企业ERP系统安全解决方案

1、重庆市卫计委人口信息中心信息安全PKI/CA体系建设方案 企业ERP系统安全解决方案东方中讯数字证书认证有限公司企业ERP信息系统安全解决方案 东方中讯数字证书认证有限公司目 录 TOC o 1-4 h z u HYPERLINK l _Toc404351017 第1章 方案介绍 PAGEREF _Toc404351017 h 5 HYPERLINK l _Toc404351018 1.1概述 PAGEREF _Toc404351018 h 5 HYPERLINK l _Toc404351019 1.2安全需求分析 PAGEREF _Toc404351019 h 6 HYPERLINK l _

2、Toc404351020 1.3方案建设目标 PAGEREF _Toc404351020 h 7 HYPERLINK l _Toc404351021 第2章 企业PKI/CA体系安全解决方案 PAGEREF _Toc404351021 h 8 HYPERLINK l _Toc404351022 2.1常用术语 PAGEREF _Toc404351022 h 8 HYPERLINK l _Toc404351023 2.2设计依据 PAGEREF _Toc404351023 h 9 HYPERLINK l _Toc404351024 2.3安全认证体系建设方案 PAGEREF _Toc404351

3、024 h 11 HYPERLINK l _Toc404351025 2.3.1 CA安全认证体系框架 PAGEREF _Toc404351025 h 11 HYPERLINK l _Toc404351026 2.3.2 网络架构 PAGEREF _Toc404351026 h 12 HYPERLINK l _Toc404351027 2.4企业ERP系统安全保障体系 PAGEREF _Toc404351027 h 14 HYPERLINK l _Toc404351028 2.4.1可信身份认证体系 PAGEREF _Toc404351028 h 14 HYPERLINK l _Toc4043

4、51029 2.4.2 安全传输通道 PAGEREF _Toc404351029 h 16 HYPERLINK l _Toc404351030 2.4.3 可信电子签名体系 PAGEREF _Toc404351030 h 16 HYPERLINK l _Toc404351031 2.4.4 可信电子签章体系 PAGEREF _Toc404351031 h 18 HYPERLINK l _Toc404351032 2.4.5 数据安全存储 PAGEREF _Toc404351032 h 19 HYPERLINK l _Toc404351033 2.4.6 可信时间戳签名 PAGEREF _Toc

5、404351033 h 19 HYPERLINK l _Toc404351034 2.5企业ERP系统认证体系应用 PAGEREF _Toc404351034 h 20 HYPERLINK l _Toc404351035 2.5.1企业自建PKI/CA体系模式 PAGEREF _Toc404351035 h 20 HYPERLINK l _Toc404351036 2.5.2远程PKI/CA体系模式 PAGEREF _Toc404351036 h 21 HYPERLINK l _Toc404351037 2.5.3混合式PKI/CA模式 PAGEREF _Toc404351037 h 21 H

6、YPERLINK l _Toc404351038 第3章 电子认证体系服务方案 PAGEREF _Toc404351038 h 22 HYPERLINK l _Toc404351040 3.1 数字证书服务 PAGEREF _Toc404351040 h 22 HYPERLINK l _Toc404351041 3.1.1证书生命周期 PAGEREF _Toc404351041 h 23 HYPERLINK l _Toc404351042 3.1.2支持多种数字证书介质 PAGEREF _Toc404351042 h 30 HYPERLINK l _Toc404351043 3.1.3 证书发

7、放模式 PAGEREF _Toc404351043 h 30 HYPERLINK l _Toc404351044 3.2 培训服务 PAGEREF _Toc404351044 h 33 HYPERLINK l _Toc404351045 3.2.1对系统相关人员培训 PAGEREF _Toc404351045 h 33 HYPERLINK l _Toc404351046 3.2.2 用户培训 PAGEREF _Toc404351046 h 34 HYPERLINK l _Toc404351047 3.3 售后服务 PAGEREF _Toc404351047 h 37 HYPERLINK l _

8、Toc404351048 第4章 东方中讯及主要产品介绍 PAGEREF _Toc404351048 h 44 HYPERLINK l _Toc404351049 4.1企业资质和技术实力 PAGEREF _Toc404351049 h 44 HYPERLINK l _Toc404351050 4.1.1 企业规模 PAGEREF _Toc404351050 h 44 HYPERLINK l _Toc404351051 4.1.2 企业人才队伍信息 PAGEREF _Toc404351051 h 44 HYPERLINK l _Toc404351052 4.1.3 企业文化建设 PAGEREF

9、 _Toc404351052 h 45 HYPERLINK l _Toc404351053 4.1.4 技术团队 PAGEREF _Toc404351053 h 46 HYPERLINK l _Toc404351058 4.1.5 资质证明 PAGEREF _Toc404351058 h 46 HYPERLINK l _Toc404351059 4.2 PKI/CA体系主要产品 PAGEREF _Toc404351059 h 49 HYPERLINK l _Toc404351060 4.2.1 签名取证系统 PAGEREF _Toc404351060 h 49 HYPERLINK l _Toc

