系統(tǒng)安全安全性、穩(wěn)定性說明

1、PAGE19天威誠信PKI/CA系統(tǒng)安全、穩(wěn)定性說明前言對于上海環(huán)迅電子商務有限公司是中國領先的在線支付服務提供商，作為在線支付市場的先行者和領導者，上海環(huán)迅一直專注在電子支付的商業(yè)應用及金融業(yè)的電子化服務，因此對環(huán)迅公司的在線支付系統(tǒng)提供安全支持的公司必須要具備非常專業(yè)的技術(shù)背景、強有力的技術(shù)支持和服務能力，以及完整的國家資質(zhì)才能為上海環(huán)迅的在線支付系統(tǒng)保駕護航，為上海環(huán)迅成為世界領先的電子支付應用和服務的提供商提供受到法律保護的安全基礎。系統(tǒng)安全性對于天威誠信PKI/CA系統(tǒng)的安全性，天威誠信通過嚴格的物理安全、網(wǎng)絡安全、信息安全、人員安全和密鑰安全來保證CA中心的安全，具有很高的安全性。

2、物理安全天威誠信制定了嚴格的物理安全策略，主要包括：天威誠信CA系統(tǒng)按照在天威誠信安全數(shù)據(jù)中心，數(shù)據(jù)中心的物理場地按照嚴格的安全訪問政策從結(jié)構(gòu)層次上進行了劃分，采用物理分層的結(jié)構(gòu)，將系統(tǒng)安裝在層次較高的物理層；進出各層具有嚴格的物理安全訪問控制策略進行保護，必須出示相關證件或身份卡，包括員工證、門禁卡和指紋機等；物理場地配備了24 X 7 X 365 保安員，整個物理場地進行24小時錄影監(jiān)視。網(wǎng)絡安全天威誠信制定和執(zhí)行嚴格的網(wǎng)絡安全策略，主要包括：天威誠信將系統(tǒng)采用了兩道防火墻與Internet進行隔離，CA系統(tǒng)的前臺安裝在DMZ區(qū)，核心后臺安裝在軍事化區(qū)，和前臺通過防火墻進行隔離，任何Int

3、ernet用戶都無法直接訪問CA系統(tǒng)核心后臺；系統(tǒng)網(wǎng)絡和日常辦公網(wǎng)絡完全分開，都采用分段控制，并以內(nèi)部和外部防火墻作保護；對于系統(tǒng)的所有服務器都以SSL來加強對客戶連接的安全性保護。信息安全天威誠信制定和執(zhí)行嚴格的信息安全策略，主要包括：系統(tǒng)/服務器充分考慮信息安全，采用動態(tài)口令方式包含系統(tǒng)的口令，并采用單獨系統(tǒng)監(jiān)控/防止病毒入侵；系統(tǒng)/服務器充分考慮了穩(wěn)定性設計，采用了多路數(shù)據(jù)專線，防止斷線，數(shù)據(jù)專線連接采用多個供應商，防止供應商斷線；充分考慮了數(shù)據(jù)庫系統(tǒng)的安全，采用多硬盤實時備份 （Mirroring），采用多處理器，采用可熱換的硬盤，并嚴格進行系統(tǒng)/服務器的備份，每晚對數(shù)據(jù)進行備份，定期

4、將備份數(shù)據(jù)存放到安全的第三方；充分考慮了電源穩(wěn)定性設計，數(shù)據(jù)中心具有獨立的后備電源，并配備了發(fā)電機。人員安全天威誠信制定和執(zhí)行嚴格的人員安全策略，主要包括：天威誠信具有詳細的、規(guī)范的可信雇員政策，對員工進行審查，并詳細規(guī)定員工的職責；天威誠信員工對系統(tǒng)的操作嚴格按照天威誠信制定的規(guī)范的操作流程進行，并定期對操作記錄進行安全與審計；天威誠信制定了嚴格的物理和系統(tǒng)訪問權(quán)限控制，對于非授權(quán)人員禁止操作。密鑰安全密鑰安全包括根CA和子CA密鑰的安全，以及用戶證書密鑰的安全。CA密鑰的安全CA密鑰是對根CA和子CA密鑰的統(tǒng)稱，需要從兩個方面進行分析：CA密鑰的產(chǎn)生 CA密鑰在天威誠信的安全數(shù)據(jù)中心離線的

