- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
天威诚信PKI/CA系统安全、稳定性说明
1前言
对于上海环迅电子商务有限公司是中国领先的在线支付服务提供商,作为在线支付市
场的先行者和领导者,上海环迅一直专注在电子支付的商业应用及金融业的电子化服务,
因此对环迅公司的在线支付系统提供安全支持的公司必须要具备非常专业的技术背景、强
有力的技术支持和服务能力,以及完整的国家资质才能为上海环迅的在线支付系统保驾护
航,为上海环迅成为世界领先的电子支付应用和服务的提供商提供受到法律保护的安全基
础。
2系统安全性
对于天威诚信PKI/CA系统的安全性,天威诚信通过严格的物理安全、网络安全、信
息安全、人员安全和密钥安全来保证CA中心的安全,具有很高的安全性。
2.1物理安全
天威诚信制定了严格的物理安全策略,主要包括:
➢天威诚信CA系统按照在天威诚信安全数据中心,数据中心的物理场地按照严格
的安全访问政策从结构层次上进行了划分,采用物理分层的结构,将系统安装在
层次较高的物理层;
➢进出各层具有严格的物理安全访问控制策略进行保护,必须出示相关证件或身份
卡,包括员工证、门禁卡和指纹机等;
实用标准文案
➢物理场地配备了24X7X365保安员,整个物理场地进行24小时录影监视。
2.2网络安全
天威诚信制定和执行严格的网络安全策略,主要包括:
➢天威诚信将系统采用了两道防火墙与Internet进行隔离,CA系统的前台安装在
DMZ区,核心后台安装在军事化区,和前台通过防火墙进行隔离,任何Internet
用户都无法直接访问CA系统核心后台;
➢系统网络和日常办公网络完全分开,都采用分段控制,并以内部和外部防火墙作
保护;
➢对于系统的所有服务器都以SSL来加强对客户连接的安全性保护。
2.3信息安全
天威诚信制定和执行严格的信息安全策略,主要包括:
➢系统/服务器充分考虑信息安全,采用动态口令方式包含系统的口令,并采用单
独系统监控/防止病毒入侵;
➢系统/服务器充分考虑了稳定性设计,采用了多路数据专线,防止断线,数据专
线连接采用多个供应商,防止供应商断线;
➢充分考虑了数据库系统的安全,采用多硬盘实时备份(Mirroring),采用多处
理器,采用可热换的硬盘,并严格进行系统/服务器的备份,每晚对数据进行备
份,定期将备份数据存放到安全的第三方;
➢充分考虑了电源稳定性设计,数据中心具有独立的后备电源,并配备了发电机。
精彩文档
实用标准文案
2.4人员安全
天威诚信制定和执行严格的人员安全策略,主要包括:
➢天威诚信具有详细的、规范的可信雇员政策,对员工进行审查,并详细规定员工
的职责;
➢天威诚信员工对系统的操作严格按照天威诚信制定的规范的操作流程进行,并定
期对操作记录进行安全与审计;
➢天威诚信制定了严格的物理和系统访问权限控制,对于非授权人员禁止操作。
2.5密钥安全
密钥安全包括根CA和子CA密钥的安全,以及用户证书密钥的安全。
2.5.1CA密钥的安全
CA密钥是对根CA和子CA密钥的统称,需要从两个方面进行分析:
...CA密钥的产生——CA密钥在天威诚信的安全数据中心离线的物理环境中产
生,使用经过国家相关部门认证通过的国产加密机来产生。为了保障CA密钥产
生的公正性和权威性,天威诚信会进行规范的密钥生成仪式,整个过程将会有录
像记录。举行密钥生成仪式至少需要七名相关的人员参加。
...CA密钥的安全存储——所有密钥都是保存在天威诚信最安全的物理层,根密
钥离线的保存在安全级别最高的层次,并通过密钥分割的方式由多人负责管理。
对于在线CA的密钥,安装在安全数据中心的在线最高物理层,对于在线CA
文档评论(0)