公钥基础设施系统运行维护管理规定.docxVIP

公钥基础设施系统运行维护管理规定

1范围

本标准规定了XX公司（以下简称“公司”）公钥基础设施系统运行维护中的管理职责、内容与方法、报告和记录管理、检查与考核内容。

本标准适用于公司本部及所属各单位公钥基础设施系统运行维护管理工作。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有修改单（不包括勘误的内容）或修订版均不适用于本标准，鼓励用最新版本,但是否采用最新版本由公司标准化委员会研究决定；凡是不注日期的引用文件，其最新版本适用于本标准。

南方电网公司南方电网信息〔2009〕1号关于印发《南方电网公司PKI／CA身份认证系统标准的通知

3术语和定义

下列术语和定义适用于本标准。

3.1公钥基础设施系统

XX公司公钥基础设施系统（以下简称PKI系统），是为XX公司从事相关业

务工作的个人与单位创建、分配和管理数字身份证书的系统，是XX公司安全体系的重要组成部分。PKI系统由CA（认证中心）、RA（注册中心）及KMC（密钥

管理中心）组成，提供数字证书制作、身份认证、访问控制和安全审计等安全服务。

3.2认证中心（CA）

在PKI系统中处于主导地位，享有最高的安全级别。它负责对其它系统提出的请求给出应答，签发证书及撤消证书，管理中央数据库和管理主用户等。

3.3注册中心（RA）

PKI系统的审核机构，负责申请的审核、管理等，是RA管理员对一般用户进行管理的前端界面。

3.4密钥管理中心（KMC）

PKI系统的主要扩展系统，负责生成加/解密密钥、托管解密密钥、恢复解密密钥和对密钥历史的管理。

4职能与职责

4.1职能与分工

4.1.1信息通信分公司是本单位PKI系统运行维护部门。

4.1.2XX公司信息部是本单位PKI系统运行维护管理的监督部门。

4.1.3XX公司使用PKI系统的单位或部门为使用部门

4.2系统运维部门职责与权限

系统运维部门负责制定、实施本单位PKI系统运行维护操作规范，负责证书发放及撤消。

4.3信息管理部门职责与权限

信息管理部门负责本单位PKI系统证书发放策略制定、审批、监督审计。

4.4使用部门职责与权限

使用部门须遵守、执行PKI数字证书使用管理规定。

5管理内容与方法

5.1运行管理

5.1.1PKI系统应实行7×24小时运行，系统运维部门应做好日常巡视，每天检查网络设备、主机设备、密码机、机柜等硬件运行情况，在重要时期应安排人员进

行值班，以确保PKI系统的正常运行。

5.1.2系统运维部门应定期对PKI系统内的CA、RA、KMC、目录系统、数据库等软件模块运行情况进行巡检，做好数据备份，如有异常情况，能及时通过有效技术手段和措施恢复系统运行。

5.2维护管理

5.2.1PKI系统与其它业务系统的结合，应由业务系统的管理部门提出申请，经信息管理部门许可，由业务系统的开发商、运维商及PKI系统管理员制定可操作的实施方案，并测试通过后，方可结合使用。

5.2.2PKI系统后台维护由PKI系统管理员专人负责，任何人未经许可不得擅自操作设备。

5.2.3对PKI/CA身份认证系统的配置进行修改或者软件升级等操作，须履行信息工作票手续并得到系统运维部门领导同意后方可进行，严禁随意操作。

5.3操作管理

5.3.1超级管理员负责管理操作员、审计员和司法取证员，并授权其进行数字证书的申请、领取、使用、更新、停用、撤销和挂失等工作，超级管理员可由PKI

系统管理员兼任。

5.3.2操作员主要负责在注册中心（RA）进行数字证书申请、更新、注销等信息的录入、复核和证书发放，操作记录须妥善保管；不得擅自制作任何形式的数字证书；对离职人员、遗失或被盗的数字证书，应及时注销该用户数字证书。

5.3.3审计员通过各个系统模块的审计查询功能，动态掌握各个系统的业务运行情况；审计身份认证系统证书发放情况，并将结果上报超级管理员；审计业务操作日志，对审计出的异常结果，调查相关责任人。

5.3.4司法取证员负责在发生司法取证的情况下，对相关的密钥进行提取工作；至少两位司法取证员在场，才能进行司法取证工作；司法取证员其中的一名可由审计员兼任。

5.4使用管理

5.4.1使用人员应妥善保管数字证书及其介质，避免个人信息泄露。

5.4.2使用人员应定期修改数字证书的PIN码，保证个人信息安全。

5.4.3使用部门应及时向系统运维部门反馈离职人员及数字证书遗失、被盗信息，避免个人身份冒用。

5.5检查与考核

5.5.1本管理规定