电子政务电子认证服务业务规则规范(国密局字〔2018〕572号)于2019年3月1日实施

文章来源：国家密码管理局 编辑：北京华道众合咨询公司

1　范围
本规范明确了电子认证服务业务规则管理规范、业务要求、操作规范、服务质量保障及相关法律责任等。
本规范适用于参与电子认证服务业务的相关实体，用于规范认证机构开展电子认证服务体系建设以及相关服务活动，也用于为国家密码管理部门组织开展电子政务电子认证服务能力评估和监督检查提供依据。
2　规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修订单）适用于本文件。
GM/Z 0001 密码术语
GM/T 0015 基于SM2密码算法的数字证书格式规范
GM/T 0016 智能密码钥匙密码应用接口规范
GM/T 0017 智能密码钥匙密码应用接口数据格式规范
GM/T 0018 密码设备应用接口规范
GM/T 0019 通用密码服务接口规范
GM/T 0020 证书应用综合服务接口规范
GM/T 0028 密码模块安全技术要求
GM/T 0034 基于SM2密码算法的证书认证系统密码及其相关安全技术规范
GM/T 0054 信息系统密码应用基本要求
3　术语和定义
GM/Z 0001确立的以及下列术语和定义适用本文件。
3.1
公钥基础设施 public key infrastructure（PKI）
基于公钥密码技术实施的具有普适性的基础设施，可用于提供机密性、完整性、真实性及抗抵赖性等安全服务。
3.2
加密 encipherment/encryption
对数据进行密码变换以产生密文的过程。
3.3
加密证书 encipherment certificate/exchange certificate
用于证明加密公钥的数字证书。
3.4
密码模块 cryptographic module
实现密码运算功能的、相对独立的软件、硬件、固件或其组合。
3.5
密码算法 cryptographic algorithm
描述密码处理过程的运算规则。
3.6
密钥 key
控制密码算法运算的关键信息或参数。
3.7
证书更新 Certificate update
指在不改变密钥的情况下，用一个新证书来代替旧证书的过程。
3.8
密钥更新 key update
用一个新密钥来代替旧密钥的过程，通常指证书与密钥同时更新。
3.9
密钥恢复 key recovery
将归档或备份的密钥恢复到可用状态的过程。
3.10
签名证书 signature certificate
用于证明签名公钥的数字证书。
3.11
身份鉴别/实体鉴别 authentication/entity authentication
确认一个实体所声称身份的过程。
3.12
数字签名 digital signature
签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果，该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。
3.13
数字证书 digital certificate
也称公钥证书，由证书认证机构（CA）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名证书和加密证书。
3.14
私钥 private key
非对称密码算法中只能由拥有者使用的不公开密钥。
3.15
SM2 算法 SM2 algorithm
一种椭圆曲线公钥密码算法，其密钥长度为256 比特。
3.16
证书撤销列表 certificate revocation list （CRL）
由证书认证机构（CA）签发并发布的被撤销证书的列表。
3.17
证书认证机构 certification authority（CA）
对数字证书进行全生命周期管理的实体。也称为电子认证服务机构。
3.18
证书注册机构 registration authority （RA）
受理数字证书的申请、更新、恢复和注销等业务的实体。
3.19
证书依赖方 certificate dependent
依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。依赖方可以是也可以不是一个证书持有者。

4　符号和缩略语
下列缩略语适用于本文件：
CA 认证机构(Certification Authority)
CPS 证书业务声明（Certification Practice Statement）
CRL 证书撤销列表(Certificate Revocation List)
LDAP 轻量级目录访问协议(Lightweight Directory Access Protocol)
OCSP 在线证书状态协议（Online Certificate Status Protocol ）
RA 注册机构(Registration Authority)
LRA 证书注册受理点（Local Registration Authority）
5　《电子政务电子认证服务业务规则》管理规范
5.1　策略文档管理
认证机构应成立本机构的《电子政务电子认证服务业务规则》的管理机构，对本机构的《电子政务电子认证服务业务规则》进行维护与管理，包括：
1.确定《电子政务电子认证服务业务规则》的维护职责，并建立合理有效的《电子政务电子认证服务业务规则》修订和批准流程；
2.《电子政务电子认证服务业务规则》管理机构应定期对存在的业务风险进行评估，并及时对《电子政务电子认证服务业务规则》进行修订。
按照《电子政务电子认证服务管理办法》规定，应将制定后的《电子政务电子认证服务业务规则》及时报国家密码管理局进行备案，并在服务范围内公开发布。
5.2　联系方式
认证机构应在《电子政务电子认证服务业务规则》中明确本机构对外的相关联系内容，包括：
1.本机构《电子政务电子认证服务业务规则》的发布地址
2.机构网站地址
3.电子邮箱地址
4.联系地址
5.联系部门
6.电话号码
7.传真号码
5.3　批准程序
认证机构应在《电子政务电子认证服务业务规则》中明确该业务规则的批准程序，包括：
1.起草小组的成立流程；
2.《电子政务电子认证服务业务规则》管理机构的审批流程；
3.发布流程；
4.向主管机关的备案流程。
6　电子政务电子认证服务业务要求
电子政务电子认证服务机构应当按照《电子政务电子认证服务管理办法》所规定的服务内容及要求开展相应的电子认证服务活动。
6.1　数字证书服务
6.1.1　服务内容
认证机构面向电子政务活动中的政务部门和企事业单位、社会团体、社会公众等电子政务用户提供的证书申请、证书签发、证书更新和证书撤销等证书全生命周期管理服务。
6.1.2　数字证书类型
认证机构可提供以下类型的数字证书：
1.机构证书
用以代表政务机关和参与电子政务业务的企事业单位、社会团体或其他组织的身份，如：代表单位和部门等机构身份证书。
2.个人证书
为各级政务部门的工作人员和参与电子政务业务的社会公众颁发的证书，用以代表个体的身份，如：某局局长、某局职员或参加纳税申报的个人的身份证书等。
3.设备证书
为电子政务系统中的服务器或设备颁发的数字证书，用以代表服务器或设备的身份，如：服务器身份证书、IPSec VPN设备证书等。
4.其他类型证书
为满足电子政务相关应用的特殊需求而提供的其他应用类型的证书，如：代码签名证书等。
以上各类数字证书格式应遵循GM/T 0015，在标识实体名称时，应保证实体身份的唯一性，且名称类型应支持X.500、RFC-822、X.400等标准协议格式。
6.1.3　身份标识与鉴别
1.命 名
数字证书命名应遵循GM/T 0015的要求，不得使用匿名或假名。
2.证书申请人的身份确认
A.证明持有私钥的方法
认证机构应在其CPS中声明其证明申请者拥有私钥的方法。可通过如下方式进行验证：
1）签名密钥应属于证书申请者专有；
2）证书申请者应使用其私钥对证书请求信息进行数字签名；
3）CA应使用证书申请者公钥验证该签名；
4）证书私钥的保管应符合GM/T 0034和GM/T 0028等相关标准规范。
B.组织机构身份的鉴别
在把证书签发给一个组织机构或组织机构拥有的设备时，认证机构应对证书持有者所在的组织机构进行身份鉴别。对组织机构身份鉴别方式，至少包括如下内容：
1）确认组织机构是确实存在的、合法的实体；
2）确认该组织机构知晓并授权证书申请，代表组织机构提交证书申请的人是经过授权的；
