安徽 CA 电子认证业务规则 安徽省电子认证管理中心有限责任公司版权所有 版权声明 本电子认证业务规则受到完全的版权保护 本文件中所涉及的 安徽省电子认证管理中心 安徽省电子认证管理中心有限责任公司 安徽 CA 电子认证业务规则 安徽 CA 及其标识等, 均由安徽省电子认证管理中心有限责任公司独立享

Transcription

1 安徽 CA 电子政务电子认证 业务规则 版本 3.0 ( 生效时间 :2014 年 10 月 1 日 ) 安徽省电子认证管理中心有限责任公司

2 安徽 CA 电子认证业务规则 安徽省电子认证管理中心有限责任公司版权所有 版权声明 本电子认证业务规则受到完全的版权保护 本文件中所涉及的 安徽省电子认证管理中心 安徽省电子认证管理中心有限责任公司 安徽 CA 电子认证业务规则 安徽 CA 及其标识等, 均由安徽省电子认证管理中心有限责任公司独立享有版权和其它知识产权 安徽省电子认证管理中心有限责任公司拥有对本电子认证业务规则的最终解释权 未经安徽省电子认证管理中心有限责任公司的书面同意, 本文件的任何部分不得以任何方式 任何途径 ( 电子的 机械的 影印 录制等 ) 进行复制 存储 调入网络系统检索或传播 在被授权情况下, 本文副本以在非独占性的 免收版权许可使用费的基础上进行复制及传播, 并应保证复制 传播文件的准确性 完整性 对任何复制本文件的其他请求, 请寄往以下地址 : 安徽省电子认证管理中心有限责任公司, 安徽省合肥市政务区白天鹅国际商务中心 B 座 1802 室联系电话 : ( 技术部 ) ( 市场部 ) 传真 :

3 目 录 第 1 章概括性描述 概述 文档名称与标识 名称 版本 标识 认证体系的成员 电子认证服务机构 注册机构 订户 依赖方 其他成员 证书应用 证书订户性质 禁止的证书应用 策略管理 管理组织 联系信息 CPS 批准流程 CPS 的发布 定义和缩写... 4 第 2 章信息发布与信息管理 信息库 认证信息的发布 CPS 的发布 证书和 CRL 发布 发布时间或频率 CPS 的发布时间或频率 证书的发布时间或频率 CRL 的发布时间或频率 对信息的访问控制... 8 第 3 章身份标识与鉴别 命名 各类数字证书 CN 的取值方式 DN 说明条款 初始身份确认 证明拥有私钥的方法 机构的身份确认 个人的身份确认 不予验证的订户信息...11

4 3.2.5 审核认证体系成员身份确认 CA 相互认证的要求 证书 ( 密钥 ) 更新请求中的身份鉴别 证书注销请求中的身份鉴别 第 4 章证书操作规范 证书申请 证书申请处理 身份审核 证书申请的接受与拒绝 处理证书申请的时间 证书签发 证书接受 证书的发布 接受证书的方式 密钥对和证书的使用 订户私钥和证书的使用 依赖方对他人证书和公钥的使用 证书更新 证书更新的情形 证书更新请求的处理 证书更新的签发 发布和订户接受 证书密钥更新 证书密钥更新的情形 证书密钥更新请求的处理 证书密钥更新的签发 发布和订户接受 证书变更 证书变更的情形 证书变更请求的处理 证书变更的签发 发布和订户接受 证书的注销和挂起 证书注销的情形 证书注销的处理 注销请求的宽限期 证书挂起的处理 证书注销和挂起状态的发布 依赖方检查证书状态的要求 证书状态服务 订购结束 密钥生成 备份和恢复 密钥的生成和备份 密钥的恢复 密钥对的存储和恢复安全策略...19 第 5 章认证机构设施 管理和操作控制 物理控制 机房的建筑...20

5 5.1.2 物理访问 电源和空调 水患防治 介质存储 废物处理 异地备份 入侵侦测报警系统 操作过程控制 可信角色 角色要求的人数 可信角色的鉴别 职责需分离的角色 人员控制 人员资格要求 背景调查程序 培训要求 再培训要求 对未授权操作的处理 审计日志程序 记录事件的类型 日志的处理周期 审计日志的保存期限 要求的档案保存期限 审计日志的保护 审计日志的备份 审计日志的采集 对导致事件实体的通告 脆弱性评估 记录归档 归档记录种类 档案保存期限 档案的保护 档案备份 档案的标识 档案采集系统 档案验证 CA 的密钥更替 损害和灾难恢复 AHCA 遭攻击或发生损害事故时的恢复程序 计算资源 软件或数据的破坏处理 CA 私钥损害的处理 灾难发生后的业务保持 CA 或 RA 业务终止 CA 业务终止 注册机构业务终止...27

6 第 6 章认证系统技术安全控制 密钥对的生成和安装 密钥对的生成 私钥的传递 公钥的传递 密钥长度 公钥参数的产生 密钥用途 私钥保护与密码模块的控制 密码模块标准与控制 私钥的分割管理 私钥托管 私钥备份 私钥归档 私钥在密码模块中的导入和导出 私钥在密码模块中的保存 私钥的激活 私钥的停止 私钥的销毁 密钥对的其它管理 公钥归档 密钥对与证书的有效期 激活数据 激活数据的产生 激活数据的保护 计算机安全控制 计算机安全性要求 计算机的安全等级 生命周期技术控制 系统开发控制 系统改进控制 安全管理控制 网络安全性控制 数字时间戳 第 7 章证书 CRL 和 OCSP 证书 版本号 证书扩展项 算法 OID 名称形式 证书密钥用法 证书策略 OID 策略限定符的语法和语义 CRL 版本号...35

7 7.2.2 CRL 和 CRL 条目扩展项 OCSP 版本号 OCSP 扩展项...36 第 8 章认证机构审计和其他评估 审计的依据 审计的形式 审计或评估的频率 审计或评估人员的资质 审计或评估人员与 AHCA 的关系 审计或评估的内容 对问题与不足采取的措施 审计或评估结果的传达与发布 第 9 章法律责任和其它业务条款 费用 证书签发和更新费用 证书查询费用 证书状态信息查询费用 其它服务费用 退款政策 财务责任 业务信息保密 保密信息的范围 不在保密范畴内的信息 个人隐私保密 隐私保护方案 作为隐私处理的信息 不被视为隐私的信息 保护隐私信息的责任 使用隐私信息的告知与同意 依法律或行政程序的信息披露 其他信息披露情形 知识产权 AHCA 自身拥有的知识产权声明 AHCA 使用其他方知识产权的声明 陈述与担保 AHCA 的陈述与担保 RA 的陈述与担保 订户的陈述与担保 依赖方的陈述和担保 担保免责 AHCA 偿付责任限制 订户和依赖方责任 订户的赔偿责任情况 依赖方的赔偿责任情况...44

8 9.10 有效期限与终止 ` 有效期限 终止 效力的终止与保留 对参与者的个别通告与沟通 修订 修订程序 通告机制和期限 必须修改 CPS 的情形 争议处理 管辖法律 与适用法律的符合性 一般条款 完整协议条款 转让条款 分割性条款 强制执行条款 不可抗力条款 其它条款 各种规定的冲突 安全资料的财产权益 损害性资料...48 第 10 章支持服务管理 服务内容 面向证书持有者订户的服务支持 面向应用提供方的服务支持 服务方式 坐席服务 在线服务 现场服务 满意度调查 投诉处理 培训 服务质量 证书应用集成支持服务 证书应用集成内容 证书应用接口 证书应用集成服务 决策支持信息服务...51

9 第 1 章概括性描述 1.1 概述 安徽省电子认证管理中心电子政务电子认证业务规则 ( 以下简称 AHCA E-GOV CPS ) 是安徽省电子认证管理中心有限责任公司按照国家密码管理局 电子政务电子认证服务管理办法 的要求, 依据 电子政务电子认证服务业务规则规范 制定 以规范安徽省电子认证管理中心有限责任公司 ( 以下简称 AHCA ) 的电子政务电子认证业务的管理, 保障认证体系的可靠, 维护电子认证的权威性, 有效地防范安全风险 明确规定 AHCA 在审核 签发 发布 存档和注销数字证书等证书生命周期管理以及相关的业务应遵循的各项操作规范 AHCA 严格按照 中华人民共和国电子签名法 及 电子政务电子认证服务管理办法 电子政务电子认证服务业务规则规范 等法律法规要求, 向电子政务用户提供电子认证服务 AHCA 认证体系内的成员包括有 AHCA( 根 CA) 注册机构 ( 业务受理点, 即 RA) 数字证书订户 证书依赖方等成员, 组成体系完整的 AHCA 电子认证架构, 为订户提供网上安全可靠的电子身份认证服务 AHCA 认证体系内的所有成员都必须严格遵循和执行 AHCA E-GOV CPS, 并承担相应的责任 1.2 文档名称与标识 名称 本文档的名称是 安徽省电子认证管理中心电子政务电子认证业务规则, 简称为 AHCA E-GOV CPS, 是 AHCA 在颁发电子政务证书过程中所采取的业务操作规则规范 版本 本 AHCA E-GOV CPS 是 AHCA 发布的第三个版本, 版本号为 V 标识 AHCA E-GOV CPS 的标识 (PolicyIdentifier) 为安徽省电子认证管理中心有限责任公司的 OID 1.3 认证体系的成员 电子认证服务机构 AHCA 是根据 中华人民共和国电子签名法 及 电子政务电子认证服务管理办法 1

10 规定依法设立的电子认证服务机构 ( 简称 CA), 是网上安全电子交易中具有权威性和公正性的可信赖的第三方机构 AHCA 为电子事务的各参与方签发标识其身份的数字证书, 并对数字证书进行更新 注销等一系列管理 AHCA 设立认证策略管理委员会 安全管理小组等机构, 进行相关管理活动 AHCA 下设服务中心 服务分中心及业务受理点 (RA), 进行业务管理及实施活动 AHCA 的根 ROOTCA 是 AHCA 电子认证服务系统加入的国家根的名称 AHCA 为最终订户颁发的个人证书 机构证书和设备证书由 ROOTCA 为 AHCA 签发的 CA 所签发 国家根的 DN 是 : CN = ROOTCA O = OSCCA C = CN AHCA 加入国家 RSA 根的 CA 的 DN 是 : CN = AHCARSA OU = AHCA O = AHCA L = 合肥市 S = 安徽 C = CN AHCA 加入国家 SM2 根的 CA 的 DN 是 : CN = AHCASM2 OU = AHCA O = AnHui Certification Authority L = HeFei S = AnHui C = CN 注册机构 AHCA 的注册机构 ( 简称 RA), 又称为业务受理点, 是 AHCA 设立或授权委托设立的数字证书业务受理机构 其业务范围包括 : 面向客户受理数字证书业务和销售数字证书产品业务 其中受理数字证书业务是指受理订户的证书注册申请 审核订户身份 批准证书申请 证书制作 发放证书 接受和处理证书更新 证书注销 密钥恢复以及其他需要直接面向订户的业务, 其中密钥恢复业务仅由指定受理点开展 销售数字证书产品业务是指销售 AHCA 的各类数字证书以及数字证书存储介质 RA 按照 AHCA 制定的 CPS 及相关业务受理点管理程序运营数字证书代理业务 在代理数字证书业务的运营活动中, 应按照 AHCA 的规定, 执行符合政策规定的资费标准, 向订户提供统一标准的服务 AHCA 各 RA 点挂牌的名称为 数字证书业务受理点 2

11 1.3.3 订户 订户也称为证书持有者 订户是指拥有电子认证服务机构签发的有效证书的实体 包括从 AHCA 处接受证书的任何个人或合法设立的组织 订户符合以下情况 : 在接受的证书中指明或识别为证书接受者 ; 已接受该证书并遵守本 CPS 和相关协议 ; 拥有与接受的证书内公钥所对应的私钥 依赖方 依赖方包括行为上依赖于 AHCA 订户的证书及其数字签名的一方, 与订户发生业务往来的个人或组织 依赖方可以是 也可以不是一个订户 其他成员 AHCA 认证体系在某种专门情况下所声明的相关其他成员 1.4 证书应用 各个证书代表各自的身份进行使用 所有证书根据其颁发对象的不同, 归为以下三种 : 个人证书机构证书设备证书 AHCA 在开展业务时可能为某种对象的证书作特别的命名 证书订户性质 证书类型 订户性质 举例 个人证书 各级政务部门的工作人员和参与电子政务业务的社会公众, 用以代表个体的身份 如某局职员, 参加纳税申报的个人 机构证书 设备证书 政务机关和参与电子政务业务的企事业单位, 代表机构身份电子政务系统中的服务器或其他设备, 用以代表设备身份的真实性 某部委 某局或参加政府招投标业务的投标企业 服务器身份证书 SSL 服务器证书 IPSec VPN 设备证书 3

