系統(tǒng)安全系統(tǒng)性、穩(wěn)定性說明書

1、MWEMb時W信成天威誠信PKI/CA系統(tǒng)安全,穩(wěn)定性說明HrusChinA1 前言對于上海環(huán)迅電子商務有限公司是中國領先的在線支付服務提供商，作為在線支付市 場的先行者和領導者，上海環(huán)迅一直專注在電子支付的商業(yè)應用及金融業(yè)的電子化服務， 因此對環(huán)迅公司的在線支付系統(tǒng)提供安全支持的公司必須要具備非常專業(yè)的技術背景、強 有力的技術支持和服務能力，以及完整的國家資質才能為上海環(huán)迅的在線支付系統(tǒng)保駕護 航，為上海環(huán)迅成為世界領先的電子支付應用和服務的提供商提供受到法律保護的安全基 礎。2系統(tǒng)安全性對于天威誠信PKI/CA系統(tǒng)的安全性，天威誠信通過嚴格的物理安全、網絡安全、信 息安全、人員安全和密鑰安

2、全來保證CA中心的安全，具有很高的安全性。物理安全天威誠信制定了嚴格的物理安全策略，主要包括：天威誠信CA系統(tǒng)按照在天威誠信安全數據中心，數據中心的物理場地按照嚴格 的安全訪問政策從結構層次上進行了劃分，采用物理分層的結構，將系統(tǒng)安裝在 層次較高的物理層；進出各層具有嚴格的物理安全訪問控制策略進行保護，必須出示相關證件或身份卡，包括員工證、門禁卡和指紋機等;物理場地配備了 24 X 7 X 365保安員，整個物理場地進行24小時錄影監(jiān)視。網絡安全天威誠信制定和執(zhí)行嚴格的網絡安全策略，主要包括：天威誠信將系統(tǒng)采用了兩道防火墻與Internet進行隔離，CA系統(tǒng)的前臺安裝在 DMZ區(qū)，核心后臺安裝

3、在軍事化區(qū)，和前臺通過防火墻進行隔離，任何Internet 用戶都無法直接訪問CA系統(tǒng)核心后臺；系統(tǒng)網絡和日常辦公網絡完全分開，都采用分段控制，并以內部和外部防火墻作 保護；對于系統(tǒng)的所有服務器都以SSL來加強對客戶連接的安全性保護。信息安全天威誠信制定和執(zhí)行嚴格的信息安全策略，主要包括：系統(tǒng)/服務器充分考慮信息安全，采用動態(tài)口令方式包含系統(tǒng)的口令，并采用單 獨系統(tǒng)監(jiān)控/防止病毒入侵；系統(tǒng)/服務器充分考慮了穩(wěn)定性設計，采用了多路數據專線，防止斷線，數據專 線連接采用多個供應商，防止供應商斷線；充分考慮了數據庫系統(tǒng)的安全，采用多硬盤實時備份(Mirroring)，采用多處 理器，采用可熱換的硬盤

4、，并嚴格進行系統(tǒng)/服務器的備份，每晚對數據進行備 份，定期將備份數據存放到安全的第三方；充分考慮了電源穩(wěn)定性設計，數據中心具有獨立的后備電源，并配備了發(fā)電機。人員安全天威誠信制定和執(zhí)行嚴格的人員安全策略，主要包括：天威誠信具有詳細的、規(guī)范的可信雇員政策，對員工進行審查，并詳細規(guī)定員工 的職責；天威誠信員工對系統(tǒng)的操作嚴格按照天威誠信制定的規(guī)范的操作流程進行，并定 期對操作記錄進行安全與審計；天威誠信制定了嚴格的物理和系統(tǒng)訪問權限控制，對于非授權人員禁止操作。密鑰安全密鑰安全包括根CA和子CA密鑰的安全，以及用戶證書密鑰的安全。CA 密的安全CA密鑰是對根CA和子CA密鑰的統(tǒng)稱，需要從兩個方面進

