系統(tǒng)安全安全性、穩(wěn)定性說明

1、PAGE19天威誠(chéng)信PKI/CA系統(tǒng)安全、穩(wěn)定性說明前言對(duì)于上海環(huán)迅電子商務(wù)有限公司是中國(guó)領(lǐng)先的在線支付服務(wù)提供商，作為在線支付市場(chǎng)的先行者和領(lǐng)導(dǎo)者，上海環(huán)迅一直專注在電子支付的商業(yè)應(yīng)用及金融業(yè)的電子化服務(wù)，因此對(duì)環(huán)迅公司的在線支付系統(tǒng)提供安全支持的公司必須要具備非常專業(yè)的技術(shù)背景、強(qiáng)有力的技術(shù)支持和服務(wù)能力，以及完整的國(guó)家資質(zhì)才能為上海環(huán)迅的在線支付系統(tǒng)保駕護(hù)航，為上海環(huán)迅成為世界領(lǐng)先的電子支付應(yīng)用和服務(wù)的提供商提供受到法律保護(hù)的安全基礎(chǔ)。系統(tǒng)安全性對(duì)于天威誠(chéng)信PKI/CA系統(tǒng)的安全性，天威誠(chéng)信通過嚴(yán)格的物理安全、網(wǎng)絡(luò)安全、信息安全、人員安全和密鑰安全來(lái)保證CA中心的安全，具有很高的安全性。

2、物理安全天威誠(chéng)信制定了嚴(yán)格的物理安全策略，主要包括：天威誠(chéng)信CA系統(tǒng)按照在天威誠(chéng)信安全數(shù)據(jù)中心，數(shù)據(jù)中心的物理場(chǎng)地按照嚴(yán)格的安全訪問政策從結(jié)構(gòu)層次上進(jìn)行了劃分，采用物理分層的結(jié)構(gòu)，將系統(tǒng)安裝在層次較高的物理層；進(jìn)出各層具有嚴(yán)格的物理安全訪問控制策略進(jìn)行保護(hù)，必須出示相關(guān)證件或身份卡，包括員工證、門禁卡和指紋機(jī)等；物理場(chǎng)地配備了24 X 7 X 365 保安員，整個(gè)物理場(chǎng)地進(jìn)行24小時(shí)錄影監(jiān)視。網(wǎng)絡(luò)安全天威誠(chéng)信制定和執(zhí)行嚴(yán)格的網(wǎng)絡(luò)安全策略，主要包括：天威誠(chéng)信將系統(tǒng)采用了兩道防火墻與Internet進(jìn)行隔離，CA系統(tǒng)的前臺(tái)安裝在DMZ區(qū)，核心后臺(tái)安裝在軍事化區(qū)，和前臺(tái)通過防火墻進(jìn)行隔離，任何Int

3、ernet用戶都無(wú)法直接訪問CA系統(tǒng)核心后臺(tái)；系統(tǒng)網(wǎng)絡(luò)和日常辦公網(wǎng)絡(luò)完全分開，都采用分段控制，并以內(nèi)部和外部防火墻作保護(hù)；對(duì)于系統(tǒng)的所有服務(wù)器都以SSL來(lái)加強(qiáng)對(duì)客戶連接的安全性保護(hù)。信息安全天威誠(chéng)信制定和執(zhí)行嚴(yán)格的信息安全策略，主要包括：系統(tǒng)/服務(wù)器充分考慮信息安全，采用動(dòng)態(tài)口令方式包含系統(tǒng)的口令，并采用單獨(dú)系統(tǒng)監(jiān)控/防止病毒入侵；系統(tǒng)/服務(wù)器充分考慮了穩(wěn)定性設(shè)計(jì)，采用了多路數(shù)據(jù)專線，防止斷線，數(shù)據(jù)專線連接采用多個(gè)供應(yīng)商，防止供應(yīng)商斷線；充分考慮了數(shù)據(jù)庫(kù)系統(tǒng)的安全，采用多硬盤實(shí)時(shí)備份 （Mirroring），采用多處理器，采用可熱換的硬盤，并嚴(yán)格進(jìn)行系統(tǒng)/服務(wù)器的備份，每晚對(duì)數(shù)據(jù)進(jìn)行備份，定期

4、將備份數(shù)據(jù)存放到安全的第三方；充分考慮了電源穩(wěn)定性設(shè)計(jì)，數(shù)據(jù)中心具有獨(dú)立的后備電源，并配備了發(fā)電機(jī)。人員安全天威誠(chéng)信制定和執(zhí)行嚴(yán)格的人員安全策略，主要包括：天威誠(chéng)信具有詳細(xì)的、規(guī)范的可信雇員政策，對(duì)員工進(jìn)行審查，并詳細(xì)規(guī)定員工的職責(zé)；天威誠(chéng)信員工對(duì)系統(tǒng)的操作嚴(yán)格按照天威誠(chéng)信制定的規(guī)范的操作流程進(jìn)行，并定期對(duì)操作記錄進(jìn)行安全與審計(jì)；天威誠(chéng)信制定了嚴(yán)格的物理和系統(tǒng)訪問權(quán)限控制，對(duì)于非授權(quán)人員禁止操作。密鑰安全密鑰安全包括根CA和子CA密鑰的安全，以及用戶證書密鑰的安全。CA密鑰的安全CA密鑰是對(duì)根CA和子CA密鑰的統(tǒng)稱，需要從兩個(gè)方面進(jìn)行分析：CA密鑰的產(chǎn)生 CA密鑰在天威誠(chéng)信的安全數(shù)據(jù)中心離線的