12 1.4.2 禁止的证书应用 禁止将证书用于违反国家及地方相应法律法规用途 禁止违反操作规程进行证书应用 1.5 策略管理 管理组织 AHCA E-GOV CPS 由 AHCA 认证策略管理委员会负责起草 注册 维护和更新, 版权由 AHCA 完全拥有 联系信息 联系地址 : 合肥市政务区白天鹅国际商务中心 B 座 1802 室, 邮编 : 网站 : 电话 : 传真 : 电子邮件 :ahca@aheca.cn CPS 批准流程 AHCA E-GOV CPS 起草后, 交由 AHCA 法律顾问审核通过, 认证策略管理委员会通过后形成决议, 在 AHCA 网站 ( 发布后, 该 CPS 正式生效 在 AHCA 证书政策和操作规范做出任何变动之前,AHCA 认证策略管理委员会将对提供的变动建议进行研究, 做出变更决定 在征询 AHCA 法律顾问有关法律方面的意见后, 形成决议并在 AHCA 网站 ( 公布变更后的 AHCA E-GOV CPS 正式文档, 该变更正式生效 CPS 的发布 AHCA 将对 AHCA E-GOV CPS 进行严格的版本控制, 由 AHCA 认证策略管理委员会指定专人负责版本控制及发布 所有 CPS 相关公告和通知需获得认证策略管理委员会批准, 方能在 AHCA 网站上公布 ( 根据 中华人民共和国电子签名法 及 电子政务电子认证服务管理办法 电子政务电子认证服务业务规则规范 的规定,AHCA 在公布 CPS 后向国家密码管理局备案 1.6 定义和缩写 1. CA(Certificate Authority) 电子认证服务机构的简称 CA 是网络身份认证的管理机构, 是网上安全电子交易中具有 4

13 权威性和公正性的可信赖的第三方机构 CA 为电子事务的各参与方签发标识其身份的数字证书, 并对数字证书进行更新 注销等一系列管理 2. RA(Registration Authority) 注册机构的简称 RA 是 CA 认证体系的一个功能组件, 负责对数字证书申请进行资格审核, 并决定是否同意给该申请者发放数字证书, 以及证书更新和注销工作 3. KMC(Key Management Center) 密钥管理中心的简称 用于产生订户加密证书密钥对, 并提供加密密钥对托管服务的管理机构 4. AHCA 安徽省电子认证管理中心有限责任公司的简称 5.aheca.cn 安徽省电子认证管理中心有限责任公司的另一个域名标识 6. CPS(Certification Practice Statement) 电子认证业务规则的简称 CPS 详细描述电子认证机构数字证书的发放 注销 更新 管理的规范, 是认证体系各机构运营 CA 系统进行实际工作和运行应严格遵守的各种规范的综合, 是数字证书管理 数字证书服务 数字证书应用 数字证书分类 数字证书授权和数字证书责任等政策集合 7. CRL (Certificate Revocation List) 数字证书注销列表的简称 CRL 中记录所有在原定失效日期到达之前被注销的数字证书的序列号, 供数字证书使用者在认证对方数字证书时查询使用, 由 CA 周期性签发 CRL 通常又被称为数字证书黑名单 数字证书废止列表等 内容通常包含列表签发者 发行日期 下次注销列表的预定签发日期 被注销的数字证书序号, 并说明被注销的时间与理由 8. OCSP (Online Certificate Status Protocol) 在线数字证书状态查询协议的简称, 用于支持实时查询数字证书状态 数字证书有时直接称为证书 它是由证书认证机构签名的包含公开密钥拥有者信息 公开密钥 签发者信息 有效期以及一些扩展信息的数字文件 它是用来标志和证明网络通信双方身份的数字信息文件, 与司机驾照或日常生活中的身份证相似 在网上进行电子商务等活动时, 交易双方需要使用数字证书来表明自己的身份, 并使用数字证书来进行有关交易操作 9. 数字签名采用密码技术对数据进行运算得到的附加在数据上的签名数据, 或是对数据所作的密码变换, 用以确认数据来源及其完整性, 防止被人 ( 例如接收者 ) 进行篡改或伪造 10. DTS ( Digital Time Stamp) 数字时间戳服务的简称 用于向订户提供可信的精确时间源, 以证明某个特定时间某个行为或者文档确实存在 时间源采用的是国际标准时间 UTC, 通过 GPS( 全球卫星定位系统 ) 卫星天线接收同步卫星原子钟的精确时间信号 11. LDAP(Lightweight Directory Access Protocol) 轻量级目录访问协议的简称 LDAP 用于查询 下载数字证书以及数字证书注销列表 (CRL) 12. OID(Object Identifiers) 对象标识符的简称 OID 由国际标准化组织分配和发布, 并形成一个层次关系 OID 是一串用点分开的十进制数 ( 例如 " ") OID 标准的定义来自 ITU-T 推荐 X.208 (ASN.1), 企业 ( 和个人 ) 可以从国际标准化组织申请得到一个根对象标识符, 并且可使用它分配根节点下的其它对象标识符 13. PKI(Public Key Infrastructure) 5

14 公开密钥基础设施的简称 PKI 为支持基于证书的公开密钥算法技术的实现和运作的相关体系 组织 技术 操作和程序的集合 14. 私钥 (Private Key) 是一种不能公开 由持有者秘密保管的数字密钥, 用于创建数字签名 解密报文或与相应的公开密钥一起加密机要文件 15. 公钥 (Public Key) 可以公开的数字密钥, 用于验证相应的私钥签名的报文, 也可以用来加密报文 文件, 由相应的私钥解密 16. RSA 算法 RSA 是由 Rivest Shamir 及 Adelman 所发明的一种公开密钥加密算法, 以数论的欧拉定理为基础, 它的安全性依赖于大数的因数分解的困难性 17. URL(Uniform Resource Locator) 统一资源位址的简称 URL 是在 Internet 的 www 服务程序上用于指定信息位置的表示方法 18. 电子密匙一种提供公钥算法计算, 可生成密钥对, 并对私钥进行保护的密码设备 通常采用 USB 接口通信, 故有些地方也称 USB KEY 19. X.509 一种由 ITU-T(International Telecommunication Union-T: 国际电信联盟 ) 所发布的数字证书标准以及对应的验证架构 X.509 v3 则为一种具扩展栏位或可扩展的数字证书 20. 鉴别辨别认定证书申请者提交材料真伪的过程 21. 验证对证书申请材料和申请者之间的关联性进行确定的活动 第 2 章信息发布与信息管理 2.1 信息库 AHCA 信息库是一个对外公开的信息库, 它能够保存 取回证书及与证书有关的信息 AHCA 信息库内容包括但不限于以下内容 : 证书 CRL, 证书状态信息,AHCA E-GOV CPS 最新的版本, 以及其它由 AHCA 不定期发布的信息 AHCA 证书库为信息库的子集, 用来存放经 AHCA 签发的证书和证书注销列表 (CRL), 主要为订户和网络应用提供 AHCA 证书查询及验证证书状态服务的信息库 AHCA 信息库不会改变任何从发证机构发出的证书和任何证书挂起或注销的通知, 而是准确描述上述内容 AHCA 信息库将及时发布包括证书 CPS 修订 证书挂起和注销的通知和其它资料等内容, 这些内容保持与 CPS 和有关法律法规一致 除 AHCA 授权者外, 禁止访问信息库 ( 或其它由 CA 或 RA 维护的数据 ) 中任何被 CPS 和 / 或 AHCA 信息库宣布为机密信息的资料 6

15 2.2 认证信息的发布 CPS 的发布 AHCA E-GOV CPS 一经 AHCA 在网站 或以书面声明形式发布 更改, 即时生效, 并对一切仍有效的数字证书的使用者 新的数字证书及相关业务的申请者均具备约束力 AHCA E-GOV CPS 的发布及更改遵循本文 的规定 有需要人士可访问 AHCA 网站 查看, 对具体个人不另行通知 证书和 CRL 发布 数字证书在签发成功后,AHCA 将该证书副本发布到信息库 AHCA 定期发布 CRL 以公布在证书有效期内被注销的数字证书 证书依赖方可在 AHCA 的 LDAP 服务器或指定的信息库位置中可查询获得证书和 CRL 有关信息 同时 AHCA 也提供标准的 OCSP 服务, 证书依赖方经授权可实时地获取证书最新的状态信息 AHCA 的证书发布将利用 LDAP 目录服务器定时更新证书数据和 CRL 数据, 并接收对证书及 CRL 的查询请求 AHCA 可根据电子政务信息系统的需要, 依据双方的约定, 将 CA 系统中签发 更新 重签发的数字证书定时或实时与电子政务信息系统进行数据同步, 将证书信息同步到电子政务信息系统中 提供的信息可包括如下信息 : 业务类型 认证机构身份标识 用户基本信息 用户证书信息等 AHCA 可以根据需要, 将 CRL 实时发布到指定的电子政务信息系统中 数据格式可包括如下信息 : 业务类型 认证机构身份标识 CRL 文件 同步时间等 2.3 发布时间或频率 CPS 的发布时间或频率 AHCA 将及时发布 CPS 的最新版本, 一旦对规则的修改 补充 调整等获得批准,AHCA 将在 上发布, 并将最新的 CPS 发布在 AHCA 信息库 AHCA 根据技术进步 业务发展 应用推进和法律法规的客观要求, 决定对 CPS 的改动, 其发布时间和频率将由 AHCA 独立做出决定 这种发布应该是即时的 高效的, 并且是符合国家法律法规要求的 对 CPS 进行修改 补充 调整或者更新前, 当前的 CPS 即处在有效的和正在实施的状态 证书的发布时间或频率 数字证书在签发成功后,AHCA 在 4 小时内将该证书副本发布到信息库 订户也可以在其它信息库中公布其获得的 AHCA 签发的证书 AHCA 通过目录发布服务和指定的信息库位置定期发布更新的数字证书信息 订户和依赖方可在 AHCA 的 LDAP 服务器或指定的信息库上查询 下载数字证书 7

16 2.3.3 CRL 的发布时间或频率 AHCA 会在每批次挂起或注销证书后, 在 30 分钟内签发最新 CRL 并发布到 AHCA 的 LDAP 服务器或指定的信息库位置 从证书被挂起或注销, 到反映该证书状态的最新 CRL 发布的最大延迟不超过 24 小时 并且不管如何, 对于反映终端实体证书状态的 CRL 最长会在 7 天内重新签发一次, 对于反映 CA 机构证书状态的 CRL 最长会在半年内被重新签发一次 通过 OCSP 协议, 请求者可以实时查看和获得某一证书的状态, 包括有效 基于各种原因被注销 挂失的状态 在满足要求以后,AHCA 还可以提供跟进服务, 当指定的证书生效 被注销 挂失 / 取消挂失时,AHCA 将按照约定的方式通知请求该项服务请求者 2.4 对信息的访问控制 AHCA 在其网站上发布与其相关的公众信息 通过设置访问控制和安全审计措施, 确保只有授权的 AHCA 工作人员才能编写 修改和删除 AHCA 在线发布的信息资料 同时 AHCA 在必要时可自主选择是否实行信息的权限管理, 以确保只有数字证书订户才有权阅读受 AHCA 权限控制的信息资料 对于 AHCA 发布的 CPS CRL 和证书信息, 证书订户和证书依赖方可以不受限制地进行只读访问 8

17 第 3 章身份标识与鉴别 3.1 命名 数字证书的命名遵循 电子政务数字证书格式规范 的要求 每张数字证书都包含有主体 (Subject), 目的是标识该证书由谁持有 这些主体的命名方法采用 X.501 的甄别名 (Distinguished Name, 简称 DN) 方式 DN 通常包含以下部分或其部分 : C, 国家 S, 所在省 市等行政区 L, 地址 O, 组织 OU, 组织下的部门或分支 CN, 主体名称 E, 电子邮件不同证书类型的 DN 的取值和编排方式有所不同, 并且所有证书涉及命名的内容都经过严格审核 各类数字证书 CN 的取值方式 各类数字证书 CN 取值方式如下 : 证书类型 政务中的类型 CN 取值方式 个人证书 政务部门工作人员 个人姓名 ( 与身份证明文件上标明的主体名称一致 ) 社会公众 机构证书 政务部门 机构名称 3( 与机构有效证 企业电子政务代码签名 件上标明的一致 ) 设备证书 电子政务设备 域名 IP 地址或其他实体标识, 与盖章申请表上标明的一致 DN 说明条款 (1) DN 必须能明确标识订户的真实身份 ; (2) 单是主体名称不能唯一地标识客观实体 ; (3) 应结合主体名称 电子邮箱 地址等信息, 唯一标识客观实体 9

