CA安全体系认证建设.pptx

目录建设目标与总体要求烟草行业CA安全认证中心总体框架烟草行业CA认证中心的建设内容数字证书DN规范应用对接2019/1/29Copyright1998-2009Infosec烟草行业CA安全认证体系建设烟草行业CA安全认证体系建设项目主要内容:1、CA安全认证体系建设2、实现CA与应用系统之间的挂接2019/1/29Copyright1998-A安全认证体系服务范畴鉴定Identification认证Authentication完整性Integrity机密性Confidentiality不可否认性Non-repudiation2019/1/29Copyright1998-2009Infosec术语解释数字证书数字证书,也被称为数字身份证,其用来识别数字证书持有者的真实身份。因数字证书提供的是网络上的身份证明,也可称数字证书是“网络身份证”。数字证书认证中心(CA)CA是数字证书签发的权威机构,它是CA认证中心的核心组成部分。CA负责数字证书的签发、保管、分发、以及必要时的证书撤销。数字证书认证中心主要包括:CA系统、RA系统等。数字证书注册机构(RA)RA是负责数字证书注册的机构,是面向最终用户和发证操作员的业务平台。RA中心负责处理用户的证书申请,对证书申请进行审核,并且通过用户信息系统进行授权,参与用户证书申请、发行和作废的过程。RA不能签发和发行证书,但是可以作为用户和CA间的中间人。当需要新的证书的时候,用户就给RA发送请求,然后由RA再把这个请求发送给CA,由CA来完成数字证书的签发和发行。RA安全终端RA安全终端,是一台专门用于访问RA系统的PC机。密钥管理中心(KMC)负责为CA系统提供密钥的保存、备份、更新、恢复等密钥服务。数字证书应用支撑系统数字证书应用支撑系统,为单点登录或应用系统提供以数字证书为基础的身份认证、数据私密性、数据完整性、操作不可否认性等安全服务功能。2019/1/29Copyright1998-2009Infosec建设目标烟草行业CA认证中心的建设目标:一是建设能够为烟草行业信息系统提供高强度的安全身份认证机制,为统一权限管理、单点登录等管理系统提供应用安全支撑平台。二是建立健全保证CA认证中心基础设施正常运行的标准和制度。2019/1/29Copyright1998-2009Infosec总体要求烟草行业CA认证中心建设的总体要求:健全管理机制通过烟草行业CA认证中心的建设,将在烟草行业信息网络内,建立和健全人员身份信息的集中管理机制,通过有效的技术手段对信息化用户的活动状态、行为等方面进行集中监管,从而进一步规范用户的业务系统登录和业务操作行为。完善管理制度积极推进制度的建设和完善,为规范烟草行业网络信任体系的运行提供制度保障。。2019/1/29Copyright1998-2009Infosec基本原则烟草行业CA认证中心建设的基本原则:统一技术方案依照本方案的规定,国家局负责烟草行业根CA中心、国家局运营CA中心(二级CA)的建设,其中国家局运营CA中心包括数字证书发放管理系统、数字证书应用支撑系统2个部分;各省级单位负责本单位省级运营CA中心(二级CA)的建设,省级运营CA中心包括本省数字证书发放管理系统、数字证书应用支撑系统2个部分;各省级单位必须根据本技术方案和国家相关技术标准的要求,结合本单位的实际情况配置硬件设备和软件系统,进而形成本单位的《运营CA中心实施方案》。结合应用分级实施各单位必须按国家局的要求,使用CA认证技术实现身份认证。各单位应在本技术方案的指导下,从本单位的实际需求出发,来决定省级单位CA中心的建设规模和建设方案。2019/1/29Copyright1998-2009Infosec管理原则遵循“行政管理怎么管,数字证书就怎么发”的基本思想;管理原则统一规范集中监管单位自治2019/1/29Copyright1998-2009Infosec