1、ICS35.240.01L67DB32江苏省地方标准DB 32/T 3514.72019电子政务外网建设规范第 7 部分:电子认证注册服务机构建设Construction Specifications of E-Government NetworkPart 7: the construction of electronic certification and registration service institutions2019 - 01 - 12 发布2019- 01 - 30 实施江苏省市场监督管理局发 布DB32/T 3514.72019I目次前言.III1范围.12规范性引用文件.
2、13术语和定义.14电子认证注册机构建设指南.34.1总体要求.34.2建设原则.34.2.1规范建设原则.34.2.2安全设计原则.34.2.3分级管理原则.34.2.4规范管理原则.34.3体系结构.44.4建设内容.54.4.1电子认证服务中心.54.4.2电子认证发证中心.94.4.3应用安全支撑中心.95电子认证注册机构建设流程规范.115.1申请及审批步骤.115.1.1明确需求.115.1.2提交建设申请资料.115.1.3审查.115.2建设阶段.115.2.1产品选型.115.2.2明确实施方案.125.3合规性审查.125.3.1LRA 系统合规性审查.125.3.2合规性
3、审查内容.125.3.3开通 LRA 服务.12附录 A(资料性附录)注册服务分中心、注册服务点建设选配指南.13附录 B(规范性附录)LRA 建设申请函样式. 14附录 C(规范性附录)XXX 电子政务外网数字证书中心 LRA 建设申请表.15附录 D(规范性附录)XXX 政务外网产品选型公司名单.16附录 E(规范性附录)LRA 合规性审查申请函样式.17附录 F(资料性附录)LRA 建设流程图.18DB32/T 3514.72019II附录 G(资料性附录)组织机构标准.19DB32/T 3514.72019III前言DB32/T 3514-2018 电子政务外网建设规范分为八个部分:第
4、1部分:网络平台;第2部分:IPv4地址、路由规划;第3部分:IPv4域名规划;第4部分:安全实施指南;第5部分:安全综合管理平台技术要求与接口规范;第6部分:安全接入平台技术要求;第7部分:电子认证注册服务机构建设;第8部分:运维服务。本部分为DB32/T 3514-2018电子政务外网建设规范第7部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位:江苏省人民政府办公厅电子政务办公室本部分起草人:吴中东、李强、朱德宇、李寒、张爱民、熊章远、叶纪华。DB32/T 3514.720191电子政务外网建设规范 第 7 部分
5、:电子认证注册服务机构建设1范围本标准规定了电子政务外网建设电子认证注册服务机构建设术语和定义、 电子认证注册机构建设指南、电子认证注册机构建设流程规范。本标准适用于指导电子政务外网电子认证注册服务机构(注册服务分中心、注册服务点)的规划、建设和管理,也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25056 信息安全技术 证书认证系统密码及其相关安全技术规范国家电子政务外网电子认证注册服务机构建
6、设指南国家电子政务外网注册服务机构(RA)合规性审查指南国家电子政务外网证书认证机构(CA)命名空间规范国家电子政务外网数字证书格式规范国家电子政务外网证书认证机构(CA)系统接口规范3术语和定义下列术语和定义适用于本文件。3.1国家电子政务外网数字证书中心 National E-Government Certificate Authority承担国家电子政务外网电子认证服务工作的机构。3.2电子认证服务 Electronic Authentication Service为电子签名的真实性和可靠性提供证明的活动, 包括签名人身份的真实性认证, 电子签名过程的可靠性认证和数据电文的完整性认证三个