5、物理環(huán)境中產(chǎn)生，使用經(jīng)過國家相關部門認證通過的國產(chǎn)加密機來產(chǎn)生。為了保障CA密鑰產(chǎn)生的公正性和權(quán)威性，天威誠信會進行規(guī)范的密鑰生成儀式，整個過程將會有錄像記錄。舉行密鑰生成儀式至少需要七名相關的人員參加。CA密鑰的安全存儲 所有密鑰都是保存在天威誠信最安全的物理層，根密鑰離線的保存在安全級別最高的層次，并通過密鑰分割的方式由多人負責管理。對于在線CA的密鑰，安裝在安全數(shù)據(jù)中心的在線最高物理層，對于在線CA密鑰的上載，至少需要七名相關人員才能進行。系統(tǒng)性能分析系統(tǒng)處理能力天威誠信PKI/CA系統(tǒng)設計初期處理能力為“千萬”級證書容量，可以根據(jù)業(yè)務的擴展需求進行動態(tài)的擴展。目前已經(jīng)對外簽發(fā)了十幾萬張

6、證書，系統(tǒng)沒有任何問題和壓力。以下提供各模塊的處理能力的測試數(shù)據(jù)，包含CA中心服務器的處理能力、RA中心服務器的處理能力、用戶證書的發(fā)證能力、及目錄服務器的查詢能力等。CA中心服務器處理能力一個用戶請求需要通過CA中心服務器和簽名服務器的邏輯處理，如果是證書簽發(fā)請求則會經(jīng)過邏輯處理后再交給簽名服務器和加密機處理。CA服務器的處理能力指標主要是并發(fā)處理能力。環(huán)境硬件配置Sun Sparc Ultra 2操作系統(tǒng)Solaris 加密卡SJY17-B性能設計序號性能參數(shù)處理能力1并發(fā)性能165個用戶請求/秒2平均連續(xù)處理601000次/小時圖表 CA處理能力表CA中心加密機處理能力CA中心簽名服務器

7、將使用加密機，完成用戶證書簽發(fā)、非對稱密鑰加解密等的功能。因此，在上述服務器的性能設計中，主要提供了關于加密機的處理性能。環(huán)境硬件配置加密機操作系統(tǒng)RedHat Linux 加密機/卡SJY17-B性能設計序號性能參數(shù)處理能力1RSA 1024位簽名運算速度250次/秒2RSA 1024位驗證運算速度1000次/秒3對稱算法加、解密速度秒。4生成一對RSA密鑰的平均時間3秒圖表 STYLEREF 標題1 s 錯誤！未定義樣式。 SEQ 圖表 * ARABIC s 12 加密機處理能力表目錄服務器處理能力用戶證書查詢以及證書黑名單查詢可以通過LDAP協(xié)議來查詢，目錄服務器處理能力的主要指標是單個

8、查詢的響應時間以及目錄服務能夠承受的最大并發(fā)查詢數(shù)。環(huán)境硬件配置Sun Sparc Ultra 2操作系統(tǒng)Solaris 性能設計序號性能參數(shù)處理能力1單個查詢響應平均時間秒/次2最大并發(fā)量300圖表目錄服務器處理能力表先進性和開放性天威誠信PKI/CA系統(tǒng)采用Verisign的技術(shù)平臺，VeriSign已經(jīng)與超過100家獨立軟件廠商建立了合作伙伴關系，其中包括Microsoft，Netscape，Lotus，Oracle，Cisco等等。采用VeriSign技術(shù)平臺的建設的天威誠信PKI/CA系統(tǒng)也延續(xù)了這種開放性。在此開放性的平臺上，有系列產(chǎn)品能夠有效支持這些廠家的應用軟件產(chǎn)品，這些產(chǎn)品包