18 3.2 初始身份确认 证明拥有私钥的方法 AHCA 为证书申请者提供电子密匙或其它符合要求的密码设备, 用于生成和保存密钥对, 保证私钥不被泄露, 并将此电子密匙安全地传递到订户手中 AHCA 也可通过证书请求 ( 如 PKCS #10) 中的数字签名来确认证书申请者持有与注册证书对应的私钥 证书申请者必需依据法律法规获取和使用密码 机构的身份确认 AHCA 通过证书申请者提交申请材料的方式获取证书申请者信息 AHCA 通过查验能证明其机构身份的证件的原件, 或通过第三方信息数据或服务, 或电话访问等 AHCA 认为恰当的查验方式来确定机构的身份是确实存在的, 合法的实体 同时 AHCA 也需对经过机构授权办理证书业务的代表的身份进行确认, 确定该机构知晓并授权证书申请 一般需提供以下资料到 AHCA 或 AHCA 的 RA 进行身份审核及确认 : 1. 申请表 2. 申请机构的如下有效证件的正本或其副本 有效证件的类型如下 : 组织机构代码证营业执照企业法人营业执照事业机构登记证事业机构法人登记证税务登记证社会团体登记证社会团体法人登记证人民团体登记证人民团体法人登记证政府批文其他有效证件 3. 经办人身份证明原件 有效证件的类型如下 : 身份证户口本护照回乡证军人身份证明其他有效证件 AHCA 在认为申请人的身份已经通过其它方式确认, 则无需提交任何证件 是否需要提交及提交何种证件,AHCA 将在证书申请表中予以明示 AHCA 或 AHCA 的 RA 的业务受理人员在认为有必要的情况下, 采取电话调查 实地考察或其它验证方式 ( 包括第三方平台数据 互联网访问等 ) 鉴定订户身份及其声明的 IP 地址和域名等信息, 申请机构有配合业务受理员的调查工作的义务 10

19 3.2.3 个人的身份确认 AHCA 通过证书申请者提交申请材料的方式获取证书申请者信息 AHCA 通过查验证明其个人身份的原件, 或通过第三方信息数据或服务, 或电话访问等认为恰当的查验方式来确定个人的身份, 一般情况下, 个人申请者应提供以下资料到 AHCA 或其 RA 进行身份审核及确认 : 1. 申请表 个人若需在证书中标明个人所属机构, 其所属机构身份必须通过 AHCA 的审核, 并且其申请表必须由所属机构盖章 2. 个人身份证明原件 有效证件的类型如下 : 身份证户口本护照回乡证军人身份证明其他有效证件 3. 如果是属于政府部门中的个人, 申请人还需提供属于所在组织 ( 所在部门 ) 的证明 ( 包括雇佣关系 ) AHCA 在认为申请人的身份已经通过其它方式确认, 则无需提交任何证件 是否需要提交及提交何种证件,AHCA 将在证书申请表中予以明示 AHCA 或其 RA 的业务受理人员在认为有必要的情况下, 采取第三方信息数据或服务鉴定订户身份, 申请人有配合业务受理员的调查工作的义务 不予验证的订户信息 未在前面所列的, 对于不影响订户身份追溯的信息,AHCA 一般不予验证 审核认证体系成员身份确认 1 RA RA 所属企业必须为独立的法人机构, 其身份审核依据本文 的要求进行, 并由 AHCA 进行实地的考察后可确认其身份 RA 的资格由 AHCA 根据认证业务管理办法来审查批准, 正式获得相应资格后, 其运作遵循 AHCA 的相关规定 2 业务受理人员 AHCA 的业务受理人员必须是 AHCA 及所属 RA 机构的职员 业务受理人员的身份除了必须符合个人证书申请者的条件外, 还必须符合 AHCA 的相关规定 CA 相互认证的要求 AHCA 通过可能存在的国家根 CA 或者通过交叉认证 证书交换中心等, 与其他认证中心建立相互认证的关系 如 AHCA 与其它 CA 进行了的相互认证, 将在 AHCA 的网站中公布 AHCA 在进行相互认证时遵循相关法律法规的规定, 如果相关法规未列明的要求则采 11

20 取对等的方式, 以不降低信任管理等级为标准 3.3 证书 ( 密钥 ) 更新请求中的身份鉴别 数字证书订户申请更新数字证书 ( 密钥 ) 时, 需要经过身份审核, 才能够完成更新的过程 AHCA 可以采用以下方式之一来对更新证书中的身份进行鉴别 : 1. 用原证书提交合法有效的数字签名的更新申请, 则身份审核通过, 无需再次进行其他形式的身份审核 ; 2. 等同采用本文 3.2 身份的初始验证方法 3.4 证书注销请求中的身份鉴别 数字证书订户申请注销数字证书时, 需要经过身份审核, 才能够完成注销的过程 AHCA 可以采用以下方式之一来对注销证书中的身份进行鉴别 : 1. 用原证书提交合法有效的数字签名的注销申请, 则身份审核通过, 无需再次进行其他形式的身份审核 ; 2. 等同采用本文 3.2 身份的初始验证方法 12

21 第 4 章证书生命周期操作规范 4.1 证书申请 AHCA 通过 RA 受理实体的证书申请 证书申请的实体可以是任何个人 机构或其它客观存在的实体, 其本人或机构的合法授权代表或实体拥有者都可以为该实体提交证书申请 证书申请人提交的信息必须真实, 否则后果由证书申请人承担 AHCA 为机构的证书申请表格设置经办人栏, 该经办人视为获得机构授权办理数字证书相关业务, 包括接受数字证书 AHCA 数字证书申请流程为 : 1. 证书申请人从网上下载打印或从 AHCA 所属 RA 获取相应实体种类的数字证书申请表格, 按表格要求填好申请表 ; 或通过 AHCA 的在线服务系统提交申请信息 2. 按照本文 3.2 身份鉴别要求提交对应实体类型的证书申请表格及相关身份证明资料, 到 AHCA 或其 RA 进行注册 身份审核和交费 4.2 证书申请处理 身份审核 AHCA 或其 RA 首先按本文 3.2 的条款对证书申请进行身份审核, 以鉴别其身份的真实性 证书申请的接受与拒绝 AHCA 或其 RA 对已通过身份审核的证书申请, 并确认接收到相关费用款项, 则给予接受该证书申请, 并向 AHCA 提交证书签发请求 任何不能提供足够的身份证明材料, 或被 AHCA 或其 RA 怀疑提供虚假信息的, 或未在约定时限内支付相关费用的, 或未满足 AHCA 其他申请要求条件的,AHCA 或其 RA 有权拒绝其申请 处理证书申请的时间 一般情况下,AHCA 处理证书申请的时间不超出 48 小时, 或按双方约定的处理时限 AHCA 允许未能提供足够身份证明材料的申请继续给予补充, 这时将相应延长证书申请的处理时间 13

22 4.3 证书签发 AHCA 将根据接受的证书申请所提供的信息来为申请实体签发证书 AHCA 与 RA 之间通过可靠的安全连接方式进行身份认证及数据传递 AHCA 在确认为证书申请提交签发请求的 RA 的身份后, 正式为申请实体签证书 在签发过程中,AHCA 依然可以对系统记录的申请信息给予再次审核, 无论是通过信息再审核或其他可靠信息渠道, 如 AHCA 认为申请信息存在有任何疑点, 将暂停签发证书, 并通知接受申请的 RA, 直至澄清问题, 再重新启动证书签发程序 证书签发后, 由 RA 作相应的后续处理, 包括为订户将证书安装在电子密匙中并进行证书发放, 或通知订户自行下载安装 RA 可以采取以下方式告知订户 : 网站公告或通知 ; 在 RA 营业点面对面告知 ; 电话通知 ; 电子邮件或其它信函通知 4.4 证书接受 证书的发布 证书签发后,AHCA 将证书发布到 AHCA 证书库 接受证书的方式 根据不同的业务操作流程, 以下任何一种情况均视为订户接受数字证书 : 1 经办人在证书领取记录上签字 ; 2 订户获取数字证书及其密码信封 ; 3 订户从网上下载该数字证书 ; 4 与订户约定的其它方式 4.5 密钥对和证书的使用 订户私钥和证书的使用 订户只有接受了数字证书后方能使用证书对应的私钥 订户结合签名证书及加密证书的功能, 在允许的应用范围内使用数字证书 订户使用数字证书时必须遵守国家相关法律法规 AHCA E-GOV CPS 和签署的协议 订户必须确保自己的私钥不被他人窃取 如果订户无法确定其私钥为安全的, 请及时向 AHCA 申请注销私钥对应的数字证书, 以免因此造成损失 订户必须按密钥的用途来使用相对应的证书, 否则不被依赖方认可的责任由订户自行承担 14

23 4.5.2 依赖方对他人证书和公钥的使用 证书依赖方获得对方的数字证书和公钥后, 可以通过查看数字证书来了解对方的身份, 通过公钥验证对方数字签名的真实性 验证证书的有效性包括以下三个方面 : 1. 验证该证书为 AHCA 签发 ; 2. 检查该证书在有效期内 ; 3. 查验该证书没有被注销 证书依赖方依据 AHCA 的相关保障措施, 确定自己对对方数字证书的信赖程度 在验证数字签名时, 证书依赖方应参照 AHCA E-GOV CPS, 通过查看或判定证书使用目的和密钥的用途来评估决定是否接收订户的行为, 对于不符合证书或密钥用途的证书使用, 依赖方可以拒绝接收 4.6 证书更新 证书中任何订户信息不变的情况下, 为订户签发一张有效期更新后的数字证书 证书更新的情形 1. 证书将要到期或已到期或 AHCA 其它策略要求原因, 且密钥对处于安全状态并且策略允许继续使用 2. 订户或其授权代表提出证书的更新申请 3. AHCA 的策略要求或相关法律法规引致其它原因 证书更新请求的处理 处理证书更新请求可以有以下两种方式 : 1. 在线更新, 只适合于证书未过期且未被注销的情形 即在证书即将过期前, 通过 AHCA 网站提交更新申请, 经过 AHCA 证实提交更新申请者拥有对应证书的私钥并收到相关款项后, 由 AHCA 签发新的证书 订户需在声明的处理时间之后, 凭提交更新申请的证书公钥所对应的私钥下载新的证书 2. 离线更新, 适合所有证书更新情形 即订户或其授权代表提交证书更新申请表和身份证明材料, 到 AHCA 或其 RA 进行证书更新 其身份鉴别方式和处理过程与本文 4.2 的要求相同 证书更新的签发 发布和订户接受 1. 证书更新的签发与本文 4.3 相同 ; 2. 证书更新的发布和订户的证书接受与本文 规定相同 15

24 4.7 证书密钥更新 证书密钥更新是指订户生成一对新密钥并申请为新公钥签发新证书, 也就是说更新证书同时也会更新数字证书密钥 证书密钥更新的情形 1. 因私钥泄漏而注销证书之后 ; 2. 证书到期且密钥也到期 ; 3. 订户或其授权代表提出证书密钥的更新申请 ; 4. AHCA 的策略要求或相关法律法规引致其它原因 证书密钥更新请求的处理 证书密钥更新请求的处理与本文 相同 证书密钥更新的签发 发布和订户接受 1. 证书更新的签发与本文 4.3 相同 ; 2. 证书更新的发布和订户的证书接受与本文 相同 4.8 证书变更 证书变更是指证书订户的信息发生变化进行的重新登记和处理 如果涉及证书记载内容的变化, 则需要重新制作证书 证书变更的情形 订户因其信息发生变化由其或其授权代表提出证书的变更申请 这些信息可以是 : 主体名称 主体身份 ID 所属机构 住址 电子邮件 联系电话 通信地址 邮政编码等 证书变更请求的处理 订户或其授权代表提交证书变更申请表和身份证明材料, 到 AHCA 或其 RA 进行证书变更 其身份鉴别方式与本文 4.2 的要求相同 如果涉及其证书内容变更的, 则需要重新为订户制作新的证书 其处理方式同本文 4.2 的要求, 同时注销原证书 ( 参见本文 4.9) 16

