用友NC安全解决方案

用友NC安全解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 东方中讯数字证书认证有限公司目录11前言12应用安全需求概述22.1用友NC实现功能22.2CA应用需求42.3VPN安全应用需求52.4法律需求—电子签名法52.4.1相关概念62.4.2相关规定72.4.3法律效益73CA安全解决方案73.1总体架构93.2托管服务模式103.2.1网络架构113.2.2CA系统工作流程设计143.2.3CA系统实施部署流程143.2.4托管模式意义153.3CA技术与VPN相结合153.3.1VPN总体架构163.3.2VPN安全登录实现原理173.3.3VPN证书应用183.4硬件RA----东方中讯RA-M183.4.1概述183.4.2产品特点193.4.3产品功能193.5证书存储介质204人员安全解决方案204.1信息部职责204.2各部门、分公司的职责204.3员工的权利与义务214.4证书申请流程和规范214.4.1数字证书发放模式224.4.2数字证书申请流程234.5鉴证审批管理规范234.5.1鉴证审批的基本原则244.5.2证书更新鉴证244.5.3证书吊销鉴证254.6网络管理员安全控制254.6.1网络管理员职责264.6.2NC系统人员安全管控315NC系统层次安全架构介绍315.1客户端接入335.2传输层加密335.3服务器安全345.4数据库安全356证书审批模式设计366.1手动审批376.2自动审批396.3通行码审批406.4集中制证模式427CA安全认证系统工作原理427.1系统安全原理467.2系统环境要求468证书存储方式468.1USBKEY介绍478.2USBKEY优点488.3USBKEY密码489用友NC系统证书应用5210技术支持与培训53附件一关于东方中讯57附件二东方中讯相关资质1前言用友软件是中国最大的管理软件、ERP软件、财务软件、集团管理软件供应商之一。用友NC是用友公司面向集团型企业和高成长型企业推出的高端ERP产品，涵盖从集中财务管理、供应链管理、集团资金管理等全面应用，全面支持企业各项经营，是集团企业协同电子商务的有效手段。用友NC与东方中讯数字PKI/CA产品和服务的整合方案，是一次强强联合。用友NC核心管理理念是“集中管理战略协同”，其中“战略协同”是致力于集团企业各组织间以及企业员工之间、上下游供应商、伙伴、客户等在信息共享的基础上的协同工作。而东方中讯作为专业的电子认证服务运营商和CA产品提供商，实现了用友NC用户多方安全协同工作，保障信息传递的机密性、保障电子化信息交互的层面上双方（多方）行为的不可篡改和不可抵赖性、并且使电子化的数字签名和手写签名一样具有法律的效力，得到《中华人民共和国电子签名法》法律的保障。目前，用友NC系统已经成功支持东方中讯CA产品和服务，NC系统只需简单的部署和配置，就可以实现基于数字证书的各种安全功能，保障系统高效、成功地实施。迄今为止，东方中讯PKI/CA安全解决方案已在众多大型集团企业的资金管理系统中成功应用。东方中讯以高可靠性的产品及优质的技术支持能力成为用友集团CA认证合作伙伴，为用友NC产品保驾护航，提供全面的安全解决方案。2应用安全需求概述目前NC的默认登录方式是用户名+口令的方式，安全性不高，容易被暴力破解，当然在业务交流的时候也会因为人为的疏忽或者黑客的攻击而导致业务信息丢失，公开或者篡改，使用户的资金系统存在着安全隐患，导致不必要的损失。2.1用友NC实现功能1、通过NC系统的应付系统来完成支付业务的全过程管理。2、由系统实现专项预算对支付的自动控制，超出部分不允许支付。3、可以通过配置不同付款单的审批流程来控制各子公司的支付走款，同时不允许修改由支付业务触发生成的总账凭证中的金额等要素。4、子公司出纳将审批通过的付款单进行支付，如果开通了银企互联的支付功能，则可以在系统平台上直接对外支付。5、子公司财务人员根据支付完成的付款单自动触发生成相关会计凭证。2.2CA应用需求由于在用户内部存在着许多支付和审批交易，不可避免的会遇到一些安全保障因素，对支付人、审批人的身份认证，可信电子签名，操作控制以及抗抵赖追等，都是集团考虑的安全要素。就用户的应用安全需求，结合用友NC系统，东方中讯提出下面几点具体的CA安全需求：·基于用户名/口令的认证方式基于用户名/口令的认证方式是最常用的一种技术，也是现在用友NC普遍使用的认证方式，无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录，都是基于用户名和口令的方式认证。基于用户名/口令的认证方式存在严重的安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，是攻击者最容易攻击的目标：1)它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。