安全方案

第一章. 系统安全方案

1. 系统安全的总体规划

资金管理系统是一项复杂的系统工程，系统安全是整个系统成功与否的重要环节，系统建设和运行成功将对资金管理工作起到至关重要的作用，因此，资金管理系统的安全与运维体系是系统建设的重中之重

安全保障体系的建设，将会使资金管理系统变成一个安全的、透明化、可管理、可控制、可持续、稳定的系统。资金管理系统建设目标是最终达到保护等级的第二级（即指导保护级），有效防范和化解风险，保证数据的安全使用，信息系统的平稳运行以及业务应用的持续进行。

2. 安全需求

从资金业务数据的敏感性角度而言，本项目对系统的安全要求级别是非常高的。在项目的整体建设过程中，需要从系统的运行安全、数据的访问安全、数据的存储安全、数据传输安全等多个方面进行全面的安全建设，以保障资金管理系统能安全、稳定、高效的运行。

为了达到系统安全控制的目标，在系统规划、建设、运行维护的整个生命周期中，安全需求要达到计算机信息系统安全保护等级划分准则的要求。 ? 物理安全需求

硬件平台是支撑系统运行的基础，在确保业务工作时间内稳定运行前提下，系统能够支持硬件的冗余设计。具体需求如下：

? 系统应该支持路由器、交换机的冗余设计。 ? 系统应支持应用服务器的冗余设计。 ? 系统应支持数据库服务器的冗余设计。 ? 系统应支持存储设备的冗余设计。

? 网络安全需求

为防范非法利用网络引起的信息数据泄密、系统破坏等风险，系统应充分考虑下列网络安全需求：

? 如何防范未经应用系统直接访问系统设备。 ? 如何保障数据在网络传输上的安全。

? 如何防范网络病毒的传播以及对系统造成的影响。 ? 如何防范广域网上的网络攻击。 ? 如何监控并提醒操作系统漏洞。 ? 如何进行网络安全审计和安全监控。 ? 系统安全需求

由于操作系统、数据库、B/S三层架构中的应用服务器等基础软件本身的漏洞和缺陷、用户权限设置不合理以及一些不安全协议的使用等因素都可能构成对系统的威胁。如果通过某些手段进入操作系统，就可能破坏所有的系统。数据库漏洞、设计缺陷等也会引起系统的安全风险问题，应充分考虑下列系统安全需求：

? 系统所要求的操作系统、数据库、应用软件不能留有后门和漏洞。 ? 应用软件应提供详细的操作日志。并具有良好的可读性。保证系统安全。 ? 应用软件支持的数据库软件应能提供审计功能。

? 应用软件应确保数据正确、完整，能抵抗来自系统外部和内部的攻击、

保证系统安全、可靠运行。

? 应用安全需求

应用程序设计不合理以及用户权限设置不当，也会对系统构成威胁。系统应充分考虑下列应用安全需求：

? 应用软件应提供完善的安全控制措施，在有限授权原则下，被授权用户

可运行授权应用模块。

? 应用软件中的各功能权限应准许灵活设置，并分级控制。 ? 应用软件应对进入系统的数据进行合法性验证，防止非法数据。 ? 应用软件应提供关键业务的数字签名功能。 ? 数据安全需求

对系统的备份与恢复重要性认识不足，不按要求定期进行备份，一旦发生意外，如果没有事先采取备份措施，将会导致惨重的损失。系统应充分考虑下列数据安全需求：

? 提供中间件和应用软件的备份恢复方案。 ? 提供数据库的备份恢复方案。 ? 提供操作系统的备份恢复方案。 ? 提供同城/异地容灾方案 ? 管理安全需求

管理人员安全意识淡薄，业务处理流程不规范、管理制度不健全可能会对系统构成安全隐患。应充分考虑一下管理安全需求：

? 规范业务流程和管理制度 ? 加强权限管理和密码保护 ? 建立完善的监督机制 ? 内部加强学习教育

3. 系统安全分析及策略

通过对资金管理的现状和需求充分调研的基础上，资金管理系统应注意以下安全问题：

? 如何保证硬件设备的安全 ? 如何保证服务器操作系统安全 ? 如何避免用户的非授权访问

? 如何保证数据库系统的安全 ? 如何保证系统数据访问与传输安全

为此，必须对整个业务系统安全保护进行考虑，在方案设计中，主要通过下述安全措施来实现资金管理系统的安全。 ? 物理层安全

? 机房保障

资金系统部署在清算中心在建新机房，为了保证管理系统的物理环境安全，机房建立了完备的物理安全保障措施。具备防火用消防设施、防雷击和电磁设施、视频安防和门禁系统、并配置精密空调和UPS设备保证温度、湿度及电源供给要求

? 设备冗余和链路备份

任何设备无论是机械构造还是基于电子技术构造都会发生故障，所以要保证资金管理系统能够长期稳定、可靠的运行，除了提高设备的安全性和可靠性外，还得充分利用各种冗余及容错技术来提供保障。

在资金管理系统的设备选型和规划过程中，采用了多种冗余技术来达到安全性的要求。

对于服务器系统采用了多CPU、双电源、RAID技术、双HBA卡等提高安全性。

对于磁盘阵列，配置多控制器、多电源、RAID技术、双HBA卡来提供安全性，为数据冗余和负载均衡。

对于通信链路，为了防止因通信线路异常而引起的传输错误、业务中断等，计算机网络系统广域网应采用线路备份手段，保证系统的数据传输不间断，同时有负载均衡能力。防火墙、交换机都是双机备份。

? 主机集群热备

对于后台数据库系统，采用双机集群技术。保证系统的7*24小时提供服务的能力。

对于应用服务器采用商业中间件的群集技术实现多台机器集群，并提供负载均衡能力。

通过配置群集服务，可以保证数据库系统的高可用性，从而提高整个综合业务系统的可用性。在群集环境中，当其中一个节点发生故障，另一个节点将及时地接管运行的服务，继续为应用程序提供服务。 ? 网络层安全

为确保系统网络访问安全，采用以下安全手段：利用（VLAN）划分子网、利用防火墙技术界定网络边界、利用传输加密技术实现安全的数据信息传递，具体设计如下：

? 访问控制

为了实现不同的业务组织访问不同的网络资源，可以采用VLAN和域控制器的方法，限制用户访问服务器的权限。通过ACL设置不同的访问权限。在局域网内，对于可以访问资金管理系统的一组终端单独划分VLAN，只有这些VLAN才可以通过网络访问到WEB服务器，不能直接访问应用服务器和数据库服务器。

