信息安全技術公共基礎設施PKI系統(tǒng)安全等級保護技術要求

1、信息安全技術 公共基礎設施 PKI系統(tǒng)安全等級保護技術要求引 言公開密鑰基礎設設施（PKII）是集機構構、系統(tǒng)（硬硬件和軟件）、人人員、程序、策策略和協(xié)議為為一體，利用用公鑰概念和和技術來實施施和提供安全全服務的、具具有普適性的的安全基礎設設施。PKII系統(tǒng)是通過過頒發(fā)與管理理公鑰證書的方式為終終端用戶提供供服務的系統(tǒng)統(tǒng)，包括CAA、RA、資資料庫等基本本邏輯部件和和OCSP等等可選服務部部件以及所依依賴的運行環(huán)環(huán)境。PPKI系統(tǒng)安安全等級保護護技術要求按按五級劃分的的原則，制定定PKI系統(tǒng)統(tǒng)安全等級保保護技術要求求，詳細說明明了為實現GGB/T AAAA2000所提出出的PKI系系統(tǒng)五個安全

2、全保護等級應應采取的安全全技術要求、為為確保這些安安全技術所實實現的安全功功能能夠達到到其應具有的的安全性而采采取的保證措措施，以及各各安全技術要要求在不同安安全級中具體體實現上的差差異。第一級級為最低級別別，第五級為為最高級別，隨隨著等級的提提高，PKII系統(tǒng)安全等等級保護的要要求也隨之遞遞增。正文中中字體為黑體體加粗的內容容為本級新增增部分的要求求。信息安全技術 公鑰基礎設設施PKII系統(tǒng)安全等等級保護技術術要求1 范圍本標準依據GBB/T AAAA2000的五個安安全保護等級級的劃分，規(guī)規(guī)定了不同等等級PKI系系統(tǒng)所需要的的安全技術要要求。本標標準適用于PPKI系統(tǒng)的的設計和實現現，對于

3、PKKI系統(tǒng)安全全功能的研制制、開發(fā)、測測試和產品采采購亦可參照照使用。2 規(guī)范性引用用文件下列文件中的條條款通過本標標準的引用而而成為本標準準的條款。凡凡是注日期的的引用文件，其其隨后所有的的修改單（不不包括勘誤的的內容）或修修訂版均不適適用于本標準準，然而，提提倡使用本標標準的各方探探討使用其最最新版本的可能性。凡凡是不注日期期的引用文件件，其最新版版本適用于本本標準。GGB/T 119713-2005 信息安全技技術 公鑰基基礎設施 在在線證書狀態(tài)態(tài)協(xié)議GBB/T 200271-22006 信信息安全技術術 信息系統(tǒng)統(tǒng)通用安全技技術要求GGB/T 220518-2006 信息安全技技術

4、公鑰基基礎設施 數數字證書格式式GB/TT 210554-20007 信息安安全技術 公公鑰基礎設施施 PKI系系統(tǒng)安全等級級保護評估準準則GB/T 210052-20007 信息息安全技術 信息系統(tǒng)物物理安全技術術要求GBB/T209984-20007 信息息安全技術 信息安全風風險評估指南南3 術語和定義義下列術語和定義義適用于本標標準。3.1公開密鑰基礎礎設施（PKKI） puublic key iinfrasstructture (PKI)公開密鑰基礎設設施是支持公公鑰管理體制制的基礎設施施，提供鑒別別、加密、完完整性和不可可否認性服務務。3.2PKI系統(tǒng) PPKI syystemPK

5、I系統(tǒng)統(tǒng)是通過頒發(fā)發(fā)與管理公鑰鑰證書的方式式為終端用戶戶提供服務的的系統(tǒng)，包括括CA、RAA、資料庫等等基本邏輯部部件和OCSSP等可選服服務部件以及及所依賴的運運行環(huán)境。3.3安全策略 ssecuriity poolicy一系列安全規(guī)則則的準確規(guī)定定，包括從本本標準中派生生出的規(guī)則和和供應商添加加的規(guī)則。3.4分割知識 ssplit knowlledge兩個或兩個以上上實體分別保保存密鑰的一一部分，密鑰鑰的每個部分分都不應泄露露密鑰的明文文有效信息，而而當這些部分分在加密模塊塊中合在一起起時可以得到到密鑰的全部部信息，這種種方法就叫分分割知識。3.5分割知識程序序 spliit knoowl

6、edgge proocedurre用來實現分割知知識的程序。3.6保護輪廓 pprotecction profiile一系列滿足特定定用戶需求的的、為一類評評估對象獨立立實現的安全全要求。3.7關鍵性擴展 critiical eextenssion證書或CRL中中一定能夠被被識別的擴展展項，若不能能識別，該證證書或CRLL就無法被使使用。3.8審計蹤跡 aaudit traill記錄一系列審計計信息和事件件的日志。3.9系統(tǒng)用戶 ssystemm userr對PKI系統(tǒng)進進行管理、操操作、審計、備備份、恢復的的工作人員，系系統(tǒng)用戶一般般在PKI系系統(tǒng)中被賦予予了指定的角角色。3.10終端用戶

7、tterminnate uuser使用PKI系統(tǒng)統(tǒng)所提供服務務的遠程普通通用戶。4 縮略語以下縮略語適用用于本標準：CA 認認證機構 CCertifficatiion AuuthoriityCPPS 認證慣慣例陳述Ceertifiicatioon Praacticee StattementtCRL 證書撤銷列列表Certtificaate Reevocattion LListOOCSP 在在線證書狀態(tài)態(tài)協(xié)議Onlline CCertifficatee Stattus PrrotocoolPP 保護輪廓PProtecction ProfiileRAA 注冊機構構Regisstratiion Au

8、uthoriityTOOE 評估對對象Targget Off EvalluatioonTSFF TOE安安全功能TOOE Seccurityy Funcction5 安全等級保保護技術要求求5.1 第一級級5.1.1 概概述第一級的PKII系統(tǒng)，由用用戶自主保護護，所保護的的資產價值很很低，面臨的的安全威脅很很小，適用于于安全要求非非常低的企業(yè)業(yè)級PKI系系統(tǒng)。PKII系統(tǒng)面臨的的風險，應按按照GB/TT 20988420007進行評估估。結構設計計上，PKII系統(tǒng)的CAA、RA、證證書資料庫可可不進行明確確的分化，所所有功能軟件件模塊可全部部安裝在同一一臺計算機系系統(tǒng)上。第一一級PKI系系統(tǒng)