25 4.8.3 证书变更的签发 发布和订户接受 1. 证书变更涉及的证书签发与本文 4.3 相同 ; 2. 证书变更后订户的新证书发布和订户的证书接受与本文 规定相同 3. 证书变更后因注销原证书引起的 CRL 签发与发布同本文 如果证书变更仅涉及非证书记载内容的变化, 则 AHCA 或其 RA 不予公布, 除非与订户或依赖方另有约定 4.9 证书的注销和挂起 证书注销的情形 1. 政务机构的证书订户工作性质发生变化 ; 2. 政务机构的证书订户受到国家法律制裁 ; 3. 证书订户提供的信息不真实 ; 4. 证书订户没有或无法履行有关规定和义务 ; 5. AHCA AHCA RA 或最终证书订户有理由相信或强烈怀疑一个证书订户的私钥安全已经受到损害 ; 6. 政务机构有理由相信或强烈怀疑其下属雇员的私钥安全已经受到损害 ; 7. 证书仅用于依赖主导的系统并由依赖方提出注销申请的 ; 8. 证书密钥泄漏或存储证书的电子密匙丢失 ; 9. 证书主体名称列明的从属关系改变 ; 10. 证书主体的变更 ; 11. 任何与提供证书服务相关的协议到期 ; 12. 订户或其授权代表提出证书注销申请 ; 13. 订户违反 AHCA CPS 或签订的相关证书协议 ; 14. 其它情况 例如因法律或政策等要求 AHCA 进行临时或永久性的证书注销措施 证书的注销既可以是订户提出申请, 也可以是 AHCA 因为订户的变更事实或违反约定事实而强行注销 证书注销的处理 在发生证书需注销的情形时, 订户或其授权代表应及时填写证书注销申请表, 并按本文 3.2 的要求携带身份证明材料, 到 AHCA 或其 RA 进行申请 AHCA 或其 RA 按本文 3.2 的要求进行身份审核通过后, 即时在系统中完成证书的注销操作 当 AHCA 或其 RA 强制注销某一证书时, 将在完成注销操作后按其登记的联系方式通知订户 注销请求的宽限期 在发生需要注销证书的情形时, 订户应第一时间通知 AHCA 或其 RA, 如果订户未能在当天前往 AHCA 或其 RA 进行注销登记, 则需要通过电话挂失, 先完成证书挂起 17

26 4.9.4 证书挂起的处理 订户在丢失电子密匙或其它密钥泄露的情况下而来不及到 AHCA 或其 RA 进行注销时, 可以先进行挂失, 将证书挂起 所有证书挂起申请要求 AHCA 或其 RA 受理人员核对申请人 ( 或来电者 ) 的身份, 并确认申请人能正确回答证书申请时所登记的信息 必要时, 受理人员可以再次通过已登记的联系方式再次确认 在完成身份核对后,AHCA 或其 RA 受理人员即时进行证书的挂起操作 订户在申请办理证书挂起后, 应在 72 小时内, 按本文 3.2 的身份审核要求到 AHCA 或其 RA 完成证书的注销申请或取消挂起的申请 若订户未在 72 小时内来 AHCA 办理注销手续的,AHCA 将取消该挂失 证书注销和挂起状态的发布 任何时候证书被注销或挂起,AHCA 在 4 小时内将该信息发布到 AHCA 信息库, 并重新签发 CRL 包含该注销或挂起证书状态的 CRL 最迟在 24 小时内可以通过证书列明的 URL 获取 当注销的证书过期或取消挂起时会被从下次发布的 CRL 中撤出 依赖方检查证书状态的要求 依赖方根据应用场合的不同, 使用以下两种方式来检查依赖证书的状态 : 1. CRL 查询 : 依赖方从证书列明的 URL 下载 AHCA 签发的最新 CRL 到本地, 从中查询所依赖证书的状态 ; 2. OCSP 查询 : 通过 AHCA 提供的 OCSP 服务, 依赖方可以采用 OCSP 协议获得 AHCA 在线签发的所依赖证书的状态 4.10 证书状态服务 AHCA 提供 7*24 小时的证书状态查询服务 订户和依赖方可以从 AHCA 的网站或目录服务器下载 CRL 查询证书状态, 或使用 AHCA 或第三方的 OCSP 客户端工具进行在线的证书状态的查询 对非在线订户, 可直接在 AHCA 的网站上下载 CRL 文件, 通过此文件可离线查询证书状态 AHCA 无法控制 OCSP 的同时在线访问量, 因此可能造成网络拥挤而影响响应速度 AHCA 可为某些应用场合提供定制的 OCSP 服务 4.11 订购结束 以下两种情况, 表明证书订购结束 : 1. 证书在有效期内被注销, 并不再更换新的证书 ; 2. 证书有效期期满后, 订户不再进行证书更新或证书密钥更新 与未到期的其它注销订户对比, 其证书不会进入 CRL 18

27 4.12 密钥生成 备份和恢复 密钥的生成和备份 AHCA 颁发的订户证书中, 含有签名用途的密钥对由订户生成或由 AHCA 提供的电子密匙生成,AHCA 任何所属机构不对该密钥对进行备份 ; 而加密用途的密钥对则由安徽省密钥管理中心 ( 以下简称 KMC) 产生, 并在 KMC 备份托管 密钥的恢复 这里的密钥恢复即指订户的加密密钥对恢复 订户在 KMC 托管的加密密钥对在需要找回情况下可申请密钥恢复业务, 其流程如下 : 提交密钥恢复申请表, 以及本文 3.2 的身份初始验证所述之身份证明材料到 AHCA 指定的具有开展密钥恢复业务权限的业务受理机构办理 密钥对的存储和恢复安全策略 私钥在 KMC 生成后始终以加密的状态存储在密钥库中, 且每个私钥由硬件加密设备生成不同的会话密钥进行加密 对于每次密钥对的申请和恢复,KMC 使用订户或 AHCA 提供的电子密匙产生的公钥对所申请 ( 或恢复 ) 的私钥进行加密传送, 保持中间任何环节私钥都不会被获取 19

28 第 5 章认证机构设施 管理和操作控制 5.1 物理控制 机房的建筑 AHCA 机房的选址和建设按照 电子政务电子认证基础设施建设要求 避开易发生火灾危险程度高的区域 有害气体来源以及存放腐蚀区域 ; 避开易燃 易爆物品的地方 ; 避开低洼 潮湿 落雷区域和地震频繁的地方 ; 避开强振动源和强噪音源 ; 避开强电磁场的干扰 ; 避免设在建筑物的高层或地下室, 以及用水设备的下层或隔壁 ; 避开重盐害地区, 将其置于建筑物安全区内 AHCA 的主机房根据业务功能划分为接入区 服务区 管理区 核心区, 各功能区域对应的级别分别为控制区 限制区 敏感区 机密区, 安全等级和要求逐级提高, 并设置屏蔽室保护机密数据的存储和 CA 签名密钥的使用安全 机房的建设和管理将严格按照国家标准及 AHCA 的规定要求执行 物理访问 AHCA 将功能区域按低到高划分为不同的四个安全等级, 为接入区 服务区 管理区和核心区, 并采用高安全性的监控技术, 包括 7X24 小时全天候动态监控的摄像智能卡和指纹双因素控制 可控权限和时间的门禁系统等监控技术, 以及人工监控管理, 所有进入高一级的区域, 必须首先获得低一级区域的访问权限 AHCA 设置指纹和智能卡双因素门禁系统来提高访问授权的安全性, 并在进入管理区和核心区时采用双人控制策略 对于非业务管理和系统维护人员, 只有经 AHCA 安全管理小组授权的工作人员陪同下, 并获得 AHCA 安全管理小组负责人批准, 才可进入相应限制区域活动, 并且一切活动皆由摄像监控设备及系统监控软件记录 电源和空调 AHCA 系统由市电及后备发电机两路不同电源供电, 当单路电源发生故障时也能及时自动切换, 提供紧急供电, 维持系统正常运转 ; 同时备有不间断电源 (UPS), 避免电压波动 AHCA 系统的空调系统使用专用中央空调, 同时备有独立的机房精密空调, 达到机房温度和湿度的控制要求 AHCA 对于电源和空调系统的要求, 严格按照国家机房管理相关规定, 并且定时对系统进行检查, 确保其符合设备运行要求 水患防治 AHCA 机房采用符合国家标准的防水材料建造 机房内布置有防水检测系统, 发现水 20

29 害可以及时报警 AHCA 机房设置火灾自动报警系统和灭火系统, 火灾报警系统包括火灾自动探测 区域报警器 集中报警器和控制器等, 能够对火灾发生区域以声 光等方式发出报警信号, 并能以自动或手动的方式启动灭火设备 同时 AHCA 制定了火灾事故专项应急预案, 在 AHCA 机房受到火灾威胁的时候启动应急预案, 确保机房和 CA 系统的安全 介质存储 AHCA 对存储有各类软件 运营数据和记录的各类介质妥善控制和保管 这些介质都会被存放在结构坚固的储存柜中, 并对存放的地点设置安全保护, 防止诸如潮湿 磁力 灾害以及人为可能造成的危害和破坏, 同时记录介质的使用 库存 维修 销毁事件等 AHCA 对介质的存储地点进行监控, 并且只有授权人员才能进入 废物处理 对于存储或记录有敏感信息的介质, 包括纸张 磁盘 磁带 光盘 加密设备等, AHCA 在它们作废前或保存期满后进行销毁 AHCA 制定相关的销毁程序, 按信息不可恢复的原则, 进行销毁 异地备份 AHCA 采用异地备份机制, 对用于 CA 系统恢复的相关软件 CA 密钥和日常的业务数据等进行备份, 以便 CA 系统在受到灾难性毁灭时能够启动灾难恢复程序恢复服务 入侵侦测报警系统 AHCA 在 CA 机房内部署了入侵侦测报警系统, 并进行安全布防 安全区域的窗户附件安装有玻璃破碎报警器, 发生非法入侵会自动报警, 保护机房场所的安全 5.2 操作过程控制 可信角色 所有涉及 CA 及其 RA 业务操作和维护管理的人员, 可能是 AHCA 雇员或代理人员 承包人员 顾问等, 都属于可信人员 这些可信人员担任的角色包括但不限于以下部分 : 1. RA 业务操作员 2. RA 业务管理员 3. CA 业务操作员 4. CA 业务管理员 5. CA 超级管理员 6. 系统管理员 21

30 7. 密钥管理员 8. 安全管理员 9. 安全审计员 10. 客户服务人员 角色要求的人数 AHCA 对于涉及敏感信息的操作任务, 要求采取双人控制策略, 并为担任该任务角色至少配置 3 人 某些涉及敏感信息的区域的进入也是采取双人控制策略 ( 见本文 ); 核心秘密 ( 如 CA 根密钥 ) 分管者和操作的物理访问控制者由不同的人员担任角色 可信角色的鉴别 所有担任可信角色的人员需持有经授权的智能门禁识别卡或指纹进入相应的活动区域, 或在有进入该区域权限的可信人员的陪同下进入, 并持有经授权的智能 IC 卡和证书进入系统进行相应业务的操作和管理 职责需分离的角色 以下但不限于以下承担任务的角色必须分离开 : 1. 证书业务受理 ; 2. 证书或 CRL 签发 ; 3. 系统工程与维护 ; 4. CA 密钥管理 ; 5. 安全审计 5.3 人员控制 人员资格要求 AHCA 在录用担任可信角色的人员之前, 除需满足一般的技能和经验要求外, 必须按 AHCA 可信人员背景调查管理的相关操作指南要求, 对录用岗位的可信人员进行对应调查级别的背景调查, 符合要求方予录用 可信人员背景调查至少包括以下方面 : 学历 学位 职称过往的就业情况对于较高可信等级的调查可能还包括社会关系 奖惩记录 犯罪记录 社会保险记录 交通违章记录 财务信贷记录等 背景调查程序 首先拟录用担任信任角色的人员需同意 AHCA 作背景调查 AHCA 采取调阅人事档案 22