5、物理環(huán)境中產(chǎn)生，使用經(jīng)過國(guó)家相關(guān)部門認(rèn)證通過的國(guó)產(chǎn)加密機(jī)來(lái)產(chǎn)生。為了保障CA密鑰產(chǎn)生的公正性和權(quán)威性，天威誠(chéng)信會(huì)進(jìn)行規(guī)范的密鑰生成儀式，整個(gè)過程將會(huì)有錄像記錄。舉行密鑰生成儀式至少需要七名相關(guān)的人員參加。CA密鑰的安全存儲(chǔ) 所有密鑰都是保存在天威誠(chéng)信最安全的物理層，根密鑰離線的保存在安全級(jí)別最高的層次，并通過密鑰分割的方式由多人負(fù)責(zé)管理。對(duì)于在線CA的密鑰，安裝在安全數(shù)據(jù)中心的在線最高物理層，對(duì)于在線CA密鑰的上載，至少需要七名相關(guān)人員才能進(jìn)行。系統(tǒng)性能分析系統(tǒng)處理能力天威誠(chéng)信PKI/CA系統(tǒng)設(shè)計(jì)初期處理能力為“千萬(wàn)”級(jí)證書容量，可以根據(jù)業(yè)務(wù)的擴(kuò)展需求進(jìn)行動(dòng)態(tài)的擴(kuò)展。目前已經(jīng)對(duì)外簽發(fā)了十幾萬(wàn)張

6、證書，系統(tǒng)沒有任何問題和壓力。以下提供各模塊的處理能力的測(cè)試數(shù)據(jù)，包含CA中心服務(wù)器的處理能力、RA中心服務(wù)器的處理能力、用戶證書的發(fā)證能力、及目錄服務(wù)器的查詢能力等。CA中心服務(wù)器處理能力一個(gè)用戶請(qǐng)求需要通過CA中心服務(wù)器和簽名服務(wù)器的邏輯處理，如果是證書簽發(fā)請(qǐng)求則會(huì)經(jīng)過邏輯處理后再交給簽名服務(wù)器和加密機(jī)處理。CA服務(wù)器的處理能力指標(biāo)主要是并發(fā)處理能力。環(huán)境硬件配置Sun Sparc Ultra 2操作系統(tǒng)Solaris 加密卡SJY17-B性能設(shè)計(jì)序號(hào)性能參數(shù)處理能力1并發(fā)性能165個(gè)用戶請(qǐng)求/秒2平均連續(xù)處理601000次/小時(shí)圖表 CA處理能力表CA中心加密機(jī)處理能力CA中心簽名服務(wù)器

7、將使用加密機(jī)，完成用戶證書簽發(fā)、非對(duì)稱密鑰加解密等的功能。因此，在上述服務(wù)器的性能設(shè)計(jì)中，主要提供了關(guān)于加密機(jī)的處理性能。環(huán)境硬件配置加密機(jī)操作系統(tǒng)RedHat Linux 加密機(jī)/卡SJY17-B性能設(shè)計(jì)序號(hào)性能參數(shù)處理能力1RSA 1024位簽名運(yùn)算速度250次/秒2RSA 1024位驗(yàn)證運(yùn)算速度1000次/秒3對(duì)稱算法加、解密速度秒。4生成一對(duì)RSA密鑰的平均時(shí)間3秒圖表 STYLEREF 標(biāo)題1 s 錯(cuò)誤！未定義樣式。 SEQ 圖表 * ARABIC s 12 加密機(jī)處理能力表目錄服務(wù)器處理能力用戶證書查詢以及證書黑名單查詢可以通過LDAP協(xié)議來(lái)查詢，目錄服務(wù)器處理能力的主要指標(biāo)是單個(gè)

8、查詢的響應(yīng)時(shí)間以及目錄服務(wù)能夠承受的最大并發(fā)查詢數(shù)。環(huán)境硬件配置Sun Sparc Ultra 2操作系統(tǒng)Solaris 性能設(shè)計(jì)序號(hào)性能參數(shù)處理能力1單個(gè)查詢響應(yīng)平均時(shí)間秒/次2最大并發(fā)量300圖表目錄服務(wù)器處理能力表先進(jìn)性和開放性天威誠(chéng)信PKI/CA系統(tǒng)采用Verisign的技術(shù)平臺(tái)，VeriSign已經(jīng)與超過100家獨(dú)立軟件廠商建立了合作伙伴關(guān)系，其中包括Microsoft，Netscape，Lotus，Oracle，Cisco等等。采用VeriSign技術(shù)平臺(tái)的建設(shè)的天威誠(chéng)信PKI/CA系統(tǒng)也延續(xù)了這種開放性。在此開放性的平臺(tái)上，有系列產(chǎn)品能夠有效支持這些廠家的應(yīng)用軟件產(chǎn)品，這些產(chǎn)品包

