《用友NC安全解决方案(DOC63页).doc》由会员分享,可在线阅读,更多相关《用友NC安全解决方案(DOC63页).doc(51页珍藏版)》请在三一办公上搜索。
1、用友NC安全解决方案东方中讯数字证书认证有限公司用友用友NC安全解决方案 目录目 录1前言12应用安全需求概述12.1用友NC实现功能22.2CA应用需求22.3VPN安全应用需求42.4法律需求电子签名法52.4.1相关概念52.4.2相关规定62.4.3法律效益73CA安全解决方案73.1总体架构73.2托管服务模式93.2.1网络架构103.2.2CA系统工作流程设计113.2.3CA系统实施部署流程143.2.4托管模式意义143.3CA技术与VPN相结合153.3.1VPN总体架构153.3.2VPN安全登录实现原理163.3.3VPN证书应用173.4硬件RA- 东方中讯RA-M1
2、83.4.1概述183.4.2产品特点183.4.3产品功能193.5证书存储介质194人员安全解决方案204.1信息部职责204.2各部门、分公司的职责204.3员工的权利与义务204.4证书申请流程和规范214.4.1数字证书发放模式214.4.2数字证书申请流程224.5鉴证审批管理规范234.5.1鉴证审批的基本原则234.5.2证书更新鉴证244.5.3证书吊销鉴证244.6网络管理员安全控制254.6.1网络管理员职责254.6.2NC系统人员安全管控265NC系统层次安全架构介绍315.1客户端接入315.2传输层加密335.3服务器安全335.4数据库安全346证书审批模式设计
3、356.1手动审批366.2自动审批376.3通行码审批396.4集中制证模式407CA安全认证系统工作原理427.1系统安全原理427.2系统环境要求468证书存储方式468.1USB KEY介绍468.2USB KEY优点478.3USB KEY密码489用友NC系统证书应用4810技术支持与培训52附件一 关于东方中讯53附件二 东方中讯相关资质57东方中讯数字证书认证有限公司用友用友NC安全解决方案 第48页 共48页1 前言用友软件是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商之一。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品,涵盖从集中财务管理
4、、供应链管理、集团资金管理等全面应用,全面支持企业各项经营,是集团企业协同电子商务的有效手段。用友NC与东方中讯数字PKI/CA产品和服务的整合方案,是一次强强联合。用友NC核心管理理念是“集中管理 战略协同”,其中“战略协同”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而东方中讯作为专业的电子认证服务运营商和CA产品提供商,实现了用友NC用户多方安全协同工作,保障信息传递的机密性、保障电子化信息交互的层面上双方(多方)行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力,得到中华人民共和国电子签名法法律的保障。目
5、前,用友NC系统已经成功支持东方中讯CA产品和服务,NC系统只需简单的部署和配置,就可以实现基于数字证书的各种安全功能,保障系统高效、成功地实施。迄今为止,东方中讯PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。东方中讯以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴,为用友NC产品保驾护航,提供全面的安全解决方案。2 应用安全需求概述目前NC的默认登录方式是用户名+口令的方式,安全性不高,容易被暴力破解,当然在业务交流的时候也会因为人为的疏忽或者黑客的攻击而导致业务信息丢失,公开或者篡改,使用户的资金系统存在着安全隐患,导致不必要的损失。2.1 用友NC
