PKI-CA-RA在发电企业信息安全中应用探究.docVIP

PKI/CA/RA在发电企业信息安全中应用探究 　　摘 要 随着国内外网络与信息技术的飞速发展和广泛应用，信息安全形势更加严峻，网络与信息安全工作中存在的问题更加突出。发电企业业务管理信息系统中常用的安全策略和安全技术已无法满足国家和企业信息安全方面的要求。发电企业越来越重视信息安全机制和体系建设，但在信息系统建设和运维过程中，仍然存在对新出现的信息安全问题认识不足的现象。通过建设统一、完整的PKI/CA/RA电子认证基础设施，为各信息系统提供了安全认证服务平台，为企业资源计划（ERP）、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证、数字签名和敏感数据加密提供安全支撑，保障了各信息系统的机密性、完整性和不可否认性。 关键词 PKI；CA；RA；数字证书；信息安全；双因素认证；数字签名；加密 中图分类号：TM769 文献标识码：A 文章编号：1671-7597（2013）15-0119-02 随着国内外网络与信息技术飞速发展和广泛应用，发电企业信息化也在不断深入开展，信息安全形势更加严峻，网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上，逐步通过信息化建设，梳理管理流程，加强内部管控，从而达到提升竞争力的作用。 信息安全是信息化建设的基础和前提，基于PKI技术的数字证书机制构建的应用层信息安全保障体系，已经作为信息安全基础设施，在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系，既能满足信息安全管理要求，又能保证投资和信息安全管理可控在控，已经成为发电企业越来越关注的问题。 1 发电企业信息安全现状分析 在发电企业构建电子认证体系以保障业务安全的过程中，主要面临着如下需求和问题。 1）缺少完整的电子认证基础设施，企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。 2）自建的电子认证基础设施，有可能不具备相关运营资质，并且建设和运营维护成本较大，而只采购第三方认证机构颁发的数字证书，又不能完全满足企业内部信息化管理的需要。 3）重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段，无法保证数据保密性、完整性、抗抵赖性等信息安全要求。 为了很好的解决以上问题，结合发电企业信息化建设实际情况，提出以下几点建议。 1）针对发电企业内部多级管理体系和独立分支机构，建设统一的RA注册审核机构，与第三方认证机构PKI/CA基础设施配合，将完整的电子认证服务引入到现有信息系统中，既满足了安全体系完整性，又方便了内部安全认证服务管理。 2）针对不同的信息系统特性，制定双因素认证、数字签名和数据加密等安全认证策略和实施规范，RA系统设计上应方便的与业务系统进行对接和交互，避免成为“信息孤岛”，保证数据保密性、完整性、抗抵赖性等信息安全要求。 3）针对已经使用了数字证书等安全认证的信息系统，应考虑能够实现平滑过渡和无缝对接，防止出现安全体系设计重大变更和大规模系统改造等情况。 2 PKI/CA/RA简介 1）PKI为“公钥基础设施”，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 2）CA认证机构是采用PKI公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心，主要完成生成/签发证书、生成/签发证书撤销列表（CRL：Certificate Revocation List）、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能，即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。 3）RA注册审核机构：RA是数字证书的申请、审核和注册中心。从广义上讲，RA是CA的一个组成部分，主要负责数字证书的申请、审核和注册。 3 基于PKI/CA/RA的安全认证服务平台 3.1 平台架构 通过对发电企业安全现状和需求分析，根据证书签发、证书使用两种应用环境和职责不同，将RA系统划分为RA子系统、证书验证子系统两个子系统。 1）RA子系统：负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统，系统管理模块面向RA系统管理员，证书服务模块面向业务系统，用户自服务模块面向使用证书业务的用户（个人用户、企业用户）。 2）证书验证子系统：负责证书有效性验证、签名验签等证书应用功能，提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服