公钥基础设施系统运行维护管理规定
1 范围
本标准规定了 XX 公司(以下简称“公司”)公钥基础设施系统运行维护中的管
理职责、内容与方法、报告和记录管理、检查与考核内容。
本标准适用于公司本部及所属各单位公钥基础设施系统运行维护管理工作。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用
文件,其随后所有修改单(不包括勘误的内容)或修订版均不适用于本标准,鼓励
用最新版本,但是否采用最新版本由公司标准化委员会研究决定;凡是不注日期的
引用文件,其最新版本适用于本标准。
南方电网公司 南方电网信息〔2009〕1 号 关于印发《南方电网公司 PKI/CA
身份认证系统标准的通知
3 术语和定义
下列术语和定义适用于本标准。
公钥基础设施系统
XX 公司公钥基础设施系统(以下简称 PKI 系统),是为 XX 公司从事相关业
务工作的个人与单位创建、分配和管理数字身份证书的系统,是 XX 公司安全体系
的重要组成部分。PKI 系统由 CA(认证中心)、RA(注册中心)及 KMC(密钥
管理中心)组成,提供数字证书制作、身份认证、访问控制和安全审计等安全服务。
认证中心(CA)
在 PKI 系统中处于主导地位,享有最高的安全级别。它负责对其它系统提出
的请求给出应答,签发证书及撤消证书,管理中央数据库和管理主用户等。
注册中心(RA)
PKI 系统的审核机构,负责申请的审核、管理等,是 RA 管理员对一般用户进
行管理的前端界面。
密钥管理中心(KMC)
PKI 系统的主要扩展系统,负责生成加/解密密钥、托管解密密钥、恢复解密
密钥和对密钥历史的管理。
4 职能与职责
职能与分工
信息通信分公司是本单位 PKI 系统运行维护部门。
XX 公司信息部是本单位 PKI 系统运行维护管理的监督部门。
XX 公司使用 PKI 系统的单位或部门为使用部门
系统运维部门职责与权限
系统运维部门负责制定、实施本单位 PKI 系统运行维护操作规范,负责证书
发放及撤消。
信息管理部门职责与权限
信息管理部门负责本单位 PKI 系统证书发放策略制定、审批、监督审计。
使用部门职责与权限
使用部门须遵守、执行 PKI 数字证书使用管理规定。
5 管理内容与方法
运行管理
PKI 系统应实行 7×24 小时运行,系统运维部门应做好日常巡视,每天检
查网络设备、主机设备、密码机、机柜等硬件运行情况,在重要时期应安排人员进
行值班,以确保 PKI 系统的正常运行。
系统运维部门应定期对 PKI 系统内的 CA、RA、KMC、目录系统、数据
库等软件模块运行情况进行巡检,做好数据备份,如有异常情况,能及时通过有效
技术手段和措施恢复系统运行。
维护管理
PKI 系统与其它业务系统的结合,应由业务系统的管理部门提出申请,
经信息管理部门许可,由业务系统的开发商、运维商及 PKI 系统管理员制定可操
作的实施方案,并测试通过后,方可结合使用。
PKI 系统后台维护由 PKI 系统管理员专人负责,任何人未经许可不得擅
自操作设备。
对 PKI/CA 身份认证系统的配置进行修改或者软件升级等操作,须履行信
息工作票手续并得到系统运维部门领导同意后方可进行,严禁随意操作。
操作管理
超级管理员负责管理操作员、审计员和司法取证员,并授权其进行数字
证书的申请、领取、使用、更新、停用、撤销和挂失等工作,超级管理员可由 PKI
系统管理员兼任。
操作员主要负责在注册中心(RA)进行数字证书申请、更新、注销等信
息的录入、复核和证书发放,操作记录须妥善保管;不得擅自制作任何形式的数字
证书;对离职人员、遗失或被盗的数字证书,应及时注销该用户数字证书。
审计员通过各个系统模块的审计查询功能,动态掌握各个系统的业务运
行情况;审计身份认证系统证书发放情况,并将结果上报超级管理员;审计业务操
作日志,对审计出的异常结果,调查相关责任人。
司法取证员负责在发生司法取证的情况下,对相关的密钥进行提取工作;
至少两位司法取证员在场,才能进行司法取证工作;司法取证员其中的一名可由审
计员兼任。
使用管理
使用人员应妥善保管数字证书及其介质,避免个人信息泄露。
使用人员应定期修改数字证书的 PIN 码,保证个人信息安全。
使用部门应及时向系统运维部门反馈离职人员及数字证书遗失、被盗信
息,避免个人身份冒用。
检查与考核
本管理规定检查与考核纳入信息化水平评价考核范围。
日常巡视应在 IT 集中监控系统上进行相应记录。
维护操作应在 IT 集中监控系统上进行相应记录。
数字证书申请录入操作应记录《数字证书申请录入记录表》,格式见附
录 A;每月底形成《数字证书申请统计表》,格式见附录 B。
6 报告和记录
Q/HD 《数字证书申请录入记录表》 信息部保存 保存年限 X 年
Q/HD 《数字证书申请统计表》 信息部保存 保存年限 X 年
7 附录
附录 A
附录 B
