自主訪問控制 discretionary access control由客體的所有者主體自主地規定其所擁有客體的訪問權限的方法。有訪問權限的主體能按授權方式對指定客體實施訪問，并能根據授權，對訪問權限進行轉移。3.6 數字證書 digital certificate經權威的、可信賴的、公正的第三方機構（即電子認證服務機構，CA），

9、數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。3.7 公鑰基礎設施 public key infrastructure支持公開密鑰體制的安全基礎設施，提供身份鑒別、信息加密、數據完整性和交易抗抵賴。3.8 注冊機構 registration authority具有下列一項或多項功能的實體：識別和鑒別證書申請者，同意或拒絕證書申請，在某些環境下主動撤銷或掛起證書，處理訂戶撤銷或掛起其證書的請求，同意或拒絕訂戶更新其證書或密鑰的請求。通常將注冊機構簡稱為RA，或RA機構。3.9 秘密分擔 secret sharing秘密分擔指將一個秘密在一組參入者間進行分發的方法，其中每個參入者被分配了該秘

10、密經分割后的一份，稱為秘密份額或秘密分割。只有足夠數量的秘密份額才能恢復原秘密，單個的秘密份額本身是沒有的。在本標準中，被分擔的秘密可能是CA私鑰激活數據、CA私鑰備份恢復數據或CA私鑰。4 縮略語下列縮略語適用于本標準：CA 電子認證服務機構CP 證書策略CPS 電子認證業務規則CRL 證書注銷列表IETF 互聯網工程任務組LDAP 輕量目錄訪問協議OCSP 在線證書狀態查詢協議PKI公鑰基礎設施RA 證書注冊機構5 運營系統5.1 認證系統電子認證服務機構使用的認證系統（包括證書認證系統和密鑰管理系統）應該遵循GB/T AAAAAAAA證書認證系統密碼及其相關安全技術規范。5.2 運營網絡

11、電子認證服務機構及其注冊機構的認證系統運行網絡，須采用獨立的接入鏈路與公共網絡連接，并與辦公網絡隔離，網段劃分應符合GB/T AAAAAAAA證書認證系統密碼及其相關安全技術規范的要求。電子認證服務機構認證系統運行網絡應盡可能采用多路冗余鏈路接入公共網絡，且多路接入鏈路來自不同的獨立網絡通信提供商。5.3 密碼設備電子認證服務機構及其注冊機構所使用的密碼設備，必須是通過國家密碼主管部門審查、具備銷售資質的設備。5.4 系統安全電子認證服務機構應依據所制定的安全策略，在認證系統的實體身份標識與鑒別、訪問控制與權限分割、信息與數據安全、網絡系統安全、主機系統安全等方面采取相應安全措施。5.4.1

12、身份標識與鑒別認證系統必須對如下實體進行身份標識和鑒別：1）對外的服務器（模塊）；2）內部服務器（模塊）；3）密碼設備（模塊）；4）證書管理員；5）數據庫管理員；6）主機系統帳戶。采用的身份標識和鑒別技術應該與相應的安全需求一致。若采用用戶名/口令方式進行身份標識和鑒別，則在安全需求較高時，必須對口令的長度、內容和更換頻度做出相應的規定。對外服務器（模塊）、證書管理員的身份標識和鑒別應該采用數字證書；證書管理員身份標識證書的私鑰應該存放在安全硬件介質中，如USB Key、智能卡，并保證私鑰的安全。5.4.2 訪問控制與權限分割認證系統應該基于對實體的身份鑒別實現訪問控制，而且，對證書、密鑰管理

13、中的關鍵操作必須進行權限分割。5.4.3 信息與數據安全對于CA系統與外部用戶、系統間的通信，CA系統內服務器、模塊之間的通信，必須保證通信數據的保密性、完整性及數據收、發方的身份真實性。5.4.4 網絡系統安全1) 網絡安全a) 為了保護網絡免受網絡攻擊的威脅，應部署安全網關設備，將認證系統網絡與其他網絡進行物理隔離，并將認證系統網絡按照技術規范要求劃分為不同的網段。安全網關設置應只允許必需的訪問，設定允許訪問的主體（主機、端口）和對應的訪問對象（主機、端口）以及連接方向，其他訪問禁止；安全網關應有充分的日志和審計功能。b) 應對網絡中的實體設備進行網絡漏洞掃描，根據檢測結果及時發現存在的不

14、安全網絡協議、網絡服務，將不需要的網絡協議、網絡服務關閉，對于因業務需要而開啟的不安全網絡協議、網絡服務應采取相應措施，需要用更安全的網絡協議、網絡服務替換。c) 應在關鍵網段安裝入侵檢測系統，能夠及時檢測到并報告常見的入侵模式，能夠且應該及時更新入侵模式知識庫，有完善的日志與審計功能。d) 實施網絡服務安全配置與加固，只開啟必需的網絡服務，關閉所有其他的網絡服務；對開啟了的網絡服務進行優化配置，定期打補丁。e) 采取其他必要的安全措施，以保障運營網絡的安全。2) 網絡設備安全對于網絡設備應該從如下幾個方面保證安全：a) 采用通過安全檢測、安全認證的網絡設備，包括路由器、各類安全網關、交換機等