9、的安全要要素要求列表表見附錄A。5.1.2 物物理安全進行PKI系統(tǒng)統(tǒng)硬件設備、相相關環(huán)境和系系統(tǒng)安全的設設計時，應按按照GB/TT 21055220007第4章所所描述的要求求。5.1.3 角角色與責任開發(fā)者應提供PPKI系統(tǒng)管管理員和操作作員的角色定定義。管理理員角色負責責：安裝、配配置、維護系系統(tǒng)；建立和和管理用戶賬賬戶；配置輪輪廓；生成部部件密鑰。操作員角色色負責：簽發(fā)發(fā)和撤銷證書書。角色的的安全功能管管理應按表11中的配置對對授權的角色色修改安全功功能的能力進進行限制。5.1.4 訪訪問控制5.1.4.11 系統(tǒng)用戶戶訪問控制PKI系統(tǒng)文檔檔中，應有訪訪問控制的相相關文檔，訪訪問控制

10、文檔檔中的訪問控控制策略應包包含如下幾個個方面：a) 角色及其其相應的訪問問權限角色色及其相應的的訪問權限的的分配見表22。b) 標識與鑒鑒別系統(tǒng)用戶戶的過程應符合5.1.5的要求。c) 角色的職職能分割應符合5.1.3的要求。5.1.4.22 網絡訪問問控制進行遠程訪問時時，PKI系系統(tǒng)應提供訪訪問控制。遠遠程用戶只有有被認證通過過后，PKII系統(tǒng)才允許許訪問，并只只對授權用戶戶提供被授權權使用的服務務。遠程計算算機系統(tǒng)與PPKI系統(tǒng)的的連接應被認認證，認證方方法包括計算算機地址、訪問時間間、擁有的密密鑰等。PKKI系統(tǒng)應定定義網絡訪問問控制策略。5.1.5 標標識與鑒別標識與鑒別包括括建立

11、每一個個用戶所聲稱稱的身份，和和驗證每一個個用戶確實是是他所聲稱的的用戶。確保保用戶與正確確的安全屬性性相關聯(lián)。5.1.5.11 用戶屬性性定義PKI系統(tǒng)應維維護每個用戶戶的安全屬性性。安全屬屬性包括但不不限于身份、組組、角色、許許可、安全和和完整性等級級。5.1.5.22 用戶鑒別別PKI系統(tǒng)的安安全功能應預預先設定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無關的動動作，在用戶戶身份被鑒別別之前，允許許PKI系統(tǒng)統(tǒng)執(zhí)行這些預預設動作，包包括：a) 響應查詢詢公開信息（如如：在線證書書狀態(tài)查詢等等）;b) 接收用戶戶發(fā)來的數據據，但直到系系統(tǒng)用戶批準準之后才處理理。管理員應對鑒別別數據進行管

12、管理。PKKI系統(tǒng)應定定義所支持的的用戶鑒別機機制的類型。5.1.5.33 用戶標識識PKI系統(tǒng)的安安全功能應預預先設定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無關的動動作，在標識識用戶身份之之前，允許PPKI系統(tǒng)執(zhí)執(zhí)行這些預設設動作，包括括：a) 響應查詢詢公開信息（如如：在線證書書狀態(tài)查詢等等）;b) 接收用戶戶發(fā)來的數據據，但直到系系統(tǒng)用戶批準準之后才處理理。5.1.5.44 用戶主體體綁定在PKI系統(tǒng)安安全功能控制制范圍之內，對對一個已標識識與鑒別的用用戶，為了完完成某個任務務，需要激活活另一個主體體，這時，應應通過用戶主主體綁定將該該用戶與該主主體相關聯(lián)，從從而將用戶的的身份與該

13、用用戶的所有可可審計行為相關聯(lián)，使使用戶對自己己的行為負責責。5.1.6 數數據輸入輸出出5.1.6.11 TSF間間用戶數據傳傳送的保密性性當用戶數據通過過外部信道在在PKI系統(tǒng)統(tǒng)之間或PKKI系統(tǒng)用戶戶之間傳遞時時，PKI系系統(tǒng)應執(zhí)行訪訪問控制策略略，使得能以以某種防止未未授權泄露的的方式傳送用用戶數據。5.1.6.22 輸出TSSF數據的保保密性在TSF數據從從TSF到遠遠程可信ITT產品的傳送送過程中，應應保護機密數數據不被未授授權泄露。 這些機密數數據可以是TTSF的關鍵鍵數據，如口口令、密鑰、審審計數據或TTSF的可執(zhí)執(zhí)行代碼。5.1.7 密密鑰管理5.1.7.11 密鑰生成成5.

14、1.7.11.1 PKKI系統(tǒng)密鑰鑰生成系統(tǒng)用戶密鑰生生成應由相應應級別的CAA或RA等機機構進行，可可用軟件方法法產生，生成成算法和密鑰鑰長度等應符符合國家密碼碼行政管理部部門的規(guī)定。在在進行密鑰生生成時，PKKI系統(tǒng)應限限制非授權人人員的參與。 CA簽名公私鑰對應采用用國家密碼行行政管理部門門認可的方法法生成，可用用軟件方法或或硬件密碼設設備產生。在在密鑰生成時時應檢查用戶戶角色，并設設置為只有管管理員才能啟啟動CA密鑰鑰生成過程。5.1.7.11.2 終端端用戶密鑰生生成終端用戶的密鑰鑰可由用戶自自己生成，也也可委托CAA、RA等PPKI系統(tǒng)的的服務機構生生成。終端端用戶密鑰可可用軟件方

15、法法產生，生成成算法和密鑰鑰長度等應符符合國家密碼碼行政管理部部門的規(guī)定。5.1.7.22 密鑰傳送送與分發(fā)5.1.7.22.1 PKKI系統(tǒng)密鑰鑰傳送與分發(fā)發(fā)系統(tǒng)用戶密鑰的的傳送與分發(fā)發(fā)應以加密形形式直接發(fā)送送到系統(tǒng)用戶戶證書載體中中，加密算法法等應符合國國家密碼行政政管理部門的的規(guī)定。CCA公鑰分發(fā)發(fā)方法應適當當、切實可行行，如提供根根證書和CAA證書下載、或或與終端用戶戶證書一起下下載等，應符符合國家密碼碼行政管理部部門對密鑰分分發(fā)的相關規(guī)規(guī)定。5.1.7.22.2 終端端用戶密鑰傳傳送與分發(fā)如果終端用戶自自己生成密鑰鑰對，把公鑰鑰傳送給CAA是證書注冊冊過程的一部部分。終端用用戶應將公

