【文章內(nèi)容簡(jiǎn)介】 能的值。 證書(shū)撤銷列表輪廓管理證書(shū)撤消列表輪廓用于定義CRL中字段和擴(kuò)展中可接受的值，這些字段和擴(kuò)展應(yīng)與GB/T 205182006標(biāo)準(zhǔn)相一致。CRL輪廓可能要定義的值包括：a) CRL可能或者必須包括的擴(kuò)展和每一擴(kuò)展的可能的值；b) CRL的發(fā)布者；c) CRL的下次更新日期。若PKI系統(tǒng)發(fā)布CRL，則應(yīng)具備證書(shū)撤銷列表輪廓，并保證發(fā)布的CRL與該輪廓中的規(guī)定相一致。PKI系統(tǒng)管理員應(yīng)規(guī)定以下字段和擴(kuò)展的可能的取值:a) issuer；b) issuerAltName；c) NextUpdate。若PKI系統(tǒng)發(fā)布CRL，管理員還應(yīng)指定CRL和CRL擴(kuò)展可接受的值。 在線證書(shū)狀態(tài)協(xié)議輪廓管理在線證書(shū)狀態(tài)協(xié)議輪廓用于定義一系列在OCSP響應(yīng)中可接受的值。OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)可能產(chǎn)生的OCSP響應(yīng)的類型和這些類型可接受的值。a) 若PKI系統(tǒng)發(fā)布OCSP響應(yīng)，PKI系統(tǒng)應(yīng)具備OCSP輪廓并保證OCSP響應(yīng)與輪廓一致；b) 若PKI系統(tǒng)發(fā)布OCSP響應(yīng)，PKI系統(tǒng)應(yīng)要求管理員為responseType字段指定可接受的值；c) 若PKI系統(tǒng)允許使用基本響應(yīng)類型(basic response type)的OCSP響應(yīng)，則PKI系統(tǒng)管理員應(yīng)為ResponderID指定可接受的值。 證書(shū)管理 證書(shū)注冊(cè)PKI系統(tǒng)所簽發(fā)的公鑰證書(shū)應(yīng)與GB/T 205182006相一致。任何證書(shū)所包含的字段或擴(kuò)展應(yīng)被PKI系統(tǒng)根據(jù)GB/T 205182006生成或經(jīng)由頒發(fā)機(jī)構(gòu)驗(yàn)證以保證其與標(biāo)準(zhǔn)的一致性。輸入證書(shū)字段和擴(kuò)展中的數(shù)據(jù)應(yīng)被批準(zhǔn)。證書(shū)字段或擴(kuò)展的值可有以下4種方式獲得批準(zhǔn)：a) 數(shù)據(jù)被操作員手工批準(zhǔn)；b) 自動(dòng)過(guò)程檢查和批準(zhǔn)數(shù)據(jù)；c) 字段或擴(kuò)展的值由PKI系統(tǒng)自動(dòng)的生成；d) 字段或擴(kuò)展的值從證書(shū)輪廓中獲得。進(jìn)行證書(shū)生成時(shí)，a) 應(yīng)僅產(chǎn)生與GB/T 205182006中規(guī)定的證書(shū)格式相同的證書(shū)；b) 應(yīng)僅生成與現(xiàn)行證書(shū)輪廓中定義相符的證書(shū)；c) PKI系統(tǒng)應(yīng)驗(yàn)證預(yù)期的證書(shū)主體擁有與證書(shū)中包含的公鑰相對(duì)應(yīng)的私鑰，除非公私密鑰對(duì)是由PKI系統(tǒng)所產(chǎn)生的；d) PKI系統(tǒng)應(yīng)保證：1) version字段應(yīng)為0，1，2；2) 若包含issuerUniqueID或subjectUniqueID字段則version字段應(yīng)為1或2；3) 若證書(shū)包含extensions那么version字段應(yīng)為2；4) serialNumber字段對(duì)CA應(yīng)是唯一的；5) validity字段應(yīng)說(shuō)明不早于當(dāng)時(shí)時(shí)間的notBefore值和不早于notBefore時(shí)間的notAfter 