31 访问过往就读学校和就职单位的人事主管或同事 参阅政府相关部门的个人记录等方式, 核实拟录用人所声明和未声明的信息, 并作出评估 评估通过后需签署保密协议和就业限制协议, 始可录用 新入职的员工必须经过三个月的观察期, 观察期通过后才可独立上岗 AHCA 不定期进行可信人员背景调查, 以便能够持续验证人员的可信程度和工作能力 培训要求 AHCA 为员工提供必要的培训, 帮助员工胜任其目前的工作并为将来的发展做准备 AHCA 根据需要对员工进行职责 岗位 技术 政策 法律和安全等方面的培训 AHCA 根据各岗位要求对员工进行相应的培训, 包括但不限于 : 企业文化 规章制度 岗位职责等基本培训 ; 中华人民共和国电子签名法 及 电子认证服务管理办法 电子认证服务密码管理办法 电子政务电子认证管理办法 等相关法律法规的培训 ;AHCA 的 CPS;AHCA 的安全原则和机制 ;AHCA 的系统运行 维护 安全 ;AHCA 的政策 标准 程序 ; 以及岗位技能 行为方式等其他必要的培训 再培训要求 AHCA 定期对员工进行再培训, 以不断提高员工业务素质和综合能力 同时根 AHCA 策略调整 系统更新升级或功能增加等情况, 对员工进行继续培训, 使其更快更好适应新的变化 对未授权操作的处理 AHCA 员工所有涉及到业务操作安全的操作均有记录 记录由 AHCA 系统管理员或安全审计员审查 当发现员工涉嫌未授权行为 未授予的权力使用和对系统的未授权使用等, 一经发现,AHCA 将立即中止该员工进入 AHCA 证书认证体系各系统 当事人的证书和操作权限即时冻结或注销, 所做的未授权操作将立即被注销失效 同时根据情节严重程度, 对当事人作出相应处罚, 包括内部处分 辞退 开除等, 涉及犯罪的将送司法机关处理 5.4 审计日志程序 记录事件的类型 AHCA 日志记录的事件包括但不限于以下内容 : 涉及 CA 密钥发生的事件 包括密钥生成 备份 存储 恢复 归档 销毁, 密码设备的启用 停用 转移和销毁 涉及数字证书发生的事件 包括证书的申请 更新 密钥更新 密钥恢复 挂失 / 取消挂失 注销, 证书业务申请的审核通过或拒绝, 证书的签发 接受 CRL 的签发 涉及网络安全的事件, 包括防火墙 路由器 入侵检测记录的信息, 以及被攻击的相应处理记录 其它安全事件 包括各系统的登录 退出, 系统的各种配置及其修改, 业务处理的成 23

32 功或失败, 系统部件的安装 升级 维修, 人员在各区域的访问记录, 敏感信息的取阅 每个事件的记录至少包括以下信息 : 发生的日期和事件事件的内容事件相关的实体事件的标识 日志的处理周期 AHCA 审计人员每月对日志进行一次审查, 识别可疑的事件, 核实系统和操作人员是否按规定操作, 并记录和报告审查的结果 审计日志的保存期限 对于纸质日志, 现场保存至少 1 个月, 归档保存期限为 10 年以上 要求的档案保存期限 对于系统自动记录的日志, 分在线保存和离线保存, 其中在线保存是把日志留在运行的数据库或文件中保存 ; 离线保存则是把数据库或文件中某段时间的日志以文件转储的方式分开保存 在线保存期限为 1 年, 离线保存的保存期限为 10 年以上, 满足本文 要求的档案保存期限 审计日志的保护 只有被 AHCA 授权的人员才能对日志进行查看和处理,AHCA 对系统的日志设有访问控制权限 审计日志的备份 AHCA 定期对纸质日志实施归档, 对电子日志实施备份 ( 周期参见本文 5.4.3) 归档或备份的日志都会被保存在异地, 并需要授权才能取阅或恢复 审计日志的采集 AHCA 的审计日志分手工采集和自动采集两种方式 自动采集的主要是电子日志, 通过 CA 系统 ( 包括各子系统 ) 网络设备 各计算平台产生并记录 ; 手工采集的主要是纸质日志, 通过操作或出入人员的手工记录产生 24

33 5.4.7 对导致事件实体的通告 AHCA 将依据法律 法规的监管要求, 可能对一些恶意行为, 如网络和病毒攻击等, 通知相关的主管部门, 并且 AHCA 保留进一步追究责任的权利 脆弱性评估 审计人员对日志进行日常审计, 如发现引起安全事故的事件或可能的隐患, 将写入审计报告 AHCA 安全管理小组将每月对审计报告进行评审, 确定需要改进的安全措施 同时,AHCA 每年进行一次信息安全的风险评估 5.5 记录归档 归档记录种类 AHCA 归档的记录包括本文 5.4 所述的所有日志记录和证书数据库文件 CA 密钥备份 AHCA 发行的证书 CRL ARL 证书各种业务申请资料等 档案保存期限 面向企事业单位 社会团体 社会公众的电子政务电子认证服务, 档案信息保存期为证书失效后五年 ; 面向政务部门的电子政务电子认证服务, 档案信息保存期为证书失效后十年 档案的保护 AHCA 的档案保存在设有安全防护和防盗的物理环境中, 并由专人管理, 防止档案被修改 删除 非法取阅, 以及水 火 磁力 虫害等环境的损害 未经管理人员授权, 任何人不得接近保存的档案 档案备份 AHCA 每天对 CA 系统产生的电子档案进行备份 每周进行一次全备份并异地保存 ; 对于纸质档案, 则依据使用要求, 按及时保存原则分别制定归档流程 档案的标识 对于每一个 AHCA 的档案, 都给予适当标识, 标识的内容包括 : 编号 归档时间 档案内容 经办人等 25

34 5.5.6 档案采集系统 AHCA 的档案采集系统分为人工处理和自动处理两部分组成 档案验证 AHCA 在取阅档案信息时, 需检查存储的档案是否存在删改和破坏现象, 对于作了数字签名的档案, 则需验证签名 5.6 CA 的密钥更替 AHCA 使用国家根 国家根的密钥更替遵循国家根的有关规定 当发生以下情况时, 为保障用户证书使用的安全性和合法性,AHCA 将立即申请进行密钥更替 : 密钥对已经被泄漏 被窃取 被篡改或者其它原因导致的密钥对安全性无法得到保证 ; 国家相关主管机构对密钥算法 密钥长度等有变更规定 5.7 损害和灾难恢复 AHCA 遭攻击或发生损害事故时的恢复程序 AHCA 备份所有 CA 运行所需的数据 软件和资料 当发生事故或受到攻击时, 用于系统的复原 AHCA 制定相关的安全事件诊断和处理程序, 包括业务连续性计划 灾难恢复程序等 计算资源 软件或数据的破坏处理 当出现计算资源或软件或数据被破坏,AHCA 启动安全事件的处理程序 评估事件的影响, 防止事件扩大, 并调查原因, 作恢复处理 必要时可能启动 CA 私钥损害处理或灾难恢复程序 CA 私钥损害的处理 当 CA 私钥被攻破或泄露,AHCA 启动应急事件处理程序, 由安全管理小组和相关的专家进行评估, 制定行动计划 如果需要注销 CA 证书, 会采取以下措施 : 发布证书注销状态到证书库 ; 在 AHCA 网站或其它通信方式发布关于注销 CA 证书的处理通报 ; 重新签发新的 CA 证书 26

35 5.7.4 灾难发生后的业务保持 当现行 CA 运行系统地点发生灾难, 致使 CA 系统不能运作时,AHCA 启动灾难应急处理程序, 异地恢复 CA 系统的运行 AHCA 在异地保存有用于 CA 系统恢复的最小资源和最新数据, 并预选两个备用地点用于灾难恢复 灾难发生后,AHCA 会暂停业务受理, 但证书及状态查询可以在 24 小时内恢复 5.8 CA 或 RA 业务终止 CA 业务终止 因各种原因,AHCA 计划暂停或终止电子认证业务情况下,AHCA 将按国家相关法律法规的要求进行业务终止操作 AHCA 将努力寻找适合承接的认证机构, 并在暂停或终止业务前六十个工作日前选择业务承接的认证机构, 就业务承接有关事项通知有关各方, 做出妥善安排, 并在暂停或终止认证服务四十五个工作日前向国家密码管理局报告 不能就业务承接事项做出妥善安排的, 将在暂停或终止业务前六十个工作日前, 向国家密码管理局提出安排其它认证机构承接业务的申请 无论如何,AHCA 继续按照本 CPS 和国家法规的要求来处理档案和证书的续存工作 注册机构业务终止 因各种原因,AHCA 所属注册机构计划暂停或终止证书业务情况下, 注册机构应在暂停或终止业务前六十个工作日书面通知 AHCA, 并通告其所办理证书的订户 AHCA 将作出妥善的安排, 由其它注册机构或新设注册机构承接其业务, 尽量减少对 CA 及证书订户的影响 注册机构业务终止之日起 10 个工作日内, 所有业务档案资料将无条件移交给 AHCA 或 AHCA 指定的承接注册机构 27

36 第 6 章认证系统技术安全控制 6.1 密钥对的生成和安装 密钥对的生成 AHCA 及其 RA 订户的所有密钥对, 都是由国家密码主管部门许可使用的密码设备或模块生成 AHCA 根密钥对及其下级 CA 密钥对的生成, 是在预设定的程序下, 由至少 3 名密钥管理员及 1 名监督人员参与下产生, 并对每个环节进行记录和签名 订户的签名密钥对由其持有的电子密匙或其它密码设备产生, 而加密密钥对由 KMC 的密码设备产生 私钥的传递 AHCA 的私钥只能保存在 AHCA 控制的密码设备和采取秘密分割的备份介质中, 禁止向外传递 订户的签名私钥在订户的电子密匙或其它密码设备生成后随其实物通过离线方式传递到订户 ; 而订户的加密私钥在 KMC 产生后, 使用订户对应电子密匙或其它密码设备预生成的公钥加密后经过 CA RA 传递回订户对应的电子密匙或其它密码设备中, 保证传递中间环节加密私钥不泄露 电子密匙或其它密码设备的离线传递, 可以是 CA 或 RA 和订户面对面的交递, 或采取密码信封保护方式发送 ( 如邮递 ) 给订户 公钥的传递 订户的公钥采用证书签发请求格式 (PKCS#10) 或其它专门的安全格式通过安全通道传递给 AHCA 完成证书签发 订户证书签发后其公钥再随证书由 AHCA 发布到 AHCA 的证书库, 证书依赖方可以从 AHCA 证书库下载该公钥 AHCA 的公钥或其直接生成证书的公钥, 则直接由 AHCA 签发证书后随证书发布到 AHCA 证书库供订户和依赖方下载 密钥长度 现行 AHCA 的根密钥对及其下级 CA 密钥对为 2048 位的 RSA 密钥对和 256 位 SM2 密钥对 AHCA 要求订户的密钥对至少为 1024 位的 RSA 密钥对或 256 位 SM2 密钥对, 否则证书申请不予批准 28

37 6.1.5 公钥参数的产生 公钥参数由国家密码主管部门许可的设备或模块产生,AHCA 不会专门安排其质量检查 密钥用途 在 AHCA 认证体系中的密钥用途和证书类型紧密相关, 被分为签名和加密两大类 AHCA 的签名密钥用于签发下级 CA 订户证书和 CRL RA 的签名密钥用于确认 RA 所做的审核证书等操作 订户的签名密钥用于提供网络安全服务, 如信息在传输过程中不被篡改 接收方能够通过数字证书来确认发送方的身份 发送方对于自己发送的信息不能抵赖等 订户的加密密钥用于对需在网络上传送的信息进行加密, 保证信息除发送方和接受方外不被其他人窃取 篡改 更多与协议和应用相关的密钥使用限制请参阅 X.509 标准中的密钥用途扩展域 6.2 私钥保护与密码模块的控制 密码模块标准与控制 求 AHCA 使用国家密码主管部门许可的密码产品, 其密码模块符合国家规定的标准要 私钥的分割管理 AHCA 采用多人控制策略来管理 ( 包括生成 激活 备份 恢复 停止 销毁 )CA 的私钥 AHCA 使用国家密码主管部门许可的硬件密码设备来生成和保护 CA 的私钥 通过密码设备支持的 M 选 N( 其中 M 至少为 5,N 至少为 3 但不大于 M) 方式进行私钥的分割, 即将管理私钥的数据分割成 M 个部分, 由密钥管理人员分别持有, 并至少需要 N 个 秘密分享 持有者参与才能实现私钥的管理 私钥托管 AHCA 的根和下级 CA 的私钥不进行托管, 其它的签名私钥也都不进行托管 根据国家相关法规的要求,AHCA 代订户向 KMC 申请加密密钥对的托管, 其服务和安全保证参见本文 4.12 节 订户的签名私钥自行管理, 以保证其不可否认性 私钥备份 AHCA 的私钥按本文 的管理方式备份到安全介质中 ( 如 IC 卡 ), 以作灾难恢复或 29