16、鑰鑰安全的提交交給CA，如如使用證書載載體等方法進進行面對面?zhèn)鱾魉?。如果果終端用戶委委托CA生成成密鑰對，則則不需要簽發(fā)發(fā)前的終端用用戶公鑰傳送送。CA向用用戶傳送與分分發(fā)私鑰應以以加密形式進進行，加密算算法等應符合合國家密碼行行政管理部門門的規(guī)定。5.1.7.33 密鑰存儲儲系統(tǒng)用戶密鑰可可用軟件加密密的形式存儲儲，加密算法法應符合國家家密碼行政管管理部門的規(guī)規(guī)定。CAA簽名私鑰應應存儲于國家家密碼行政管管理部門規(guī)定定的密碼模塊塊中或由硬件件密碼設備加加密后存儲。 終端用戶密密鑰由用戶自自行存儲。5.1.8 輪輪廓管理5.1.8.11 證書輪廓廓管理證書輪廓定義證證書中的字段段和擴展可能能的

17、值，這些些字段和擴展展應與GB/T 205518-20006標準相相一致。證書書輪廓包括的的信息有：a) 與密鑰綁綁定的用戶的的標識符；b) 主體體的公私密鑰鑰對可使用的的加密算法；c) 證證書發(fā)布者的的標識符；d) 證書書有效時間的的限定；ee) 證書包包括的附加信信息；f) 證書的主主體是否是CCA；g) 與證書相相對應的私鑰鑰可執(zhí)行的操操作；h) 證書發(fā)布布所使用的策策略。PKI系統(tǒng)應具具備證書輪廓廓，并保證發(fā)發(fā)布的證書與與證書輪廓中中的描述一致致。PKI系系統(tǒng)管理員應應為以下字段段和擴展指定定可能的值：a) 密鑰所有有者的標識符符；b) 公私密鑰對對主體的算法法標識符；c) 證書書發(fā)布

18、者的標標識符；dd) 證書的的有效期；5.1.8.22 證書撤銷銷列表輪廓管管理證書撤消列表輪輪廓用于定義義CRL中字字段和擴展中中可接受的值值，這些字段段和擴展應與與GB/T 205188-20066標準相一致致。CRL輪輪廓可能要定定義的值包括括：a) CRL可可能或者必須須包括的擴展展和每一擴展展的可能的值值；b) CRL的發(fā)發(fā)布者；cc) CRLL的下次更新新日期。若PKI系統(tǒng)發(fā)發(fā)布CRL，則則應具備證書書撤銷列表輪輪廓，并保證證發(fā)布的CRRL與該輪廓廓中的規(guī)定相相一致。PKKI系統(tǒng)管理理員應規(guī)定以以下字段和擴擴展的可能的的取值:a) issuuer；bb) isssuerAlltNa

19、mee。5.1.8.33 在線證書書狀態(tài)協(xié)議輪輪廓管理在線證書狀態(tài)協(xié)協(xié)議輪廓用于于定義一系列列在OCSPP響應中可接接受的值。OOCSP輪廓廓應規(guī)定PKKI系統(tǒng)可能能產生的OCCSP響應的的類型和這些些類型可接受受的值。aa) 若PKKI系統(tǒng)發(fā)布布OCSP響響應，PKII系統(tǒng)應具備備OCSP輪輪廓并保證OOCSP響應應與輪廓一致致；b) 若PKI系系統(tǒng)發(fā)布OCCSP響應，PPKI系統(tǒng)應應要求管理員員為respponseTType字段段指定可接受受的值；cc) 若PKKI系統(tǒng)允許許使用基本響響應類型(bbasic respoonse ttype)的的OCSP響響應，則PKKI系統(tǒng)管理理員應為Re

20、espondderID指指定可接受的的值。5.1.9 證證書管理5.1.9.11 證書注冊冊PKI系統(tǒng)所簽簽發(fā)的公鑰證證書應與GBB/T 200518-22006相一一致。任何證證書所包含的的字段或擴展展應被PKII系統(tǒng)根據GGB/T 220518-2006生生成或經由頒頒發(fā)機構驗證證以保證其與與標準的一致致性。 輸入入證書字段和和擴展中的數據應被批準。證證書字段或擴擴展的值可有有以下4種方方式獲得批準準：a) 數據被操作作員手工批準準；b) 自動過程檢檢查和批準數數據；c) 字段或擴擴展的值由PPKI系統(tǒng)自自動的生成；d) 字字段或擴展的的值從證書輪輪廓中獲得。進行證書生成時時，a) 應僅產

21、生生與GB/TT 205118-20006中規(guī)定的的證書格式相相同的證書；b) 應應僅生成與現現行證書輪廓廓中定義相符符的證書；c) PKKI系統(tǒng)應驗驗證預期的證證書主體擁有有與證書中包包含的公鑰相相對應的私鑰鑰，除非公私私密鑰對是由由PKI系統(tǒng)統(tǒng)所產生的；d) PPKI系統(tǒng)應應保證：11) verrsion字字段應為0，11，2；22) 若包含含issueerUniqqueID或或subjeectUniiqueIDD字段則veersionn字段應為11或2；33) 若證書書包含exttensioons那么vversioon字段應為為2；4) seriialNummber字段段對CA應是是唯一

22、的；5) vaaliditty字段應說說明不早于當當時時間的nnotBeffore值和和不早于nootBefoore時間的的notAffter 值值；6) 若issuuer字段為為空證書應包包括一個isssuerAAltNamme 的關鍵鍵性擴展；7) 若ssubjecct字段為空空，證書應包包括一個suubjecttAltNaame的關鍵鍵性擴展；8) suubjecttPubliicKeyIInfo字段段中的siggnaturre字段和aalgoriithm字段段應包含國家家密碼行政管管理門許可的的或推薦的算算法的OIDD。5.1.9.22 證書撤銷銷5.1.9.22.1 證書書撤銷列表審

23、審核發(fā)布CRL的PPKI系統(tǒng)應應驗證所有強強制性字段的的值符合GBB/T 200518-22006。至至少以下字段段應被審核：a) 若包含vversioon字段，應應為1；bb) 若CRRL包含關鍵鍵性的擴展，vversioon字段應出出現且為1；c) 若若issueer字段為空空，CRL應應包含一個iissuerrAltNaame的關鍵鍵性擴展；d) siignatuure和siignatuureAlggorithhm字段應為為許可的數字字簽名算法的的OID；e) thhisUpddate應包包含本次CRRL的發(fā)布時時間；f) nexttUpdatte 字段的的時間不應早早于thissUpd