2)为记忆方便，是用户往往选择简单、容易被猜测的口令，如：与用户名相同的口令、生日、单词等。这往往成为安全系统最薄弱的突破口。3)口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。关于网站安全的调查结果表明：超过80％的安全入侵是由于用户选用了拙劣的口令而导致的。由此可以推断，大部分的入侵可以通过选择好的口令来阻止。·应用系统对关键操作的控制关键操作即对数据交互的安全操作，比如在ERP系统中关键文档的提交和发布，报帐系统中重要信息的传输，资金系统中涉及资金的审批，供应链中的单据确认等等。主要涉及了三方面的安全风险：1)信息的机密性：传输在客户端与Web服务器之间的敏感、机密信息和交易数据，如客户的私隐信息等，这些数据都是保密的数据。而通过开放的互联网，有可能在传输过程中被截取，被非法用户加以利用，给用户和企业造成损失。2)信息的完整性：在保证信息机密性的同时，还需要保证敏感数据的完整传输。通过开放的互联网，敏感数据在传输过程中很可能被恶意篡改，使得接收方不能得到完整的信息。3)信息的不可抵赖性：是指发送信息的一方不能对自己的发送的信息进行抵赖，不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网，经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题，给交易的双方带来巨大的影响和损失。网上交互（交易）行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据（无论是司法取证还是内部管理追溯或者审计）。·身份及资产的管理无论内部员工还是外部用户，最大的风险就是信息环境中人与用户的关联性。当前信息安全的发展不仅要求虚拟身份的标识符合应用系统要求，而且强调标识方式符合真实的社会实体要求，即虚拟身份与真实身份唯一对应。对设备等实物资产同样，无法将真实身份按角色的分配给用户会导致整个管理的混乱，信息孤岛会导致IT的目标与企业战略和股东利益的不一致。东方中讯为用友NC提供的解决方案，能够完全解决财务、资金、供应链、客户关系管理、决策支撑、人力资源等丰富系统中的用户认证、数据加密、信息不可否认性等方面存在的安全问题。2.3VPN安全应用需求随着信息化应用需求的逐步深入，企事业单位的内部应用系统往往需要向外部人员开放，方便本单位驻外地员工或者外单位人员进行业务交流，在这种需求下，越来越多的企事业单位通过VPN系统处理外部用户的业务请求，采用VPN使外部用户可以方便的登录企业内部办公应用系统。在这种模式下，用户通过VPN能够直接接入企业内网，为了企业内部网络安全和传输信息安全，采用何种用户认证模式，就显得尤为重要了。具体的需求如下：（1）身份认证和访问控制：高强度的身份认证是保障VPN系统安全的前提，VPN系统对用户的身份认证往往采用的是“用户名＋密码”的方式，这种口令式的用户身份认证方式降低了VPN系统的整体安全性。（2）机密性：在网络上传输的信息不能被窃取；（3）数据完整性：在网络上传输的信息不能被恶意窜改；（4）不可抵赖性：在网上提交的请求是不允许抵赖的，同时对涉及信息安全的事件，提供事后追踪、审核及统计的手段。2.4法律需求—电子签名法2.4.1相关概念电子签名：是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文：是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。电子签名的表现形式：1、附着于电子文件的手写签名的数字化图像，包括采用生物笔迹辨别法所形成的图像。2、向收件人发出证实发送人身份的密码、计算机口令。3、采用特定生物技术识别工具，如指纹或者虹膜透视辨别法。4、使用非对称密码加密系统对电子记录进行加密、解密变换来实现的数字签名。电子认证服务：是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子签名人：是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。电子签名依赖方：是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。电子签名制作数据：是指在电子签名过程中使用的，将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据：是指用于验证电子签名的数据，包括代码、口令、算法或者公钥等。电子签名认证证书：是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。