9、括：安全Web應(yīng)用、安全Email應(yīng)用、安全MS Exchange應(yīng)用、安全Lotus Notes應(yīng)用、安全ERP應(yīng)用和安全VPN應(yīng)用等。與此同時(shí)，天威誠(chéng)信PKI/CA系統(tǒng)嚴(yán)格采用國(guó)際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)的技術(shù)，如PKIX標(biāo)準(zhǔn)，保證系統(tǒng)最大的兼容性。其中： 與國(guó)內(nèi)外其他CA認(rèn)證體系交叉認(rèn)證：用戶應(yīng)用采用天威誠(chéng)信CTN認(rèn)證體系，可以與國(guó)內(nèi)外其他符合國(guó)際工業(yè)標(biāo)準(zhǔn)的CA認(rèn)證體系進(jìn)行交叉認(rèn)證，很容易實(shí)現(xiàn)與國(guó)際認(rèn)證體系的接軌，實(shí)現(xiàn)將信任域擴(kuò)充到全球。與各種電子商務(wù)平臺(tái)體系相兼容：天威誠(chéng)信PKI/CA系統(tǒng)采用的技術(shù)路線是完全符合全球工業(yè)標(biāo)準(zhǔn)的技術(shù)路線，該體系已經(jīng)廣泛應(yīng)用到全球的電子商務(wù)平臺(tái)中，本產(chǎn)品已經(jīng)與超過1

10、00家獨(dú)立軟件廠商建立了合作伙伴關(guān)系，其中包括Microsoft，Netscape，Lotus，Oracle，Cisco等。密碼模塊的兼容性：密碼模塊的兼容性主要指用戶密鑰生成模塊的兼容性，天威誠(chéng)信PKI/CA系統(tǒng)具有良好的兼容性。RA中心提供了預(yù)留接口，支持提供PKCS#11以及CSP證書接口的所有設(shè)備，可根據(jù)用戶的需要，使用自己的算法，來(lái)生成用戶證書的密鑰對(duì)，提高保密性能。密碼算法的兼容性：天威誠(chéng)信PKI/CA系統(tǒng)支持與國(guó)內(nèi)外多種算法相兼容：公開密鑰密碼算法：RSA、DSA等；對(duì)稱密鑰密碼算法：DES、Tri-DES、RC4、AES等；散列算法：MD5、SHA1等。協(xié)議的兼容：證書申請(qǐng)、下

11、載、存儲(chǔ)支持PKCS#9/10/11/12系列以及微軟開發(fā)的CSP系列；目錄服務(wù)、黑名單CRL發(fā)布都支持LDAP協(xié)議，以及通用的目錄服務(wù)器，如：OPEN LDAP軟件、SUN的iPlanet Directory Server；證書在線查詢支持OCSP協(xié)議；時(shí)間戳服務(wù)完全符合最新發(fā)布的RFC3161標(biāo)準(zhǔn)；用戶端安全應(yīng)用支持S/MIME安全電子郵件協(xié)議，SSL安全傳輸加密協(xié)議；證書格式的兼容：能夠兼容各種符合 V3標(biāo)準(zhǔn)的多種證書格式。安全可靠性對(duì)于一個(gè)提供信任和安全保障服務(wù)的PKI/CA系統(tǒng)來(lái)說，其自身對(duì)安全性的要求是不言而喻的，根據(jù)上述描述，天威誠(chéng)信PKI/CA系統(tǒng)具有很好的安全性。易操作性天威

12、誠(chéng)信PKI/CA系統(tǒng)為用戶提供的證書服務(wù)都使用瀏覽器（如IE和Netscape）進(jìn)行操作，完全基于B/S模式的操作方法，一方面無(wú)須專門的客戶端，使用快捷簡(jiǎn)單；另一方面用戶上手快，大大節(jié)省了培訓(xùn)成本。同時(shí)具有交互界面，具有詳細(xì)的、中文的用戶使用幫助和專門的幫助庫(kù)?？蓴U(kuò)展性天威誠(chéng)信PKI/CA系統(tǒng)具有良好的可擴(kuò)展性，包含多個(gè)方面的可擴(kuò)展性：證書的可擴(kuò)展性、認(rèn)證體系信任域的可擴(kuò)展性、加密算法的可擴(kuò)展性、及對(duì)應(yīng)用支持的可擴(kuò)展性等：證書的可擴(kuò)展性：天威誠(chéng)信PKI/CA系統(tǒng)簽發(fā)的證書本身帶有很多可擴(kuò)展的字段，可以根據(jù)用戶的應(yīng)用需求來(lái)利用這些擴(kuò)展字段，還可以根據(jù)用戶的需求對(duì)證書上顯示的字段進(jìn)行定制；認(rèn)證體系

13、的可擴(kuò)展性：對(duì)外信任域來(lái)說，可以通過交叉認(rèn)證的方式實(shí)現(xiàn)與國(guó)內(nèi)外其他的CA信任域互聯(lián)互通。另外，系統(tǒng)為用戶應(yīng)用設(shè)計(jì)的三層認(rèn)證體系結(jié)構(gòu)可以擴(kuò)展成四層、五層，乃至無(wú)限，子CA可以簽發(fā)下級(jí)子CA，由下級(jí)子CA來(lái)簽發(fā)用戶證書；密碼算法的可擴(kuò)展性：支持多種對(duì)稱算法、非對(duì)稱算法以及數(shù)字摘要算法，如：RSA、ECC、QC-1、QC-4、DES、RC4、RC2、IDEA、MD5、SHA1等。對(duì)應(yīng)用支持的可擴(kuò)展性：天威誠(chéng)信提供完整的證書應(yīng)用API，包括C、JAVA和COM接口，提供用戶使用手冊(cè)和用戶使用技術(shù)支持，可以充分的保證用戶應(yīng)用系統(tǒng)的需求，以及將來(lái)其它應(yīng)用的擴(kuò)展。系統(tǒng)穩(wěn)定性天威誠(chéng)信CA中心系統(tǒng)對(duì)CA系統(tǒng)安全

