電子政務(wù)數(shù)字證書(shū)RA系統(tǒng)建設(shè)方案詳細(xì)

1、電子政務(wù)數(shù)字證書(shū) RA 系統(tǒng)建設(shè)方案目錄概述3第一章 為什么要在各地市建 RA 系統(tǒng)4一、需求分析4二、方案可行性5三、在全省建立 RA 對(duì)信息化建設(shè)的意義7第二章 建設(shè)什么樣的 RA 系統(tǒng)8一、RA 系統(tǒng)介紹8二、系統(tǒng)運(yùn)行環(huán)境15第三章 各地市信息辦公室怎樣建設(shè) RA 系統(tǒng)17一、確定需求17二、簽署協(xié)議17三、RA 系統(tǒng)建設(shè)實(shí)施17四、RA 系統(tǒng)測(cè)試17五、RA 系統(tǒng)驗(yàn)收17六、文檔評(píng)審17七、系統(tǒng)上線18第四章 RA 系統(tǒng)的運(yùn)營(yíng)模式19一、 推廣方式19二、運(yùn)營(yíng)方式20附件 RA 系統(tǒng)管理制度21概述為解決 Internet 的應(yīng)用安全問(wèn)題,世界各國(guó)對(duì)其進(jìn)行了多年的研究，初步形成了一套完

2、整的 Internet 安全解決方案，即目前被廣泛采用的 PKI 技術(shù)(Public Key Infrastructure ),PKI(公鑰基礎(chǔ)設(shè)施) 技 術(shù) 采 用 證 書(shū) 管 理 公 鑰 ， 通 過(guò) 第 三 方 的 可 信 任 機(jī) 構(gòu) 即CA(Certificate Authority)機(jī)構(gòu)，把用戶的公鑰和用戶的其它標(biāo)識(shí)信息(如名稱、e-mail、身份證號(hào)等)捆綁在一起，在 Internet 網(wǎng)上驗(yàn)證用戶的身份。目前,通用的辦法是采用建立在 PKI 基礎(chǔ)之上的數(shù)字證書(shū),通過(guò)把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性，從而保證信息的安全傳輸。RA (R

3、egistration Authority)即數(shù)字證書(shū)注冊(cè)審批機(jī)構(gòu)，它是CA 機(jī)構(gòu)的重要組成部分，它面向終端用戶，接受用戶的證書(shū)申請(qǐng)信息、審核信息以及制作發(fā)放證書(shū)，并具有注銷用戶證書(shū)的功能。河南省數(shù)字證書(shū)認(rèn)證中心（簡(jiǎn)稱 HNCA)是經(jīng)信息產(chǎn)業(yè)部、國(guó)家密碼管理局及河南省人民政府批準(zhǔn)成立，在省工業(yè)和信息化廳（原信息產(chǎn)業(yè)廳）、省國(guó)家密碼管理局等有關(guān)部門(mén)領(lǐng)導(dǎo)的親切關(guān)懷下發(fā)展起來(lái)的，是我省惟一依法成立的專門(mén)負(fù)責(zé)為政府、企業(yè)和個(gè)人提供網(wǎng)上身份認(rèn)證和信息安全服務(wù)的第三方權(quán)威電子認(rèn)證機(jī)構(gòu)。與HNCA 合作在全省各地信辦建立幾家RA 機(jī)構(gòu)，作為區(qū)域性的認(rèn)證服務(wù)中心，對(duì)我省信息化網(wǎng)絡(luò)信任體系的布局是必要的，可行的

4、，也是非常有意義的。第一章 為什么要在各地市建RA 系統(tǒng)一、需求分析隨著我省電子認(rèn)證服務(wù)業(yè)務(wù)的發(fā)展，數(shù)字證書(shū)在各個(gè)領(lǐng)域的推廣應(yīng)用在不斷創(chuàng)新，各地對(duì)數(shù)字證書(shū)的服務(wù)要求越來(lái)越迫切，所有這些應(yīng)用都與當(dāng)?shù)卣闹С置懿豢煞郑谄渲谐洚?dāng)了服務(wù)的角色。為使政府的服務(wù)意識(shí)更加深入民心，在信息化網(wǎng)絡(luò)安全領(lǐng)域方面，建立RA 就是為了便于為百姓服務(wù)，并對(duì)信息化的推廣起到保駕護(hù)航的作用。在應(yīng)用軟件系統(tǒng)使用數(shù)字證書(shū)保障網(wǎng)絡(luò)安全的體系中，涉及的角色一般有二方。用戶方即證書(shū)持有者（機(jī)構(gòu)或個(gè)人）、管理用戶方(發(fā)證方)，下面就二方對(duì)建立RA 的需求進(jìn)行分析：1、 用戶需要在本地制證發(fā)證的需求證書(shū)用戶要求在當(dāng)?shù)刂苯愚k理業(yè)務(wù)