? 防火墙

为了实现中心的网络边界安全，确保整个内部网络中设备和应用的安全，对于企业与Internet互联的安全设计上，采用硬件防火墙提供安全保障。

在防火墙上设置服务映射，如开放的web服务80端口映射到系统内部web服务器的80端口。

在防火墙上关闭与web无关的服务，如telnet、ftp等。 ? 传输加密

应用软件平台应采用的是B/S架构，客户端通过IE浏览器实现对应用系统的访问。为了避免明文传输带来的安全隐患，应用软件平台提供SSL机制对在网络上传输的数据进行加密，提供数据流的认证、机密性和完整性，以防敏感数据在传输过程中被泄露及篡改。使用SSL，可进行客户端与服务端的双向认证。SSL使用公钥加密算法来对通信双方进行认证；使用对称加密算法对传输的数据进行

成批的加密；使用加密散列函数加入完整性检查方式来保护每个数据报。 ? 系统层安全

系统层安全建设包括防病毒系统建设、入侵检测系统建设、漏洞扫描、安全审计和监控：

? 防病毒系统建设。

资金管理系统的网络建设中包含若干服务器系统，整个网络中信息点数百。数据库、文件数据交换、电子邮件和Intranet等计算机应用技术大量应用于系统中，核心服务器的操作系统主要使用WindowsServer/UNIX/AIX等。面对当前日益猖獗的计算机病毒，网络环境下的计算机系统安全运行面临着严竣挑战。为了对资金管理系统所有关键服务器和用户工作站进行病毒监测，建立统一的病毒监测系统，监控和防范病毒在网络中的传播，需要建立严密的网络防病毒系统。实现通过磁盘、可移动磁盘、光盘、网络所收发文件的病毒防护，并实现客户端与服务器端相配合的网络病毒防护构架。采用网络版杀毒软件完成对整个网络的病毒防护工作，为网络系统提供100%的安全解决方案。

? 入侵检测系统建设。

网络型入侵检测与管理系统主要用于实时监控网络关键路径的信息。它采用旁路方式全面侦听网上信息流，动态监视网络上流过的所有数据包，通过检测和实时分析，及时（甚至提前）发现非法或异常行为，并进行响应。通过采取告警、阻断和在线帮助等事件响应方式，以最快的速度阻止入侵事件的发生。网络型入侵检测与管理系统能够全天候进行日志记录和管理，进行离线分析，对特殊事件进行智能判断和回放。

? 漏洞扫描

就系统的安全状况而言，系统中存在着一定的漏洞，因此也就存在着潜

在的安全威胁，但是，如果能够根据具体的应用环境，尽可能早地通过网络扫描来发现这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。应该就以下标准选用漏洞扫描工具

? 是否通过国家的各种认证

? 漏洞数量和升级速度 ? 产品本身的安全性 ? 是否支持CVE国际标准 ? 是否支持分布式扫描 ? 安全审计和监控

安全监控审计系统作为解决网络安全问题的有力的工具，能够严格监控和记录资金管理系统内部各台计算机的使用情况，具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档，设备管理等功能。根据管理员事先的设定，自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况，并可以根据用户需要回播这些记录来报告工作站的工作状况，可以让管理员随时了解系统内计算机用户的资源利用情况。安全监控审计系统主要实现以下目标：对网络用户进行安全监视和行为审计；从网络通信和外接设备等方面进行信息传输复制限制；管理系统资源防止受到攻击；加固系统，分发补丁。

防病毒系统建设、入侵检测系统建设、漏洞扫描、安全审计和监控已经在纳入资金管理系统机房整体建设当中。 ? 数据权限安全

在资金管理系统整个网络用户管理中，采用域管理模式对用户进行集中管理。

用户须首先通过域控制安全系统认证获得授权后，才能访问网络系统。 应用系统安全是基于RBAC模型(Role-Based Access Control，基于角色的访问控制)，不同的角色赋于不同的访问权限，可建立用户密码策略来提高用户的密码复杂度。对关键操作用户采用密钥的方式访问。

资金管理系统日常运转涉及到多家单位,系统根据上述单位在资金结算流程中的层级划分了相应的角色，使上述单位在资金管理系统中行使不同的职责。

? 数据库安全方案

系统要采用高性能的主流数据库产品，同时要注意数据库版本的先进性和可靠性。所采用的数据库系统应符合NCSC认证的C2级安全标准，应提供严格的数据库恢复和事务完整性保障机制，提供完整的角色管理和自主控制安全机制，要支持软、硬件容错，逻辑备份与恢复，物理备份与恢复，在线联机备份和恢复等功能，保证在发生故障和灾难后能够很好地恢复或重构数据库。

数据库的安全性措施主要有以下几方面： ? 用户标识和鉴定

通过数据库系统的用户账号与口令鉴定用户的身份，这是系统提供的最外层安全保护措施，也是最常用的措施。

? 存取控制

合理设置数据库对象的授权粒度，认真研究并大力推行角色/权限管理机制，使用具有口令保护的角色，通过应用系统级的身份认证连接数据库，通过应用程序进行角色的口令输入、打开角色并激活角色开关，以避免用户绕过应用程序而直接调用SQL语句访问数据库资源。

? 视图机制

为不同用户定义不同的视图，通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据进行保护。

? 审计

打开数据库系统的审计功能，以监视不合法行为。 ? 备份方案

资金管理系统特点：

? 异构平台环境，既有UNIX操作系统平台又有Windows操作系统平台。 ? 多种运行环境，既有应用软件又有数据库软件。 ? 数据增长快。

? 出现故障要迅速即时恢复数据及业务。

基于以上系统特点设计采用Host-Based和Lan-Free方式对数据进行备份。结构图如下：

Host-Based数据库服务器应用服务器备份服务器SANLan-Free磁盘阵列带库

Host-Base：每个服务器都利用自身的操作系统命令将操作系统定期备份到

磁带机上。对操作系统进行Host-Based的备份方式，数据量都不大，且由于系统一般变化较小，一般一季度进行一次即可。系统一旦出现故障，先用传统的Host-Based方式恢复系统

Host-Free：将服务器对应的应用数据根据统一的备份策略备份到带库上。因为业务数据大，一旦出现故障，可以通过SAN存储网络进行快速恢复。

对备份软件的要求：

备份管理软件能够实现定时自动备份、备份到磁带库和VTL系统、能实现全备份和增量备份等多种备份方式，每天能够进行TB级的数据备份，能够管理几十或上百TB的备份数据，具备高性能的介质信息管理数据库和适应各种主流数据库，支持磁带容灾能力，具备集中备份管理能力等。 ? 容灾方案

在建立容灾的备份中心时，需考虑以下关键因素：

? 备份中心与数据中心在距离上要足够远，两中心的数据必须同步。 ? 备份中心的所有应用系统必须经过严格测试，并有足够的处理能力接管

数据中心的业务。

? 备份中心与数据中心间为保持数据同步而需传输的数据量以及网络带

宽，必须能够保证两地间数据的顺畅同步。

? 数据中心与备份中心的应用可进行自动或手工切换，切换须快速可靠。 容灾系统的数据中心建设大致可分三部分：

? 备份中心主机网络存储系统的构建以及应用系统的安装可与数据中心的

环境一致；

? 建立数据中心与备份中心的数据同步传输系统

远程数据同步复制的实现包括网络连接和数据复制管理软件两部分。对于网络连接，距离不超过40公里建议采用光纤连接，如果是在两个城市之间，建议采用E1/T1专线连接，在数据量很小的情况下可利用低速专线连接。