9、括：安全Web應用、安全Email應用、安全MS Exchange應用、安全Lotus Notes應用、安全ERP應用和安全VPN應用等。與此同時，天威誠信PKI/CA系統(tǒng)嚴格采用國際標準或工業(yè)標準的技術(shù)，如PKIX標準，保證系統(tǒng)最大的兼容性。其中： 與國內(nèi)外其他CA認證體系交叉認證：用戶應用采用天威誠信CTN認證體系，可以與國內(nèi)外其他符合國際工業(yè)標準的CA認證體系進行交叉認證，很容易實現(xiàn)與國際認證體系的接軌，實現(xiàn)將信任域擴充到全球。與各種電子商務平臺體系相兼容：天威誠信PKI/CA系統(tǒng)采用的技術(shù)路線是完全符合全球工業(yè)標準的技術(shù)路線，該體系已經(jīng)廣泛應用到全球的電子商務平臺中，本產(chǎn)品已經(jīng)與超過1

10、00家獨立軟件廠商建立了合作伙伴關系，其中包括Microsoft，Netscape，Lotus，Oracle，Cisco等。密碼模塊的兼容性：密碼模塊的兼容性主要指用戶密鑰生成模塊的兼容性，天威誠信PKI/CA系統(tǒng)具有良好的兼容性。RA中心提供了預留接口，支持提供PKCS#11以及CSP證書接口的所有設備，可根據(jù)用戶的需要，使用自己的算法，來生成用戶證書的密鑰對，提高保密性能。密碼算法的兼容性：天威誠信PKI/CA系統(tǒng)支持與國內(nèi)外多種算法相兼容：公開密鑰密碼算法：RSA、DSA等；對稱密鑰密碼算法：DES、Tri-DES、RC4、AES等；散列算法：MD5、SHA1等。協(xié)議的兼容：證書申請、下

11、載、存儲支持PKCS#9/10/11/12系列以及微軟開發(fā)的CSP系列；目錄服務、黑名單CRL發(fā)布都支持LDAP協(xié)議，以及通用的目錄服務器，如：OPEN LDAP軟件、SUN的iPlanet Directory Server；證書在線查詢支持OCSP協(xié)議；時間戳服務完全符合最新發(fā)布的RFC3161標準；用戶端安全應用支持S/MIME安全電子郵件協(xié)議，SSL安全傳輸加密協(xié)議；證書格式的兼容：能夠兼容各種符合 V3標準的多種證書格式。安全可靠性對于一個提供信任和安全保障服務的PKI/CA系統(tǒng)來說，其自身對安全性的要求是不言而喻的，根據(jù)上述描述，天威誠信PKI/CA系統(tǒng)具有很好的安全性。易操作性天威

12、誠信PKI/CA系統(tǒng)為用戶提供的證書服務都使用瀏覽器（如IE和Netscape）進行操作，完全基于B/S模式的操作方法，一方面無須專門的客戶端，使用快捷簡單；另一方面用戶上手快，大大節(jié)省了培訓成本。同時具有交互界面，具有詳細的、中文的用戶使用幫助和專門的幫助庫。可擴展性天威誠信PKI/CA系統(tǒng)具有良好的可擴展性，包含多個方面的可擴展性：證書的可擴展性、認證體系信任域的可擴展性、加密算法的可擴展性、及對應用支持的可擴展性等：證書的可擴展性：天威誠信PKI/CA系統(tǒng)簽發(fā)的證書本身帶有很多可擴展的字段，可以根據(jù)用戶的應用需求來利用這些擴展字段，還可以根據(jù)用戶的需求對證書上顯示的字段進行定制；認證體系

13、的可擴展性：對外信任域來說，可以通過交叉認證的方式實現(xiàn)與國內(nèi)外其他的CA信任域互聯(lián)互通。另外，系統(tǒng)為用戶應用設計的三層認證體系結(jié)構(gòu)可以擴展成四層、五層，乃至無限，子CA可以簽發(fā)下級子CA，由下級子CA來簽發(fā)用戶證書；密碼算法的可擴展性：支持多種對稱算法、非對稱算法以及數(shù)字摘要算法，如：RSA、ECC、QC-1、QC-4、DES、RC4、RC2、IDEA、MD5、SHA1等。對應用支持的可擴展性：天威誠信提供完整的證書應用API，包括C、JAVA和COM接口，提供用戶使用手冊和用戶使用技術(shù)支持，可以充分的保證用戶應用系統(tǒng)的需求，以及將來其它應用的擴展。系統(tǒng)穩(wěn)定性天威誠信CA中心系統(tǒng)對CA系統(tǒng)安全