5、，使辦理證書(shū)各種業(yè)務(wù)方便、快捷，直接。如果當(dāng)?shù)貨](méi)有 RA 機(jī)構(gòu)，所有證書(shū)業(yè)務(wù)都必須由 CA 中心集中處理，這需要一定的時(shí)間進(jìn)行處理。2、 證書(shū)業(yè)務(wù)推廣宣傳的需要在一個(gè)地區(qū)如果有專門(mén)的 RA 服務(wù)機(jī)構(gòu)，就可以向更多的領(lǐng)域進(jìn)行數(shù)字證書(shū)的推廣，并給當(dāng)?shù)氐氖袌?chǎng)帶來(lái)更加直觀的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，增強(qiáng)人們對(duì)網(wǎng)絡(luò)安全的信心。3、證書(shū)業(yè)務(wù)服務(wù)的需要當(dāng)證書(shū)應(yīng)用在各個(gè)領(lǐng)域時(shí)，在一個(gè)地市就需要有一個(gè)區(qū)域中心來(lái)整合集中進(jìn)行服務(wù)，可以節(jié)約業(yè)務(wù)成本。形成證書(shū)規(guī)模效益。4、大宗用戶需要對(duì)證書(shū)實(shí)時(shí)控制和管理的需求有的大宗用戶需要對(duì)所發(fā)放的所有證書(shū)進(jìn)行實(shí)時(shí)的管理和控制， 這樣才可以更加有效的從管理的角度上來(lái)確保業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行和

6、操作的安全。而對(duì)證書(shū)的管理和控制，在 CA 認(rèn)證系統(tǒng)針對(duì)應(yīng)用的建立平臺(tái)中卻僅僅解決了證書(shū)應(yīng)用的問(wèn)題，而對(duì)證書(shū)的管理和控制卻沒(méi)有集成有相應(yīng)的系統(tǒng)。因此，需要對(duì)發(fā)放的證書(shū)進(jìn)行實(shí)時(shí)控制和管理，建立RA 的方式是一個(gè)選擇。二、方案可行性RA 作為 CA 重要組成部分之一，其建設(shè)的依據(jù)可遵循CA 的政策進(jìn)行。所有針對(duì)CA 電子認(rèn)證服務(wù)的法律都適用于RA。1、電子簽名法電子簽名法第十六條規(guī)定：電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)。第二十九條規(guī)定：未經(jīng)許可提供電子認(rèn)證服務(wù)的，由國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)責(zé)令停止違法行為；有違法所得的，沒(méi)收違法所得；違法所得三十萬(wàn)元以上的，處違法所

7、得一倍以上三倍以下的罰款；沒(méi)有違法所得或者違法所得不足三十萬(wàn)元的；處十萬(wàn)元以上三十萬(wàn)元以下的罰款。河南省數(shù)字證書(shū)認(rèn)證中心（簡(jiǎn)稱 HNCA)是經(jīng)信息產(chǎn)業(yè)部、國(guó)家密碼管理局及河南省人民政府批準(zhǔn)成立，在省工業(yè)和信息化廳（原信息產(chǎn)業(yè)廳）、省國(guó)家密碼管理局等有關(guān)部門(mén)領(lǐng)導(dǎo)的親切關(guān)懷下發(fā)展起來(lái)的，是我省惟一依法成立的專門(mén)負(fù)責(zé)為政府、企業(yè)和個(gè)人提供網(wǎng)上身份認(rèn)證和信息安全服務(wù)的第三方權(quán)威電子認(rèn)證機(jī)構(gòu)。作為 HNCA 在當(dāng)?shù)氐淖?cè)機(jī)構(gòu)RA 對(duì)公眾進(jìn)行認(rèn)證服務(wù)，完全符合法定要求。2、國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)電子政務(wù)建設(shè)將是今后一個(gè)時(shí)期我國(guó)信息化工作的重點(diǎn)，而電子政務(wù)建設(shè)將主要圍繞“1 個(gè)政府門(mén)

8、戶網(wǎng)絡(luò)、2 個(gè)電子政務(wù)網(wǎng)絡(luò)平臺(tái)、4 個(gè)基礎(chǔ)數(shù)據(jù)庫(kù)和 12 大重點(diǎn)信息化工程”開(kāi)展。數(shù)字證書(shū)中心即是為了保障諸如電子政務(wù)外網(wǎng)平臺(tái)和重點(diǎn)信息化工程的安全正常運(yùn)轉(zhuǎn) 而構(gòu)建的基礎(chǔ)系統(tǒng)。如政府網(wǎng)上招標(biāo)采購(gòu)、企業(yè)網(wǎng)上報(bào)稅、報(bào)關(guān)、網(wǎng)上工商登記和年檢、網(wǎng)上聯(lián)合審批等應(yīng)用，必須以數(shù)字證書(shū)系統(tǒng)作為安全保障。3、河南省電子政務(wù)發(fā)展規(guī)劃(20092012 年)構(gòu)建信息保證體系原文“信息安全保障體系。整合構(gòu)建安全支撐平臺(tái),完善信息網(wǎng)絡(luò)、重要信息系統(tǒng)的安全防護(hù)和管理措施,加強(qiáng)信息安全內(nèi)容管理和對(duì)抗能力建設(shè)。建立以密碼技術(shù)為基礎(chǔ),以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定為主要內(nèi)容的網(wǎng)絡(luò)信任體系,推進(jìn)以涉密、敏感信息加密保護(hù)、電子認(rèn)證

9、、電子政務(wù)密鑰管理基礎(chǔ)設(shè)施和電子政務(wù)密碼應(yīng)用支撐平臺(tái)等為主要內(nèi)容的密碼保障體系建設(shè)。建立容災(zāi)備份中心和計(jì)算機(jī)病毒防治、應(yīng)急處置、安全通報(bào)中心。建設(shè)網(wǎng)絡(luò)偵控、密鑰管理和信息安全測(cè)評(píng)系統(tǒng),創(chuàng)新信息安全技術(shù)和產(chǎn)品,為全省電子政務(wù)系統(tǒng)提供統(tǒng)一的入侵防御、漏洞掃描、病毒防護(hù)、內(nèi)容過(guò)濾等信息安全服務(wù),提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密事件的防范能力?！?、河南省信息化工作簡(jiǎn)報(bào)（30 期 2010-3-23）河南CA 相關(guān)段落原文“省信息化工作辦公室對(duì)河南CA 所做的工作及取得的成績(jī)給予了充分肯定。認(rèn)為河南 CA 的發(fā)展不但在信息安全中發(fā)揮了重要作用，而且對(duì)全省的信息化建設(shè)也做出了重要貢 獻(xiàn)，省信息化工作