3）确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。
C.个人身份的鉴别
在把证书签发给个人时，认证机构应对证书持有者进行身份鉴别。对个人身份鉴别方式，至少包括如下内容：
1）确认个人的身份是确实存在的、合法的实体；
2）确认证书持有者知晓并授权证书申请，代表他人提交证书申请的人是经过授权的；
3）确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。
D.在把证书签发给政府部门中的个人时，认证机构还应确认以下内容：
1）通过可靠的方式确保证书持有者所在的组织、部门与证书中所列的组织、部门一致，证书中通用名就是证书持有者的真实姓名；
2）确认证书持有者属于该组织机构，证书持有者确实被招录或聘用。
3.密钥更新请求的识别与鉴别
A.常规的密钥更新请求的识别与鉴别
对于一般正常情况下的密钥更新申请，证书持有者应提交能够识别原证书的足够信息，并使用更新前的私钥对包含新公钥的申请信息签名。对申请的鉴别应满足以下条件：
1）申请对应的原证书存在并且由认证机构签发；
2）用原证书（有效期内的证书）上的证书持有者公钥对申请的签名进行验证；
3）基于原注册信息进行身份鉴别。
B.撤销之后的密钥更新请求的识别与鉴别
证书撤销后不能进行密钥更新。
4.撤销请求的身份标识与鉴别
证书撤销请求可以来自证书持有者，也可以来自认证机构、注册机构。
证书持有者通过认证机构、注册机构申请撤销证书时，认证机构、注册机构应对证书持有者进行身份鉴别。申请撤销证书应包括以下流程：
A.认证机构应在CPS中明确公布用户提交证书撤销请求的方式和要求；
B.认证机构、注册机构应按照本机构发布的《电子政务电子认证服务业务规则》规定的方式与证书持有者联系，并对申请人进行身份鉴别，确认要撤销证书的人或组织确实是证书持有者本人或被授权人。
6.1.4　数字证书服务操作要求
6.1.4.1 证书申请
1.信息告知
认证机构应在本机构发布的《电子政务电子认证服务业务规则》中陈述受理证书申请的所有流程及要求，并告知证书申请者及证书持有者所必须提交的材料和流程。
2.申请的提交
A.证书申请应由证书持有者或相应的授权人提交；
B.非证书持有者代表组织机构进行批量证书申请的还应获得该组织的授权；
C.认证机构应提供多种证书申请受理的方式。
3.注册过程及责任
认证机构在处理每一个证书申请中，应满足以下条件：
A.保留对最终实体身份的证明和确认信息；
B.保证证书申请者和持有者信息不被篡改、私密信息不被泄漏；
C.注册过程应保证所有证书申请者明确同意相关的证书申请协议；
D.确保证书申请信息安全传输。
6.1.4.2 证书申请处理
1.执行识别与鉴别功能
当认证机构、注册机构接收到证书申请者的证书申请后，应按照6.1.3的要求对证书申请者的身份进行鉴别。
2.证书申请批准和拒绝
认证机构、注册机构应在鉴别的基础上，批准或拒绝申请。如果拒绝申请，应通过适当的方式、在2个工作日内通知证书申请者；如果批准申请，应为证书申请者办理证书签发服务。
3.处理证书申请的时间
认证机构处理证书请求的最长响应时间应不超过2个工作日。
4.对拒绝证书申请原因的说明
认证机构、注册机构拒绝证书申请，应明确通知证书申请者原因，如：无法完成鉴别和验证身份信息；用户没有提交所规定的文件；用户没有在规定时间内回复通知；未收到证书费用等等。
6.1.4.3 证书签发
1.证书签发中RA和CA的行为
证书签发请求中，RA和CA应相互进行身份认证并确保申请信息传输的机密性。
CA应验证RA的签发请求，无误后方可签发证书。
2.CA和RA通知证书申请者证书的签发
认证机构的证书签发系统签发证书后，应将证书签发的信息通过适当的方式通知证书申请者或RA。
如果证书申请获得批准并签发，RA应通过适当的方式告诉证书申请者如何获取证书。
6.1.4.4 证书接受
1.构成接受证书的行为
认证机构应提供安全可靠的接受证书的方式，满足约定方式的条件，应当视为证书申请者接受证书。
2.CA对证书的发布
对于证书申请者明确表示拒绝发布证书信息的，认证机构应不发布该证书申请者证书信息。没有明确表示拒绝的，认证机构可将证书信息发布到目录系统。
3.CA通知其他实体证书的签发
认证机构应在CPS中声明是否需要向其他实体通知。
6.1.4.5 密钥对和证书使用
1.证书持有者私钥和证书使用
认证机构应明确证书持有者私钥和证书的用途，证书持有者应按约定的方式使用其私钥和证书。未按规定用途使用造成的损失由证书持有者自行承担责任。
2.依赖方对公钥和证书使用
依赖方应按约定的方式对签名信息进行验证。未按规定用途使用造成损失的，由依赖方自行承担责任。
依赖方应使用接收方的公钥进行信息加密，公钥证书应同加密信息一同发送给接收方。
6.1.4.6 证书与密钥更新
1.证书更新的情形
证书更新通常是指密钥不变，证书有效期延长。证书更新业务规则参照密钥更新执行。
2.密钥更新的情形
密钥更新通常指密钥和证书同时更新，建议认证机构采用密钥和证书同时更新。被撤销或已过期的证书不能进行密钥更新和证书更新。
3.密钥更新申请的提交
证书持有者、证书持有者的授权代表（如：机构证书等）或证书对应实体的拥有者（如设备证书等）可以提交密钥更新。
4.处理密钥更新请求
处理密钥更新请求应对原证书、申请的签名信息及身份信息进行验证和鉴别，无误后方可进行。
5.通知证书持有者新证书的签发
应明确通知证书持有者新证书签发的方式及时间。
6.构成接受密钥更新的行为
应明确构成接受密钥更新的行为（如：当面接受数字证书、在线下载成功等）。
7.CA对更新证书的发布
应明确对密钥更新的发布条件、方式及途径。
8.CA通知其他实体证书的签发
应明确密钥更新后是否需要通知其他实体。
6.1.4.7证书补办
补办是指在证书有效期内，证书持有者出现证书载体丢失或证书载体损坏时进行证书补发的操作。补发操作成功时，旧证书将被撤销，新证书有效期从补发成功之日起到旧证书失效日止。证书补办业务的操作流程，按照证书申请的身份鉴别和受理流程执行。
6.1.4.8证书变更
用户要求认证机构对已签发的数字证书进行证书信息变更。证书变更业务的操作流程，按照证书申请的身份鉴别和受理流程执行。
6.1.4.9证书撤销
1.证书撤销的条件
认证机构、注册机构及证书持有者在发生下列情形之一时，应申请撤销数字证书：
A.政务机构的证书持有者不从事原岗位工作；
B.司法机构要求撤销证书持有者证书；
C.证书持有者提供的信息不真实；
D.证书持有者没有或无法履行有关规定和义务；
E.认证机构、注册机构或最终证书持有者有理由相信或强烈怀疑一个证书持有者的私钥安全已经受到损害；
F.政务机构有理由相信或强烈怀疑其下属机构证书、人员证书或设备证书的私钥安全已经受到损害；
G.与证书持有者达成的证书持有者协议已经终止；
H.证书持有者请求撤销其证书；
I.法律、行政法规规定的其他情形。
2.证书撤销的发起
当出现符合证书撤销条件中的情形时，证书持有者、认证机构、注册机构、证书持有者所属的组织机构或证书使用唯一依赖方有权发起证书撤销申请，如存在一证通项目，认证机构应在CPS中明确描述证书撤销的发起条件。
3.证书撤销的处理
A.认证机构、注册机构在接到证书持有者的撤销请求后，应对其身份进行鉴别并确认其为证书持有者本人或得到了证书持有者的授权；
B.认证机构、注册机构应在24小时内，撤销符合条件的证书并发布到证书撤销列表；
C.证书撤销后，应通过有效方式及时告知证书持有者或依赖方证书撤销结果。
4.依赖方检查证书撤销的要求
对于安全保障要求比较高并且完全依赖证书进行身份鉴别与授权的应用，依赖方在信赖一个证书前应当查询证书撤销列表确认该证书的状态。
5.CRL发布方式及频率
认证机构应明确证书撤销列表的发布方式及频率，最长时间间隔不得超过24小时。
6.CRL发布的最大滞后时间
证书从撤销到发布到CRL上的滞后时间不得超过24小时。
7.CRL备份及频率
认证机构负责对CRL进行备份，最长时间间隔不得超过24小时，备份保存时间不少于证书失效后10年。
8.在线状态查询的可用性
认证机构应提供证书状态的在线查询服务（OCSP），并提供7×24小时查询服务。
9.撤销信息发布的其他形式
除了CRL、OCSP 外，认证机构如提供其他形式的撤销信息发布途径，应予以公布。
6.1.4.10密钥生成、备份和恢复
证书加密密钥对的生成、备份和恢复应由国家密码管理局和省部密码管理部门规划建设的密钥管理基础设施提供密钥管理服务。
密钥恢复按照证书申请的身份鉴别与受理流程执行，将加密证书的归档或备份密钥，恢复到可用状态。
