《电子政务电子认证服务业务规则规范》核心考点总览
《电子政务电子认证服务业务规则规范》核心考点总览
GM/Z 0001 密码术语
GM/T 0015 基于SM2密码算法的数字证书格式规范
GM/T 0016 智能密码钥匙密码应用接口规范
GM/T 0017 智能密码钥匙密码应用接口数据格式规范
GM/T 0018 密码设备应用接口规范
GM/T 0019 通用密码服务接口规范
GM/T 0020 证书应用综合服务接口规范
GM/T 0028 密码模块安全技术要求
GM/T 0034 基于SM2密码算法的证书认证系统密码及其相关安全技术规范
GM/T 0054 信息系统密码应用基本要求
一、 基础概念与框架(第1-4章)
核心考点: 规范的范围、引用标准、关键术语和整体管理框架。
| 核心知识点 | 关键要求与说明 |
|---|---|
| 规范范围 | 适用于所有提供电子政务电子认证服务的机构(CA),用于指导其服务体系建设、运营,并为国家密码管理部门的评估和监管提供依据。 |
| 核心术语 | 必须熟练掌握: • PKI (公钥基础设施):提供安全服务的基础设施。 • 数字证书 (Digital Certificate):CA签名的包含公钥等信息的数据结构,格式需符合 GM/T 0015。 • CA (认证机构) & RA (注册机构):CA负责全生命周期管理,RA负责业务受理。 • 证书撤销列表 (CRL) & 在线状态协议 (OCSP):两种证书状态查询方式。 • SM2算法:我国商用密码算法,密钥长度256比特。 |
| 业务规则(CPS)管理 | • 必须成立专门的CPS管理机构。 • CPS必须向国家密码管理局备案,并在服务范围内公开发布。 • 必须提供明确的联系方式(地址、网站、电话、邮箱等)。 |
二、 业务要求与操作规范(第6-7章)-- 考核重点
核心考点: 数字证书全生命周期的管理、服务流程、技术实现和时限要求。
1. 数字证书服务
| 生命周期环节 | 核心知识点与关键要求 |
|---|---|
| 证书类型 | • 机构证书:代表单位、部门。 • 个人极速:代表工作人员或公众个人。 • 设备证书:代表服务器、VPN设备等。 • 格式标准:必须符合 GM/T 0015。 |
| 身份鉴别 | • 组织机构:验证其合法存在,确认申请获得授权。 • 个人:验证身份真实合法,确认极速获得授权。 • 政府部门个人:额外确认用户与部门一致性及聘用关系。 • 鉴别材料:必须具备不可篡改和抗抵赖性。 |
| 证书申请与处理 | • 处理时限:从接收到申请到做出决定,最长响应时间不超过2个工作日。 • 拒绝通知:如拒绝申请,应在2个工作日内通知申请者并说明原因。 |
| 证书签发 | • 密钥生成:签名私钥必须在用户端密码设备(如USBKey)或符合 GM/T 0028 的密码模块中生成。 • 证书发布:除非用户明确拒绝,CA应将证书信息发布到目录系统。 |
| 证书撤销 | • 撤销条件:包括岗位变动、私钥泄露、司法要求等9种情形。 • 处理时限:从接到请求到发布到CRL,最长滞后时间不得超过24小时。 • CRL发布:发布频率最长时间间隔不得超过极速24小时。 • 状态查询:必须提供7x24小时的OCSP在线证书状态查询服务。 • CRL备份:备份间隔不超过24小时,保存期不少于证书失效后10年。 |
| 密钥管理 | • 签名密钥对:由用户生成,CA不备份。 • 加密密钥对:由国家密钥管理基础设施统一提供生成、备份和恢复服务。 |
2. 应用集成与信息服务
| 服务类型 | 核心知识点与关键要求 |
|---|---|