10、辦公室將進(jìn)一步重視和支持河南 CA 的發(fā)展。一是要加強(qiáng)聯(lián)系與指導(dǎo)。與河南 CA 工作對(duì)接由省信息化辦電子政務(wù)與信息安全處負(fù)責(zé)，保持經(jīng)常聯(lián)系，細(xì)化工作責(zé)任，明確責(zé)任人，盡力為河南CA 反映情況和解決問(wèn)題創(chuàng)造條件；二是抓緊協(xié)調(diào)推動(dòng)河南省數(shù)字證書(shū)使用管理辦法的制定工作，規(guī)范全省電子認(rèn)證體系建設(shè)； 三是依托全省信息化部門(mén)和機(jī)構(gòu)，建立全省電子認(rèn)證服務(wù)體系，組成一個(gè)完整的服務(wù)網(wǎng)絡(luò)，做到省有CA，市有RA，縣有受理點(diǎn)。同時(shí)要使上下建立起科學(xué)完整的法律關(guān)系、業(yè)務(wù)關(guān)系和利益關(guān)系；四是推動(dòng)電子認(rèn)證在一些重點(diǎn)領(lǐng)域的應(yīng)用。要制定長(zhǎng)遠(yuǎn)、中期、近期相結(jié)合的發(fā)展目標(biāo)，先易后難，近期能完成的就盡快落實(shí)，需長(zhǎng)期協(xié)調(diào)跟進(jìn)的應(yīng)持續(xù)

11、關(guān)注，從而全面發(fā)展我省電子認(rèn)證體系。”三、在全省建立 RA 對(duì)信息化建設(shè)的意義1、政府信辦在全省信息化安全的支撐需要河南省數(shù)字證書(shū)認(rèn)證中心的PKI 安全體系是一個(gè)安全支撐平臺(tái), 對(duì)完善信息網(wǎng)絡(luò)、重要信息系統(tǒng)的安全防護(hù)和管理措施,加強(qiáng)信息安全內(nèi)容管理和對(duì)抗能力有這基礎(chǔ)性的作用。因此非常適合作為政府信辦在全省信息化安全的支撐業(yè)務(wù)平臺(tái)。也能夠建立以密碼技術(shù)為基礎(chǔ), 以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定為主要內(nèi)容的網(wǎng)絡(luò)信任體系,推進(jìn)以涉密、敏感信息加密保護(hù)、電子認(rèn)證、電子政務(wù)密鑰管理基礎(chǔ)設(shè)施和電子政務(wù)密碼應(yīng)用支撐平臺(tái)等為主要內(nèi)容的密碼保障體系建設(shè)。2、當(dāng)?shù)匦畔⒔ㄔO(shè)保駕護(hù)航，并增強(qiáng)當(dāng)?shù)氐男畔⒒踩庾R(shí)的意義各

12、地市信息化辦公室建設(shè)了河南省數(shù)字證書(shū)認(rèn)證中心的RA 系統(tǒng)， 就會(huì)形成以數(shù)字證書(shū)為基礎(chǔ)的安全支撐平臺(tái)，就解決了政府內(nèi)外網(wǎng)應(yīng)用的信息安全問(wèn)題。能夠很好的為當(dāng)?shù)匦畔⒒ㄔO(shè)保駕護(hù)航，同時(shí)能夠相應(yīng)的擴(kuò)大信息化的影響力,增加各地市及基層單位的信息化安全意識(shí)。3、社會(huì)效益隨著人們對(duì)數(shù)字證書(shū)的認(rèn)知程度的加深,以及需求的依賴.數(shù)字證 書(shū)應(yīng)用的領(lǐng)域越來(lái)越廣泛,社會(huì)公眾對(duì)證書(shū)這種安全服務(wù)越來(lái)越認(rèn)可. 因此在各地建立的RA 系統(tǒng)可以與各社會(huì)上需要信息安全服務(wù)的社會(huì)公眾，體現(xiàn)政府的服務(wù)職能，同時(shí)與社會(huì)公眾建立有效的溝通和聯(lián)系。產(chǎn)生出較為可觀的社會(huì)效益和經(jīng)濟(jì)效益。第二章 建設(shè)什么樣的RA 系統(tǒng)一、RA 系統(tǒng)介紹RA 客戶

13、端系統(tǒng)和RA 中心。RA 客戶端系統(tǒng)負(fù)責(zé)申請(qǐng)注冊(cè)、審核、證書(shū)發(fā)放，主要功能包括：證書(shū)申請(qǐng)、證書(shū)審核、證書(shū)發(fā)放、證書(shū)撤消申請(qǐng)、證書(shū)恢復(fù)申請(qǐng)、證書(shū)查詢以及審核員管理等功能。RA 中心負(fù)責(zé)與CA 的安全通信、匯總統(tǒng)計(jì)、審計(jì)等工作。采用的是局域網(wǎng)應(yīng)用程序，主要功能包括：申請(qǐng)資料錄入、本地審核、用戶管理、日志審計(jì)、證書(shū)發(fā)放、證書(shū)撤消、證書(shū)恢復(fù)、CA 安全通信、系統(tǒng)初始化和系統(tǒng)設(shè)定等。CA 中心只負(fù)責(zé)為電子政務(wù)環(huán)境中各個(gè)實(shí)體頒發(fā)數(shù)字證書(shū)，以證明各實(shí)體身份的真實(shí)性，并負(fù)責(zé)在電子政務(wù)系統(tǒng)使用者中檢驗(yàn)和管理證書(shū)；它是電子政務(wù)的權(quán)威性、可信賴性及公正性的第三方機(jī)構(gòu)，并不參與身份人證的真實(shí)過(guò)程。CA 的主要職責(zé)歸納

