系統(tǒng)參與者接入端信息系統(tǒng)檢查標準

1、謝謝觀賞中國票據(jù)交易系統(tǒng)系統(tǒng)參與者接入端信息系統(tǒng)檢查標準(適用于使用交易系統(tǒng)直連參與者)(V2.0)上海票據(jù)交易所2019年01月、必備標準必備標準是指被驗收參與機構(gòu)接入端信息系統(tǒng)檢查必須完全達到的標準。必備標準中任何一項指標不達標,視為接入端信息系統(tǒng)檢查驗收不通過。1、網(wǎng)絡(luò)環(huán)境被檢查機構(gòu)：說明：檢查范圍為中國票據(jù)交易系統(tǒng)（直連通信平臺（JAR包）部署服務(wù)器）運行的網(wǎng)絡(luò)系統(tǒng)環(huán)境，包括局域網(wǎng)，與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡(luò)安全設(shè)備。編號檢查項檢查標準檢查方法自查結(jié)果檢查結(jié)果備注1網(wǎng)絡(luò)綜合布線1、檢查直連通信平臺（JAR包）部署服務(wù)器所在的網(wǎng)絡(luò)布線情況，能夠直接判斷哪些線路屬于被檢查

2、機器現(xiàn)場查看走線是否合理，布線是否規(guī)整，布線是否采用統(tǒng)一標識?？谕瓿煽诰途w口符合口符合要求口未達要求2網(wǎng)絡(luò)冗余和備份1、應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。應(yīng)保證關(guān)鍵的網(wǎng)絡(luò)設(shè)備和通信線路具有冗余備份?，F(xiàn)場檢查與文檔審查結(jié)合。現(xiàn)場檢查：1 .與交易系統(tǒng)業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)區(qū)域設(shè)備配置至少為1:1冗余備份，租用兩家不同運營商的線路連接到票交所。2 .參與機構(gòu)提出高峰時業(yè)務(wù)帶寬與租用電路帶寬比對?？谕瓿煽诰途w口符合口符合要求口未達要求3網(wǎng)管系統(tǒng)1、應(yīng)配有網(wǎng)絡(luò)管理系統(tǒng)對中國票據(jù)交易系統(tǒng)接入環(huán)境進行有效監(jiān)控現(xiàn)場檢查與義檔審查結(jié)合。現(xiàn)場檢查：登陸網(wǎng)管檢查，對被管理設(shè)備一個網(wǎng)絡(luò)

3、接口進行關(guān)閉和打開操作，網(wǎng)管能有效監(jiān)控?？谕瓿煽诰途w口符合口符合要求口未達要求4網(wǎng)絡(luò)入侵防范設(shè)備1、應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。2、當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。現(xiàn)場檢查與義檔審查結(jié)合?，F(xiàn)場檢查：交易系統(tǒng)業(yè)務(wù)服務(wù)器所在網(wǎng)絡(luò)區(qū)域配置了網(wǎng)絡(luò)入侵檢測系統(tǒng)?？谕瓿煽诰途w口符合口符合要求口未達要求5網(wǎng)絡(luò)防火墻1、應(yīng)在網(wǎng)絡(luò)邊界部署防火墻設(shè)備，啟用訪問控制功能。檢查交易系統(tǒng)業(yè)務(wù)服務(wù)器是否部署了防火墻進行防護。口完成口就緒口符合口符合要求口未達要

4、求6IP子網(wǎng)劃分1、應(yīng)根據(jù)重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段?，F(xiàn)場檢查與文檔審查結(jié)合?，F(xiàn)場檢查：1 .在交易系統(tǒng)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)設(shè)備使用showvlanbrief查看交易系統(tǒng)業(yè)務(wù)網(wǎng)段是否與其他網(wǎng)段屬于不同vlan.2 .使用showvlanaccess-map查看交易系統(tǒng)業(yè)務(wù)所在vlan與其他非相關(guān)vlan是否口完成口就緒口符合口符合要求口未達要求配置訪問控制。檢查人：被查單位協(xié)查人員：謝謝觀賞2、主機與數(shù)據(jù)安全檢查被檢查機構(gòu)：編號檢查項檢查標準檢查方法自查結(jié)果檢查結(jié)果備注1系統(tǒng)保護1、應(yīng)具備系統(tǒng)備份。2、應(yīng)具有故障恢復策略