5、行分析：. CA密鑰的產生 CA密鑰在天威誠信的安全數據中心離線的物理環(huán)境中產生，使用經過國家相關部門認證通過的國產加密機來產生。為了保障CA密鑰產 生的公正性和權威性，天威誠信會進行規(guī)范的密鑰生成儀式，整個過程將會有錄 像記錄。舉行密鑰生成儀式至少需要七名相關的人員參加。.CA密鑰的安全存儲所有密鑰都是保存在天威誠信最安全的物理層，根密鑰離線的保存在安全級別最高的層次，并通過密鑰分割的方式由多人負責管理。 對于在線CA的密鑰，安裝在安全數據中心的在線最高物理層，對于在線CA密 鑰的上載，至少需要七名相關人員才能進行。實用標準文案3系統(tǒng)性能分析系統(tǒng)處理能力天威誠信PKI/CA系統(tǒng)設計初期處理能

6、力為“千萬”級證書容量，可以根據業(yè)務的擴 展需求進行動態(tài)的擴展。目前已經對外簽發(fā)了十幾萬張證書，系統(tǒng)沒有任何問題和壓力。 以下提供各模塊的處理能力的測試數據，包含CA中心服務器的處理能力、RA中心服務 器的處理能力、用戶證書的發(fā)證能力、及目錄服務器的查詢能力等。CA 中心服器理能力一個用戶請求需要通過CA中心服務器和簽名服務器的邏輯處理，如果是證書簽發(fā)請 求則會經過邏輯處理后再交給簽名服務器和加密機處理。CA服務器的處理能力指標主要 是并發(fā)處理能力。環(huán)境硬件配置Sun Sparc Ultra 2操作系統(tǒng)Solaris 2.6加密卡SJY17-B性能設計序號性能參數處理能力1并發(fā)性能165個用戶

7、請求/秒2平均連續(xù)處理601000次/小時圖表CA處理能力表CA 中心加密機S能力CA中心簽名服務器將使用加密機，完成用戶證書簽發(fā)、非對稱密鑰加解密等的功能。因此，在上述服務器的性能設計中，主要提供了關于加密機的處理性能。環(huán)境硬件配置加密機操作系統(tǒng)RedHat Linux 6.0加密機/卡SJY17-B性能設計序號性能參數處S能力1RSA 1024位簽名運算速度250次/秒2RSA 1024位驗證運算速度1000次/秒3對稱算法加、解密速度12.5Mb/ 秒。4生成一對RSA密鑰的平均時間3秒圖表錯誤!使用,開始”選項卡將標題1應用于要在此處顯示的文字,-1加密機處理能力表3.1.3錄服務器處

8、理能力用戶證書查詢以及證書黑名單查詢可以通過LDAP協(xié)議來查詢，目錄服務器處理能力的主要指標是單個查詢的響應時間以及目錄服務能夠承受的最大并發(fā)查詢數。環(huán)境硬件配置Sun Sparc Ultra 2操作系統(tǒng)Solaris 2.6性能設計序號性能參數處a能力1單個查詢響應平均時間0.0843 秒/次2最大并發(fā)量300圖表目錄服務器處理能力表先進性和開放性天威誠信PKI/CA系統(tǒng)采用Verisign的技術平臺，VeriSign已經與超過100家獨立 軟件廠商建立了合作伙伴關系，其中包括 Microsoft，Netscape，Lotus，Oracle， Cisco等等。采用VeriSign技術平臺的建

9、設的天威誠信PKI/CA系統(tǒng)也延續(xù)了這種開放 性。在此開放性的平臺上，有系列產品能夠有效支持這些廠家的應用軟件產品，這些產品 包括：安全Web應用、安全Email應用、安全MS Exchange應用、安全Lotus Notes 應用、安全ERP應用和安全VPN應用等。與此同時，天威誠信PKI/CA系統(tǒng)嚴格采用國際標準或工業(yè)標準的技術，如PKIX標 準，保證系統(tǒng)最大的兼容性。其中：（1）與國內外其他CA認證體系交叉認證：用戶應用采用天威誠信CTN認證體 系，可以與國內外其他符合國際工業(yè)標準的CA認證體系進行交叉認證，很容 易實現與國際認證體系的接軌，實現將信任域擴充到全球。（2）與各種電子商務平

10、臺體系相兼容：天威誠信PKI/CA系統(tǒng)采用的技術路線是完 全符合全球工業(yè)標準的技術路線，該體系已經廣泛應用到全球的電子商務平臺 中，本產品已經與超過100家獨立軟件廠商建立了合作伙伴關系，其中包括Microsoft, Netscape , Lotus , Oracle , Cisc。等。（3）密碼模塊的兼容性：密碼模塊的兼容性主要指用戶密鑰生成模塊的兼容性，天威誠信PKI/CA系統(tǒng)具有良好的兼容性。RA中心提供了預留接口，支持提 供PKCS#11以及CSP證書接口的所有設備，可根據用戶的需要，使用自己的 算法，來生成用戶證書的密鑰對，提高保密性能。（4）密碼算法的兼容性：天威誠信PKI/CA系