数据复制管理软件建议采用VERITAS的VolumeReplicator(VVR)。VVR采用可靠的连接和监听协议，可保证远程备份站点与本地逻辑卷数据的一致性，并具备以下特点：

? 支持广域网节点间数据的同步和异步复制

? 支持多点到多点的复制，一份数据可同时复制到32个节点，多个节

点的数据也可同时复制到一点进行集中

? 容忍网络延迟：在同步模式下，若网络发生堵塞，可自动切换到异

步模式，当网络恢复后，再重新同步

? 建立基于广域网的集群系统，使得应用系统可以在广域网上进行切换。

为了能够监测数据中心应用系统的运行情况，并在灾难发生时实现应用系统从数据中心到备份中心的切换，必须选用专门的广域网集群管理软件来实现。VERITAS的GlobalClusterManager(GCM)软件恰好可以实现多集群的管理和应用系统的容灾。

GCM软件具有下述特点：

? 与VERITASClusterServer有机集成，可从单控制台管理多个VCS集群

系统

? 可管理多达32个地域的VCS集群系统

? 实时监测每个VCSCluster的运行状况，并可管理修改每个Cluster的

配置，当某地域发生故障而导致该地域的Cluster终止时，GCM会马上监测到，并可根据策略自动或手工快速地将应用切换到远程的Cluster

? 图形界面与VCS一致，系统管理和维护非常简单

系统的运作过程如下：

? 正常情况下，数据中心和备份中心的系统均处于运行状态，但业务处理

系统只在数据中心运行，业务系统对数据的任何修改，会实时同步复制到备份中心

? 当数据中心的某些部件发生故障，产生故障的机器上的应用系统会自动

由VCS快速切换到数据中心的其他机器

? 当有事故导致数据中心整个系统瘫痪时，GCM会马上监测到异常情况，

及时向管理员发送各种警报，并按照预定的规则在备份中心启动整个业务应用系统

? 数据中心的计算机网络系统修复后，VVR可将备份中心的当前数据复制

回数据中心，然后将应用系统从备份中心切换回数据中心，备份中心的系统重新回到备份状态。

? CA证书

详见第三篇第二节。

? 安全管理制度

安全管理制度主要从信息发布审核、网络使用、设备管理、软件管理、机房

管理等方面，有针对性的制定、完善相关日常安全管理制度。

以安全保密为目标的管理制度作为行政管理的主要方式，对内部安全起着约束和督促的作用，完善的安全管理制度对于安全管理具有相当重要的意义。制度应该包括以下内容：网络安全管理、软件安全管理、人员安全管理制度、操作安全管理制度、场地与设施安全管理制度、设备使用安全管理制度、运行日志安全管理、备份安全管理、应急管理制度、运行维护安全规定。

第二章. CA方案及建议

1. CA系统建设思路

在资金管理项目中，CA认证系统为资金管理系统提供基于数字证书的身份认证、数字签名、责任鉴定等安全功能。PKI/CA作为安全基础保障框架，负责生成、管理、存储、分发和吊销数字证书，完整的PKI/CA体系不仅仅指软硬件系统，还应该是软件、硬件、人员、策略、流程和法律协议等的总和，完整的PKI/CA体系如下图所示：

对于PKI/CA的建设，不仅仅是一套能否签发数字证书的软硬件系统，还包括安全策略、运作制度、认证规则、秘钥管理、信任关系等多个环节，因此华润在CA建设过程中，需要根据资金管理系统的安全需求及其他应用系统的扩展需求，对包括建设模式、软硬件产品、运营制度、CP/CPS、信任关系、鉴证规则等多个方面进行统一规划，科学建设，使CA认证体系符合自身业务特点及对信息安全的基本需求。

? 需求分析

在华润集团资金管理系统中，大量的资金相关数据在集团内部网络以及与银行网络之间相互传递，如果不能对系统的使用人员进行有效、安全的身份认证，并保证这些敏感数据的机密性、完整性和不可抵赖性，其后果是可想而知的。CA认证系统作为安全基础保障框架，必须符合华润自身组织架构的模式，满足资金管理业务特点，适应华润自身的安全策略和制度，并具有可靠的安全性、良好的稳定性、灵活的扩展性，才能真正满足应用系统对机密性、完整性和不可抵赖性的安全需求，切实实现作为安全基础保障措施的目的，因此，CA的建设应从如下几个方面重点考虑：

? CA认证中心自身的安全性

CA作为安全基础保障框架，自身的安全性至关重要。CA认证中心并不是

简单的一套软硬件系统，需要具有完善的物理安全、网络安全和系统安全防护体系，需要具有完善的运营管理制度、人员管理制度和安全审计制度，因此，CA建设过程中需充分考虑技术和管理层面的安全措施，使CA体系成为真正的安全基础保障框架。

? CA信任体系

PKI/CA的核心是信任关系的管理，而这种信任度的权威性是通过认证机构——CA（Certification Authority，认证中心）这样的实体来确保的，认证机构通过一套规范的认证策略，验证用户的真实身份，并根据应用范围、信任等级和信任程度为用户颁发由不同的根CA签发的数字证书，应用系统根据数字证书的签发体系就能够判断对证书所代表实体的信任关系，从而为网络世界用户之间的相互信任提供可靠的依据。

信任体系的规划是PKI/CA规划中的重要环节，对CA平台的建设至关重要。华润集团虽然目前针对资金管理系统建设CA认证体系，但CA认证系统应充分考虑未来的扩展性，对CA信任体系统一规划，使数字证书的应用场景能够根据证书的签发体系正确判断出证书的信任级别和应用范围。

? CA系统的兼容性

华润集团资金管理系统针对集团下属21个利润中心和1644个成员单位，

各企业目前CA建设情况各不相同，虽然集团会要求统一建设CA体系，但是在一

定时间段内仍会有可能与成员单位已经建设好的CA并存，另外一些信息化系统会要求建设单独的CA，故此本项目的CA建设应考虑下属单位CA建设情况及对CA系统的操作和管理习惯。

? 身份认证与管理策略

为降低身份冒用或窃取的安全风险。PKI/CA为资金管理系统提供了基于数字证书的强身份认证方式。本项目建设的CA系统面对华润集团总部及全部实施范围内的利润中心、成员单位提供电子认证服务，而利润中心、三级集团对内部人员的管理方式、身份鉴证方式可能存在较大的差别，因此，CA认证中心应能够适应多种身份管理、鉴别、验证和审计方式。