10、404351061 4.2.2数字证书应用中间件 PAGEREF _Toc404351061 h 50 HYPERLINK l _Toc404351062 4.2.3签名验证服务器 PAGEREF _Toc404351062 h 52 HYPERLINK l _Toc404351063 4.2.4电子签章 PAGEREF _Toc404351063 h 53 HYPERLINK l _Toc404351064 4.2.5 时间戳服务器 PAGEREF _Toc404351064 h 56 HYPERLINK l _Toc404351065 4.2.6 安全存储系统 PAGEREF _Toc40

11、4351065 h 58 HYPERLINK l _Toc404351066 4.2.7加密机 PAGEREF _Toc404351066 h 60 HYPERLINK l _Toc404351067 第6章 产品配置及报价 PAGEREF _Toc404351067 h 63 HYPERLINK l _Toc404351071 6.1 本期建设方案产品报价方案 PAGEREF _Toc404351071 h 63 HYPERLINK l _Toc404351072 6.2 后期售后服务及产品报价方案 PAGEREF _Toc404351072 h 66第1章 方案介绍概述随着信息技术的发展和

12、应用的不断深入，信息安全日益受到国家、企业和社会公众的关注。中国政府已经提出了构建国家信息安全保障体系的设想，明确了政府、企业和公民各自应承担的责任与义务，同时国家也鼓励信息安全技术的研究和创新，信息产业科技发展“十一五”规划和2020年中长期规划纲要中明确把信息安全技术作为优先发展的重点技术之一，主要包括密码技术、电子认证、应急响应、信息安全评测技术等。ERP（EnterpriseResourcePlanning）企业资源计划系统，是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。可以说，企业的ERP系统几乎覆盖了企业运作的所有部分，包括生产、营销、

13、管理、客服、售后服务等等。因此，在某种程度上可以将ERP系统作为企业中枢系统，统领着一切其他子系统，子系统在总系统的分配调度下协调 HYPERLINK t _blank 工作，共同为企业整体的运转提供保证。如果中枢系统出现问题，将导致整个企业运转出现问题，甚至导致整个企业的瘫痪，可以说， ERP系统的安全稳定对于企业整体的安全有着重要作用。本方案以成熟的、安全的、认可的PKI/CA技术为基础，从安全技术角度提供企业ERP系统安全解决方案，如果实现ERP系统整体安全，企业还需考虑安全的管理措施。安全需求分析企业ERP系统的安全与稳定关系到整个企业能否正常运行，是企业需要特别注重的方面。为了保证系

14、统的安全，不仅仅要保证主系统不受外部干扰，还应确保各个部门之间的联系和资源共享得到安全保证，做到不越权进行彼此互访，防止内部安全系统出现问题。ERP系统安全需求主要体现在以下几个方面： 身份真实性认证不同业务系统无法实现统一的安全认证和授权，同时各个系统安全策略设置级别不一致，从而无法保障各个系统的身份认证和访问安全的可靠性。信息安全需求ERP的特点大而全，包含企业的组织架构、销售渠道、客户资源等方方面面的信息。正因为如此，ERP系统信息安全显得尤为重要，包含ERP系统中的信息资产安全已经破在眉睫。对关键操作的控制和审计关键操作即对数据交换过程，主要有ERP系统中关键文档的提交和发布、报账系统

15、中重要信息的传输、财务系统中的资金支付、电子单据确认等。在这些关键操作中，都需要保证对操作行为进行有效的控制，即有真实权限的人员才能进行操作，操作后对操作行为要有有效的审计。数据信息的法律保障 ERP系统中存储的都是企业的关键业务数据，对这些业务数据的管理和审计必须符合相关的法律法规要求。管理成本控制企业需要管理不同业务系统的用户，导致了用户管理的复杂度增加和效率降低，为此企业需要付出更多的 IT管理成本。业务系统繁多，用户需要记忆多个帐户和口令，无形中引导客户使用弱密码，不同系统登陆和使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨。方案建设目标建设企业PKI/CA体系，为ERP系

16、统终端用户提供数字证书发放与管理，为企业用户提供优质的、规范的数字证书生命周期服务，满足企业ERP系统数字证书应用；建立财务管理系统、物流管理系统、生产管理系统等企业ERP系统统一的业务应用安全支撑体系，实现电子认证服务和相关技术与企业信息系统的有机集成结合，有效提升企业财务管理等系统的业务信息安全保障水平，构建安全可信的企业ERP业务环境，保证用户登录的真实身份认证、信息传输的安全性、完整性、用户操作行为的不可抵赖性；在企业部署安全存储系统，对敏感数据进行加密存储，能发生纠纷时，能快速提取签名数据、签章数据作为有效的电子证据，防止抵赖行为。第2章 企业PKI/CA体系安全解决方案常用术语PK

17、I PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI政务的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。数字证书数字证书（Digital Certificate），是由权威的电子认证服务机构进行数字签名的，包含拥有者信息、拥有者公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。CA系统证书认证系统( Certificate Authentication System)，简称CA系统，是对数字证书进行证书生命周期全过程管理的安全系统。SSL协议SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport

18、 Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。电子签名电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，它类似于手写签名或印章，也可以说它就是电子印章。电子签章电子签章是电子签名的一种表现形式，利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果，同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。时间戳在电子商务交易文件中，时间是十分重要的信息