11、統(tǒng)支持與國內外多種算法相兼容：公開密鑰密碼算法：RSA、DSA等；對稱密鑰密碼算法：DES、Tri-DES、RC4、AES等；散列算法：MD5、SHA1等。（5）協(xié)議的兼容：證書申請、下載、存儲支持PKCS#9/10/11/12系列以及微軟開發(fā)的CSP 系列；目錄服務、黑名單CRL發(fā)布都支持LDAP協(xié)議，以及通用的目錄服務 器，如：OPEN LDAP 軟件、SUN 的 iPlanet Directory Server ；證書在線查詢支持OCSP協(xié)議；時間戳服務完全符合最新發(fā)布的RFC3161標準；用戶端安全應用支持S/MIME安全電子郵件協(xié)議，SSL安全傳輸加密協(xié) 議；證書格式的兼容：能夠兼容

12、各種符合X.509 V3標準的多種證書格式。安全可靠性對于一個提供信任和安全保障服務的PKI/CA系統(tǒng)來說，其自身對安全性的要求是不言而喻的，根據上述描述，天威誠信PKI/CA系統(tǒng)具有很好的安全性。易操作性天威誠信PKI/CA系統(tǒng)為用戶提供的證書服務都使用瀏覽器（如IE和Netscape）進 行操作，完全基于B/S模式的操作方法，一方面無須專門的客戶端，使用快捷簡單；另 一方面用戶上手快，大大節(jié)省了培訓成本。同時具有交互界面，具有詳細的、中文的用戶 使用幫助和專門的幫助庫?？蓴U展性天威誠信PKI/CA系統(tǒng)具有良好的可擴展性，包含多個方面的可擴展性：證書的可擴 展性、認證體系信任域的可擴展性、加

13、密算法的可擴展性、及對應用支持的可擴展性等：（1）證書的可擴展性：天威誠信PKI/CA系統(tǒng)簽發(fā)的證書本身帶有很多可擴展的字 段，可以根據用戶的應用需求來利用這些擴展字段，還可以根據用戶的需求對證 書上顯示的字段進行定制；（2）認證體系的可擴展性：對外信任域來說，可以通過交叉認證的方式實現與國內 夕卜其他的CA信任域互聯(lián)互通。另外，系統(tǒng)為用戶應用設計的三層認證體系結構 可以擴展成四層、五層，乃至無限，子CA可以簽發(fā)下級子CA，由下級子CA 來簽發(fā)用戶證書；（3 ）密碼算法的可擴展性：支持多種對稱算法、非對稱算法以及數字摘要算法，如：RSA、ECC、QC-1、QC-4、DES、RC4、RC2、ID

14、EA、MD5、SHA1 等。（4 ）對應用支持的可擴展性：天威誠信提供完整的證書應用API，包括C、JAVA和 COM接口，提供用戶使用手冊和用戶使用技術支持，可以充分的保證用戶應用 系統(tǒng)的需求，以及將來其它應用的擴展。4系統(tǒng)穩(wěn)定性天威誠信CA中心系統(tǒng)對CA系統(tǒng)安全、信息系統(tǒng)安全進行嚴格設計，以實現其所提 供證書服務的穩(wěn)定性。天威誠信在系統(tǒng)安全技術、穩(wěn)定技術上進行不斷改進，以確保為用 戶提供優(yōu)質的服務。CA系統(tǒng)安全CA系統(tǒng)總體安全構架CA中心系統(tǒng)通過多層防火墻將系統(tǒng)劃分為多個區(qū)域，對不同的區(qū)域應用不同的安全 策略。CA系統(tǒng)安全根據邏輯進行分類，包括密碼安全、密鑰安全、操作系統(tǒng)安全、通信 安全和