5、。3、應(yīng)具有安全配置標準，并進行安全配置。4、應(yīng)具有主機加固標準，并對主機進行加固?，F(xiàn)場檢查與義檔審查結(jié)合口完成口就緒口符合符合要求口未達要求2數(shù)據(jù)備份1、須定期進行數(shù)據(jù)備份。2、應(yīng)米用局可用性的備份介質(zhì)。3、應(yīng)采用合理的備份方式。4、應(yīng)定期進行異地數(shù)據(jù)備份。5、應(yīng)進行備份數(shù)據(jù)有效性檢驗?，F(xiàn)場檢查與義檔審查結(jié)合口完成口就緒口符合口符合要求口未達要求謝謝觀賞謝謝觀賞檢查人：被查單位協(xié)查人員：謝謝觀賞3、中國票據(jù)交易系統(tǒng)（直連通信平臺（JAR包）部署服務(wù)器）被檢查機構(gòu)：編號檢查項檢查標準檢查方法自查結(jié)果檢查結(jié)果備注（一）直連通信平臺（JAR包）部署服務(wù)器環(huán)境檢查1直連通信平臺配置檢查檢查shcpe

6、.properties、MQSperties、MQRperties中各配置項是否止確查看perties、MQSperties、MQRperties文件口完成口就緒口符合口符合要求口未達要求2檢查主Jar包及依賴檢Eapi:SHCPEClient.jar依賴jar包:dmqs-clie包-1.0.2.jaractivemq-client-5.14.3.jaractivemq-jms-pool-5.14.3.jaractivemq-pool-5.14.3.jarcglib-nodep-2.2.2.jarcommo

7、ns-pool2-2.4.2.jargeronimo-j2ee-management_1.1_spec-1.0.1.jargeronimo-jms_1.1_spec-1.1.1.jargeronimo-jta_1.0.1B_spec-1.0.1.jarhamcrest-core-1.3.jar檢查jar包及版本口完成口就緒口符合口符合要求口未達要求hawtbuf-1.11.jarhawtbuf-proto-1.11.jarhawtbuf-protoc-1.11.jarlog4j-api-2.8.jarlog4j-core-2.8.jarslf4j-api-1.7.13.jarslf4j-nop

8、-1.7.25.jarobjenesis-1.3.jar3Jar包日志檢查1、檢查應(yīng)用日志文件輸出文件相對位置，配置是否正確logs/monitor.loglogs/shcpe_client.log2、檢查輸出應(yīng)用日志的目錄是否有寫入權(quán)限。查看日志文件logs/monitor.loglogs/shcpe_client.log口完成口就緒口符合口符合要求口未達要求4檢查JDK版本SUNJDK>=1.7IBMJDK>=1.7二java-version口完成口就緒口符合口符合要求口未達要求5FTP服務(wù)器配置檢查FTP服務(wù)器配置，ip、端口、用戶名FTP配置文件口完成口就緒口符合口符合要求

9、口未達要求（二）行內(nèi)接入軟件版本檢查1行內(nèi)接入軟件版本標識檢查應(yīng)在系統(tǒng)中有明確位置顯示行內(nèi)系統(tǒng)接入軟件版本號現(xiàn)場檢查口完成口就緒口符合口符合要求口未達要求2行內(nèi)接入軟件版本一致性檢查被驗收環(huán)境行內(nèi)接入軟件版本應(yīng)與接入端軟件驗收檢測時部署的版本一致行內(nèi)自行報告口完成口就緒口符合口符合要求口未達要求檢查人：被查單位協(xié)查人員：謝謝觀賞一般標準一般標準是指被驗收參與機構(gòu)接入端信息系統(tǒng)的量化檢查指標。一般標準實行“打分制”，滿分為100分,參與機構(gòu)得分應(yīng)達到或者超過70分。1、網(wǎng)絡(luò)系統(tǒng)環(huán)境檢查（32分）被檢查機構(gòu)：說明：檢查范圍為中國票據(jù)交易系統(tǒng)（直連通信平臺（JAR包）部署服務(wù)器）運行的網(wǎng)絡(luò)系統(tǒng)環(huán)境，

