系统安全系统性稳定性说明书

《系统安全系统性稳定性说明书》由会员分享，可在线阅读，更多相关《系统安全系统性稳定性说明书（19页珍藏版）》请在装配图网上搜索。

1、word天威诚信PKI/CA系统安全、稳定性说明1 前言对于某某环迅电子商务某某是中国领先的在线支付服务提供商，作为在线支付市场的先行者和领导者，某某环迅一直专注在电子支付的商业应用与金融业的电子化服务，因此对环迅公司的在线支付系统提供安全支持的公司必须要具备非常专业的技术背景、强有力的技术支持和服务能力，以与完整的国家资质才能为某某环迅的在线支付系统保驾护航，为某某环迅成为世界领先的电子支付应用和服务的提供商提供受到法律保护的安全根底。2 系统安全性对于天威诚信PKI/CA系统的安全性，天威诚信通过严格的物理安全、网络安全、信息安全、人员安全和密钥安全来保证CA中心的安全，具有很高的安全性。

2、2.1 物理安全天威诚信制定了严格的物理安全策略，主要包括： 天威诚信CA系统按照在天威诚信安全数据中心，数据中心的物理场地按照严格的安全访问政策从结构层次上进展了划分，采用物理分层的结构，将系统安装在层次较高的物理层； 进出各层具有严格的物理安全访问控制策略进展保护，必须出示相关证件或身份卡，包括员工证、门禁卡和指纹机等； 物理场地配备了24 X 7 X 365 保安员，整个物理场地进展24小时录影监视。2.2 网络安全天威诚信制定和执行严格的网络安全策略，主要包括： 天威诚信将系统采用了两道防火墙与Internet进展隔离，CA系统的前台安装在DMZ区，核心后台安装在军事化区，和前台通过防

3、火墙进展隔离，任何Internet用户都无法直接访问CA系统核心后台； 系统网络和日常办公网络完全分开，都采用分段控制，并以内部和外部防火墙作保护； 对于系统的所有服务器都以SSL来加强对客户连接的安全性保护。2.3 信息安全天威诚信制定和执行严格的信息安全策略，主要包括： 系统/服务器充分考虑信息安全，采用动态口令方式包含系统的口令，并采用单独系统监控/防止病毒入侵； 系统/服务器充分考虑了稳定性设计，采用了多路数据专线，防止断线，数据专线连接采用多个供给商，防止供给商断线； 充分考虑了数据库系统的安全，采用多硬盘实时备份 Mirroring，采用多处理器，采用可热换的硬盘，并严格进展系统/

4、服务器的备份，每晚对数据进展备份，定期将备份数据存放到安全的第三方； 充分考虑了电源稳定性设计，数据中心具有独立的后备电源，并配备了发电机。2.4 人员安全天威诚信制定和执行严格的人员安全策略，主要包括： 天威诚信具有详细的、规X的可信雇员政策，对员工进展审查，并详细规定员工的职责； 天威诚信员工对系统的操作严格按照天威诚信制定的规X的操作流程进展，并定期对操作记录进展安全与审计； 天威诚信制定了严格的物理和系统访问权限控制，对于非授权人员禁止操作。2.5 密钥安全密钥安全包括根CA和子CA密钥的安全，以与用户证书密钥的安全。2.5.1 CA密钥的安全CA密钥是对根CA和子CA密钥的统称，需要

5、从两个方面进展分析：l CA密钥的产生 CA密钥在天威诚信的安全数据中心离线的物理环境中产生，使用经过国家相关部门认证通过的国产加密机来产生。为了保障CA密钥产生的公正性和权威性，天威诚信会进展规X的密钥生成仪式，整个过程将会有录像记录。举行密钥生成仪式至少需要七名相关的人员参加。l CA密钥的安全存储 所有密钥都是保存在天威诚信最安全的物理层，根密钥离线的保存在安全级别最高的层次，并通过密钥分割的方式由多人负责管理。对于在线CA的密钥，安装在安全数据中心的在线最高物理层，对于在线CA密钥的上载，至少需要七名相关人员才能进展。3 系统性能分析3.1 系统处理能力天威诚信PKI/CA系统设计初期