15、。b) 若網絡設備帳戶使用用戶名/口令方式進行身份鑒別，則口令應具有足夠的安全強度。c) 有完備的審計日志。5.4.5 主機系統安全1) 認證系統的主機應從如下幾個方面確保主機系統自身安全：a) 采用可靠的操作系統。b) 實現自主訪問控制。c) 通過主機漏洞掃描系統發現系統存在的安全漏洞，如口令設置、文件權限、帳戶管理、用戶組管理、系統配置，并采取相應措施，包括進行系統安全優化。d) 及時對系統安全漏洞打補丁。e) 采取防病毒措施。f) 采用其它系統安全加固技術。2) 認證系統的主機應該從如下幾個方面確保主機系統管理安全：a) 只創建、開啟必需帳戶，關閉不需要的缺省帳戶；b) 帳戶口令具有足夠

16、的安全強度；c) 確保只有授權用戶、進程和應用才能訪問相應的資源。5.5 系統冗余與備份5.5.1 系統冗余應采用設備冷/熱備份、單機邏輯備份、雙機備份等，對于生產系統的重要設備進行備份/冗余設置和容錯設計。應采用冗余技術、路由選擇技術、路由備份技術等，實現網絡備份與冗余。1) 網絡鏈路冗余CA系統的網絡對外應采用雙路接入，并且兩路網絡接入來自不同的網絡設施運營商（僅僅是服務提供商還不行），一路網絡接入作為主服務線路，另一路接入作為備用線路，當主服務線路出現故障時能夠迅速切換到備用線路。2) 主機冗余CA系統對關鍵業務、功能的主機必須采用雙機熱備措施。對非關鍵業務、功能的設備，應該至少采用硬盤

17、冷備份的方式進行系統備份。3) 電源冗余與后備發電對電子認證服務機構的電源有如下要求：a) 放置有CA系統的數據中心應該采用雙路供電系統,必須至少保證從建筑外至數據中心內具有兩條供電線路；b) 必須為認證系統及安全設備提供不間斷電源（UPS），且不間斷電源設備（UPS）應該具有冗余，不間斷電源提供的電力必須足夠支持通常的斷電時間；c) 有條件的電子認證服務機構應配置備用發電機，當出現停電且不間斷電源不能提供持續的電力時，能夠提供電力。5.5.2 系統備份電子認證服務機構應采用完全備份與增量備份相結合的方式對生產系統數據和信息進行備份。應制定備份數據收集、保管、押運、恢復管理策略，確保備份數據的

18、安全，防止泄露和未經授權使用。備份數據宜實行同城異地保管，如租用銀行保管箱保存數據備份。應定期檢查備份系統和設備的可靠性和可用性，定期檢查備份介質可靠性和數據完整性。應根據設備的重要程度、故障率、供應難度、庫存數據量、設備金額等因素，綜合評估運營風險，確定并建立關鍵設備和系統備份管理辦法。應對關鍵設備做備份或采取有效辦法保證供應的及時性（如與供應商簽訂應急維修或緊急供貨合同）。1) 軟件與數據備份軟件與數據備份包括如下內容：a) 主機操作系統；b) 系統應用軟件，如郵件系統、Web服務程序、數據庫系統等；c) 認證系統軟件；d) 系統上的客戶化定制數據；e) 系統配置；f) 數據庫用戶數據。對

19、軟件與數據備份有要求如下：a) 必須采用專門的備份系統對整個CA系統進行備份，備份數據可以保存在磁帶、硬盤或其他介質上；b) 備份策略采用全備份與增量備份相結合；c) 備份策略應該保證沒有數據丟失或數據丟失不會造成實質性的影響；d) 在系統出現故障、災難時，備份方案能夠在最短的時間內從備份數據中恢復出原系統及數據；e) 選擇的備份介質應能保證數據的長期可靠，否則應定期更新；f) 備份數據應存放在電子認證服務機構以外安全的地方，比如銀行保險柜、災難恢復中心。2) 硬件設備備份電子認證服務機構硬件設備必須具有冗余、備份，在系統設備出現故障、損壞時能夠及時更換設備。6 運營場地與設施6.1 運營場地

20、電子認證服務機構及其注冊機構提供電子認證服務必須有固定和適宜的經營場所和機房場地（數據中心）。電子認證服務機構的場地環境建設應符合以下標準：1) 計算機機房（數據中心）的安全建設必須符合GB/T9361；2) 活動地板應該具有穩定的抗靜電性能和承載能力，同時要耐油、耐腐蝕、柔光、不起塵等，具體要符合GB 6650的要求；3) 計算機系統的供電電源技術指標、相對濕度控制、接地系統設置等應按GB/T 2887中的規定執行；4) 電子計算機機房的耐火等級應符合GB 50045及GB/T 9361的規定；5) 計算機機房設計應符合GB 50174的規定。6.2 運營區域劃分及要求6.2.1 基本要求電

