天威诚信依据BS7799 建设安全可靠的PKI/CA认证中心 北京天威诚信电子商务服务有限公司 2004年5月10日 1天威诚信公司简介 北京天威诚信电子商务服务有限公司（iTruschina）是经信息产业部批准的全国性PKI/CA 企业，是专门从事数字信任服务、PKI/CA建设服务、PKI/CA应用服务、PKI/CA运营管理咨询 服务和PKI/CA体系整体规划服务的专业化信息安全技术与服务公司。 天威诚信依照我国国情和密码管理政策，借鉴国外先进技术及管理方法，依据BS7799建设 和运营政府认可的、权威、可信、公正的PKI/CA认证中心，研制了具有自主知识产权的PKI产 品及应用，对外提供全面的数字信任服务。公司在开展自身业务的同时，参与了国家有关PKI/CA 体系规划、建设和运营管理等方面的工作，并积极参与中国电子签名法立法。天威诚信正以其 领先的技术、先进的管理方法和全面而精湛的产品与服务，为中国的信息安全服务。 2为什么要依据BS7799建设天威诚信PKI/CA认证中心 安全对于今天数字环境下的每一种经营业务来说都是至关重要的，而对于PKI/CA认证中心 来说，安全则是其对外提供数字信任服务的基石。PKI/CA认证中心作为第三方机构，专门负责 发放并管理所有参与网上业务的实体所需的数字证书，数字证书是网络世界中的身份证，可以 在网络世界中为互不见面的用户建立安全可靠的信任关系，而这种信任关系的建立则源于 PKI/CA认证中心，构建安全的PKI/CA认证中心是至关重要的。因为，如果PKI/CA认证中心安 全性不够，非法用户可能入侵PKI/CA认证中心，窃取CA密钥，假冒认证中心签发数字证书， 整个PKI/CA认证中心的信任体系将崩溃，将直接影响认证中心的利益，影响顾客的利益，甚至 会给国家带来巨大的损失。 顾客将期望PKI/CA认证中心在各个方面都展示出最高水平的安全，但由于影响安全的要素 众多，从具体的物理安全到抽象的逻辑安全，其中既有人为因素也有非人为因素的影响，要解 决这些问题，一个信息系统需实现包括信息系统安全、数据通信安全、密钥管理安全、证书管 理、安全审计、物理安全和人员安全等等方面的安全防御体系，需要制定出详细的策略并遵照 执行，而目前我国还没有专门针对PKI/CA认证中心的安全性建设制订一套有效的策略和规范。 在当前环境下，为了让用户切实感到天威诚信所提供的服务是安全可信的，从而推动电子 政务、电子商务等对信任机制要求较高的网上业务的发展，天威诚信只有从加强信息安全管理 并向用户展示安全管理水平方面才能切实获得用户的信任，消除用户残余的安全忧虑。为了实 现这个目标，天威诚信通过认真学习和研究BS7799，认为BS7799对安全管理方面的定义和描 述完全满足PKI/CA认证中心的安全性要求，并且该标准已经可以作为国际公认的可用于认证、 认可的安全管理标准。因此，为了保证认证中心的建设能够在有效的、成熟的标准指导下进行， 同时有可通过该国际公认的标准进行检验并获得认证，从而实现向用户展示公认的安全管理水 平的目标，天威诚信决定依据BS7799定义的安全管理活动中的目标和措施来制定了天威诚信 PKI/CA认证中心的各项安全管理策略及具体措施，在实施后的长期运行过程中取得了良好的效 果，现已形成了可持续改进的良性运转的安全管理体系。 3天威诚信如何结合BS7799建设PKI/CA认证中心 下面我们从BS7799定义的十个安全管理领域出发，分别阐述CA中心的运营安全管理体系 是如何与其控制点进行结合的。 3.1安全方针 【信息安全方针的建设要点】：BS7799定义安全方针是为信息安全活动提供管理的方向以 及所需的支持手段和管理层的承诺，同时安全方针还应该明确定义企业机构中安全策略的维护 责任。典型的安全方针包含内容非常广泛，包括信息安全的定义和目的，以及在信息共享运转 机制中安全防范的领域和重要性；管理意图的阐述，信息安全目标和原则的支持；安全策略、 原则和标准的简要说明以及对机构尤其重要的规范实施条件的解释；阐述信息安全的职责；等 等。 【实施方法与形式】：天威诚信公司结合认证机构的建设特点，结合自身业务要求及运营 风险，依据认证中心不同运营控制域分别制定了六个方面的安全策略，分别是人员安全策略、 物理安全策略、逻辑安全策略、通讯安全策略、密钥安全策略以及安全与审计策略。 在实际运营建设中，天威诚信参照BS7799建议的控制措施，对安全策略进行文档化控制， 在企业范围内最大化的让广大用户及内部员工所了解和接受，并指导各种规定制度、操作程序 的制定及实施，并定期进行评审和评估。 3.