6、处理能力为“千万级证书容量，可以根据业务的扩展需求进展动态的扩展。目前已经对外签发了十几万X证书，系统没有任何问题和压力。以下提供各模块的处理能力的测试数据，包含CA中心服务器的处理能力、RA中心服务器的处理能力、用户证书的发证能力、与目录服务器的查询能力等。3.1.1 CA中心服务器处理能力一个用户请求需要通过CA中心服务器和签名服务器的逻辑处理，如果是证书签发请求如此会经过逻辑处理后再交给签名服务器和加密机处理。CA服务器的处理能力指标主要是并发处理能力。环境硬件配置Sun Sparc Ultra 2操作系统加密卡SJY17-B性能设计序号性能参数处理能力1并发性能165个用户请求/秒2平

7、均连续处理601000次/小时图表 CA处理能力表3.1.2 CA中心加密机处理能力CA中心签名服务器将使用加密机，完成用户证书签发、非对称密钥加解密等的功能。因此，在上述服务器的性能设计中，主要提供了关于加密机的处理性能。环境硬件配置加密机操作系统加密机/卡SJY17-B性能设计序号性能参数处理能力1RSA 1024位签名运算速度250次/秒2RSA 1024位验证运算速度1000次/秒3对称算法加、解密速度12.5Mb/秒。4生成一对RSA密钥的平均时间3秒图表 Error! No text of specified style in document.1 加密机处理能力表3.1.3 目录

8、服务器处理能力用户证书查询以与证书黑查询可以通过LDAP协议来查询，目录服务器处理能力的主要指标是单个查询的响应时间以与目录服务能够承受的最大并发查询数。环境硬件配置Sun Sparc Ultra 2操作系统性能设计序号性能参数处理能力1单个查询响应平均时间2最大并发量300图表目录服务器处理能力表3.2 先进性和开放性天威诚信PKI/CA系统采用Verisign的技术平台，VeriSign已经与超过100家独立软件厂商建立了合作伙伴关系，其中包括Microsoft，Netscape，Lotus，Oracle，Cisco等等。采用VeriSign技术平台的建设的天威诚信PKI/CA系统也延续了

9、这种开放性。在此开放性的平台上，有系列产品能够有效支持这些厂家的应用软件产品，这些产品包括：安全Web应用、安全Email应用、安全MS Exchange应用、安全Lotus Notes应用、安全ERP应用和安全VPN应用等。与此同时，天威诚信PKI/CA系统严格采用国际标准或工业标准的技术，如PKIX标准，保证系统最大的兼容性。其中： （1） 与国内外其他CA认证体系交叉认证：用户应用采用天威诚信CTN认证体系，可以与国内外其他符合国际工业标准的CA认证体系进展交叉认证，很容易实现与国际认证体系的接轨，实现将信任域扩大到全球。（2） 与各种电子商务平台体系相兼容：天威诚信PKI/CA系统采用

10、的技术路线是完全符合全球工业标准的技术路线，该体系已经广泛应用到全球的电子商务平台中，本产品已经与超过100家独立软件厂商建立了合作伙伴关系，其中包括Microsoft，Netscape，Lotus，Oracle，Cisco等。（3） 密码模块的兼容性：密码模块的兼容性主要指用户密钥生成模块的兼容性，天威诚信PKI/CA系统具有良好的兼容性。RA中心提供了预留接口，支持提供PKCS#11以与CSP证书接口的所有设备，可根据用户的需要，使用自己的算法，来生成用户证书的密钥对，提高某某性能。（4） 密码算法的兼容性：天威诚信PKI/CA系统支持与国内外多种算法相兼容：- 公开密钥密码算法：RSA、

