金蝶企业安全认证解决方案.ppt

报告人：孙天英 职 位：售前咨询工程师,金蝶企业安全认证解决方案,天诚安信简介 EAS/K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制,天诚安信简介,成立于2011年5月 是北京天威诚信的全资控股子公司 北京天威诚信成立于2000年9月 公司核心价值观：秉承创新 平衡发展 2005年获工信部批准，成为国内首家跨区域、跨行业的电子认证服务机构！,专注于商用密码技术相关产品研制开发，为企业、政府机构和 个人提供高品质、安全可信赖的商用密码产品与信息安全产品天诚安信简介,作为CA行业的唯一代表，参与《中华人民共和国电子签名法》的起草 《电子认证服务管理办法》起草专家组成员之一 负责国标《CA认证机构建设和运营管理规范》的制订 国家电子商务标准化总体组专家成员 参与国家信息中心电子政务外网PKI/CA体系的规划，并提供CA运营管理咨询,国内具有显著行业地位和最具影响力的CA认证中心,天诚安信简介——全国服务体系,北京总部,西南分公司,华南分公司,华东营销中心,宁波分中心,河南分中心,,,,,,,天诚安信&金蝶合作 EAS、K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制,信息安全事故案例——互联网应用,案例1：国内互联网“脱库门”,千万用户名密码被盗； 用户信息泄露； 系统程序被破坏，数据丢失。

案例2：危险的光大银行,钓鱼网站，用户资金被盗； 用户网上银行资金被盗； 用户信息泄露用户名、口令泄露，个人身份被冒用 钓鱼网站的出现，服务器身份被冒用由于互联网的开放性和共享性，黑客技术的发展、网络用户的安全意识不到位等原因，导致个人、企业各种信息暴漏在公网中：,信息安全事故案例——企业内部应用,案例1：中国人寿保单信息泄露,案例2：公司邮箱被盗，13万美元 货款丢失,企业机密信息、数据泄露哪个公司没有自己核心的客户资料、内部机密的财务数据、或者研发配方、还有设计图纸、投资方案，这些数据，一旦由于内部监管不力，而轻易泄露给了竞争对手，对于企业将会是致命的打击、公司所做的努力将会没有任何意义信息安全事故案例——资金系统应用,案例1：XX公司资金系统出纳账号被盗,案例2：XX公司资金系统管理员监守自盗,信息、数据被篡改； 内部监管不力，出现责任抵赖； 缺乏有效的电子证据公司系统安全问题日益严峻，不仅需要对外进行安全防护，对内，需要进行权限分割、安全监控、保留责任追溯证据EAS、K/3系统中存在的安全隐患,,,,EAS用户,EAS用户,EAS用户,,银企网关,,银行,集团企业,①,②,④,①,①,②,②,③,,企业CA防控系统,如何确认用户身份？,如何防止网络窃听？,如何发现信息篡改？,如何预防用户抵赖？,金蝶EAS、K/3,EAS、K/3安全需求总结,1、从技术层面,身份认证：提供安全级别比“用户名+口令高”的身份认证方式，保障身份真实性； 数据机密性：保障传输的资金数据（金额、银行账户…)等不被他人盗取）。