值；6) 若issuer字段為空證書(shū)應(yīng)包括一個(gè)issuerAltName 的關(guān)鍵性擴(kuò)展；7) 若subject字段為空，證書(shū)應(yīng)包括一個(gè)subjectAltName的關(guān)鍵性擴(kuò)展；8) subjectPublicKeyInfo字段中的signature字段和algorithm字段應(yīng)包含國(guó)家密碼行政管理部門(mén)許可的或推薦的算法的OID。 證書(shū)撤銷 證書(shū)撤銷列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗(yàn)證所有強(qiáng)制性字段的值符合GB/T 205182006。至少以下字段應(yīng)被審核：a) 若包含version字段，應(yīng)為1；b) 若CRL包含關(guān)鍵性的擴(kuò)展，version字段應(yīng)出現(xiàn)且為1；c) 若issuer字段為空，CRL應(yīng)包含一個(gè)issuerAltName的關(guān)鍵性擴(kuò)展；d) signature和signatureAlgorithm字段應(yīng)為許可的數(shù)字簽名算法的OID；e) thisUpdate應(yīng)包含本次CRL的發(fā)布時(shí)間；f) nextUpdate 字段的時(shí)間不應(yīng)早于thisUpdate字段的時(shí)間。 OCSP基本響應(yīng)的審核發(fā)布OCSP響應(yīng)的PKI系統(tǒng)應(yīng)驗(yàn)證所有強(qiáng)制性字段的值符合GB/T 197132005。至少應(yīng)審核以下字段：a) version字段應(yīng)為0；b) 若issuer字段為空，響應(yīng)中應(yīng)包含一個(gè)issuerAltName的關(guān)鍵性擴(kuò)展；c) signatureAlgorithm字段應(yīng)為許可的數(shù)字簽名算法的OID；d) thisUpdate字段應(yīng)指出證書(shū)狀態(tài)正確的時(shí)間；e) producedAt字段應(yīng)指出OCSP響應(yīng)者發(fā)出響應(yīng)的時(shí)間；f) nextUpdate 字段的時(shí)間不應(yīng)早于thisUpdate字段的時(shí)間。 配置管理應(yīng)按GB/T ，從以下方面實(shí)現(xiàn)PKI系統(tǒng)的配置管理：a) 在配置管理能力方面應(yīng)實(shí)現(xiàn)對(duì)版本號(hào)等方面的要求；b) 在PKI系統(tǒng)的配置管理范圍方面，應(yīng)將PKI系統(tǒng)的實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測(cè)試文檔、用戶文檔、管理員文檔以及配置管理文檔等置于配置管理之下；c) 在系統(tǒng)的整個(gè)生存期，即在它的開(kāi)發(fā)、測(cè)試和維護(hù)期間，應(yīng)有一個(gè)軟件配置管理系統(tǒng)處于保持對(duì)改變?cè)创a和文件的控制狀態(tài)。只有被授權(quán)的代碼和代碼修改才允許被加進(jìn)已交付的源碼的基本部分。所有改變應(yīng)被記載和檢查，以確保未危及系統(tǒng)的安全。在軟件配置管理系統(tǒng)中，應(yīng)包含從源碼產(chǎn)生出系統(tǒng)新版本、鑒定新生成的系統(tǒng)版本和保護(hù)源碼免遭未授權(quán)修改的工具和規(guī)程。通過(guò)技術(shù)、物理和保安規(guī)章三方面的結(jié)合，可充分保護(hù)生成系統(tǒng)所用到的源碼免遭未授權(quán)的修改和毀壞。 