? CA系统的扩展性和适应性

随着资金管理项目实施的开展和推进，对CA信任体系、部署方式、证书生命周期管理流程的策略不可能一成不变，CA系统需要能够针对华润资金管理业务的发展和需要，在不中断资金管理业务的前提下，灵活配置和调整，适应新的业务模式、管理模式等。

? 法律有效性

资金管理系统主要处理涉及资金的敏感信息，个人或机构的任何抵赖行为都将对华润集团造成重大损失，因此CA体系应符合国家《电子签名法》的相关要求和约束条件，在资金管理系统中实现对重要数据进行具有法律效力的数字签名，从而保证取证与责任鉴定过程具有法律符合性和有效性。 ? 数字证书应用集成

对于资金管理系统涉及到企业内部多种类型的用户，不同的用户在系统中具有不同的访问操作权限。因此，应用系统在身份认证的基础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。数字证书为资金管理系统提供了有效的身份标识手段，应用系统能够通过解析数字证书获取与权限识别、分配有关的有效信息，解决应用系统访问控制的需求。同时，华润应根据各利润中心自身的特点，制定灵活的证书发布、签名验证的机制和措施（CRL、OCSP等）。

? CA建设规划

? 应用范围规划

CA系统作为安全保障设施，为应用提供基于数字证书的安全基础服务，因此，CA系统自身是独立于应用而存在的，华润集团在CA建设过程中应对证书使用的部门、人员，以及将来的扩展应用做出统一规划，在CA系统的选型过程中充分考虑产品的灵活性、扩展性和可定制性。

? 信任体系规划

华润集团CA平台虽然目前只针对资金管理系统提供数字认证服务，但考虑到未来应用扩展的需要，以及华润集团多级管理的组织结构，简单的平面体系或单一的树状认证体系都无法完全体现业务或组织架构的特点，同时也难于根据未来业务的调整进行扩展或变化。因此，在本期项目中，我们建议华润集团在CA规划中根据资金管理系统的业务特点对使用人员划分不同的信任等级，针对每一个等级的用户采用完全不同的根CA及子CA，形成树林状的信任体系：

? 多套信任体系：不同的信任体系往往代表不同的信任等级，以及所签发

证书所代表的实体类型。本项目中，可根据资金管理系统中不同等级的用户使用不同的根CA签发数字证书。如果CA认证中心仅支持一套树状信任体系，虽然可以靠二级CA区分信任等级或应用范围，但很多应用服务器（如：WEB服务器、J2EE平台、认证网关等）实现认证的方式千差万别，有的既可以通过“根CA”，也可以根据“子CA”判断信任关系，但很多系统仅仅能够根据“根CA”进行判断，因此，CA认证中心如仅支持单一的树状认证体系，而业务系统又恰恰仅能够根据“根CA”判断认证关系时，同一“根CA”签发的数字证书都能够顺利通过应用的认证过程，无法进行有效的访问控制；

? 多级信任体系：在信任体系规划中还应考虑根据行政管理方式，划分多

极体系，根CA负责制定和审批总体策略（Policy）、签发并管理第二层CA的证书。离线CA负责签发二级CA，安全性至关重要，一旦泄露或丢失将对信任体系的一致性、完整性造成重大损失，因此，建议以离线的方式保存在加密卡中；二级CA的职责是根据根CA的各种规定制定具体策略、管理制度和运作规范，签发下级子CA或最终用户证书，并管理

其所发证书和证书吊销列表CRL。根据华润的管理特点，对于本系统，简单的根据应用划分信任体系往往不足以满足认证的各种需要，有时需要根据地域的不同，所属利润中心的不同划分信任关系，因此在本方案中我们设计按照用户地域或利润中心划分的二级CA以适应各种认证需要。

信任体系的设计需要根据华润资金管理业务发展的需要适时进行重新规划和调整，这就对CA系统或软件提出了很高的要求，必须支持包括平面、树状、林状在内的多种信任体系结构，能够在不中断运营的情况下，对信任体系进行包括合并、拆分、删除、增加在内的各种操作，并且不以部署新的系统或增加license作为代价。

? 建设模式规划

目前CA的建设模式主要包括三类：

? 自建模式：由华润集团自行建设并运营、维护CA认证中心，采用该模

式时，CA的建设又可分为集团总部统一建设和各资金中心分别建设两种，同时应充分考虑RA的部署方式和管理方式；

? 第三方模式：采用对立于华润集团和银行的拥有国家许可运营资质的第

三方CA提供的电子认证服务；

? 托管模式：即SAAS模式，华润集团并不购买任何CA系统或平台，仅采

用其他运营机构提供的CA软件托管服务，完全拥有CA软件的管理权和使用权，但并不拥有软件自身。

对于上述三类建设模式，华润集团应根据资金管理系统的业务特点，从CA建设周期、建设成本、运营成本、管理成本、管理难度、应用灵活性、法律有效性等多个环节综合评估，选择最佳建设模式。

? 管理制度规划

对于CA认证中心涉及到多种工作岗位和工作职责，包括CA管理员、RA管

理员、秘钥管理员、数据库管理员、系统管理员、网络管理员、安全管理员、鉴证人员、证书使用人员等，华润集团应根据资金管理系统的业务特点对不同人员制定完善的管理制度，针对CA的运营制定详细的操作、备案和审计制度。

? 认证规则规划

在本期项目中，华润集团需根据不同等级证书的信任程度制定详细的身份

认证规则，对证书审批的权利下放范围（总部统一审核或各资金中心独立审核等），员工身份鉴别验证的流程，证书更新和吊销的流程等统一规划，并且CA系统需满足华润集团对认证规则的规划，从技术上和管理上完善CA认证中心，使数字证书的信任等级得到有效保证。

? 证书应用规划

为使数字证书在资金管理系统中发挥安全和诚信基石的重要作用，华润集团应对证书应用做完整规划，包括：

? 对证书内容的规划，使数字证书内容能够充分标识业务人员的真实身份； ? 身份认证方式的规划（SSL、接口实现等） ? 对证书验证方式的规划（OCSP、CRL）； ? 证书发布方式的规划（LDAP、HTTP、FTP）；

? 证书开发接口的定义（证书解析、证书验证、签名/验证、加密/解密）； ? 签名数据编码及格式的规划（二进制、BASE64、PKCS7） ? 签名内容的规划：对需要进行签名的数据内容进行选择和定义。 综上所述，华润集团资金管理系统CA规划过程中需要综合考虑如下几个方面：