11、DSA等；- 对称密钥密码算法：DES、Tri-DES、RC4、AES等；- 散列算法：MD5、SHA1等。（5） 协议的兼容：- 证书申请、下载、存储支持PKCS#9/10/11/12系列以与微软开发的CSP系列；- 目录服务、黑CRL发布都支持LDAP协议，以与通用的目录服务器，如：OPENLDAP软件、SUN的iPlanet Directory Server；- 证书在线查询支持OCSP协议；- 时间戳服务完全符合最新发布的RFC3161标准；- 用户端安全应用支持S/MIME安全电子协议，SSL安全传输加密协议；- 证书格式的兼容：能够兼容各种符合X.509 V3标准的多种证书格式。3

12、.3 安全可靠性对于一个提供信任和安全保障服务的PKI/CA系统来说，其自身对安全性的要求是不言而喻的，根据上述描述，天威诚信PKI/CA系统具有很好的安全性。3.4 易操作性天威诚信PKI/CA系统为用户提供的证书服务都使用浏览器如IE和Netscape进展操作，完全基于B/S模式的操作方法，一方面无须专门的客户端，使用快捷简单；另一方面用户上手快，大大节省了培训本钱。同时具有交互界面，具有详细的、中文的用户使用帮助和专门的帮助库。3.5 可扩展性天威诚信PKI/CA系统具有良好的可扩展性，包含多个方面的可扩展性：证书的可扩展性、认证体系信任域的可扩展性、加密算法的可扩展性、与对应用支持的可

13、扩展性等：（1） 证书的可扩展性：天威诚信PKI/CA系统签发的证书本身带有很多可扩展的字段，可以根据用户的应用需求来利用这些扩展字段，还可以根据用户的需求对证书上显示的字段进展定制；（2） 认证体系的可扩展性：对外信任域来说，可以通过交叉认证的方式实现与国内外其他的CA信任域互联互通。另外，系统为用户应用设计的三层认证体系结构可以扩展成四层、五层，乃至无限，子CA可以签发下级子CA，由下级子CA来签发用户证书；（3） 密码算法的可扩展性：支持多种对称算法、非对称算法以与数字摘要算法，如：RSA、ECC、QC-1、QC-4、DES、RC4、RC2、IDEA、MD5、SHA1等。（4） 对应用支

14、持的可扩展性：天威诚信提供完整的证书应用API，包括C、JAVA和接口，提供用户使用手册和用户使用技术支持，可以充分的保证用户应用系统的需求，以与将来其它应用的扩展。4 系统稳定性天威诚信CA中心系统对CA系统安全、信息系统安全进展严格设计，以实现其所提供证书服务的稳定性。天威诚信在系统安全技术、稳定技术上进展不断改良，以确保为用户提供优质的服务。4.1 CA系统安全4.1.1 CA系统总体安全构架CA中心系统通过多层防火墙将系统划分为多个区域，对不同的区域应用不同的安全策略。CA系统安全根据逻辑进展分类，包括密码安全、密钥安全、操作系统安全、通信安全和信息系统安全等。图1 总体系统拓扑图4.

15、1.2 操作系统与数据库安全CA中心系统采用UNIX操作系统，并且对于操作系统进展优化加固，包括：l 系统安全补丁。专人负责定期检查安全补丁信息，并与时为系统打补丁。l 优化系统参数配置。优化操作系统对于进程管理、网络通信和文件系统相关参数，防止基于栈溢出、网络、文件权限等攻击。l 用户管理。禁止系统不需要的用户，控制用户的登录终端，强制用户定期修改密码，并通过UMASK确保用户创建文件的权限正确。l 服务。禁用系统不需要的服务。l 网络接口调整和安全优化。关闭不需要的网络服务，并禁止路由功能。l 审计。增强操作系统系统的审计功能，同时，将审计记录发送到系统的审计中心，进展保存和分析。l 修改