14、起來(lái)有：確保 CA 用于簽名證書(shū)的非對(duì)稱密鑰的質(zhì)量、確保整個(gè)簽證過(guò)程的安全性,確保私鑰的安全性、證書(shū)材料信息（包括公鑰證書(shū)序列號(hào)、CA 標(biāo)識(shí)等）的管理、確定并檢查證書(shū)的有效期限、確保證書(shū)主體標(biāo)識(shí)的唯一性 , 防止重名;發(fā)布并維護(hù)作廢證書(shū)表、對(duì)整個(gè)證書(shū)簽發(fā)過(guò)程做日志記錄。整個(gè)系統(tǒng)采用國(guó)際通用的 PKI 技術(shù)，為廣大證書(shū)使用者提供安全快捷的簽名及加密網(wǎng)上電子政務(wù)服務(wù)，真正做到電子政務(wù)系統(tǒng)運(yùn)行的不可抵賴性。證書(shū)吊銷支持 LDAP 協(xié)議，通過(guò)在線更新證書(shū)吊銷列表來(lái)充分滿足電子政務(wù)系統(tǒng)的安全性。1、系統(tǒng)業(yè)務(wù)流程1.1 證書(shū)的申請(qǐng)和下載1. 用戶信息注冊(cè)用戶攜帶身份證、要求攜帶的相關(guān)證件及復(fù)印件到指定地點(diǎn)

15、（制證終端）辦理申請(qǐng)數(shù)字證書(shū)。制證終端負(fù)責(zé)接收用戶申請(qǐng)， 并對(duì)申請(qǐng)進(jìn)行審核和制證。2. 制證終端初步審核并提交申請(qǐng)制證終端操作員對(duì)用戶提交的資料進(jìn)行初步審核，檢查是否數(shù)字證書(shū)認(rèn)證中心對(duì)辦理數(shù)字證書(shū)所需相關(guān)資料的要求。對(duì)符合條件的用戶依照數(shù)字證書(shū)規(guī)定的格式對(duì)用戶信息進(jìn)行填寫(xiě)，并設(shè)定數(shù)字證書(shū)的起始時(shí)間和有效期。制證人員提交填寫(xiě)好的證書(shū)申請(qǐng)。3. RA 服務(wù)器審核申請(qǐng)按照證書(shū)模板的設(shè)定，可以允許制證終端操作員直接對(duì)申請(qǐng)進(jìn)行審核或者系統(tǒng)自動(dòng)審核。如果為了控制對(duì)終端操作員的行為， 可以對(duì)其提交的申請(qǐng)進(jìn)行遠(yuǎn)程人工審核，因此只有審核通過(guò)者才 能繼續(xù)將信息提交至認(rèn)證中心CA 服務(wù)器。CA 服務(wù)器接受申請(qǐng)為用戶

16、制作證書(shū)，并將信息反饋到 RA 服務(wù)器，由RA 服務(wù)器將證書(shū)相關(guān)信息發(fā)給制證終端。4. 制證終端為用戶進(jìn)行制作證書(shū)制證終端操作人員根據(jù) RA 服務(wù)器反饋的信息，插入證書(shū)硬件存儲(chǔ)介質(zhì)。點(diǎn)擊“制證”，直至提示成功。用戶數(shù)字證書(shū)制作完畢。用戶可以持?jǐn)?shù)字證書(shū)登陸電子政務(wù)系統(tǒng)服務(wù)器，在驗(yàn)證通過(guò)后即可進(jìn)行相關(guān)業(yè)務(wù)。制證受理點(diǎn)制作證書(shū)流程如下：1.2 證書(shū)的吊銷和更新用戶申請(qǐng)吊銷和更新證書(shū)有 2 種方式：1、 用戶到 RA 客戶端受理點(diǎn)填寫(xiě)申請(qǐng)表，由錄入操作員錄入數(shù)據(jù)，審核操作員根據(jù)用戶的資料進(jìn)行審查，將通過(guò)審查的資料向CA 提交。2、 用戶直接至河南省數(shù)字證書(shū)認(rèn)證中心，填寫(xiě)吊銷或更新申請(qǐng)表，由錄入操作員錄

17、入數(shù)據(jù)，審核操作員根據(jù)用戶的資料進(jìn)行審查，直接吊銷或更新。1.3 證書(shū)的使用客戶端使用數(shù)字證書(shū)進(jìn)行登錄，大致的流程如下：當(dāng)用戶選擇使用證書(shū)登錄時(shí)，則點(diǎn)擊客戶端程序的“證書(shū)登錄” 選項(xiàng)卡，此時(shí)客戶端登錄程序自動(dòng)選擇能夠支持證書(shū)登錄驗(yàn)證的可用服務(wù)器列表(也可與密碼登錄模式共用同一服務(wù)器)；若此時(shí)用戶已將含有數(shù)字證書(shū)的電子鑰匙連接到計(jì)算機(jī)上，點(diǎn)擊“登錄”按鈕則將開(kāi)始進(jìn)行證書(shū)登錄操作，客戶端程序?qū)L試從電子鑰匙中讀取證書(shū)信 息，并進(jìn)行簽名操作，出于安全性考慮，此時(shí)用戶會(huì)被要求輸入電子鑰匙的訪問(wèn)密碼（初始密碼通常是 6 個(gè)“1”，可由用戶自行進(jìn)行更改），以確認(rèn)用戶對(duì)該數(shù)字證書(shū)的訪問(wèn)權(quán)限，如下圖所示：出于