14、、信息系統(tǒng)安全進(jìn)行嚴(yán)格設(shè)計(jì)，以實(shí)現(xiàn)其所提供證書服務(wù)的穩(wěn)定性。天威誠(chéng)信在系統(tǒng)安全技術(shù)、穩(wěn)定技術(shù)上進(jìn)行不斷改進(jìn)，以確保為用戶提供優(yōu)質(zhì)的服務(wù)。CA系統(tǒng)安全CA系統(tǒng)總體安全構(gòu)架CA中心系統(tǒng)通過多層防火墻將系統(tǒng)劃分為多個(gè)區(qū)域，對(duì)不同的區(qū)域應(yīng)用不同的安全策略。CA系統(tǒng)安全根據(jù)邏輯進(jìn)行分類，包括密碼安全、密鑰安全、操作系統(tǒng)安全、通信安全和信息系統(tǒng)安全等。圖1 總體系統(tǒng)拓?fù)鋱D操作系統(tǒng)與數(shù)據(jù)庫(kù)安全CA中心系統(tǒng)采用UNIX操作系統(tǒng)，并且對(duì)于操作系統(tǒng)進(jìn)行優(yōu)化加固，包括：系統(tǒng)安全補(bǔ)丁。專人負(fù)責(zé)定期檢查安全補(bǔ)丁信息，并及時(shí)為系統(tǒng)打補(bǔ)丁。優(yōu)化系統(tǒng)參數(shù)配置。優(yōu)化操作系統(tǒng)對(duì)于進(jìn)程管理、網(wǎng)絡(luò)通信和文件系統(tǒng)相關(guān)參數(shù)，防止基于棧溢

15、出、網(wǎng)絡(luò)、文件權(quán)限等攻擊。用戶管理。禁止系統(tǒng)不需要的用戶，控制用戶的登錄終端，強(qiáng)制用戶定期修改密碼，并通過UMASK確保用戶創(chuàng)建文件的權(quán)限正確。服務(wù)。禁用系統(tǒng)不需要的服務(wù)。網(wǎng)絡(luò)接口調(diào)整和安全優(yōu)化。關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)，并禁止路由功能。審計(jì)。增強(qiáng)操作系統(tǒng)系統(tǒng)的審計(jì)功能，同時(shí)，將審計(jì)記錄發(fā)送到系統(tǒng)的審計(jì)中心，進(jìn)行保存和分析。修改banner。去掉操作系統(tǒng)及其版本信息，使系統(tǒng)信息不暴露于外界。對(duì)于數(shù)據(jù)庫(kù)采用下述加固措施：用戶組的安全性。數(shù)據(jù)庫(kù)軟件安裝在專有的用戶和用戶組，應(yīng)用程序的用戶只能有限地訪問數(shù)據(jù)庫(kù)資源。服務(wù)器實(shí)用例程的安全性加固。數(shù)據(jù)庫(kù)歸專有用戶所有，DBA相關(guān)程序只能被DBA用戶訪問。增強(qiáng)

16、數(shù)據(jù)庫(kù)文件的安全性。數(shù)據(jù)庫(kù)文件及其目錄只能被安裝數(shù)據(jù)庫(kù)的用戶訪問。系統(tǒng)安全性策略。數(shù)據(jù)庫(kù)安全性管理者只擁有create，alter，或drop數(shù)據(jù)庫(kù)用戶的權(quán)限；數(shù)據(jù)庫(kù)用戶通過主機(jī)操作系統(tǒng)進(jìn)行身份確認(rèn)；數(shù)據(jù)庫(kù)管理員擁有create和delete文件的操作系統(tǒng)權(quán)限，一般數(shù)據(jù)庫(kù)用戶沒有create或delete與數(shù)據(jù)庫(kù)相關(guān)文件的操作系統(tǒng)權(quán)限。數(shù)據(jù)庫(kù)管理者安全性。更改有管理權(quán)限的系統(tǒng)用戶的默認(rèn)密碼，防止非法用戶訪問數(shù)據(jù)庫(kù)；只有數(shù)據(jù)庫(kù)管理者能用管理權(quán)限連入數(shù)據(jù)庫(kù)；使用角色對(duì)管理者權(quán)限進(jìn)行管理密碼安全CA中心系統(tǒng)所采用的密碼算法為通用算法，算法強(qiáng)度為目前商業(yè)應(yīng)用普遍采用的強(qiáng)度。CA中心所采用算法及其強(qiáng)度如