2.4.2相关规定数字证书内容：《电子签名法》第二十一条电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：（一）电子认证服务提供者名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。电子认证服务机构的条件：《电子认证服务管理办法》第五条电子认证服务机构，应当具备下列条件：（一）具有独立的企业法人资格；（二）从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；（三）注册资金不低于人民币三千万元；（四）具有固定的经营场所和满足电子认证服务要求的物理环境；（五）具有符合国家有关安全 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的技术和设备；（六）具有国家密码管理机构同意使用密码的证明文件；（七）法律、行政法规规定的其他条件。2.4.3法律效益立法要解决的是规定安全可靠的电子签名应当达到的标准并赋予其法律效力；而如何达到法定标准，则属于技术问题。《电子签名法》第十四条：“可靠的电子签名与手写签名或者盖章具有同等法律效力。”《电子签名法》第十三条电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。3CA安全解决方案3.1总体架构在用友ERP的应用平台中，东方中讯CA中心负责用户身份系统的权威数字证书管理，作为系统的基础支撑模块来完成整个可信平台的建设：目前，用友NCERP已经成功集成了东方中讯的数字证书接口，因此，在用友软件ERP构建的企业ERP系统、资金管理系统中就可以直接通过使用东方中讯提供的数字证书服务，系统不必作任何改动就可以针对性的解决用友ERP所遇到的安全问题：如图所示，解决方案总体框架包含如下几个基本思想：1、采用东方中讯提供的证书服务，为最终用户颁发数字证书，提供安全认证服务。2、基于东方中讯和用友NC的系统集成，通过数字证书实现身份认证和访问控制，同时通过加密技术和数字签名技术，实现信息传输的机密性和抗抵赖性。3、用户证书保存在USB令牌中，USB令牌是一种安全的证书存储介质，可以保证保存在USB令牌上的证书私钥不能够被导出。同时，实现移动办公的需求。4、技术和法律层面的双重保障抗抵赖性在2005年中华人民共和国《电子签名法》颁布以后，法律上规定：只有得到信息产业部颁发的《电子认证服务许可证》的数字认证机构，其所颁发的数字证书在电子商务中的数字签名才能够得到法律的认可和保护。东方中讯率先从信息产业部获得该资质，因此，用友NCERP系统用户使用东方中讯提供的数字证书实现的电子签名是合乎法律要求的抗抵赖证据，从而使用友NCERP的电子化签名和手写签名一样得到法律的认可，可以作为法律上有效的证据，结束了电子化信息系统重要数据的“无据可依”，“无法可依”的现状。因此，通过此方式，用户能够实现技术和法律层面的双重保障。3.2托管服务模式第三方托管型模式的解决方案的适用的范围是：传递的信息敏感，在技术层面上要实现敏感信息传递要防篡改、抗抵赖；信息传递双方（多方）的行为需要有公正的第三方的证实，在法律层面上要能够做到抗抵赖性。例如，资金管理系统中的分支机构和企业总部之间、电子交易平台中企业和经销商之间等。采用“第三方托管CA”模式企业可以节省，企业就可以专心做自己的业务，而不用购买和维护复杂的、昂贵的PKI系统。更重要的是：客户希望他们使用的数字证书得到《电子签名法》的保护，对于这样的用户我们建议采用第三方托管服务模式：在东方中讯认证中心内部，为客户建立一套托管CA系统，企业在申请数字证书的时候只需要直接通过互联网到东方中讯数字认证中心在线申请代表集团企业员工、企业供应商、客户、合作伙伴等身份的数字证书。3.2.1网络架构如上图所示：·托管CA服务在企业本地不建设任何CA模块，通过企业委派的CA管理员使用数字证书（以USBKEY为证书介质）登录到东方中讯认证中心后台为企业提供的RA控制中心来实现证书审批和管理功能。·CA管理员通过登录到用户注册服务器来完成用户证书申请以及其他证书生命周期管理功能。·发放数字证书后，用户可以将数字证书存放在USBKEY中，登入NC系统时采用用户名+口令+CA认证的方式。·用户登入到NC系统，在做了相应的业务操作之后，需要用数字证书对数据进行签名保存，业务数据将被加密传输。·审批人员可以对签名的数据进行签名验证，查看业务数据是否被篡改。托管服务模式流程如下图：客户托管CA系统——托管在东方中讯认证中心内部·用户自己无需维护一套对技术和维护要求很高的CA系统，用户CA核心后台托管到东方中讯安全数据认证中心。用户需要建设的内容非常少，系统的建设速度也非常快。