18、安全需要，也可將用戶名和密碼在客戶端使用證書(shū)進(jìn)行加密后再發(fā)送，加密操作需要在建立連接前將接收者(服務(wù)器)的公鑰證書(shū)從服務(wù)器端下載至客戶端。2、網(wǎng)上證書(shū)申請(qǐng)安全方案2.1 網(wǎng)絡(luò)拓?fù)鋱D2.2 加密通道數(shù)據(jù)流程圖客戶端與 RA 服務(wù)器之間的通信采用了 SPKM 協(xié)議進(jìn)行數(shù)據(jù)傳輸，從而保證客戶端與服務(wù)器交互的所有的業(yè)務(wù)數(shù)據(jù)都經(jīng)過(guò)高強(qiáng)度的加密算法加密，保證數(shù)據(jù)的安全性。3、系統(tǒng)性能3.1 系統(tǒng)基于PKI 機(jī)制，信息傳輸采用SPKM 協(xié)議。3.2 電子政務(wù)系統(tǒng)使用的安全性高、不可抵賴性；實(shí)現(xiàn)了和電子政務(wù)系統(tǒng)的無(wú)縫銜接，電子政務(wù)系統(tǒng)證書(shū)使用者所使用的CA 證書(shū)要求和證書(shū)使用者的身份有一一對(duì)應(yīng)關(guān)系，并能在系統(tǒng)

19、使用中進(jìn)行管理和監(jiān)控3.3 使用方便、具有良好的系統(tǒng)可擴(kuò)展性；實(shí)現(xiàn)了客戶端的零管理，電子政務(wù)系統(tǒng)專用的電子政務(wù)系統(tǒng)客戶端就會(huì)自動(dòng)判斷證書(shū)是否存在。3.4 嚴(yán)格的后臺(tái)操作管理和審計(jì)、完整的安全日志；系統(tǒng)設(shè)計(jì)時(shí)充分考慮了CARA 系統(tǒng)作為電子政務(wù)系統(tǒng)的權(quán)威性、可信賴性及公正性的第三方機(jī)構(gòu)的特點(diǎn)，而提供了全方位的安全解決方案，并通過(guò)日志記錄為事后的追查提供了數(shù)據(jù)依據(jù)。3.5 認(rèn)證快速；增加證書(shū)的認(rèn)證過(guò)程完全不影響原來(lái)的電子政務(wù)系統(tǒng)運(yùn)行，并且在速度上沒(méi)有任何的延遲。4、系統(tǒng)功能注冊(cè)子系統(tǒng)RA 是河南CA 電子證書(shū)認(rèn)證系統(tǒng)的另一重要子系統(tǒng)， 它是由配置向?qū)А⒆?cè)服務(wù)器、系統(tǒng)管理控制臺(tái)、業(yè)務(wù)管理控制臺(tái)、業(yè)

20、務(wù)處理控制臺(tái)和審計(jì)控制臺(tái)組成的，用于負(fù)責(zé)對(duì)用戶注冊(cè)信息等進(jìn)行管理，可提供證書(shū)申請(qǐng)、注冊(cè)、注銷、更新、業(yè)務(wù)審計(jì)和制做等業(yè)務(wù)，用于構(gòu)建數(shù)字認(rèn)證中心的對(duì)外業(yè)務(wù)窗口。注冊(cè)服務(wù)器注冊(cè)服務(wù)器的主要功能是為其它客戶端提供服務(wù)。服務(wù)是對(duì)于某種業(yè)務(wù)或管理請(qǐng)求進(jìn)行相關(guān)的處理產(chǎn)生結(jié)果的過(guò)程。注冊(cè)服務(wù)器提供了如下相關(guān)服務(wù)，用以實(shí)現(xiàn)注冊(cè)子系統(tǒng)的各項(xiàng)功能。這些服務(wù)包括：更新申請(qǐng)的審核更新申請(qǐng)的查詢證書(shū)模板相關(guān)服務(wù)更新證書(shū)模板獲取證書(shū)模板修改證書(shū)模板的審核策略權(quán)限管理相關(guān)服務(wù)創(chuàng)建、修改和刪除權(quán)限模板； 添加和刪除管理員；修改管理員權(quán)限；獲取指定用戶權(quán)限信息； 驗(yàn)證指定用戶權(quán)限。安全通信證書(shū)導(dǎo)出安全通信證書(shū)的申請(qǐng)書(shū)導(dǎo)入安全通