6、实现功能1、 通过NC系统的应付系统来完成支付业务的全过程管理。2、 由系统实现专项预算对支付的自动控制,超出部分不允许支付。3、 可以通过配置不同付款单的审批流程来控制各子公司的支付走款,同时不允许修改由支付业务触发生成的总账凭证中的金额等要素。4、 子公司出纳将审批通过的付款单进行支付,如果开通了银企互联的支付功能,则可以在系统平台上直接对外支付。5、 子公司财务人员根据支付完成的付款单自动触发生成相关会计凭证。2.2 CA应用需求由于在用户内部存在着许多支付和审批交易,不可避免的会遇到一些安全保障因素,对支付人、审批人的身份认证,可信电子签名,操作控制以及抗抵赖追等,都是集团考虑的安全要
7、素。就用户的应用安全需求,结合用友NC系统,东方中讯提出下面几点具体的CA安全需求: 基于用户名/口令的认证方式基于用户名/口令的认证方式是最常用的一种技术,也是现在用友NC普遍使用的认证方式,无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录,都是基于用户名和口令的方式认证。基于用户名/口令的认证方式存在严重的安全问题,是攻击者最容易攻击的目标:1) 它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。2) 为记忆方便,是用户往往选择简单、容易被猜测的口令,如:与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。3) 口令一般是经过加密后存放在
8、口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。关于网站安全的调查结果表明:超过80的安全入侵是由于用户选用了拙劣的口令而导致的。由此可以推断,大部分的入侵可以通过选择好的口令来阻止。 应用系统对关键操作的控制关键操作即对数据交互的安全操作,比如在ERP系统中关键文档的提交和发布,报帐系统中重要信息的传输,资金系统中涉及资金的审批,供应链中的单据确认等等。主要涉及了三方面的安全风险:1) 信息的机密性:传输在客户端与Web服务器之间的敏感、机密信息和交易数据,如客户的私隐信息等,这些数据都是保密的数据。而通过开放的互联网,有可能在传输过程中被截取,被
9、非法用户加以利用,给用户和企业造成损失。2) 信息的完整性:在保证信息机密性的同时,还需要保证敏感数据的完整传输。通过开放的互联网,敏感数据在传输过程中很可能被恶意篡改,使得接收方不能得到完整的信息。3) 信息的不可抵赖性:是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。网上交互(交易)行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据(无论是司法取证还是内部管理追溯或者审计)。 身份及资产的管理无论内部员工还是外部用户,
10、最大的风险就是信息环境中人与用户的关联性。当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求,而且强调标识方式符合真实的社会实体要求,即虚拟身份与真实身份唯一对应。对设备等实物资产同样,无法将真实身份按角色的分配给用户会导致整个管理的混乱,信息孤岛会导致IT的目标与企业战略和股东利益的不一致。东方中讯为用友NC提供的解决方案,能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。2.3 VPN安全应用需求随着信息化应用需求的逐步深入,企事业单位的内部应用系统往往需要向外部人员开放,方便本单位驻外地员工或者外单
11、位人员进行业务交流,在这种需求下,越来越多的企事业单位通过VPN系统处理外部用户的业务请求,采用VPN使外部用户可以方便的登录企业内部办公应用系统。在这种模式下,用户通过VPN能够直接接入企业内网,为了企业内部网络安全和传输信息安全,采用何种用户认证模式,就显得尤为重要了。具体的需求如下:(1) 身份认证和访问控制:高强度的身份认证是保障VPN系统安全的前提,VPN系统对用户的身份认证往往采用的是“用户名密码”的方式,这种口令式的用户身份认证方式降低了VPN系统的整体安全性。(2) 机密性:在网络上传输的信息不能被窃取;(3) 数据完整性:在网络上传输的信息不能被恶意窜改;(4) 不可抵赖性:
12、在网上提交的请求是不允许抵赖的,同时对涉及信息安全的事件,提供事后追踪、审核及统计的手段。2.4 法律需求电子签名法2.4.1 相关概念电子签名:是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文:是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。电子签名的表现形式:1、附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像。2、向收件人发出证实发送人身份的密码、计算机口令。3、采用特定生物技术识别工具,如指纹或者虹膜透视辨别法。4、使用非对称密码加密系统对电子记录进行加密、解密变换来实现的数字签名。电子认证服务:是指为
13、电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子签名人:是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。电子签名依赖方:是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。电子签名制作数据:是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据:是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。电子签名认证证书:是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。2.4.2 相关规定数字证书内容:电子签名法第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误
14、,并应当载明下列内容:(一)电子认证服务提供者名称;(二)证书持有人名称;(三)证书序列号;(四)证书有效期;(五)证书持有人的电子签名验证数据;(六)电子认证服务提供者的电子签名;(七)国务院信息产业主管部门规定的其他内容。电子认证服务机构的条件:电子认证服务管理办法第五条 电子认证服务机构,应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员 和客户服务人员不少于三十名;(三)注册资金不低于人民币三千万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机
15、构同意使用密码的证明文件;(七)法律、行政法规规定的其他条件。2.4.3 法律效益立法要解决的是规定安全可靠的电子签名应当达到的标准并赋予其法律效力;而如何达到法定标准,则属于技术问题。 电子签名法第十四条:“可靠的电子签名与手写签名或者盖章具有同等法律效力。” 电子签名法第十三条电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。3 CA安全解决方案3.1 总体架构在用友ERP的应用平台中,东方
16、中讯CA中心负责用户身份系统的权威数字证书管理,作为系统的基础支撑模块来完成整个可信平台的建设:目前,用友NC ERP已经成功集成了东方中讯的数字证书接口,因此,在用友软件ERP构建的企业ERP系统、资金管理系统中就可以直接通过使用东方中讯提供的数字证书服务,系统不必作任何改动就可以针对性的解决用友ERP所遇到的安全问题:如图所示,解决方案总体框架包含如下几个基本思想:一、 采用东方中讯提供的证书服务,为最终用户颁发数字证书,提供安全认证服务。二、 基于东方中讯和用友NC的系统集成,通过数字证书实现身份认证和访问控制,同时通过加密技术和数字签名技术,实现信息传输的机密性和抗抵赖性。三、 用户证