更重要的是，此种建设方式能够使用户的应用安全得到《中华人民共和国电子签名法》的保护。·用户管理员可以远程管理其托管CA，安全便捷的发放数字证书。电子签名应用服务器在用户的系统中实现数字签名、身份认证、数据加解密的电子签名集成系统（和NC系统配合）。3.2.2CA系统工作流程设计（1）证书发放流程本方案设计的用友托管CA认证系统采用集中制证的发证模式，其工作流程如下图所示：证书发放流程（1）最终用户使用浏览器，访问客户RA服务器，进入证书申请页面，填写证书申请信息，向客户RA认证系统提交证书申请请求。在本地USB令牌上产生证书的公私钥对，并将公钥和用户信息一起作为证书申请请求，提交给RA服务器；（2）RA管理员使用浏览器，访问RA服务器管理页面，查看用户提交的证书申请请求，验证申请信息，批准用户的证书申请请求；（3）RA服务器根据管理的批准，向托管在东方中讯的CA服务器进行申请，CA服务器根据RA的申请，签发用户证书，将用户证书返回到RA端。同时，给用户发送一封电子邮件，指导用户下载签发的数字证书；（4）最终用户按照邮件的提示，访问RA服务器，下载签发的证书，证书下载时自动保存到用户的USB令牌中，证书申请结束。（2）证书吊销流程在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书，根据用友的应用情况，本方案设计证书吊销由管理员进行，其工作流程如下：（1）管理员在发现用户违反使用规定，或者用户自己向管理员发送邮件，请求吊销自己的证书时，管理员访问CA认证系统管理员管理页面，进行用户证书吊销；（2）管理员通过证书管理功能页面，查询到需要吊销的用户证书；（3）管理员选择吊销操作，选择吊销用户证书的原因，向CA认证系统发送证书吊销请求；（4）CA认证系统根据管理员的证书吊销请求，自动的吊销用户的证书，并将吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新；（5）CA认证系统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己的证书。（3）证书更新流程最终用户在其证书即将过期之前，需要访问CA认证系统，更新自己的证书，其流程为：（1）最终用户在证书即将过期前（一般为一个月），访问用户CA认证系统，登录用户服务页面，点击“证书更新”选项；（2）系统自动识别用户是否具有用户CA认证系统颁发的数字证书，并且判断是否过期，如果即将过期，便提示进行更新；（3）用户选择需要更新的证书，点击提交，向CA认证系统提交证书更新请求。在提交证书更新请求时，在USBKey中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给CA认证系统；（4）管理员使用浏览器，登录CA认证系统管理员管理页面，查看用户提交的证书更新请求，验证证书更新信息，批准用户的证书更新请求；（5）CA认证系统根据管理员的批准，自动更新用户的证书，将更新的用户证书发布到目录服务器，同时给用户发送一封邮件，指导用户下载已更新的证书；（6）用户按照邮件提示，访问CA认证系统，进入证书下载页面，将已更新的证书下载到本地，自动保存到USBKey中3.2.3CA系统实施部署流程（1）可通过VPN设备来实现对数据传输过程中的安全保护；（2）为客户设计数字证书申请流程和证书上显示的个人信息；（在现场实施之前，东方中讯实施人员需要预先定制证书模板）；（3）为客户进行NC系统对东方中讯数字证书支持的集成；即，由于东方中讯已与NC系统进行了接口集成，故只需修改NC系统的调用配置，支持东方中讯的证书即可；（NC系统当中证书的具体应用节点是由用友工程师协助完成）；（4）NC系统在接口和数字证书的使用上有明确的规范和标准，需要在使用数字证书前通过手工绑定的方式，将“用户名”和数字证书捆绑在一起，东方中讯提供进行绑定的工具；（5）完成全部实施工作。3.2.4托管模式意义（1）从技术层面上讲：东方中讯数字证书实现的数字签名技术可以通过目前最安全的PKI技术上实现以下功能：数字签名：对关键业务数据进行签名，保证机密性、完整性和不可抵赖性。安全访问：替换掉原有安全级别较低的“用户名/口令”方式，防止非授权用户的恶意攻击，同时不能破坏NC原有的权限管理机制。信息加密：通过高强度的加密算法形成安全的SSL加密通道，防窃取。（2）从法律层面上讲：东方中讯率先获得了《电子认证服务许可证》，其所颁发的数字证书得到中华人民共和国《电子签名法》的认可和保护。NC-ERP使用东方中讯数字证书服务，其电子化签名即和手写签名一样可以作为法律上有效的证据。有效的满足了NC-ERP资金、财务等敏感信息对法律方面的安全需求。3.3CA技术与VPN相结合对于采用标准协议实现的VPN设备，由于VPN设备对数字证书的支持，根据东方中讯的经验，我们采用的方案是把PKI/CA技术与VPN应用系统相结合，解决VPN应用中存在的安全问题，确保VPN技术在互联网上应用的安全。