38 密码设备更换时的恢复 除第 的托管服务外,AHCA 不对订户的私钥进行备份 私钥归档 AHCA 对过期的 CA 密钥对进行归档, 保存期限按照本文 的要求 已归档的 CA 私钥不再利用, 并在保存期过后进行销毁 依据国家相关法规或 AHCA 与订户的协议,KMC 可对不再托管的私钥进行归档 私钥在密码模块中的导入和导出 AHCA 的 CA 私钥可以在密码模块中导出, 以实现私钥备份 ;AHCA 的 CA, 也可以导入到其它由国家密码主管部门许可的密码模块中, 以实现灾难恢复和密码设备更新等 订户可以使用 AHCA 提供的电子密匙, 使其私钥无法从电子密匙中导出, 确保订户私钥的安全 ; 但订户的加密私钥可以导入到电子密匙中 私钥在密码模块中的保存 私钥在硬件密码模块中是以密文的形式保存 私钥的激活 AHCA 的私钥采用本文 的控制方式进行激活, 并每次请求私钥运算时需提供口令 钥保存在电子密匙或智能卡中, 需要提供 PIN 码才能激活私钥 部分电子密匙或智能卡的私钥激活可配置成一定周期后自动失效 ( 停止 ) 私钥的停止 所有硬件密码模块断电后或从接口中拔出后, 私钥的激活状态将自动停止 ( 取消激活 ) AHCA 的私钥还可采用本文 的控制方式进行停止 停止状态下私钥仅以密文的形式存在 私钥的销毁 AHCA 对归档期过后的私钥进行销毁, 包括保存在加密模块的中的副本及其使用备份, AHCA 确保这种销毁是不可复原的 AHCA 采用本文 的控制方式销毁密码模块中的私钥 AHCA 对从订户中回收的电子密匙或智能卡进行私钥销毁 订户在停止使用证书加解密功能的情况下, 为防止密钥泄漏及可能发生的密钥盗用情况, 也可以使用 AHCA 提供的证书管理工具的删除功能销毁私钥 30

39 6.3 密钥对的其它管理 公钥归档 AHCA 和 AHCA 订户的公钥会随其证书作为 AHCA 安全运行数据被存放或被归档在第三方的数据库中, 并在其失效后仍会在 AHCA 系统中保存至少 10 年 密钥对与证书的有效期 一般情况下密钥对的有效期视为与其对应的证书有效期相同 密钥对到期后不能再作为签名和加密使用, 但可以继续用来验证签名和解密信息 6.4 激活数据 激活数据的产生 激活数据指用于激活私钥的口令 PIN 码或 秘密分享 数据等 AHCA 的 秘密分享 数据由硬件加密模块产生 ( 参见本文 6.2.2) 初始的口令或 PIN 码通常由 AHCA 产生, 或是预制的, 或是由计算机随机产生的 AHCA 要求其业务人员或建议订户按以下规则设置或修改口令和 PIN 码 : 长度不小于 8 个字符, 除非系统或设备限制 ; 由数字 字母和特别符号 ( 如 *&%$#@\~! ) 组成 ; 不使用有含义的字串 ; 不能和操作员的名字相同 ; 不能包含用户名信息中的较长的子字符串 ; 不使用用过的口令或 PIN 码 激活数据的保护 对于 秘密分享, 其持有者将遵守规定存放在具有物理保护的地方 令和 PIN 码只有授权的私钥使用人员才能知悉 需要传递的口令和 PIN 一般使用密码信封, 防止泄露或被窃取 激活数据被猜测或攻击时 ( 如多次输入不正确的口令或 PIN 码 ), 将被自动锁死 AHCA 在任何时候发现其激活数据可能泄露的情况下, 对激活数据进行更改, 并销毁存在的记录, 不对历史激活数据归档 订户应自行评估其电子密匙的 PIN 码的泄露情况, 建议订户定期更换 PIN 码 31

40 6.5 计算机安全控制 计算机安全性要求 AHCA 用于运行认证系统和处理数据的生产用计算机由 AHCA 的系统管理员维护, 只有系统管理员或专门授权人员才能管理这些计算机 ( 包括软件安装 卸载 系统优化 部件更换等 ), 以保证系统处于安全可信的运行状态 AHCA 生产用计算机安装有病毒保护程序, 并定时更新防病毒软件的病毒库 任何维护时需接入生产网络的计算机均需进行病毒清查后才能使用 AHCA 的生产系统网络采用多级不同厂家的防火墙逻辑隔离各安全区域, 并部署有入侵检测系统 AHCA 计算机的管理员账号口令有最小密码长度要求, 而且必须符合复杂度要求, 系统管理员定期更改这些口令 计算机的安全等级 AHCA 的计算机系统安全等级基本达到计算机信息系统安全保护等级划分准则 ( 中华人民共和国国家标准 GB ) 的第五级 : 访问验证保护级 6.6 生命周期技术控制 系统开发控制 AHCA 的认证系统由商用密码产品生产定点单位研制, 符合国家的相关标准和规范 AHCA 要求其内部或外包的软件开发项目符合 ISO9001:2008 质量要求, 并遵守国家的法规和签署的项目保密条款 AHCA 的认证系统首次部署后经国家密码主管部门组织的专家组进行技术鉴定后启用 系统改进控制 AHCA 对认证系统生命周期内的任何补丁和升级版本进行控制, 并只有授权的工程实施人员才能访问 ; 认证系统的升级需由安全管理小组批准 AHCA 在实施补丁或升级之前对代码进行验证, 包括测试和版本核对 安全管理控制 AHCA 认证系统的配置以及任何修改都会记录在案, 并制定相关的管理程序和监督机制, 包括确定认证系统的访问角色 制定网络安全策略 制定认证系统的访问机制 制定认证系统的审计机制等, 来保障认证系统配置的安全, 防止未授权的修改 32

41 6.7 网络安全性控制 AHCA 认证系统根据信息敏感度的不同, 划分为不同的区域, 每个区域之间配备不同厂家的异构防火墙进行保护, 并配置入侵检测系统, 与防火墙联动 CA 与 RA 的功能模块之间的通信采用 VPN 或其它安全通信协议连接, 并采用安全身份认证技术 AHCA 对网络安全设备的软件版本 规则及时更新, 保持其有效的工作状态 只有系统管理员或专门授权人员才能管理这些网络设备 并且这些设备的管理员账号口令有最小密码长度和复杂度要求, 系统管理员定期更改这些口令 6.8 数字时间戳 AHCA 在 CA 系统中部署时间服务器, 该时间服务器采用的是国际标准时间 (UTC), 通过全球卫星定位系统 (GPS) 卫星天线接收同步卫星原子钟的精确时间信号得到 CA 系统的所有服务器都与时间服务器的时间同步, 保证系统各电子记录需要的时间是准确的 AHCA 还提供数字时间戳 (DTS) 服务, 符合 RFC 3161, 精度为秒 33

42 第 7 章证书 CRL 和 OCSP 7.1 证书 AHCA 颁发的证书符合 GB/T 信息安全技术公钥基础设施数字证书格式 标准要求, 并完全兼容 ITU-T X.509 和 RFC 5280 等国际标准规范, 支持大部分标准扩展, 并支持自定义扩展项 版本号 证书版本号为 X.509 V 证书扩展项 AHCA 证书支持的标准扩展包括 : 密钥用法 (Key Usage) 证书策略 (Certificate Policies) 主体替换名称 (Subject Alternative Names) 基本限制 (Basic Constraints) 扩展密钥用途 (Extended Key Usage) 证书注销列表分发点 (CRL Distribution Points) 颁发机构密钥标识符 (Authority Key Identifier) 主体密钥标识符 (Subject Key Identifier) AHCA 也支持 GB/T 标准及电子政务数字证书格式标准中指定的标准扩展, 并支持用户自定义私有扩展, 可根据用户或应用的要求定制 私有扩展一般情况下为非关键项 算法 OID AHCA RSA 证书使用 sha-1withrsaencryption 算法签发证书 AHCA RSA 证书使用 SM3WithSM2 算法签发证书 名称形式 证书主体名称和颁发机构的名称形式遵循本文 3.1 要求, 由 DN 表示 另外,AHCA 颁发的证书支持主体替换名称扩展, 在主体替换名称扩展中可以包含证书主体的其他相关名称信息, 比如电子邮件地址 服务器的 IP 地址或域名 34

43 7.1.5 证书密钥用法 AHCA 根据国家密码管理局的相关要求, 严格规定数字证书的密钥用法 AHCA 签发的数字证书中都在密钥用法 (Key Usage) 中明确指明了此已认证的公开密钥可用于何种用途 订户和依赖方必须根据证书的密钥用法严格控制数字证书的使用场景 证书策略 OID 证书策略由证书颁发机构制定并对外发布, 并向国际标准化组织申请证书策略对象标识符 (OID) 以保证互操作性 证书策略 OID 代表证书颁发机构提供服务的相关策略 ( 如 AHCA E-GOV CPS) 证书依赖方在接受该证书行为时通过阅读证书策略以帮助确定是否信任该证书 订户必须在阅读并同意证书策略后才到证书颁发机构申请并使用证书 策略限定符的语法和语义 在 AHCA 所颁发证书的证书策略扩展项中包含了 CPS 策略限定符, 提供了指向 AHCA E-GOV CPS 的 URL, 从中可以获取 AHCA 的 网证通电子政务电子认证业务规则 7.2 CRL AHCA 发布的 CRL 符合 GB/T 信息安全技术公钥基础设施数字证书格式 及 ITU-T X.509 RFC 5280 标准规范 版本号 CRL 版本号为 X.509 V CRL 和 CRL 条目扩展项 AHCA 发布的 CRL 中, 包含了以下扩展项 : 颁发机构密钥标识符 (Authority Key Identifier) CRL 编号 (CRL Number) Delta CRL 指示符 (Delta CRL Indicator, 仅用于 Delta CRL, 是关键扩展 ) 如果有明确的被注销的原因,CRL 条目则会包含被注销的原因扩展 (ReasonCode) 应用如果遇到不认识的关键的 CRL 扩展或者 CRL 条目扩展, 则不能使用该 CRL 来验证证书的注销状态 7.3 OCSP AHCA 采用 OCSP 提供在线证书状态查询服务 OCSP 作为 CRL 的有效补充, 提供比 CRL 较 35

44 为及时的证书状态查询机制, 方便订户及时的获取证书状态信息 AHCA 的 OCSP 服务系统符合 RFC2560 标准规范 版本号 OCSP 版本号为 V OCSP 扩展项 AHCA 未使用 OCSP 相关扩展项 如果遇到 OCSP 响应返回 unauthorized 错误码 证书返回 unknown 状态或者不认识的扩展, 则应该使用其它的机制去验证该证书的注销状态 36

45 第 8 章认证机构审计和其他评估 AHCA 建立内部审计机制, 并组织信息安全风险评估活动 AHCA 还接受国家电子认证服务主管部门组织的年度审查 其它第三方的外部审计或评估依据客户协议或其它政策进行 8.1 审计的依据 审计是为了检查和监督 AHCA 及其下属机构或其它关联机构是否依据 中华人民共和国电子签名法 电子认证服务管理办法 安徽省电子认证管理中心电子政务电子认证业务规则 的要求, 依法开展电子认证服务业务, 以及在开展业务过程中, 是否存在违反其它法律法规以及 AHCA 的业务规范 管理制度 安全策略等情况, 以达到规避经营风险 提高服务质量 保障客户权益的目的 8.2 审计的形式 审计分为外部审计与内部审计 外部审计是由法律规定的主管部门 主管部门委托的第三方机构或 AHCA 委托的第三方机构对自身的电子认证服务业务进行审计与评估 审计内容 评估标准及审计评估结果是否公开由主管部门确定 内部审计是指 AHCA 自行组织人员对机构内部 下属机构等进行审计评估, 审计结果供内部用以完善管理 改进服务, 不需对外公开 8.3 审计或评估的频率 AHCA 的内部审计周期为每月一次, 并且每年进行一次信息安全的风险评估 如果出现特殊情况则单独启动审计或风险评估, 引发评估或审计事件的特殊情况包括疑似或真实的敏感信息泄密 客户反馈异常 重大的系统变更等 国家电子认证服务主管部门组织的审查为每年一次 8.4 审计或评估人员的资质 AHCA 的内部审计或评估人员要求熟悉电子认证业务和 PKI 技术体系, 接受过内部信息安全管理培训, 并由安全管理小组任命 外部审计或评估人员的资质由相关法规或主管部门确定 8.5 审计或评估人员与 AHCA 的关系 AHCA 内部审计人员要求与被审计对象无责任关系, 为 AHCA 雇员 37

46 AHCA 内部风险评估的负责人要求与被评估对象无责任关系, 可以是 AHCA 雇员, 也可以是非 AHCA 雇员 外部审计或评估人员应为与 AHCA 无任何除审计或评估之外的业务 财务往来或其他足以影响评估客观性的利害关系 8.6 审计或评估的内容 AHCA 内部审计或评估涉及的内容包括以下 : 人员管理物理环境建设及安全管理系统结构及其运行管理密钥管理客户服务规范管理综合运营规范 ( 如法规 CPS 风险控制等方面 ) 在特殊情况下的审计或评估内容可能只包括以上内容的一部分 国家电子认证服务主管部门组织的年度审查内容遵照其发布的最新要求 8.7 对问题与不足采取的措施 如果在审计或评估过程中发现执行规范有不足或存在问题,AHCA 将根据审计或评估报告制定和实施纠正措施, 并由安全管理小组监督执行 对于重大的安全隐患,AHCA 同样会启动应急事件处理程序, 以迅速控制风险的影响范围 8.8 审计或评估结果的传达与发布 AHCA 只按管理或协议要求将审计或评估结果传达到相应对象 除非法律法规要求, AHCA 一般不公开审计或评估结果 38