24、atte字段的時時間。5.1.9.22.2 OCCSP基本響響應的審核發(fā)布OCSP響響應的PKII系統(tǒng)應驗證證所有強制性性字段的值符符合GB/TT 197113-20005。至少應應審核以下字字段：a) verssion字段段應為0；b) 若iissuerr字段為空，響響應中應包含含一個isssuerAlltNamee的關鍵性擴擴展；c) signnatureeAlgorrithm字字段應為許可可的數字簽名名算法的OIID；d) thissUpdatte字段應指指出證書狀態(tài)態(tài)正確的時間間；e) produucedAtt字段應指出出OCSP響響應者發(fā)出響響應的時間；f) nnextUppdate

25、 字段的時間間不應早于tthisUppdate字字段的時間。5.1.10 配置管理應按GB/T 202711-20066中6.1.5.1的要要求，在配置置管理能力方方面實現對版版本號等方面面的要求。5.1.11 分發(fā)和操作作應按GB/T 202711-20066中6.1.5.2的要要求，從以下下方面實現PPKI系統(tǒng)的的分發(fā)和操作作：a) 以文檔形形式提供對PPKI系統(tǒng)安安全地進行分分發(fā)的過程，并并對安裝、生生成和啟動的的過程進行說說明，最終生生成安全的配配置。文檔中中所描述的內內容應包括：提供供分發(fā)的過程程；安安全啟動和操操作的過程。b) 對系系統(tǒng)的未授權權修改的風險險，應在交付付時控制到最最

26、低限度。在在包裝及安全全分送和安裝裝過程中，這這種控制應采采取軟件控制制系統(tǒng)的方式式，確認安全全性會由最終終用戶考慮，所所有安全機制制都應以功能能狀態(tài)交付；c) 所所有軟件應提提供安全安裝裝默認值，在在客戶不做選選擇時，默認認值應使安全全機制有效地地發(fā)揮作用；d) 隨隨同系統(tǒng)交付付的全部默認認用戶標識碼碼，應在交付付時處于非激激活狀態(tài)，并并在使用前由由管理員激活活；e) 指導性文檔檔應同交付的的系統(tǒng)軟件一一起包裝，并并應有一套規(guī)規(guī)程確保當前前送給用戶的的系統(tǒng)軟件是是嚴格按最新新的系統(tǒng)版本本來制作的。5.1.12 開發(fā)應按GB/T 202711-20066中6.1.5.3的要要求，從以下下方面進

27、行PPKI系統(tǒng)的的開發(fā)：a) 按非形式式化功能說明明、描述性高高層設計、TTSF子集實實現、TSFF內部結構模模塊化、描述述性低層設計計和非形式化化對應性說明明的要求，進進行PKI系系統(tǒng)的開發(fā)；b) 系系統(tǒng)的設計和和開發(fā)應保護護數據的完整整性，例如，檢檢查數據更新新的規(guī)則，返返回狀態(tài)的檢檢查，中間結結果的檢查，合合理值輸入檢檢查等；cc) 在內部部代碼檢查時時，應解決潛潛在的安全缺缺陷，關閉或或取消所有的的后門；dd) 所有交交付的軟件和和文檔，應進進行關于安全全缺陷的定期期的和書面的的檢查，并將將檢查結果告告知客戶；e) 系統(tǒng)統(tǒng)控制數據，如如口令和密鑰鑰，不應在未未受保護的程程序或文檔中中以

28、明文形式式儲存，并以以書面形式向向客戶提供關關于軟件所有有權法律保護護的指南。5.1.13 指導性文檔檔應按GB/T 202711-20066中6.1.5.4的要要求，從以下下方面編制PPKI系統(tǒng)的的指導性文檔檔：a) 終端用戶戶文檔應提供供關于不同用用戶的可見的的安全機制以以及如何利用用它們的信息息，描述沒有有明示用戶的的保護結構，并并解釋它們的的用途和提供供有關它們使使用的指南；b) 系系統(tǒng)用戶文檔檔應提供有關關如何設置、維維護和分析系系統(tǒng)安全的詳詳細指導，包包括當運行一一個安全設備備時，需要控控制的有關功功能和特權的的警告，以及及與安全有關關的管理員功功能的詳細描描述，包括增增加和刪除一

29、一個用戶、改變用戶戶的安全特征征等；c) 文檔中不不應提供任何何一旦泄露將將會危及系統(tǒng)統(tǒng)安全的信息息。有關安全全的指令和文文檔應劃分等等級分別提供供給終端用戶戶和系統(tǒng)用戶戶。這些文檔檔應為獨立的的文檔，或作作為獨立的章章節(jié)插入到終終端用戶指南南和系統(tǒng)用戶指南中。文檔檔也可為硬拷拷貝、電子文文檔或聯(lián)機文文檔。如果是是聯(lián)機文檔應應控制對其的的訪問。5.1.14 生命周期支支持應按GB/T 202711-20066中6.1.5.5的要要求，從以下下方面實現PPKI系統(tǒng)的的生命周期支支持：a) 按開發(fā)者者定義生命周周期模型進行行開發(fā)；bb) 操作文文檔應詳細闡闡述安全啟動動和操作的過過程，詳細說說明安

30、全功能能在啟動、正正常操作維護護時是否能被被撤消或修改改，說明在故故障或系統(tǒng)出出錯時如何恢恢復系統(tǒng)至安安全狀態(tài)。5.1.15 測試應按GB/T 202711-20066中6.1.5.6的要要求，從以下下方面對PKKI系統(tǒng)進行行測試：a) 應通過一一般功能測試試和相符性獨獨立測試，確確認PKI系系統(tǒng)的功能與與所要求的功功能相一致；b) 所所有系統(tǒng)的安安全特性，應應被全面測試試。所有發(fā)現現的漏洞應被被改正、消除除或使其無效效，并在消除除漏洞后重新新測試，以證證實它們已被被消除，且沒沒有引出新的的漏洞；cc) 應提供供測試文檔，詳詳細描述測試試計劃、測試試過程、測試試結果。5.2 第二級級5.2.1

31、 概概述第二級的PKII系統(tǒng)，應提提供審計能力力，所保護的的資產價值低低，面臨的安安全威脅小，適適用于安全要要求較高的企企業(yè)級PKII系統(tǒng)。PKKI系統(tǒng)面臨臨的風險，應應按照GB/T 20998420007進行評評估。結構設設計上，PKKI系統(tǒng)的CA、RA可可不進行明確確的分化，但但證書資料庫庫應獨立設計計。RA可全全部由CA托托管，軟件功功能模塊可安安裝在同一臺臺計算機系統(tǒng)統(tǒng)上，而數據據庫系統(tǒng)應有有獨立的計算算環(huán)境。第二二級PKI系系統(tǒng)的安全要要素要求列表表見附錄A。5.2.2 物物理安全進行PKI系統(tǒng)統(tǒng)硬件設備、相相關環(huán)境和系系統(tǒng)安全的設設計時，應按按照GB/TT 21055220007第