一、 对华润集团资金管理系统PKI/CA体系整体规划，统一设计，分步实施，

建立基于PKI/CA技术的信息安全基础保障框架。

二、 建立完善的CA运营管理规划，创建符合资金管理系统自身业务特点

的信息安全管理制度和CA运营管理规范，从技术和管理两个角度提升资金管理系统的信息安全等级强度。

三、 建立适合多种应用和多种组织架构的矩阵式CA信任体系，使数字证

书应用在满足认证需求的同时，能够无缝扩展到下属机构和其他业务系统的各种应用中。

四、 在CA产品选型过程中充分考虑产品对多种信任体系、多种RA部署方

式和多种证书生命周期管理方式的支持及定制的灵活性。

2. CA功能需求

对于华润集团银企互联CA认证系统的功能主要包含如下方面：

? 证书签发

通过CA认证系统，能够申请、产生和分发数字证书，具有证书签发功能。用户访问CA认证系统，提交证书申请请求，申请数字证书；RA管理员访问管理员站点，审查和批准用户的证书申请请求；CA认证中心根据RA管理员的批准，签发用户证书，并将数字证书发布到目录服务器中。用户CA认证系统，获取签发的证书。

? 证书生命周期管理

通过CA认证系统，可以实现证书的生命周期管理，包括：

? 证书申请 最终用户使用浏览器，访问CA认证系统，可以进行证书申请，在

线提交证书申请请求；

? 证书批准 管理员登录管理员站点，完成证书批准功能，可以查看和审批最

终用户的证书申请请求；

? 证书查询 最终用户可以通过CA认证系统，查询自己或别人的数字证书； ? 证书下载 通过CA认证系统，可以下载签发的数字证书；

? 证书吊销 最终用户在使用证书期间，有可能会出现一些问题，如：证书丢

失、忘记密码等，最终用户就需要将原证书吊销。用户吊销证书时，可以直接访问CA认证系统，在线的向CA提交证书吊销请求，CA认证系统根据用户的选择，自动吊销用户的证书，并将吊销的证书添加到证书吊销列表（CRL）中，按照证书吊销列表的发布周期进行发布；

? 证书更新 在用户证书到期前，用户需要更新证书，用户访问CA认证系统，

查询用户的证书状态，对即将过期的用户证书进行更新。 ? CRL服务功能

CA认证系统支持证书黑名单列表（CRL）功能，能够配置指定RA的CRL下载地点及CRL发布时间。CA认证系统定时产生CRL列表，并将产生的CRL发布至Web层CRL服务模块，可以通过手工下载该CRL。

? 目录服务功能

CA认证系统支持目录服务，支持LDAP V3规范，CA认证系统在签发用户证书时或者对证书进行吊销处理时，会及时更新目录内容。证书目录服务的功能提供给用户进行证书查询的功能，用户可以通过电子邮件（Email）、用户名称（Common Name）、单位名称（Organization）和部门名称（OU）等字段查找CA认证系统签发的用户证书。 ? CA管理功能

CA认证系统具有完善的CA管理功能，包括：

管理员管理

? RA管理员管理，包括初始化RA管理员申请、增加RA管理员、删除RA

管理员；

? CA管理员管理，包括初始化CA管理员申请、后续CA管理员证书申请、

吊销CA管理员证书。

账号管理

? 个人账号管理，包括注册信息，证书信息等管理；

? RA账号管理，包括RA账号申请、批准、吊销、额外管理员证书申请等。

策略管理

? 证书策略配置管理，高度灵活和可扩展的配置CA所签发证书的有效期、

主题、扩展、版本、密钥长度、类型等方面；

? RA策略配置管理，包括语言、联系方法、证书类型、是否发布到LDAP

等；

? CA策略配置管理，包括证书DN重用性检查、CA别名设置等。 ? 日志与审计功能

系统应具有完善的日志与审计功能，可以查看和统计各种日志，包括： ? 统计各CA、RA账号证书颁发情况； ? 记录所有RA与CA的操作日志； ? 对所有操作人员的操作行为进行审计。

? CA密钥管理

系统支持CA密钥管理功能，包括： ? CA密钥产生和存储（软件与硬件）；

? CA证书（包括根CA和子CA）的产生和管理； ? CA密钥归档与备份。

CA系统除上述功能，还应支持多种模式的CRL发布模式，支持OCSP（可根据实际情况选择使用CRL验证或OCSP验证）模块、时间戳模块和KMC等模块，华润集团银企互联CA认证系统可根据实际需要决定是否部署上述模块。

对于华润集团银企互联CA认证系统，无论采取何种建设模式，都需要包含根CA中心、在线CA运营中心和RA中心三大部分： 1、 根CA中心设计（离线） 根CA中心的物理结构如下图所示：

根CA中心系统框架

如上图所示，根CA中心主要由管理终端、根CA离线密码机、密码卡组成： ? 根CA管理终端是根CA管理员进行CA操作的控制台。它通过交叉网线

直接于密码机相连，并通过telenet进行相应操作。

? 离线密码机是根CA中心的核心服务组件，所以子CA证书的签发、策略

的定制、交叉认证等功能都由根CA密码机实现。

? 加密卡用于产生、保存根CA证书和一级子CA证书的密钥，以及产生在

线二级子CA密钥对，并用根CA证书对离线一级子CA密钥进行签名，

生成离线一级子CA证书，用产生的离线一级子CA证书对在线二级子CA密钥进行签名，生成在线二级子CA证书。

? 加密卡和根CA离线密码机平时离线隔离存放在密码箱中，在进行生成

离线子CA和在线二级CA的密钥操作时，接上加密卡以及管理终端，进行操作。

根CA是整个华润集团银企互联CA信任体系的信任源头，负责制定和审批整个PKI认证体系的总体政策。签发并管理所有子CA的证书。根CA中心的功能和职责包括：

? 创建并维护根CA公、私钥对，并生成自签名根CA证书； ? 创建在线子CA的公私钥对，使用离线CA签发在线子CA证书；

? 确保所有密钥生成规程的完整性、可审计性，维护一个可验证的审计记录，

与所有的安全要求保持连续的一致性；

? 维护和保存包括命名文件、规程脚本、密钥分配表等在内的密钥规程文

档；

? 保管好所有密钥相关物品（包括加密卡、秘密共享、CA证书文件等）； ? 在各级CA证书有效期前一个月更新证书。 2、 在线CA中心设计

对于华润集团银企互联CA中心应按照模块化设计，遵循以下原则：

? 系统对用户接口采用标准的HTTP、HTTPS和LDAP协议，确保各种用户都

能够使用本系统服务；

? 系统各模块在运行期间不保存状态信息，其状态信息保存在配置文件和数据

库内部，保证了系统的部署方便性和配置方便性，当系统需改变配置时无需中断系统的服务；

? 各模块的功能可以通过配置文件进行控制，系统可以根据不同的需求进行设

置；

? 系统某一功能模块可有多个事例，并且多个事例可运行在一台或多台计算机

上。某功能模块对其他功能模块的调用，可通过配置（依次）调用被调用功能模块的多个事例，使系统存在冗余，保证系统的不间断运行。

CA中心的软、硬件模块如下图所示。

3、 RA中心

RA系统的模块架构如下图所示：

如图所示，RA系统所有模块都安装在RA服务器上（可单独部署，也可同CA服务器部署在同一台服务器上），包括：

?

