如何从服务看电子认证(ppt 22页).ppt

本资料来源 可信规范的运营随需应变的服务 从服务看电子认证 林雪焰北京数字证书认证中心 背景 中华人民共和国电子签名法 第十六条 电子签名需要第三方认证的 由依法设立的电子认证服务提供者提供认证服务 电子认证服务管理办法 本办法所称电子认证服务 是指为电子签名相关各方提供真实性 可靠性验证的公众服务活动 迈过资质门槛的CA 面临的问题是如何成功拓展电子认证服务 电子认证服务的 拼图 资金 人员 物理场地 CPS 审计 鉴证服务 CA认证中心系统 密码资质 风险与责任管理 应用模式 客户服务 系统安全 投资回报 业务持续性 应用拓展 客户培训 业务咨询 获得电子认证服务资质 依法开展电子认证服务 鉴证服务电子认证服务的支撑 开展电子认证服务的重要拼图 业务可持续性具有高可靠性 高可用性 能够有效应对危机的电子认证服务 投资回报给用户带来切实的投资回报 风险与责任管理承担相应的责任 降低用户风险 鉴证服务 第二十条电子签名人向电子认证服务提供者申请电子签名认证证书 应当提供真实 完整和准确的信息 电子认证服务提供者收到电子签名认证证书申请后 应当对申请人的身份进行查验 并对有关材料进行审查 第二十二条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整 准确 并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项 电子签名法 和 电子认证服务管理办法 对电子认证服务提供者提出了严格身份认证要求 鉴证是电子认证服务机构的核心功能之一 只有可靠的鉴证服务 才能构建起可信的电子认证服务 可靠的鉴证模式 1 2 3 4 针对不同的业务 设计不同的鉴证模式 以及相应的流程和方法 CA中心需要严格执行鉴证流程和方法 税务 技监 招投标 银行 政府 易货贸易 游戏 案例 医疗认证服务与鉴证 创建新型的社区卫生服务的应用需求通过信息化网络建设搭建社区卫生服务信息平台 对社区卫生服务工作进行网格化管理并做到全方位和全人群覆盖 所有医疗数据全部实现电子化 网络化的管理 由于医患双方间医疗纠纷的普遍性 因此需要为社区卫生平台建立有效的身份鉴证及责任认定机制 确保在事后出现医疗纠纷时能够追踪与取证 界定责任 电子认证服务解决方案为社区医生颁发数字证书针对医疗数据需要严格电子签名 对电子病历 电子处方等关键业务数据的处理 要对操作人采取可视数字签名处理 以准确追踪 定位原始行为人严格的鉴证流程 使证书及签名发挥责任认定的作用 业务可持续性 第二十二条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整 准确 并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项 第二十四条电子认证服务提供者应当妥善保存与认证相关的信息 信息保存期限至少为电子签名认证证书失效后五年 电子签名法 和 电子认证服务管理办法 对电子认证服务提供者提出了持续服务要求 对业务暂停和承接作出了严格的规定 电子签名活动 要求认证服务的可持续性证书认证体系建立后 需要长期持续稳定服务证书发放后 在证书的整个生命周期 CA中心需要提供证书验证和查询等认证服务证书信息需要长期保存CA中心的在CPS中对客户作出了可持续服务承诺 业务可持续性的建设 目标 具有高可靠性 高可用性 能够有效应对危机的电子认证服务 通过分析电子认证服务的业务体系 CA中心的风险来自人员 物理环境 系统 密钥等方面 因此业务可持续性建设应包括 安全风险评估可信的人员安全的物理环境系统可靠性设计系统的安全防护密钥 设备管理文档资料管理应急处理预案CPS符合行审查 案例 网上报税业务与业务持续性 网上报税缴税的应用需求 财税库行横向联网系统 通过数据共享和税票信息的电子化 使纳税人在纳税申报 缴纳税款等各个环节突破时间和空间的限制 实现网上实时缴税 需要严格的身份认证和责任认定要求不间断服务解决方案 电子认证服务解决方案全面的基于数字证书的应用安全服务 保障了网上申报实时缴税的安全 实现无纸化报税 应用对电子认证服务业务持续性的高要求 风险与责任管理 电子认证服务提供者依照 电子认证业务规则 承担相应的责任为用户提供全面的安全支撑 用电子认证服务加强用户的安全 降低用户的风险 第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失 电子认证服务提供者不能证明自己无过错的 承担赔偿责任 电子签名法 和 电子认证服务管理办法 对电子认证服务提供者提出了承担赔偿责任的要求 案例 网上银行业务与风险管理 网上银行业务的安全需求网银系统通过证书实现了用户的身份认证 信息传输的保密和完整 交易行为的不可抵赖 但由于银行的业务流程的复杂 风险可能不是直接来自证书被攻破 电子认证服务解决方案不仅仅局限于证书 而是将证书放到整个网银的业务流程中 分析网银业务的风险针对业务流程中假冒 复制 截留 责任认定 非授权操作等风险 提出解决方案使证书真正成为全面安全解决方案 投资回报 第三方认证服务不是强制性电子认证服务需要给客户带来业务的差异性 带来切实的投资回报投资回报是客户选择认证服务的基础 有时是唯一的决策因数 第三条民事活动中的合同或者其他文件 单证等文书 当事人可以约定使用或者不使用电子签名 数据电文 当事人约定使用电子签名 数据电文的文书 不得仅因为其采用电子签名 数据电文的形式而否定其法律效力 第十六条电子签名需要第三方认证的 由依法设立的电子认证服务提供者提供认证服务 电子签名法 和 电子认证服务管理办法 对电子签名采用当事人意思自治原则 案例 网上审批业务与投资回报 无纸化网上审批的应用需求可销售汽车审批 主要审批依据是由依据环保监测机构所出具的汽车尾气检测报告书 为防止汽车企业私自修改检测数据 要求汽车企业手工扫描上百页检测报告书的内容 通过网络方式上传到市环保局 打印出来后作为复印件存档 电子认证服务解决方案通过引入基于数字证书的电子签章机制 优化了网上审批流程 既保证了检测书来源的可信性及文件内容的完整性 又避免了用户繁琐手工操作 真正提高了办事效率 为审批机构和送审单位都带来了投资回报 成功电子认证服务的基础 可信规范的运营 随需应变的解决方案 全面的证书应用产品 成功的电子认证服务 可信规范的运营是成功的电子认证服务的基础 身份认证与授权管理WEB信息安全系统BJCASecX统一认证管理系统UAMS单点登录系统BJCASSO责任认定电子签章系统DocSign可信环境桌面安全系统PCGuarder 全面的证书应用产品 可信规范的运营 随需应变的解决方案 全面的证书应用产品 成功的电子认证服务 围绕网络信任体系的建设 BJCA开发了大量自有知识产权的应用安全产品 随需应变的解决方案 可信规范的运营 随需应变的解决方案 全面的证书应用产品 成功的电子认证服务 通用PKI解决方案安全电子邮件文档电子签章SSL与Web安全管理统