国家统计局企业一套表身份认证系统介绍和工作要求课件

1、国家统计局企业一套表身份认证系统介绍和工作要求国家统计局数据管理中心安全管理处 张杰2011年12月目 录一、信息安全形势二、统计信息系统身份认证体系情况介绍三、身份认证系统原理和操作步骤四、工作要求一、信息安全形势（一）信息化持续快速发展：云计算、物联网-马局长：展开双臂，迎接信息化！（二）伴随着风险和威胁： 1.传统：拒绝服务、病毒、蠕虫、黑客入侵、漏洞 2.云风险：云服务的恶意使用、数据丢失或泄漏、恶意内部人员账户/服务劫持、不安全的云软件、未知风险预测3.物联网主要风险：无线安全、不安全的芯片/软件、企业、公民隐私问题、ID真实性问题（三）国际： 美国政府高度重视美国的国家网络安全，

2、5月发布网络空间国际战略、7月发布网络空间军事行动战略提出战略倡议，加快美国在网络空间的军事扩张步伐；北约8月发布新的网络安全战略；英国、印度、新西兰等-网络空间安全已为越来越多的国家和政府所重视。（四）国内： 近几年密集出台信息安全政策（如等级保护、分级保护等），发布多项信息安全国家标准，加快信息安全保障能力的建设。三类身份认证方式：1、密码识别 根据所知道的信息来证明身份 用户名+密码、动态口令2、生物识别 根据独一无二的身体特征 指纹、虹膜、人脸识别等3、证物识别 根据所拥有的物品来证明身份 数字证书（Ukey）、智能卡为什么说数字证书系统是信息安全的基础设施？比对项数字证书用户名/口令

3、生物特征口令动态口令安全性高低中中认证范围用户、设备认证只认证用户只认证用户只认证用户加解密/防篡改/防抵赖可以实现不能实现不能实现不能实现技术可靠性高高高不高，误识别可扩展性高低低低标准化程度高低低低管理与维护成本中较高高高投资规模中低中高身份认证方式比较 数字证书是国际和国内主流的电子认证方式；数字证书是网络世界唯一合法（电子签名法）的身份证。（七）身份认证应用现状国际：美国联邦、日本等均建设了基于PKI/CA技术的身份认证系统，实现信息系统的身份认证。国内：电子政务内网、外网电子认证系统；税务、海关、统计等行业认证系统；银行业认证系统（证书KEY）等。二、统计信息系统身份认证体系情况介绍

4、 （一）背景：企业一套表系统是在公安部备案的信息安全等级三级的应用系统，是“四大工程”的核心。受到了统计系统和社会各界的广泛关注，对系统的安全保障能力也提出了更高的要求。 尤其上报数据的企业用户，经济数据是企业的最高机密，直接关系经济利益，因此更关心报送系统是否可信、上报的数据是否被第三方窃取等。 身份认证系统是保障信息安全的基础。（二）统计信息系统身份认证系统现状国家统计局身份认证系统始建于2000年，是专门为统计业务系统提供安全认证服务的系统。已应用身份认证的联网直报系统：工业企业联网直报、企业和服务业调查信息网、3000家房地产企业直报网、贸易外经统计信息网、三农数据网、服务业调查系统等

5、。已签发证书14万张。随着第二次全国经济普查项目的实施，目前已建设完成国家省两级分布式身份安全认证系统。每省节点证书容量5000张。可实现信息系统安全等级保护基本要求三级标准中对企业一套表应用系统身份鉴别、访问控制、通信完整性、通信保密性、抗抵赖要求。经联调测试，目前在大并发访问压力下，国家局身份认证每秒可签发证书300张以上。（三）逻辑部署图：（四）系统架构图：（五）身份认证系统可以解决哪些安全问题1.保护企业数据（可信、防窃取、防篡改等）；2.保障应用系统安全；3.满足国家公安部等信息安全主管部门的要求。管理员操作：应用系统管理员提供需注册的用户信息。身份认证系统管理员将用户信息在身份认证

6、系统中进行注册、审核。系统维护和技术支持。用户操作：首次访问企业一套表应用系统时，到指定页面下载本企业证书。访问企业一套表应用系统，安全认证网关验证用户证书有效性。用户填写统计报表，并报送。（二）身份认证系统证书下载流程企业一套表应用系统用户.首次登录用户，点击”申请证书”按钮.用户登录应用系统.在证书下载的页面下载安装“根证书及配置文件”，并输入用户名和口令，下载用户证书。（三）使用证书，登录应用系统数据报送流程 流程描述：用户在一套表系统首页输入用户名口令，点击“登录”，并选择本用户证书；（后台服务）安全认证网关验证用户证书的颁发者是否合法以及证书是否在有效期限内；（后台服务）用户证书验证

7、通过后，安全认证网关将用户证书信息传递给企业一套表系统；（后台服务）企业一套表系统从安全认证网关传递的数据中读取用户证书信息，并确定用户权限；（后台服务）企业一套表系统根据用户权限，向安全认证网关返回相应业务操作界面；用户计算机显示相应业务操作界面；开始数据报送，安全认证网关保障数据传输的安全。本次培训演示：40:6001/dr（四）常见问题1、每张证书有效期为三年，到期后需重新申请证书；2、在一套表系统中注册了子账户的用户，多个子账户可以同时使用其主账户的证书登录系统，进行报送；3、支持口令同步：在应用系统中修改账户口令后，再到身份认证系统下载证书时，使用修改后的口令。（与应用系统程序接合实现