RA处理中心：该模块是RA 系统的业务处理核心，所有RA系统的处理请求都需要通过RA处理中心进行转发，它负责对证书申请的批准、吊销和拒绝，负责处理来自RA 用户服务中心和RA管理服务中心的业务请求，同时也负责同CA中心之间的所有通信。RA处理中心和CA中心CA通信模块之间的通信采用双向认证的SSL实现；

? RA用户服务Web：该模块为最终用户提供证书生命周期服务的界面，通过RA用户服务Web，用户可以进行各种类型证书的申请、查找、下载、吊销和更新等证书管理功能。RA用户服务Web业务界面可定制。RA用户服务Web访问RA处理中心获得所有功能；

? RA管理员服务Web：该模块为RA管理员提供管理界面，RA管理员访问RA管理服务Web时，必须出示RA管理员证书。RA管理员通过RA管理服务Web，批准或拒绝用户证书请求，管理用户帐号与管理员帐号，进行审计操作，统计RA发证情况等。RA管理员Web访问RA处理中心获得所有服务功能；

4、 证书存储介质

本方案推荐使用USB KEY或智能卡来保存用户的证书及私钥。

USB KEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB接口）上的漫游。智能卡需要借助专门的读卡器才能对证书进行相关操作

为了在发生USB KEY丢失等情况时，私钥可以恢复或者还可以用私钥解密以前的加密邮件，在申请证书时，密钥对可以在系统中产生而不是在USB KEY中产生，当证书申请成功后，再将私钥和证书导入到USB KEY中；同时系统可以以文件的形式保留私钥和证书的备份，这就提供了在USB KEY丢失时对用户私钥和证书的保护措施。

对于证书制作过程，可以由RA管理员统一制作，也可由用户自行申请，申请过程中，无论是用USB Key方式还是智能卡方式，密钥对在USB Key或智能卡中生成，并自动将公钥信息及其他注册信息提交至CA中心，完成证书的签发工作。写卡或USB Key的过程完全可以由成员单位自行完成。

3. CA建设方案

? 自建模式

指华润集团自行建设一套包含数字证书认证系统、密钥管理系统和用户注

册系统等的完善的CA认证体系，可独立实现证书的发放和运营。

在自建模式中，华润集团除了购买系统软件之外，还包括系统、通信、数

据库以及场地建设、物理安全（门襟系统、监控系统、消防系统、防水、电磁屏蔽等）、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。对于自建型的PKI/CA系统，华润集团需要考虑系统的后期运营和维护，建立完整的运营管理体系，并负责系统的日常维护和升级等。

信息产业部对CA运营机构的建设和运营标准有详细的规定和检验标准，华润集团CA系统并不作为运营机构对外提供电子认证服务，因此CA认证中心的建设可参考国家相关标准，并根据自身的安全需要、管理需要进行适当的裁剪。

对于华润集团，采用自建模式时可考虑如下四种方式：

（1） 统一建设/统一管理：集团总部统一建设CA中心和RA中心，并由

集团总部承担承担秘钥管理、证书鉴证、分发等工作，此时华润集团仅需建设一套CA中心及RA中心，并由总部人员承担RA管理员角色；

（2） 统一建设/分散管理：集团总部统一建设CA中心和RA中心，针对

每个资金中心或利润中心创建独立的RA管理员，此时华润集团仅需建设一套CA中心及RA中心，并承担秘钥管理工作，但RA管理员角色由各资金中心或利润中心自行承担，自行完成证书鉴证、分发等工作，且证书审批方式、发放方式具有多样性；

（3） 级联建设/分散管理：集团总部统一建设CA中心，各资金中心建立

独立的RA认证中心，此时，华润集团需建设一套CA中心，27套RA认证中心，集团总部承担秘钥管理工作，RA管理员角色由各资金中心、利润中心自行承担，自行完成证书鉴证、分发等工作，且证书审批方式、发放方式具有多样性，同时各资金中心、利润中心可对RA进行灵活配置和定制，并可自行决定是否将RA与其它业务系统集成；对于级联建设模式，可以在集团总部、资金中心、利润中心部署三级RA系统，实现下级单位管理员通过RA进行个人证书管理。

（4） 分散建设/分散管理：集团建立根CA认证中心，各资金中心建立子

CA认证中心，此时华润集团需建设5套CA系统，集团总部使用根

CA签署5个二级子CA，并下发至下属利润中心、成员单位，下属单位自行承担秘钥管理、CA管理、RA管理工作，总部实际上对子CA不具有太多的管理和约束。

? 第三方模式

华润集团购买用具有国家认可运营资质，并受《电子签名法》保护的合法第三方CA认证机构的电子认证服务。

我国于2005年4月1日正式实施的《电子签名法》和《电子认证服务管理办法》，对第三方CA认证中心实行市场准入制度。仅有通过国家相关主管部门审批并获得运营资质的CA方可面向公众提供第三方数字证书认证服务。对未获得资质而开展CA认证业务的行为制定了 严厉的处罚措施，在《电子签名法》第29条中规定：“未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；违法所得三十万元以上的，处违法所得一倍以上三倍以下的罚款；没有违法所得或者违法所得不足三十万元的，处十万元以上三十万元以下的罚款。”由此可见，自建CA若想开展认证业务，必然面临依法申请认证资质的问题，否则无法向公众提供合法的认证服务。

华润集团资金管理系统涉及到资金相关的敏感数据，对诚信和法律保障的要求较高，一旦出现了错误，需要能够进行合法的取证和责任鉴定流程，因此，采用合法的第三方CA，能够使资金管理系统具有更好的诚信度和法律保障性。同时在资金管理系统中，银行与华润集团之间的数据交换如果采用了具有法律效力的数据签名，而华润集团内部资金管理系统没有采用具有法律效力的数字签名将使整个业务流程的安全等级和诚信等级具有不一致性，使华润集团难以追踪或溯源恶意行为的源头和过程。

采用第三方模式时，也可使用如下两类建设模式：

? 远程RA：RA中心建在第三方认证中心，华润无需在集团总部或资金

中心部署任何CA相关的设备或系统，最终用户登录第三方认证机构“证书服务中心”完成证书注册操作，华润RA管理员远程登录到第三方认证机构“证书管理中心”，完成证书相关的管理操作，此时，所有证书相关数据存储在第三方CA认证中心。

? 本地RA：RA中心部署在各个资金中心和集团总部，最终用户登录本

地RA“证书服务中心”完成证书注册操作，华润RA管理员登录到本地“证书管理中心”，完成证书相关的管理操作，此时，所有证书相关数据存储在本地数据库中，业务系统可以查询、使用所有与证书相关的数据，同时也可将RA模块与业务系统进行集成，实现较为复杂的证书管理流程。