| 应用集成 | • 接口标准极速:必须提供符合 GM/T 0020 的证书应用综合服务接口。 • 集成支持:需具备安全需求分析、方案设计、系统集成(B/S, C/S)的能力,并提供组件包和文档。 |
| 信息服务 | • 隐私保护原则: - 最小化收集:仅收集CPS声明的必要信息。 - 授权使用:使用前需得到应用单位许可。 极速 - 限定发布:仅能向相关证书应用单位发布。 - 用户权利:用户有权在证书生命周期内更正其私有信息。 |
3. 使用支持服务
| 服务内容 | 核心知识点与关键要求 |
|---|---|
| 服务方式 | 必须提供座席服务、在线服务(自助、实时通讯、远程协助)、现场服务。 |
| 服务时间 | 至少为5×8小时,应急需求时应能提供7×24小时服务。 |
| 质量保障 | 需建立服务保障体系(知识库、跟踪系统、满意度调查、投诉受理)。 |
三、 安全保障(第6.5、7.5章)-- 考核重中之重
核心考点: 物理安全、人员管理、操作流程、技术控制和业务连续性。
1. 物理与环境安全
• 分区控制:CA中心需分区域(公共区、服务区、管理极速区、核心区)防护,配备门禁、监控、入侵检测。
• 机房屏蔽:屏蔽室至少每五年进行一次检测,效能需达C级水平。
• 供电消防:配备UPS、消防系统,确保7x24小时不间断运行。
2. 人员与操作控制
• 职责分离:系统管理员、安全管理员、审计员等角色必须由不同人员担任。RA的录入和审核员不可兼任。
• 人员审查:对可信角色人员进行背景审查、培训,并签署保密协议。
• 审计日志:必须记录所有关键操作(证书生命周期、系统访问等),日志需防篡改、定期归档。
3. 技术安全控制
• CA密钥生成:必须在通过国家认证的硬件密码设备中,由多名可信人员在安全区域内按规程操作。
• CA私钥保护:必须采用M选N的秘密分割机制(如3/5)进行保护。
• 系统安全:CA生产网络需逻辑隔离,通过防火墙、入侵检测等措施防护。
4. 业务连续与灾难恢复
• 业务可持续性计划极速:必须制定极速并定期检查、更新和演练。
• 归档期限:
- 面向企事业单位、社会公众:证书失效后不低于5年。
- 面向政务部门:证书失效后不低于10年。
• CA终止:拟终止服务前60个工作日需安排业务承接,并提前45个工作日向国家密码管理局报告。
四、 法律责任(第8章)
核心考点: 各方责任、赔偿机制和合规性要求。
| 核心知识点 | 关键要求与说明 |
|---|---|
| 根本依据 | 必须符合《电子签名法》、《网络安全法》、《商用密码管理条例》、《电子政务电子认证服务管理办法》等。 |
| 协议要求 | CA必须与证书用户签署服务协议,明确双方权责。 |
| 赔偿原则 | 过错推定责任:用户因信赖证书遭受损失,若CA不能证明自己无过错,则需承担赔偿责任。 |
| 关键条款 | 费用、财务责任、保密与隐私、担保免责、责任限制与赔偿、争议处理等。 |
五、 附录:《业务规则》参考目录
核心价值: 此附录是认证机构制定自身CPS(认证业务声明)的标准化模板和检查清单。
内容涵盖: 概括性描述、身份鉴别、操作规范、安全保障、法律责任等所有方面。备考时,此目录是检验知识是否覆盖全面的最佳工具。
备考策略与记忆技巧
- 记数字:所有带有时限、比例、年限的数字都是高频考点(24小时、2个工作日、5年、10年、5×8小时、M选N等)。
- 记标准:牢记关键的国家标准编号(GM/T 0015, 0020, 0028, 0034)。
- 理解流程:画流程图理解证书从申请、签发、更新到撤销的全生命周期。
- 抓关键词:注意“应”(必须)、“不得”(禁止)、“宜”(建议)等规范用语的力度。
- 对比记忆:对比面向公众(5年)和面向政务部门(10年)的信息保存期限等差异条款。