7、部分,涉及数据电文的生成、传递、接收、保存、提取、鉴定各环节,涵盖电子认证专有设备提供、基础设施运营、技术产品研发、系统检测评估、专业队伍建设等各方面,是综合性高技术服务。3.3电子认证服务机构 Certification AuthorityDB32/T 3514.720192作为第三方依托国家电子政务外网网络平台向各级党委、人大、政府、政协、法院和检察院等政务部门开展市场监管、 社会管理和公共服务提供电子签名人身份真实性、 电子签名可靠性和数据电文完整性证明的服务机构。3.4电子签名 Electronic Signature指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其
8、中内容的数据。3.5公钥基础设施 Public Key Infrastructure(PKI)指集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、 具有普适性的安全基础设施。 PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括电子认证服务机构、注册机构、资料库等基本逻辑部件和在线证书状态协议服务等可选服务部件以及所依赖的运行环境。3.6数字证书 Digital Certificate由证书认证机构签发的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。3.7证书撤销列表 Certificate
9、Revocation List(CRL)也称证书黑名单,是CA签发的一系列不再被证书发布者所信任的证书签名列表。3.8在线证书状态查询协议 Online Certificate Status Protocol(OCSP)在线证书状态协议发送一个对于证书状态信息的请求,服务器回复一个“有效”、“过期”或“未知”的响应。3.9移动终端 MobileDevice指在移动业务中使用的,基于互联网进行通信,从电子政务外网安全接入区接入的智能终端设备,包括手机、PAD等通用终端和专用终端设备。3.10互联网接入终端 Internet Access Terminal互联网接入终端指基于互联网进行通信, 从电
10、子政务外网安全接入区接入的移动终端、 PC终端或业务应用主机。3.11DB32/T 3514.720193电子政务移动办公系统 Mobile E-Government System利用移动终端,随时随地通过无线网络、互联网等访问电子政务办公系统,进行网上办公的应用系统。4电子认证注册机构建设指南4.1总体要求按照国家和省对于电子政务外网电子认证基础设施建设的相关要求,基于PKI技术的全省电子政务外网电子认证注册服务分中心(LRA)、注册服务点,为全省各级政务部门工作人员制作、发放和管理各类数字证书。a)各设区市参照国家、省电子认证服务标准和规范,建设注册服务分中心(LRA)及注册服务点,负责本
11、地区证书发放;省各有关部门和单位根据实际需要,可独立建设注册服务分中心(LRA)或注册服务点,也可使用省级注册服务中心(RA)统一发放的证书。b)设区市可建设一个或者多个注册服务分中心(LRA),县(市、区)根据业务需求可以建设所属设区市注册服务分中心的下级注册服务点。c)电子政务外网需使用数字证书的新建应用系统,必须使用省电子政务外网注册服务中心(RA)审核发放的数字证书; 使用其它证书认证系统的原有电子政务外网应用系统, 需逐步过渡到电子政务外网统一的证书认证系统。4.2建设原则4.2.1规范建设原则电子政务外网电子认证注册服务机构建设, 必须按照国家和省有关部门的相关规划和要求, 统一技
12、术路线,统一标准规范,相关技术、标准、协议和接口必须遵循国家的有关规定,建设申请、审核和合规性审查必须遵循建设流程规范。4.2.2安全设计原则电子政务外网电子认证注册服务机构建设, 需根据建设单位自身实际情况, 对物理环境、 网络环境、系统软件、设备管理和密钥管理等方面进行系统风险分析,制定相应的物理安全设计、网络安全设计、系统安全设计、数据安全设计和密钥安全设计等。4.2.3分级管理原则具体要求如下:a) 电子政务外网电子认证注册服务机构建设,按照“谁建设谁运维”原则进行分级运维和管理。b) 省政府办公厅电子政务办公室负责全省电子政务外网证书认证系统的管理工作,包括注册服务分中心及注册服务点
13、建设的报备和合规性审查,省级电子认证注册服务中心(RA)的建设和运行维护,全省电子政务外网用户数字证书业务的审核。c) 设区市政府办公室(厅)负责本地区电子政务外网电子认证注册服务分中心(LRA)及注册服务点的建设和运行维护,以及本地区政务外网用户数字证书的发放和维护服务工作。d) 省有关部门根据业务需求建设电子政务外网电子认证注册服务分中心(LRA)及注册服务点。4.2.4规范管理原则DB32/T 3514.720194电子政务外网电子认证注册服务机构建设,需建立主要领导负责制,从机构、制度、人员、运行维护、资金保障等方面实现全面、有效、规范管理。4.3体系结构省级电子政务外网电子认证注册服