15、信息系統(tǒng)安全等。圖1總體系統(tǒng)拓撲圖4.1.2操作系統(tǒng)與數據庫安全CA中心系統(tǒng)采用UNIX操作系統(tǒng)，并且對于操作系統(tǒng)進行優(yōu)化加固，包括：系統(tǒng)安全補丁。專人負責定期檢查安全補丁信息，并及時為系統(tǒng)打補丁。優(yōu)化系統(tǒng)參數配置。優(yōu)化操作系統(tǒng)對于進程管理、網絡通信和文件系統(tǒng)相關參 數，防止基于棧溢出、網絡、文件權限等攻擊。用戶管理。禁止系統(tǒng)不需要的用戶，控制用戶的登錄終端，強制用戶定期修改密 碼，并通過UMASK確保用戶創(chuàng)建文件的權限正確。服務。禁用系統(tǒng)不需要的服務。網絡接口調整和安全優(yōu)化。關閉不需要的網絡服務，并禁止路由功能。審計。增強操作系統(tǒng)系統(tǒng)的審計功能，同時，將審計記錄發(fā)送到系統(tǒng)的審計中 心，進行保

16、存和分析。修改banner。去掉操作系統(tǒng)及其版本信息，使系統(tǒng)信息不暴露于外界。對于數據庫采用下述加固措施：用戶組的安全性。數據庫軟件安裝在專有的用戶和用戶組，應用程序的用戶只能 有限地訪問數據庫資源。服務器實用例程的安全性加固。數據庫歸專有用戶所有，DBA相關程序只能被 DBA用戶訪問。增強數據庫文件的安全性。數據庫文件及其目錄只能被安裝數據庫的用戶訪問。系統(tǒng)安全性策略。數據庫安全性管理者只擁有create，alter，或drop數據庫用 戶的權限；數據庫用戶通過主機操作系統(tǒng)進行身份確認；數據庫管理員擁有 create和delete文件的操作系統(tǒng)權限，一般數據庫用戶沒有create或delet

17、e與 數據庫相關文件的操作系統(tǒng)權限。數據庫管理者安全性。更改有管理權限的系統(tǒng)用戶的默認密碼，防止非法用戶訪 問數據庫；只有數據庫管理者能用管理權限連入數據庫；使用角色對管理者權限 進行管理4.1.3密碼安全CA中心系統(tǒng)所采用的密碼算法為通用算法，算法強度為目前商業(yè)應用普遍采用的強度。CA中心所采用算法及其強度如下表所示:算法強度（位）用途備注RSA1024CA證書密鑰對，用戶證書密鑰對3DES112通信數據加密RC4128通信數據加密MD5128完整性保護，數字簽名SHA1160完整性保護，數字簽名為了保證CA系統(tǒng)中密鑰的安全性，尤其是如CA證書密鑰的安全性，本系統(tǒng)采用了 安全可靠的硬件加密設

18、備，密鑰不能以明文形式出現在硬件加密設備之外。CA系統(tǒng)采用 的硬件加密設備北京天融信公司生產的SJY17-B PCI加密卡，其內部采用SSP04-A密碼 算法芯片、經過國家密碼管理員委員會批準的WNG4隨機數發(fā)生器，內部實現SSF33分 組密碼算法和RSA算法。4.1.4安全審計天威誠信CA系統(tǒng)在運行過程中，對在線系統(tǒng)和離線操作事件進行審計，在線系統(tǒng)審 計信息存儲于日志文件和數據庫中，離線審計則以紙質介質進行記載。系統(tǒng)審計內容如 下：類別事件安全任何對審計參數的改動，如：審計頻率、審計事件類型等。審計任何刪除審計日志的企圖。標各級管理員（CA管理員、RA管理員）操作時鑒別結果是成識 和功還是失

19、敗，終端用戶與CA系統(tǒng)的連接的結果鑒 別鑒別嘗試不成功的次數超過設定的限值導致的會話連接終止。用戶注冊時的鑒別失敗次數達到限定值；管理員將一個因鑒別失敗次數達到限定值而被鎖住的用戶解鎖；管理員修改鑒別器類型，如：將口令鑒別機制更改為IC卡鑒別。本地/遠程數據登錄進入系統(tǒng)的所有安全相關的數據。數據導出與輸出所有成功或失敗的確認請求和安全相關信息。密鑰生成CA系統(tǒng)每次生成密鑰時的相關信息私鑰加載與存儲私鑰組件的加載；所有訪問證書主體私鑰駐留在系統(tǒng)中，用于密鑰恢復。信任公鑰登錄、刪除和存儲信任公鑰或與之相關的所有信息的更改和刪除。安全密鑰存儲用于鑒別的安全密鑰的手工登記。安全私鑰導出安全私鑰的導出（

