CA网络安全实践

CA/B论坛网络和证书系统安全要求指南


2012年8月3日,CA/B论坛通过了一套关于网络和证书系统安全要求的指南,以确保所有公共信任的证书颁发机构和授权的第三方之间的最佳实践。

CA/B论坛是一个由领先的认证机构(CA)和互联网浏览器软件和其他应用程序供应商组成的自愿组织,自2005年以来一直致力于定义认证机构行业的标准。

新指南将于2013年1月1日生效,旨在解决2011年期间发生的对可信提供商的各种攻击,制定了多项要求,以确保CA网络和系统的严密安全,并防止威胁进一步发生。

该指南涵盖多个领域,包括网络和支持系统的常规保护;可信角色、委托第三方和系统帐户;记录、监测和警报;以及漏洞检测和补丁管理。

包括GlobalSign在内的所有CA成员都要在有效期内遵守并执行,从而在整个CA行业中领先提高安全级别。

网络和支持系统的常规保护

该指南介绍了安全区域和高安全区域的概念,用于保护重要的CA系统,包括根CA系统、颁发系统、证书管理系统和安全支持系统。

CA提供了对证书系统访问的更大控制,以仅允许受信任角色的人员访问,并且在支持的情况下,应该强制性应用多因素身份验证。

受信任的角色、委托的第三方和系统帐户

必须根据要执行的功能的安全问题分配受信任角色。受信任角色中的每个人都必须使用唯一的凭证对证书系统进行身份验证,以确保他们只能在其角色范围内进行操作。一系列涉及密码策略、非活动超时和帐户锁定的规则进一步加强了这点。

记录、监控和警报

新的论坛指南要求CA和授权的第三方实施一个安全支持系统,记录、监控、检测和警报任何与安全相关的配置更改。

必须要求受信任人员跟踪此类警报,并遵照适用法律/最佳实践保留日志,总体上防止未经授权的活动。

漏洞检测和补丁管理

CA和授权的第三方必须具备检测和预防控制,以保护证书系统免受病毒或恶意软件的侵害。

以上给出了季度漏洞扫描和年度渗透测试的最低要求,并定义了及时补救关键漏洞的标准。

该指南的详细信息可在以下网站上找到:
https://www.cabforum.org/Network_Security_Controls_V1.pdf