6.2　应用集成支持服务
6.2.1　证书应用接口程序
认证机构应提供证书应用接口程序供应用系统集成和调用。
证书应用接口程序应符合GM/T 0020的要求，提供证书环境设置、证书解析、随机数生成、签名验证、加解密、时间戳以及数据服务接口等功能，并提供C、C#、Java等多种接口形态。
6.2.2　证书应用方案支持
认证机构应具备针对电子政务信息系统的电子认证安全需求分析能力、电子认证法律法规和技术体系的咨询能力以及设计满足业务要求的电子认证、电子签名服务方案设计能力。
数字证书应用方案设计可包括：证书格式设计、证书交付、支持服务、信息服务、集成方案、建设方案、介质选型等。
6.2.3　证书应用接口集成
认证机构应具备面向各类应用的证书应用接口集成能力，并达到以下要求：
1.应具备在多种应用环境下进行系统集成的技术能力，包括基于Java、.NET等B/S应用模式和基于C、VC等C/S应用模式的系统集成能力。
2.应提供满足不同应用系统平台的证书应用接口组件包，包括com组件、java组件、ActiveX控件、Applet插件等。
3.应提供集成辅助服务，包括接口说明、集成手册、测试证书、集成示例、演示DEMO等。
6.3　信息服务
6.3.1　服务内容
信息服务是面向证书应用单位提供证书发放和应用情况信息汇总及统计分析的信息管理服务。根据证书应用单位对证书应用信息的管理及决策需求，认证机构应为证书应用单位提供相应的信息服务，为其实现科学管理和领导决策提供可靠依据。
信息服务应包括：
1.证书信息服务；
2.CRL信息服务；
3.服务支持信息服务；
4.决策支持信息服务等。
6.3.2　服务管理规则
认证机构在提供信息服务时，应确保做好相关信息的隐私保障机制，实现对用户的信息保护承诺。
1.私有信息类型的敏感度
以下信息应属于私有信息：
A.个人隐私信息；
B.商业机密；
C.政府部门的敏感信息和工作秘密。
证书申请过程中涉及的用户申请信息是敏感信息，而发布的证书和CRL信息不是敏感信息，证书发布根据用户要求进行公布与不公布。
2.允许的私有信息采集
认证机构仅允许在进行证书发放和管理时才能收集CPS声明的私有信息。除了已与用户沟通确认外，认证机构不应收集更多私有信息。
3.允许的私有信息使用
认证机构应只使用CA或者RA收集的私有信息。
因在某项业务中开展证书应用而获得的私有信息，在使用时应首先得到该业务应用单位的许可。
4.私有信息的安全存储
认证机构应采取安全手段对用户私有信息进行安全存储，确保用户私有信息不发生泄露、未授权访问等安全事件。
5.允许的个人信息发布
认证机构和注册机构仅能面向证书应用单位发布与之相关的私有信息，以协助证书应用单位进行证书业务管理。
任何特定的私有信息发布应遵照相关法律和政策实行。
6.所有者纠正私有信息的机会
认证机构应允许用户在其证书生命周期内对其私有信息进行更正。
7.对司法及监管机构发布私有信息
认证机构或者注册机构在以下情况下，可以执行将私有信息提供获得相应授权的人员：
A.司法程序；
B.经私有信息所有者同意；
C.按照明确的法定权限的要求或许可。
6.3.3　服务方式
信息服务应以页面或接口的形式面向应用系统或证书用户提供服务。以接口形式提供服务的应符合GM/T 0020的要求。
6.4　使用支持服务
6.4.1　服务内容
使用支持服务是认证机构面向证书使用用户（即证书申请者、证书持有者）及证书应用单位提供的一系列售后服务及技术支持工作。
服务内容应包括：数字证书管理、数字证书使用、证书存储介质使用、电子认证软件系统使用、电子认证服务支撑平台使用以及各类数字证书应用（如证书登录、证书加密、数字签名）等贯穿证书使用和应用过程中的所有问题。
6.4.2　服务能力
认证机构应提供多种服务方式，不断满足用户需求，提升用户满意度，可不局限于座席服务、在线服务、现场服务等，并公布相应的服务获取方式。
认证机构应建立服务保障体系，包括建立专业的服务队伍、服务规范、知识库、服务跟踪系统、满意度调查、投诉受理等。服务保障体系应根据服务业务的变化及时更新。
认证机构应提供全面的培训服务，包括电子认证服务基础性技术知识、服务规范、证书应用集成规范及相关帮助文档、常见问题解答（FAQ）、操作手册等。
6.4.3　服务质量
服务质量应明确以下内容：
1.服务的获取方式；
2.座席服务、在线服务、现场服务的服务时间，响应效率；
3.投诉处理承诺；
4.培训效果的评估及处理；
5.服务响应机制及流程。
6.5　安全保障
6.5.1　认证机构设施、管理和操作控制
6.5.1.1 物理控制
1.物理环境按照GM/T 0034的要求严格实施，具有相关屏蔽、消防、物理访问控制、入侵检测报警等相关措施，至少每五年进行一次屏蔽室检测。
2.CA机房及办公场地所有人员都应佩戴标识身份的证明。进出CA机房人员的物理权限应经安全管理人员根据安全策略予以批准。
3.所有进出CA机房内的人员都应留有记录，并妥善、安全地保存和管理各区域进出记录(如监控系统录像带、门禁记录等）。确认这些记录无安全用途后，才可进行专项销毁。
4.建立并执行人员访问制度及程序，并对访问人员进行监督和监控。安全人员定期对CA设施的访问权限进行内审和更新，并及时跟进违规进出CA设施物理区域的事件。
5.采取有效措施保护设备免于电源故障或网络通讯异常影响。
6.在处理或再利用包含存储介质（如硬盘）的设备之前，检查是否含有敏感数据，并对敏感数据应物理销毁或进行安全覆盖。
7.制定相关安全检查、监督策略，包括且不限于对内部敏感或关键业务信息的保存要求，办公电脑的保护要求、CA财产的保护要求等。
6.5.1.2 操作过程控制
1.应确定可以执行重要操作的可信角色，并建立职责分割机制避免单方操作错误对业务的影响。
2.应对操作的主体执行可靠的识别与鉴别机制。
6.5.1.3 人员控制
认证机构应根据本机构具体情况，按照技术系统的要求，设置相应的具体岗位和制定技能要求。电子认证系统软件开发商应提供系统管理员、操作员、审计员等系统管理和操作人员的角色定义和要求。认证机构应定期或当业务、操作和工作环境发生重大变更时，重新评估人员需求，以确保拥有足够数量的、能胜任工作的人员。具体要求包括：
1.建立可信人员策略，包括岗位定义、背景调查内容和程序；
2.在正式聘任员工授权接触公司重要资料前，证明其可信性，并签署员工保密协议；
3.建立每个职位的工作范围及其责任，并确定每个重要职位的可信性要求；
4.建立培训制度及培训档案；
5.建立人员异动管理制度、员工离职后应立即删除其接触公司资料的权限；
6.建立可信雇员清单及所有职员清单。
6.5.1.4 审计日志程序
1.确定CA中心的业务符合其CPS等文档中的定义。
2.CA中心的管理人员需要定期对安全策略和操作流程的执行情况进行检查确认，进行运营风险评估。
3.应准确完整地记录CA机构涉及运营条件和环境、密钥和证书生命周期管理的日志和事件。
4.各类日志、安全事件的记录应在安全和公正的情况下以自动或手动方式产生，并定期归档。授权安全管理人员定期检阅记录和跟进有关事项。
5.建立监测CA系统访问的检测系统，保证非授权的访问能够被发现。
6.5.1.5规定事件记录的类型
1.CA中心应对注册系统和证书受理操作的相关授权记录及管理记录；
2.CA中心应对证书、密钥、密码设备和CRL等生命周期的操作与管理进行事件记录；
3.CA中心应对PKI系统的配置与操作进行事件记录；
4.CA中心应对系统崩溃、硬件故障和其他异常等进行事件记录；
5.CA中心应对系统网络以及安全设备的日常运维操作进行事件记录。
6.5.1.6规定事件记录的内容
1. 事件记录应包括事件类型、发生时间、相关内容，以及操作身份的实体；
2. PKI系统的审计事件记录应确保不能被篡改。
6.5.1.7 记录归档
1.应对所有审计数据、证书申请信息、支持证书申请的文档等进行归档处理。
2.面向企事业单位、社会团体、社会公众的电子政务电子认证服务，信息保存期为证书失效后不低于五年。
3.面向政务部门的电子政务电子认证服务，信息保存期为证书失效后不低于十年。
4.归档记录应妥善保管，并确保其安全和保密。
6.5.1.8 认证机构密钥更替
1.认证机构进行密钥更替时应采用与初始化根密钥相同的方式进行。
2.应确保新旧密钥更替期间，认证机构根密钥及信任链验证的有效性，避免对现有应用造成影响。
6.5.1.9 数据备份
1.应建立数据备份管理制度，定期开展数据备份。
2.数据备份应具备快速恢复能力，减少对业务运营的影响。
6.5.1.10 损害和灾难恢复