16、banner。去掉操作系统与其版本信息，使系统信息不暴露于外界。对于数据库采用下述加固措施：l 用户组的安全性。数据库软件安装在专有的用户和用户组，应用程序的用户只能有限地访问数据库资源。l 服务器实用例程的安全性加固。数据库归专有用户所有，DBA相关程序只能被DBA用户访问。l 增强数据库文件的安全性。数据库文件与其目录只能被安装数据库的用户访问。l 系统安全性策略。数据库安全性管理者只拥有create，alter，或drop数据库用户的权限；数据库用户通过主机操作系统进展身份确认；数据库管理员拥有create和delete文件的操作系统权限，一般数据库用户没有create或delete与数

17、据库相关文件的操作系统权限。l 数据库管理者安全性。更改有管理权限的系统用户的默认密码，防止非法用户访问数据库；只有数据库管理者能用管理权限连入数据库；使用角色对管理者权限进展管理4.1.3 密码安全CA中心系统所采用的密码算法为通用算法，算法强度为目前商业应用普遍采用的强度。CA中心所采用算法与其强度如下表所示：算法强度(位)用途备注RSA1024CA证书密钥对，用户证书密钥对3DES112通信数据加密RC4128通信数据加密MD5128完整性保护，数字签名SHA1160完整性保护，数字签名为了保证CA系统中密钥的安全性，尤其是如CA证书密钥的安全性，本系统采用了安全可靠的硬件加密设备，密钥

18、不能以明文形式出现在硬件加密设备之外。CA系统采用的硬件加密设备天融信公司生产的SJY17-B PCI加密卡，其内部采用SSP04-A密码算法芯片、经过国家密码管理员委员会批准的WNG4随机数发生器，内部实现SSF33分组密码算法和RSA算法。4.1.4 安全审计天威诚信CA系统在运行过程中，对在线系统和离线操作事件进展审计，在线系统审计信息存储于日志文件和数据库中，离线审计如此以纸质介质进展记载。系统审计内容如下： 类别事 件安 全 审 计任何对审计参数的改动，如：审计频率、审计事件类型等。任何删除审计日志的企图。标 识 和 鉴 别各级管理员CA管理员、RA管理员操作时鉴别结果是成功还是失败

19、，终端用户与CA系统的连接的结果 鉴别尝试不成功的次数超过设定的限值导致的会话连接终止。用户注册时的鉴别失败次数达到限定值；管理员将一个因鉴别失败次数达到限定值而被锁住的用户解锁；管理员修改鉴别器类型，如：将口令鉴别机制更改为IC卡鉴别。本地/远程数据登录进入系统的所有安全相关的数据。数据导出与输出所有成功或失败确实认请求和安全相关信息。密钥生成CA系统每次生成密钥时的相关信息私钥加载与存储私钥组件的加载；所有访问证书主体私钥驻留在系统中，用于密钥恢复。信任公钥登录、删除和存储信任公钥或与之相关的所有信息的更改和删除。安全密钥存储用于鉴别的安全密钥的手工登记。安全私钥导出安全私钥的导出用于单个

20、会话或消息的密钥除外证书登录所有的证书申请证书撤消所有证书撤消请求证书状态更改批准批准或拒绝证书状态更改请求证书管理配置角色/用户的增加/删除用户某某/角色的访问控制特权的更改证书轮廓管理证书内容和形式的所有更改或升级4.2 信息系统安全4.2.1 网络系统安全网络根底设施涉与到通信线路、网卡与调制解调器、网络协议、服务器和诸如路由器、防火墙、集线器和交换机等网络设备。系统在该局部的安全实现包括设备自身安全和设备的正确使用和配置。天威诚信网络系统的安全包括网络链路的冗余设计、虚拟子网的划分、防火墙系统、防病毒系统和IDS系统部署。l 防火墙系统系统通过防火墙将系统划分为DMZ区、前端、后端和业

21、务操作区。DMZ区存放供公共服务的DNS和MAIL；前端存放共系统用户使用的WEB、LDAP等服务，共互联网用户访问；后端存放系统核心业务处理逻辑、数据库和相关加密服务，只能被前端、和业务操作区访问；业务操作区供CA中心系统业务管理员对系统进展业务处理，位于业务操作去的主机只能访问后端的特定服务。l 安全扫描系统系统采用ISS的基于网络的漏洞扫描工具Internet Scanner和对网络中的设备与主机进展漏洞扫描。扫描对象主要是重要服务器以与网络中的重要网络设备。对于网络中的网络设备来说，例如交换机，路由器和防火墙等等，本系统利用Internet Scanner对其进展定期的扫描，以确定了解