14、务中心按照国家电子政务外网CA体系架构建设。 国家电子政务外网认证体系架构共分成CA中心、RA中心、LRA节点三个层次,形成“国家-省-市”三级体系架构。江苏省电子政务外网基于国家电子政务外网CA体系架构,规划“国家-省-市-县”四级体系,涵盖省内设区市和县(市、区)。详见图1。a)CA 中心:国家政务外网 CA 中心主要提供 CA 系统的核心服务,负责签发和管理证书。国家电子政务外网离线根 CA 与政务外网 CA 系统共同构建完整的国家电子政务外网信任体系源点;b)RA 中心:是设在省的 RA 节点,负责全省范围内各类数字证书的申请、更新、作废等管理,提供基于数字证书的安全支撑服务;c)LR
15、A 节点:LRA 是 RA 系统的下级节点,可为本区域人员提供最终用户证书管理服务,负责接收本管辖范围内各种数字证书的请求,并向 RA 系统提出请求,由 RA 系统节点和 CA 系统完成交互,完成证书申请、证书更新、证书作废等请求;d)注册服务点:注册服务点可接入省级 RA 或设区市 LRA 系统,可为县(市、区)提供基础的数字证书本地管理和服务。DB32/T 3514.720195图 1体系结构图4.4建设内容4.4.1电子认证服务中心4.4.1.1LRA 系统LRA系统为用户提供数字证书基本信息的管理和维护。系统需具备如下功能:a)系统支持直接接入省电子政务外网 RA 系统;b)使用 GB
16、/T 25056 中的安全通信标准与省政务外网 RA 系统进行安全通信;c)提供基本的证书信息管理服务,包括:证书注册;证书签发;DB32/T 3514.720196证书更新;证书冻结/解冻;证书重发;证书废除。d)提供基本的证书辅助管理功能包括查询/统计/归档等;e)对外提供服务接口,供第三方进行应用开发。4.4.1.2注册服务点系统注册服务点系统为用户提供数字证书基本信息的管理和维护。系统需具备如下功能:a)系统支持直接接入省级 RA 或设区市 LRA 系统;b)使用 GB/T 25056 中的安全通信标准与省级 RA 或设区市 LRA 系统进行安全通信;c)提供基本的证书信息管理服务,包
17、括:证书注册;证书签发;证书更新;证书冻结/解冻;证书重发;证书废除。d)提供基本的证书辅助管理功能包括查询/统计/归档等。4.4.1.3服务器密码机服务器密码机为LRA系统中信息及传输数据提供基于密码技术的保护。系统具备如下功能:a)支持数据加密、解密;b)支持 MAC 的产生、验证;c)支持 SM3、SHA256 等散列函数;d)支持 RSA2048 和 SM2 非对称算法;e)具备热备份、负载均衡;f)具备国家密码管理局颁发的商用密码产品型号证书。4.4.1.4目录服务4.4.1.4.1系统结构要求如下:a)省电子政务外网RA注册服务中心以国家电子政务外网CA中心的主目录为证书发布载体。
18、省级目录体系结构为三层体系机构,分别为:国家电子政务外网主/从目录服务、省电子政务外网从目录服务和设区市电子政务外网目录服务。详见图2。DB32/T 3514.720197图 2CA 目录体系结构b)通过目录的复制机制,实现不同层次的目录服务之间数据共享。所有设区市目录服务所需进行的目录查询操作均在本节点目录服务实现, 各设区市应用如需查询非本节点内的证书信息, 则通过查询江苏省电子政务外网固定从目录服务实现。c)为提高目录体系互联互通的可靠性,政务外网运行CA采用统一的目录服务系统,各注册服务中心应采用与政务CA相同产品。4.4.1.4.2目录命名空间目录命名空间可以理解为目录树结构。目录的
19、命名空间,取决于证书的命名规范,并影响目录的部署方式。江苏省电子政务外网目录命名空间和目录树结构符合国家电子政务外网证书认证机构(CA)命名空间规范。其证书主题规则如下:a)桌面端个人用户证书证书类型:SM2 双证书主题规则:CN=姓名,G=姓名全拼,OU=机构编码+姓名全拼+重名区分码,O=江苏省政府,S=江苏省,C=CNb)移动端个人用户证书证书类型:RSA2048 单证书主题规则:CN=姓名,G=姓名全拼,OU=机构编码+姓名全拼+重名区分码,OU=mobile,O=江苏省政府,S=江苏省,C=CNc)机构证书证书类型:根据实际需求主题规则:CN=机构名称,G=统一社会信用代码或机构代码
