安全方案(6)

地RA“证书服务中心”完成证书注册操作，华润RA管理员登录到本地“证书管理中心”，完成证书相关的管理操作，此时，所有证书相关数据存储在本地数据库中，业务系统可以查询、使用所有与证书相关的数据，同时也可将RA模块与业务系统进行集成，实现较为复杂的证书管理流程。

? SAAS模式

指华润集团采用SAAS服务商提供的CA软件服务，配置一个集成的PKI/CA平台，依靠CA软件服务提供商提供的PKI/CA服务，针对内部员工签发数字证书，华润集团可对CA系统进行远程管理。采用SAAS模式，华润只需要购买PKI/CA服务，对于PKI/CA核心后台的建设（包括安全性、可靠性和稳定性等方面的建设）、运营管理和系统维护由PKI/CA服务提供商负责。

无论采取上述哪种部署模式，CA认证中心的安全至关重要，因此，必须对CA认证中心采用较强的安全隔离和防护措施，如下图所示：

加密机/卡根CA加密机/卡安全区CA服务器加密机/卡RA服务器LDAP服务器操作区审计终端RA管理CA管理终端终端CA认证中心的建设应分为公共区、DMZ区、操作区和安全区四个部

分。

? 公共区：在认证中心控制范围之外的区域，它可能包括专网连接、拨号

连接等。

? 操作区：操作区是认证中心为银企互联用户提供服务的地方。在操作区

主要部署了目录服务器和各类终端。操作区通过部署防火墙来进行保护，通过对它们的端口进行配置，只能允许进行安全策略授权的通信。 ? 操作区和所有的组件区要设置在一个安全的设施之中，要有适当的

物理安全、人员安全和操作安全。系统管理部件（代理、引擎等）可以安装在操作区，如果安全策略允许。这些部件是可选的。 ? 操作区的LDAP 389 、安全协议端口（可配置）和HTTP 的8080 端

口都要对外开放。

公共区INTERNET

? 操作区需要对操作人员进行限制。操作人员在操作区执行每天的工

作，操作区的房间应该是高度安全的，使用监视器、报警和访问控制系统。并且应该考虑应用多人同时工作的方式（任何一个成员不能单独在房间里完成一项操作）。

? 安全区：安全区是最安全的房间。对于PKI系统，CA服务器和保存CA

用于签名的私钥的CA加密设备都应该存储在安全区中。同时只有安全协议端口对外开放。

? 三种模式的对比

不同建设模式具有各自的优缺点，以下为建设模式间的对比：

自建模式 统一建内容 设/统一管理 建设成本 人员成本 建设成本 实施周期 服务成本 运营风险 法律保障 管理方式 与业务系统的集成（嵌入式RA） 定制程度

一般 一般 较高 高 一般 高 一般 一般 一般 一般 长 低 一般 无 单一 无 设/分散管理 一般 一般 一般 长 低 较高 无 灵活 无 设/分散管理 较高 较高 较高 较长 低 较高 无 灵活 可以 设/分散管理 高 高 高 长 低 高 无 灵活 可以 低 低 低 短 高 低 有 单一 无 较高 较高 较高 较长 较高 较高 有 灵活 可以 低 低 低 短 一般 低 无 单一 可以 RA RA 式 统一建级联建分散建第三方 远程 本地 SAAS模从上表列出的建设内容比较可以总结：

从初期建设来看，自建型CA建设需要华润集团对系统建设、物理场地建设、通信与网络建设和系统安全建设等各个方面进行综合考虑，一套完善的CA认证中心建设周期至少需要3个月，在自建模式中如果各个资金中心单独建设CA或RA，则周期更长。第三方或SAAS的CA建设只需要考虑部分的建设内容，主要是涉及RA中心系统和CA管理端部分的建设内容，将不需要对CA中心系统的建设内容负责，建设周期通常不会超过半个月。

从运营维护来看，自建型CA建设需要考虑CA后期运营维护的所有事务，包括运营管理规范的建设、运营管理团队的建设、系统维护与升级和客户服务支持等。而第三方或SAAS的CA建设对于系统的后期运营维护的工作，大部分可以交给第三方CA认证中心负责，或者依靠第三方CA认证中心提供的规范的运营管理来加以解决。

从后期运营服务和支持来看，采用各种方式部署的PKI/CA对应用的支持是相同的。但是华润集团选择哪种部署模式，需要对供应商的服务支持能力进行考察。服务支持涉及两个方面，一方面是对部署的PKI/CA本身的服务支持，另一方面是对应用的服务支持。服务支持包括服务支持能力、服务支持的内容、服务支持的级别、服务支持的响应时限以及服务支持的费用等都是华润部署PKI/CA必须综合考虑的一些方面。

采取自建方式时，华润集团对CA认证中心具有完整的拥有权和控制权，可按照自身的组织架构和安全策略对CA进行管理、运营和维护。CA建设的投入基本为一次性费用，无需为单张证书每年支付额外费用，同时，对CA系统的可用性具有完全的掌握，仅受自身带宽、抗攻击程度和容灾备份措施的影响。而采用第三方模式时，需要针对每张证书每年支付一定的费用，并且证书管理、应用（CRL或OCSP）受服务提供商自身网络带宽、系统稳定性，以及容灾备份措施的影响。

4. 项目实施计划

序号 实施阶段 内容简述 项目准备阶段 本阶段主要针对华润集团资金管理系统CA建设进行需求分析和调研，并根据需求制定实施方案和计划（采取自建模式中级联建设和分散建设模式时需要根据每个中心的特点时间

进行项目准备，因此表中时间为每中心所需人天，集中建设、第三方服务或SAAS模式下按照等同于一个中心所需时间，其他阶段相同） 1 2 3 项目组组建 需求调研 实施方案 成立相关项目组，确定相关成员 包括CA建设模式、管理流程、应用集成等 根据需求确定实施方案及计划 机房建设阶段 本阶段主要针对CA认证中心进行物理场地的规划和建设，采用第三方服务或SAAS模式时无需该步骤 1 机房建设 信息产业部对CA运营机房 10人天 1天 10人天/中心 10人天/中心 系统部署阶段 本阶段主要完成CA的部署、初始化等相关工作 1 2 3 4 5 CA建设 KC RA部署 LDAP部署 CA/RA定制 CA系统部署、数据库、加密机等 签发根CA及二级子CA 部署RA系统、数据库、加密机等 证书发布模块及LDAP相关配置 根据业务需要，配置证书模板、审批模式、发布模式等 6 运营管理咨询及培训 根据华润集团证书审批模式等制定运营管理规范和流程，并针对相关人员进行培训 3人天/中心 3人天 3人天 3人天/中心 1人天 5人天/中心 测试及验收阶段 协助华润集团对CA及证书应用进行测试、总结、验收 1 系统测试 测试证书申请、更新、吊销、审批、下载等流程 2 系统验收 根据合同对项目进行总体验收 2天 5人天/中心

5. 证书管理流程

华润集团银企互联CA系统无论采取何种建设模式，证书的生命周期管理都需要包含发放、更新、吊销等流程。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库安全方案(6)在线全文阅读。