10、包括局域網(wǎng)，與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡(luò)安全設(shè)備。編號檢查項檢查標準檢查方法分值（最小單位為0.1）自查結(jié)果檢查結(jié)果備注（一）網(wǎng)絡(luò)布線1綜合布線1、走線方式現(xiàn)場查看走線是否合理。121、布線規(guī)整現(xiàn)場查看布線是否規(guī)整。131、統(tǒng)標識現(xiàn)場查看布線是否采用A標識。1（二）網(wǎng)絡(luò)系統(tǒng)1網(wǎng)絡(luò)拓撲結(jié)構(gòu)1、中國票據(jù)交易系統(tǒng)接入環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計清晰合理，并繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖?，F(xiàn)場檢查與文檔審查結(jié)合?，F(xiàn)場檢查：登陸網(wǎng)管查看是否能展示交易系統(tǒng)業(yè)務(wù)所在網(wǎng)絡(luò)區(qū)域的拓撲結(jié)構(gòu)。并驗證設(shè)備型號，設(shè)備間互聯(lián)等與實際情況是否相符。12QoS保證1、應(yīng)按照中國票據(jù)交易系統(tǒng)交易類數(shù)據(jù)、信息類數(shù)據(jù)來

11、指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護交易類業(yè)務(wù)的傳輸?，F(xiàn)場檢查與文檔審查結(jié)合。現(xiàn)場檢查：1 .在相關(guān)路由器和交換機上使用showclass-map查看交易系統(tǒng)業(yè)務(wù)相關(guān)流量進行標記。2 .在相關(guān)路由器上使用命令show1policy-map查看交易系統(tǒng)業(yè)務(wù)相關(guān)流量進行優(yōu)先級保障。保障的帶寬應(yīng)不小于業(yè)務(wù)業(yè)務(wù)高峰期需要。（三）網(wǎng)絡(luò)安全1路由安全控制1、應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制，建立安全的訪問路徑?，F(xiàn)場檢查與文檔審查結(jié)合?，F(xiàn)場檢查：1.交易系統(tǒng)業(yè)務(wù)終端和交易系統(tǒng)業(yè)務(wù)服務(wù)器是否配置了防火墻進行安全控制；或交換機上使用命令showvlanaccess-map查看交易系統(tǒng)終

12、端和交易系統(tǒng)業(yè)務(wù)服務(wù)器之間的訪問控制列表.12防火墻安全控制1、須避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間須采取可靠的技術(shù)隔離手段。2、應(yīng)在網(wǎng)絡(luò)邊界部署防火墻設(shè)備，啟用訪問控制功能。3、應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。4、地址轉(zhuǎn)換。5、宜限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)（可選）。6、宜在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接（可選）。現(xiàn)場檢查與文檔審查結(jié)合?，F(xiàn)場檢查：1 .交易系統(tǒng)業(yè)務(wù)服務(wù)器是否部署了防火墻進行防護。2 .檢查防火墻配置的交易系統(tǒng)相關(guān)策略，采用了NAT地址轉(zhuǎn)換，控制粒度為端口級。3 .檢查會

13、話保持時間為非長連接。（可選）63網(wǎng)絡(luò)ARP欺騙攻擊1、宜具備有效防范網(wǎng)絡(luò)ARP欺騙攻擊的措施（可選）?，F(xiàn)場檢查與文檔審查結(jié)合?，F(xiàn)場檢查：使用命令showruninterface（具體接口）命令檢查交易系統(tǒng)業(yè)務(wù)交換機和交易系統(tǒng)業(yè)務(wù)服務(wù)器之間的互聯(lián)口有無端口安全配置命令：switchportport-security14DOS/DDO敢擊1、應(yīng)具有防DOS/DDOSC擊設(shè)備或技術(shù)手段。現(xiàn)場檢查與文檔審查結(jié)合?，F(xiàn)場檢查：例如配置了入侵檢測技術(shù)能夠及時檢測DOS/DDO敢擊。15網(wǎng)絡(luò)設(shè)備安全配置1、應(yīng)按照安全標準進行設(shè)備配置，應(yīng)實現(xiàn)設(shè)備最小化服務(wù)配置。2、應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別。3、網(wǎng)絡(luò)