数据防篡改性：保障资金数据的真实性，不被他人篡改2、从法律层面,《中华人民共和国电子签名法》：系统里的数据符合电子签名法， 后期可提取相关数据进行取证，防止他人抵赖等行为；,各种安全技术比较,,,,,,,,,,,CA法律依据,,《电子签名法》第十四条可靠的电子签名与手写签名或者盖章具有同等法律效力《电子签名法》第十三条 电子签名同时符合下列条件的，视为可靠的电子签名： （一）电子签名制作数据用于电子签名时，属于电子签名人专有； （二）签署时电子签名制作数据仅由电子签名人控制； （三）签署后对电子签名的任何改动能够被发现； （四）签署后对数据电文内容和形式的任何改动能够被发现对数字证书应用过程的约束,《电子签名法》第十六条 电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务中华人民共和国电子签名法,天诚安信&金蝶合作 EAS、K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制,什么是CA系统？什么是第三方CA机构？,CA是一套严密的数字身份认证系统 CA和数字证书是密不可分的两个部分 CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构 CA系统由RA注册系统和CA签发系统组成第三方CA机构 获得国家认可的第三方CA中心 运营维护CA系统 为用户发放符合法律效力的数字证书,CA系统简介,,,数字证书,RA注册系统,CA签发系统,公安局,派出所,,,,,,,,身份证,CA系统,公安系统,EAS系统CA安全应用流程设计,,分公司用户,制作单据,审核单据,支付,外网,总部用户,登录,EAS资金系统,银企网关,,,,,登录,制作单据,审核单据,支付,签名验签 双重认证,单据电子签名 签名数据存储,单据验签 单据签名 签名存储,单据验签 单据签名 签名存储,,网银,服务器身份识别 加密传输通道 单据签名验签,EAS系统——托管型CA解决方案,EAS资金系统,总部用户,分公司用户,Internet,ESA,ESA,银企网关,银行,Internet,局域网,,天诚安信 数字认证中心,企业子CA系统,企业RA管理员,RA系统 （硬件锐风）,托管型CA方案涉及的产品和服务,天诚安信CA系统（最多100个用户） 在天诚安信数据中心国家CA根下面建立客户独立托管子CA系统； 用户管理员可以通过本地RA系统（硬件锐风服务器），安全便捷的发放数字证书。

ESA电子签名应用服务器 1、在用户的系统中实现身份认证、数字签名、数据加解密等功能 数字证书（有效期为一年） 1、员工数字证书 2、RA管理员数字证书 存储数字证书的USBKey 技术实施支持包含系统搭建、集成、培训等 软件系统维护服务第一年免费，第二年开始收费,EAS系统——自建型CA解决方案,EAS资金系统,总部用户,分公司用户,Internet,ESA,ESA,银企网关,银行,Internet,局域网,企业RA管理员,,企业CA系统,自建型CA方案涉及的产品和服务,天诚安信CA系统（500/1000用户）1、CA签发系统（软件）2、RA注册系统（软件） ESA电子签名应用服务器 1、在用户的系统中实现身份认证、数字签名、数据加解密等功能 存储数字证书的USBKey具有加密芯片储存和保护证书安全的介质 技术实施支持包含系统搭建、集成、培训等 软件系统维护服务第一年免费，第二年开始收费,EAS两种解决方案对比,CA安全解决方案设计,CA解决方案之K/3 Cloud公有云,,K/3 Cloud（公有云）,财务会计,成本管理,生产管理,HR管理,供应链管理,ESA（电子签名应用服务器）,RA API,,RA系统,金蝶K/3 子CA系统,,,互联网,金蝶K/3云服务中心,天诚安信 CA运营中心,A企业用户,B企业用户,C企业用户,互 联 网,CA系统：本地RA（RAAPI方式）； 创建独立子CA：K/3子CA系统 证书发放：审批、集中制作； 证书类型：VTN服务器证书，企业/员工证书； 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控。

CA解决方案之K/3 Cloud公有云,,K/3 Cloud（公有云）,财务会计,成本管理,生产管理,HR管理,供应链管理,ESA（电子签名应用服务器）,,RA系统,金蝶K/3 子CA系统,,,互联网,金蝶K/3云服务中心,天诚安信 CA运营中心,A企业用户,B企业用户,C企业用户,互 联 网,CA系统：本地RA（RA+CKS方式）； 创建独立子CA：K/3子CA系统 证书发放：审批、集中制作； 证书类型：VTN服务器证书，企业/员工证书； 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控CKS系统,CA解决方案之K/3 Cloud私有云,CA系统：自建CA系统； 证书发放：审批、集中制作； 证书类型：VTN/CTN服务器证书，企业证书、员工证书； 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控K/3 Cloud（企业私有云）,财务会计,成本管理,生产管理,HR管理,供应链管理,,企业本地,集团用户,分子公司,供应商,互联网,其他……,内网,企业自建CA系统,ESA（电子签名应用服务器）,CA解决方案之K/3 WISE,K/3 Wise,金蝶K/3 子CA系统,内网用户,分子公司,出差人员,互联网,内网,,,企业本地,天诚安信 CA运营中心,ESA（电子签名应用服务器）,CA系统：自建CA系统； 证书发放：审批、集中制作； 证书类型：VTN/CTN服务器证书，企业证书、员工证书； 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控。