我们可以通过CA认证系统为VPN设备颁发数字证书，为客户端颁发个人证书，利用东方中讯的CA系统进行相应的数字证书发放和管理。证书的加密和验证数据在这些设备之间进行传送，产生了一个安全的虚拟专用网络。3.3.1VPN总体架构东方中讯通过为VPN系统建立一套CA认证系统，为VPN系统用户发放数字证书，用户使用数字证书登录VPN系统，实现基于数字证书的VPN身份认证。本方案将采用东方中讯的东方中讯CA系统为VPN建设CA认证系统。总体框架图如下：1、采用东方中讯东方中讯CA系统，建设一个标准的CA认证系统，为VPN设备和用户颁发数字证书，提供安全认证服务。2、利用VPN体系架构，通过标准协议在VPN应用中集成数字证书。用户在登录到VPN系统时，必须提交CA认证系统颁发的用户证书，系统通过用户证书来实现对VPN用户的身份认证和访问控制。用户证书保存在最终用户的USB令牌中，USB令牌是一种安全的证书存储介质，可以保证保存在USB令牌上的证书私钥不能够被导出。另外，使用USB令牌，员工可以在外地或网吧，随时随地的通过VPN客户端访问企业内部的业务系统，提交保存在USB令牌上的用户证书，实现VPN的安全登录。3.3.2VPN安全登录实现原理目前，使用VPN可以采用两种方式，即使用证书的方式和不使用证书的方式。对于不使用证书的方式建立的VPN存在下列风险：（1）不使用证书的方式建立VPN时，是基于“用户名和口令”的认证，我们知道“用户名和口令”的认证强度低，存在很多安全弱点，无法满足较高的安全需求；（2）其次，不使用证书的方式存在VPN密钥分发的困难，VPN密钥是一个对称密钥，用来对VPN链路层数据的加密。而目前比较通常的做法是在配置VPN时，就在VPN客户端和VPN服务端（VPN网关）之间配置一个共享的对称密钥。但是这种方式的对称密钥的安全性不高，很容易被泄漏。为了提高这种方式的安全性，需要管理员不定期的对共享的对称密钥进行更换，但是，由于更换对称密钥的操作中的人为因素等原因，使得这种方式存在巨大的安全隐患。为此，VPN应用引入了证书，来解决不使用证书方式存在的安全隐患：（1）VPN证书（包括VPN设备证书和VPN用户证书）是VPN设备和用户的护照，表明设备和用户的身份，基于数字证书的身份认证是一种强身份认证，完全可以满足应用的身份认证需求；（2）使用VPN证书（包括VPN设备证书和VPN用户证书）可以实现协商会话密钥，在进行数据通信时，发送方产生会话密钥，对发送数据进行加密，然后使用接收者的证书（公钥）加密会话密钥。接收者使用自己的证书私钥解密会话密钥，再用会话密钥解密被加密的数据；3.3.3VPN证书应用根据以往的VPN证书应用经验，证书的应用流程主要有：（1）登录CA服务器，下载VPN根证书，将CA根证书上传到设备系统中；（2）为VPN设备申请设备证书，将设备证书上传到VPN设备中；配置VPN设备中使用证书的身份认证方式和加密方式等的参数；（3）为用户申请用户证书，将证书保存在USBKEY中；并配置客户端程序，使VPN系统使用证书进行登录身份认证；（4）用户在登录系统时，跟原来的流程一样，VPN系统自动通过证书验证用户端额身份，根据用户的权限建立相应的连接；并通过证书来交换VPN加密通道的会话密钥；（5）整个认证过程采用证书进行用户身份认证，并使用证书交换会话密钥，增强了系统的安全性。3.4硬件RA----东方中讯RA-M东方中讯电子认证注册服务器东方中讯RA-M锐风。概述东方中讯东方中讯RA-M是东方中讯根据市场需求自主研发的一款电子认证注册服务器。产品集成了用户注册服务、证书审批管理、吊销列表管理、证书发布管理、RASDK开发包、WEB服务、数据库服务、日志审计服务等技术，提供了具有法律效力的证书申请、审核、核发、发布、更新、吊销等证书生命周期管理功能，能够和企业应用系统无缝集成；东方中讯RA-M产品是高度硬件化集成，有效的解决了用户在部署、维护上的问题，购买该硬件设备后，即可通过工程师快速安装，安装简单、方便；维护成本低，效率高。产品可广泛应用于通信、网络、金融、电力、交通、军事、工业自动化等各领域。产品特点良好的兼容性：采用先进的技术框架，纯Java语言开发，具备极强的平台兼容性。简单易用：安装配置简单，WEB操作界面。扩展性好：提供基于标准的API接口，有良好的扩展性。维护方便：通过远程维护功能可以及时协助用户解决问题。性能可靠：经过严格测试，满足百万级以上证书运营的支持能力。产品功能1、用户证书服务功能；证书申请、证书查询、证书下载、证书吊销、证书更新。2、管理员证书管理功能查看证书、吊销证书、注册证书、证书发行量查询、批量制证、管理员审计功能。3、系统配置管理网络配置、证书配置、邮件配置、运行状态显示、远程状态监控和维护。