14、設(shè)備用戶的標識應(yīng)唯一。4、身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復雜度要求并定期更換。5、應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制。6、對網(wǎng)絡(luò)設(shè)備進行遠程管理時，宜采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。7、應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施?，F(xiàn)場檢查與文檔審查結(jié)合。現(xiàn)場檢查交易系統(tǒng)網(wǎng)絡(luò)設(shè)備：1 .參考備注中安全配置模板進行檢查。2 .使用命令：showrun|includeaaa查看是否有身份認證配置。3 .登陸設(shè)備查看設(shè)備hostname是否唯,o4 .交易系統(tǒng)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)設(shè)備上使用showrun|includevty查看v

15、ty下是否做了訪問控制，允許指定地址登陸、采用SSH限制了非法登7多女全配置模板和相應(yīng)的指引陸次數(shù)和連接超時。如：linevty04access-classVTY-INinexec-timeout50loggingsynchronoustransportinputsshtransportoutputall4.密碼有一定復雜度并定期更換。（四）網(wǎng)絡(luò)管理1日志信息1、應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)及防火墻設(shè)備運行狀況、用戶行為等進行日志記錄，內(nèi)容應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他相關(guān)的信息。2、應(yīng)對日志記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。3、日志存儲時間應(yīng)不少于半年。

16、4、應(yīng)根據(jù)需要，可按時間段或設(shè)備類型等維度提出所需日志。現(xiàn)場檢查與義檔審查結(jié)合?，F(xiàn)場檢查：檢查日志服務(wù)器是否有相關(guān)設(shè)備的日志記錄，能提供一個保存半年左右的日志O42配置文件離線備份1、應(yīng)對設(shè)備配置文件定期進行離線備份?，F(xiàn)場檢查與文檔審查結(jié)合。現(xiàn)場檢查：提供一個一個月前1的離線備份配置文件。（五）網(wǎng)絡(luò)設(shè)備運維制度1網(wǎng)絡(luò)設(shè)備運維制度1、應(yīng)具有網(wǎng)絡(luò)配置變更管理流程和制度。2、應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面做出規(guī)定。3、宜具有設(shè)備參數(shù)配置標準手冊。4、應(yīng)具有網(wǎng)絡(luò)事故管理制度。5、應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準。6、應(yīng)定期檢查

17、違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為?，F(xiàn)場檢查與義檔審查結(jié)合。6注：網(wǎng)絡(luò)設(shè)備安全配置模板：servicetimestampsdebugdatetimemseclocaltimeservicetimestampslogdatetimemseclocaltimeservicepassword-encryptionipsubnet-zeronoipdomain-lookupnoipsource-routenoservicepadnoipbootpservernoiphttpservernoservicedhcpnoservicefingerservicenaglenoipgratuitous

18、-arpsservicetcp-keepalives-inservicetcp-keepalives-outnobootnetworknoipidentdnoserviceconfignoservicetcp-small-serversnoserviceudp-small-serversnocdprun檢 查 人：被查單位協(xié)查人員：2、主機與數(shù)據(jù)安全檢查（53分）被檢查機構(gòu)：編號檢查項檢查標準檢查方法分值（最小單位為0.1）自查結(jié)果檢查結(jié)果備注（一）主機安全1身份鑒別1、應(yīng)分別設(shè)置專用的系統(tǒng)和應(yīng)用管理員用戶。2、系統(tǒng)與應(yīng)用管理員口令應(yīng)具有一定的復雜度，并定期更換。3、宜對同一用戶采用兩種或兩種