22、网络中存在那些漏洞，从而针对存在的漏洞进展修补处理。系统对网络中的所有网络设备和主机都使用Internet Scanner定期进展扫描，对于重要服务器，我们使用System Scanner 进展扫描。l 实时入侵监测系统一方面通过对整个网络定期进展漏洞评估，另一方面采用IDS来对网络中的突发事件进展实时的监控并做出实时的响应，在系统内部，配置ISS公司的RealSecure系列产品。l 病毒防护系统系统采用Trend Micro的TVCS，MIS人员通过单一客户端Web 监控程式，集中管理所有安装于不同地点、不同平台上的各个服务器防毒软件，并自动安装、设定、配置与更新。对于系统使用的系统，亦安

23、装和系统集成的防病毒软件，对进出系统的电子进展实时的病毒查杀。4.2.2 主机系统安全（1） 用户某某的安全用户某某是在用户使用网络、主机或数据库之前提供给系统的用来标识使用者身份的信息。在本系统中对用户某某的安全要求如下：l 用户进入系统时，需显示登录信息，鉴别用户身份。l 如果尝试登录次数超过了限定次数，如此终止登录会话。l 如果用户某某闲置时间已超过合理X围，如此禁止该用户访问该主机。管理员有权暂时停止用户使用权。l 如果用户一定要闲置某个会话，他应该使用锁定功能，或终止该会话进程。（2） 口令的安全根据用户某某和口令就可以登录到系统中进展相应的操作，而口令通常都是很敏感的，因此对CA系

24、统中口令的安全实现如下： l 在安装网络设备、主机和应用程序时设置了带有缺省口令的缺省用户名，找出并禁止这些用户名和口令。l 用户必须使用健壮的口令口令不易被直接攻击攻破，不易被猜想(如生日、绰号等)。l 不与别人共用口令或将口令写在易于看到、找到的地方。l 通过网络传输的口令时，必须进展加密保护传输。（3） 访问权限的安全下面是有关访问权的安全规如此：l 将公共访问对象设置在具有恰当访问权的主机的公共区域中；l 对于一般用户只赋于读的权限。除非特权用户禁止改动或删除数据。l 对象所有者权限优先于组权限，而管理者对被访对象享有最终控制权；因此，访问权的优先顺序是：管理者，所有者，组成员，其他用

25、户。l 为每一位用户设置明确或隐含的访问权。比如，组成员或其他用户不能修改对象的默认访问权。修改日期和访问对象服从于管理权。当某对象的访问权发生变化时，管理者必须审核注意这些变化，既而考虑是否重新设置默认值。（4） 全网用户认证系统为了保证全网管理中用户身份验证的可靠性，本系统在网管中心部署一套RSA ACE系统，全网关键网络设备和主要业务系统的用户验证都集中在该服务器商，便于对于这些设备的集中管理。4.2.3 数据备份与恢复天威诚信CA系统配置单独的备份服务器，并且的个业务主机上安装客户端软件，进展集中备份。备份系统具有下述特点：l 无人值守管理员可以对网络上的客户机设定定时备份。备份可以是

26、完全、增量备份。另外，管理员还可以使用自动备份设定的规如此进展手工备份。当备份服务器和预定程序设置完成后，客户机可以选择以下三种方式中的任何一种进展备份：n 在预定的时间启动预定备份；n 在任何时间，通过GUI管理程序或行命令人工进展立即备份；n 客户机上的用户通过代理程序启动面向用户的备份。l 灾难恢复对于灾难恢复的解决方案，备份系统是通过冗余备份和产生“GNU TAR兼容格式磁带来实现。备份时，系统管理员可以设定进展冗余备份，完成后可以将冗余备份存放到安全地方。另外，所产生的TAR格式兼容磁带可以在备份服务器不可用时使用标准的UNIX工具进展恢复。4.2.4 系统冗余天威诚信的冗余方案包括