20、,O=机构区分码,O=江苏省政府,S=江苏省,C=CN主题规则字段说明如下表:DB32/T 3514.720198表 1主题规则字段说明主题规则字段说明CN=姓名用中文表示,手动输入G=姓名全拼姓名全拼,使用算法实现OU=机构编码+姓名全拼+重名区分码唯一标识字段,用算法实现,重名区分码检测机构编码和姓名全拼的组合字段,从 0 开始,依次累加。OU=mobile用来区分桌面和移动用户CN=机构名称机构名称使用中文表示O=机构区分码机构证书机构区分码从 01 开始,依次累加,02、03,非必填。G=统一社会信用代码或机构代码18 位的阿拉伯数字或大写英文字母。如果还没有,也可暂用组织机构代码O=
21、江苏省政府,S=江苏省,C=CN证书 Base DN4.4.1.4.3目录服务系统设区市目录服务系统(LDAP)采用主从目录结构设计,作为从目录服务负责同步主目录服务信息,并存储证书及发布CRL列表信息。系统具备如下功能:a)与国家和省电子政务外网目录服务系统体系一致,支持与省目录服务系统进行主从同步;b)支持用户证书信息发布,支持证书撤销列表 CRL 在线查询服务;c)支持一主多从模式,子树、级联方式;d)支持 LDAP V2、V3 标准、SSL 协议,并兼容 MD5、SMD5、SHA256、SSHA1 等算法;e)支持标准的 LDIF 格式;f)支持 SSL/TLS/StartTLS 标准
22、;g)支持基于目录树、基于某个分支的复制;h)目录命名空间和目录树结构符合国家电子政务外网证书认证机构(CA)命名空间规范;i)具备国家密码管理局颁发的商用密码产品型号证书。4.4.1.5在线证书状态查询系统(OCSP)在线证书状态查询系统主要为业务系统提供实时的在线证书状态查询服务。系统具备功能如下:a)证书状态查询功能:在线接受证书状态查询请求,完成证书状态查询操作,将证书状态信息封装在 OCSP 响应中签发给用户;b)支持多种查询方式:支持从 CA 查询证书状态,也支持从 LDAP 服务器查询证书状态;c)支持多种数字证书:支持个人证书、机构证书、设备证书、无线证书(遵循 WPKI 规范
23、)等各类数字证书;d)采用标准的 OCSP 协议,支持第三方的 OCSP 客户端应用;e)通讯协议支持 HTTP1.1 和 CMP。4.4.1.6证书在线服务系统证书在线服务系统主要为用户提供在线申请办理数字证书的新办、延期、补办、解锁等各项业务。系统具备如下功能:a)与 LRA 系统对接:支持省电子政务外网 RA 中心证书信任链,与国家电子政务外网管理中心电子政务外网 CA 中心及省电子政务外网 RA 中心保持版本实时同步;DB32/T 3514.720199b)为用户提供自助式的在线证书更新、延期等基础的证书服务功能;c)为管理员提供系统管理和参数配置功能,对证书更新有效期、快过期时限等进
24、行设置;d)支持用户属性变更更新,支持当用户个人信息发生变化时进行数字证书更新;e)提供数字证书载体运行环境自检测功能, 提供运行环境自修复功能, 提供修复组件下载服务 (检测环境包括硬件、浏览器、证书链、驱动、控件等);f)提供用户自助数字证书载体解锁服务, 包括数字证书载体解锁申请, 支持结合邮箱或短信为用户发放数字证书载体解锁随机验证码。4.4.1.7USB KeyUSB Key是数字证书的载体,具体要求如下:a)产品必须采用国家电子政务外网电子认证注册服务机构建设指南中“经过测试符合政务外网要求的证书存储介质型号”;b)设备支持标准 USB1.1、USB2.0 接口;c)设备支持电子政
25、务外网数字证书存储;d)设备内置算法:DES/3DES/RSA2048/SM2/SM3/SM4 以及国产分组算法等;e)符合国家密码管理局智能 IC 卡及智能密码钥匙密码应用接口规范;f)具备国家密码管理局颁发的商用密码产品型号证书。4.4.2电子认证发证中心4.4.2.1办公设备需要配置的办公设备,包括:电脑(用于制证及LRA系统管理)、标签打印机、扫描仪、复印机、办公桌/办公椅、铁皮柜(用于存放客户资料,存储介质等)、保密柜(存放保密物品,如:未被用户领走的存有私钥的介质)。4.4.2.2办公场地根据以上办公物品存放面积、人员工位大小及受理接待区,建议使用面积不少于40平方米。场地装修和安