14、、信息系統(tǒng)安全進行嚴格設計，以實現(xiàn)其所提供證書服務的穩(wěn)定性。天威誠信在系統(tǒng)安全技術(shù)、穩(wěn)定技術(shù)上進行不斷改進，以確保為用戶提供優(yōu)質(zhì)的服務。CA系統(tǒng)安全CA系統(tǒng)總體安全構(gòu)架CA中心系統(tǒng)通過多層防火墻將系統(tǒng)劃分為多個區(qū)域，對不同的區(qū)域應用不同的安全策略。CA系統(tǒng)安全根據(jù)邏輯進行分類，包括密碼安全、密鑰安全、操作系統(tǒng)安全、通信安全和信息系統(tǒng)安全等。圖1 總體系統(tǒng)拓撲圖操作系統(tǒng)與數(shù)據(jù)庫安全CA中心系統(tǒng)采用UNIX操作系統(tǒng)，并且對于操作系統(tǒng)進行優(yōu)化加固，包括：系統(tǒng)安全補丁。專人負責定期檢查安全補丁信息，并及時為系統(tǒng)打補丁。優(yōu)化系統(tǒng)參數(shù)配置。優(yōu)化操作系統(tǒng)對于進程管理、網(wǎng)絡通信和文件系統(tǒng)相關參數(shù)，防止基于棧溢

15、出、網(wǎng)絡、文件權(quán)限等攻擊。用戶管理。禁止系統(tǒng)不需要的用戶，控制用戶的登錄終端，強制用戶定期修改密碼，并通過UMASK確保用戶創(chuàng)建文件的權(quán)限正確。服務。禁用系統(tǒng)不需要的服務。網(wǎng)絡接口調(diào)整和安全優(yōu)化。關閉不需要的網(wǎng)絡服務，并禁止路由功能。審計。增強操作系統(tǒng)系統(tǒng)的審計功能，同時，將審計記錄發(fā)送到系統(tǒng)的審計中心，進行保存和分析。修改banner。去掉操作系統(tǒng)及其版本信息，使系統(tǒng)信息不暴露于外界。對于數(shù)據(jù)庫采用下述加固措施：用戶組的安全性。數(shù)據(jù)庫軟件安裝在專有的用戶和用戶組，應用程序的用戶只能有限地訪問數(shù)據(jù)庫資源。服務器實用例程的安全性加固。數(shù)據(jù)庫歸專有用戶所有，DBA相關程序只能被DBA用戶訪問。增強

16、數(shù)據(jù)庫文件的安全性。數(shù)據(jù)庫文件及其目錄只能被安裝數(shù)據(jù)庫的用戶訪問。系統(tǒng)安全性策略。數(shù)據(jù)庫安全性管理者只擁有create，alter，或drop數(shù)據(jù)庫用戶的權(quán)限；數(shù)據(jù)庫用戶通過主機操作系統(tǒng)進行身份確認；數(shù)據(jù)庫管理員擁有create和delete文件的操作系統(tǒng)權(quán)限，一般數(shù)據(jù)庫用戶沒有create或delete與數(shù)據(jù)庫相關文件的操作系統(tǒng)權(quán)限。數(shù)據(jù)庫管理者安全性。更改有管理權(quán)限的系統(tǒng)用戶的默認密碼，防止非法用戶訪問數(shù)據(jù)庫；只有數(shù)據(jù)庫管理者能用管理權(quán)限連入數(shù)據(jù)庫；使用角色對管理者權(quán)限進行管理密碼安全CA中心系統(tǒng)所采用的密碼算法為通用算法，算法強度為目前商業(yè)應用普遍采用的強度。CA中心所采用算法及其強度如