20、用于單個會話或消息的密鑰除外）證書登錄所有的證書申請證書撤消所有證書撤消請求證書狀態(tài)更改批準批準或拒絕證書狀態(tài)更改請求證書管理配置角色/用戶的增加/刪除用戶帳號/角色的訪問控制特權的更改證書輪廓管埋證書內容和形式的所有更改或升級4.2信息系統(tǒng)安全4.2.1網絡系統(tǒng)安全網絡基礎設施涉及到通信線路、網卡及調制解調器、網絡協(xié)議、服務器和諸如路由 器、防火墻、集線器和交換機等網絡設備。系統(tǒng)在該部分的安全實現包括設備自身安全和 設備的正確使用和配置。天威誠信網絡系統(tǒng)的安全包括網絡鏈路的冗余設計、虛擬子網的劃分、防火墻系統(tǒng)、 防病毒系統(tǒng)和IDS系統(tǒng)部署。.防火墻系統(tǒng)系統(tǒng)通過防火墻將系統(tǒng)劃分為DMZ區(qū)、前端

21、、后端和業(yè)務操作區(qū)。DMZ區(qū)存放 供公共服務的DNS和MAIL ；前端存放共系統(tǒng)用戶使用的WEB、LDAP等服務，共 互聯(lián)網用戶訪問；后端存放系統(tǒng)核心業(yè)務處理邏輯、數據庫和相關加密服務，只能被 前端、和業(yè)務操作區(qū)訪問；業(yè)務操作區(qū)供CA中心系統(tǒng)業(yè)務管理員對系統(tǒng)進行業(yè)務處 理，位于業(yè)務操作去的主機只能訪問后端的特定服務。.安全掃描系統(tǒng)系統(tǒng)采用ISS的基于網絡的漏洞掃描工具Internet Scanner和對網絡中的設備及 主機進行漏洞掃描。掃描對象主要是重要服務器以及網絡中的重要網絡設備。對于網 絡中的網絡設備來說，例如交換機，路由器和防火墻等等，本系統(tǒng)利用Internet Scanner對其進行

22、定期的掃描，以確定了解網絡中存在那些漏洞，從而針對存在的漏 洞進行修補處理。系統(tǒng)對網絡中的所有網絡設備和主機都使用Internet Scanner定期進行掃描，對 于重要服務器，我們使用System Scanner進行掃描。.實時入侵監(jiān)測系統(tǒng)一方面通過對整個網絡定期進行漏洞評估，另一方面采用IDS來對網絡中的突發(fā) 事件進行實時的監(jiān)控并做出實時的響應，在系統(tǒng)內部，配置ISS公司的RealSecure 系列產品。.病毒防護系統(tǒng)系統(tǒng)采用Trend Micro的TVCS，MIS人員通過單一客戶端Web監(jiān)控程式，集 中管理所有安裝于不同地點、不同平臺上的各個服務器防毒軟件，并自動安裝、設 定、配置及更新

23、。對于系統(tǒng)使用的郵件系統(tǒng)，亦安裝和郵件系統(tǒng)集成的防病毒軟件，對進出郵件系 統(tǒng)的電子郵件進行實時的病毒查殺。4.2.2主機系統(tǒng)安全用戶帳戶的安全用戶帳戶是在用戶使用網絡、主機或數據庫之前提供給系統(tǒng)的用來標識使用者身份的 信息。在本系統(tǒng)中對用戶帳戶的安全要求如下：.用戶進入系統(tǒng)時，需顯示登錄信息，鑒別用戶身份。.如果嘗試登錄次數超過了限定次數，則終止登錄會話。.如果用戶帳戶閑置時間已超過合理范圍，則禁止該用戶訪問該主機。管理員有權 暫時停止用戶使用權。.如果用戶一定要閑置某個會話，他應該使用鎖定功能，或終止該會話進程。口令的安全根據用戶帳戶和口令就可以登錄到系統(tǒng)中進行相應的操作，而口令通常都是很敏