21、信證書(shū)導(dǎo)出 Jit.ini配置管理相關(guān)服務(wù)取系統(tǒng)配置； 修改系統(tǒng)配置。系統(tǒng)管理相關(guān)服務(wù)啟動(dòng)服務(wù)停止服務(wù)數(shù)據(jù)安全管理相關(guān)服務(wù)數(shù)據(jù)庫(kù)備份數(shù)據(jù)庫(kù)恢復(fù)更新數(shù)據(jù)庫(kù)加密密鑰驗(yàn)證數(shù)據(jù)庫(kù)完整性 更新系統(tǒng)密鑰l 系統(tǒng)管理控制臺(tái)注冊(cè)子系統(tǒng)系統(tǒng)管理控制臺(tái)的操作人員是注冊(cè)子系統(tǒng)的超級(jí)管理員，系統(tǒng)采用了 MofN 驗(yàn)證機(jī)制驗(yàn)證超級(jí)管理員的身份，注冊(cè)子系統(tǒng)系統(tǒng)管理控制臺(tái)提供了對(duì)超級(jí)管理員身份的有效驗(yàn)證。注冊(cè)子系統(tǒng)系統(tǒng)管理控制臺(tái)為注冊(cè)子系統(tǒng)超級(jí)管理員提供與服務(wù)器本身以及業(yè)務(wù)數(shù)據(jù)相關(guān)的系統(tǒng)管理服務(wù)，如注冊(cè)服務(wù)器配置、注冊(cè)服務(wù)器業(yè)務(wù)服務(wù)的啟動(dòng)和停止、業(yè)務(wù)數(shù)據(jù)安全管理等；l業(yè)務(wù)管理控制臺(tái)注冊(cè)子系統(tǒng)業(yè)務(wù)管理終端負(fù)責(zé)對(duì)注冊(cè)服務(wù)器的各

22、項(xiàng)工作進(jìn)行管理，維護(hù)整個(gè)審核系統(tǒng)的安全性和完整性，主要對(duì)證書(shū)模板、權(quán)限模板、終端管理員、業(yè)務(wù)受理點(diǎn)和下級(jí) RA 等進(jìn)行管理和維護(hù)，保障整個(gè)系統(tǒng)安全運(yùn)營(yíng)，并且對(duì)多級(jí)審核服務(wù)器進(jìn)行維護(hù)。l審計(jì)控制臺(tái)注冊(cè)子系統(tǒng)審計(jì)控制臺(tái)是注冊(cè)子系統(tǒng)中的一個(gè)重要組件。作為注冊(cè)子系統(tǒng)的審計(jì)控制臺(tái),負(fù)責(zé)對(duì)注冊(cè)服務(wù)器的操作歷史和現(xiàn)狀進(jìn)行及時(shí)監(jiān)查和審計(jì)，是注冊(cè)子系統(tǒng)不可或缺的組件。l 業(yè)務(wù)處理控制臺(tái)注冊(cè)子系統(tǒng)證書(shū)業(yè)務(wù)處理控制臺(tái)是河南 CA 電子證書(shū)認(rèn)證系統(tǒng)的注冊(cè)子系統(tǒng)的重要組成部分，主要負(fù)責(zé)處理日常證書(shū)業(yè)務(wù)，面對(duì)面地處理用戶的證書(shū)申請(qǐng)、注銷、恢復(fù)、更新以及證書(shū)授權(quán)碼發(fā)放和證書(shū)制作等證書(shū)業(yè)務(wù)。5、系統(tǒng)特點(diǎn)1充分利用了INTER

23、NET 網(wǎng)的優(yōu)勢(shì)，減少了以前證書(shū)私鑰文件需要通過(guò)物理介質(zhì)發(fā)放的模式，改由證書(shū)文件從網(wǎng)上下載，私鑰文件通過(guò)專用的程序在本地生成。2 減少證書(shū)使用者的開(kāi)戶流程，對(duì)證書(shū)使用者來(lái)說(shuō)只要到受理點(diǎn)就可以辦完所有手續(xù)，對(duì)信辦制證受理點(diǎn)管理人員來(lái)說(shuō)不需要輸入多次證書(shū)使用者資料。3 真正實(shí)現(xiàn)了電子政務(wù)系統(tǒng)的證書(shū)使用者所使用的 CA 證書(shū)和證書(shū)使用者的身份有一一對(duì)應(yīng)關(guān)系的結(jié)構(gòu)，同時(shí)能利用我們的電子政務(wù)系統(tǒng)監(jiān)管實(shí)現(xiàn)證書(shū)監(jiān)管。二、系統(tǒng)運(yùn)行環(huán)境1RA 系統(tǒng)需要的軟硬件及規(guī)格要求如下：硬件名稱硬件配置數(shù)量系統(tǒng)平臺(tái)備注RA 服務(wù)器/ 數(shù)據(jù)CPU：奔騰 4內(nèi) 存1G11.操作系統(tǒng)：Windows2000 Server需 要

24、有公網(wǎng) IP庫(kù)服務(wù)器DDR2 硬盤(pán)雙 80G2.數(shù)據(jù)庫(kù)：SQL 2000中文企業(yè)版地址RA 備份服務(wù)器/CPU：奔騰 4內(nèi) 存1G11.操作系統(tǒng)：Windows2000 Server要求：數(shù)據(jù) 庫(kù) 同數(shù)據(jù)庫(kù)服DDR2 硬盤(pán)2.數(shù)據(jù)庫(kù)：SQL 2000步務(wù)器雙 80G中文企業(yè)版終端控制臺(tái)CPU ： CPU奔騰 4 以上256M 內(nèi)存3操作系統(tǒng)： Windows2000 以上防火墻國(guó)產(chǎn)品牌的桌面級(jí)防火墻1CA 行業(yè)屬特殊行業(yè)，要求國(guó)產(chǎn)品牌防火墻加密機(jī)山大 2 代高速 加 密 機(jī)SKY-B (3U)1制證終端(RABT)CPU：CPU 3以上 128M 內(nèi)存4每個(gè)制證終端配備 4 臺(tái)(錄入、審核、制