17、下表所示：算法強度(位)用途備注RSA1024CA證書密鑰對，用戶證書密鑰對3DES112通信數(shù)據(jù)加密RC4128通信數(shù)據(jù)加密MD5128完整性保護，數(shù)字簽名SHA1160完整性保護，數(shù)字簽名為了保證CA系統(tǒng)中密鑰的安全性，尤其是如CA證書密鑰的安全性，本系統(tǒng)采用了安全可靠的硬件加密設備，密鑰不能以明文形式出現(xiàn)在硬件加密設備之外。CA系統(tǒng)采用的硬件加密設備北京天融信公司生產(chǎn)的SJY17-B PCI加密卡，其內(nèi)部采用SSP04-A密碼算法芯片、經(jīng)過國家密碼管理員委員會批準的WNG4隨機數(shù)發(fā)生器，內(nèi)部實現(xiàn)SSF33分組密碼算法和RSA算法。安全審計天威誠信CA系統(tǒng)在運行過程中，對在線系統(tǒng)和離線操作

18、事件進行審計，在線系統(tǒng)審計信息存儲于日志文件和數(shù)據(jù)庫中，離線審計則以紙質(zhì)介質(zhì)進行記載。系統(tǒng)審計內(nèi)容如下： 類別事 件安 全 審 計任何對審計參數(shù)的改動，如：審計頻率、審計事件類型等。任何刪除審計日志的企圖。 標 識 和 鑒 別各級管理員（CA管理員、RA管理員）操作時鑒別結(jié)果是成功還是失敗，終端用戶與CA系統(tǒng)的連接的結(jié)果 鑒別嘗試不成功的次數(shù)超過設定的限值導致的會話連接終止。用戶注冊時的鑒別失敗次數(shù)達到限定值；管理員將一個因鑒別失敗次數(shù)達到限定值而被鎖住的用戶解鎖；管理員修改鑒別器類型，如：將口令鑒別機制更改為IC卡鑒別。本地/遠程數(shù)據(jù)登錄進入系統(tǒng)的所有安全相關的數(shù)據(jù)。數(shù)據(jù)導出與輸出所有成功或

19、失敗的確認請求和安全相關信息。密鑰生成CA系統(tǒng)每次生成密鑰時的相關信息私鑰加載與存儲私鑰組件的加載；所有訪問證書主體私鑰駐留在系統(tǒng)中，用于密鑰恢復。信任公鑰登錄、刪除和存儲信任公鑰或與之相關的所有信息的更改和刪除。安全密鑰存儲用于鑒別的安全密鑰的手工登記。安全私鑰導出安全私鑰的導出（用于單個會話或消息的密鑰除外）證書登錄所有的證書申請證書撤消所有證書撤消請求證書狀態(tài)更改批準批準或拒絕證書狀態(tài)更改請求證書管理配置角色/用戶的增加/刪除用戶帳號/角色的訪問控制特權(quán)的更改證書輪廓管理證書內(nèi)容和形式的所有更改或升級信息系統(tǒng)安全網(wǎng)絡系統(tǒng)安全網(wǎng)絡基礎設施涉及到通信線路、網(wǎng)卡及調(diào)制解調(diào)器、網(wǎng)絡協(xié)議、服務器和

20、諸如路由器、防火墻、集線器和交換機等網(wǎng)絡設備。系統(tǒng)在該部分的安全實現(xiàn)包括設備自身安全和設備的正確使用和配置。天威誠信網(wǎng)絡系統(tǒng)的安全包括網(wǎng)絡鏈路的冗余設計、虛擬子網(wǎng)的劃分、防火墻系統(tǒng)、防病毒系統(tǒng)和IDS系統(tǒng)部署。防火墻系統(tǒng)系統(tǒng)通過防火墻將系統(tǒng)劃分為DMZ區(qū)、前端、后端和業(yè)務操作區(qū)。DMZ區(qū)存放供公共服務的DNS和MAIL；前端存放共系統(tǒng)用戶使用的WEB、LDAP等服務，共互聯(lián)網(wǎng)用戶訪問；后端存放系統(tǒng)核心業(yè)務處理邏輯、數(shù)據(jù)庫和相關加密服務，只能被前端、和業(yè)務操作區(qū)訪問；業(yè)務操作區(qū)供CA中心系統(tǒng)業(yè)務管理員對系統(tǒng)進行業(yè)務處理，位于業(yè)務操作去的主機只能訪問后端的特定服務。安全掃描系統(tǒng)系統(tǒng)采用ISS的基于