分發(fā)和操作應(yīng)按GB/T ，從以下方面實(shí)現(xiàn)PKI系統(tǒng)的分發(fā)和操作：a) 以文檔形式提供對(duì)PKI系統(tǒng)安全地進(jìn)行分發(fā)的過(guò)程，并對(duì)安裝、生成和啟動(dòng)的過(guò)程進(jìn)行說(shuō)明，最終生成安全的配置。文檔中所描述的內(nèi)容應(yīng)包括：——提供分發(fā)的過(guò)程；——安全啟動(dòng)和操作的過(guò)程；——建立日志的過(guò)程。b) 對(duì)系統(tǒng)的未授權(quán)修改的風(fēng)險(xiǎn)，應(yīng)在交付時(shí)控制到最低限度。在包裝及安全分送和安裝過(guò)程中，這種控制應(yīng)采取軟件控制系統(tǒng)的方式，確認(rèn)安全性會(huì)由最終用戶考慮，所有安全機(jī)制都應(yīng)以功能狀態(tài)交付；c) 所有軟件應(yīng)提供安全安裝默認(rèn)值，在客戶不做選擇時(shí)，默認(rèn)值應(yīng)使安全機(jī)制有效地發(fā)揮作用；d) 隨同系統(tǒng)交付的全部默認(rèn)用戶標(biāo)識(shí)碼，應(yīng)在交付時(shí)處于非激活狀態(tài)，并在使用前由管理員激活；e) 指導(dǎo)性文檔應(yīng)同交付的系統(tǒng)軟件一起包裝，并應(yīng)有一套規(guī)程確保當(dāng)前送給用戶的系統(tǒng)軟件是嚴(yán)格按最新的系統(tǒng)版本來(lái)制作的。 開(kāi)發(fā)應(yīng)按GB/T ，從以下方面進(jìn)行PKI系統(tǒng)的開(kāi)發(fā)：a) 按非形式化安全策略模型、完全定義的外部接口、描述性高層設(shè)計(jì)、TSF子集實(shí)現(xiàn)、TSF內(nèi)部結(jié)構(gòu)層次化、描述性低層設(shè)計(jì)和非形式化對(duì)應(yīng)性說(shuō)明的要求，進(jìn)行PKI系統(tǒng)的開(kāi)發(fā)；b) 系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)應(yīng)保護(hù)數(shù)據(jù)的完整性，例如，檢查數(shù)據(jù)更新的規(guī)則，返回狀態(tài)的檢查，中間結(jié)果的檢查，合理值輸入檢查等；c) 在內(nèi)部代碼檢查時(shí)，應(yīng)解決潛在的安全缺陷，關(guān)閉或取消所有的后門(mén)；d) 所有交付的軟件和文檔，應(yīng)進(jìn)行關(guān)于安全缺陷的定期的和書(shū)面的檢查，并將檢查結(jié)果告知客戶；e) 系統(tǒng)控制數(shù)據(jù)，如口令和密鑰，不應(yīng)在未受保護(hù)的程序或文檔中以明文形式儲(chǔ)存，并以書(shū)面形式向客戶提供關(guān)于軟件所有權(quán)法律保護(hù)的指南。 指導(dǎo)性文檔應(yīng)按GB/T ，從以下方面編制PKI系統(tǒng)的指導(dǎo)性文檔：a) 終端用戶文檔應(yīng)提供關(guān)于不同用戶的可見(jiàn)的安全機(jī)制以及如何利用它們的信息，描述沒(méi)有明示用戶的保護(hù)結(jié)構(gòu)，并解釋它們的用途和提供有關(guān)它們使用的指南；b) 系統(tǒng)用戶文檔應(yīng)提供有關(guān)如何設(shè)置、維護(hù)和分析系統(tǒng)安全的詳細(xì)指導(dǎo)，包括當(dāng)運(yùn)行一個(gè)安全設(shè)備時(shí)，需要控制的有關(guān)功能和特權(quán)的警告，以及與安全有關(guān)的管理員功能的詳細(xì)描述，包括增加和刪除一個(gè)用戶、改變用戶的安全特征等；c) 文檔中不應(yīng)提供任何一旦泄露將會(huì)危及系統(tǒng)安全的信息。