? SAAS模式

指华润集团采用SAAS服务商提供的CA软件服务，配置一个集成的PKI/CA平台，依靠CA软件服务提供商提供的PKI/CA服务，针对内部员工签发数字证书，华润集团可对CA系统进行远程管理。采用SAAS模式，华润只需要购买PKI/CA服务，对于PKI/CA核心后台的建设（包括安全性、可靠性和稳定性等方面的建设）、运营管理和系统维护由PKI/CA服务提供商负责。

无论采取上述哪种部署模式，CA认证中心的安全至关重要，因此，必须对CA认证中心采用较强的安全隔离和防护措施，如下图所示：

加密机/卡根CA加密机/卡安全区CA服务器加密机/卡RA服务器LDAP服务器操作区审计终端RA管理CA管理终端终端CA认证中心的建设应分为公共区、DMZ区、操作区和安全区四个部

分。

? 公共区：在认证中心控制范围之外的区域，它可能包括专网连接、拨号

连接等。

? 操作区：操作区是认证中心为银企互联用户提供服务的地方。在操作区

主要部署了目录服务器和各类终端。操作区通过部署防火墙来进行保护，通过对它们的端口进行配置，只能允许进行安全策略授权的通信。 ? 操作区和所有的组件区要设置在一个安全的设施之中，要有适当的

物理安全、人员安全和操作安全。系统管理部件（代理、引擎等）可以安装在操作区，如果安全策略允许。这些部件是可选的。 ? 操作区的LDAP 389 、安全协议端口（可配置）和HTTP 的8080 端

口都要对外开放。

公共区INTERNET

? 操作区需要对操作人员进行限制。操作人员在操作区执行每天的工

作，操作区的房间应该是高度安全的，使用监视器、报警和访问控制系统。并且应该考虑应用多人同时工作的方式（任何一个成员不能单独在房间里完成一项操作）。

? 安全区：安全区是最安全的房间。对于PKI系统，CA服务器和保存CA

用于签名的私钥的CA加密设备都应该存储在安全区中。同时只有安全协议端口对外开放。

? 三种模式的对比

不同建设模式具有各自的优缺点，以下为建设模式间的对比：

自建模式 统一建内容 设/统一管理 建设成本 人员成本 建设成本 实施周期 服务成本 运营风险 法律保障 管理方式 与业务系统的集成（嵌入式RA） 定制程度

一般 一般 较高 高 一般 高 一般 一般 一般 一般 长 低 一般 无 单一 无 设/分散管理 一般 一般 一般 长 低 较高 无 灵活 无 设/分散管理 较高 较高 较高 较长 低 较高 无 灵活 可以 设/分散管理 高 高 高 长 低 高 无 灵活 可以 低 低 低 短 高 低 有 单一 无 较高 较高 较高 较长 较高 较高 有 灵活 可以 低 低 低 短 一般 低 无 单一 可以 RA RA 式 统一建级联建分散建第三方 远程 本地 SAAS模从上表列出的建设内容比较可以总结：

从初期建设来看，自建型CA建设需要华润集团对系统建设、物理场地建设、通信与网络建设和系统安全建设等各个方面进行综合考虑，一套完善的CA认证中心建设周期至少需要3个月，在自建模式中如果各个资金中心单独建设CA或RA，则周期更长。第三方或SAAS的CA建设只需要考虑部分的建设内容，主要是涉及RA中心系统和CA管理端部分的建设内容，将不需要对CA中心系统的建设内容负责，建设周期通常不会超过半个月。

从运营维护来看，自建型CA建设需要考虑CA后期运营维护的所有事务，包括运营管理规范的建设、运营管理团队的建设、系统维护与升级和客户服务支持等。而第三方或SAAS的CA建设对于系统的后期运营维护的工作，大部分可以交给第三方CA认证中心负责，或者依靠第三方CA认证中心提供的规范的运营管理来加以解决。

从后期运营服务和支持来看，采用各种方式部署的PKI/CA对应用的支持是相同的。但是华润集团选择哪种部署模式，需要对供应商的服务支持能力进行考察。服务支持涉及两个方面，一方面是对部署的PKI/CA本身的服务支持，另一方面是对应用的服务支持。服务支持包括服务支持能力、服务支持的内容、服务支持的级别、服务支持的响应时限以及服务支持的费用等都是华润部署PKI/CA必须综合考虑的一些方面。

采取自建方式时，华润集团对CA认证中心具有完整的拥有权和控制权，可按照自身的组织架构和安全策略对CA进行管理、运营和维护。CA建设的投入基本为一次性费用，无需为单张证书每年支付额外费用，同时，对CA系统的可用性具有完全的掌握，仅受自身带宽、抗攻击程度和容灾备份措施的影响。而采用第三方模式时，需要针对每张证书每年支付一定的费用，并且证书管理、应用（CRL或OCSP）受服务提供商自身网络带宽、系统稳定性，以及容灾备份措施的影响。

4. 项目实施计划

序号 实施阶段 内容简述 项目准备阶段 本阶段主要针对华润集团资金管理系统CA建设进行需求分析和调研，并根据需求制定实施方案和计划（采取自建模式中级联建设和分散建设模式时需要根据每个中心的特点时间

进行项目准备，因此表中时间为每中心所需人天，集中建设、第三方服务或SAAS模式下按照等同于一个中心所需时间，其他阶段相同） 1 2 3 项目组组建 需求调研 实施方案 成立相关项目组，确定相关成员 包括CA建设模式、管理流程、应用集成等 根据需求确定实施方案及计划 机房建设阶段 本阶段主要针对CA认证中心进行物理场地的规划和建设，采用第三方服务或SAAS模式时无需该步骤 1 机房建设 信息产业部对CA运营机房 10人天 1天 10人天/中心 10人天/中心 系统部署阶段 本阶段主要完成CA的部署、初始化等相关工作 1 2 3 4 5 CA建设 KC RA部署 LDAP部署 CA/RA定制 CA系统部署、数据库、加密机等 签发根CA及二级子CA 部署RA系统、数据库、加密机等 证书发布模块及LDAP相关配置 根据业务需要，配置证书模板、审批模式、发布模式等 6 运营管理咨询及培训 根据华润集团证书审批模式等制定运营管理规范和流程，并针对相关人员进行培训 3人天/中心 3人天 3人天 3人天/中心 1人天 5人天/中心 测试及验收阶段 协助华润集团对CA及证书应用进行测试、总结、验收 1 系统测试 测试证书申请、更新、吊销、审批、下载等流程 2 系统验收 根据合同对项目进行总体验收 2天 5人天/中心

5. 证书管理流程

华润集团银企互联CA系统无论采取何种建设模式，证书的生命周期管理都需要包含发放、更新、吊销等流程。

? 证书发放流程

证书发放流程是证书业务中最为重要的流程，恰当合理的证书发放流程将会大大提高证书申请效率，减少管理员和最终用户的误操作率。我们在设计证书申请流程时主要考虑下面几点：