21、網(wǎng)絡的漏洞掃描工具Internet Scanner和對網(wǎng)絡中的設備及主機進行漏洞掃描。掃描對象主要是重要服務器以及網(wǎng)絡中的重要網(wǎng)絡設備。對于網(wǎng)絡中的網(wǎng)絡設備來說，例如交換機，路由器和防火墻等等，本系統(tǒng)利用Internet Scanner對其進行定期的掃描，以確定了解網(wǎng)絡中存在那些漏洞，從而針對存在的漏洞進行修補處理。系統(tǒng)對網(wǎng)絡中的所有網(wǎng)絡設備和主機都使用Internet Scanner定期進行掃描，對于重要服務器，我們使用System Scanner 進行掃描。實時入侵監(jiān)測系統(tǒng)一方面通過對整個網(wǎng)絡定期進行漏洞評估，另一方面采用IDS來對網(wǎng)絡中的突發(fā)事件進行實時的監(jiān)控并做出實時的響應，在系統(tǒng)內(nèi)部

22、，配置ISS公司的RealSecure系列產(chǎn)品。病毒防護系統(tǒng)系統(tǒng)采用Trend Micro的TVCS，MIS人員通過單一客戶端Web 監(jiān)控程式，集中管理所有安裝于不同地點、不同平臺上的各個服務器防毒軟件，并自動安裝、設定、配置及更新。對于系統(tǒng)使用的郵件系統(tǒng)，亦安裝和郵件系統(tǒng)集成的防病毒軟件，對進出郵件系統(tǒng)的電子郵件進行實時的病毒查殺。主機系統(tǒng)安全用戶帳戶的安全用戶帳戶是在用戶使用網(wǎng)絡、主機或數(shù)據(jù)庫之前提供給系統(tǒng)的用來標識使用者身份的信息。在本系統(tǒng)中對用戶帳戶的安全要求如下：用戶進入系統(tǒng)時，需顯示登錄信息，鑒別用戶身份。如果嘗試登錄次數(shù)超過了限定次數(shù)，則終止登錄會話。如果用戶帳戶閑置時間已超過合

23、理范圍，則禁止該用戶訪問該主機。管理員有權(quán)暫時停止用戶使用權(quán)。如果用戶一定要閑置某個會話，他應該使用鎖定功能，或終止該會話進程?？诹畹陌踩鶕?jù)用戶帳戶和口令就可以登錄到系統(tǒng)中進行相應的操作，而口令通常都是很敏感的，因此對CA系統(tǒng)中口令的安全實現(xiàn)如下： 在安裝網(wǎng)絡設備、主機和應用程序時設置了帶有缺省口令的缺省用戶名，找出并禁止這些用戶名和口令。用戶必須使用健壯的口令口令不易被直接攻擊攻破，不易被猜測(如生日、綽號等)。不與別人共用口令或?qū)⒖诹顚懺谝子诳吹?、找到的地方。通過網(wǎng)絡傳輸?shù)目诹顣r，必須進行加密保護傳輸。訪問權(quán)限的安全下面是有關訪問權(quán)的安全規(guī)則：將公共訪問對象設置在具有恰當訪問權(quán)的主機的公

24、共區(qū)域中；對于一般用戶只賦于讀的權(quán)限。除非特權(quán)用戶禁止改動或刪除數(shù)據(jù)。對象所有者權(quán)限優(yōu)先于組權(quán)限，而管理者對被訪對象享有最終控制權(quán)；因此，訪問權(quán)的優(yōu)先順序是：管理者，所有者，組成員，其他用戶。為每一位用戶設置明確或隱含的訪問權(quán)。比如，組成員或其他用戶不能修改對象的默認訪問權(quán)。修改日期和訪問對象服從于管理權(quán)。當某對象的訪問權(quán)發(fā)生變化時，管理者必須審核注意這些變化，既而考慮是否重新設置默認值。全網(wǎng)用戶認證系統(tǒng)為了保證全網(wǎng)管理中用戶身份驗證的可靠性，本系統(tǒng)在網(wǎng)管中心部署一套RSA ACE系統(tǒng)，全網(wǎng)關鍵網(wǎng)絡設備和主要業(yè)務系統(tǒng)的用戶驗證都集中在該服務器商，便于對于這些設備的集中管理。數(shù)據(jù)備份與恢復天威誠