17、下表所示：算法強(qiáng)度(位)用途備注RSA1024CA證書密鑰對(duì)，用戶證書密鑰對(duì)3DES112通信數(shù)據(jù)加密RC4128通信數(shù)據(jù)加密MD5128完整性保護(hù)，數(shù)字簽名SHA1160完整性保護(hù)，數(shù)字簽名為了保證CA系統(tǒng)中密鑰的安全性，尤其是如CA證書密鑰的安全性，本系統(tǒng)采用了安全可靠的硬件加密設(shè)備，密鑰不能以明文形式出現(xiàn)在硬件加密設(shè)備之外。CA系統(tǒng)采用的硬件加密設(shè)備北京天融信公司生產(chǎn)的SJY17-B PCI加密卡，其內(nèi)部采用SSP04-A密碼算法芯片、經(jīng)過國(guó)家密碼管理員委員會(huì)批準(zhǔn)的WNG4隨機(jī)數(shù)發(fā)生器，內(nèi)部實(shí)現(xiàn)SSF33分組密碼算法和RSA算法。安全審計(jì)天威誠(chéng)信CA系統(tǒng)在運(yùn)行過程中，對(duì)在線系統(tǒng)和離線操作

18、事件進(jìn)行審計(jì)，在線系統(tǒng)審計(jì)信息存儲(chǔ)于日志文件和數(shù)據(jù)庫(kù)中，離線審計(jì)則以紙質(zhì)介質(zhì)進(jìn)行記載。系統(tǒng)審計(jì)內(nèi)容如下： 類別事 件安 全 審 計(jì)任何對(duì)審計(jì)參數(shù)的改動(dòng)，如：審計(jì)頻率、審計(jì)事件類型等。任何刪除審計(jì)日志的企圖。 標(biāo) 識(shí) 和 鑒 別各級(jí)管理員（CA管理員、RA管理員）操作時(shí)鑒別結(jié)果是成功還是失敗，終端用戶與CA系統(tǒng)的連接的結(jié)果 鑒別嘗試不成功的次數(shù)超過設(shè)定的限值導(dǎo)致的會(huì)話連接終止。用戶注冊(cè)時(shí)的鑒別失敗次數(shù)達(dá)到限定值；管理員將一個(gè)因鑒別失敗次數(shù)達(dá)到限定值而被鎖住的用戶解鎖；管理員修改鑒別器類型，如：將口令鑒別機(jī)制更改為IC卡鑒別。本地/遠(yuǎn)程數(shù)據(jù)登錄進(jìn)入系統(tǒng)的所有安全相關(guān)的數(shù)據(jù)。數(shù)據(jù)導(dǎo)出與輸出所有成功或

19、失敗的確認(rèn)請(qǐng)求和安全相關(guān)信息。密鑰生成CA系統(tǒng)每次生成密鑰時(shí)的相關(guān)信息私鑰加載與存儲(chǔ)私鑰組件的加載；所有訪問證書主體私鑰駐留在系統(tǒng)中，用于密鑰恢復(fù)。信任公鑰登錄、刪除和存儲(chǔ)信任公鑰或與之相關(guān)的所有信息的更改和刪除。安全密鑰存儲(chǔ)用于鑒別的安全密鑰的手工登記。安全私鑰導(dǎo)出安全私鑰的導(dǎo)出（用于單個(gè)會(huì)話或消息的密鑰除外）證書登錄所有的證書申請(qǐng)證書撤消所有證書撤消請(qǐng)求證書狀態(tài)更改批準(zhǔn)批準(zhǔn)或拒絕證書狀態(tài)更改請(qǐng)求證書管理配置角色/用戶的增加/刪除用戶帳號(hào)/角色的訪問控制特權(quán)的更改證書輪廓管理證書內(nèi)容和形式的所有更改或升級(jí)信息系統(tǒng)安全網(wǎng)絡(luò)系統(tǒng)安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施涉及到通信線路、網(wǎng)卡及調(diào)制解調(diào)器、網(wǎng)絡(luò)協(xié)議、服務(wù)器和

20、諸如路由器、防火墻、集線器和交換機(jī)等網(wǎng)絡(luò)設(shè)備。系統(tǒng)在該部分的安全實(shí)現(xiàn)包括設(shè)備自身安全和設(shè)備的正確使用和配置。天威誠(chéng)信網(wǎng)絡(luò)系統(tǒng)的安全包括網(wǎng)絡(luò)鏈路的冗余設(shè)計(jì)、虛擬子網(wǎng)的劃分、防火墻系統(tǒng)、防病毒系統(tǒng)和IDS系統(tǒng)部署。防火墻系統(tǒng)系統(tǒng)通過防火墻將系統(tǒng)劃分為DMZ區(qū)、前端、后端和業(yè)務(wù)操作區(qū)。DMZ區(qū)存放供公共服務(wù)的DNS和MAIL；前端存放共系統(tǒng)用戶使用的WEB、LDAP等服務(wù)，共互聯(lián)網(wǎng)用戶訪問；后端存放系統(tǒng)核心業(yè)務(wù)處理邏輯、數(shù)據(jù)庫(kù)和相關(guān)加密服務(wù)，只能被前端、和業(yè)務(wù)操作區(qū)訪問；業(yè)務(wù)操作區(qū)供CA中心系統(tǒng)業(yè)務(wù)管理員對(duì)系統(tǒng)進(jìn)行業(yè)務(wù)處理，位于業(yè)務(wù)操作去的主機(jī)只能訪問后端的特定服務(wù)。安全掃描系統(tǒng)系統(tǒng)采用ISS的基于