21、子認證服務機構機房場所為安全控制區域，必須在機房場所的周邊，建立明確和清晰的安全邊界（設置標志、物理障礙、門禁管理系統等），進行物理保護；安全邊界應完善和完整，能及時發現任何入侵企圖；安全邊界應設置向外開啟的消防通道防火門，并應能快速關閉；消防門應有防誤開啟標識和報警裝置，開啟時應能以聲、光或電的方式向安全監控中心報警。安全區域應使用合格門鎖，門應堅固，保證關閉安全；應使用合適的門禁系統和輔助設備，如加裝閉門器、門位置狀態檢測器和門開啟報警器等；采取必要措施，在各個區域防止尾隨進入。安全區域物理環境的任何變更，如設備或系統的新增、撤消、部署調整等，必須事先完成風險評估和安全分析，形成正式文檔向

22、認證機構的安全策略管理組織申報，經審核批準后，方可實施。同時應做好完整的過程記錄。6.2.2 區域劃分CA機房場地根據業務功能分為公共區、服務區、管理區、核心區、屏蔽區，各功能區域對應的安全級別為控制區、限制區、敏感區、機密區、高度敏感區，安全等級和要求逐級提高。安全等級要求越高，安全防護措施和配套設施要求越嚴格。宜使用層級式安全區域防護，進行安全區域隔離和物理保護。層級式安全區域防護是指，將安全區域按照安全等級的重要程度，由外向內安全級別逐步提高，且只有經由低級別的區域方能進入更高級別安全區域。不宜劃分層級式安全區域的機房場所，應按照安全等級功能等同的原則保護各安全區域。1) 公共區（控制區

23、）電子認證服務機構場地的入口處、辦公區域、輔助和支持區域屬于公共區，應采用訪問控制措施，可以使用身份標識門禁卡控制出入。2) 服務區（限制區）服務區是提供證書審批、證書管理等電子認證服務的區域，必須使用身份標識門禁卡控制出入。3) 管理區（敏感區）該區域是電子認證系統運營管理區域，系統監控室、場地安全監控中心、配電室等均屬于該區域。此區域必須使用身份標識門禁卡或人體特征鑒別控制出入。4) 核心區（機密區）證書認證系統、密鑰管理系統、離線私鑰和私鑰激活數據存放房間屬于核心區。核心區必須使用身份標識門禁卡和人體特征鑒別身份，控制出入，且在核心區內必須采取職責分離與權限分割的方案和措施，使得單個人員

24、在核心區內無法完成敏感操作。5) 屏蔽區（高度敏感區）屏蔽區位于核心區的數據中心內，放置有使用在線CA私鑰簽發數字證書的密碼設備。屏蔽區必須有安全的出入控制，且在屏蔽區內必須采取職責分離與權限分割的方案和措施，使得單個人員在屏蔽區內無法完成敏感操作。屏蔽區的屏蔽效果至少應符合GB9361要求。6.3 安全監控系統 宜設置專門用途的安全監控中心，對機房建筑整個區域發生的出入訪問進行實時監控。6.3.1 門禁認證機構機房區域必須采用適宜的門禁管理系統進行物理場地訪問控制管理。門禁系統應能支持以電子身份識別卡、生物特征、PKI/CA技術等單獨和/或以組合形式的方式鑒別身份；應能控制認證機構整個運營場

25、地的所有出入口；應能識別、區分正確進出方式，如未刷卡進入，則不能刷卡離開；應能與安全偵測布防系統結合，對各個區域進行安全布防，偵測到異常活動時，應具備報警功能（如聲光報警、短信/電話報警、門禁聯動鎖止等）；門禁系統應有備用電源，能保證不間斷進行訪問控制；系統應有完善的事件紀錄和審計控制；門禁系統控制中心應位于安全監控中心或相同安全等級的區域內。在發生緊急情況（如電力故障、消防報警）時，所有消防疏散通道受控門應處于開啟狀態，重要區域如核心機房、資料室等區域應處于外部關閉、內部可手工開啟的狀態；前述重要區域應有應急開啟裝置，且當應急開啟裝置開啟時，必須以聲、光、電的方式發出報警信號，同時系統應顯示

26、報警區域并記錄應急情況發生詳細信息。 應定期將門禁記錄整理歸檔，并保存合理時間。6.3.2 入侵檢測在機房場所建筑區域內應安裝入侵檢測報警系統，進行安全布防。安全區域窗戶上應安裝玻璃破碎報警器，建筑內天花板上應安裝活動偵測器，發生非法入侵應立即報警。入侵檢測系統應有應急備用電源提供電力支持，保證在出現外部供電中斷時系統能夠不間斷的運行。6.3.3 監控錄像必須設置合適的監控點，采用錄像集中監控對整個機房的活動區域進行24小時不間斷的監控。錄像記錄可以采用兩種方式，一種為不間斷錄像；另一種為采用活動偵測系統與錄像相結合的方式，不間斷監控，間斷（活動偵測）錄像。合理調整錄像監控鏡頭位置，應能有效識