25、信CA系統(tǒng)配置單獨的備份服務器，并且的個業(yè)務主機上安裝客戶端軟件，進行集中備份。備份系統(tǒng)具有下述特點：無人值守管理員可以對網(wǎng)絡上的客戶機設定定時備份。備份可以是完全、增量備份。另外，管理員還可以使用自動備份設定的規(guī)則進行手工備份。當備份服務器和預定程序設置完成后，客戶機可以選擇以下三種方式中的任何一種進行備份：在預定的時間啟動預定備份；在任何時間，通過GUI管理程序或行命令人工進行立即備份；客戶機上的用戶通過代理程序啟動面向用戶的備份。災難恢復對于災難恢復的解決方案，備份系統(tǒng)是通過冗余備份和產(chǎn)生“GNU TAR兼容”格式磁帶來實現(xiàn)。備份時，系統(tǒng)管理員可以設定進行冗余備份，完成后可以將冗余備份存

26、放到安全地方。另外，所產(chǎn)生的TAR格式兼容磁帶可以在備份服務器不可用時使用標準的UNIX工具進行恢復。系統(tǒng)冗余天威誠信的冗余方案包括數(shù)據(jù)鏈路冗余、主機系統(tǒng)冗余、數(shù)據(jù)庫冗余、電源冗余、密鑰冗余和人員冗余。數(shù)據(jù)鏈路冗余天威誠信網(wǎng)絡對外接口由兩條物理上獨立的兩條鏈路組成，一條10M光纖鏈路，另一條是2M衛(wèi)星鏈路，鏈路備份結(jié)構(gòu)如下圖所示：天威誠信CA系統(tǒng)的出口鏈路配置了兩臺Cisco 2610路由器，下接一臺3300交換機，兩臺防火墻上聯(lián)交換機，防火墻以Failover方式工作，此結(jié)構(gòu)可以避免出口鏈路的單點故障。各個設備的設置如下：兩臺防火墻以Failover方式工作，配置完全一致，當一臺防火墻出現(xiàn)故

27、障時，另一臺防火墻自動接管該防火墻的功能；交換機收集兩臺防火墻的MAC地址，以用于防火墻Failover方式下的動態(tài)切換；關閉了交換機的管理端口，同時交換機工作在二層，受到黑客入侵以及流量攻擊的可能性很小，同時該設備在使用中故障率很低，所以只配置一臺交換機；同時配置一臺同型號的交換機作冷備份。兩臺Cisco 2610路由器配置靜態(tài)路由，如果某條鏈路或路由器出現(xiàn)故障，則通過手工切換網(wǎng)絡衛(wèi)士4000的路由設置來實現(xiàn)鏈路的備份。主機系統(tǒng)冗余天威誠信CA系統(tǒng)對于關鍵業(yè)務相關的主機均采用了雙機熱備措施。這些雙機熱備的服務器中，兩臺服務器的配置完全一樣，由負載均衡器localdirect負責將負載平均分派

28、給各服務器。在沒有故障發(fā)生的時候，這兩臺服務器同時工作，提高了整個系統(tǒng)的性能。在其中某一臺服務器發(fā)生故障的時候，由硬件負責使剩余的正常的一臺服務器將整個服務接管。通過雙機熱備，可以保障系統(tǒng)核心業(yè)務不間斷營業(yè)。數(shù)據(jù)庫冗余為確保數(shù)據(jù)安全，天威誠信CA的數(shù)據(jù)庫采用了磁盤陣列。在磁盤陣列中采用了RAID 1技術(shù)，把一個硬盤的內(nèi)容同步備份復制到另一個硬盤里，具備了備份和容錯能力。在其中主硬盤出錯時，可以及時從從硬盤中接管數(shù)據(jù)。電源冗余天威誠信CA中心采用了UPS為系統(tǒng)提供不間斷電源。電源為兩組EDP70 UPS。我們采用的保障措施是雙機熱備。 UPS內(nèi)部連接圖如下圖：圖4 UPS內(nèi)部連接圖CA中心采用兩