26、全防护建设应能满足电子认证发证中心工作和安防的要求。4.4.2.3机房机房内配置一至两个标准机柜,用于安装外网电子认证注册服务分中心、注册服务点的相关设备。4.4.2.4人员配置建议配置不少于2位工作人员,职责包括用户接待、资料录入、资料审核、制作证书、原材料出入库、证书出入库、对证书、原材料进行汇总统计管理、产品的派送、原材料采购、制证档案资料管理等。其中,资料录入与资料审核需两人分别办理,其他可兼职进行。4.4.2.5人员培训要求如下:a)LRA 运维培训, 由国家电子政务外网数字证书中心或江苏省电子政务外网注册服务中心统一组织安排。b)LRA 技术培训和使用培训,由 LRA 产品提供商负
27、责。4.4.3应用安全支撑中心DB32/T 3514.72019104.4.3.1安全认证网关安全认证网关主要为用户提供支持数字证书的身份认证、 访问控制和链路加密功能。 系统具备如下功能:a)产品必须为国家电子政务外网电子认证注册服务机构建设指南中“通过测试的安全认证网关产品”;b)支持 RSA、SHA1、MD2、MD5 等算法;c)支持 SM2、SM3、SM4 国密算法;d)支持符合 X.509v3 格式的数字证书的身份认证功能;e)支持基于 LDAP 黑名单、白名单的访问控制功能;f)支持链路加密功能,支持创建多个链路加密服务,保护不同的应用服务,也可支持通过客户端建立加密链路,保护多个
28、应用服务;g)支持单双向认证选择功能,产品可以设置是否需要用户提交用户证书;h)支持多证书链功能:一个加密服务中可同时配置多条证书链,验证不同 CA 的用户证书;i)支持 RSA 和 SM2 数字证书的同时使用;j)支持双机热备和负载均衡功能,具备高可靠性;k)具备国家密码管理局颁发的商用密码产品型号证书。4.4.3.2签名验证服务器签名验签服务器主要为外网应用提供签名/验证签名等密码接口服务。系统具备如下功能:a)产品必须为国家电子政务外网电子认证注册服务机构建设指南中“通过测试的签名验证服务器产品”;b)支持普通格式/P7 attach/P7 detach 等多种格式的数字签名、数字签名验
29、证功能;c)支持对文件提供数字签名、数字签名验证功能;d)支持黑名单/OCSP 等多种方式的证书有效性验证,支持自动更新黑名单、动态更新;e)支持 SM2、SM3、SM4 国密算法,支持 RSA、SM2 数字证书;f)支持多条证书链,验证不同 CA 的用户证书;g)支持证书解析功能,获取证书中的任意主题信息以及扩展项信息;h)支持系统将日志以 SYSLOG 的方式发送到指定服务器;i)支持多种开发接口支持,客户端提供 C 开发 API,COM 方式 API,Java 开发 API;j)支持双机热备功能;k)具备国家密码管理局颁发的商用密码产品型号证书。4.4.3.3移动证书服务系统移动证书服务
30、系统主要与LRA系统对接,为移动终端提供数字证书注册、下载、更新、延期等业务。移动证书服务系统需要与安全接入网关进行配合,保证移动终端用户身份的可信。系统具备如下功能:a)与 LRA 系统进行对接,提供移动终端证书管理功能,包括证书申请、下载、废除等服务;b)支持为移动终端提供安全中间件(SDK 开发包);c)支持 Android 系统的 Java 开发接口;d)支持数字证书的申请、更新、延期等在线服务;e)支持 TF 卡、SIM 卡、文件型等各类数字证书形态;f)支持数字证书和移动设备绑定功能, 证书和移动设备分离后, 该证书在其它设备中将无法使用。4.4.3.4安全接入网关DB32/T 3
31、514.7201911安全接入网关主要为移动终端提供安全接入网络的基于数字证书的身份认证、 访问控制和数据传输加密等功能。系统具备如下功能:a)产品必须为国家电子政务外网电子认证注册服务机构建设指南中“通过测试的安全认证网关产品”;b)支持国密非对称算法 SM2 和 RSA 算法;c)支持移动终端(Android、IOS 等主流操作系统)用户基于数字证书的应用系统访问身份认证,移动终端支持文件数字证书和 TF 卡形式数字证书;d)支持基于 X.509v3 标准证书的高强度身份认证,同时支持多种认证协议,支持单、双向认证选择功能;e)支持动态黑名单功能,系统可以自动更新黑名单、动态更新;f)支持