19、以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。4、應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施?，F(xiàn)場檢查與義檔審查結(jié)合。42自主訪問控制1、宜控制主機信任關(guān)系。2、應(yīng)清除默認過期用戶。3、應(yīng)按照最小授權(quán)原則分配用戶權(quán)限?，F(xiàn)場檢查與義檔審查結(jié)合。33強制訪問控制1、應(yīng)控制重要系統(tǒng)文件權(quán)限。2、應(yīng)保證共享目錄安全。3、應(yīng)控制遠程登錄?，F(xiàn)場檢查與義檔審查結(jié)合。34安全審計1、日志記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。2、應(yīng)對日志記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。3、宜提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。4、宜提

20、供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計。5、應(yīng)對無用的過期信息、文檔進行完整刪除，并建立數(shù)據(jù)刪除制度、保留刪除記錄?，F(xiàn)場檢查與義檔審查結(jié)合。55系統(tǒng)保護1、應(yīng)具有系統(tǒng)備份。2、應(yīng)具有故障恢復策略。3、應(yīng)具有安全配置標準，并進行安全配置。4、宜具有磁盤空間分配策略。5、應(yīng)具有主機加固標準，并對主機進行加固?，F(xiàn)場檢查與義檔審查結(jié)合。56剩余信息保護1、應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；2、應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前

21、得到完全清除?，F(xiàn)場檢查與義檔審查結(jié)合。27入侵防范1、應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。2、應(yīng)關(guān)閉系統(tǒng)不必要的服務(wù)和端口?，F(xiàn)場檢查與義檔審查結(jié)合。33、操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。8惡意代碼防范1、應(yīng)及時更新防惡意代碼軟件版本和惡意代碼庫。2、防惡意代碼軟件宜具有統(tǒng)一的控制措施。3、宜及時安裝系統(tǒng)必要的補丁。4、宜定期進行漏洞掃描?，F(xiàn)場檢查與義檔審查結(jié)合。49資源控制1、應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。2、應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定

22、或退出。3、應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。4、應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預先規(guī)定的最小值進行監(jiān)測和報警。現(xiàn)場檢查與義檔審查結(jié)合。4（二）數(shù)據(jù)安全1數(shù)據(jù)存儲1、須采用有效措施保障存儲數(shù)據(jù)的安全。2、存儲內(nèi)容應(yīng)至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、重要業(yè)務(wù)數(shù)據(jù)等內(nèi)容?，F(xiàn)場檢查與義檔審查結(jié)合。22數(shù)據(jù)存儲設(shè)備1、應(yīng)米用安全、局可用性的數(shù)據(jù)存儲設(shè)備。2、設(shè)備型號應(yīng)滿足備份策略要求。3、應(yīng)選擇正規(guī)可靠的設(shè)備供應(yīng)商。4、應(yīng)采取相應(yīng)制度、措施保障設(shè)備安全性。現(xiàn)場檢查與義檔審查結(jié)合。43數(shù)據(jù)備份1、須定期進行數(shù)據(jù)備份。2、應(yīng)米用局可用性的備份介質(zhì)。3、應(yīng)采用合理的備份方式。4、備份內(nèi)容應(yīng)至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、重要業(yè)務(wù)數(shù)據(jù)等內(nèi)容。5、應(yīng)定期進行異地數(shù)據(jù)備份。6、應(yīng)進行備份數(shù)據(jù)有效性檢驗?，F(xiàn)場檢查與義檔審查結(jié)合。64數(shù)據(jù)備份介質(zhì)管理1、應(yīng)在圖可用性的物理環(huán)境中保存介質(zhì)。2、應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理。3、應(yīng)制定備份介質(zhì)銷毀制度，保留銷毀記錄?，F(xiàn)場檢查與義檔審查結(jié)合。35數(shù)據(jù)備份恢復管理制度1、應(yīng)具有恢復制度。2、應(yīng)具有恢復演練計劃和演練記錄。3、應(yīng)具有恢復記錄?，F(xiàn)場檢查與義檔審查結(jié)合。36數(shù)字證書管理1、應(yīng)有專人管理。2、放置合理?，F(xiàn)場檢查與文