17、书保存在USB令牌中,USB令牌是一种安全的证书存储介质,可以保证保存在USB令牌上的证书私钥不能够被导出。同时,实现移动办公的需求。四、 技术和法律层面的双重保障抗抵赖性在2005年中华人民共和国电子签名法颁布以后,法律上规定:只有得到信息产业部颁发的电子认证服务许可证的数字认证机构,其所颁发的数字证书在电子商务中的数字签名才能够得到法律的认可和保护。东方中讯率先从信息产业部获得该资质,因此,用友NC ERP系统用户使用东方中讯提供的数字证书实现的电子签名是合乎法律要求的抗抵赖证据,从而使用友NC ERP的电子化签名和手写签名一样得到法律的认可,可以作为法律上有效的证据,结束了电子化信息系统
18、重要数据的“无据可依”,“无法可依”的现状。因此,通过此方式,用户能够实现技术和法律层面的双重保障。3.2 托管服务模式第三方托管型模式的解决方案的适用的范围是:传递的信息敏感,在技术层面上要实现敏感信息传递要防篡改、抗抵赖;信息传递双方(多方)的行为需要有公正的第三方的证实,在法律层面上要能够做到抗抵赖性。例如,资金管理系统中的分支机构和企业总部之间、电子交易平台中企业和经销商之间等。采用“第三方托管CA”模式企业可以节省,企业就可以专心做自己的业务,而不用购买和维护复杂的、昂贵的 PKI 系统。更重要的是:客户希望他们使用的数字证书得到电子签名法的保护,对于这样的用户我们建议采用第三方托管
19、服务模式:在东方中讯认证中心内部,为客户建立一套托管CA系统,企业在申请数字证书的时候只需要直接通过互联网到东方中讯数字认证中心在线申请代表集团企业员工、企业供应商、客户、合作伙伴等身份的数字证书。3.2.1 网络架构如上图所示: 托管CA服务在企业本地不建设任何CA模块,通过企业委派的CA管理员使用数字证书(以USB KEY为证书介质)登录到东方中讯认证中心后台为企业提供的RA控制中心来实现证书审批和管理功能。 CA管理员通过登录到用户注册服务器来完成用户证书申请以及其他证书生命周期管理功能。 发放数字证书后,用户可以将数字证书存放在USBKEY中,登入NC系统时采用用户名+口令+CA认证的
20、方式。 用户登入到NC系统,在做了相应的业务操作之后,需要用数字证书对数据进行签名保存,业务数据将被加密传输。 审批人员可以对签名的数据进行签名验证,查看业务数据是否被篡改。托管服务模式流程如下图:客户托管CA系统托管在东方中讯认证中心内部l 用户自己无需维护一套对技术和维护要求很高的CA系统,用户CA核心后台托管到东方中讯安全数据认证中心。用户需要建设的内容非常少,系统的建设速度也非常快。更重要的是,此种建设方式能够使用户的应用安全得到中华人民共和国电子签名法的保护。l 用户管理员可以远程管理其托管CA,安全便捷的发放数字证书。电子签名应用服务器在用户的系统中实现数字签名、身份认证、数据加解
21、密的电子签名集成系统(和NC系统配合)。3.2.2 CA系统工作流程设计(1)证书发放流程本方案设计的用友托管CA认证系统采用集中制证的发证模式,其工作流程如下图所示:证书发放流程(1) 最终用户使用浏览器,访问客户RA服务器,进入证书申请页面,填写证书申请信息,向客户RA认证系统提交证书申请请求。在本地USB令牌上产生证书的公私钥对,并将公钥和用户信息一起作为证书申请请求,提交给RA服务器;(2) RA管理员使用浏览器,访问RA服务器管理页面,查看用户提交的证书申请请求,验证申请信息,批准用户的证书申请请求;(3) RA服务器根据管理的批准,向托管在东方中讯的CA服务器进行申请,CA服务器根
22、据RA的申请,签发用户证书,将用户证书返回到RA端。同时,给用户发送一封电子邮件,指导用户下载签发的数字证书;(4) 最终用户按照邮件的提示,访问RA服务器,下载签发的证书,证书下载时自动保存到用户的USB令牌中,证书申请结束。(2)证书吊销流程在用户证书的私钥受到威胁、或者用户私钥丢失时,需要吊销用户的证书,根据用友的应用情况,本方案设计证书吊销由管理员进行,其工作流程如下:(1) 管理员在发现用户违反使用规定,或者用户自己向管理员发送邮件,请求吊销自己的证书时,管理员访问CA认证系统管理员管理页面,进行用户证书吊销;(2) 管理员通过证书管理功能页面,查询到需要吊销的用户证书;(3) 管理