25、作及質(zhì)檢)操作系統(tǒng)建議WINDOWS SERVER 2000數(shù)據(jù)庫(kù)建議SQL SERVER ，并在備份數(shù)據(jù)庫(kù)服務(wù)器建立同步訂閱數(shù)據(jù)庫(kù)文件大小建議預(yù)留 1G 空間存放數(shù)據(jù)庫(kù)文件。2RA 系統(tǒng)網(wǎng)拓?fù)鋱D如下：第三章 各地市信息辦公室怎樣建設(shè)RA 系統(tǒng)一、確定需求申請(qǐng)建設(shè)RA系統(tǒng)的單位（以下簡(jiǎn)稱申建機(jī)構(gòu)）先與HNCA 市場(chǎng)部聯(lián)系，并會(huì)同市場(chǎng)部與技術(shù)部共同確定RA建設(shè)需求書(shū)。申建機(jī)構(gòu)與HNCA雙方均需在需求書(shū)上簽字確認(rèn)。二、簽署協(xié)議申建機(jī)構(gòu)需與HNCA市場(chǎng)部簽訂關(guān)于建立RA系統(tǒng)的協(xié)議 和數(shù)字證書(shū)合作協(xié)議，申建機(jī)構(gòu)和HNCA雙方在確認(rèn)協(xié)議條款內(nèi)容后簽字蓋章。三、RA系統(tǒng)建設(shè)實(shí)施雙方按照RA建設(shè)需求書(shū)進(jìn)行R

26、A系統(tǒng)的建設(shè)實(shí)施。根據(jù)實(shí)施過(guò)程中的具體情況，HNCA市場(chǎng)部、技術(shù)部分別提供相應(yīng)的服務(wù)、支持。如需求發(fā)生更改，雙方需重新在變更后的需求書(shū)上簽字確認(rèn)。四、RA系統(tǒng)測(cè)試4.1、RA建設(shè)實(shí)施完成后，申建機(jī)構(gòu)向HNCA市場(chǎng)部提交RA 測(cè)試申請(qǐng)；4.2、HNCA市場(chǎng)部將測(cè)試RA和HNCA連接所需要的技術(shù)材料和用戶RA基本信息填寫(xiě)工單交給技術(shù)部，由市場(chǎng)部和技術(shù)部配合申建機(jī)構(gòu)進(jìn)行RA系統(tǒng)測(cè)試；五、RA系統(tǒng)驗(yàn)收5.1. HNCA市場(chǎng)部受理用戶RA驗(yàn)收的申請(qǐng)；5.2. 技術(shù)部按照RA系統(tǒng)驗(yàn)收表進(jìn)行驗(yàn)收；5.3. 驗(yàn)收完畢后，HNCA的RA驗(yàn)收工程師編寫(xiě)RA驗(yàn)收?qǐng)?bào)告和RA系統(tǒng)驗(yàn)收意見(jiàn)書(shū)；5.4. HNCA技術(shù)部將審

27、核后的RA系統(tǒng)驗(yàn)收意見(jiàn)書(shū)發(fā)給申建機(jī)構(gòu)RA；5.5. 申建機(jī)構(gòu)根據(jù)RA系統(tǒng)驗(yàn)收意見(jiàn)書(shū)進(jìn)行修改與完善。六、文檔評(píng)審申建機(jī)構(gòu)需將以下文檔交與 HNCA技術(shù)部與市場(chǎng)部進(jìn)行評(píng)審：RA系統(tǒng)客戶化設(shè)計(jì)方案RA系統(tǒng)機(jī)房物理建設(shè)方案RA系統(tǒng)運(yùn)行管理規(guī)定RA系統(tǒng)人員組織管理RA業(yè)務(wù)管理規(guī)定七、系統(tǒng)上線7.1、申建機(jī)構(gòu)向市場(chǎng)部提交連接生產(chǎn)系統(tǒng)的RA管理員證書(shū)申請(qǐng)表；7.2、市場(chǎng)部受理申建機(jī)構(gòu)的證書(shū)申請(qǐng)并填寫(xiě)工單交給技術(shù)部；7.3、技術(shù)部對(duì)生產(chǎn)系統(tǒng)進(jìn)行相關(guān)配置工作并發(fā)放相應(yīng)的 RA 證書(shū)，上線工作由市場(chǎng)部配合技術(shù)部共同完成第四章 RA 系統(tǒng)的運(yùn)營(yíng)模式一、 推廣方式：推廣以培訓(xùn)會(huì)為主要的方式： 1、內(nèi)部培訓(xùn)（1）對(duì)各地

28、市信息化辦公室的各級(jí)領(lǐng)導(dǎo)進(jìn)行一次宣傳性的數(shù)字證書(shū)的專題講座，形式可多樣化。（2）對(duì)各地市信息化辦公室的的工作人員以地區(qū)為單位進(jìn)行培訓(xùn)，各地區(qū)的培訓(xùn)場(chǎng)地及設(shè)備由各地市信息化辦公室提供。2、用戶使用培訓(xùn)（1）現(xiàn)場(chǎng)培訓(xùn)：隨發(fā)證時(shí)進(jìn)行培訓(xùn)，內(nèi)容為：證書(shū)使用方法、安裝方法等。（2）集中培訓(xùn)：用戶以營(yíng)業(yè)部為單位進(jìn)行集中培訓(xùn)3、交流培訓(xùn)會(huì)議形式邀請(qǐng)省直各單位信息化主管領(lǐng)導(dǎo)，信息安全領(lǐng)域方面的專家， 省高新技術(shù)企業(yè)或軟件企業(yè)的負(fù)責(zé)人一起來(lái)參加培訓(xùn)交流會(huì)議。共同探討密碼技術(shù)在信息安全領(lǐng)域中的應(yīng)用，交流信息化的發(fā)展趨勢(shì)及信息安全保障體系框架，推進(jìn)信息化建設(shè)的進(jìn)程。主要實(shí)現(xiàn)以下目的：（1）通過(guò)會(huì)議，加強(qiáng)省直信息化主