47 第 9 章法律责任和其它业务条款 9.1 费用 证书签发和更新费用 AHCA 对证书的签发 更新 密钥恢复和管理收取服务费用, 费用标准执行国家或地方物价主管部门批准的价格 并根据实际情况, 在批准价格之内调整 证书查询费用 AHCA 对发布到证书库中的所有证书查询不予收费 证书状态信息查询费用 AHCA 对发布到证书库中的 CRL 提供免费下载和使用服务 AHCA 的 OCSP 服务和其它定制的证书状态查询服务根据客户的服务协议要求进行收费 其它服务费用 AHCA 免费提供本 CPS 和证书业务相关申请表格下载服务 对于客户要求定制的服务, AHCA 酌情收取费用 退款政策 数字证书一旦发放,AHCA 不办理退证 退款手续 在业务受理过程中, 发现申请者提供虚假材料,AHCA 中止受理, 但不予退还已收取的各项费用 9.2 财务责任 AHCA 保持足够的财力维持其业务运作和履行应负的责任 AHCA 接受国家电子认证服务主管部门对 AHCA 财务状况的检查 当因不遵守操作规程而造成的 RA 身份审核不当或因 AHCA 密钥泄露而造成的订户或依赖方不应承受的损失,AHCA 根据 CPS 相关条款和国家相关法规进行赔付 39

48 9.3 业务信息保密 保密信息的范围 AHCA 列入保密的信息包括但不限于以下内容 : 订户的个人信息和 ( 或 ) 机构信息 ; AHCA 及其代理机构的证书业务处理信息 ; 所有的私钥信息 ; AHCA 的运行数据和记录, 以及保障运行的相关计划 ; AHCA 与业务代理机构间的商业信息, 包括商业计划 销售信息 贸易秘密和在非公开协议下从第三方得到的信息 ; AHCA 及其业务代理机构相关的审计报告 审计结果及其处理等信息 ; 除非法律明文规定,AHCA 没有义务公布或透露订户证书以外的任何信息 ; 其它书面或有形形式确认为保密的信息 不在保密范畴内的信息 以下信息 AHCA 不列入保密范畴 : 证书所载信息, 以及证书状态信息 ; 由 AHCA 网站或手册公布的信息 包括证书申请流程 证书使用指南 CPS 等信息 以上信息虽然是公开信息, 但仅供下载查阅使用, 任何人或组织不得转载或用于任何商业用途,AHCA 保留追究责任的权利 保护保密信息的责任 AHCA 及其业务代理机构 订户 关联实体等所有保密信息掌握者均有义务承担信息保密的责任 AHCA 执行严格的信息保密制度以确保只有经 AHCA 授权的人员才能接近机密信息 严格禁止未授权的访问 阅读 修改和删除等操作 当机密信息的所有者出于某种原因, 要求 AHCA 公开或披露其所拥有的机密信息,AHCA 应满足其要求 如果这种披露机密的行为涉及任何其他方的赔偿义务,AHCA 不应承担任何与此相关的或由于公开机密信息引起的所有损失 损坏的赔偿责任 当 AHCA 在国家的法律法规要求下, 或在法院的要求下必须披露本文 中的保密信息时,AHCA 可以按照法律法规或法院判决的要求, 向执法部门公布相关的保密信息 这种披露不能视为违反了保密的要求和义务,AHCA 无须承担任何责任 9.4 个人隐私保密 隐私保护方案 AHCA 制定隐私保护策略, 所有相关人员 ( 包括 AHCA 及其 RA 的工作人员 订户等 ) 必须严格遵守相应的规章制度 AHCA 根据国家相关法规的出台, 及时调整隐私保护策略, 以符合国家法规的要求 40

49 9.4.2 作为隐私处理的信息 由 AHCA 接收到的不在证书 CRL 体现的证书申请者 ( 包括联系人 ) 订户的相关信息均作为隐私信息处理 不被视为隐私的信息 所有在证书 CRL 载明的订户信息不被视为隐私信息 保护隐私信息的责任 AHCA 对本文 所列的隐私信息进行保护, 防止泄露 只有经 AHCA 授权的人员才能接触隐私信息, 禁止任何未授权的访问 阅读或转移 使用隐私信息的告知与同意 AHCA 只在其业务范围内使用本文 所列的隐私信息, 包括订户身份识别 管理 和服务的目的 这些使用,AHCA 没有告知订户的义务, 也无需得到订户的同意 任何超出以上范围的隐私信息使用, 需得到其本人的同意 对违法 违规使用 发布以上隐私信息的,AHCA 承担由此造成的证书持有者 依赖方的损失, 并负担相应的行政 经济责任 依法律或行政程序的信息披露 当 AHCA 在国家的法律 规章的要求下, 或在法院的要求下必须披露本文 中的隐私信息时,AHCA 可以按照法律 规章或法院判决的要求, 向执法部门公布相关的隐私信息 这种披露不能视为违反了保密的要求和义务,AHCA 无须承担任何责任 其他信息披露情形 当隐私信息其本人出于某种原因, 要求 AHCA 公开或披露他的隐私信息,AHCA 可根据授权或协议进行披露 如果这种披露行为涉及任何其他方的赔偿义务,AHCA 不承担任何与此相关的或由于公开隐私信息引起的所有损失 损坏的赔偿责任 9.5 知识产权 AHCA 自身拥有的知识产权声明 AHCA 享有并保留对证书以及 AHCA 提供的全部软件的一切知识产权, 包括但不限于所有权 名称权和利益分享权等 41

50 AHCA 发行的证书及其状态信息, 以及 AHCA 提供的软件 系统 文档中, 使用 体现和涉及到的一切版权 商标和其他知识产权均属于 AHCA, 这些知识产权包括所有相关的文件 CPS 规范文档和使用手册等 在没有 AHCA 预先书面同意的情况下, 订户不能在任何证书到期 作废 或终止的期间或之后, 使用或接受任何 AHCA 使用的名称 商标 交易形式或可能与之相混淆的名称 商标 交易形式或商务称号 AHCA 使用其他方知识产权的声明 AHCA 在其服务系统中使用的软硬件设备 辅助设施和相关操作手册, 其知识产权为相关供应商所有,AHCA 保证都是合法的拥有相应权利 订户或证书申请人声明并保证其交付给 AHCA 使用的网络域名 IP 地址 主体名称及所有其它证书申请书的资料不得在任何管辖区域内干预或侵犯第三人的商标 服务标志 公司名称或其它知识产权等权利, 而且不用于非法目的, 包括侵害 干扰协议或预期的商业利益 不公平竞争 损害他人信誉及干扰或误导他人 9.6 陈述与担保 AHCA 的陈述与担保 AHCA 的担保如下 : 在批准证书申请和颁发证书中没有 AHCA 所知的或源自 AHCA 的错误陈述 在生成证书时, 保证足够检测和审核, 使证书中的信息与 AHCA 所收到的信息保持一致 除了未经验证的订户信息外, 证书中的或证书中合并参考到的所有信息都是准确的 签发给订户的证书符合本 CPS 的所有实质性要求 按本 CPS 的规定, 及时注销或挂起证书, 并签发 CRL AHCA 将向订户和依赖方通报任何已知的, 将在根本上影响证书的有效性和可靠性的事件 其它的陈述与担保参见与订户的服务协议 RA 的陈述与担保 AHCA 的 RA 担保如下 : RA 遵循 AHCA 制订的服务受理规范 系统运作和管理要求 保证其服务不影响到 AHCA 的服务标准和承诺 在审核和批准证书申请中没有 RA 所知的或源自 RA 的错误陈述 在处理证书申请时, 保证足够检测和审核, 使证书中的信息与 RA 所收到的信息保持一致 除了未经验证的订户信息外, 证书中的或证书中合并参考到的所有信息都是准确的 签发给订户的证书符合本 CPS 的所有实质性要求 按本 CPS 的规定, 及时处理证书的注销或挂起申请 其它的陈述与担保参见与订户的服务协议 42

51 9.6.3 订户的陈述与担保 订户的担保如下 : 用与证书中所含公钥相对应的私钥所进行的每一次签名, 都是订户自己的签名, 并且在进行签名时, 证书是有效的 ( 没有过期 被挂起或注销 ) 并已被订户接受 订户的私钥得到很好的保护, 未经授权的人员从未访问过其私钥 订户在证书申请过程中向 AHCA 及其 RA 陈述的所有信息是真实的 订户提供给 AHCA 及其 RA 用于申请证书的所有材料都是真实的 如果存在代理人, 那么订户和代理人两者负有连带责任 订户有责任就代理人所作的任何不实陈述与遗漏, 通知 AHCA 其 RA 订户将按本 CPS 的规定, 只将证书用于经过授权的或其它合法的使用目的 订户的证书是终端证书 订户保证不将其证书用于发证机构所从事的业务, 例如 : 把与证书中所含的公钥所对应的私钥用于签发任何证书 ( 或认证其他任何形式的公钥 ) 或签发 CRL 之类 其它的陈述与担保参见与 AHCA 的服务协议 依赖方的陈述和担保 依赖方的担保如下 : 依赖方保证熟悉 AHCA E-GOV CPS 以及和订户证书相关的证书政策, 并了解和遵守证书的使用目的 依赖方确保证书及其对应的密钥对的确用于预定的目的 依赖方在信赖订户的证书前, 需收集足够的信息, 判明是否 AHCA 签发的证书并在有效期内, 根据最新的 CRL 检查证书的状态, 查明证书是否还有效 依赖方的信赖行为, 表明其已同意本 CPS 的有关条款 9.7 担保免责 AHCA 在以下三种情况下免除责任 : 1. 不可抗力 在不可抗力情况下 ( 内容见本文 和相关法律条款 ),AHCA 免除责任 2. 免责条款免责条款是指当事人在合同中约定的免除将来可能发生的违约责任的条款 免责条款不得违反法律的强制性规定和社会公共利益 3. 债权人过错如果合约不履行或者不完全履行是由对方即债权人的过错造成的, 不履行或者不完全履行的一方免除违约责任 在电子认证服务合同中也存在因债权人过错而免责的情况, 包括但不限于以下内容 : 申请者故意或无意的提供不完整 不可靠或已过期的, 包括但不限于伪造 篡改 虚假的信息, 而其又根据正常的流程提供了必须的审核文件, 由此得到了 AHCA 签发的数字证书 订户或依赖方没有使用可信赖系统进行证书操作 订户在 AHCA 允许的目的范围之外使用或证书使用不当 以上未尽事宜, 依照中华人民共和国现行法律 法规执行 43

52 9.8 AHCA 偿付责任限制 AHCA 是依 中华人民共和国公司法 中华人民共和国电子签名法 设立的有限责任公司,AHCA 在承担任何责任和义务时, 只承担法律范围内的有限责任 AHCA 及其授权的发证机构, 对于一份证书的所有当事人 ( 包括但不限于订户 申请人或依赖方 ) 的合计赔偿责任, 不超过该证书的最高赔偿限额, 这种限额可以由 AHCA 改动 AHCA 声明的法律赔偿责任之最高限额为该证书相应的服务费用的 10 倍 AHCA 的赔偿责任范围 : 证书信息与订户提交的资料信息不一致, 导致订户或依赖方损失 由于 AHCA 的原因, 导致依赖方或订户自身无法正常验证证书状态而蒙受损失 AHCA 只有在 AHCA 证书有效期限内承担以上损失或损害赔偿 9.9 订户和依赖方责任 订户和依赖方在使用和信赖证书时, 如有任何行为或疏忽导致 AHCA 产生损失, 则订户或依赖方应承担赔偿责任 订户的赔偿责任情况 订户申请证书时, 因故意 过失或者恶意提供不真实资料, 造成 AHCA 或者其他方遭受损害的 订户因故意或者过失造成其私钥泄漏 遗失, 明知私钥已经泄漏 遗失而没有告知 AHCA 或其 RA, 以及使用不安全系统或不当交付他人使用, 造成 AHCA 或其他方遭受损害的 订户提供使用的命名信息, 包括但不限于名称 域名 IP 电子邮箱等, 存在任何侵犯他人知识产权, 造成 AHCA 或其他方遭受损害的 依赖方的赔偿责任情况 未按 AHCA E-GOV CPS 或其他相关协议承担依赖方义务, 而造成 AHCA 或其他方遭受损害的 未能按 AHCA E-GOV CPS 策略识别和信任证书及其行为, 而造成 AHCA 或其他方遭受损害的 未查验证书的有效期和状态就冒然信任证书及其行为, 而造成 AHCA 或其他方遭受损害的 9.10 有效期限与终止 ` 有效期限 AHCA E-GOV CPS 自发布之日起正式生效 CPS 中将详细注明版本号及发布日期 44