32、多证书链功能,一个安全服务中可同时配置多条证书链,验证不同 CA 的用户证书;g)支持应用重定向功能;h)支持通过 cookie 将证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息;i)支持信息统计功能,系统能够对用户连接数、应用访问情况、系统资源占用等信息进行统计;j)支持双机热备功能,系统具备高可靠性;k)设备具备国家密码管理局颁发的商用密码产品型号证书。5电子认证注册机构建设流程规范5.1申请及审批步骤5.1.1明确需求拟申请建设外网LRA的单位与江苏省人民政府办公厅电子政务办公室(以下简称“电子政务办”)进行接洽,了解建设规模、基本费用等情况,并就技术实现是否
33、无障碍等方面进行交流。由电子政务办向申请单位提供有关电子认证注册服务机构建设资料,包括建设规范与建设指南等方面内容。5.1.2提交建设申请资料申请单位向电子政务办递交外网LRA建设申请函(见附录B),并填写申请表格,说明使用目的、经费落实、预计发证数量、使用范围等情况(见附录C),同时提供外网建设主管部门同意建设的书面材料。5.1.3审查电子政务办按照审查流程审查申请函、 申请表格及相关资料, 在申请表格填写同意建设或不同意建设的意见。对于同意的,在10个工作日内向申请单位回复签署过的申请表格原件以及同意建设回复函,申请单位即可开展有关建设工作。对于不同意的,在10个工作日内向申请单位说明不同
34、意的原因,申请单位对申报材料做相应修改后重新进行申报。5.2建设阶段5.2.1产品选型LRA建设单位在电子政务办指定的产品名单范围内(见附录D)进行产品选型,并将所选承建商及产品告之电子政务办,以便开始建设协作。DB32/T 3514.72019125.2.2明确实施方案由LRA承建商根据国家电子政务外网电子认证注册服务机构建设指南编写电子政务外网数字证书中心LRA建设方案,该方案经LRA建设申请单位向电子政务办提交,并经电子政务办审核批准后(审批依据:国家电子政务外网证书认证机构(CA)命名空间规范、国家电子政务外网电子认证注册服务机构建设指南、 国家电子政务外网数字证书格式规范、 国家电子
35、政务外网证书认证机构(CA)系统接口规范),由电子政务办向LRA建设申请单位发出方案审核修改意见电子邮件,最后由LRA承建商根据修改后方案的具体内容实施LRA建设。电子政务办根据建设方案内容,为在建LRA开通测试帐号和临时服务端口。5.3合规性审查5.3.1LRA 系统合规性审查LRA系统建设完成后,由申请建设单位向电子政务办提交LRA合规性审查申请(见附录E),电子政务办接到申请后10个工作日内组织相关人员按照统一的合规性审查流程进行现场合规性审查。5.3.2合规性审查内容通过下述内容合规性审查后, 电子政务办向LRA建设单位出具LRA建设合规性审查通过报告。未通过审查的,按照审查意见修改后
36、重新进行现场合规性审查。内容要求如下:a)LRA 建设过程文档,内容包括 LRA 建设方案、验收单、测试报告、机房人员管理制度等;b)根据 LRA 建设方案审查软硬件系统设备;c)根据国家电子政务外网注册服务机构(RA)合规性审查指南,对 LRA 环境、功能进行审查。5.3.3开通 LRA 服务LRA提交管理员证书申请表和网络配置信息,外网RA取消测试帐号和临时服务端口,发放LRA管理员证书,正式开通LRA服务。DB32/T 3514.7201913AA附录A(资料性附录)注册服务分中心、注册服务点建设选配指南表 A.1 注册服务分中心、注册服务点建设选配指南建设内容注册服务分中心注册服务点电
37、子认证服务中心LRA系统-注册服务点系统-服务器密码机-目录服务系统证书在线服务系统在线证书状态查询系统USB Key电子认证发证中心办公设备办公场地机房人员配置应用安全支撑中心安全认证网关签名验证服务器移动证书服务系统安全接入网关注: 必须建设部分;建议建设部分;选择建设部分DB32/T 3514.7201914BB附录B(规范性附录)LRA 建设申请函样式XXX信息中心关于申请依托国家电子政务外网数字证书中心建设XXX政务外网LRA系统的函江苏省人民政府办公厅电子政务办公室:根据国家密码管理局电子政务电子认证体系建设总体规划(国密局联20072号)的要求,XXX电子政务外网需要在国家电子政
38、务外网CA的基础上建设XX LRA系统,实现以数字证书认证服务为核心的XXX电子政务外网信任体系。经研究,我单位拟申请依托江苏省人民政府办公厅电子政务办公室负责的省电子政务外网RA建设XXX政务外网LRA系统,为运行在XXX电子政务外网上的市直各部门电子政务业务系统提供安全、方便的数字证书认证服务。特此报告年月日(单位盖章)DB32/T 3514.7201915CC附录C(规范性附录)XXX 电子政务外网数字证书中心 LRA 建设申请表表 C.1 XXX 电子政务外网数字证书中心 LRA 建设申请表单位名称(单位盖章)单位地址联系人电子邮箱电话传真通讯地址邮编建设目标发证量使用范围经费预算经费