29、路UPS串聯(lián)的方法進行主從雙機熱備。在主路UPS故障時，由于從路UPS的輸出作為主路UPS的旁路電源，可以直接輸出給負載，從而保證了系統(tǒng)的電源不會中斷。密鑰冗余天威誠信CA系統(tǒng)對于密鑰冗余設計包括密鑰備份、在線雙機熱備和密鑰恢復。所有CA證書的密鑰對都通過離線的加密卡進行備份，離線加密卡保存在嚴格保護的保險柜內(nèi)部，對于離線加密卡的存取需要多人共同完成。對于在線運行的CA證書密鑰，CA系統(tǒng)通過雙機熱備方式進行冗余。兩塊包含相同密鑰對的加密卡一起運行，當其中一個加密卡出現(xiàn)異常不能對外提供服務時，系統(tǒng)自動將以來該加密卡的請求分發(fā)至另外一個加密卡，并立即向系統(tǒng)管理員發(fā)送警報信息，以便得到盡快處理。系統(tǒng)

30、在正常運行期間準備閑置的空白加密卡，當系統(tǒng)在線加密卡出現(xiàn)故障時，立即使用備份加密卡進行克隆，并使用克隆產(chǎn)生的加密卡替換故障加密卡。密鑰冗余天威誠信CA系統(tǒng)對于系統(tǒng)的操作、維護和密鑰管理人員進行冗余設置。任何人員都進行雙人備份，確保系統(tǒng)的正常運行，當相關人員因工作變動等原因不能繼續(xù)擔任其職務時，及時進行人員補充和培訓。為何選擇天威誠信北京天威誠信電子商務服務有限公司(iTruschina)成立于2000年9月，是經(jīng)信息產(chǎn)業(yè)部批準的第一家開展商業(yè)PKI/CA試點工作的企業(yè)，公司首期注冊資金5000萬元。天威誠信公司致力于在中國成為向企業(yè)、政府和大眾客戶提供全球化數(shù)字信任服務的領先者，引進國外先進技

31、術(shù)及管理方法，依照我國國情和密碼管理政策，進行本地化改造，建立中國自有產(chǎn)品與服務品牌，為中國的信息安全服務。公司在開展自身業(yè)務的同時，也積極向有關部門提出了有關商業(yè)PKI/CA建設方面的意見和建議，為國家有關行業(yè)標準和規(guī)范的建立提供可靠的依據(jù)。天威誠信在北京建有1000平米的國際一流水準的數(shù)據(jù)中心。作為一個權(quán)威的、可信賴的、公正的第三方信任服務的機構(gòu)，通過CA托管服務、簽發(fā)數(shù)字證書、為各種應用系統(tǒng)提供基于證書的網(wǎng)絡安全解決方案等形式，為網(wǎng)上交易系統(tǒng)的安全以及網(wǎng)上交易參與各方的相互信任提供安全機制。通過天威誠信的PKI/CA服務，可實現(xiàn)電子業(yè)務過程中的信息保密性、信息完整性、身份驗證和交易的抗抵賴。天威誠信以可信第三方的身份提供認證服務，與證書使用雙方無任何利益關聯(lián)關系，真正地實現(xiàn)了公正性與可信賴性。相對于國內(nèi)已經(jīng)建立的一些認證服務機構(gòu)，天威誠信采用了國際上先進的、商業(yè)化的運作模式，從而使用戶可以順利地與國際接軌。并且，將服務收費與客戶賠付機制結(jié)合起來，以商業(yè)利益關系為基礎建立高公信度，將用戶承擔的風險降到最低，其可信性、公正性更容易得到大家的認可。同時，公司作為國際著名公司VeriSign在中國大陸地區(qū)的首要戰(zhàn)