有關(guān)安全的指令和文檔應(yīng)劃分等級(jí)分別提供給終端用戶和系統(tǒng)用戶。這些文檔應(yīng)為獨(dú)立的文檔，或作為獨(dú)立的章節(jié)插入到終端用戶指南和系統(tǒng)用戶指南中。文檔也可為硬拷貝、電子文檔或聯(lián)機(jī)文檔。如果是聯(lián)機(jī)文檔應(yīng)控制對(duì)其的訪問(wèn)；d) 應(yīng)提供關(guān)于所有審計(jì)工具的文檔，包括為檢查和保持審計(jì)文件所推薦的過(guò)程、針對(duì)每種審計(jì)事件的詳細(xì)審計(jì)記錄文件、為周期性備份和刪除審計(jì)記錄所推薦的過(guò)程等；e) 應(yīng)提供如何進(jìn)行系統(tǒng)自我評(píng)估的章節(jié)（帶有網(wǎng)絡(luò)管理、口令要求、意外事故計(jì)劃的安全報(bào)告）和為災(zāi)害恢復(fù)計(jì)劃所做的建議，以及描述普通侵入技術(shù)和其它威脅，并查出和阻止入侵的方法。 生命周期支持應(yīng)按GB/T ，從以下方面實(shí)現(xiàn)PKI系統(tǒng)的生命周期支持：a) 按開(kāi)發(fā)者定義生命周期模型和明確定義開(kāi)發(fā)工具的要求進(jìn)行開(kāi)發(fā)，并提供開(kāi)發(fā)過(guò)程中的安全措施說(shuō)明；b) 操作文檔應(yīng)詳細(xì)闡述安全啟動(dòng)和操作的過(guò)程，詳細(xì)說(shuō)明安全功能在啟動(dòng)、正常操作維護(hù)時(shí)是否能被撤消或修改，說(shuō)明在故障或系統(tǒng)出錯(cuò)時(shí)如何恢復(fù)系統(tǒng)至安全狀態(tài)；c) 如果系統(tǒng)含有加強(qiáng)安全性的硬件，那么管理員、其他用戶或自動(dòng)的診斷測(cè)試，應(yīng)能在各自的操作環(huán)境中運(yùn)行它并詳細(xì)說(shuō)明操作過(guò)程。 測(cè)試應(yīng)按GB/T ，從以下方面對(duì)PKI系統(tǒng)進(jìn)行測(cè)試：a) 應(yīng)通過(guò)測(cè)試范圍的證據(jù)、測(cè)試的范圍分析、高層設(shè)計(jì)的測(cè)試、相符性獨(dú)立測(cè)試，確認(rèn)PKI系統(tǒng)的功能與所要求的功能相一致；b) 所有系統(tǒng)的安全特性，應(yīng)被全面測(cè)試，包括查找漏洞，如違反系統(tǒng)訪問(wèn)控制要求、違反資源訪問(wèn)控制要求、拒絕服務(wù)、對(duì)審計(jì)或驗(yàn)證數(shù)據(jù)進(jìn)行未授權(quán)訪問(wèn)等。所有發(fā)現(xiàn)的漏洞應(yīng)被改正、消除或使其無(wú)效，并在消除漏洞后重新測(cè)試，以證實(shí)它們已被消除，且沒(méi)有引出新的漏洞；c) 應(yīng)提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過(guò)程、測(cè)試結(jié)果。 脆弱性評(píng)定應(yīng)按GB/T ，從以下方面對(duì)所開(kāi)發(fā)的PKI系統(tǒng)進(jìn)行脆弱性評(píng)定：a) 指南檢查；b) PKI系統(tǒng)安全功能強(qiáng)度評(píng)估；c) 開(kāi)發(fā)者脆弱性分析。 第三級(jí) 概述第三級(jí)的PKI系統(tǒng)，所保護(hù)的資產(chǎn)價(jià)值較高，面臨的安全威脅較大，應(yīng)提供全面的安全保護(hù)，適用于運(yùn)營(yíng)級(jí)的PKI系統(tǒng)或者安全要求極高的企業(yè)級(jí)PKI系統(tǒng)。PKI系統(tǒng)面臨的風(fēng)險(xiǎn)，應(yīng)按照GB/T 20984—2007進(jìn)行評(píng)估。