4、审计及日志管理按照管理员日志审计、按照证书审计、按照用户审计。3.5证书存储介质本方案推荐使用USBKEY来保存用户的证书及私钥。USBKEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB接口）上的漫游，可以满足用友移动办公的需求。USBKEY可以设置用户口令保护，增强了证书及私钥的安全性。4人员安全解决方案信息部职责信息部负责审核数字证书认证服务提供者的认证资格。负责组织公司相关部门对数字证书 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 和规范的制定，管理用户数字证书的签发、撤销、更新的技术性操作。负责证书审批平台的管理工作，组织相关部门对所要颁发证书的用户进行身份鉴证的工作。负责做好数字证书应用的技术支持工作。各部门、分公司的职责审核本部门员工申请数字证书的权限，执行公司有关的计算机网络安全管理规定及数字证书管理规定。对持有数字证书的员工在解除、终止劳动合同的24小时内，督促其填写《数字证书应用撤销表》并提交信息部。经本部门申请、为非公司在册员工开通的数字证书应用负监管责任。员工的权利与义务1、因工作需要，按照本规定的要求，办理数字证书应用申请。2、依照本规定，正确、安全应用数字证书，不得泄露公司内部相关的信息。3、在使用过程中出现的任何故障，应及时向公司信息部进行反馈。4、妥善保管好数字证书，不得以任何方式将数字证书提供给他人使用。5、数字证书遗失，需及时填写《数字证书撤销表》并提交信息部，由于丢失所造成的损失由当事人本人承担。证书申请流程和规范数字证书应用主要是为用户提供安全的认证服务。证书申请流程和规范的制订，是为了便于用户理解，并按照申请流程和规范完成证书申请。4.1.1数字证书发放模式发证模式是指采用何种方式将数字证书安全的发放给申请人。采用集中制证发证模式。集中制证定义为，申请人填写《数字证书应用申请表》，经申请部门经理、信息部经理同意，报公司主管领导批准，证书审批签发人员——由信息部数字证书管理员和相关部门（如人力资源部工作人员或证书的申请部门工作人员）一同代替用户申请、下载申请人证书，并将个人证书以安全的方式分发给最终用户，数字证书的备份存储到安全的介质内，授权开通相应的数字证书应用。在集中制证模式下，证书审批签发人员承担的责任和义务：·必须按照申请人提交的《数字证书应用申请表》信息，集中生成申请人证书，制作个人USBKEY，并将用户证书安全的分发到用户手中；·不得向其他人或机构透露申请人的信息；·在制作证书过程中，必须保证两名以上工作人员且不为同一部门的工作人员同时在场；·必须通过安全的方式确认将保存有数字证书发放到申请人手中。（采用申领报的方式实现）在集中制证模式下，申请人承担的责任和义务：·申请人必须如实填写《数字证书应用申请表》，提供给证书签发审批人员；·申请人得到申请好数字证书之后，自己负责妥善保管好数字证书。·申请人在离职或工作岗位变动时，须及时通知信息部，参照4.3条款。·申请人在丢失证书时，须及时通知信息部，填写《数字证书撤销表》，并从新提交申请。4.1.2数字证书申请流程1、申请人必须如实填写《数字证书应用申请表》,经申请部门经理、信息部经理同意，报公司主管领导批准，提交信息部；2、证书审批签发人员根据审核通过的《数字证书应用申请表》信息为申请人申请数字证书；3、证书审批签发人员将数字证书安全的发放到申请人手中；4、数字证书仅限于本人使用，需妥善保管，任何人不得以任何理由转借他人。鉴证审批管理规范4.1.3鉴证审批的基本原则信息部在进行证书申请的鉴证审批时，必须遵循下列基本原则：·鉴证审批工作必须在其他相关部门的监督下进行，信息部数字证书管理员部门不能擅自行使鉴证审批的职责；·鉴证审批工作必须由信息部数字证书管理员进行，其它人员不能擅自代替数字证书管理员行使鉴证审批的职责；·数字证书管理员必须遵循公司有关安全管理制度，对申请人的信息和资料保密，不得将申请人的信息和资料带出公司，并负责将申请人有关信息和资料进行归档备份；·数字证书管理员在进行鉴证审批时，必须遵循，认真的履行鉴证审批职责；·证书申请只有在通过鉴证审批后，才能获得批准，并签发申请人证书；·数字证书管理员在完成用户的鉴证审批后，对鉴证审批进行记录，包括记录鉴证审批的结果，对证书申请的处理结果，包括是批准、等待还是拒绝用户证书申请，将记录进行归档。4.1.4证书更新鉴证在证书即将过期时，用户需要进行证书更新，向信息部系统管理员提交证书更新请求，证书更新鉴证是指证书鉴证审批工作人员对证书更新请求进行鉴证。用户填写《数字证书更新申请》，提交信息部和相关部门，数字证书管理员应该马上组织相关部门人员一同登录管理员站点，批准用户的证书更新请求，更新用户的证书。4.1.5证书吊销鉴证公司内持有数字证书的员工在如下情况：·解除、终止劳动合同；·工作需要。