24、感的，因此對CA系統(tǒng)中口令的安全實現如下：在安裝網絡設備、主機和應用程序時設置了帶有缺省口令的缺省用戶名，找出并 禁止這些用戶名和口令。用戶必須使用健壯的口令口令不易被直接攻擊攻破，不易被猜測(如生日、綽 號等)。不與別人共用口令或將口令寫在易于看到、找到的地方。通過網絡傳輸的口令時，必須進行加密保護傳輸。訪問權限的安全下面是有關訪問權的安全規(guī)則：將公共訪問對象設置在具有恰當訪問權的主機的公共區(qū)域中；對于一般用戶只賦于讀的權限。除非特權用戶禁止改動或刪除數據。對象所有者權限優(yōu)先于組權限，而管理者對被訪對象享有最終控制權；因此，訪 問權的優(yōu)先順序是：管理者，所有者，組成員，其他用戶。為每一位用戶

25、設置明確或隱含的訪問權。比如，組成員或其他用戶不能修改對象 的默認訪問權。修改日期和訪問對象服從于管理權。當某對象的訪問權發(fā)生變化 時，管理者必須審核注意這些變化，既而考慮是否重新設置默認值。全網用戶認證系統(tǒng)為了保證全網管理中用戶身份驗證的可靠性，本系統(tǒng)在網管中心部署一套RSA ACE 系統(tǒng)，全網關鍵網絡設備和主要業(yè)務系統(tǒng)的用戶驗證都集中在該服務器商，便于對于這些 設備的集中管理。4.2.3據備份與恢復天威誠信CA系統(tǒng)配置單獨的備份服務器，并且的個業(yè)務主機上安裝客戶端軟件，進 行集中備份。備份系統(tǒng)具有下述特點:.無人值守管理員可以對網絡上的客戶機設定定時備份。備份可以是完全、增量備份。另外，管

26、理員還可以使用自動備份設定的規(guī)則進行手工備份。當備份服務器和預定程序設置完成后，客戶機可以選擇以下三種方式中的任何一種進行備份:在預定的時間啟動預定備份;在任何時間，通過GUI管理程序或行命令人工進行立即備份;客戶機上的用戶通過代理程序啟動面向用戶的備份。.災難恢復對于災難恢復的解決方案，備份系統(tǒng)是通過冗余備份和產生“GNU TAR兼容”格式磁帶來實現。備份時，系統(tǒng)管理員可以設定進行冗余備份，完成后可以將冗余備份存放到安全地方。另外，所產生的TAR格式兼容磁帶可以在備份服務器不可用時使用標準的UNIX工具進行恢復。4.2.4系統(tǒng)冗余天威誠信的冗余方案包括數據鏈路冗余、主機系統(tǒng)冗余、數據庫冗余、

27、電源冗余、密 鑰冗余和人員冗余。.數據鏈路冗余天威誠信網絡對外接口由兩條物理上獨立的兩條鏈路組成，一條10M光纖鏈路，另一條是2M衛(wèi)星鏈路，鏈路備份結構如下圖所示：網絡衛(wèi)士4000網絡衛(wèi)士4000圖3出口鏈路拓撲圖天威誠信CA系統(tǒng)的出口鏈路配置了兩臺Cisco 2610路由器，下接一臺3300交 換機，兩臺防火墻上聯(lián)交換機，防火墻以Failover方式工作，此結構可以避免出口鏈 路的單點故障。各個設備的設置如下：1）兩臺防火墻以Failover方式工作，配置完全一致，當一臺防火墻出現故障時， 另一臺防火墻自動接管該防火墻的功能；2）交換機收集兩臺防火墻的MAC地址，以用于防火墻Failover

28、方式下的動態(tài)切 換；3）關閉了交換機的管理端口，同時交換機工作在二層，受到黑客入侵以及流量攻 擊的可能性很小，同時該設備在使用中故障率很低，所以只配置一臺交換機； 同時配置一臺同型號的交換機作冷備份。兩臺Cisco 2610路由器配置靜態(tài)路由，如果某條鏈路或路由器出現故障，則通 過手工切換網絡衛(wèi)士 4000的路由設置來實現鏈路的備份。主機系統(tǒng)冗余天威誠信CA系統(tǒng)對于關鍵業(yè)務相關的主機均采用了雙機熱備措施。這些雙機熱 備的服務器中，兩臺服務器的配置完全一樣，由負載均衡器localdirect負責將負載平 均分派給各服務器。在沒有故障發(fā)生的時候，這兩臺服務器同時工作，提高了整個系 統(tǒng)的性能。在其中