27、別進出人員和紀錄操作行為；錄像記錄應安全保管并定期歸檔，錄像記錄的查閱必須經安全主管批準。錄像記錄最少保留3個月；重大活動記錄應保留1年以上，可采用刻盤備份等形式。監控錄像系統應配有應急備用電源提供電力支持，保證在出現外部供電中斷時系統不間斷運行。6.4 環境保護與控制設施6.4.1 空氣和溫濕度控制必須有完備的空調系統，保證機房有充足、新鮮和潔凈的空氣供應；保證機房各個區域的溫濕度能滿足系統運行、人員活動和其他輔助設備的要求。6.4.2 防雷擊和接地必須采用符合國家標準的防雷措施。必須設置綜合地線系統；屏蔽機房必須設立保護地線，應經常檢測接地電阻，確保人身、設備運行的安全；應設置交流電源地線

28、，交流供電應采用符合規范的三芯線，即相線、中線、地線。計算機系統安全保護地電阻值、計算機系統防雷保護地電阻值必須符合國家標準建筑物防雷設計規范GB50057和建筑物電子信息系統防雷技術規范GB50343的有關規定。6.4.3 靜電防護機房的地板或地面應有靜電泄放措施和接地構造，防靜電地板、地面的表面電阻或體積電阻應為2.5×1041.0×109，且應具有防火、環保、耐污耐磨性能。6.4.4 水患防治應正確安裝水管和密封結構，合理布置水管走向，防止發生水害損失。機房內應進行防水檢測，發現水害能及時報警。6.4.5 消防設施建筑材料耐火等級必須符合GBJ45-1982規定。辦公

29、區域必須設置火災自動報警系統和滅火系統，可以使用水噴淋滅火裝置，并應配備合理數量的手持滅火器具。認證系統所在機房必須安裝火災自動報警系統和自動滅火系統，火災探測系統應能同時通過檢測溫度和煙霧發現火災的發生，且火災報警系統應與滅火系統聯動。火災報警系統包括火災自動探測、區域報警器、集中報警器和控制器等，能夠對火災發生區域以聲、光或電的方式發出報警信號，并能以手動或自動的方式啟動滅火設備。用于生產系統的滅火系統，不得使用水作滅火介質，必須使用潔凈氣體滅火裝置。宜使用惰性氣體如IG541作為滅火介質。凡設置潔凈氣體滅火系統的機房區域，應配置一定數量的專用空氣呼吸器或氧氣呼吸器。6.5 支撐設施6.5

30、.1 供配電系統供配電系統布線應采用金屬管、硬質塑料管、塑料線槽等；塑料件應采用阻燃型材料；強電與弱電線路應分開布設；線路設計容量應大于設備總用量；應設立獨立的配電室，通過配電柜控制供電系統。應使用雙路供電，并安裝使用在線式UPS對機房供電，保障機房（數據中心）有不間斷的供電。當出現意外情況導致供電中斷時，在線式UPS應能以不間斷的方式進行供電切換并持續向機房提供至少8小時的供電。6.5.2 照明機房工作區域主要照明應采用高效節能熒光燈，照度標準值為500lx，照明均勻度不應小于0.7；主要通道應設置通道疏散照明及疏散指示燈，主機房疏散照明照度值不應低于5lx，其他區域通道疏散照明的照度值不應

31、低于0.5lx。6.5.3 服務通信系統電子認證服務機構應設置與開展認證服務有關的各類通信系統，如客戶電話、傳真、電子郵件系統，并保障24小時暢通。6.6 RA場地安全 RA系統可建立、運行在電子認證服務機構中，也可建立、運行在RA機構中。運行RA系統并開展RA業務的機構，其運營場地和設施應符合如下要求：1) RA場地應有門禁監控系統，及為RA系統的各類設備提供電力、空氣和溫濕度控制、消防報警和滅火功能的環境保護設施和相關支撐系統；RA也可選擇符合上述條件的IDC放置RA系統設備。 2) 使用了加密機的RA系統，應另設專門的控制區域，對加密設備進行適當保護。7 職能與角色7.1 必需的部門職能

32、電子認證服務機構應設立開展電子認證服務所需的如下職能部門：1）安全策略管理審批電子認證服務機構整體安全策略、證書策略、電子認證業務規則等重要策略文檔，監督安全制度、安全策略的執行，對異常情況、安全事故以及其他特殊事件進行處理。2）安全管理制定并貫徹執行公司的安全策略和安全制度。3）運營管理運行、維護和管理認證系統、密碼設備及物理環境、場地設施。4）人事管理執行可信雇員背景調查，并對可信雇員進行管理。5）認證服務審批和管理用戶證書。6）技術服務：提供技術咨詢和支持服務。7.2 必須的崗位角色電子認證服務機構應設置如下必須的崗位角色：1）安全策略管理組織負責人負責安全策略管理組織的管理工作。2）安