需撤销员工的数字证书应用时，应填写《数字证书应用撤销表》，提交给信息部。证书吊销流程：填写《数字证书应用撤销表》，提交给信息部；信息部数字证书系统管理员在得到《数字证书应用撤销表》之后，立刻登录管理员站点，查询到请求吊销的证书，认真核对证书的确是请求吊销的证书之后，选择吊销原因，吊销用户证书；信息部数字证书系统管理员将吊销的用户证书发布到证书吊销列表（CRL）中。网络管理员安全控制4.1.6网络管理员职责网络管理员的基本职责是负责网络线路、设备及相关子系统的运行、管理和维护工作，保证网络正常运转及其安全，并对网络建设规划及改造现有网络系统提供技术建议。1、有清醒的政治头脑和较强的信息处理能力，熟悉国家的网络管理法规，能严格遵守并正确执行相应的法规。2、负责组织落实本单位网络的扩建、改建及修建项目的实施工作，协助制订各项规章制度的建立。3、负责对网络设备、服务器、网络资源（如ip地址等）以及用户等的配置管理工作，确保本单位网络的连通性。4、负责网络故障排除工作，确保故障点在最短时间内得到恢复。5、负责网络流量的统计和分析（即统计用哪些用户使用网络、传输多少数据、访问什么资源以及各类资源的利用情况）工作。6、负责网络性能监测和控制工作，使之能在网络资源一定的前提下，确保网络提供可靠、连续的通信能力，并使网络资源的使用达到最优。7、负责网络安全管理工作。防止网络资源被非法使用；防止网络资源由于入侵攻击而遭到破坏；防止病毒网络入侵等。杜绝任何单位和个人，利用校园网络从事与教学、科研和行政管理无关的活动。8、负责学校关键数据和信息的备份工作，并做好保密工作。9、做好相应的日志记录工作。10、坚持计算机、行政管理的业务学习，不断提高专业水平。特别是要掌握网络新技术、新应用，并能为其他部门用户提供技术支持。11、完成领导交办的其他工作4.1.7NC系统人员安全管控1、NC管理员主要负责对NC系统用户管理，权限分配以及业务流程的设置。2、CA管理员主要负责证书的制作和用户与NC系统的绑定。（1）登陆界面如下图：·KEY插入之后，“证书”默认为管理员的证书。（2）绑定用户证书到NC用户：选择上图的“插入单条证书数据”，进入：·维护正确的key保护密码后点击“开始”，运行后如下图所示：过程中可能会出现错误提示，如：遇到此类情况，可能把KEY拔出再插入试试，如下成功：备注：key-ID允许为空，不过最好输入对应KEY的物理编号，以方便统计。·点击“插入数据库”，进行绑定：返回即完成绑定。3、网络管理员主要负责对网络与计算机的管理，针对NC系统的安全，主要是由CA来完成。（1）客户端身份安全管理财务人员使用数字证书的方式登入到NC资金系统，系统验证客户端key信息；（2）NC系统业务操作安全管理在业务单据制作过程中，系统会要求财务人员提交客户端证书信息，对所做的业务单据做电子签名，一旦业务单据被黑客或者认为非法篡改，系统会提示验证签名失败。例：a、黑客篡改业务数据b、付款单据被篡改C、系统发现业务单据被篡改（3）网管安全控制在NC系统信息传输过程中，网银适配器到银行的安全是由各家银行来提供。而网银适配器是接收到业务系统（NC）发送的加密签名后的指令数据后，首先调用东方中讯提供的COM版解密模块使用网银适配器证书私钥对密文进行解密（详细方案参考4.2节）。网管无法对业务单据进行支付操作。5NC系统层次安全架构介绍客户端接入客户端接入：强大的访问控制与授权功能。NC采用“插件”式安全模型，用户能够部署自己定制的身份验证、授权和角色关系，也可以采用OS内部的安全机制、数字证书认证或者其它 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 ，并能很容易的与其它安全认证系统集成，比如指纹认证系统、数字证书认证系统、加密卡/机等等。安全认证网关应用：是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。同租用线路等方法相比，安全认证网关既节省开销又易于安装和使用，已经成为企业架构Intranet和Extranet的首选。图：使用安全认证网关建立的企业网的结构企业内部资源享用者通过PSTN网连入本地ISP的POP（PointofPresence，指服务商通常在很大的地理范围放置多个网络设备）服务器，即可相互通信，而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。由于安全认证网关需要共享公共的、存在着安全隐患的网络，如Internet，因此安全性是一个非常重要的问题。安全认证网关解决方案的安全性由3个基本要素组成：安全认证、授权和监听。安全认证服务决定谁可以使用网络，授权服务负责分配不同资源的访问权限，而监听则确保资源的使用方式与网络的策略相符合。通过使用安全性服务，安全认证网关可以保证数据在传送过程中的保密性和不被篡改，并将数据正确地分配给相应的用户。