1.应建立CA中心的业务可持续性计划，并定期进行检查和更新，确保其持续有效。
2.应对CA系统中的重要部件制订完善的灾难恢复流程，并经常进行演练，确保流程操作的有效性。
3.应建立重要系统、数据、软件的备份，并存放在符合CPS声明的安全环境中，确保只有合理授权人员才可接触备份。
4.应定期测试备份设备、设施、后备电源等，确保其可用性。
5.应建立当CA签名密钥可信性受威胁时的应变计划。
6.应制订相关流程，对CA中心终止服务时的告知及业务承接作出计划。
6.5.1.11 认证机构终止
认证机构终止应按照《电子政务电子认证服务管理办法》的要求，处理好相关承接事项。
6.5.2　认证系统技术安全控制
6.5.2.1 密钥对的生成和安装
1.CA密钥对的产生，必须由若干名接受过相关培训的认证机构人员在特定安全区域内按照严格的安全规程，在能够生成有足够安全强度密钥的硬件密码设备中操作完成。
2.用于此类密钥生成的硬件密码设备应通过国家密码主管部门认可。
3.对于CA 密钥对的产生，认证机构应该有严格的密钥生成流程。
6.5.2.2 私钥保护和密码模块工程控制
1.认证机构必须通过物理、逻辑和过程控制的综合实现，以确保CA私钥的安全，CA私钥应进行分割保护。
2.用户协议应要求证书持有者采取必要的预防措施防止私钥的丢失、泄露、更改或未经授权的使用。
6.5.2.3 密钥对管理的其他方面
1.认证机构应当对CA证书和证书持有者证书进行归档。
2.不同用途的证书应当按照规定的有效期用于指定的应用。
6.5.2.4 激活数据
1.私钥激活数据的产生必须安全可靠，并具有日志记录。
2.激活数据应具有足够的复杂度。
3.认证机构、证书持有者应妥善保管激活数据。
4.激活数据在传输中应确保机密性，并在不需要时妥善销毁。
6.5.2.5 系统安全控制
1.CA系统软件和数据文件应运行和保存在安全可信的系统中。
2.应为CA系统划定独立的安全域并确保系统访问授权信息的安全性。
6.5.2.6 生命周期技术控制
1.CA系统运行管理
应制定CA系统运行的安全保障机制，确保在系统运行、维护过程中的安全。
应建立监控和检查机制，确保系统网络运行环境的安全性。
2.CA系统的访问管理
应制定对CA系统的安全访问策略，并确保访问身份、访问角色、访问授权的安全可靠。
3.CA系统的开发和维护
应建立有效地保障机制，确保对CA系统资源的使用、修改、添加等操作的可靠性。
6.5.2.7 网络安全控制
CA系统的网络环境应满足密码和网络的安全运行要求，CA机构应制定安全事件管理和应急响应计划，并定期巡检、定期升级安全措施（如入侵检测、漏洞扫描、打补丁等），避免网络攻击和漏洞等带来的运营风险。
CA系统运行、网络安全和安全审计等措施应符合GM/T 0034的要求。
6.5.2.8 时间戳
认证系统的各种系统日志、操作日志应当有可靠的时间源。
7　电子政务电子认证服务操作规范
7.1　数字证书服务操作规范
7.1.1　数字证书格式
数字证书格式应符合GM/T 0015的要求。
7.1.2　身份标识与鉴别
1.命名
数字证书命名应符合GM/T 0015的要求，不得使用匿名或假名。
2.初始身份确认
A.证明持有私钥的方法
认证机构应基于以下两个条件来证明证书持有者对私钥的持有：
1）通过证书请求中所包含的数字签名来证明证书持有者持有与注册公钥对应的私钥。
a) 签名密钥应属于证书申请者专有；
b) 证书申请者应使用其私钥对证书请求信息进行数字签名；
c) CA应使用证书申请者公钥验证该签名。
2）证书私钥的保管应符合GM/T 0034和GM/T 0028等相关标准规范。
如以上条件满足，则证书持有者可以被视作其私钥的唯一持有者。
B.组织机构身份的鉴别
1)申请机构证书应提交合法身份证明文件及其复印件，包括：组织机构代码证、企业法人营业执照、经办人有效身份证件、加盖公章的授权申请文件。
2)申请机构证书应提交符合填写要求的《机构证书申请表》。
3)注册机构应对上述材料进行审核和鉴别，作出批准申请或拒绝申请的操作。
4)如批准申请，应保留相关证明材料的复印件或电子数据，与申请表一并存档保存，并确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。
C.个人身份的鉴别
1)申请个人证书应提交合法身份证明文件及其复印件。合法身份证明文件包括：身份证、户口簿、护照、军官证、警官证、士兵证、士官证和文职干部证等。
2)申请个人证书应提交符合填写要求的《个人证书申请表》。
3)注册机构应对上述材料进行审核和鉴别，作出批准申请或拒绝申请的操作。
4)如批准申请，应保留相关证明材料的复印件或电子数据，与申请表一并归档保存，并确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。
D.在把证书签发给政府部门个人时，可采用以下鉴别方式：
1)证书依赖方提供证书用户发放清单或提供证书发放用户库，证书注册机构通过辅助手段（如：短信、对公邮箱或公安部身份证库等）验证用户身份真实性。
2)注册机构应对上述材料进行审核和鉴别，作出批准申请或拒绝申请的操作。
3)如批准申请，应保留该材料，并归档保存，并确保身份鉴别材料或电子数据具备不可篡改和抗抵赖性。
3.密钥更新请求的识别与鉴别
A.常规的密钥更新请求的识别与鉴别
对于一般正常情况下的密钥更新申请，证书持有者应提交能够识别原证书的足够信息，并使用更新前的私钥对包含新公钥的申请信息签名。对申请的鉴别应满足以下条件：
1)密钥更新请求中，应确保更新请求与申请者身份的关联和申请行为的有效性，采取现场受理点和远程在线等方式对用户身份进行实体鉴别。
2)当用户证书已过期时，应重新进行与初始身份确认相同的鉴别流程。
3)当用户证书未过期时，用户采取在线更新方式的，应由用户在线提交更新申请并进行数字签名，以实现对用户身份的实体鉴别。
B.撤销之后的密钥更新请求的识别与鉴别
证书撤销后不能进行密钥更新，证书申请应重新进行与初始身份确认相同的鉴别流程。
4.撤销请求的身份标识与鉴别
证书持有者本人申请撤销证书时，其身份标识和鉴别应使用原始身份验证相同的流程。
如果是因为证书持有者没有履行该认证机构的《电子政务电子认证业务业务规则》所规定的义务，由认证机构、注册机构申请撤销证书持有者的证书时，不需要对证书持有者身份进行标识和鉴别。
7.1.3　数字证书服务操作要求
7.1.3.1 证书申请
证书申请者提交证书申请时，应按照初始身份鉴别的要求，填写申请表，提交身份证明材料。
认证机构或注册机构应当符合以下要求：
1.对接收到的申请材料进行受理；
2.核查材料是否充分；
3.验证证书申请信息的完整性；
4.对申请材料妥善保管；
5.确认用户接受服务协议。
7.1.3.2 证书申请处理
认证机构或注册机构在接收到证书申请后应当符合以下要求：
1.按照初始身份鉴别的要求，对证书申请者的身份进行识别和鉴别；
2.对证书申请者申请行为的合法性进行鉴别，确认申请行为得到合法授权；
3.依据鉴别结果，作出接受或拒绝证书申请的决定。在2个工作日内，通知证书申请者结果及相应的原因，如：无法完成鉴别和验证身份信息；用户没有提交所规定的文件；用户没有在规定时间内回复通知；未收到证书费用等等。
4.如批准申请，应妥善保管证书申请者所提交的所有材料。
7.1.3.3 证书签发
1.证书签发中RA和CA的行为
在证书签发过程中，应采用身份认证和数据安全传输等措施，将证书申请信息由RA系统发送给CA证书签发系统。
CA证书签发系统在获得RA的证书请求后，对来自RA的信息进行鉴别与解密，对于有效的证书签发请求，证书签发系统签发证书。
2.CA和RA通知证书申请者证书的签发
无论是拒绝还是批准证书申请者的证书申请，RA应通过适当的方式通知证书申请者。如果证书申请获得批准并签发，RA应通过适当的方式告知证书申请者如何获取证书。
一般的获取方式包括：
A.面对面交付的方式；
B.邮政信函或者电子邮件的方式；
C.其他安全传输方式。
认证机构的证书签发系统签发证书后，将证书签发的信息通过适当的方式通知证书申请者或RA。
7.1.3.4 证书接受
1.构成接受证书的行为
证书持有者接受证书的行为可以有如下几种方式：
A.通过面对面的提交，证书持有者接受载有证书和私钥的介质。
B.通过在线方式的提交，证书持有者接受证书方式以及安全要求应符合GM/T 0034和GM/T 0028等相关标准规范。
2.CA对证书的发布
对于证书持有者证书，CA根据用户或证书依赖方的意愿将证书发布到目录系统上，或者不进行发布。
