第五讲CA系统安全.pptx

第五讲CA系统安全;第5讲CA系统安全;概述;1.物理安全和环境安全设计;2.网络安全设计;数据备份与恢复;操作系统安全性;数据库安全;（3）数据完整性控制P145;目录服务器的安全性;CA系统安全性;①加密模块

产生CA密钥的方法必须采用硬件加密模块。因为硬件加密模块属于国家安全保护产品，加密算法采用国内标准，并经过国家密码管理部门批准。

这种加密模块要做到：CA私钥不出机，具有密钥存储、备份和恢复功能。

密钥恢复要按规定的程序，实行多人在场、多口令控制机制。

加密机必须存放在安全的地方（如六面体钢板机房、双指纹门控系统。

注：加密模块本地化并非不执行国际标准，而是要求本地化模块应具有PKCS#11接口标准。;②根密钥的产生与更新

③根密钥的使用

④支持的加密算法;3.通信安全;（2）主机加密服务器：主要系统间的通信进行加密，做到系统全程加密通信，确保系统间通信的安全。;4.管理子系统安全性;5.审计系统与日志安全;6.RA注册系统的安全性;7.系统的证书申请及下载过程的安全;8.CA中心数据恢复;9.LDAP目录服务器的恢复;10.安全策略及安全管理;11.安全策略