19、。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS：digital time stamp service）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护。设计依据我公司提供的CA安全认证体系的建设方案遵循相关的国际标准、国家标准以及电子商务行业标准：国际标准PKCS #1: RSA Cryptography Standard；PKCS #3: Diffie-Hellman Key Agreement Standard；PKCS #5: Password-Based Cryptography Standard；

20、PKCS #6: Extended-Certificate Syntax Standard；PKCS #7: Cryptographic Message Syntax Standard；PKCS #8: Private-Key Information Syntax Standard；PKCS #9: Selected Attribute Types；PKCS #10: Certification Request Syntax Standard；PKCS #11: Cryptographic Token Interface Standard；PKCS#12: Personal Informati

21、on Exchange Syntax Standard；PKCS#15: Cryptographic Token Information Format Standard。国家标准SM2椭圆曲线公钥密码算法法律法规中华人民共和国电子签名法电子签名法第七条：“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。” 电子签名法第十三条：电子签名同时符合下列条件的，视为可靠的电子签名： 电子签名制作数据用于电子签名时，属于电子签名人专有； 签署时电子签名制作数据仅由电子签名人控制； 签署后对电子签名的任何改动能够被发现； （四）签署后对数据电文内容和形式的

22、任何改动能够被发现。 当事人也可以选择使用符合其约定的可靠条件的电子签名。 电子签名法第十四条：“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。公安部中华人民共和国公共安全行业标准电子数据法庭科学鉴定通用方法（GA/T976-2012 公安部）：“规定了法庭鉴定时电子证据数据的获取、检验分析和呈现的规范获取的数据文件和原始的数据文件的哈希值，验证两者的一致性，确保两者是相同的。取证与鉴定文书电子签名（ GA/T976-2012 公安部）：“明确电子签名、数字证书、数字证书格式和数字 证书签发机构”“明确签名过程和电子签名验证过程”“明确电子签名管理系统”其他规范电子认证服务管理办法电子

23、认证业务规则规范(试行)信息安全等级保护管理办法信息系统等级保护安全设计技术要求安全认证体系建设方案2.3.1 CA安全认证体系框架 ERP的应用系统中，置入东方中讯PKI/CA体系或企业自建PKI/CA体系，实现安全可信的企业信息系统。CA认证体系框架如图2-1所示：图2-1 CA认证体系2.3.2 网络架构企业安全体系由安全接入网关和CA认证体系（包括签名取证系统、证书应用中间件、签名验证服务器、电子签章系统、时间戳服务器、时间源服务器、安全存储系统、加密机）组成，为ERP系统提供身份认证、访问控制、数据传输加密、数字签名、电子签章、安全存储等于一体的安全解决方案。企业体系网络架构如图2-

24、2所示：图2-2 企业安全体系网络架构图网络结构图说明：ERP系统端前置安全接入网关实现用户安全接入： 基于数字证书的用户真实身份鉴别和严格的访问控制策略保证合法的用户安全接入网络，阻止非法用户访问；实现ERP系统单点登录： 用户在成功登陆网关后，用户在访问其他的应用系统时，网关可以进行模拟代填或将用户信息传递给后台服务器实现自动登录功能，用户只需要登录一次就可以访问所授权的应用系统，降低企业管理成本。客户端与安全接入网关通过SSL安全链路通信，保证信息传输过程中的机密性、完整性和可信性；CA认证体系为ERP系统提供对敏感数据的加密和安全存储，对关键审批环节的电子签名和电子签章的功能，在发生纠

25、纷时，能从签名取证系统快速获取签名数据，提供有效的电子证据。企业ERP系统安全保障体系CA管理员通过数字证书签发系统给企业用户签发数字证书，以及相应的CA认证产品（含签名取证系统、证书应用中间件、签名验证服务器、电子签章系统、时间戳服务器、时间源服务器、安全存储系统、加密机）建立PKI/CA安全信任体系，实现用户身份的真实性，信息传输的安全可靠性、操作的不可抵赖性。CA安全认证体系由可信身份认证、安全传输通道、可信电子签名、可信电子签章、数据安全存储、可信时间戳签名等子体系组成。各子体系详细内容如下：2.4.1可信身份认证体系可信身份认证体系是密码设备、数字证书、安全接入网关、签名取证系统、证

26、书应用中间件、ERP系统共同构建。用户安全访问ERP系统的流程如图2-3所示：图2-3 可信身份认证体系流程图用户将带数字证书的USB Key插入计算机，访问客户端程序（基于B/S的IE或者基于C/S的客户端） 登录统一门户，系统要求用户选择用户证书和输入密码设备密码；需要先通过安全接入网关完成双向身份认证。认证通过后，客户端和安全接入网关之间建立SSL连接，客户端和ERP服务器之间的数据传输通过SSL通道加密传输；ERP系统获取客户端提交的随机数签名数据，通过WEBSERVICE或socket方式提交数据到CA认证平台，它将对用户证书的有效性，签名数据的完整性、有效性进行验证； 如果验证通过