3.CA通知其他实体证书的签发
除证书持有者和RA外，CA不需要通知其他实体证书的签发。
7.1.3.5 密钥对和证书使用
证书持有者的密钥对和证书应当用于其规定的、批准的用途。签名密钥对用于签名与签名验证，加密密钥对用于加密解密。如果密钥对允许用于身份鉴别，则可以用于身份鉴别。密钥对和证书不应用于其规定的、批准的用途之外的目的，否则其应用不受保障。
1.证书持有者的私钥和证书使用
证书持有者只能在指定的应用范围内使用私钥和证书，证书持有者只有在接受了相关证书之后才能使用对应的私钥，并且在证书到期或被撤销之后，证书持有者应当停止使用该证书对应的私钥。
2.依赖方的公钥和证书使用
当依赖方接受到签名的信息后，应该：
A.获得对应的证书及信任链；
B.签名时验证证书的有效性；
C.确认该签名对应的证书是依赖方信任的证书；
D.证书的用途适用于相应的签名；
E.使用证书上的公钥验证签名。
以上任何一个环节失败，依赖方应该拒绝接受签名信息。
当依赖方需要发送加密信息给接受方时，可以通过访问目录系统等方式获得接受方的加密证书，然后使用证书上的公钥对信息进行加密。
7.1.3.6 证书与密钥更新
密钥更新通常指证书与密钥同时更新，建议认证机构采用证书和密钥同时更新。证书更新通常是指密钥不变，证书有效期延长，证书更新业务规则参照密钥更新执行。
1.更新申请的提交
证书持有者、证书持有者的授权代表（如机构证书等）或证书对应实体的拥有者（如设备证书等）在证书满足更新条件时，应按要求向注册机构提出更新申请。可采取当面提交更新申请表或在线提交带有证书持有者数字签名的更新申请。
2.处理密钥更新请求
处理密钥更新请求的过程，包括申请验证、鉴别、签发证书。对申请的验证和鉴别应基于以下几个方面：
A.申请对应的原证书存在并且由认证机构签发。
B.用原证书（有效期内的证书）上的证书持有者公钥对申请的签名进行验证。
C.基于原注册信息，按照密钥更新时的要求，进行身份鉴别。
在以上验证和鉴别通过后才可进行密钥更新。
3.密钥更新可以通过以下方式进行：
A.面对面的更新方式；
B.在线的自动更新方式。
4.通知证书持有者新证书的签发
同证书初次申请时的签发处理。
5.构成接受更新证书的行为
同证书初次申请时的接受规则。
6.CA 对更新证书的发布
同证书初次申请时的发布规则。
7.CA 通知其他实体证书的签发
同证书初次申请时的通知方式。
7.1.3.7证书补办
补办是指在证书有效期内，证书持有者出现证书载体丢失和证书载体损坏时进行证书补发的操作。补发操作成功时，旧证书将被撤销，新证书有效期从补发成功之日起到旧证书失效日止。证书补办业务的操作流程，按照证书申请的身份鉴别和受理流程执行。
7.1.3.8证书变更
用户要求认证机构对已签发数字证书进行证书主题信息变更。证书变更业务的操作流程，按照证书申请的身份鉴别和受理流程执行。
7.1.3.9证书撤销
1.证书撤销的发起
以下实体可以请求撤销一个证书持有者证书：
A.认证机构、注册机构、电子政务机构或其他部门可依法主动撤销其签发给证书持有者的证书。
B.对于个人证书，证书持有者可以请求撤销他们自己的个人证书。
C.对于机构证书，只有机构授权的代表有资格请求撤销已经签发给该机构的证书。
D.对于设备证书，只有拥有该设备的机构授权的代表有资格请求撤销已经签发给该设备的证书。
2.证书撤销的处理
A.认证机构、注册机构在接到证书持有者的撤销请求后，通过核实身份证明材料、验证预留信息等方式，确认请求确实来自证书持有者。
B.对于验证通过的请求，在CA系统中执行撤销证书操作，并在24小时内将撤销证书发布到证书撤销列表中。
C.认证机构、注册机构在确信出现证书撤销条件中的情况而需要立即撤销证书时，可以立即撤销证书。
D.证书撤销后，应通过电话、短信、网站等方式告知用户或依赖方证书撤销结果。
3.依赖方检查证书撤销的要求
对于安全保障要求比较高并且完全依赖证书进行身份鉴别与授权的应用，依赖方在信赖一个证书前：
A.应根据证书标明的发布地址获取证书撤销列表。
B.应验证撤销列表的签名，确认其来自于该证书对应的签发机构。
C.应验证证书撤销信息，确认证书是否被注销。
4. CRL发布频率
认证机构应定时发布最新的证书撤销列表。证书撤销列表更新的时间间隔不能超过24 小时。CRL的结构如下：
A.版本号(version)
B.签名算法标识符(signature)
C.颁发者名称(issuer)
D.本次更新(this update)
E.下次更新(next update)
F.用户证书序列号/撤销日期(user certificate/revocation date)
G.CRL条目扩展项(crl entry extensions)
H.CRL扩展域(crl extensions)
I.签名算法(signature algorithm)
J.签名(signature value)
5.CRL 发布的最大滞后时间
一个证书从它被撤销到它被发布到CRL 上的滞后时间不能超过24 小时。
6.CRL备份及频率
认证机构负责对CRL进行备份，最长时间间隔不得超过24小时，备份保存时间不少于证书失效后10年。
7.在线状态查询的可用性
认证机构应提供证书状态的在线查询服务（OCSP），并公布服务地址、服务接口等信息。
8.在线状态查询要求
依赖方可以在信赖一个证书前要求认证机构提供在线状态查询服务，具体要求如下：
A.应按照查询协议要求，向证书中标明的OCSP服务地址提交状态查询请求。
B.查询过程应确保信息传输的机密性和完整性。
C.应获得证书状态信息。
9.撤销信息发布的其他形式
除了CRL、OCSP 外，认证机构可以提供其他形式的撤销信息发布，但这不是必须的。
7.1.3.10密钥生成、备份和恢复
证书持有者的签名密钥对由证书持有者的密码设备（如智能密码钥匙或智能IC卡）或在符合GM/T 0034和GM/T 0028的密码模块中生成。加密密钥对由国家密码管理局和省部密码管理部门规划建设的密钥管理基础设施提供密钥管理服务。
密钥恢复是指加密密钥的恢复，密钥管理基础设施不负责签名密钥的恢复。密钥恢复分为两类：证书持有者密钥恢复和问责取证密钥恢复。
1.证书持有者密钥恢复：当证书持有者的密钥损坏或丢失后，某些密文数据将无法还原，此时证书持有者可申请密钥恢复。证书持有者向认证机构提交申请，经审核后，通过认证机构向密钥管理基础设施发送请求；密钥恢复模块接受证书持有者的恢复请求，恢复证书持有者的密钥并下载于证书持有者证书载体中。
2.问责取证密钥恢复：问责取证人员向认证机构提交申请，经审核后，通过密钥管理基础设施的密钥恢复模块恢复所需的密钥，并记录于特定载体中。
7.2　应用集成支持服务操作规范
7.2.1　服务策略和流程
1.制定证书应用实施的管理策略和流程，对业务系统进行充分调研，指导或参与业务系统证书应用部分的开发和实施；
2.制定项目管理制度，规范系统和程序开发行为；
3.制定安全控制流程，明确人员职责；
4.实施证书软件发布版本管理，并进行证书应用环境控制；
5.项目开发程序和文档等资料应妥善归档保存。
7.2.2　应用接口
证书应用综合服务接口为上层提供简洁、易用的调用接口，应符合GM/T 0020的要求。除此之外，还可涉及密码设备应用接口、密码模块安全技术接口和通用密码服务接口。
1.密码设备应用接口
密码设备应用接口应包括服务器端密码设备的底层应用接口和客户端证书介质（如：USBKey）的底层应用接口。
服务器端密码设备的底层应用接口应符合GM/T 0018的要求；客户端证书介质的底层应用接口应符合GM/T 0016和GM/T 0017的要求。
2.密码模块安全技术接口
采用新模式与新技术密码模块安全技术接口，应符合GM/T 0028和GM/T 0054的要求。
3.通用密码服务接口
通用密码服务接口为各类密码服务层和应用层提供统一的通用密码服务接口，应符合GM/T 0019的要求。
7.2.3　集成内容
认证机构应为电子政务应用单位提供证书应用接口程序集成工作。集成工作应提供以下服务：
1.证书应用接口的开发包（包括客户端和服务器端）；
2.接口说明文档；
3.集成演示Demo；
4.集成手册；
5.证书应用接口开发培训和集成技术支持；
6.协助应用系统开发商完成联调测试工作。
7.3　信息服务规范
7.3.1　服务内容
1.证书信息服务
CA系统中签发、更新和补办等数字证书，可实时或定时与电子政务信息系统进行数据同步，实现将证书信息同步到电子政务信息系统中。认证机构提交的数据应包括业务类型、认证机构身份标识、用户基本信息、用户证书信息等。
