通过建立数字证书认证中心(CA,Certification Authority)来保证电子商务、电子政务活动的安全是必由之路。无论国外还是国内都已经建立了众多的数字证书认证中心(CA),大到国家级的,小到企业级的都拥有了自己的CA。但是,目前国内外各行各业对CA技术本身讨论的比较多,对CA这样一个信息安全的系统集成工程来说,对CA的部署与建设过程中的问题却讨论得比较少。然而,在现实生活中,正是在这些CA的建设过程中,还或多或少地存在着大大小小的问题,需要从事CA建设工作的人员引起高度重视。
无论国外还是国内的PKI/CA工程建设,大致都可以分成六个步骤进行:项目的初始化阶段、需求分析与设计阶段、CA系统的开发与测试阶段、安装、集成与测试阶段、试运行与系统更改阶段和运营与维护阶段。其中,各个阶段都有所要完成的任务和达到的目标要求。
项目的初始化
CA项目的部署与工程实施,不同于以往的IT项目,因此CA项目的初始化阶段,也称为计划阶段,显得更为重要了。因为CA是公钥基础设施(PKI)的关键组成部分,因此关于CA建设规划的好与坏关系到整个基础设施的成功与否。而CA部署是否成功、是否顺利、最终建设的系统是否可以满足最终用户当初的建设需求等,这些关键性的问题都要在这个阶段进行重点规划和解决。这个阶段的工作主要需要由四项子任务构成:整个项目的规划、确定整个项目的发起人和项目的主管领导、对项目的范围进行界定、完成项目的控制和管理计划并存档。
需求分析与设计
任何项目都有需求分析和设计阶段,PKI/CA的工程项目也不例外。对于CA/PKI这样一个信息系统的关键基础设施而言,在工程实施之前同样需要很好地理解这个系统建设的需求,需要处理和解决一些关键性问题,即对应用系统(主要指将来应用该PKI/CA的上层应用系统)需要安全级别的理解和分析;对PKI/CA系统的运营管理政策(规范)和CA证书政策的规划、分析和设计;对PKI/CA系统互操作问题的设计;对PKI/CA(所要建设的CA系统)的外围条件、设备的需求分析与设计;对整个PKI/CA系统管理和操作流程的规划和设计。
PKI/CA的开发与测试
目前,多数PKI/CA系统的建立,都是通过采用市场上技术成熟的PKI/CA产品。因此,在具体PKI/CA项目的实施过程中,对PKI/CA系统本身的开发工作并不是很多,只是需要根据用户的具体需求,将产品中不满足要求的功能、流程等进行修改。而PKI/CA系统的测试工作,是PKI/CA部署过程中一个工作量比较大的阶段。因为PKI/CA系统是一个对上层应用提供安全保障的基础设施,因此对这个基础设施进行全面测试的重要性就显而易见了。
在这个阶段主要需要完成三项子任务:目标PKI/CA系统功能的确定与修改(开发)、目标PKI/CA系统功能的测试、PKI/CA系统操作人员的培训。
安装、集成与测试
在这个阶段,对PKI/CA项目而言,更侧重于对项目安全性进行控制,主要包括对PKI/CA目标运行地点的安全性加固、对PKI/CA运行平台进行安全性加固、对整个系统在目标地点和平台进行安装和集成测试、安装客户端应用系统对PKI/CA系统进行测试、对PKI/CA系统的性能进行测试等。
经过这个阶段工作,可以说PKI/CA系统的建设已经接近尾声了。此时的PKI/CA系统,已经具备了需求定义中的要求和功能。同时,系统具备了进入试运行的条件。
试运行与系统更改
系统的试运行,是为了在实际环境中对所建设的系统进行更好的测试。在试运行阶段,应该使所建设的PKI/CA系统,为所有将来要使用的目标应用提供安全服务。在这个阶段中,由于应用的要求或最终用户的需求不同,可能会对PKI/CA系统的某个方面或功能进行修改和完善。这是一个正常的过程,但对PKI/CA系统的功能、流程等方面的修改需要慎重。
运营与维护
在这个阶段,整个PKI/CA系统将移交到PKI/CA日常运营和管理部门。PKI/CA的日常运营和管理部门,将依据运营管理政策(规范)对PKI/CA中心进行管理;依据CA证书政策规范对终端用户(应用)进行管理。同时,终端用户(应用)也应该符合证书政策规范规定的内容。这些文件的规划、设计与制定,需要在项目的第二阶段(需求分析与设计阶段)完成。在PKI/CA系统运营一定时间后(或过程中),将由PKI/CA系统的承建单位与运营单位,联合对系统进行维护(或定期维护),以解决运营中的问题,提高系统对外部应用的适应性和服务能力。
应该注意的主要问题
根据实际工程的经验,针对目前国内CA工程的实施过程,我们认为在不同的阶段需要注意一些主要问题。
项目范围界定不清。在工程的初始化阶段,由于没有明确定义本次工程中PKI/CA所覆盖或应用的范围,因此在工程实施过程中,会经常遇到PKI/CA部件如何部署的问题,如部署的位置、部署的数量以及部署的安全强度等问题。
项目的需求分析和设计阶段时间短,不能达到预期的目标。由于现在的许多项目,都存在着时间紧、任务急等方面的原因,在工程的前期不能留出充足的时间对所从事的项目进行很好、很全面的需求分析和系统设计,因此导致工程进行中需求不断变更,特别是针对PKI/CA应用的需求不断变更,导致工程延期,不能按预期的时间结束。
在开发和测试阶段,同样也存在着需求不明确、功能定义不完善,以及测试人员资源不足的情况。因此导致所开发出来的系统不能完全满足用户的真正需求。
系统建设不能如期完成。由于大多数的PKI/CA项目,从考察、招标、设计、建设一直到运营这个过程,所经历的时间越来越短,不能有充足的时间进行整个系统的统筹安排,导致系统的建设不能如期完成。这一点在设备的选择和订购方面体现得十分突出。现在的PKI/CA实施和部署技术已经比较成熟,反而是大多数的PKI/CA工程都因为系统所依附的硬件、系统软件、网络设备等方面的延迟到货而导致整个工程的延误,这不能不引起足够的重视。这种延误正是在系统需求和设计确定后,没有及时地进入设备采购程序的结果。现在这个问题越来越突出,需要所有的PKI/CA用户,以及PKI/CA的实施和部署队伍注意。