21、網(wǎng)絡(luò)的漏洞掃描工具Internet Scanner和對(duì)網(wǎng)絡(luò)中的設(shè)備及主機(jī)進(jìn)行漏洞掃描。掃描對(duì)象主要是重要服務(wù)器以及網(wǎng)絡(luò)中的重要網(wǎng)絡(luò)設(shè)備。對(duì)于網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備來(lái)說，例如交換機(jī)，路由器和防火墻等等，本系統(tǒng)利用Internet Scanner對(duì)其進(jìn)行定期的掃描，以確定了解網(wǎng)絡(luò)中存在那些漏洞，從而針對(duì)存在的漏洞進(jìn)行修補(bǔ)處理。系統(tǒng)對(duì)網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)設(shè)備和主機(jī)都使用Internet Scanner定期進(jìn)行掃描，對(duì)于重要服務(wù)器，我們使用System Scanner 進(jìn)行掃描。實(shí)時(shí)入侵監(jiān)測(cè)系統(tǒng)一方面通過對(duì)整個(gè)網(wǎng)絡(luò)定期進(jìn)行漏洞評(píng)估，另一方面采用IDS來(lái)對(duì)網(wǎng)絡(luò)中的突發(fā)事件進(jìn)行實(shí)時(shí)的監(jiān)控并做出實(shí)時(shí)的響應(yīng)，在系統(tǒng)內(nèi)部

22、，配置ISS公司的RealSecure系列產(chǎn)品。病毒防護(hù)系統(tǒng)系統(tǒng)采用Trend Micro的TVCS，MIS人員通過單一客戶端Web 監(jiān)控程式，集中管理所有安裝于不同地點(diǎn)、不同平臺(tái)上的各個(gè)服務(wù)器防毒軟件，并自動(dòng)安裝、設(shè)定、配置及更新。對(duì)于系統(tǒng)使用的郵件系統(tǒng)，亦安裝和郵件系統(tǒng)集成的防病毒軟件，對(duì)進(jìn)出郵件系統(tǒng)的電子郵件進(jìn)行實(shí)時(shí)的病毒查殺。主機(jī)系統(tǒng)安全用戶帳戶的安全用戶帳戶是在用戶使用網(wǎng)絡(luò)、主機(jī)或數(shù)據(jù)庫(kù)之前提供給系統(tǒng)的用來(lái)標(biāo)識(shí)使用者身份的信息。在本系統(tǒng)中對(duì)用戶帳戶的安全要求如下：用戶進(jìn)入系統(tǒng)時(shí)，需顯示登錄信息，鑒別用戶身份。如果嘗試登錄次數(shù)超過了限定次數(shù)，則終止登錄會(huì)話。如果用戶帳戶閑置時(shí)間已超過合

23、理范圍，則禁止該用戶訪問該主機(jī)。管理員有權(quán)暫時(shí)停止用戶使用權(quán)。如果用戶一定要閑置某個(gè)會(huì)話，他應(yīng)該使用鎖定功能，或終止該會(huì)話進(jìn)程?？诹畹陌踩鶕?jù)用戶帳戶和口令就可以登錄到系統(tǒng)中進(jìn)行相應(yīng)的操作，而口令通常都是很敏感的，因此對(duì)CA系統(tǒng)中口令的安全實(shí)現(xiàn)如下： 在安裝網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用程序時(shí)設(shè)置了帶有缺省口令的缺省用戶名，找出并禁止這些用戶名和口令。用戶必須使用健壯的口令口令不易被直接攻擊攻破，不易被猜測(cè)(如生日、綽號(hào)等)。不與別人共用口令或?qū)⒖诹顚懺谝子诳吹?、找到的地方。通過網(wǎng)絡(luò)傳輸?shù)目诹顣r(shí)，必須進(jìn)行加密保護(hù)傳輸。訪問權(quán)限的安全下面是有關(guān)訪問權(quán)的安全規(guī)則：將公共訪問對(duì)象設(shè)置在具有恰當(dāng)訪問權(quán)的主機(jī)的公

24、共區(qū)域中；對(duì)于一般用戶只賦于讀的權(quán)限。除非特權(quán)用戶禁止改動(dòng)或刪除數(shù)據(jù)。對(duì)象所有者權(quán)限優(yōu)先于組權(quán)限，而管理者對(duì)被訪對(duì)象享有最終控制權(quán)；因此，訪問權(quán)的優(yōu)先順序是：管理者，所有者，組成員，其他用戶。為每一位用戶設(shè)置明確或隱含的訪問權(quán)。比如，組成員或其他用戶不能修改對(duì)象的默認(rèn)訪問權(quán)。修改日期和訪問對(duì)象服從于管理權(quán)。當(dāng)某對(duì)象的訪問權(quán)發(fā)生變化時(shí)，管理者必須審核注意這些變化，既而考慮是否重新設(shè)置默認(rèn)值。全網(wǎng)用戶認(rèn)證系統(tǒng)為了保證全網(wǎng)管理中用戶身份驗(yàn)證的可靠性，本系統(tǒng)在網(wǎng)管中心部署一套R(shí)SA ACE系統(tǒng)，全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗(yàn)證都集中在該服務(wù)器商，便于對(duì)于這些設(shè)備的集中管理。數(shù)據(jù)備份與恢復(fù)天威誠(chéng)