2.CRL信息服务
CA系统应定时发布CRL。
3.服务支持信息服务
认证机构应面向电子政务用户、应用系统集成商、应用系统发布与之相关的服务信息，包括CPS和常见问题解答等。
4.决策支持信息服务
认证机构应面向电子政务应用单位、政府监管机构提供决策支持信息，包括用户档案信息、投诉处理信息、用户满意度信息、服务效率信息等。
7.3.2　服务管理规则
1.对CA机构内的工作人员按其工作角色设定与之相应的信息访问权限，并对其所有访问操作进行详细记录；
2.对证书应用单位的管理员设定信息访问权限，限定其仅能访问本应用所签发证书信息。
3.对问责取证程序需要进行的信息访问，应严格审核相应的问责人员身份及授权文件，无误后方可进行问责取证。
4.对监管部门应管理需求进行的信息访问，应按照相关的管理规定和调取程序，为其提供信息访问权限。
7.3.3　服务方式
1.证书信息同步服务
证书信息同步服务可采用接口技术实现CA系统与电子政务信息系统的证书应用同步。电子政务信息系统通过部署统一的接口，认证机构的CA系统通过调用统一的同步接口，实现CA系统向电子政务信息系统进行证书信息的自动同步功能。同时，为了保证数据传输的安全性，可通过对通信数据添加数字签名，以防止数据在传输中被篡改或损坏。
2.CRL信息同步服务
CRL信息同步服务可采用技术实现CA系统与电子政务信息系统的CRL同步。CA系统主动调用该接口，实时将最新的CRL文件同步到电子政务信息系统中。
为了提高CRL文件传输的安全性，应对发送的CRL数据进行数字签名，电子政务信息系统只需要根据认证机构身份标识找到对应的根证书链，验证CRL签名的有效性即可确定CRL的有效性。
CRL发布周期不得超过24小时。
3.服务支持信息服务
认证机构通过WEB网站等面向电子政务用户发布如下信息：
A.电子政务电子认证服务业务规则；
B.证书生命周期服务流程及相关费用；
C.证书用户操作手册；
D.证书常见问题解答（FAQ）；
E.获得证书帮助联系方式（用户服务方式、办公地址、邮政编码、投诉电话等）；
F.其他应该发布的相关信息。
认证机构通过WEB网站面向电子政务应用系统集成商发布如下信息：
A.数字证书应用接口软件包；
B.数字证书应用接口实施指南；
C.证书常见问题解答（FAQ）；
D.获得证书帮助联系方式（用户服务方式、办公地址、邮政编码、投诉电话等）；
E.其他应该发布的相关信息。
认证机构通过WEB网站面向电子政务应用系统发布如下信息：
A.时间戳服务数据接口；
B.HTTP协议的CRL发布服务接口；
C.LDAP协议的CRL发布接口；
D.LDAP协议的证书发布接口；
E.OCSP服务接口。
4.决策支持信息服务
认证机构应面向证书应用单位以接口等方式提供如下信息服务：
A.用户档案信息：分业务、地域、时段等要素提供用户信息的统计分析服务；
B.投诉处理信息：提供特定业务、时间、特定用户群、问题类型等的投诉处理汇总信息及分析；
C.用户满意度信息：提供面向业务的用户满意度调查信息；
D.服务效率信息：提供面向业务的服务效率分析信息，如处理时间、服务接通率等。
7.4　使用支持服务操作规范
7.4.1　服务内容
1.面向证书持有者的服务支持
A.数字证书管理
包括数字证书的导入、导出，以及客户端证书管理工具的安装、使用、卸载等。
B.数字证书应用
基于数字证书的身份认证、电子签名、加解密等应用过程中出现的各种异常问题，如：证书无法读取、签名失败、证书验证失败等。
C.证书存储介质硬件设备使用
包括证书存储介质使用过程中出现的口令锁死、驱动安装、介质异常等。
D.电子认证服务支撑平台使用
为用户提供在认证机构的数字证书在线服务平台中使用的各类问题，如：密钥更新失败、下载异常、无法提交注销申请等。
2.面向证书应用单位服务支持
A.电子认证软件系统使用
提供受理点系统、注册中心系统、LDAP、OCSP、信息服务系统等系统的使用支持问题，如证书信息无法查询、数据同步失败、服务无响应等。
B.电子签名服务中间件的应用
解决服务中间件在集成时出现的各种情况，如客户端平台适应性问题、服务端组件部署问题、服务器证书配置问题、签名验签应用问题等。
7.4.2　服务方式
认证机构应提供多种服务方式，最大限度满足用户支持服务，提升用户满意度，不局限为座席服务、在线服务、现场服务等，CA机构应公布相应的服务获取方式。
1.座席服务
用户拨打认证机构的服务热线，通过语音系统咨询证书应用问题，热线座席根据用户的问题请求，查询系统知识库清单，协助用户处理。
2.在线服务
在线服务通过提供自助信息查询系统、网络实时通讯系统、远程终端协助系统，以及在线帮助与传统模式的结合，满足用户多种服务帮助的需求。
A.自助信息查询系统
将知识库信息按照不同的类型、属性、层次等方式、结构进行分类存储，用户可以按照咨询问题或者已知条件在信息查询系统上进行启发式的检索，查找目标问题的答案。
B.网络实时通讯系统
用户可以通过CA机构网站的实时通讯系统发起支持请求，网站客服人员能够第一时间同登陆网站的访客取得联系，进行交流。
C.远程终端协助系统
用户通过安装远程终端软件，可以通过互联网或者局域网向用户服务人员发起协助请求。由服务人员通过远程终端控制功能，实时检测用户的软硬件环境，通过同屏显示指导、帮助用户解决应用故障。
D.在线帮助与传统模式的结合
将在线服务系统与电话服务结合，方便用户既可以打电话、也可以自助上网，随时查询自己的服务记录、请求处理状态、产品配置信息等等。
3.现场服务
根据用户的实际需求，由技术支持工程师上门现场为用户处理数字证书应用中存在的问题。
4.满意度调查
通过多种用户可接受的调查方式进行用户回访，包括电话、WEB网站、邮件系统、短信、传真等。
向用户提供调查表格以供用户填写，调查表格应清晰载明此次回访的目的及内容，并将用户回访中产生的相关文档进行归档、保存。
5.投诉受理
应向用户公布电子政务电子认证服务监管部门的投诉受理方式。
可通过电话、网站平台、电子邮件、即时通讯工具等方式及时接受用户投诉，投诉受理过程中应记录投诉问题，并将结果及时反馈给用户。
将投诉受理中产生的相关文档进行归档、保存。
6.培训
培训方式可以由认证机构与用户双方约定的形式开展。
培训内容主要包括：电子认证服务基础性技术知识、服务规范、证书应用集成规范及相关帮助文档、常见问题解答（FAQ）、操作手册等。
7.4.3　服务质量
座席服务、在线服务、现场服务时间应充分满足各类用户的需要，至少为5×8小时工作时间。在有应急服务需求的特殊情况下，服务时间应根据具体业务需求确定，甚至是7×24小时不间断服务。
应对技术问题和技术故障按照一般事件、严重事件、重大事件进行分类，并制定响应处理流程和机制，以确保服务的及时性和连续性。技术支持响应时间应以最大程度不影响用户使用为准则。
CA机构应接受国家密码管理局和省部密码管理部门组织开展的服务质量评估检查。
7.5　安全保障规范
7.5.1　认证机构设施、管理和操作控制
7.5.1.1 物理控制
1.场所区域和建筑。按照国家相关建筑标准实施，机房场所设置区域防护，根据业务功能划分公共区、服务区、管理区、核心区，各功能区域对应的安全级别为控制区、限制区、敏感区、机密区，安全等级和要求逐级提高。安全等级要求越高，安全防护措施和配套设施要求越严格。
2.物理访问。采取隔离、控制、监控手段。机房的所有门都足够结实，能防止非法进入。机房设置门禁和入侵报警系统以重点保护机房物理安全。
3.电力和空调。使用不间断电源（UPS）来保证供电的稳定性和可靠性。采用双电源，在单路电源损坏时，可以自动切换，维持系统正常运转。供配电系统布线采用金属管、硬质塑料管、塑料线槽等。
4.水患防治。正确安装水管和密封结构，合理布置水管走向；机房内进行防水检测，发现水害能及时报警。
5.火灾预防和保护。办公区域、机房均设置火灾自动报警系统和灭火系统，火灾报警系统包括火灾自动探测、区域报警器、集中报警器和控制器等，能够对火灾发生区域以声、光或电的方式发出报警信号，并能以手动或自动的方式启动灭火设备。
6.介质存储。妥善控制和保管各类介质，防止被盗、毁坏、被修改、信息泄露未授权访问等情况发生，应完整记录介质的使用、库存、维修、销毁事件等。
7.废物处理。当存档的敏感数据或密钥已不再需要或存档的期限已满时，应当将这些数据进行销毁。
8.异地备份。所备份的业务数据进行异地备份保存。
9.入侵侦测报警系统。在机房场所建筑区域内安装入侵侦测报警系统，进行安全布防。建筑内天花板上应安装活动侦测器，发生非法入侵应立即报警。
7.5.1.2 操作过程控制