23、员选择吊销操作,选择吊销用户证书的原因,向CA认证系统发送证书吊销请求;(4) CA认证系统根据管理员的证书吊销请求,自动的吊销用户的证书,并将吊销的用户证书发布到证书吊销列表中,同时对数据库中保存的用户证书的最新状态进行更新;(5) CA认证系统给管理员返回证书吊销成功信息,同时给用户发送电子邮件,告诉用户证书已经被吊销,不能再使用自己的证书。(3)证书更新流程最终用户在其证书即将过期之前,需要访问CA认证系统,更新自己的证书,其流程为:(1) 最终用户在证书即将过期前(一般为一个月),访问用户CA认证系统,登录用户服务页面,点击“证书更新”选项;(2) 系统自动识别用户是否具有用户CA认证
24、系统颁发的数字证书,并且判断是否过期,如果即将过期,便提示进行更新;(3) 用户选择需要更新的证书,点击提交,向CA认证系统提交证书更新请求。在提交证书更新请求时,在USB Key中,重新产生更新证书的公私钥对,将公钥和即将过期的证书一起,作为证书更新请求,提交给CA认证系统;(4) 管理员使用浏览器,登录CA认证系统管理员管理页面,查看用户提交的证书更新请求,验证证书更新信息,批准用户的证书更新请求;(5) CA认证系统根据管理员的批准,自动更新用户的证书,将更新的用户证书发布到目录服务器,同时给用户发送一封邮件,指导用户下载已更新的证书;(6) 用户按照邮件提示,访问CA认证系统,进入证书
25、下载页面,将已更新的证书下载到本地,自动保存到USB Key中3.2.3 CA系统实施部署流程(1) 可通过VPN设备来实现对数据传输过程中的安全保护; (2)为客户设计数字证书申请流程和证书上显示的个人信息;(在现场实施之前,东方中讯实施人员需要预先定制证书模板);(3)为客户进行NC系统对东方中讯数字证书支持的集成;即,由于东方中讯已与NC系统进行了接口集成,故只需修改NC系统的调用配置,支持东方中讯的证书即可;(NC系统当中证书的具体应用节点是由用友工程师协助完成);(4)NC系统在接口和数字证书的使用上有明确的规范和标准,需要在使用数字证书前通过手工绑定的方式,将“用户名”和数字证书捆
26、绑在一起,东方中讯提供进行绑定的工具;(5)完成全部实施工作。3.2.4 托管模式意义(1)从技术层面上讲:东方中讯数字证书实现的数字签名技术可以通过目前最安全的PKI技术上实现以下功能:数字签名:对关键业务数据进行签名,保证机密性、完整性和不可抵赖性。安全访问:替换掉原有安全级别较低的“用户名/口令”方式,防止非授权用户的恶意攻击,同时不能破坏 NC 原有的权限管理机制。信息加密:通过高强度的加密算法形成安全的SSL加密通道,防窃取。(2)从法律层面上讲:东方中讯率先获得了电子认证服务许可证,其所颁发的数字证书得到中华人民共和国电子签名法的认可和保护。NC-ERP使用东方中讯数字证书服务,其
27、电子化签名即和手写签名一样可以作为法律上有效的证据。有效的满足了NC-ERP资金、财务等敏感信息对法律方面的安全需求。3.3 CA技术与VPN相结合对于采用标准协议实现的VPN设备,由于VPN设备对数字证书的支持,根据东方中讯的经验,我们采用的方案是把PKI/CA技术与VPN应用系统相结合,解决VPN应用中存在的安全问题,确保VPN技术在互联网上应用的安全。我们可以通过CA认证系统为VPN设备颁发数字证书,为客户端颁发个人证书,利用东方中讯的CA系统进行相应的数字证书发放和管理。证书的加密和验证数据在这些设备之间进行传送,产生了一个安全的虚拟专用网络。3.3.1 VPN总体架构东方中讯通过为V
28、PN系统建立一套CA认证系统,为VPN系统用户发放数字证书,用户使用数字证书登录VPN系统,实现基于数字证书的VPN身份认证。本方案将采用东方中讯的东方中讯CA系统为VPN建设CA认证系统。总体框架图如下:一、 采用东方中讯东方中讯CA系统,建设一个标准的CA认证系统,为VPN设备和用户颁发数字证书,提供安全认证服务。二、 利用VPN体系架构,通过标准协议在VPN应用中集成数字证书。用户在登录到VPN系统时,必须提交CA认证系统颁发的用户证书,系统通过用户证书来实现对VPN用户的身份认证和访问控制。用户证书保存在最终用户的USB令牌中,USB令牌是一种安全的证书存储介质,可以保证保存在USB令