业务应用------（一）设置登录认证节点,设置用户CA认证方式,业务应用------（一）身份认证,******,业务应用层面------（二）客商资料管理,设置业务节点二次CA认证,业务应用------（三）单据制作,业务应用------（四）单据审核,业务应用------（五）支付确认,天诚安信CA构建K/3系统安全体系,,,,,,,,,,,,,,,,用户身份认证：采用证书认证方式 服务器身份：发放服务器证书,信息加密：保障信息机密性,信息签名：防止操作行为抵赖,证书法律效力：提供法律 效力高的第三方证书服务,法律层面,技术层面,有效的电子证据：电子签名数据 符合《中华人民共和国电子签名 法》，可用于后期取证,,,信息验签：保障数据的真实性， 防止被他人篡改,天诚安信完全解决了EAS/K/3系统中的安全风险！,天诚安信&金蝶合作 EAS/K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制,案例分析——中国铁建（自建型CA）,中国铁建（简称CRCC)有29家分子公司分部在全国, CRCC为了提高工作效率和管理效率，建立了自己的企业应用中心平台（单点登录），即将HR、COM、B2B、LCM、IS等系统的功能模块集成到一个平台上进行访问和管理，达到数据、资源的共享及统一管理功能。

但是由于互联网的开放性和共享性，给各业务系统的访问，操作带来许多信息安全隐患，从管理便宜性上、性价比上考虑，最终CRCC采用了自建CA系统来保障应用的安全案例分析——万科集团（托管型CA）,方案实现的功能： 使用数字证书替代原有“用户名+口令”，实现强身份认证； 实现双向SSL加密通道，保障数据的机密性； 采用电子签名技术，实现数据防篡改性，并且提供合法合规的电子证据； 对系统内关键业务流程节点进行CA管控（如编制、审批、支付），保障业务流程安全性； 提供有效的电子证据，可做法律依据方案设计： 万科集团选择采用天诚安信的符合《中华人民共和国电子签名法》要求的企业员工客户端数字证书及电子签名应用服务器ESA（即托管型CA模式）共同实现集团资金管理系统的安全可控性天诚安信&金蝶其他部分案例,深圳市城市建设开发集团 广东海大集团 山东丰源煤电股份有限公司 许继集团有限公司 光明食品集团有限公司 皖西制药集团项目数字证书 深圳茂业商厦有限公司 厦门住宅集团 白天鹅宾馆 TCL财务公司 工商银行OEM自建CA项目 新希望新 厦门轨道交通集团有限公司 广东宏大爆破股份有限公司,山西煤销集团长治有限公司 河北钢铁集团敬业钢铁有限公司 中国南山开发(集团)股份有限公司 广西柳州钢铁（集团）公司 康顺汽车 上海纺织（集团）有限公司 中国铁建股份有限公司 江西省天然气投资有限公司 合肥供水集团有限公司 万科企业股份有限公司 安徽省农垦集团 厦门特区房地产集团资金CA认证 厦门经济特区房地产开发集团有限公司 江西投资燃气有限公司 ……,CA营销优势,天诚安信项目生命周期流程,售前团队,文档输出,效果演示,项目团队,实施计划,实施方案,项目培训,项目发布,。