27、，则安全进入安全接入网关；如果验证和查询失败，用户将无法进行登录。可信身份认证体系具有以下特点：必须用证书介质(USBKEY)+数字证书才可以登录ERP系统；实现用户角色和权限的管理和分配；登录密码存储在证书介质(USBKEY)内，无法从其他渠道获取；登录过程应用随机数签名，保证每次登录不可以被模拟、复制；通过存储在移动介质（USB Key）私钥来生成数字证书，用户只需要输入PIN码即可登录系统（最佳实践结合SSO），简单灵活；后台记录用户登录日志，快速检测用户访问记录。2.4.2 安全传输通道客户端与ERP系统之间使用SSL协议（Security Socket Layer安全套接层协议）。S

28、SL协议用于建立用户与服务器之间的加密通信，确保所传递信息的机密性和安全性。SSL安全机制是依靠数字证书来实现，基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。 使用SSL安全机制的通信过程如下：用户与服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与服务器进行通信，从而解决了客户端与ERP系统服务器之间信息加密传输的问题。2.4.3 可信电子签名体系电子签名法确立可靠的电子签名与手

29、写签名或者盖章具有同等的法律效力，是无纸化办公的重要法律保障。企业用户在业务操作过程中，对比较敏感和重要的电子单据进行数字签名，通过签名验证服务器验证数据完整性，验证通过将签名结果与被签名信息存入签名取证系统。电子签名流程如图2-4所示：图2-4 可信电子签名体系流程图用户登录ERP系统后，用USBKEY对财务数据、重要数据等审批意见进行数字签名。流程说明如下：客户端和安全接入网关平台完成双向身份认证，建立SSL通道； 用户利用数字证书对提交的电子单据进行数字签名； 已签名的数据通过SSL通道加密传输到ERP系统； ERP系统获取用户的电子订单信息及其数字签名;ERP服务器调用签名验证服务器的

30、验证函数接口，验证用户身份、签名数据的完整性和有效性； 验证通过后将电子签名、签名数据存储于签名取证系统； CA认证平台向ERP服务器返回签名结果；ERP系统向客户端返回结果。电子签名体系具有以下特点：电子取证、验证流程快捷、方便；通用性好：客户端只需通过调用接口调用证书服务，可以支持采用C/C+、Java、C#等主流开发语言开发的程序。支持标准的证书、数字签名加解密算法；支持双向签名：客户端和服务器端均具备签名、验签名功能，可以用来实现双向、多次签名的高安全级别方案；支持时间戳应用：支持时间戳服务；支持安全存储：支持对重要数据加密存储于签名取证系统中。2.4.4 可信电子签章体系ERP系统业

31、务的审批流程中，使用电子签章对流程的关键审批环节加盖电子签章，形象模拟现实纸质审批流程，同时对签章文件或数据进行保护。电子签章体系是由证书介质、数字证书、签章应用中间件、电子签章系统、ERP系统组成。电子签章流程如图2-5所示：图2-5 可信电子签章体系流程图CA第三方使用电子签章管理系统为用户生成电子签章，并将电子签章灌入证书介质并和数字证书进行有效绑定，将包括数字证书和电子签章图片的证书介质按照发放流程分配给企业用户；客户端集成的电子签章软件提供对审批文件的数字签名和电子签章。我公司电子印章服务平台系统管理是构建于web形式的管理系统，其中包括个人管理、系统管理、印章管理模块，并设置机要员

32、、系统管理员、印章管理员、日志管理等权限。2.4.5 数据安全存储ERP系统对涉密数据进行加密存储，保障信息的安全。数据安全存储是加密机、安全存储系统及密码技术对涉密数据加密处理过程，流程如图2-6所示:图2-6 数据安全存储程图ERP系统将涉密数据提交到CA认证特性的安全存储系统加密接口；安全存储系统调用加密机服务器证书的公钥生成加密数据后存储； ERP系统调用安全存储系统机密接口获取涉密数据原文。 2.4.6 可信时间戳签名可信时间戳服务实现对数据、文件生成和上传过程中加盖可信的时间戳，确保数据、文件时间的可信性。可信时间戳签名体系主要由签名取证系统、时间戳服务器、时间源服务器等产品组成，

33、加盖时间戳签名操作流程如图2-7所示：图2-7 加盖时间戳签名流程图流程图说明：ERP系统验证用户提交的待申请时间戳数据的数字摘要值，向签名取证系统发起时间戳签名请求；签名取证系统保存数据摘要值，通过webservice向时间戳服务器发起时间戳签名请求； 时间戳服务器保存请求数据，获取时间源服务器（与国家授时中心进行时间同步）的标准时间信息， 进行时间戳签名；时间戳服务器向签名取证系统返回时间戳签名数据并存储；签名取证系统保存时间戳签名数据，向ERP系统返回时间戳签名结果。企业ERP系统数字证书应用系统名称PKI/CA安全保障体系身份认证电子签名或签名验签加密传输时间戳签名安全存储OA系统财务