29、牌上的证书私钥不能够被导出。另外,使用USB令牌,员工可以在外地或网吧,随时随地的通过VPN客户端访问企业内部的业务系统,提交保存在USB令牌上的用户证书,实现VPN的安全登录。3.3.2 VPN安全登录实现原理目前,使用VPN可以采用两种方式,即使用证书的方式和不使用证书的方式。对于不使用证书的方式建立的VPN存在下列风险:(1) 不使用证书的方式建立VPN时,是基于“用户名和口令”的认证,我们知道“用户名和口令”的认证强度低,存在很多安全弱点,无法满足较高的安全需求;(2) 其次,不使用证书的方式存在VPN密钥分发的困难,VPN密钥是一个对称密钥,用来对VPN链路层数据的加密。而目前比较通
30、常的做法是在配置VPN时,就在VPN客户端和VPN服务端(VPN网关)之间配置一个共享的对称密钥。但是这种方式的对称密钥的安全性不高,很容易被泄漏。为了提高这种方式的安全性,需要管理员不定期的对共享的对称密钥进行更换,但是,由于更换对称密钥的操作中的人为因素等原因,使得这种方式存在巨大的安全隐患。为此,VPN应用引入了证书,来解决不使用证书方式存在的安全隐患:(1) VPN证书(包括VPN设备证书和VPN用户证书)是VPN设备和用户的护照,表明设备和用户的身份,基于数字证书的身份认证是一种强身份认证,完全可以满足应用的身份认证需求;(2) 使用VPN证书(包括VPN设备证书和VPN用户证书)可
31、以实现协商会话密钥,在进行数据通信时,发送方产生会话密钥,对发送数据进行加密,然后使用接收者的证书(公钥)加密会话密钥。接收者使用自己的证书私钥解密会话密钥,再用会话密钥解密被加密的数据;3.3.3 VPN证书应用根据以往的VPN证书应用经验,证书的应用流程主要有:(1) 登录CA服务器,下载VPN根证书,将CA根证书上传到设备系统中;(2) 为VPN设备申请设备证书,将设备证书上传到VPN设备中;配置VPN设备中使用证书的身份认证方式和加密方式等的参数;(3) 为用户申请用户证书,将证书保存在USB KEY中;并配置客户端程序,使VPN系统使用证书进行登录身份认证;(4) 用户在登录系统时,
32、跟原来的流程一样,VPN系统自动通过证书验证用户端额身份,根据用户的权限建立相应的连接;并通过证书来交换VPN加密通道的会话密钥;(5) 整个认证过程采用证书进行用户身份认证,并使用证书交换会话密钥,增强了系统的安全性。3.4 硬件RA- 东方中讯RA-M东方中讯电子认证注册服务器东方中讯RA-M锐风。3.4.1 概述东方中讯东方中讯RA-M是东方中讯根据市场需求自主研发的一款电子认证注册服务器。产品集成了用户注册服务、证书审批管理、吊销列表管理、证书发布管理、RA SDK开发包、WEB服务、数据库服务、日志审计服务等技术,提供了具有法律效力的证书申请、审核、核发、发布、更新、吊销等证书生命周
33、期管理功能,能够和企业应用系统无缝集成;东方中讯RA-M产品是高度硬件化集成,有效的解决了用户在部署、维护上的问题,购买该硬件设备后,即可通过工程师快速安装,安装简单、方便;维护成本低,效率高。产品可广泛应用于通信、网络、金融、电力、交通、军事、工业自动化等各领域。3.4.2 产品特点良好的兼容性:采用先进的技术框架,纯Java语言开发,具备极强的平台兼容性。简单易用:安装配置简单,WEB操作界面。扩展性好:提供基于标准的API接口,有良好的扩展性。维护方便:通过远程维护功能可以及时协助用户解决问题。性能可靠:经过严格测试,满足百万级以上证书运营的支持能力。3.4.3 产品功能1、用户证书服务
34、功能;证书申请、证书查询、证书下载、证书吊销、证书更新。2、管理员证书管理功能查看证书、吊销证书、注册证书、证书发行量查询、批量制证、管理员审计功能。3、系统配置管理网络配置、证书配置、邮件配置、运行状态显示、远程状态监控和维护。4、审计及日志管理按照管理员日志审计、按照证书审计、按照用户审计。3.5 证书存储介质本方案推荐使用USB KEY来保存用户的证书及私钥。USB KEY是以USB为接口的存储设备,它便于携带和使用,可以实现在所有的机器(具有USB接口)上的漫游,可以满足用友移动办公的需求。USB KEY可以设置用户口令保护,增强了证书及私钥的安全性。4 人员安全解决方案4.1 信息部