27、数据链路冗余、主机系统冗余、数据库冗余、电源冗余、密钥冗余和人员冗余。l 数据链路冗余天威诚信网络对外接口由两条物理上独立的两条链路组成，一条10M光纤链路，另一条是2M卫星链路，链路备份结构如如下图所示：天威诚信CA系统的出口链路配置了两台Cisco 2610路由器，下接一台3300交换机，两台防火墙上联交换机，防火墙以Failover方式工作，此结构可以防止出口链路的单点故障。各个设备的设置如下：1) 两台防火墙以Failover方式工作，配置完全一致，当一台防火墙出现故障时，另一台防火墙自动接收该防火墙的功能；2) 交换机收集两台防火墙的MAC地址，以用于防火墙Failover方式下的动

28、态切换；3) 关闭了交换机的管理端口，同时交换机工作在二层，受到黑客入侵以与流量攻击的可能性很小，同时该设备在使用中故障率很低，所以只配置一台交换机；同时配置一台同型号的交换机作冷备份。两台Cisco 2610路由器配置静态路由，如果某条链路或路由器出现故障，如此通过手工切换网络卫士4000的路由设置来实现链路的备份。l 主机系统冗余天威诚信CA系统对于关键业务相关的主机均采用了双机热备措施。这些双机热备的服务器中，两台服务器的配置完全一样，由负载均衡器localdirect负责将负载平均分派给各服务器。在没有故障发生的时候，这两台服务器同时工作，提高了整个系统的性能。在其中某一台服务器发生故

29、障的时候，由硬件负责使剩余的正常的一台服务器将整个服务接收。通过双机热备，可以保障系统核心业务不连续营业。l 数据库冗余为确保数据安全，天威诚信CA的数据库采用了磁盘阵列。在磁盘阵列中采用了RAID 1技术，把一个硬盘的内容同步备份复制到另一个硬盘里，具备了备份和容错能力。在其中主硬盘出错时，可以与时从从硬盘中接收数据。l 电源冗余天威诚信CA中心采用了UPS为系统提供不连续电源。电源为两组EDP70 UPS。我们采用的保障措施是双机热备。 UPS内部连接图如如下图：图4 UPS内部连接图CA中心采用两路UPS串联的方法进展主从双机热备。在主路UPS故障时，由于从路UPS的输出作为主路UPS的

30、旁路电源，可以直接输出给负载，从而保证了系统的电源不会中断。l 密钥冗余天威诚信CA系统对于密钥冗余设计包括密钥备份、在线双机热备和密钥恢复。所有CA证书的密钥对都通过离线的加密卡进展备份，离线加密卡保存在严格保护的保险柜内部，对于离线加密卡的存取需要多人共同完成。对于在线运行的CA证书密钥，CA系统通过双机热备方式进展冗余。两块包含一样密钥对的加密卡一起运行，当其中一个加密卡出现异常不能对外提供服务时，系统自动将以来该加密卡的请求分发至另外一个加密卡，并立即向系统管理员发送警报信息，以便得到尽快处理。系统在正常运行期间准备闲置的空白加密卡，当系统在线加密卡出现故障时，立即使用备份加密卡进展克

31、隆，并使用克隆产生的加密卡替换故障加密卡。l 密钥冗余天威诚信CA系统对于系统的操作、维护和密钥管理人员进展冗余设置。任何人员都进展双人备份，确保系统的正常运行，当相关人员因工作变动等原因不能继续担任其职务时，与时进展人员补充和培训。5 为何选择天威诚信天威诚信电子商务服务某某(iTruschina)成立于2000年9月，是经信息产业部批准的第一家开展商业PKI/CA试点工作的企业，公司首期注册资金5000万元。天威诚信公司致力于在中国成为向企业、政府和大众客户提供全球化数字信任服务的领先者，引进国外先进技术与管理方法，依照我国国情和密码管理政策，进展本地化改造，建立中国自有产品与服务品牌，为