33、全管理人員包括安全經理和負責網絡與系統安全管理、場地安全管理的專業人員。3）密鑰管理員負責CA密鑰和證書管理，以及核心區密碼設備管理。4）系統維護員負責辦公系統和認證系統的維護。5）鑒別與驗證員負責用戶證書的審批工作。6）客戶檔案管理員：負責管理客戶資料檔案。7）客戶服務員為客戶提供技術咨詢與支持、和售后服務。8）審計員負責定期對系統運營狀況、業務規范、安全制度執行情況進行檢查與審計。9）人事經理負責制定可信雇員政策，對關鍵崗位人員進行管理。8 認證業務管理8.1 業務規范和協議8.1.1 證書策略和認證業務規則電子認證服務機構應制定證書策略（CP）與電子認證業務規則（CPS）。證書策略要對電

34、子認證服務機構簽發的證書的類型、適用的環境、適用的應用、認證要求、安全保障要求等方面做出廣泛而全面的規定。電子認證業務規則須闡述電子認證服務機構如何貫徹實施其證書策略。認證業務規則的編寫應符合GB/T YYYYYYYY 信息技術 安全技術 公鑰基礎設施 證書策略與認證業務聲明框架的要求。電子認證服務機構應對證書策略與電子認證業務規則進行有效管理，設有負責撰寫、修改、審核、發布和管理的部門，并制定相應管理流程。電子認證服務機構應根據其業務內容的變化，及時修改、調整其證書策略與電子認證業務規則。證書策略與電子認證業務規則，以及其修改版本，須經認證機構的安全策略管理組織批準后才能公開發布。8.1.2

35、 客戶協議提供公共服務的電子認證服務機構，應對其提供的證書業務同客戶簽訂或通過某種方式向客戶明示相應的法律協議，這些協議對客戶和電子認證服務機構所承擔的責任和義務以協議的形式給出明確的規定和說明。通常的法律協議有，訂戶協議、信賴方協議、服務協議等。當電子認證服務機構以外的實體要作為電子認證服務機構的一個RA注冊機構提供認證業務時，電子認證服務機構與該實體須通過相應的協議明確規定雙方，特別是作為RA的一方，應該承擔的責任和義務，包括該證書擁有者（證書用戶）和信賴方應承擔的責任和義務。8.2 用戶證書生命周期管理8.2.1 證書申請與審核電子認證服務機構應明確制定各類證書申請所需的信息和條件，如申

36、請者姓名、域名、公司名、地址、聯系方式、機構資質證明、域名所有權證明等信息和材料。電子認證服務機構應根據認證業務規則，制定嚴格的證書申請審核流程和規范，鑒別證書申請者提供的身份信息的真偽，驗證證書申請者的身份，確認是證書申請者所聲稱的人、機構在申請證書。電子認證服務機構在證書申請審核過程中，應保留完整的審核記錄，以供日后審計、審查、責任追蹤和界定使用。8.2.2 證書簽發電子認證服務機構必須在完成規定的證書申請審核后，才能簽發證書。證書簽發需有記錄。8.2.3 證書存儲與發布對于簽發的數字證書，電子認證服務機構應保存在專門的證書庫中，并對外公開發布，可供依賴方查詢、獲取。8.2.4 證書更新證

37、書用戶在證書有效期到達前，可以申請更新證書，已過期或撤銷的證書不能更新。對證書用戶提交的證書更新請求，電子認證服務機構必須進行審核，審核的方式包括手工和自動兩種方式。手工審核的過程、要求在安全保障性方面應與證書申請等同。對于自動審核方式，證書更新請求必須用原證書私鑰簽名，認證系統驗證簽名的有效性并自動簽發更新證書。對于自動審核方式，電子認證服務機構須確保能通過一定的方式控制哪些證書可自動更新，防止非授權的更新。8.2.5 證書撤銷電子認證服務機構應制定證書撤銷管理策略和流程。證書撤銷有三種發起方式：由證書用戶發起，由電子認證服務機構，或者由依賴方發起。1) 用戶申請撤銷證書，電子認證服務機構必

38、須明確規定撤銷證書申請接受方式，如通過電話、郵件、在線申請等，以及審核程序。2) 電子認證服務機構如發現用戶證書申請資料存在虛假情況、不能滿足證書簽發條件等，或者發生（或懷疑發生）電子認證服務機構根私鑰泄露、認證系統存在安全隱患威脅用戶證書安全等，可以不經過證書用戶本人同意，予以撤銷證書。3) 當依賴方提出證書撤銷申請時，如證書僅用于依賴方的系統，可以不經過證書用戶本人同意，予以撤銷證書。證書撤銷后，電子認證服務機構必須在周期性簽發的CRL中，于最近的下次更新時間發布所撤銷證書，或簽發臨時CRL發布所撤銷證書；電子認證服務機構如提供OCSP服務，必須立即更新OCSP查詢數據庫，確保實時發布所撤