32、5章所所描述的要求求。5.2.3 角角色與責任開發(fā)者應提供PPKI系統(tǒng)管管理員和操作作員的角色定定義。管理理員：安裝、配配置、維護系系統(tǒng)；建立和和管理用戶賬賬戶；配置輪輪廓和審計參參數；生成部部件密鑰；查查看和維護審審計日志；執(zhí)執(zhí)行系統(tǒng)的備備份和恢復。本本級的PKII系統(tǒng)要求提提供審計和系系統(tǒng)備份功能能，管理員的的職責也相應應的多分配審審計和系統(tǒng)備備份權限。操作員：簽簽發(fā)和撤銷證證書。系統(tǒng)統(tǒng)應具備使主主體與角色相相關聯(lián)的能力力，并保證一一個身份不應應同時具備多多個角色的權權限。一個人人不應同時擁擁有多個角色色，開發(fā)者應應在系統(tǒng)設計計時對角色的的管理進行相相關限制。角色的安全全功能管理應應按表3

33、中的的配置對授權權的角色修改改安全功能的的能力進行限限制。5.2.4 訪訪問控制5.2.4.11 系統(tǒng)用戶戶訪問控制注冊和注銷能夠夠訪問PKII系統(tǒng)信息和和服務的用戶戶應按正規(guī)的的程序執(zhí)行。分分配或者使用用系統(tǒng)特權時時，應進行嚴嚴格的限制和和控制。進行行口令分配時時，應通過正正規(guī)的程序控控制。選取和和使用口令時時系統(tǒng)用戶應應按已定義的策略和程程序進行。系系統(tǒng)用戶賬號號和終端用戶戶賬號應嚴格格分類管理。PKI系統(tǒng)統(tǒng)文檔中，應應有訪問控制制的相關文檔檔，訪問控制制文檔中的訪訪問控制策略略應包含如下下幾個方面：a) 角色及其其相應的訪問問權限角色及其相應的的訪問權限的的分配見表44。b) 標志和鑒鑒

34、別系統(tǒng)用戶戶過程應符合5.2.5的要求。c) 角色的職職能分割應符合5.2.3的要求。5.2.4.22 網絡訪問問控制進行遠程訪問時時，PKI系系統(tǒng)應提供訪訪問控制。遠遠程用戶只有有被認證通過過后，PKII系統(tǒng)才允許許訪問，并只只對授權用戶戶提供被授權權使用的服務務。系統(tǒng)開發(fā)發(fā)者應提供對對遠程用戶終終端到PKII系統(tǒng)服務的的路徑進行控控制的方法，并采取取防火墻、入入侵檢測等安安全保護措施施。對遠程計計算機系統(tǒng)與與PKI系統(tǒng)統(tǒng)的連接應被被認證，認證證方法包括計計算機地址、訪訪問時間、擁擁有的密鑰等等。PKI系系統(tǒng)應定義網網絡訪問控制制策略。PKKI系統(tǒng)的診診斷分析端口是重重要的受控訪訪問端口，開

35、開發(fā)者應對其其訪問進行嚴嚴格的安全控控制，能夠檢檢測并記錄對對這些端口的的訪問請求。5.2.4.33 操作系統(tǒng)統(tǒng)訪問控制每個用戶只有唯唯一的ID，以以便在PKII系統(tǒng)的操作作能夠被記錄錄追蹤。當當系統(tǒng)用戶正正在訪問PKKI服務系統(tǒng)統(tǒng)，中途長期期離開用戶終終端時，PKKI系統(tǒng)應能能檢測出這些些終端經過了了指定時間的的不活動狀態(tài)態(tài)，并自動進進入保護狀態(tài)態(tài)，采取鎖屏屏、斷開連接接等措施，防防止未授權用用戶訪問。對對高風險的應用應限限制連接次數數以提供額外外的保護，對對短時間內超超過限制次數數以上的連接接應進行可配配置的操作并并記錄。5.2.5 標標識與鑒別標識與鑒別包括括建立每一個個用戶所聲稱稱的身

36、份，和和驗證每一個個用戶確實是是他所聲稱的的用戶。確保保用戶與正確確的安全屬性性相關聯(lián)。5.2.5.11 用戶屬性性定義PKI系統(tǒng)應維維護每個用戶戶的安全屬性性。安全屬屬性包括但不不限于身份、組組、角色、許許可、安全和和完整性等級級。5.2.5.22 用戶鑒別別PKI系統(tǒng)的安安全功能應預預先設定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無關的動動作，在用戶戶身份被鑒別別之前，允許許PKI系統(tǒng)統(tǒng)執(zhí)行這些預預設動作，包包括：a) 響應查詢詢公開信息（如如：在線證書書狀態(tài)查詢等等）；b) 接收用戶戶發(fā)來的數據據，但直到系系統(tǒng)用戶批準準之后才處理理。管理員應對鑒別別數據進行管管理。PKKI系統(tǒng)應定定

37、義所支持的的用戶鑒別機機制的類型。5.2.5.33 用戶標識識PKI系統(tǒng)的安安全功能應預預先設定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無關的動動作，在用戶戶被標識之前前，允許PKKI系統(tǒng)執(zhí)行行這些預設動動作，包括：a) 響應查詢詢公開信息（如如：在線證書書狀態(tài)查詢等等）；b) 接收用戶戶發(fā)來的數據據，但直到系系統(tǒng)用戶批準準之后才處理理。5.2.5.44 用戶主體體綁定在PKI系統(tǒng)安安全功能控制制范圍之內，對對一個已標識識與鑒別的用用戶，為了完完成某個任務務，需要激活活另一個主體體，這時，應應通過用戶主主體綁定將該該用戶與該主主體相關聯(lián)，從從而將用戶的的身份與該用用戶的所有可可審計行為相關

38、聯(lián)，使使用戶對自己己的行為負責責。5.2.5.55 鑒別失敗敗處理當用戶自從上次次鑒別成功以以來不成功的的鑒別嘗試的的次數達到或或超過了定義義的界限時，PPKI系統(tǒng)的的安全功能應應能檢測到。這這個界限是管管理員可配置置的。管理員員可配置的參參數包括但不不限于，失敗敗的鑒別次數數和時間門限值。鑒別不成功功嘗試的次數數不必連續(xù)，但但應與鑒別事事件相關。5.2.6 審審計5.2.6.11 審計數據據產生審計功能部件應應對下列事件件產生審計記記錄：a) 審計功能能的啟動和結結束；b) 表5中的的事件。對于每一個事件件，其審計記記錄應包括：事件的日期期和時間、用用戶、事件類類型、事件是是否成功，以以及表