34、系统SCM（供应链管理）CRM（客户关系管理）移动终端数字证书安全解决方案2.6.1 需求分析移动电子办公如何有效的解决身份认证、交易数据的完整、保证交易的安全性及不可否认性，都是客户以及电商企业最关心的问题。关于通信安全需求传统的有线网络是利用通信电缆作为传播介质， 这些介质大部分处于地下等比较安全的场所，因此中间的传输区域相对是受控制的。而在无线通信网络中，所有的通信内容（如移动用户的通话信息、身份信息、位置信息等）都是通过无线信道传送的，无线信道是一个开放性信道，其利用无线电波进行传播的特性，使得任何个人和组织不需要申请就可以进行通信。 在无线网络中的信号很容易受到拦截并被解码，只要具有

35、适当的无线接收设备就可以很容易实现无线窃听，而且很难被发现。这对于移动电子商务的信息安全构成了潜在威胁。关于审批权限的安全需求如何保障企业的审批安全， 避免权利被盗用风险， 是企业面临的第二大主要问题，这也是无纸化办公的重要原因之一。利用ERP系统进行审批必然会涉及到网上审批，网上审批是目前企业办公发展的一个重点。而在网上审批过程中存在着被黑客通过木马等恶意程度进行伪造、假冒和复制的风险，从而损害企业利益，同时也对企业信誉造成不良影响。2.3. 关于身份认证的需求在无线通信网络中， 移动站与网络控制中心以及其它移动站之间不存在固定的物理连接，移动站必须通过无线信道传送用户的身份信息。由于无线信

36、道信息传送过程可能被窃听，当攻击者截获到一个合法用户的身份信息时，他就可以利用这个信息来冒充该合法用户的身份进行网上审批， 这就是所谓的身份冒充攻击。基于PKI/CA移动终端安全解决方案基于数字证书和安全接入网关的身份认证安全移动办公平台属于一种 C/S 或B/S的架构系统， 不能直接集成证书应用。 为此，可以提供证书应用开发接口（API）帮助用户进行证书功能的集成，以下将从安全原理、安全构架、证书应用开发接口（API）和具体流程分别介绍应用系统集成方案。双向身份认证实现双向身份认证的原理是通过双向认证的加密通道来实现。 在实现双向身份认证时， 专用客户端需要对证书进行处理，包括完成服务器证书

37、的验证，让用户选择证书进行提交等。实现双向身份认证的原理如下图所示，需要增加下列模块：信息抗抵赖数据传输的抗抵赖性也是通过数字签名技术来实现的，信息抗抵赖需要增加下列模块：安全集成架构根据上述安全原理，采用证书应用开发接口（API） ，对移动办公系统进行安全集成，系统安全架构如下图所示： 如上图所示，系统安全集成涉及的证书应用接口包括： 证书解析模块（CPM ）证书解析模块是一系列平台下的动态链接库，用于解析 DER 或 PEM 编码的 X.509 数字证书，将证书中的信息，包括用户名、证书有效期、公钥等信息分解为字符串。 证书验证模块（CVM ）证书验证模块以插件或动态库方式提供，实现对证书

38、的验证，证书验证可选使用 CRL 或 OCSP 验证有效性。通过证书验证，可以保证证书的真实性，保证使用该证书进行的操作的有效性和不可抵赖性。数据签名/ 验证模块（SVM ）数据签名及验证模块是一系列平台下的动态链接库或控件， 可以应用于客户端和服务器端，实现对传输数据的数字签名，和对数字签名及其证书进行验证。证书的验证可使用 CRL 或 OCSP 来进行有效性验证。证书处理模块证书处理模块以静态库、jar 包或者控件的方式提供，供专用客户端软件调用，实现的功能包括对证书的验证，对本地证书的检索，显示成列表，供用户选择提交。基于数字证书及签名验证服务器的数据安全基于移动互联网的各种公文、订单、

39、用户身份敏感信息和交易敏感信息等都需要保证内容被加密和不可被篡改。和身份认证一样，在移动平台，同样需要开发相应的中间件产品支持上层应用和下层外设（如双接口 Key 或 TF 卡等）以实现对 iOS、Android 等系统的数字证书应用支持。 之后才可以使用数字证书完成对以上信息实现数据加密和数字签名以及验签，以保障信息的完整性和保密性。目前提供支持 iOS 与 Android 系统的上层证书管理与应用中间件，支持软证书与硬件证书进行 SSL 双向身份认证与数字签名。可以使用户通过使用自己的证书（私钥）来对交易过程中所要提交的表单内容进行签名，在客户端能够实现对字符串、文件的签名，并能够验证来自

40、服务器端的签名。第3章 数字证书服务方案我公司为企业单位建立的电子认证服务体系，从服务内容、服务模式、服务流程、服务保障等方面，建设符合企业单位特点的服务模式和流程，方便证书发放和管理，满足企业单位实际业务需要。3.1 PKI/CA体系建设模式根据客户的实际需求，东方中讯因地制宜提供三种服务模式：企业内部自建PKI/CA体系、可信第三方的PKI/CA体系以及混合式PKI/CA模式，企业可以根据自己的实际需求灵活的选择。3.1.1企业自建PKI/CA体系建设模式由我公司负责在客户的本地建设全套的PKI/CA 体系，包括证书签发系统（自建CA）证书注册审批系统（自建RA），实现企业内部证书自主签发