35、职责信息部负责审核数字证书认证服务提供者的认证资格。负责组织公司相关部门对数字证书管理制度和规范的制定,管理用户数字证书的签发、撤销、更新的技术性操作。负责证书审批平台的管理工作,组织相关部门对所要颁发证书的用户进行身份鉴证的工作。负责做好数字证书应用的技术支持工作。4.2 各部门、分公司的职责审核本部门员工申请数字证书的权限,执行公司有关的计算机网络安全管理规定及数字证书管理规定。对持有数字证书的员工在解除、终止劳动合同的24小时内,督促其填写数字证书应用撤销表并提交信息部。经本部门申请、为非公司在册员工开通的数字证书应用负监管责任。4.3 员工的权利与义务1、因工作需要,按照本规定的要求,
36、办理数字证书应用申请。2、依照本规定,正确、安全应用数字证书,不得泄露公司内部相关的信息。3、在使用过程中出现的任何故障,应及时向公司信息部进行反馈。4、妥善保管好数字证书,不得以任何方式将数字证书提供给他人使用。5、数字证书遗失,需及时填写数字证书撤销表并提交信息部,由于丢失所造成的损失由当事人本人承担。4.4 证书申请流程和规范数字证书应用主要是为用户提供安全的认证服务。证书申请流程和规范的制订,是为了便于用户理解,并按照申请流程和规范完成证书申请。4.4.1 数字证书发放模式发证模式是指采用何种方式将数字证书安全的发放给申请人。采用集中制证发证模式。集中制证定义为,申请人填写数字证书应用
37、申请表,经申请部门经理、信息部经理同意,报公司主管领导批准,证书审批签发人员由信息部数字证书管理员和相关部门(如人力资源部工作人员或证书的申请部门工作人员)一同代替用户申请、下载申请人证书,并将个人证书以安全的方式分发给最终用户,数字证书的备份存储到安全的介质内,授权开通相应的数字证书应用。在集中制证模式下,证书审批签发人员承担的责任和义务:u 必须按照申请人提交的数字证书应用申请表信息,集中生成申请人证书,制作个人USB KEY,并将用户证书安全的分发到用户手中;u 不得向其他人或机构透露申请人的信息;u 在制作证书过程中,必须保证两名以上工作人员且不为同一部门的工作人员同时在场;u 必须通
38、过安全的方式确认将保存有数字证书发放到申请人手中。(采用申领报的方式实现)在集中制证模式下,申请人承担的责任和义务:u 申请人必须如实填写数字证书应用申请表,提供给证书签发审批人员;u 申请人得到申请好数字证书之后,自己负责妥善保管好数字证书。u 申请人在离职或工作岗位变动时,须及时通知信息部,参照4.3条款。u 申请人在丢失证书时,须及时通知信息部,填写数字证书撤销表,并从新提交申请。4.4.2 数字证书申请流程1、申请人必须如实填写数字证书应用申请表, 经申请部门经理、信息部经理同意,报公司主管领导批准,提交信息部;2、证书审批签发人员根据审核通过的数字证书应用申请表信息为申请人申请数字证
39、书;3、证书审批签发人员将数字证书安全的发放到申请人手中;4、数字证书仅限于本人使用,需妥善保管,任何人不得以任何理由转借他人。4.5 鉴证审批管理规范4.5.1 鉴证审批的基本原则信息部在进行证书申请的鉴证审批时,必须遵循下列基本原则:u 鉴证审批工作必须在其他相关部门的监督下进行,信息部数字证书管理员部门不能擅自行使鉴证审批的职责;u 鉴证审批工作必须由信息部数字证书管理员进行,其它人员不能擅自代替数字证书管理员行使鉴证审批的职责;u 数字证书管理员必须遵循公司有关安全管理制度,对申请人的信息和资料保密,不得将申请人的信息和资料带出公司,并负责将申请人有关信息和资料进行归档备份;u 数字证
40、书管理员在进行鉴证审批时,必须遵循,认真的履行鉴证审批职责; u 证书申请只有在通过鉴证审批后,才能获得批准,并签发申请人证书;u 数字证书管理员在完成用户的鉴证审批后,对鉴证审批进行记录,包括记录鉴证审批的结果,对证书申请的处理结果,包括是批准、等待还是拒绝用户证书申请,将记录进行归档。4.5.2 证书更新鉴证在证书即将过期时,用户需要进行证书更新,向信息部系统管理员提交证书更新请求,证书更新鉴证是指证书鉴证审批工作人员对证书更新请求进行鉴证。用户填写数字证书更新申请,提交信息部和相关部门,数字证书管理员应该马上组织相关部门人员一同登录管理员站点,批准用户的证书更新请求,更新用户的证书。4.