39、銷證書。證書撤銷后，應通過電話、郵件、在線等方式，及時告知用戶或依賴方證書撤銷結果。電子認證服務機構必須記錄所有證書撤銷請求和相關操作結果。8.2.6 證書凍結電子認證服務機構可根據具體業務需要，制定證書凍結策略和流程，包括凍結請求、條件、寬限期及凍結狀態的發布等。證書凍結有三種發起方式：由證書用戶發起，由電子認證服務機構，或者由依賴方發起。1) 用戶申請凍結證書，電子認證服務機構必須明確規定凍結證書申請接受方式，如通過電話、郵件、在線申請等，以及審核程序。2) 電子認證服務機構如發現用戶證書申請資料存在虛假情況、不能滿足證書簽發條件等，或者發生（或懷疑發生）電子認證服務機構根私鑰泄露、認證系

40、統存在安全隱患威脅用戶證書安全等，可以不經過證書用戶本人同意，予以凍結證書。3) 當依賴方提出證書凍結申請時，如證書僅用于依賴方的系統，可以不經過證書用戶本人同意，予以凍結證書。凍結的證書需在CRL中發布，當被凍結證書失效后，將不再出現在CRL中。在證書有效期內，對被凍結的證書有三種處理方式：1) 被凍結證書有效性無法驗證，用戶和依賴方不能使用證書；2) 被凍結證書轉為正式撤銷；3) 被凍結證書解凍，從CRL中刪除，重新轉為有效證書。證書凍結后，電子認證服務機構必須在周期性簽發的CRL中，于最近的下次更新時間發布所凍結證書，或簽發臨時CRL發布所凍結證書；電子認證服務機構如提供OCSP服務，必

41、須立即更新OCSP查詢數據庫，確保實時發布所凍結證書。凍結的證書解凍后，電子認證服務機構應在周期性簽發的CRL中，于最近的下次CRL更新中刪除凍結的證書，電子認證服務機構如提供OCSP服務，應立即更新OCSP查詢數據庫，確保解凍的證書變為有效。證書凍結和解凍后，應通過電話、郵件、在線等方式，及時告知用戶或依賴方凍結結果。電子認證服務機構必須記錄所有證書凍結請求和相關操作結果。8.2.7 證書狀態查詢電子認證服務機構應能夠為用戶和依賴方提供證書狀態查詢服務（包括證書撤銷列表和/或在線證書狀態查詢），并在CP和CPS中發布證書狀態查詢服務策略；在相關協議中，應明確提示證書用戶和依賴方，使用證書時必

42、須使用證書狀態查詢服務。1) CRL查詢電子認證服務機構必須能夠提供證書撤銷列表（CRL）查詢服務，CRL發布必須符合標準；必須明確規定CRL發布周期和發布時間，宜每天簽發CRL；根據證書策略或當發生嚴重私鑰泄露情況時，電子認證服務機構應簽發臨時CRL；根據證書策略和依賴方協議，用戶和依賴方應及時檢查、下載臨時CRL。在證書有效期內的，被撤銷證書必須一直保留在CRL中直至證書過期失效，被凍結證書，在凍結期內必須保留在CRL中直至解凍。當被撤銷和被凍結證書過期時，應從CRL中刪除。電子認證服務機構發布的所有CRL必須定期歸檔保存，在證書失效后至少保留五年。2) OCSP查詢電子認證服務機構必須能

43、夠提供在線證書狀態查詢（OCSP）服務，查詢數據格式和響應查詢結果必須符合國家有關標準；必須保證查詢服務響應速度和并發查詢性能滿足服務要求；必須保證查詢結果的實時性和準確性。8.2.8 證書歸檔電子認證服務機構應制定證書歸檔策略，定期對過期失效以及被撤銷的證書進行歸檔。在證書失效至少5年后，方可銷毀歸檔數據。8.3 用戶證書密鑰管理電子認證服務機構必須說明所提供的證書類型及密鑰對產生的方式，并告知證書用戶和依賴方認證機構是否保存有用戶證書私鑰的備份。8.3.1 用戶證書密鑰產生、傳遞和存儲。通常情況下，用戶的簽名證書的密鑰對由用戶自己在其密碼設備中生成，并由用戶控制。但在某些特定的安排下，允許

44、電子認證服務機構代用戶在其密碼設備中生成簽名證書密鑰對。若簽名證書的密鑰對由電子認證服務機構代用戶在其密碼設備中生成，則電子認證服務機構必須通過安全途經將保存有簽名證書私鑰的密碼設備傳遞給用戶，確保證書私鑰在傳遞過程中不被盜用、損壞或泄漏，并對傳遞過程進行跟蹤和記錄。無論何種情況，電子認證服務機構不得擁有用戶簽名私鑰的備份。用戶加密證書密鑰對可由用戶自己產生，或者由電子認證服務機構通過密鑰管理中心集中生成，并通過安全的途徑傳送給用戶。若加密證書密鑰對由電子認證服務機構通過密鑰管理中心集中生成，則加密證書私鑰在傳送到用戶的過程中，不能以明文形式出現。當電子認證服務機構通過密鑰管理中心為用戶生成加