1.可信角色。定义可信角色的要求，以及各个角色的责任。可信角色包括系统管理员、安全管理员和系统审计员等。
2.角色的识别与鉴别。定义对每个角色的身份标识和鉴别要求，并完整地记录其所有的操作行为。
3.需要职责分割的角色。认证机构的CPS应明确职责分割描述，按照角色而定义的责任分离，这些角色不能由相同的人承担。
7.5.1.3 人员控制
1.资格、经历和无过失要求。对于充当可信角色或其他重要角色的人员，其需要具备资格、经历和无过失要求，例如对这些职位的候选者所需具备的资格证明和工作经历证明。
2.背景审查程序。在招聘充当可信角色或其他重要角色的人员时所需背景审查程序，这些角色可能要求调查其犯罪记录、档案。
3.培训要求。招聘人员后对每个角色的培训要求和过程。
4.再培训周期和要求。在完成原始培训后对每个角色的再培训周期和过程。
5.工作轮换周期和顺序。在不同角色间的工作轮换周期和顺序。
6.对下列行为的处罚。未授权行为、未授予的权力使用和对系统的未授权使用等行为的处罚。
7.外包服务方的要求。对外包服务方提出安全与控制要求。
8.提供给员工的文档。在原始培训、再培训和其他过程中提供给员工的文档。
7.5.1.4 审计日志程序
1.确定CA中心的业务符合对CPS等文档中的定义。
2.CA中心的管理人员需要定期对安全策略和操作流程的执行情况进行检查确认，进行运营风险评估。
3.必须准确完整地记录CA机构涉及运营条件和环境、密钥和证书生命周期管理的日志和事件。
4.各类日志、安全事件的记录应在安全和公正的情况下以自动或手动方式产生，并定期归档。授权安全管理人员定期检阅记录和跟进有关事项。
5.建立监测CA系统访问的检测系统，保证非授权的访问能够被发现。
7.5.1.5规定事件记录的类型
1.注册系统和证书受理操作的相关授权记录及管理记录；
2.密钥生成、备份、存储、撤销、归档和销毁管理；
3.密码设备生命周期管理；
4.证书申请、密钥更新、证书变更和证书撤销管理；
5.证书签发和CRL列表生成；
6.PKI系统访问；
7.操作PKI系统和其他安全系统的行为；
8.安全配置文件变更；
9.系统崩溃、硬件故障和其他异常；
10.防火墙和路由器的工作情况，机房进出访问等等。
7.5.1.6规定事件记录的内容
1.事件类型；
2.事件相关内容；
3.事件发生的时间日期；
4.数字签名审核程序时成功或失败的指示符；
5.证书撤销时成功或失败的指示符；
6.引起事件发生的实体或操作员身份。
7.5.1.7 记录归档
1.归档记录的类型，例如所有审计数据、证书申请信息、支持证书申请的文档。
2.档案的保存期；
3.档案的保护；
4.档案备份程序；
5.档案有安全保护措施；
6.档案收集系统是内部还是外部；
7.获得和验证档案信息的程序，如由两个人分别来保留归档数据的两个拷贝，并且为了确保档案信息的准确，需要对这两个拷贝进行比较。
7.5.1.8 认证机构密钥更替
认证机构进行密钥更替时应采用与初始化根密钥相同的方式进行。
新旧密钥更替期间，应确保认证机构原根密钥及信任链验证的有效性，避免对现有应用造成影响。
7.5.1.9 数据备份
应制定数据备份计划，明确数据备份的内容、周期、备份方式等。
5.5.1.10容灾备份
应制定容灾备份恢复计划和应急响应预案等。
根据业务需要，建立同城容灾备份系统或异地容灾备份系统。
7.5.1.11 损害和灾难恢复
描述与密钥损害或灾难事件相关的通告和恢复过程要求。
1.适用事件和损害的列表，以及对事件的报告和处理过程。
2.对计算资源、软件和（或）数据被破坏或怀疑被破坏的恢复过程，此过程包括如何重建一个安全环境，哪些证书要撤销，实体的密钥是否被撤销，如何将新的实体公钥提供给用户，以及如何为实体重新发证。
3.对实体私钥泄漏的恢复过程，此过程包括如何重建一个安全环境，如何将新的实体公钥提供给用户，以及如何为实体重新发证。
4.自然或其他灾难后实体的业务连续性能力，此能力包括远程热备站点对运营的恢复，也可以包括在灾难发生后到重建安全环境前，或者在原始站点，或者在远程站点保护其设备的程序。
5.业务连续性计划的保障方案应包括：
A.建立CA中心的业务可持续性计划，并进行定期检查和更新，确保其持续有效。
B.对CA系统中的重要部件制订完善的灾难恢复流程，并经常进行演练，确保流程操作的有效性。
C.建立重要系统、数据、软件的备份，并存放在符合CPS声明的安全环境中，确保只有合理授权人员才可接触备份。
D.定期测试备份设备、设施、后备电源等，确保其可用性。
E.建立当CA签名密钥可信性受威胁时的应变计划。
F.制订相关流程，对CA中心终止服务时的告知及业务承接作出计划。
7.5.1.12 认证机构或注册机构终止
1.认证机构拟暂停或者终止认证服务的，应当在暂停或者终止认证服务六十个工作日前，选定业务承接认证机构，就业务承接有关事项作出妥善安排，并在暂停或者终止认证服务四十五个工作日前向国家密码管理局报告。
2.不能就业务承接事项作出妥善安排的，应当在暂停或者终止认证服务六十个工作日前，向国家密码管理局提出安排其他认证机构承接业务的申请。
7.5.2　认证系统技术安全控制
7.5.2.1 密钥对的生成和安装
1.生成公、私钥对的实体。可能会是证书持有者、注册机构或认证机构。
2.密钥对的生成实现方式。
3.私钥安全的提供给实体的方式。可能的方法包括实体自己生成因而自动拥有、用物理的方式将私钥传递给实体、邮寄保存私钥的令牌、或是通过SSL会话传递。
4.实体公钥安全地提供给证书认证服务机构的方式。可能通过在线SSL会话或经注册机构签署的消息。
5.密钥算法符合国家密码管理局认可的算法。
6.生成公钥参数的实体。生成密钥时是否对参数的质量进行检查。
7.密钥的使用目的，或者密钥的使用目的限制范围。对于X.509证书，这些目的需要映射到第三版证书的密钥用途标志位。
7.5.2.2 私钥保护和密码模块工程控制
私钥保护分为两类：CA私钥和用户私钥。
1.在CA私钥保护方面要求
私钥采用国家密码管理局认定的硬件设备产生；
保存私钥的密码机设备采用M选N多人控制。如N和M分别是3和5；
私钥备份机制，备份操作和备份数据采用M选N多人控制。如N和M分别是3和5。
2.用户私钥保护方面要求
电子政务的证书应用，数字证书对应私钥的生成、存储和使用应得到有效的安全保护；
签名密钥对为证书持有者专有，生成、存储和使用受证书持有者安全管控；
加密密钥对由国家密码管理局和省部密码管理部门规划建设的密钥管理基础设施提供密钥管理服务。
7.5.2.3 密钥对管理的其他方面
1.公钥归档
认证机构应将CA和用户证书的公钥进行归档，归档的证书可存放在目录服务器或数据库中。
2.证书操作期和密钥对使用期限
A.公钥和私钥的使用期限与证书的有效期相关但却有所不同。
B.对于签名用途的证书，其私钥只能在证书有效期内才可以用于数字签名，私钥的使用期限不超过证书的有效期限。但是，为了保证在证书有效期内签名的信息可以验证，公钥的使用期限可以在证书的有效期限以外。
C.对于加密用途的证书，其公钥只能在证书有效期内才可以用于加密信息，公钥的使用期限不超过证书的有效期限。但是，为了保证在证书有效期内加密的信息可以解开，私钥的使用期限可以在证书的有效期限以外。
D.对于身份鉴别用途的证书，其私钥和公钥只能在证书有效期内才可以使用。
E.当一个证书有多个用途时，公钥和私钥的使用期限是以上情况的组合。
7.5.2.4 激活数据
1.激活数据的产生和安装
用于保护存放有认证机构CA 私钥的密码设备激活信息（秘密分割）的产生过程必须安全可靠，符合相应的安全要求。秘密分割的创建和分发记录有相应的日志。
2.激活数据的保护
对于CA 私钥的激活数据，认证机构必须通过秘密分割将分割后的激活数据由不同的可信人员保管，而且保管人员必须符合职责分割的要求，签署协议确认他们知悉秘密分割保管者责任。
如果证书持有者使用口令或PIN 码保护私钥，证书持有者应妥善保管好其口令或PIN 码，防止泄露或窃取。如果证书持有者使用生物特征保护私钥，证书持有者也应注意防止其生物特征被人非法获取。
3.激活数据的其他方面
A.激活数据的传送
当私钥的激活数据进行传送时，应保护它们在传送过程中免于丢失、偷窃、修改、非授权泄露、或非授权使用。还有，Windows 或网络的登录用户的用户名/密码（用于证书持有者激活数据），经过网络传送时注意非法用户的窃取。
B.激活数据的销毁
当私钥的激活数据不需要时应该销毁，并保护它们在此过程中免于丢失、偷窃、泄露或非授权使用，销毁的结果是无法通过残余信息、介质直接或间接获得激活数据的部分或全部，比如记录有口令的纸张必须粉碎。