39、5中附附加信息欄中中要求的內容容。日志記記錄中不應出出現明文形式式的私鑰、對對稱密鑰和其其它安全相關關的參數。審計功能部部件應能將可可審計事件與與發(fā)起該事件件的用戶身份份相關聯(lián)。5.2.6.22 審計查閱閱審計功能部件應應為管理員提提供查看日志志所有信息的的能力。審審計功能部件件應以適于閱閱讀和解釋的的方式向閱讀讀者提供日志志信息。5.2.6.33 選擇性審審計審計功能部件應應可根據下列列屬性選擇或或排除審計事事件集中的可可審計事件：用戶標識識、事件類型型、主體標識識、客體標識識等。5.2.6.44 審計事件件存儲審計功能部件應應具有以下能能力：a) 受保護的的審計蹤跡存存儲，能防止止對審計記

40、錄錄的非授權修修改，并可檢檢測對審計記記錄的修改；b) 防防止審計數據據丟失，要求求當審計蹤跡跡存儲已滿時時，審計功能能部件應能夠夠阻止除由管管理員發(fā)起的的以外的所有有審計事件的的發(fā)生。5.2.7 數數據輸入輸出出5.2.7.11 TOE內內部用戶數據據傳送在PKI系統(tǒng)的的物理分隔部部件間傳遞用用戶數據時，PPKI系統(tǒng)應應執(zhí)行訪問控控制策略，以以防止對安全全相關的用戶戶數據的篡改改。在PKKI系統(tǒng)的物物理分隔部件件間傳遞用戶戶數據時，PPKI系統(tǒng)應應執(zhí)行訪問控控制策略，以以防止機密性性用戶數據的的泄露。5.2.7.22 TSF間間用戶數據傳傳送的保密性性當用戶數據通過過外部信道在在PKI系統(tǒng)統(tǒng)

41、之間或PKKI系統(tǒng)用戶戶之間傳遞時時，PKI系系統(tǒng)應執(zhí)行訪訪問控制策略略，使得能以以某種防止未未授權泄露的的方式傳送用用戶數據。5.2.7.33 輸出TSSF數據的保保密性在TSF數據從從TSF到遠遠程可信ITT產品的傳送送過程中，應應保護機密數數據不被未授授權泄露。這些機密數數據可以是TTSF的關鍵鍵數據，如口口令、密鑰、審審計數據或TTSF的可執(zhí)執(zhí)行代碼。5.2.7.44 TOE內內TSF數據據的傳送PKI系統(tǒng)應保保護安全相關關的TSF數數據在分離的的PKI部件件間傳送時不不被篡改；PKI系統(tǒng)統(tǒng)應保護機密密性TSF數數據在分離的的PKI部件件間傳送時不不被泄露。5.2.8 備備份與恢復PK

42、I系統(tǒng)應具具有備份和恢恢復功能，并并可在需要時時調用備份功功能，使在系系統(tǒng)失敗或者者其它嚴重錯錯誤的情況下下能夠重建系系統(tǒng)。執(zhí)行備備份的頻率取取決于系統(tǒng)或或者應用的重重要性。在系系統(tǒng)備份數據據中應保存足足夠的信息使系統(tǒng)能夠重重建備份時的的系統(tǒng)狀態(tài)。5.2.9 密密鑰管理5.2.9.11 密鑰生成成5.2.9.11.1 PKKI系統(tǒng)密鑰鑰生成PKI系統(tǒng)部件件密鑰和系統(tǒng)統(tǒng)用戶密鑰生生成應由相應應級別的CAA或RA等機機構進行，可可用軟件方法法產生，生成成算法和密鑰鑰長度等應符符合國家密碼碼行政管理部部門的規(guī)定。在在進行密鑰生生成時，PKKI系統(tǒng)應限限制非授權人人員的參與。CCA簽名公私私鑰對應采用

43、用國家密碼行行政管理部門門認可的方法法生成，可用用軟件方法或或硬件密碼設設備產生。在在密鑰生成時時應檢查用戶戶角色，并設設置為只有管管理員才能啟啟動CA密鑰鑰生成過程。5.2.9.11.2 終端端用戶密鑰生生成終端用戶的密鑰鑰可由用戶自自己生成，也也可委托CAA、RA等PPKI系統(tǒng)的的服務機構生生成。終端端用戶密鑰可可用軟件方法法產生，生成成算法和密鑰鑰長度等應符符合國家密碼碼行政管理部部門的規(guī)定。5.2.9.22 密鑰傳送送與分發(fā)5.2.9.22.1 PKKI系統(tǒng)密鑰鑰傳送與分發(fā)發(fā)PKI系統(tǒng)部件件密鑰的傳送送與分發(fā)應以以加密形式直直接發(fā)送到PPKI系統(tǒng)部部件中，加密密算法等應符符合國家密碼碼

44、行政管理部部門的規(guī)定。系統(tǒng)用戶密密鑰的傳送與與分發(fā)應以加加密形式直接接發(fā)送到系統(tǒng)統(tǒng)用戶證書載載體中，加密密算法等應符符合國家密碼碼行政管理部部門的規(guī)定。CA公鑰分分發(fā)方法應適適當、切實可可行，如提供供根證書和CCA證書下載載、或與終端端用戶證書一一起下載等，應應符合國家密密碼行政管理理部門對密鑰鑰分發(fā)的相關關規(guī)定。CAA公鑰分發(fā)還還應保證CAA公鑰的完整整性，可通過過嵌入應用軟件、SSSL、手工工等方法分發(fā)發(fā)。5.2.9.22.2 終端端用戶密鑰傳傳送與分發(fā)如果終端用戶自自己生成密鑰鑰對，把公鑰鑰傳送給CAA是證書注冊冊過程的一部部分。終端用用戶應將公鑰鑰安全的提交交給CA，如如使用證書載載體

45、等方法進進行面對面?zhèn)鱾魉汀Ｈ绻K端用戶委委托CA生成成密鑰對，則則不需要簽發(fā)發(fā)前的終端用用戶公鑰傳送送。CA向用用戶傳送與分分發(fā)私鑰應以以加密形式進進行，加密算算法等應符合合國家密碼行行政管理部門門的規(guī)定。5.2.9.33 密鑰存儲儲系統(tǒng)部件密鑰和和系統(tǒng)用戶密密鑰可用軟件件加密的形式式存儲，加密密算法應符合合國家密碼行行政管理部門門的規(guī)定。CA簽名私私鑰應存儲于于國家密碼行行政管理部門門規(guī)定的密碼碼模塊中或由由硬件密碼設設備加密后存存儲。終端端用戶密鑰由由用戶自行存存儲。5.2.9.44 密鑰導入入導出密鑰被導出到PPKI系統(tǒng)之之外可能基于于以下的原因因：密鑰備份份、復制，以以及將PKII系