41、5.3 证书吊销鉴证公司内持有数字证书的员工在如下情况:u 解除、终止劳动合同;u 工作需要。需撤销员工的数字证书应用时,应填写数字证书应用撤销表,提交给信息部。证书吊销流程:填写数字证书应用撤销表,提交给信息部;信息部数字证书系统管理员在得到数字证书应用撤销表之后,立刻登录管理员站点,查询到请求吊销的证书,认真核对证书的确是请求吊销的证书之后,选择吊销原因,吊销用户证书;信息部数字证书系统管理员将吊销的用户证书发布到证书吊销列表(CRL)中。4.6 网络管理员安全控制4.6.1 网络管理员职责网络管理员的基本职责是负责网络线路、设备及相关子系统的运行、管理和维护工作,保证网络正常运转及其安全
42、,并对网络建设规划及改造现有网络系统提供技术建议。1、有清醒的政治头脑和较强的信息处理能力,熟悉国家的网络管理法规,能严格遵守并正确执行相应的法规。2、负责组织落实本单位网络的扩建、改建及修建项目的实施工作,协助制订各项规章制度的建立。3、负责对网络设备、服务器、网络资源(如ip地址等)以及用户等的配置管理工作,确保本单位网络的连通性。4、负责网络故障排除工作,确保故障点在最短时间内得到恢复。5、负责网络流量的统计和分析(即统计用哪些用户使用网络、传输多少数据、访问什么资源以及各类资源的利用情况)工作。6、负责网络性能监测和控制工作,使之能在网络资源一定的前提下,确保网络提供可靠、连续的通信能
43、力,并使网络资源的使用达到最优。7、负责网络安全管理工作。防止网络资源被非法使用;防止网络资源由于入侵攻击而遭到破坏;防止病毒网络入侵等。杜绝任何单位和个人,利用校园网络从事与教学、科研和行政管理无关的活动。8、负责学校关键数据和信息的备份工作,并做好保密工作。9、做好相应的日志记录工作。10、坚持计算机、行政管理的业务学习,不断提高专业水平。特别是要掌握网络新技术、新应用,并能为其他部门用户提供技术支持。11、完成领导交办的其他工作4.6.2 NC系统人员安全管控1、NC管理员主要负责对NC系统用户管理,权限分配以及业务流程的设置。2、CA管理员主要负责证书的制作和用户与NC系统的绑定。(1
44、)登陆界面如下图: KEY插入之后,“证书”默认为管理员的证书。(2)绑定用户证书到NC用户:选择上图的“插入单条证书数据”,进入: 维护正确的key保护密码后点击“开始”,运行后如下图所示:过程中可能会出现错误提示,如:遇到此类情况,可能把KEY拔出再插入试试,如下成功:备注:key-ID允许为空,不过最好输入对应KEY的物理编号,以方便统计。 点击“插入数据库”,进行绑定:返回即完成绑定。3、网络管理员 主要负责对网络与计算机的管理,针对NC系统的安全,主要是由CA来完成。(1) 客户端身份安全管理财务人员使用数字证书的方式登入到NC资金系统,系统验证客户端key信息;(2) NC系统业务
45、操作安全管理在业务单据制作过程中,系统会要求财务人员提交客户端证书信息,对所做的业务单据做电子签名,一旦业务单据被黑客或者认为非法篡改,系统会提示验证签名失败。例:a、黑客篡改业务数据 b、付款单据被篡改C、系统发现业务单据被篡改(3)网管安全控制 在NC系统信息传输过程中,网银适配器到银行的安全是由各家银行来提供。而网银适配器是接收到业务系统(NC)发送的加密签名后的指令数据后,首先调用东方中讯提供的COM版解密模块使用网银适配器证书私钥对密文进行解密(详细方案参考4.2节)。 网管无法对业务单据进行支付操作。5 NC系统层次安全架构介绍5.1 客户端接入客户端接入:强大的访问控制与授权功能。NC采用“插件”式安全模型,用户能够部署自己定制的身份验证、授权和角色关系,也可以采用OS内部的安全机制、数字证书认证或者其它方法,并能很容易的与其它安全认证系统集成,比如指纹认证系统、数字证书认证系统、加密卡/机等等。安全认证网关应用:是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。同租用线路等方法相比,安全认证网关既节省开销又易于安装和使用,已经成为企业架构Intranet和Extranet的首选。图:使用安全认证网关建立的企业网的结构 企业内部资源享用者通过PSTN网连入本地ISP的POP(Point of P