7.5.2.5 系统安全控制
认证机构应确保包含CA软件和数据文件的系统是安全可信的系统，不会受到未经授权的访问，认证机构应只允许有工作需求的人员访问认证系统服务器。
认证机构的生产系统网络应与其它部分逻辑分离。这种分离可以阻止除指定的应用程序外对网络的安全访问。认证机构应使用防火墙阻止从内网和外网入侵生产系统网络，限制访问生产系统的活动。只有认证机构系统操作与管理组中的可信人员因工作需要可以直接访问认证系统数据库。
系统口令必须符合口令安全管理要求。
7.5.2.6 生命周期安全控制
1.CA系统运行管理
A.CA系统的操作流程需要文档化并进行维护。
B.CA系统（包括软件、网络等方面）的变更需经管理层批准，经批准的变更实行前必须通过测试，并进行记录。
C.可能对系统的安全性有影响的改动必须事先进行风险评估，改动前应进行备份并得到管理层的明确批准。
D.CA中心的测试系统、运营系统、网络设施等，具有专门的操作维护人员，并有相应明确的授权。
E.操作维护人员需要定期检查系统及网络的稳定性、安全性及容量，确定符合服务水平。
F.建立检测和防护控制来防止病毒和恶意软件，并能提供适当的报警信息。
G.建立监控流程，确保记录并报告发现的或怀疑的、对系统或服务有威胁的安全缺陷。建立并执行系统故障报告、处理流程。
H.建立制度，对CA系统相关的媒介（包括设备、证书介质、文档等）进行妥善保管，避免非授权的访问。
2.CA系统的访问管理
A.制定CA系统的访问策略，内容包括：访问角色及相关权限，认证及鉴别的方法，分权机制，门限秘密共享机制（密钥生成时m/n规则）等。
B.制定CA系统访问人员角色职能定义，确保合理的职责分割和权限控制，并明确授权及取消授权的操作流程和策略。
C.制定网络安全策略，并制定访问网络的控制策略。
D.制定操作系统及CA软件的安全访问的策略。
E.建立各种对CA系统访问的审计措施。
3.CA系统的开发和维护
A.建立CA系统软件修订控制流程，对系统新增或修改进行管理。
B.严格控制对CA系统的源代码及测试数据的访问。
C.操作系统升级变更时，应用系统软件需要重新测试。
D.在CA系统中，购买、使用或修改的软件，需要进行严格检查，避免“特洛伊木马”病毒等攻击。
7.5.2.7 网络安全控制
认证机构应通过防火墙、入侵检测、防病毒、安全身份认证等安全技术，确保认证系统的安全运营。对于认证系统的网络安全，认证机构应制定专门的网络安全策略与实施方案，有关方案应符合GM/T 0034相关标准规范。
7.5.2.8 时间戳
认证机构应部署时间戳系统，在系统关键业务运行日志、操作日志等日志中，可以使用时间戳服务。
8　电子政务电子认证服务中的法律责任相关要求
8.1　要求
认证机构在开展电子认证服务时，应按照《电子签名法》、《电子政务电子认证服务管理办法》等政策法规的要求，对涉及保密、隐私、知识产权、担保以及服务运营等要求承担相关的责任与义务。认证机构与证书用户应签署证书服务协议，明确双方法律责任与义务，以及安全保管要求。通过授权的机构或代理机构提供电子认证服务时，应由授权的机构或代理机构与证书用户签署证书服务协议，明确相关法律责任与义务。
认证机构应在其《电子政务电子认证服务业务规则》中明确一般性的业务和法律问题。在业务条款中应说明不同服务的费用问题，以及各参与方为了保证资源维持运营，针对参与方的诉讼和审判提供支付所需承担的财务责任；法律责任条款应涉及保密、隐私、知识产权、担保及免责等内容，具体应涵盖的内容见“8.2 内容”。
8.2　内容
8.2.1　费用
1.证书服务涉及的费用标准，如：证书签发、更新、撤销等费用。
2.关于以上费用退款的规定。
8.2.2　财务责任
1.认证机构所负有的责任担保范围声明。
2.认证机构利用其他资源来支持其运营和对潜在责任进行赔付的声明，可以以认证业务正常运营和处理可能意外事件所需的最少财产级别的方式表达，如组织收支平衡表上的财产、保证书、信用证明、在某种条件下要求赔偿的权力契约。
8.2.3　业务信息保密
1.认证机构应对开展业务过程中所接收的属于私有信息的业务信息负有保密责任。
2.认证机构对属于私有信息的业务信息的使用和发布应符合法律、法规的要求。
3.对违法违规使用、发布属于私有信息的业务信息的，认证机构应承担由此造成的证书持有者、依赖方的损失，并负担相应的经济、行政责任。
8.2.4　个人隐私保密
1.认证机构应对开展业务过程中所接收的属于私有信息的个人隐私信息负有保密责任。
2.认证机构对属于私有信息的个人隐私的使用和发布应符合法律、法规的要求。
8.2.5　知识产权
说明知识产权问题，如版权、专利、商标、商业秘密等。
8.2.6　陈述和担保
说明电子认证服务活动中各种实体所作的陈述和担保。
8.2.7　担保免责
对有可能存在其他协议中的明示担保责任的否定描述，对由于适用法律引起的隐含担保责任的描述。在认证机构的《电子政务电子认证服务业务规则》中可以直接使用这些担保免责规定，或者包含一项要求，规定担保免责条款要出现在相关协议当中，如证书持有者或依赖方协议。
8.2.8　偿付责任限制
认证机构在《电子政务电子认证服务业务规则》中应说明偿付责任限制，或者出现在其它相关协议中的偿付责任限制。
8.2.9　赔付责任
说明一方对另一方遭受损失的赔偿条款，通常这种损失是由第一方的行为所导致的。如：根据《电子政务电子认证服务管理办法》的规定，当认证机构暂停或者终止认证服务时，未就业务承接有关事项作出妥善安排，而给证书用户造成损失而所产生的赔偿及行政责任。
8.2.10　有效期和终止
包括《电子政务电子认证服务业务规则》的有效期，以及该文档、文档的某一部分或对某一特定参与者的适用性终止的条件。
1.文档的有效期限，也就是如果该文档不提前终止的前提下，文档的生效和失效时间。
2.终止规定，声明文档、文档的某一部分或对某一特定参与者的适用性停止有效的条件。
3.文档终止的任何可能结果，例如协议的某些条款在协议终止后继续有效，如知识产权承认和保密条款。另外，终止可能涉及到各参与方需将相关的保密信息返回给其拥有者的责任。
8.2.11　对参与者的个别通告与沟通
说明电子认证服务活动中某一参与方与另一参与方进行通信时可以或必须遵循的方法，以使其通信过程在法律上有效。
8.2.12　修订
1.修订《电子政务电子认证服务业务规则》所应遵循的修订程序。
2.通告机制（将《电子政务电子认证服务业务规则》中需变更内容的建议，通知所有受影响的对象，如证书持有者和依赖方）和周期。
3.需要变更《电子政务电子认证服务业务规则》的条件。
8.2.13　争议处理
说明由《电子政务电子认证服务业务规则》引发的争端的解决程序，例如要求争端需要通过国家电子政务电子认证服务监管部门或者其他渠道的争端解决机制。
8.2.14　管辖法律
对《电子政务电子认证服务业务规则》生效和解释起作用的有关中华人民共和国的法律、法规。
8.2.15　与适用法律的符合性
说明电子认证服务活动参与者所需遵守的适用法律，主要有：
1.中华人民共和国电子签名法
2.中华人民共和国网络安全法
3.商用密码管理条例
4.电子认证服务密码管理办法
5.电子政务电子认证服务管理办法
8.2.16　一般条款
包括完整协议条款、转让条款、分割性条款、强制执行条款、不可抗力条款等。
1.完整协议条款，通常标识出构成这个协议的全部文档，并声明该协议替代所有先前或同时期的、与相同主题相关的书面或口头解释。
2.转让条款，在该协议下将一方的权利转让给另一方或授权其某种义务。
3.分割性条款，当法庭或其他仲裁机构判定协议中的某一条款由于某种原因无效或不具执行力时，不会出现因为某一条款的无效导致整个协议无效。
4.强制执行条款，可以声明在合同纠纷中有利的一方有权将代理费作为偿还要求的一部分，或者声明免除一方对合同某一项的违反应该承担的责任，但不意味着继续免除或未来免除这一方对合同其他项的违反应该承担的责任。
5.不可抗力条款，通常用于出现超出受影响方控制的事件发生时，免除一方或多方对合同的执行责任。通常，免除执行的时间与事件所造成的延迟时间相当。此条款也可包括协议终止的环境和条件。构成不可抗力的事件包括战争、恐怖袭击、罢工、自然灾害、供应商或卖方执行失败、因特网或其他基础设施的瘫痪。不可抗力条款的起草应与框架的其他部分相一致，并达到适用的服务级别协议。例如，业务连续性和灾难恢复的责任和能力可以将某些事件置于组织的可控范围之内，如在停电时启用备份电源的义务。
8.2.17　其他条款
包括未在上述说明的其他相关内容条款。

【返回 】