結(jié)構(gòu)設(shè)計(jì)上，PKI系統(tǒng)的CA、RA和證書(shū)資料庫(kù)都應(yīng)獨(dú)立設(shè)計(jì)，并采用終端用戶證書(shū)分為簽名證書(shū)和加密證書(shū)的雙證書(shū)機(jī)制，建設(shè)包括證書(shū)認(rèn)證中心和密鑰管理中心的雙中心系統(tǒng)。證書(shū)認(rèn)證中心和密鑰管理中心的基本功能要求、建設(shè)要求和運(yùn)行管理要求等相關(guān)安全技術(shù)要求應(yīng)符合國(guó)家相關(guān)標(biāo)準(zhǔn)的規(guī)定。第三級(jí)PKI系統(tǒng)的安全要素要求列表見(jiàn)附錄A。 物理安全 核心部件物理安全進(jìn)行PKI系統(tǒng)硬件設(shè)備、相關(guān)環(huán)境和系統(tǒng)安全的設(shè)計(jì)時(shí)，應(yīng)按照GB/T 21052—2007第6章所描述的要求。 RA物理安全RA可全部托管在CA系統(tǒng)，也可部分托管在CA系統(tǒng)，部分建在遠(yuǎn)端。RA應(yīng)設(shè)置專門(mén)的區(qū)域來(lái)接待日常業(yè)務(wù)，只有被授權(quán)者才能接觸RA工作站和相關(guān)敏感數(shù)據(jù)、設(shè)備。RA應(yīng)妥善保管私鑰，在RA設(shè)備不使用時(shí)應(yīng)鎖存私鑰。RA設(shè)備應(yīng)有安全人員和電子監(jiān)控設(shè)備保護(hù)防盜。所有的活動(dòng)都應(yīng)被授權(quán)人員或安全人員監(jiān)控。RA對(duì)外服務(wù)的時(shí)間應(yīng)被嚴(yán)格限制在指定的時(shí)間。維修和服務(wù)人員在工作區(qū)域應(yīng)受監(jiān)控。 角色與責(zé)任開(kāi)發(fā)者應(yīng)提供PKI系統(tǒng)管理員、操作員和審計(jì)員的角色定義。管理員：安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶賬戶；配置輪廓和審計(jì)參數(shù)；生成部件密鑰；執(zhí)行系統(tǒng)的備份和恢復(fù)。本級(jí)PKI系統(tǒng)新增審計(jì)員角色，與審計(jì)相關(guān)的權(quán)限只應(yīng)分配給審計(jì)員。操作員：簽發(fā)和撤銷證書(shū)。審計(jì)員：查看和維護(hù)審計(jì)日志。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的能力，并保證一個(gè)身份不應(yīng)同時(shí)具備多個(gè)角色的權(quán)限。一個(gè)人不應(yīng)同時(shí)擁有多個(gè)角色，開(kāi)發(fā)者應(yīng)在系統(tǒng)設(shè)計(jì)時(shí)對(duì)角色的管理進(jìn)行相關(guān)限制。角色的安全功能管理應(yīng)按表6中的配置對(duì)授權(quán)的角色修改安全功能的能力進(jìn)行限制。 訪問(wèn)控制 系統(tǒng)用戶訪問(wèn)控制注冊(cè)和注銷能夠訪問(wèn)PKI系統(tǒng)信息和服務(wù)的用戶應(yīng)按正規(guī)的程序執(zhí)行。分配或者使用系統(tǒng)特權(quán)時(shí)，應(yīng)進(jìn)行嚴(yán)格的限制和控制。進(jìn)行口令分配時(shí)，應(yīng)通過(guò)正規(guī)的程序控制。應(yīng)定期審核系統(tǒng)用戶的訪問(wèn)權(quán)限，檢查不應(yīng)有的權(quán)限分配。選取和使用口令時(shí)系統(tǒng)用戶應(yīng)按已定義的策略和程序進(jìn)行。系統(tǒng)用戶賬號(hào)和終端用戶賬號(hào)應(yīng)嚴(yán)格分類管理。