25、信CA系統(tǒng)配置單獨(dú)的備份服務(wù)器，并且的個(gè)業(yè)務(wù)主機(jī)上安裝客戶端軟件，進(jìn)行集中備份。備份系統(tǒng)具有下述特點(diǎn)：無(wú)人值守管理員可以對(duì)網(wǎng)絡(luò)上的客戶機(jī)設(shè)定定時(shí)備份。備份可以是完全、增量備份。另外，管理員還可以使用自動(dòng)備份設(shè)定的規(guī)則進(jìn)行手工備份。當(dāng)備份服務(wù)器和預(yù)定程序設(shè)置完成后，客戶機(jī)可以選擇以下三種方式中的任何一種進(jìn)行備份：在預(yù)定的時(shí)間啟動(dòng)預(yù)定備份；在任何時(shí)間，通過GUI管理程序或行命令人工進(jìn)行立即備份；客戶機(jī)上的用戶通過代理程序啟動(dòng)面向用戶的備份。災(zāi)難恢復(fù)對(duì)于災(zāi)難恢復(fù)的解決方案，備份系統(tǒng)是通過冗余備份和產(chǎn)生“GNU TAR兼容”格式磁帶來(lái)實(shí)現(xiàn)。備份時(shí)，系統(tǒng)管理員可以設(shè)定進(jìn)行冗余備份，完成后可以將冗余備份存

26、放到安全地方。另外，所產(chǎn)生的TAR格式兼容磁帶可以在備份服務(wù)器不可用時(shí)使用標(biāo)準(zhǔn)的UNIX工具進(jìn)行恢復(fù)。系統(tǒng)冗余天威誠(chéng)信的冗余方案包括數(shù)據(jù)鏈路冗余、主機(jī)系統(tǒng)冗余、數(shù)據(jù)庫(kù)冗余、電源冗余、密鑰冗余和人員冗余。數(shù)據(jù)鏈路冗余天威誠(chéng)信網(wǎng)絡(luò)對(duì)外接口由兩條物理上獨(dú)立的兩條鏈路組成，一條10M光纖鏈路，另一條是2M衛(wèi)星鏈路，鏈路備份結(jié)構(gòu)如下圖所示：天威誠(chéng)信CA系統(tǒng)的出口鏈路配置了兩臺(tái)Cisco 2610路由器，下接一臺(tái)3300交換機(jī)，兩臺(tái)防火墻上聯(lián)交換機(jī)，防火墻以Failover方式工作，此結(jié)構(gòu)可以避免出口鏈路的單點(diǎn)故障。各個(gè)設(shè)備的設(shè)置如下：兩臺(tái)防火墻以Failover方式工作，配置完全一致，當(dāng)一臺(tái)防火墻出現(xiàn)故

27、障時(shí)，另一臺(tái)防火墻自動(dòng)接管該防火墻的功能；交換機(jī)收集兩臺(tái)防火墻的MAC地址，以用于防火墻Failover方式下的動(dòng)態(tài)切換；關(guān)閉了交換機(jī)的管理端口，同時(shí)交換機(jī)工作在二層，受到黑客入侵以及流量攻擊的可能性很小，同時(shí)該設(shè)備在使用中故障率很低，所以只配置一臺(tái)交換機(jī)；同時(shí)配置一臺(tái)同型號(hào)的交換機(jī)作冷備份。兩臺(tái)Cisco 2610路由器配置靜態(tài)路由，如果某條鏈路或路由器出現(xiàn)故障，則通過手工切換網(wǎng)絡(luò)衛(wèi)士4000的路由設(shè)置來(lái)實(shí)現(xiàn)鏈路的備份。主機(jī)系統(tǒng)冗余天威誠(chéng)信CA系統(tǒng)對(duì)于關(guān)鍵業(yè)務(wù)相關(guān)的主機(jī)均采用了雙機(jī)熱備措施。這些雙機(jī)熱備的服務(wù)器中，兩臺(tái)服務(wù)器的配置完全一樣，由負(fù)載均衡器localdirect負(fù)責(zé)將負(fù)載平均分派

28、給各服務(wù)器。在沒有故障發(fā)生的時(shí)候，這兩臺(tái)服務(wù)器同時(shí)工作，提高了整個(gè)系統(tǒng)的性能。在其中某一臺(tái)服務(wù)器發(fā)生故障的時(shí)候，由硬件負(fù)責(zé)使剩余的正常的一臺(tái)服務(wù)器將整個(gè)服務(wù)接管。通過雙機(jī)熱備，可以保障系統(tǒng)核心業(yè)務(wù)不間斷營(yíng)業(yè)。數(shù)據(jù)庫(kù)冗余為確保數(shù)據(jù)安全，天威誠(chéng)信CA的數(shù)據(jù)庫(kù)采用了磁盤陣列。在磁盤陣列中采用了RAID 1技術(shù)，把一個(gè)硬盤的內(nèi)容同步備份復(fù)制到另一個(gè)硬盤里，具備了備份和容錯(cuò)能力。在其中主硬盤出錯(cuò)時(shí)，可以及時(shí)從從硬盤中接管數(shù)據(jù)。電源冗余天威誠(chéng)信CA中心采用了UPS為系統(tǒng)提供不間斷電源。電源為兩組EDP70 UPS。我們采用的保障措施是雙機(jī)熱備。 UPS內(nèi)部連接圖如下圖：圖4 UPS內(nèi)部連接圖CA中心采用兩