32、中国的信息安全服务。公司在开展自身业务的同时，也积极向有关部门提出了有关商业PKI/CA建设方面的意见和建议，为国家有关行业标准和规X的建立提供可靠的依据。天威诚信在建有1000平米的国际一流水准的数据中心。作为一个权威的、可信赖的、公正的第三方信任服务的机构，通过CA托管服务、签发数字证书、为各种应用系统提供基于证书的网络安全解决方案等形式，为网上交易系统的安全以与网上交易参与各方的相互信任提供安全机制。通过天威诚信的PKI/CA服务，可实现电子业务过程中的信息某某性、信息完整性、身份验证和交易的抗抵赖。天威诚信以可信第三方的身份提供认证服务，与证书使用双方无任何利益关联关系，真正地实现了公

33、正性与可信赖性。相对于国内已经建立的一些认证服务机构，天威诚信采用了国际上先进的、商业化的运作模式，从而使用户可以顺利地与国际接轨。并且，将服务收费与客户赔付机制结合起来，以商业利益关系为根底建立高公信度，将用户承当的风险降到最低，其可信性、公正性更容易得到大家的认可。同时，公司作为国际著名公司VeriSign在中国大陆地区的首要战略合作伙伴，矢志成为中国CA信任服务市场的开拓者，建立起中国的信任网络China Trust Network，CTN，并同VeriSign信任网络(VeriSign Trust Network，VTN)结合，形成全球信任网络Global Trust Network，

34、GTN。设立伊始，天威诚信iTruschina就借鉴国外先进、科学的管理模式，在投资自主的根底上，市场运作灵活，可更好地满足各种用户的需求，从而使用户以最适宜的投入，获取最优质的服务。目前，公司的业务服务X围涉与证券、银行、保险、税务、邮政、政府、教育、企业、电子商务、IDC和ISP等行业领域以与需求网络电子业务的个人。5.1 技术优势天威诚信从VeriSign引进技术，技术体系符合国际规X，更容易与国际接轨，有利于在全球统一的CA认证体系中占有一席之地。同时，VeriSign的技术是通过实践证明的、成熟的技术，采用VeriSign技术建设的平台具有高可靠性、先进性和高扩展性等优势。5.2 品

35、牌优势天威诚信在引进先进技术的同时，依据国情进展改造后建立的PKI/CA认证系统，是一个具有国际领先水平，并拥有自主加密核心技术的公钥根底设施平台。天威诚信提供CTN体系服务，建立了中国的信任网络，具有自主的品牌和享有自主知识产权。5.3 政策优势天威诚信是经信息产业部批准的第一家开展商业PKI/CA试点工作的企业，公司产品和服务是通过国家有关部门认证，获得了安全行业相关资质的。其次，天威诚信在开展自身业务的同时，也积极向国家提出了有关商业PKI/CA建设方面的意见和建议，并帮助国家有关部门建立了PKI/CA行业标准和运营管理规X。另外，天威诚信还作为唯一一家从事商业性PKI/CA服务的企业代

36、表，被国务院法制办邀请，参加我国电子签名法的研讨工作，并为我国电子签名法提出了很多宝贵的建议和意见。安全行业资质天威诚信获得的安全行业资质认证包括：信息产业部批准的第一家商业性PKI/CA认证服务的企业；国家密码管理委员会批准立项研究中国可信服务网络CTN，命名为“SQR10商业性PKI/CA电子证书认证系统，已经通过了安审，并纳入国家商用密码管理；获得公安部计算机信息系统安全专用产品销售许可证；通过了国家信息安全测评认证中心的认证；国家批准的电信与信息服务业务经营企业；中国证券业协会信息技术应用委员会观察员；中国信息产业商会信息安全分会副理事长会员；中国互联网协会网络与安全工作委员会常务委员；中国PKI协会筹备组成员；中国电子商务协会会员。19 / 19