對(duì)無(wú)人值守的設(shè)備應(yīng)有適當(dāng)?shù)谋Ｗo(hù)措施，用戶登錄時(shí)應(yīng)嚴(yán)格控制和記錄。 PKI系統(tǒng)文檔中，應(yīng)有訪問(wèn)控制的相關(guān)文檔，訪問(wèn)控制文檔中的訪問(wèn)控制策略應(yīng)包含如下幾個(gè)方面：a) 角色及其相應(yīng)的訪問(wèn)權(quán)限角色及其相應(yīng)的訪問(wèn)權(quán)限的分配見(jiàn)表7。b) 標(biāo)識(shí)與鑒別系統(tǒng)用戶的過(guò)程。c) 角色的職能分割。d) 進(jìn)行PKI系統(tǒng)的特定操作時(shí)需要的最小系統(tǒng)用戶人數(shù)最少應(yīng)滿足以下要求：CA私鑰和關(guān)鍵部件密鑰的生成、備份、更新、導(dǎo)入導(dǎo)出、密鑰恢復(fù)、密鑰銷毀等操作要求有多個(gè)系統(tǒng)用戶同時(shí)在場(chǎng)，并符合表7的要求。 網(wǎng)絡(luò)訪問(wèn)控制進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)，PKI系統(tǒng)應(yīng)提供訪問(wèn)控制。遠(yuǎn)程用戶只有被認(rèn)證通過(guò)后，PKI系統(tǒng)才允許訪問(wèn)，并只對(duì)授權(quán)用戶提供被授權(quán)使用的服務(wù)。系統(tǒng)開(kāi)發(fā)者應(yīng)提供對(duì)遠(yuǎn)程用戶終端到PKI系統(tǒng)服務(wù)的路徑進(jìn)行控制的方法，并采取防火墻、入侵檢測(cè)等安全保護(hù)措施。對(duì)遠(yuǎn)程計(jì)算機(jī)系統(tǒng)與PKI系統(tǒng)的連接應(yīng)被認(rèn)證，認(rèn)證方法包括計(jì)算機(jī)地址、訪問(wèn)時(shí)間、擁有的密鑰等。PKI系統(tǒng)應(yīng)定義網(wǎng)絡(luò)訪問(wèn)控制策略。PKI系統(tǒng)的診斷分析端口是重要的受控訪問(wèn)端口，開(kāi)發(fā)者應(yīng)對(duì)其訪問(wèn)進(jìn)行嚴(yán)格的安全控制，能夠檢測(cè)并記錄對(duì)這些端口的訪問(wèn)請(qǐng)求。PKI系統(tǒng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間應(yīng)設(shè)置安全控制，并設(shè)置網(wǎng)關(guān)、網(wǎng)閘、防火墻等保護(hù)措施。按照PKI系統(tǒng)的訪問(wèn)控制策略，應(yīng)限制用戶可用的服務(wù)，對(duì)于不合理的服務(wù)請(qǐng)求應(yīng)進(jìn)行限制和過(guò)濾。路由控制應(yīng)保證計(jì)算機(jī)連接和信息流不違背系統(tǒng)的訪問(wèn)控制策略，不合理的信息流和網(wǎng)絡(luò)連接應(yīng)進(jìn)行限制和過(guò)濾。PKI系統(tǒng)所有網(wǎng)絡(luò)服務(wù)的安全屬性要求在PKI文檔中有相關(guān)說(shuō)明。 操作系統(tǒng)訪問(wèn)控制PKI系統(tǒng)的訪問(wèn)應(yīng)使用安全的登錄過(guò)程，自動(dòng)登錄等應(yīng)被嚴(yán)格限制。每個(gè)用戶只有唯一的ID，以便在PKI系統(tǒng)的操作能夠被記錄追蹤。系統(tǒng)的口令管理應(yīng)提供有效的、交互式的工具以確保生成高質(zhì)量的口令。對(duì)系統(tǒng)工具的使用應(yīng)進(jìn)行嚴(yán)格的控制。當(dāng)系統(tǒng)用戶正在訪問(wèn)PKI服務(wù)系統(tǒng)，中途長(zhǎng)期離開(kāi)用戶終端時(shí)，P