41、、证书管理、证书查询服务等功能，可以自由的使用数字证书。该体系适用于需要自己签发数字证书的客户、对证书法律性要求不强，使用数字证书作为安全解决方案的客户，PKI/CA体系的运行维护、安全、管理等工作全部由企业内部负责。3.1.2第三方PKI/CA体系建设模式企业通过第三方的PKI/CA系统，委托第三方公司进行数字证书的发放和管理。该模式不需要在企业内部建设PKI/CA体系，PKI/CA体系完全建设在东方中讯，由东方中讯提供全面的、快捷的、专业的数字证书服务。企业只要拥有东方中讯RA系统管理员证书，就可以在任何一台机器上通过Web方式登录东方中讯CA认证中心后台实现对PKI/CA体系的全权管理，

42、并可以自主进行证书的申请、下载和更新等工作。3.1.3混合PKI/CA建设模式混合式PKI/CA模式结合了企业自建PKI/CA和引用可信第三方PKI/CA两种应用模式。对证书的法律性要求不强的用户，企业可以通过自建的PKI/CA体系自主颁发证书，实现企业内部信息的安全保障；对证书法律效力要求高、要求证书能作为有效的电子证据的用户，企业可以通过第三方电子认证服务机构CA系统，或委托第三方颁发具有法律效力的数字证书。混合式PKI/CA模式，企业可以根据实际需求灵活应用，提高运营效率，降低运营成本。3.2 数字证书服务我公司结合企业单位ERP系统的实际需求和具体情况，提供相应的证书业务服务，数字证书

43、服务管理符合以下要求：我公司有独立的证书管理系统，实现证书全生命周期服务，包括证书申请、发放、更新、吊销、介质解锁、密钥恢复、丢失补办、损坏重办等服务内容，方便企业单位用户获取证书服务；提供证书全在线服务模式，支持证书在线更新、在线解锁等服务；提供证书快速应急服务，满足企业单位对业务连续性的要求；支持按照企业单位实际应用需要，灵活定制服务交付的业务流程；支持多种证书存储介质包括智能USBKey、智能射频卡、SDKey等，满足企业单位今后发展对证书介质的需求；支持证书管理权限分级，提供管理员、普通用户、系统管理员等用户和角色权限管理；提供对证书发放情况、证书状态等情况进行查询、统计及报表输出功能

44、，满足企业单位日常管理需要。3.2.1证书生命周期证书申请申请数字证书的，视为同意遵守东方中讯数字证书认证有限公司数字证书服务协议及其他有关规定，视为承认该数字证书电子签名的法律效力。为确保证书申请者身份的真实性和有效性，企业单位应设立证书管理员岗位，负责提交本单位用户证书申请。下图为数字证书办理申请界面：数字证书办理申请界面证书申请流程：证书管理员收取用户申请材料，核实用户申请信息的真实性；证书管理员将证书申请信息报送相关领导审批确认；证书管理员使用专用证书对审批确认后的证书申请信息进行电子签名；证书管理员通过证书服务平台向东方中讯数字证书认证有限公司提交签名后的申请信息进行证书申请；证书管

45、理员将纸质的证书申请资料原件提交给东方中讯数字证书认证有限公司用以存档备案。证书申请流程证书发放东方中讯数字证书认证有限公司在接收证书申请及申请资料原件后，对申请信息进行审核并在五个工作日内完成证书产品交付。证书申请审核集中服务模式下的证书发放流程如下：东方中讯CA对所提交的资料进行审核；资料是否齐全，是否填写完整，填写是否符合规范；资料是否加盖单位公章；资料填写信息是否真实；申请人是否符合证书发放要求：资料审核未通过，告知用户单位证书管理员原因并返还申请资料；通过审核则录入用户相关信息并提交证书申请信息，制作数字证书；东方中讯CA对数字证书分类、整理，将数字证书颁发给用户单位证书管理员，返还

46、用户申请凭据；证书管理员对数字证书进行核对，并分发到用户手中。如果采取邮递方式获取证书，为保证数字证书安全性，我们在用户收到证书介质之后通过证书服务平台以证书下载授权码的方式为用户颁发数字证书。集中服务模式下的证书发放流程多级服务模式下证书发放流程与集中服务模式下的证书发放流程基本相同，仅增加了用户单位上级审核环节。多级服务模式下的证书发放流程证书更新用户证书即将到期时，东方中讯数字证书认证有限公司为用户重新签发新的证书。证书的更新流程参见证书申请流程图：证书更新申请东方中讯数字证书认证有限公司在收到更新申请后，承诺在二个工作日内完成更新业务的确认操作，并保证用户可实时下载新证书。步骤如下：申

47、请更新：东方中讯数字证书认证有限公司在证书到期前30天内提醒用户办理证书更新业务；确认更新：东方中讯数字证书认证有限公司在确认更新申请后，授权并通知用户下载新的证书；下载新证书：证书用户通过证书服务平台下载新证书。证书补办东方中讯数字证书变更申请，主要是针对数字证书主题名字变更，介质损坏或丢失。企业单位指定的证书管理员进入东方中讯证书签发系统，进行证书补办，名字、用户ID等信息变更。步骤如下：变更申请：用户在介质丢失或损坏后向企业单位信息科提交补办申请确认变更：企业单位相关审核人员在确认变更申请后，在证书签发系统中提交申请。 下载新证书：申请通过后，证书管理员通过证书签发系统下载新证书。证书吊