39、落实情况计划投入使用时间申请人(签字)申请人部门领导(签字)日期受理意见(单位盖章)受理经办人(签名)日期:受理负责人(签名)日期:DB32/T 3514.7201916DD附录D(规范性附录)XXX 政务外网产品选型公司名单D.1LRA产品上海格尔软件股份有限公司、吉大正元信息技术股份有限公司D.2目录服务系统天津南大通用数据技术有限公司DB32/T 3514.7201917EE附录E(规范性附录)LRA 合规性审查申请函样式XXX信息中心关于XX LRA系统合规性审查的申请江苏省人民政府办公厅电子政务办公室:我单位经国家电子政务外网管理中心电子认证办公室同意后, 按照 国家电子政务外网注册
40、服务机构(RA)建设指南建设标准,经过认真筹备,现已完成XXX电子政务外网LRA系统项目建设。同时,按照国家电子政务外网注册服务机构(RA)建设指南 的要求部署了办公场所和相关办公设备, 工作人员均已到位,特邀请认证办派验收人员对XX LRA系统进行合规性审查。特此申请年月日(单位盖章)DB32/T 3514.7201918FF附录F(资料性附录)LRA 建设流程图图 F.1 LRA 建设流程图DB32/T 3514.7201919GG附录G(资料性附录)组织机构标准G.1组织机构结构树一级目录(6位:320000江苏省)二级目录(一级部门,加1位:省+17,设区市在市地区编码+0)三级目录(
41、二级部门,加2位,00为领导)四级目录(三级部门,加2位,00为领导)G.2组织机构示意图组织机构编码共13位,定义如下:图G.1组织机构编码示意图G.3组织机构示例320000江苏省3200001 江苏省委320000100江苏省委领导320000101江苏省委办公厅3200001100江苏省委办公厅领导3200001101.(江苏省委办公厅部门)DB32/T 3514.720192032000012江苏省委组织部3200001200江苏省委组织部领导3200001201(江苏省委组织部部门)3200001202.32000013江苏省委宣传部32000014江苏省委政法委32000015江
42、苏省委统战部32000016江苏省委研究室32000017江苏省台办32000018江苏省编办32000019江苏省级机关工委32000020江苏省委610办公室32000021江苏省委老干部局32000022江苏省委党史工办32000023江苏省委党校32000024团江苏省委32000025江苏省保密局32000026江苏省委农工办32000027江苏省委巡视工作组32000028民革江苏省委32000029民盟江苏省委32000030民建江苏省委32000031民进江苏省委32000032农工党江苏省委32000033致公党江苏省委32000033九三学社江苏省委.(江苏省委部门)320
43、0002 江苏省人大320000200江苏省人大领导DB32/T 3514.7201921320000201江苏省人大办公厅.3200003 江苏省政府320000300江苏省政府领导320000301江苏省政府办公厅320000302江苏省发展改革委320000303江苏省经济和信息化委320000304江苏省教育厅320000305江苏省科技厅320000306江苏省公安厅320000307江苏省安全厅320000308江苏省监察厅320000309江苏省民政厅.3200004 江苏省政协320000400江苏省政协领导320000401江苏省政协办公厅.3200005 江苏省高级人民法院
44、3200006 江苏省检察院3200007 江苏省军区.3201000 南京市3201001 南京市委320100100南京市委领导320100101南京市委办公厅.3201002 南京市人大320100200南京市人大领导DB32/T 3514.7201922320100201南京市人大办公厅.3201003 南京市政府320100300南京市政府领导320100301南京市政府办公厅32010030100 南京市政府办公厅领导32010030101 .320100302南京市发展和改革委员会32010030200 南京市发展和改革委员会领导32010030201 南京市发展和改革委员会办公