46、統(tǒng)部件產產生的密鑰傳傳送到用戶手手中。密鑰鑰導入或導出出PKI系統(tǒng)統(tǒng)時，應采用用國家密碼行行政管理部門門認可的加密密算法或加密密設備。私私鑰不應以明明文形式導入入導出PKII系統(tǒng)，PKKI系統(tǒng)用戶戶密鑰、系統(tǒng)統(tǒng)部件密鑰、終終端用戶密鑰鑰可使用軟件件加密，CAA簽名私鑰應應使用軟件方方法或硬件密密碼設備進行行加密。PPKI系統(tǒng)應應提供合適的的方法把導入入或導出PKKI系統(tǒng)的對對稱密鑰、私私有密鑰或公公有密鑰與正正確實體相關關聯(lián)，并賦予予相應的權限限，其中實體體可能是一個個人、一個組組或一個過程程。5.2.9.55 密鑰銷毀毀PKI系統(tǒng)應提提供銷毀對稱稱密鑰和私有有密鑰的適當當方法，PKKI系統(tǒng)文

47、檔檔中應規(guī)定這這些密鑰銷毀毀方法，保證證銷毀過程應應是不可逆的的，密鑰銷毀毀方法應符合合國家密碼行行政管理部門門規(guī)定。5.2.10 輪廓管理5.2.10.1 證書輪輪廓管理證書輪廓定義證證書中的字段段和擴展可能能的值，這些些字段和擴展展應與GB/T 205518-20006標準相相一致。證書書輪廓包括的的信息有：a) 與密鑰綁綁定的用戶的的標識符；b) 主體體的公私密鑰鑰對可使用的的加密算法；c) 證證書發(fā)布者的的標識符；d) 證書書有效時間的的限定；ee) 證書包包括的附加信信息；f) 證書的主主體；g) 與證書相相對應的私鑰鑰可執(zhí)行的操操作；h) 證書發(fā)布布所使用的策策略。PKI系統(tǒng)應具具

48、備證書輪廓廓，并保證發(fā)發(fā)布的證書與與證書輪廓中中的描述一致致。PKI系系統(tǒng)管理員應應為以下字段段和擴展指定定可能的值：a) 密鑰所有有者的標識符符；b) 公私密鑰對對主體的算法法標識符；c) 證書書發(fā)布者的標標識符；dd) 證書的的有效期。PKI系統(tǒng)管理理員還應為以以下的字段和和擴展指定可可能的取值：a) keyUUsage；b) bbasicCConstrraintss；c) certiificattePoliicies。管理員還應為證證書擴展指定定可能的值。5.2.10.2 證書撤撤銷列表輪廓廓管理證書撤消列表輪輪廓用于定義義CRL中字字段和擴展中中可接受的值值，這些字段段和擴展應與與GB

49、/T 205188-20066標準相一致致。CRL輪輪廓可能要定定義的值包括括：a) CRL可可能或者必須須包括的擴展展和每一擴展展的可能的值值；b) CRL的發(fā)發(fā)布者；cc) CRLL的下次更新新日期。若PKI系統(tǒng)發(fā)發(fā)布CRL，則則應具備證書書撤銷列表輪輪廓，并保證證發(fā)布的CRRL與該輪廓廓中的規(guī)定相相一致。PKKI系統(tǒng)管理理員應規(guī)定以以下字段和擴擴展的可能的的取值:a) issuuer；bb) isssuerAlltNamee；c) NextUUpdatee。若PKI系統(tǒng)發(fā)發(fā)布CRL，管管理員還應指指定CRL和和CRL擴展展可接受的值值。5.2.10.3 在線證證書狀態(tài)協(xié)議議輪廓管理在線證

50、書狀態(tài)協(xié)協(xié)議輪廓用于于定義一系列列在OCSPP響應中可接接受的值。OOCSP輪廓廓應規(guī)定PKKI系統(tǒng)可能能產生的OCCSP響應的的類型和這些些類型可接受受的值。a) 若PKII系統(tǒng)發(fā)布OOCSP響應應，PKI系系統(tǒng)應具備OOCSP輪廓廓并保證OCCSP響應與與輪廓一致；b) 若若PKI系統(tǒng)統(tǒng)發(fā)布OCSSP響應，PPKI系統(tǒng)應應要求管理員員為respponseTType字段段指定可接受受的值；cc) 若PKKI系統(tǒng)允許許使用基本響響應類型(bbasic respoonse ttype)的的OCSP響響應，則PKKI系統(tǒng)管理理員應為ReespondderID指指定可接受的的值。5.2.11 證書管

51、理5.2.11.1 證書注注冊PKI系統(tǒng)所簽簽發(fā)的公鑰證證書應與GBB/T 200518-22006相一一致。任何證證書所包含的的字段或擴展展應被PKII系統(tǒng)根據GGB/T 220518-2006生生成或經由頒頒發(fā)機構驗證證以保證其與與標準的一致致性。輸入入證書字段和和擴展中的數數據應被批準準。證書字段段或擴展的值值可有以下44種方式獲得得批準：a) 數據被操操作員手工批批準；b) 自動過程程檢查和批準準數據；cc) 字段或或擴展的值由由PKI系統(tǒng)統(tǒng)自動的生成成；d) 字段或擴展展的值從證書書輪廓中獲得得。進行證書生成時時，a) 應僅產生生與GB/TT 205118-20006中規(guī)定的的證書格

52、式相相同的證書；b) 應應僅生成與現現行證書輪廓廓中定義相符符的證書；c) PKKI系統(tǒng)應驗驗證預期的證證書主體擁有有與證書中包包含的公鑰相相對應的私鑰鑰，除非公私私密鑰對是由由PKI系統(tǒng)統(tǒng)所產生的；d) PPKI系統(tǒng)應應保證：11) verrsion字字段應為0，11，2；22) 若包含含issueerUniqqueID或或subjeectUniiqueIDD字段則veersionn字段應為11或2；33) 若證書書包含exttensioons那么vversioon字段應為為2；4) seriialNummber字段段對CA應是是唯一的；5) vaaliditty字段應說說明不早于當當時時間