45、密證書密鑰對時，電子認證服務機構可將加密證書私鑰加密保存在密鑰庫中，以便在必要的時候恢復用戶加密證書私鑰。8.3.2 用戶證書私鑰激活數據產生、傳遞和存儲通常情況下，用戶證書密鑰對及其私鑰激活數據由用戶自己產生和保存，但在某些特定的安排下，用戶證書密鑰對及其私鑰激活數據可由電子認證服務機構代用戶在其密碼設備中產生。在后者的情況下，電子認證服務機構代用戶產生的私鑰激活數據必須有足夠的安全強度并通過一定的安全方式傳送給用戶，確保激活數據在傳遞過程中不被泄漏，并對傳遞過程進行跟蹤和記錄。8.3.3 用戶證書私鑰恢復電子認證機構不得保存用戶簽名證書的私鑰備份。電子認證機構保留有用戶加密證書的私鑰備份，

46、則只能應用戶自己要求或司法恢復需要的目的，電子認證服務機構才能對用戶加密證書的私鑰進行恢復。電子認證服務機構須制定嚴格的用戶證書私鑰恢復的管理規定和流程，私鑰恢復必需有多人參與才能完成，且對操作過程及結果需進行記錄。8.3.4 用戶證書密鑰對更新用戶在進行證書更新時應同時更新證書的密鑰對。若出于特別的原因和安排，允許用戶在進行證書更新時不更新證書的密鑰對，那么，電子認證服務機構須確保這種方式是安全的，且必須為不更新的密鑰對規定一個適合的、安全的最大期限，在這個期限后，該密鑰不能再使用。8.3.5 用戶證書私鑰歸檔和銷毀電子認證服務機構不得擁有用戶簽名證書私鑰，用戶證書簽名證書的私鑰，由用戶自己

47、根據需要進行管理和銷毀。用戶加密證書的密鑰對由電子認證服務機構的密鑰管理中心產生，在用戶密鑰對、證書失效后，電子認證服務機構應以加密的方式歸檔保留；所有歸檔密鑰對，在證書失效至少五年保存期后，應以可靠方式徹底銷毀。電子認證服務機構在對用戶證書私鑰進行歸檔、銷毀時，必須保證被歸檔、銷毀的私鑰的安全，確保私鑰不會被泄漏。8.4 CA密鑰和證書管理電子認證服務機構應建立CA密鑰管理策略、申報和審批流程制度，對涉及CA密鑰的所有關鍵操作（包括初始化、生成、保存、發布、使用、備份、恢復、更新、歸檔、銷毀等），必須經審批后才能執行，并應做好完整記錄。8.4.1 CA密鑰生成和存儲電子認證服務機構CA密鑰（

48、含根密鑰）必須使用符合國家標準的密碼硬件設備生成，并在其中存儲。電子認證服務機構必須制定認證系統CA密鑰的生成流程、操作等文檔，在安全的環境（包括物理環境安全、流程安全以及參與的人員安全控制等）中操作。操作過程中應有操作員、見證人、CA私鑰激活數據秘密份額保管員同時在場，并應對CA密鑰的生成操作過程錄像或拍照。在CA密鑰生成整個過程中，所有關鍵步驟都要進行記錄，以備審計。離線CA私鑰必須保存在核心區；存放在線CA私鑰的密碼設備必須位于屏蔽區。8.4.2 CA私鑰激活數據管理電子認證服務機構應安全生成、保管及分發CA私鑰激活數據。CA私鑰激活數據必須經過分割，生成秘密分割（秘密份額），由不同的人

49、持有。在激活CA私鑰時，須超過一定數量的秘密份額保管員輸入各自的秘密份額才能復原私鑰激活數據，激活CA私鑰。8.4.3 CA密鑰使用應建立管理制度對CA密鑰及其激活數據秘密分割（秘密份額）的使用權限進行嚴格控制，每次使用應有書面記錄，記錄應包括每次使用時間、使用的用途及操作人員等內容。8.4.4 CA密鑰備份與恢復為了防止產生的CA密鑰對出現硬件損壞而無法繼續使用，在生成之后，應進行克隆備份操作，并在必要時進行恢復。1) CA密鑰備份電子認證服務機構應制定CA密鑰備份策略，對CA密鑰進行備份。備份必須使用秘密分擔和加密存儲機制，確保CA私鑰不會以明文形式出現在密碼硬件之外。被分擔（分割）的秘密

50、可以是CA私鑰備份恢復數據（如口令）或CA私鑰本身，秘密分擔采用公開的m of n算法（m60%*n），各秘密份額保存在不同的IC卡或智能密碼鑰匙中。加密存儲的密鑰備份的保管員與秘密份額保管員不能由同一人兼任。密鑰備份必須妥善保存在核心區內，并實行雙人訪問控制存取。可保存于具有防火、防熱、防潮、防塵、防磁、防靜電功能的保險柜中。保險柜應能保證在1000火災現場，紙張防火柜內溫度保持180、磁盤防火柜內溫度保持52不少于1小時。2) CA密鑰恢復當需要進行CA密鑰恢復時，應有操作員、見證人、私鑰恢復秘密份額保管員同時在場，由滿足恢復要求的數量的秘密份額保管員輸入激活數據，按照一定的算法進行合成并