53 终止 当新版本的 CPS 正式发布生效时, 旧版本的 CPS 将自动终止 效力的终止与保留 AHCA E-GOV CPS 一旦终止后, 订户和依赖方原则上不受其条款的约束, 但涉及知识产权和保密的相关条款继续生效 9.11 对参与者的个别通告与沟通 除非参与者之间另有协议约定, 否则各参与者之间必须采用书面的的方式 ( 包括有数字签名的电子文书 ) 进行通告和沟通 信息发送者应确保信息被对方所接收, 并能够理解 9.12 修订 修订程序 AHCA E-GOV CPS 由 AHCA 认证策略管理委员会根据情况进行审查, 任何时候 AHCA 认证策略管理委员会认为有必要时即组织修订 修订后的版本经 AHCA 认证策略管理委员会审批后发布到 AHCA 网站 ( 并报送国家密码管理局备案 通告机制和期限 AHCA 认证策略管理委员会有权作出对 CPS 作任何修改的决定 如果 CPS 的修改没有本质的变化, 包括重新排版 勘误 重新表达, 联系方式 发布地址变更等, 则无需进行个别的通告 AHCA E-GOV CPS 的修改结果在 AHCA 的网站 ( 上公布 所有可能以书面形式提供给订户的 CPS 修订结果, 按以下规则发送 : 1. 接受者是一个组织, 则向其在 AHCA 或其 RA 登记的联系地址发送信息 ; 2. 接受者是个人, 则向其申请书上登记的地址发送信息 ; 3. 这些通知可能用快递或挂号信的方式发送 AHCA 也可以选择通过电子邮件 ( ) 向订户发送通知, 该电子邮件地址在订户申请证书时已注明 AHCA E-GOV CPS 的所有修正 修改和变化在公布后立刻生效 订户如不在修改结果公布之日起七天内作废证书, 就视为同意这种修正 修改和变化 必须修改 CPS 的情形 如果出现下列情况, 那么必须对 CPS 进行修改 : 45

54 采用了新的密码体系或技术, 并影响现有 CPS 的有效性认证系统和有关管理规范发生重大升级或改变法律法规的变化, 并影响现有 CPS 的有效性现有 CPS 出现重要缺陷 9.13 争议处理 如果 AHCA 与合作机构之间或与订户 依赖方之间发生争议, 而当事人之间无法很好的解决出现的问题和争端, 均提请广州仲裁委员会按照该会仲裁规则进行仲裁 仲裁裁决是终局的, 对双方均具有约束力 9.14 管辖法律 AHCA E-GOV CPS 在各方面按照中国现行法律和法规执行和解释 包括但不限于 中华人民共和国电子签名法 及 电子认证服务管理办法 电子认证服务密码管理办法 等 9.15 与适用法律的符合性 AHCA 电子认证业务各参与方必须遵守中国现行法律及相关行业规范的监管, 包括但不限于 中华人民共和国电子签名法 电子政务电子认证服务管理办法 电子认证服务密码管理办法 及国家密码管理局相关密码技术 产品标准规范等 若要出口使用于 AHCA 认证服务的相关产品, 可能需要取得相关政府机关的许可 产品出口的当事人必须遵守中国进出口法律和法规 9.16 一般条款 完整协议条款 AHCA E-GOV CPS 及 AHCA 的相关业务管理办法 国家相关法律法规构成 AHCA 的整体协议, 各参与方的业务须遵循整体协议 转让条款 若 AHCA 下属 RA 因故注销, 则其管理的相应订户须接受 AHCA 的业务调配, 通过另一 RA 获得相应服务 ; 若 AHCA 因政策性原因或其它不可抗力停止服务,AHCA 之所属订户须按国家规定, 接受相应接管 CA 的证书服务条款 分割性条款 在 AHCA 的电子认证业务中, 因某一原因导致法庭或其它仲裁机构判定协议中的某一 46

55 条款无效或不具执行力时 ( 由于某种原因 ), 订户证书业务相关协议的其它条款仍然生效 强制执行条款 AHCA 电子认证各参与方中, 免除一方对合约某一条款违反应负的责任, 不意味着免除这一方对其它条款违反或继续免除这一方对该条款违反应负的责任 不可抗力条款 不可抗力, 是指不能预见 不能避免并不能克服的客观情况 不可抗力既可以是自然现象或者自然灾害, 如地震 火山爆发 滑坡 泥石流 雪崩 洪水 海啸 台风等自然现象 ; 也可以是社会现象 社会异常事件或者政府行为 如合同订立后政府颁发新的政策 法律和行政法规, 致使合同无法履行 ; 再如战争 罢工 骚乱等社会异常事件 在电子认证活动中,AHCA 由于不可抗力因素而暂停或终止全部或部分证书服务的, 也可根据不可抗力的影响而部分或者全部免除违约责任 其他认证活动参与各方 ( 如订户 ) 不得就此提出异议或者申请任何补偿 由于法律无法具体规定或者列举不可抗力的内容和种类, 加上不可抗力本身的弹性较大, 在理解上容易产生歧义, 因而允许当事人在合同中订立不可抗力条款, 根据交易的情况约定不可抗力的内容和种类 AHCA 电子认证合同中的不可抗力条款可以在与数字证书申请表一起提供给订户的服务协议中规定, 也可被规定在 AHCA E-GOV CPS 中 9.17 其它条款 各种规定的冲突 若 AHCA E-GOV CPS 的规定与其它规定 指导方针或协议相互抵触, 各参与方必须接受 AHCA E-GOV CPS 的约束, 除非 AHCA E-GOV CPS 的规定为法律所禁止的范围内 ; 该冲突的协议的签署日期在 AHCA E-GOV CPS 首次公开发行之前 ; 该冲突的协议明确地优于 AHCA E-GOV CPS 安全资料的财产权益 除非另有约定, 下列与安全相关的资料视为下列指定的当事人所拥有 : 证书 : 证书为 AHCA 的产权所有 AHCA E-GOV CPS:AHCA E-GOV CPS 的版权为 AHCA 所有 甄别名 : 甄别名为该命名实体 ( 或其雇主或委托人 ) 所有 私钥 : 不论该密钥是以何种实体媒介存放或保护, 私钥为合法使用或有权使用该密钥订户 ( 或其雇主或委托人 ) 所有 公钥 : 不论该密钥以何种实体媒介存放或保护, 公钥为订户 ( 或其雇主或委托人 ) 所有 AHCA 的私钥 :AHCA 的私钥是 AHCA 的财产 这些私钥由 AHCA 授权分配和使用 47

56 AHCA 的公钥 :AHCA 的公钥是 AHCA 的财产 AHCA 允许使用这些公钥 损害性资料 证书申请人与订户不能把包含以下言论的任何资料提交给 AHCA 或其 RA: 毁谤 中伤 不雅 色情 侮辱 迷信 憎恶或种族歧视的言论 ; 鼓吹非法活动或讨论非法活动, 并试图从事此类活动的言论 ; 其它违法言论 48

57 第 10 章支持服务管理 10.1 服务内容 AHCA 将提供面向证书订户和面向应用提供方的服务支持 面向证书持有者订户的服务支持 1 数字证书管理 : 包括数字证书的导入 导出 客户端证书管理工具的安装 使用 卸载等 2 数字证书应用 : 基于数字证书的身份认证 电子签名 加解密等应用出现的证书无法读取 签名失败 证书验证失败等应用问题 3 证书存储介质硬件设备使用 : 包括证书存储介质使用过程中出现的口令锁死 驱动安装 介质异常等 4 电子政务电子认证服务支撑平台使用 : 为用户提供数字证书在线服务平台使用中的各类问题, 包括 : 证书更新失败 下载异常 无法提交注销申请等 面向应用提供方的服务支持 1 电子认证软件系统使用 : 提供受理点系统 注册中心系统 LDAP OCSP 信息服务系统等系统的使用支持, 如证书信息无法查询 数据同步失败 服务无响应等 2 电子签名服务中间件的应用 : 解决服务中间件的集成时出现的诸如客户端平台适应性问题 服务端组件部署问题 服务器证书配置问题 签名验签应用问题等 10.2 服务方式 坐席服务 AHCA 设置有服务热线 热线坐席根据用户的问题请求, 协助用户处理 在线服务 AHCA 通过以下方式为电子政务证书订户和应用提供方提供在线服务 : 自助信息查询网络实时通讯远程终端协助在线方式和传统模式的结合 49

58 现场服务 根据服务协议的约定, 由 AHCA 技术工程师和客户服务人员上门为用户处理数字证书应用中存在的问题 满意度调查 通过电话 WEB 网站 邮件系统 传真等多种用户可接受的方式不定期地开展用户满意调查, 分析调查结果, 改善服务 投诉处理 向用户公布投诉电话和传真, 并通过 WEB 网站等方式, 收集和受理用户投诉, 并对投诉处理过程进行记录 投诉处理的结果将及时反馈给用户 培训 AHCA 可依据与客户的约定进行培训 培训内容可以包括以下内容 : 电子政务电子认证服务基础性技术知识 客户服务规范 数字证书应用集成规范 常见问题解答 (FAQ) 操作使用手册等 10.3 服务质量 AHCA 的坐席服务 在线服务 现场服务时间做到充分满足用户的需要 服务时间满足 5 天 *8 小时 视双方服务协议的约定, 可提供延长服务时间 AHCA 对于技术问题和客服问题均按照问题类别 严重程度依次分类登记和处理, 制定响应处理流程和工作机制, 确保服务的及时性和连续性, 各类响应时间可按双方约定, 以不影响客户使用数字证书为准则 10.4 证书应用集成支持服务 证书应用集成内容 AHCA 具备针对电子政务信息系统的电子认证安全需求分析的能力, 电子认证法律法规 技术体系的咨询能力以及设计满足业务要求的电子认证及电子签名服务方案设计能力 AHCA 数字证书应用方案设计包括 : 证书格式设计 证书交付 支持服务 信息服务 集成方案 建设方案 介质选型等 AHCA 证书应用集成主要包括 : 制定证书应用实施的管理策略和流程, 对业务系统进行充分调研, 指导或参与业务系统证书应用部分的开发和实施 ; 50

59 制定项目管理制度, 规范系统和程序开发行为 ; 制定安全控制流程, 明确人员职责 ; 实施证书软件发布版本管理, 并进行证书应用环境控制 ; 项目开发程序和文档等资料的妥善归档保存 证书应用接口 AHCA 证书应用接口为上层应用提供简洁 易用的调用接口, 其主要包括密码设备接口和通用密码服务接口 1 密码设备调用接口密码设备调用接口包括服务器端密码设备的底层应用接口和客户端证书介质 ( 如 : USBKey) 的底层应用接口 AHCA 服务器端密码设备的底层应用接口在符合国际标准 PKCS#11 技术规范的基础上, 符合 公钥密码基础设施应用技术体系密码设备应用接口规范 AHCA 客户端证书介质的底层应用接口符合 智能 IC 卡及数字证书应用接口规范 2 通用密码服务接口 AHCA 通用密码服务接口屏蔽了底层不同密码设备类型和底层接口的通用中间件, 该接口符合 电子政务数字证书应用接口规范, 提供证书环境设置 证书解析 随机数生成 签名验证 加解密 时间戳以及数据服务接口等功能 其主要包括服务器端组件接口和客户端控件接口 服务器端组件和客户端控件支持不同认证机构所签发的符合 电子政务数字证书格式规范 的数字证书 AHCA 证书应用接口程序支持 Windows AIX Solaris Linux 等多种系统平台, 并提供 C C# Java 等多种接口形态, 可通过 com 组件 java 组件 ActiveX 控件 Applet 插件等多种形态提供服务 证书应用集成服务 AHCA 为电子政务应用单位提供证书应用接口程序集成工作 集成工作主要包括以下服务 : 提供证书应用接口的开发包 ( 包括客户端和服务器端 ); 接口说明文档 ; 集成演示 Demo; 集成手册 ; 证书应用接口开发培训和集成技术支持 ; 协助应用系统开发商完成联调测试工作 决策支持信息服务 根据服务协议的约定,AHCA 可通过 Web 或 WebService 方式面向应用系统提供方提供以下决策支持信息服务 : 用户档案信息 : 分业务 地域 时段等提供用户信息的统计分析服务 投诉处理信息 : 提供特定业务 时间 特定用户群 问题类别等的汇总信息及分析 客户满意度信息 : 提供面向业务的客户满意度调查信息 服务效率信息 : 提供面向业务的服务效率分析信息, 如处理时间 服务接通率等 51