48、销证书吊销申请当密钥遗失、介质损坏、证书信息变更、证书用户证件失效时。证书吊销流程如下：申请吊销：证书用户填写吊销证书所需要提供的纸质材料，向单位证书管理员或东方中讯提出吊销申请；确认更新：东方中讯数字证书认证有限公司在确认吊销申请后，东方中讯数字证书认证有限公司应将证书及时吊销并更新黑名单（CRL）；东方中讯数字证书认证有限公司接到申请之日起，并审核通后，在一个工作日内完成吊销业务的办理，并实时更新黑名单（CRL），按照发布策略将黑名单发布到指定的卫生信息系统。证书解锁用户遗忘证书保护口令，或多次输入错误的保护口令导致证书介质锁死时，东方中讯数字证书认证有限公司提供证书解锁服务，为用户重新设

49、置证书保护口令。证书解锁流程如下：申请解锁：证书用户填写解锁证书所需要提供的纸质材料，向单位证书管理员或东方中讯提出吊销申请；审核：申请材料审核通过，东方中讯数字证书认证有限公司应将证书及时为用户提供在线解锁服务；东方中讯数字证书认证有限公司接到申请之日起，在一个工作日内完成解锁服务。密钥恢复东方中讯数字证书认证有限公司提供加密密钥的恢复服务。加密密钥的恢复流程如下：申请密钥恢复：证书用户填写加密密钥的恢复所需要提供的纸质材料，向单位证书管理员或东方中讯提出吊销申请；确认更新：东方中讯数字证书认证有限公司接到申请之日起，并审核通后，在五个工作日内完成密钥恢复业务的办理。司法取证需要进行密钥恢复

50、时，东方中讯数字证书认证有限公司按照国家有关规定的程序处理。证书查询 东方中讯数字证书认证有限公司为用户和信息系统提供证书和黑名单的查询与下载服务。东方中讯数字证书认证有限公司保障证书信息安全，查询和下载权限经用户管理单位审定。3.2.2支持多种数字证书介质 我公司支持多种数字证书介质，包括智能USBKey、智能射频卡、SDKey。如下图：证书介质3.2.3 证书发放模式证书批量发放初次批量证书申请，是指EZCA向首次提出申请证书的用户提供的证书发放服务。 依托EZCA提供批量的证书申请、发放服务，企业单位证书受理点（信息中心）只负责证书用户的信息收集和信息确认，由EZCA后台完成证书制作和发

51、放。 证书批量发放具体流程如下： (1) 证书受理点的证书管理员填写证书申请列表，登录数字证书服务管理系统后，上传证书申请列表； (2) 审核人员确认、审核证书申请列表信息（可选）； (3) EZCA集中制作证书，发送至企业单位； (4) 证书管理员将证书发放给证书用户。日常零散发放日常零散发放具体流程如下： (1) 证书受理点的证书管理员登录数字证书服务管理系统后，录入证书用户信息； (2) 审核人员审核证书申请信息（可选）； (3) EZCA后台系统签发数字证书； (4) 证书管理员使用空白USBKey在数字证书服务管理系统制作用户数字证书；(5) 证书管理员将证书发放给证书用户。3.3

52、培训服务东方中讯公司配备2名培训师，根据企业单位安排，对企业单位技术人员、系统运维人员、全体ERP终端用户不定期进行培训，培训时间不少于2个工作周。3.3.1系统相关人员培训技术人员培训PKI基础设施系统架构培训：对PKI基础设施包含的内容，技术标准、规范，PKI体系架构的整体介绍；PKI电子认证应用培训：对PKI基础设施中涉及的所有实体，包括身份认证、电子签名、数据加密等应用的培训；数字证书接口应用培训：对不同开发语言、开发环境下的数字证书接口，包括在WINDOWS、LINUX、MAC等平台下，基于C、JAVA、C#等开发语言的接口应用提供培训；数字证书安全产品的应用培训：对数字证书安全产品

53、的介绍和应用提供培训，包括统一身份认证服务器、PKI权限管理系统、电子签名服务器等安全产品的应用培训。运维人员培训CA电子认证系统的介绍培训：对的数字证书签发系统的工作机制、安全管理、权限控制等方面提供培训；网络架构介绍培训：对的网络部署、防火墙、入侵检测、入侵防护系统、安全网关、防病毒系统等方面提供培训；运维安全管理的介绍培训：对的运维信息安全策略、安全管理规范、风险预警与应急处理方案等方面提供培训；硬件产品应用和维护培训：对加密机、时间戳服务器、统一身份认证服务器等硬件设备的应用和维护培训。3.3.2 用户培训 将根据需要，在企业单位信息科的统筹下，为用户提供培训。培训内容数字证书简介培训