29、某一臺服務器發(fā)生故障的時候，由硬件負責使剩余的正常的一臺服 務器將整個服務接管。通過雙機熱備，可以保障系統(tǒng)核心業(yè)務不間斷營業(yè)。.數據庫冗余為確保數據安全，天威誠信CA的數據庫采用了磁盤陣列。在磁盤陣列中采用了 RAID 1技術，把一個硬盤的內容同步備份復制到另一個硬盤里，具備了備份和容錯能 力。在其中主硬盤出錯時，可以及時從從硬盤中接管數據。.電源冗余天威誠信CA中心采用了 UPS為系統(tǒng)提供不間斷電源。電源為兩組EDP70UPS。我們采用的保障措施是雙機熱備。UPS內部連接圖如下圖：CA中心采用兩路UPS串聯(lián)的方法進行主從雙機熱備。在主路UPS故障時，由于 從路UPS的輸出作為主路UPS的旁路

30、電源，可以直接輸出給負載，從而保證了系統(tǒng) 的電源不會中斷。.密鑰冗余天威誠信CA系統(tǒng)對于密鑰冗余設計包括密鑰備份、在線雙機熱備和密鑰恢復。所有CA證書的密鑰對都通過離線的加密卡進行備份，離線加密卡保存在嚴格保 護的保險柜內部，對于離線加密卡的存取需要多人共同完成。對于在線運行的CA證書密鑰，CA系統(tǒng)通過雙機熱備方式進行冗余。兩塊包含相 同密鑰對的加密卡一起運行，當其中一個加密卡出現異常不能對外提供服務時，系統(tǒng) 自動將以來該加密卡的請求分發(fā)至另夕卜一個加密卡，并立即向系統(tǒng)管理員發(fā)送警報信 息，以便得到盡快處理。系統(tǒng)在正常運行期間準備閑置的空白加密卡，當系統(tǒng)在線加密卡出現故障時，立 即使用備份加密

31、卡進行克隆，并使用克隆產生的加密卡替換故障加密卡。.密鑰冗余天威誠信CA系統(tǒng)對于系統(tǒng)的操作、維護和密鑰管理人員進行冗余設置。任何人 員都進行雙人備份，確保系統(tǒng)的正常運行，當相關人員因工作變動等原因不能繼續(xù)擔 任其職務時，及時進行人員補充和培訓。5為何選擇天威誠信北京天威誠信電子商務服務有限公司(iTruschina)成立于2000年9月，是經信息產 業(yè)部批準的第一家開展商業(yè)PKI/CA試點工作的企業(yè)，公司首期注冊資金5000萬元。天 威誠信公司致力于在中國成為向企業(yè)、政府和大眾客戶提供全球化數字信任服務的領先 者，引進國外先進技術及管理方法，依照我國國情和密碼管理政策，進行本地化改造，建 立中

32、國自有產品與服務品牌，為中國的信息安全服務。公司在開展自身業(yè)務的同時，也積 極向有關部門提出了有關商業(yè)PKI/CA建設方面的意見和建議，為國家有關行業(yè)標準和規(guī) 范的建立提供可靠的依據。天威誠信在北京建有1000平米的國際一流水準的數據中心。作為一個權威的、可信 賴的、公正的第三方信任服務的機構，通過CA托管服務、簽發(fā)數字證書、為各種應用系 統(tǒng)提供基于證書的網絡安全解決方案等形式，為網上交易系統(tǒng)的安全以及網上交易參與各 方的相互信任提供安全機制。通過天威誠信的PKI/CA服務，可實現電子業(yè)務過程中的信 息保密性、信息完整性、身份驗證和交易的抗抵賴。天威誠信以可信第三方的身份提供認 證服務，與證書使用雙方無任何利益關聯(lián)關系，真正地實現了公正性與可信賴性。相對于國內已經建立的一些認證服務機構，天威誠信采用了國際上先進的、商業(yè)化的 運作模式，從而使用戶可以順利地與國際接軌。并且，將服務收費與客戶賠付機制結合起 來，以商業(yè)利益關系為基礎建立高公信度，將用戶承擔的風險降到最低，其可信性、公正 性更容易得到大家的認可。同時，公司作為國際著名公司VeriS