29、管領(lǐng)導(dǎo)，轄市信息化辦公室主任的信息溝通。了解河南省電子政務(wù)建設(shè)中網(wǎng)絡(luò)與信息安全體系建設(shè)的工作規(guī)劃。加強(qiáng)網(wǎng)絡(luò)與信息安全工作，構(gòu)建網(wǎng)絡(luò)信任體系。推動(dòng)數(shù)字證書(shū)在OA辦公，網(wǎng)上行政審批、公文流轉(zhuǎn)等系統(tǒng)中的應(yīng)用，并達(dá)成一致意見(jiàn)。（2）針對(duì)互聯(lián)網(wǎng)目前所存在的安全風(fēng)險(xiǎn)和隱患，借助在信息安全領(lǐng)域有豐富經(jīng)驗(yàn)的領(lǐng)導(dǎo)和權(quán)威專家意見(jiàn)。將數(shù)字證書(shū)電子認(rèn)證與電子政務(wù)、電子商務(wù)中信息安全傳輸進(jìn)行密切結(jié)合，把信息化建設(shè)中使用數(shù)字證書(shū)加強(qiáng)身份認(rèn)證，確保信息安全，作為一種行業(yè)安全標(biāo)準(zhǔn)進(jìn)行推廣應(yīng)用。（3）建立與軟件企業(yè)或高新技術(shù)企業(yè)負(fù)責(zé)人之間的高端交流，解析企業(yè)在電子商務(wù)領(lǐng)域存在的安全風(fēng)險(xiǎn)和密碼技術(shù)的應(yīng)用。針對(duì)互聯(lián)網(wǎng)上電子交易及支

30、付的安全性,保密性等問(wèn)題，在網(wǎng)上建立一種信任機(jī)制。推進(jìn)電子認(rèn)證在電子商務(wù)領(lǐng)域中的廣泛應(yīng)用。二、運(yùn)營(yíng)方式在各地市信息辦公室建設(shè) RA 并驗(yàn)收完畢以后需要做的就是運(yùn)營(yíng)工作，而運(yùn)營(yíng)中主要有兩大運(yùn)營(yíng)業(yè)務(wù)，如下：1、對(duì)行業(yè)性數(shù)字證書(shū)用戶的服務(wù)支持需要根據(jù)河南省數(shù)字認(rèn)證中心運(yùn)營(yíng)手冊(cè)進(jìn)行河南省數(shù)字認(rèn)證中心相關(guān)行業(yè)性客戶數(shù)字證書(shū)的制作和發(fā)放，以及各個(gè)受理點(diǎn)的管理工作。因此包含了受理點(diǎn)錄入的申請(qǐng)審核工作，和各個(gè)受理點(diǎn)的客戶證書(shū)的制作備案，以及管理工作。這就需要在河南省數(shù)字證書(shū)所承接的項(xiàng)目中直接面對(duì)開(kāi)戶，更新用戶。以及回答用戶的相關(guān)提問(wèn)和售后工作。當(dāng)然也會(huì)享受河南省數(shù)字證書(shū)認(rèn)證中心相關(guān)的運(yùn)營(yíng)費(fèi)用的補(bǔ)貼。2、對(duì)本地

31、政府內(nèi)部使用證書(shū)的推廣對(duì)本地政府內(nèi)網(wǎng)，和外網(wǎng)中的身份認(rèn)證需求需要進(jìn)行制發(fā)證。以及審核，以及管理工作。隨著政府內(nèi)網(wǎng)，外網(wǎng)應(yīng)用數(shù)字證書(shū)的量的增加，相應(yīng)的就帶來(lái)了管理上的難度，如果是在河南數(shù)字證書(shū)認(rèn)證中心集中管理，必然會(huì)帶來(lái)工作效率和時(shí)間上的瓶頸，因此設(shè)立遠(yuǎn)程RA 就是解決了這個(gè)瓶頸，各地市信辦可以自主管理自己在政府內(nèi)外網(wǎng)中的相關(guān)數(shù)字證書(shū)業(yè)務(wù)。附件 1：建設(shè)預(yù)算項(xiàng)名稱配置及型號(hào)數(shù)量系統(tǒng)平臺(tái)目RA 服務(wù)器/數(shù)據(jù)xeon7310*2/4G/146*3/raid5 庫(kù)服務(wù)器11.操作系統(tǒng)： Windows2003 Server R2企業(yè)版2.數(shù)據(jù)庫(kù)：SQL2000 中文企業(yè)版RA 備份服務(wù)器/ 數(shù)據(jù)庫(kù)服務(wù)器xeon7310*2/4G/146*3raid511.操作系統(tǒng)： Windows2003 ServerR2企業(yè)版2.數(shù)據(jù)庫(kù)：SQL2000 中文企業(yè)版終端控制臺(tái)CPU： 奔騰 4 以上 1G 內(nèi)存3操作系統(tǒng)： Windows2000以上系統(tǒng)硬件防火墻國(guó)產(chǎn)品牌的桌面級(jí)防火墻1CA 行業(yè)