54、对数字证书的概念，使用数字证书能带来什么优势，身份认证、电子签名、数据加密等功能的简介培训；数字证书使用培训对数字证书介质驱动程序的安装，介质管理工具各项功能的使用，数字证书在使用中的常见问题及解决方法等方面的培训；数字证书在企业单位信息系统中的应用培训对数字证书如何在相关业务系统中使用，在使用过程中的常见问题及解决方法等方面的培训；电子认证服务培训对提供的电子认证服务，包括数字证书各项业务的简介、办理流程、客户服务体系等方面的培训。培训形式现场统一培训针对终端用户的培训：在CA系统正式上线前，可由企业单位信息科通知并组织使用CA的终端用户，到指定的培训场所（例如会议厅），东方中讯培训讲师对终

55、端用户进行培训，内容包括数字证书基础知识，数字证书在信息系统的操作方法，证书介质的维护保管，数字证书使用中常见问题的处理，数字证书的售后服务。培训时长约1小时。针对企业单位信息科技术人员的培训：企业单位信息科技术人员在本院CA系统的使用中担任着重要角色，需要对其进行较全面的培训。现场培训时长约2小时。对信息科技术人员培训的同时东方中讯提供日常CA维护指导文档。网络培训通过web网站形式，对证书使用中的常见问题进行收录整理并更新，方便用户查看。常见问题学习用户手册用户手册3.4 售后服务完善的技术支持和服务是应用系统得以长期稳定运行的重要保障，也是获得客户最终认同和信任的必要前提，东方中讯公司本

56、着用户至上的原则，凭借雄厚的技术实力、完善的服务体系、强大的支持后盾、本地化的地域优势，能够快速响应客户需求，并随时根据客户的实际需求提供全面的、个性化的技术支持服务。3.4.1服务理念我们秉承“诚信立德，人文为本，效率优先，发展为上”的企业精神，以技术开发为后盾，以最佳服务求发展。“以客户为中心”是我们的服务理念，我们本着“用户至上、质量第一、服务优质、响应及时”的服务原则，为用户提供及时、高效、可靠的服务。3.4.2服务内容积极解决用户在使用数字证书过程中遇到的问题（如证书登陆系统、证书更新、证书注销等问题）；提供数字证书相关应用的咨询服务；为系统的升级和拓展提供应用集成支持；可根据客户实

57、际需求进行系统的二次开发；认真履行各项服务条款和承诺。3.4.3售后服务组织东方中讯CA中心技术支持与售后服务组织方式如下图所示：售后服务组织架构服务总监、客户代表、客服人员、服务专员等专职人员，以及实施人员、开发工程师和技术支持部的安全技术专家组成了服务支持队伍。各职位的职责及隶属关系说明如下：服务总监：CA中心主管，负责CA中心的全面管理，包括值班、外出服务、信息反馈等制度的制定、工作安排和监督实施；客户代表：由营销中心人员担任，为用户提供咨询服务，了解用户需求，听取用户意见和建议，将用户的需求和建议进行分类，并及时反馈给相应的服务专员；客服人员：通过热线电话和网络的方式接收用户的服务请求

58、，做好问题信息的记录，及时为用户解决问题；定期对客户进行回访，加强对客户的反馈；服务专员：安全服务实施负责人，带领技术支持工程师，完成服务总监部署的服务计划；服务专员在接到服务请求后，安排技术支持工程师在规定的时间内赶赴用户现场或直接向用户提供解决方案，保证其系统正常运行；文档工程师：收取外勤服务技术工程师的服务反馈表。负责将服务反馈表中的技术信息和所总结的经验整理分类，并录入到CA中心的支持信息数据库中，定期编制知识信息快讯，向全体技术人员发布；技术支持工程师：是服务实施人员，负责CA中心的技术服务工作。技术支持工程师外出到用户现场做技术支持服务，服务完成后填写服务反馈表，将具体的服务情况与

59、提供的方案、该次服务中的经验和技术心得写在其中，签字后送交文档工程师进行信息归档；技术后援人员：由研发中心的研究/开发工程师以及安全技术专家等共同组成，负责CA中心的各项技术服务工作。3.4.4售后服务流程东方中讯CA中心按照规范的服务流程为用户提供服务，服务流程如下图所示：售后服务流程3.4.5售后服务方式东方中讯CA中心通过热线电话、网络远程、现场等多种服务方式，为用户提供数字证书使用帮助、应用咨询培训、应急保障和应用集成支持等一系列本地化服务。东方中讯服务平台如下图所示：东方中讯服务平台呼叫中心服务东方中讯CA中心拥有以客户为主导的综合语音平台呼叫中心系统(Call Center), 客

60、服专员可通过电话指导的方式解决用户的问题。东方中讯服务热线：4007353922后服务投诉热线 :3704电话响应时间：对一般性问题，客服中心在1个小时内反馈建议，8小时内解决问题；对复杂问题，CA中心在三个工作日内提出解决方案并及时解决问题。如果问题无法通过电话解决，需要进行远程维护的，技术支持人员可通过网络远程服务的方式解决用户的问题。网络远程服务如果用户在系统使用过程中遇到一些基本的系统问题，我公司的支持工程师可以通过远程拨号方式登录到用户设备上来查看问题的原因，并指导用户排除故障。这种方式可以以更快、更及时的方式达到亲临现场解决问