53、的nnotBeffore值和和不早于nootBefoore時間的的notAffter 值值；6) 若issuuer字段為為空證書應包包括一個isssuerAAltNamme 的關鍵鍵性擴展；7) 若ssubjecct字段為空空，證書應包包括一個suubjecttAltNaame的關鍵鍵性擴展；8) suubjecttPubliicKeyIInfo字段段中的siggnaturre字段和aalgoriithm字段段應包含國家家密碼行政管管理部門許可可的或推薦的的算法的OIID。5.2.11.2 證書撤撤銷5.2.11.2.1 證證書撤銷列表表審核發(fā)布CRL的PPKI系統(tǒng)應應驗證所有強強制性字段的的

54、值符合GBB/T 200518-22006。至至少以下字段段應被審核：a) 若包含vversioon字段，應應為1；bb) 若CRRL包含關鍵鍵性的擴展，vversioon字段應出出現且為1；c) 若若issueer字段為空空，CRL應應包含一個iissuerrAltNaame的關鍵鍵性擴展；d) siignatuure和siignatuureAlggorithhm字段應為為許可的數字字簽名算法的的OID；e) thhisUpddate應包包含本次CRRL的發(fā)布時時間；f) nexttUpdatte 字段的的時間不應早早于thissUpdatte字段的時時間。5.2.11.2.2 OOCSP基

55、本本響應的審核核發(fā)布OCSP響響應的PKII系統(tǒng)應驗證證所有強制性性字段的值符符合GB/TT 197113-20005。至少應應審核以下字字段：a) verssion字段段應為0；b) 若iissuerr字段為空，響響應中應包含含一個isssuerAlltNamee的關鍵性擴擴展；c) signnatureeAlgorrithm字字段應為許可可的數字簽名名算法的OIID；d) thissUpdatte字段應指指出證書狀態(tài)態(tài)正確的時間間；e) produucedAtt字段應指出出OCSP響響應者發(fā)出響響應的時間；f) nnextUppdate 字段的時間間不應早于tthisUppdate字字段的

56、時間。5.2.12 配置管理應按GB/T 202711-20066中6.2.5.1的要要求，從以下下方面實現PPKI系統(tǒng)的的配置管理：a) 在配置管管理能力方面面應實現對版版本號等方面面的要求；b) 在PPKI系統(tǒng)的的配置管理范范圍方面，應應將PKI系系統(tǒng)的實現表表示、設計文文檔、測試文文檔、用戶文文檔、管理員員文檔以及配配置管理文檔檔等置于配置置管理之下；c) 在在系統(tǒng)的整個個生存期，即即在它的開發(fā)發(fā)、測試和維維護期間，應應有一個軟件件配置管理系系統(tǒng)處于保持持對改變源碼碼和文件的控控制狀態(tài)。只只有被授權的的代碼和代碼碼修改才允許許被加進已交交付的源碼的的基本部分。所所有改變應被記載和和檢查，

57、以確確保未危及系系統(tǒng)的安全。在在軟件配置管管理系統(tǒng)中，應應包含從源碼碼產生出系統(tǒng)統(tǒng)新版本、鑒鑒定新生成的的系統(tǒng)版本和和保護源碼免免遭未授權修修改的工具和和規(guī)程。通過過技術、物理理和保安規(guī)章章三方面的結合，可可充分保護生生成系統(tǒng)所用用到的源碼免免遭未授權的的修改和毀壞壞。5.2.13 分發(fā)和操作作應按GB/T 202711-20066中6.2.5.2的要要求，從以下下方面實現PPKI系統(tǒng)的的分發(fā)和操作作：a) 以文檔形形式提供對PPKI系統(tǒng)安安全地進行分分發(fā)的過程，并并對安裝、生生成和啟動的的過程進行說說明，最終生生成安全的配配置。文檔中中所描述的內內容應包括：提供供分發(fā)的過程程；安安全啟動和操

58、操作的過程；建立立日志的過程程。b) 對系統(tǒng)的未未授權修改的的風險，應在在交付時控制制到最低限度度。在包裝及及安全分送和和安裝過程中中，這種控制制應采取軟件件控制系統(tǒng)的的方式，確認認安全性會由由最終用戶考考慮，所有安安全機制都應應以功能狀態(tài)態(tài)交付；cc) 所有軟軟件應提供安安全安裝默認認值，在客戶戶不做選擇時時，默認值應應使安全機制制有效地發(fā)揮揮作用；dd) 隨同系系統(tǒng)交付的全全部默認用戶戶標識碼，應應在交付時處處于非激活狀狀態(tài)，并在使使用前由管理理員激活；e) 指導導性文檔應同同交付的系統(tǒng)統(tǒng)軟件一起包包裝，并應有有一套規(guī)程確確保當前送給給用戶的系統(tǒng)統(tǒng)軟件是嚴格格按最新的系系統(tǒng)版本來制制作的。

59、5.2.14 開發(fā)應按GB/T 202711-20066中6.2.5.3的要要求，從以下下方面進行PPKI系統(tǒng)的的開發(fā)：a) 按非形式式化安全策略略模型、完全全定義的外部部接口、描述述性高層設計計、TSF子子集實現、TTSF內部結結構層次化、描描述性低層設設計和非形式式化對應性說說明的要求，進進行PKI系系統(tǒng)的開發(fā)；b) 系系統(tǒng)的設計和和開發(fā)應保護護數據的完整整性，例如，檢檢查數據更新新的規(guī)則，返返回狀態(tài)的檢檢查，中間結結果的檢查，合合理值輸入檢檢查等；cc) 在內部部代碼檢查時時，應解決潛潛在的安全缺缺陷，關閉或或取消所有的的后門；dd) 所有交交付的軟件和和文檔，應進進行關于安全全缺陷的定

60、期期的和書面的的檢查，并將將檢查結果告告知客戶；e) 系統(tǒng)統(tǒng)控制數據，如如口令和密鑰鑰，不應在未未受保護的程程序或文檔中中以明文形式式儲存，并以以書面形式向向客戶提供關關于軟件所有有權法律保護護的指南。5.2.15 指導性文檔檔應按GB/T 202711-20066中6.2.5.4的要要求，從以下下方面編制PPKI系統(tǒng)的的指導性文檔檔：a) 終端用戶戶文檔應提供供關于不同用用戶的可見的的安全機制以以及如何利用用它們的信息息，描述沒有有明示用戶的的保護結構，并并解釋它們的的用途和提供供有關它們使使用的指南；b) 系系統(tǒng)用戶文檔檔應提供有關關如何設置、維維護和分析系系統(tǒng)安全的詳詳細指導，包包括當運