51、恢復CA密鑰到密碼設備中。應將恢復操作全程進行記錄。8.4.5 CA密鑰銷毀電子認證服務機構必須制定徹底清除或銷毀存儲CA私鑰密碼設備的操作流程和辦法，對因退出產品系統、超過歸檔期限、或其它原因需要銷毀的CA密鑰對進行安全銷毀，即銷毀或歸零存放私鑰的密碼硬件載體（智能卡或智能密碼設備）。8.4.6 CA證書的創建和發布CA證書的創建，應事先進行審批，過程中做好記錄，并在創建后適時發布，以保證用戶和依賴方能可靠、及時地獲取。8.4.7 CA證書更新電子認證服務機構的CA證書可能會因為如下原因進行重新簽發，稱之為“CA證書更新”：延長有效期；更換密鑰對；改變證書的其它信息（如甄別名、簽名算法、擴展

52、項等）。CA證書更新時，應采取與生成初始證書相同的流程和方法。對于更換密鑰對的證書更新，則應采取與生成CA密鑰相同的流程和方法。8.4.8 CA證書吊銷CA證書可能會被吊銷的原因包括：不再使用；私鑰損壞；私鑰泄漏或懷疑泄漏；被認為需要吊銷的其它原因。CA證書的吊銷操作，應如創建操作一樣，事先進行審批，并做好吊銷操作的記錄，在被吊銷后，相關信息被納入到CA的CRL（CA證書吊銷列表，即ARL），并及時發布。8.4.9 CA密鑰和證書歸檔1) CA證書失效后，必須將失效的CA密鑰及CA證書歸檔并妥善保存。在證書失效至少5年后，方可銷毀歸檔的CA密鑰；2) 歸檔數據和操作宜作簽名。8.5 客戶隱私保

53、護作為可信第三方的電子認證服務機構會獲得用戶的各種信息，電子認證服務機構應制定嚴格的客戶信息保密政策和制度，確定哪些客戶信息是保密的，哪些客戶信息是可公開的，對于需要公開的信息應該讓客戶事先知曉。無論電子認證服務機構還是其員工，都不能在未經客戶許可的情況下向其他機構或個人透露客戶信息。如因某種原因確實需要公開或向其他機構提供客戶的信息，則事先應讓客戶知曉并獲得客戶同意。為了配合國家的行政和執法的需要，電子認證服務機構有可能需要在客戶不知曉的情況下向國家有關行政、執法機構提供客戶的涉密信息，對此，電子認證服務機構應事先向客戶說明電子認證服務機構有責任和義務提供這種協助。8.6 RA管理 8.6.

54、1 RA設置管理電子認證服務機構可在電子認證服務機構運營場地之外直接設置RA注冊機構，或者授權其他機構作為RA注冊機構承擔RA的職能。承擔RA職能的RA注冊機構必須有專門的運營場地，若RA注冊機構建有RA系統，則RA注冊機構須有專門的機房放置、運行系統。RA注冊機構運營場地的不同功能區必須進行安全分割，運營場地必須有門禁、入侵檢測等安全防護系統，能有效防止、及時發現對運營場地的非授權進入。若RA注冊機構建有RA系統，則RA系統應采用同CA認證系統等同的安全防護措施。RA注冊機構必須有人員分別承擔認證服務、系統運行維護和安全管理的職能。對于授權承擔RA職能的機構，電子認證服務機構應與其簽訂相應的

55、協議，明確雙方的權利、義務和責任。8.6.2 RA業務管理RA注冊機構應制定與認證服務機構一致的安全策略及運營管理規范，如認證服務流程與規范、系統運行維護流程與規范、人員管理規范等。相關安全策略及運營管理規范需經過認證服務機構的安全策略管理組織批準才能實施。電子認證服務機構應對RA注冊機構的認證業務活動進行監控，檢查其是否嚴格按照相關的安全策略及運營管理規范開展業務活動。若發現違反策略、規范的情況，應及時通知RA注冊機構限期改正；若超期不改，則認證服務機構應立即暫停甚至中止RA注冊機構的業務，并及時通知相關的用戶。9 安全管理9.1 安全策略與規劃認證機構的運營管理者應該分析認證系統、場地設施

56、、內部信息系統、運營管理等方面存在的安全風險，明確安全需求，制定相應的安全策略。安全策略應針對安全風險提出相應的安全規則和對策。安全策略應包括信息安全的明確定義、覆蓋的整體目標和作用范圍。認證機構的運營管理者應根據安全策略制定相應的安全技術與管理實施方案。9.2 安全組織電子認證服務機構應設立安全策略管理組織，如安全策略管理委員會，負責安全策略的審批、安全責任的落實，協調安全策略的實施，審查和監控安全事故的處理活動。電子認證服務機構應設立貫徹安全策略、執行安全制度的安全管理部門，設置安全經理、網絡與系統安全管理人員、場地與設施安全管理人員、及審計員等安全管理崗位，建立覆蓋企業內部和外部業務活動的信息安全組織架構。9.3