45、室32010030202 .(南京市发展和改革委员会下属部门和机构)320100303南京市经济和信息化委员会320100304南京市城乡建设委员会320100305南京市科学技术委员会320100306南京市教育局320100307南京市公安局320100308南京市监察局320100309南京市民政局320100310南京市司法局320100311南京市财政局320100312南京市人力资源和社会保障局320100313南京市国土资源局320100314南京市环境保护局320100315南京市审计局320100316南京市统计局320100317南京市物价局320100318南京市工商行政
46、管理局320100319南京市质量技术监督局320100320南京市食品药品监督管理局DB32/T 3514.7201923320100321南京市安全生产监督管理局320100322南京市金融发展办公室320100323南京市规划局320100324南京市城市管理局320100325南京市住房保障和房产局320100326南京市绿化园林局320100327南京市交通运输局320100328南京市农业委员会320100329南京市水务局320100330南京市商务局320100331南京市旅游委员会320100332南京市文化广电新闻出版局320100333南京市卫生和计划生育委员会32010
47、0334南京市体育局320100335南京市民族宗教事务局320100336南京市人民防空办公室320100337南京市政府侨务办公室320100338南京市政府外事办公室320100339南京市政府法制办公室320100340南京市机关事务管理局320100341南京市政府国有资产监督管理委员会.3201004 南京市政协3201005 南京市中级人民法院320100500南京市中级人民法院领导320100501南京市中级人民法院办公室.3201006 南京市检察院320100600南京市检察院领导DB32/T 3514.7201924320100601南京市检察院办公室.3201010 南
48、京市市辖区3201020 南京市玄武区3201021 南京市玄武区党委320102100南京市玄武区党委领导320102101南京市玄武区党委办公室.3201022 南京市玄武区人大320102100南京市玄武区人大领导320102101南京市玄武区人大办公室.3201023 南京市玄武区政府320102100南京市玄武区政府领导320102101南京市玄武区政府办公室.3201024 南京市玄武区政协3201025 南京市玄武区人民法院3201026 南京市玄武区检察院.3201040 南京市秦淮区3201050 南京市建邺区3201060 南京市鼓楼区3201110 南京市浦口区32011
49、30 南京市栖霞区3201140 南京市雨花台区3201150 南京市江宁区3201160 南京市六合区DB32/T 3514.72019253201170 南京市溧水区3201180 南京市高淳区3202000 无锡市3202001 无锡市委3202002 无锡市人大3202003 无锡市政府3202004 无锡市政协3202005 无锡市中级人民法院3202006 无锡市检察院.3202010 无锡市市辖区3202050 无锡市锡山区3202060 无锡市惠山区3202110 无锡市滨湖区3202130 无锡市梁溪区3202140 无锡市新吴区3202810 无锡市江阴市3202820 无
50、锡市宜兴市3203000 徐州市3203001 徐州市委3203002 徐州市人大3203003 徐州市政府3203004 徐州市政协3203005 徐州市中级人民法院3203006 徐州市检察院.3203010 徐州市市辖区3203020 徐州市鼓楼区3203030 徐州市云龙区DB32/T 3514.72019263203050 徐州市贾汪区3203110 徐州市泉山区3203120 徐州市铜山区3203210 徐州市丰县3203220 徐州市沛县3203240 徐州市睢宁县3203810 徐州市新沂市3203820 徐州市邳州市3204000 常州市3204001 常州市委3204002
