中石化PKICA项目开机仪式CA系统介绍.pptVIP

中行网银信息安全评估介绍 中国石化计算机网络安全体系建设（二期）  PKI/CA系统建设详细设计方案汇报 目 录 项目背景及工作任务 应用安全需求 中国石化PKI/CA系统设计 PKI/CA系统与应用系统的结合设计 PKI运营与管理服务体系建设 项目工作规划 背景及总体目标 中国石化PKI/CA系统建设背景 中国石化计算机网络安全体系建设（二期）子项目 中国石化信息化“十一五”专项规划信息安全分册 PKI/CA系统建设的总体目标 建立统一的认证机制 确保信息在产生、存储、传输和处理过程中的保密、完整、抗抵赖和可用性 提高应用系统的安全强度和应用水平 工作任务 建设中国石化的PKI/CA系统 建设中国石化身份证书应用安全框架体系,提高应用系统的安全 编制证书安全应用各种安全规范与标准 目 录 项目背景及工作任务 应用安全需求 中国石化PKI/CA系统设计 PKI/CA系统与应用系统的结合设计 PKI运营与管理服务体系建设 项目工作规划 应用安全需求—应用安全需求概要 内部业务应用系统各类用户数字身份标识 唯一性保证要求----数字用户证书 采用基于数字证书强认证要求（避免ID口令等弱认证机制引起的一系列问题） 基于证书访问控制要求 基于证书的信息活动/行为不可否认性要求/责任认定要求 数据与信息的保密性、完整性要求 应用系统生命周期（特别是设计开发阶段）数字证书安全应用要求 目 录 项目背景及工作任务 应用安全需求 PKI/CA系统详细设计 PKI/CA系统与应用系统的结合设计 中国石化PKI标准规范的编制规划 项目工作规划 PKI/CA系统详细设计—基础设施概述 PKI/CA系统基本功能 PKI/CA系统提供数字证书生成、注销、修改和管理功能，将用户信息与公钥进行绑定 发布证书信息，并提供证书验证机制 PKI/CA系统基于数字证书可为应用系统提供的安全服务 基于证书及密钥，可以提供安全身份认证服务 基于证书及密钥，可以提供数据保密性、完整性、抗抵赖安全服务 PKI/CA系统详细设计—PKI/CA系统架构 PKI/CA系统详细设计—架构优缺点 优点 总部CA中心负责进行统一的在线证书签发工作,各企业进行本地证书发放工作。符合中国石化五统一的管理要求,符合中国石化当前组织管理架构 投资成本相对较低 后期可管理性比较好 用户证书数据集中存储，易于实现管理及监控 证书应用的复杂性较低，系统易于扩展 缺点 签发证书时对CA中心可用性要求较高，包括CA系统相关的主机、网络、系统管理 PKI/CA系统详细设计—总体结构 PKI/CA系统详细设计—根CA结构 PKI/CA系统软硬件清单—总部CA中心 PKI/CA系统软硬件清单—总部CA中心 PKI/CA系统软硬件清单—总部CA中心支撑软硬件 11台PC Server服务器 PC机共7台 Redhat AS 3.0操作系统 11套 Oracle 数据库 2套 磁盘阵列2套 采用统一的备份平台,一套备份软件客户端 PKI/CA系统软硬件清单—财务公司 PKI/CA系统软硬件清单—财务公司支撑软硬件 PC Server 4台 管理终端及LRA终端共22台 Redhat AS 3.0操作系统 4套 Oracle 数据库 1套 磁盘阵列1套 采用统一的备份平台,一套备份软件客户端 PKI/CA系统软硬件清单—石勘院 PKI/CA系统软硬件清单—石勘院支撑软硬件 PC Server 4台 管理终端及LRA终端共17台 Redhat AS 3.0操作系统 4套 Oracle 数据库 1套 磁盘阵列1套 采用磁带机备份,磁带机及磁带一套 PKI/CA系统详细设计—用户证书发放 PKI/CA系统详细设计—CA系统安全性设计 CA系统自身安全性设计需要考虑以下几个方面 网络层面的安全 主机及操作系统安全 数据库存储及读取安全 系统间认证及通讯安全 系统核心信息数据的安全 系统的业务操作过程安全 系统备份及灾难恢复 PKI/CA系统详细设计—CA系统安全性设计 CA系统网络部署结构安全 划分为多个网络域，域之间采用防火墙进行隔离 CA系统主机操作系统安全 采用开源操作系统,并对操作系统进行加强 CA数据库安全 数据库关键敏感数据采用加密存储方式进行保护 目录服务上的数据采用单向发布方式,保证发布数据的权威性。核心系统与目录服务间采用密码技术进行数据完整性校验。 CA各子系统间通讯安全 系统间通讯安全（RA与CA、CA与KMC等） PKI/CA系统详细设计—CA系统安全性设计 CA系统密钥安全 产生、存储、备份、传递、更换、销毁 CA系统用户密钥及证书的安全 产生、存储、备份、传递、更换、销毁 LRA终端与RA中心的通讯安全（证书发放过程安全） 系统运行管理过程安全 角色划分合理，形