托管型和自建型CA建设之比较.doc

CA建设模式介绍 随着2005年4月1日《电子签名法》的颁布和实施，以及国家相关部门的系列执行办法出台，PKI/CA有了明确的法律法规和行为准则，同时明确了由一个什么样的认证机构颁发出来的数字证书在应用中可以起到法律作用。从上面分析可以知道，企业信息化建设面对两个方面的应用，对于这两个方面应用，在使用PKI技术提供安全解决方案的时候侧重点是不同的，对于CA的建设模式也是有所区别的。 目前主要有两种不同的PKI/CA建设模式：第三方托管型和自建型。 第三方托管型也称服务型，是指客户配置一个集成的PKI/CA平台，依靠第三方PKI服务提供商提供的PKI/CA服务，在客户本地建设面向最终用户的系统前台——证书注册中心（RA中心）和对PKI进行远程管理的CA管理端，直接利用第三方PKI服务提供商的PKI/CA服务，作为系统的核心后台——证书认证中心（CA中心），共同为最终用户提供安全认证服务。采用第三方托管模式，对于PKI/CA核心后台的建设（包括安全性、可靠性和稳定性等方面的建设）、运营管理和系统维护由第三方PKI/CA服务提供商负责，客户只需要购买第三方PKI服务提供商的PKI/CA服务，并完成本地部分系统的建设、运营管理和维护。其中托管型又分两种部署方式建设：本地RA方式和完全托管。 自建型是指客户购买单独的PKI/CA软件，建设一个独立的PKI/CA系统，除了购买系统软件之外，还包括系统、通信、数据库以及物理安全、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。对于自建型的PKI/CA系统，客户需要考虑系统的后期运营和维护，建立完整的运营管理体系，并负责系统的日常维护和升级等。客户可以利用第三方认证中心的运营管理经验和提供的运营管理咨询服务，来建设自己的运营管理体系。可以借助PKI/CA软件提供商提供的维护和升级服务，对系统进行日常维护和升级。 自建型和托管型两种部署模式比较 建设内容比较 比较项 托管模式 自建模式 法律保护 有，采用第三方服务模式，符合电子签名法 无，电子签名法不承认自建模式具有法律效应 建设成本 低，只需建立RA系统和购买证书 高，需要建设整套CA/RA/LDAP软件系统、防火墙/入侵检测/防病毒/等防护体系，机房物理环境/防火/温度/湿度/监控等物理环境等； 人员成本 低，通常只需要一个证书管理员就可以维持正常的证书业务。 高，需要配备安全官员/CA管理员/RA管理员/网管/保安等/应用系统维护员等整套人员配置。 维护成本 低，大量的版本升级、扩容都由第三方认证机构提供。 高，需要投入系统的后续版本升级、主机扩容、备份设备扩容等维护等 服务成本 高，每年需要交纳一定的维护费和证书费用 低，服务由自己提供，没有证书服务费。 运营风险 低，按需逐步增加投资，服务风险已经转移 高，所有运营风险自己承担，一次投入大量运营成本。 适用环境 电子商务环境 证书量不多 虽然证书量大，但由最终用户承担 企业用户量大的内部OA办公 内部分支机构间安全保护； 从上表列出的建设内容比较可以总结： 从初期建设来看，自建型CA建设需要企业对系统建设、物理场地建设、通信与网络建设和系统安全建设等各个方面进行综合考虑，一套完善的CA认证中心建设周期至少需要3个月。托管型CA建设只需要考虑部分的建设内容，主要是涉及RA中心系统和CA管理端部分的建设内容，将不需要对CA中心系统的建设内容负责，建设周期通常不会超过半个月。 从运营维护来看，自建型CA建设需要考虑CA后期运营维护的所有事务，包括运营管理规范的建设、运营管理团队的建设、相关资质的准备、系统维护与升级和客户服务支持等。而托管型CA建设对于系统的后期运营维护的工作，大部分可以交给第三方CA认证中心负责，或者依靠第三方CA认证中心提供的规范的运营管理来加以解决。 从后期运营服务和支持来看，企业采用两种方式部署的PKI/CA对应用的支持是相同的。但是企业是选择采用自建型还是选择托管型来部署PKI/CA时，需要对供应商的服务支持能力进行考察。服务支持涉及两个方面，一方面是对部署的PKI/CA本身的服务支持，另一方面是对应用的服务支持。服务支持包括服务支持能力、服务支持的内容、服务支持的级别、服务支持的响应时限以及服务支持的费用等都是企业部署PKI/CA必须综合考虑的一些方面。 投资回报及风险比较 从投资回报及风险来看，自建模式有完全的独立性，建设者完全控制，但需要完全承担运营风险，而服务模式运营风险均由第三方认证中心承担。 应该看到，托管模式受法律保护，是一个低成本，低风险，同时又是高可控的PKI/CA建设模式，较适宜在电子商务或者用户量不大的环境下部署；托管型较适宜在企业内部系统且用户量大的环境下使用。 客户如何选择建设模式 客户如何权衡两种建设模式，并选择采用何种建设模式