(1) 申请流程安全高效； (2) 与银企互联业务模式相符； (3) 与用户原来工作习惯一致；

? 证书用户类型分析

不同的用户，其工作方式和工作习惯是不相同的，我们可以原则性将华润集团资金管理系统现有需要使用数字证书的用户划分为两类： (1) 高管用户：高管用户通常忙于集团总部的策略、方针和管理工作，人员

数量相对要比普通员工少得多，因此我们建议高管用户的证书申请由管理员代为申请；

(2) 普通员工用户：普通员工用户数量大，因此我们建议大部分的普通员工

证书申请由员工自己申请。

? 用户鉴别模式分析

资金管理系统证书应用范围主要面向集团内部用户发放，其用户鉴别要求相对互联网外部电子商务用户的鉴别要求要低得多，因此我们可以考虑结合使用通行码来完成身份鉴别。

? 证书申请信息录入模式分析

考虑到华润集团内部信息化程度较高，业务系统中已经创建了用户帐号信息，因此，可以不需要用户自行录入而采用接口程序实现用户证书申请数据直接从现有业务系统帐号数据库读出供用户证书申请直接使用。

? 用户证书申请流程设计

针对高管的证书申请流程

? RA管理员将需要申请证书的领导工号信息录入到注册系统，从业务系

统调取相应信息录入RA注册系统；如果采用第三方服务模式或SAAS模式，RA系统无法与华润集团内部业务系统进行集成整合，此时需

要华润集团向第三方服务提供商或SAAS服务提供商提供相应的注册信息；

? 注册系统返回用于识别用户身份的通行码； ? RA管理员登录证书申请WEB页面； ? 输入工号和用于鉴别用户身份的通行码；

? 注册系统将输入的工号作为索引到业务系统帐号信息把与该用户帐

号申请证书信息相关的信息（如姓名等，可以华润集团实际需求进行定制）返回注册系统；

? 如果通行码验证通过，RA管理员根据系统提示插入USB KEY作为证书

存储介质；

? USB KEY产生密钥对，其中公钥信息和用户注册信息一起通过注册系

统上传到CA系统来签发用户证书；

? 证书签发完毕返回管理员，然后系统将证书写入USB KEY内； ? 管理员将装有数字证书的USB KEY交给高管使用。 针对普通员工的申请流程

? 申请证书的普通员工登录证书申请页面，输入注册信息；

? RA管理员登录管理中心，审核用户注册信息，并批准（华润集团可根

据实际情况设置多管理员会审机制，多个管理员都批准后，该证书申请才生效）；

? 系统产生下载PIN码，并自动以邮件或短信的方式将PIN发送给最终

用户（客户注册的手机或邮箱信息必须正确）； ? 最终用户登录证书申请WEB页面；

? 输入鉴别用户身份的PIN码，并插入USB Key；

? USB Key产生密钥对，其中公钥信息和用户注册信息一起通过注册系

统上传到CA系统来签发用户证书；

? 证书签发完毕返回用户端，然后系统将证书写入到USB Key内； 如果采用第三方服务的建设模式，华润集团需在用户注册证书前，将用户名录发送给第三方服务机构，第三方服务机构RA管理员针对名录核实用户注册信息。

? 证书吊销流程

在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书，根据华润集团资金管理系统的应用情况，本方案设计证书吊销由管理员进行，其工作流程如下：

? 管理员在发现用户违反使用规定，或者用户自己向管理员发送邮件，

请求吊销自己的证书时，管理员访问CA系统管理员模块，进行用户证书吊销用户；

? 管理员通过证书管理功能页面，查询到需要吊销的用户证书； ? 管理员选择吊销操作，选择吊销用户证书的原因，向CA系统发送证

书吊销请求；

? CA系统根据管理员的证书吊销请求，自动的吊销用户的证书，并将

吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新；

? CA系统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，

告诉用户证书已经被吊销，不能再使用自己的证书。

如果采用第三方服务的建设模式，华润集团需向第三方服务机构提交待吊销用户名录，第三方服务机构RA管理员针对名录吊销客户证书。 ? 证书更新流程

最终用户在其证书即将过期之前，会接到证书系统发出的证书到期更新通知，并告知用户需要登录证书注册系统进行证书更新操作。用户更新自己的证书，其流程为：

? 最终用户在接到证书更新请求后，登录用户服务页面，点击“证书更新”

选项；

? 系统自动识别用户是否具有华润集团银企互联CA系统颁发的数字证书，

并且判断是否过期，如果即将过期，便提示进行更新；

? 用户选择需要更新的证书，点击提交，向CA系统提交证书更新请求。在

提交证书更新请求时，在USB Key中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给CA系统；

? CA系统自动批准证书更新请求，自动更新用户证书，将更新的证书发布

到目录服务器，同时将更新证书返回到用户端，自动保存到USB Key中。 在华润集团资金管理项目中，各个资金中心可能会根据自身需要建立适合业务特点的证书管理流程和方式，因此，CA系统的证书发放流程需要能够灵活多样或易于定制，至少应包含如下的证书发放方式：

1、

在线申请方式：用户通过登录证书申请页面，填写用户信息，然后提交到RA数据库，之后RA管理员登录系统来审批，审批通过后，系统给用户发邮件，告知相关证书下载信息，用户自行登录到证书下载页面进行证书下载安装；

2、

PASSCODE方式：RA管理员预先制定一批PASSCODE（随机数），并将该PASSCODE发放给内部员工，内部员工登录证书注册页面，填写注册信息及PASSCODE，系统核对PASSCODE后立即签发数字证书，该模式类似于通信/网游领域充值卡的发放流程。CA系统还应允许通行码与固定规则捆绑（域名、单位名称等）功能，华润集团RA管理员可将通行码发送给下属分支机构，由下属分支机构自行决定如何发放通行码，最终用户申请证书时需输入通行码，依靠这种方法，总部RA管理员能够对证书发放数量、证书实体的对应关系（由绑定规则约束）进行有效控制，同时把证书发放工作量分担给下属分支机构；

3、

自动模式：CA系统需提供标准接口，可以与其他业务系统进行集成，用户申请证书时可将注册信息与业务系统数据库进行比较，以决定改用户身份是否合法。如：可以与域登录服务器集成，用户在注册时必须提供域登录口令，CA通过集成接口将该口令提交至域登录服务器，验证通过后自动签发数字证书；

4、

RATookit方式：为适应华润集团不同的资金中心对证书发放和管理的定制化需求，CA系统需提供一组RA集成接口或WEB Service接口，可将证书申请流程与业务系统集成，在业务系统中完成证书申请/审批/下载过程。如：将CA与ERP系统集成，员工无须在OA系

统和CA系统中分别注册或开户，统一操作，同时完成两套系统的开户或注册操作。

本文来源：https://www.bwwdw.com/article/grp6.html