29、路UPS串聯(lián)的方法進(jìn)行主從雙機(jī)熱備。在主路UPS故障時(shí)，由于從路UPS的輸出作為主路UPS的旁路電源，可以直接輸出給負(fù)載，從而保證了系統(tǒng)的電源不會(huì)中斷。密鑰冗余天威誠(chéng)信CA系統(tǒng)對(duì)于密鑰冗余設(shè)計(jì)包括密鑰備份、在線雙機(jī)熱備和密鑰恢復(fù)。所有CA證書的密鑰對(duì)都通過離線的加密卡進(jìn)行備份，離線加密卡保存在嚴(yán)格保護(hù)的保險(xiǎn)柜內(nèi)部，對(duì)于離線加密卡的存取需要多人共同完成。對(duì)于在線運(yùn)行的CA證書密鑰，CA系統(tǒng)通過雙機(jī)熱備方式進(jìn)行冗余。兩塊包含相同密鑰對(duì)的加密卡一起運(yùn)行，當(dāng)其中一個(gè)加密卡出現(xiàn)異常不能對(duì)外提供服務(wù)時(shí)，系統(tǒng)自動(dòng)將以來(lái)該加密卡的請(qǐng)求分發(fā)至另外一個(gè)加密卡，并立即向系統(tǒng)管理員發(fā)送警報(bào)信息，以便得到盡快處理。系統(tǒng)

30、在正常運(yùn)行期間準(zhǔn)備閑置的空白加密卡，當(dāng)系統(tǒng)在線加密卡出現(xiàn)故障時(shí)，立即使用備份加密卡進(jìn)行克隆，并使用克隆產(chǎn)生的加密卡替換故障加密卡。密鑰冗余天威誠(chéng)信CA系統(tǒng)對(duì)于系統(tǒng)的操作、維護(hù)和密鑰管理人員進(jìn)行冗余設(shè)置。任何人員都進(jìn)行雙人備份，確保系統(tǒng)的正常運(yùn)行，當(dāng)相關(guān)人員因工作變動(dòng)等原因不能繼續(xù)擔(dān)任其職務(wù)時(shí)，及時(shí)進(jìn)行人員補(bǔ)充和培訓(xùn)。為何選擇天威誠(chéng)信北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司(iTruschina)成立于2000年9月，是經(jīng)信息產(chǎn)業(yè)部批準(zhǔn)的第一家開展商業(yè)PKI/CA試點(diǎn)工作的企業(yè)，公司首期注冊(cè)資金5000萬(wàn)元。天威誠(chéng)信公司致力于在中國(guó)成為向企業(yè)、政府和大眾客戶提供全球化數(shù)字信任服務(wù)的領(lǐng)先者，引進(jìn)國(guó)外先進(jìn)技

31、術(shù)及管理方法，依照我國(guó)國(guó)情和密碼管理政策，進(jìn)行本地化改造，建立中國(guó)自有產(chǎn)品與服務(wù)品牌，為中國(guó)的信息安全服務(wù)。公司在開展自身業(yè)務(wù)的同時(shí)，也積極向有關(guān)部門提出了有關(guān)商業(yè)PKI/CA建設(shè)方面的意見和建議，為國(guó)家有關(guān)行業(yè)標(biāo)準(zhǔn)和規(guī)范的建立提供可靠的依據(jù)。天威誠(chéng)信在北京建有1000平米的國(guó)際一流水準(zhǔn)的數(shù)據(jù)中心。作為一個(gè)權(quán)威的、可信賴的、公正的第三方信任服務(wù)的機(jī)構(gòu)，通過CA托管服務(wù)、簽發(fā)數(shù)字證書、為各種應(yīng)用系統(tǒng)提供基于證書的網(wǎng)絡(luò)安全解決方案等形式，為網(wǎng)上交易系統(tǒng)的安全以及網(wǎng)上交易參與各方的相互信任提供安全機(jī)制。通過天威誠(chéng)信的PKI/CA服務(wù)，可實(shí)現(xiàn)電子業(yè)務(wù)過程中的信息保密性、信息完整性、身份驗(yàn)證和交易的抗抵賴。天威誠(chéng)信以可信第三方的身份提供認(rèn)證服務(wù)，與證書使用雙方無(wú)任何利益關(guān)聯(lián)關(guān)系，真正地實(shí)現(xiàn)了公正性與可信賴性。相對(duì)于國(guó)內(nèi)已經(jīng)建立的一些認(rèn)證服務(wù)機(jī)構(gòu)，天威誠(chéng)信采用了國(guó)際上先進(jìn)的、商業(yè)化的運(yùn)作模式，從而使用戶可以順利地與國(guó)際接軌。并且，將服務(wù)收費(fèi)與客戶賠付機(jī)制結(jié)合起來(lái)，以商業(yè)利益關(guān)系為基礎(chǔ)建立高公信度，將用戶承擔(dān)的風(fēng)險(xiǎn)降到最低，其可信性、公正性更容易得到大家的認(rèn)可。同時(shí)，公司作為國(guó)際著名公司VeriSign在中國(guó)大陸地區(qū)的首要戰(zhàn)