传输层加密传输层加密：真正安全的数据传输功能。因为NC运行在基于自主知识产权的中间件上，NC的所有数据都需从中间件层过滤，可以通过在中间件层对数据进行安全处理，来做到真正意义上的数据安全，从而再也不用担心底层操作系统、硬件本身具有的系统漏洞或所留的后门对数据安全带来的威胁。在NC中间件层中，已经对传输的数据进行了加密。算法除了一些经典的如DES之外，还可根据用户的需求采取具有自主知识产权的更高级别的加密算法。服务器安全服务器安全：自主研发的安全中间件。用友NC作为企业级ERP系统，除了能很容易的集成进用户自己的安全网络环境中外，自身已具有了强壮的访问控制功能与数据安全传输功能。作为应用系统本身，NC的各应用模块完全运行在用友具有自主知识产权的中间件应用服务器上，中间件本身的底层特性与健壮体系，能保证NC本身应用的高度安全性。如图，NC是完全基于J2EE三层分布式结构的应用系统。基于J2EE安全模型，NC允许配置一个Web或enterprisebean组件，使系统资源只能由授权的用户访问；在中间件层，可实现数据的加密、压缩功能，保证数据传输的安全性等。数据库安全数据库安全：安全的数据存储。NC对关键的数据文件可实现加密存储，因此不用担心泄密或非法访问。对于数据库中的数据，除了用户自己的安全控制之外，NC可与数据库加密系统集成，做到只有数据库表的使用者才能读到该表的安全功能。如果客户已不仅仅满足一般的数据文件加密存储，而是对数据库的安全有更高的需求，要求只有表的拥有者或合法使用者才能查阅到该表的内容，其他用户、甚至是据库系统管理员也无法读到表中正确的内容。在这种情况下，可以通过在DBMS外层外挂数据库加密系统来实现。数据库加密系统能够满足客户对字段加密、密钥动态管理、合理处理数据等需求，并且不影响合法用户的使用。采用这种加密方式时，加/解密运算可以放在客户端进行，其优点是不会加重数据库服务器的负载并可实现网上传输加密，缺点是加密功能会受一些限制。上图中，“加密定义工具”模块的主要功能是定义如何对每个数据库表数据进行加密，在创建了一个数据库表后，通过这一工具对该表进行定义；“数据库应用系统”的功能是完成数据库定义和操作。数据库加密系统将根据加密要求自动完成对数据库数据的加/解密。6证书审批模式设计如下表所示，东方中讯托管型CA服务支持多种审批模式，用友完全可以根据自身实际需求选择一种或组合选择其中多种来满足企业自身的发证需求： 审批模式种类 审批模式 模式说明 适合场景 备注 手动审批 标准证书申请模式 标准运营场合 自动审批 与数据库/LDAP/文件集成来完成用户身份验证，从而实现自动审批 为企业内部用户颁发证书，更适合大用户量场合； 通行码审批 管理员预生成通行码，用户使用通行码来申请并下载证书 为企业内部用户颁发证书，通行码容易安全分发给用户； 集中模式 管理员集中进行用户申请，批量制证，然后分发给用户 为企业内部用户颁发证书，但用户量不大； 往往与自动审批组合使用6.1手动审批手动审批指用户登录证书申请界面填写注册信息，RA管理员鉴证用户身份后，登录证书管理页面，手动批准用户证书请求，用户然后登录证书注册页面下载证书。手动批准方式可以根据配置设定是多人批准或一个管理员批准；其流程如下图所示：具体工作流程如下：(1)用户访问证书注册RA服务器Web页面，根据系统的要求，填写自己的姓名、部门、电子邮箱等必需的注册信息，并在本地生成一对密钥对，私钥保存在本地，公密钥连同注册信息一起提交给RA系统；(2)RA系统在收到用户的注册信息后，有关鉴证人员会对用户的证书申请资格及真实身份作鉴证，鉴证通过后，将鉴证结果反馈给RA管理员；(3)RA管理员根据鉴证结果，为鉴证通过的用户批准颁发数字证书，CA系统自动为用户签发数字证书，并将签发的结果以邮件的形式返回给用户；(4)用户根据邮件中提示的网址链接，下载并安装数字证书；6.2自动审批自动审批模式通过部署AA模块和AA签名模块来实现用户证书审批的自动化管理。在自动审批模式下，企业可以定制自己的证书申请审批规则，由自动管理服务器自动完成企业个人用户证书的审批，而无需管理员的手工干预，从而大大方便了企业对证书的管理。系统提供了各种用于自动管理的API，企业可根据自己的需求建立用户验证过程。用户验证的数据可以放在人力资源数据库中，或LDAP目录中。用户验证的数据内容可以是用户在数据库业务系统中的名称和密码，也可以是LDAP服务器上的访问权限。东方中讯提供AA开发接口，企业可以定制开发自己的验证方式。具体工作流程如下：(1)用户访问证书注册RA服务器Web页面，根据系统的要求，填写自己的用户名、口令等必需的注册信息，并在本地生成一对密钥对，私钥保存在本地，公密钥连同注册信息一起提交给RA系统；(2)RA系统收到用户的证书申请信息后，将信息转交给AA自动管理服务器；(3)AA自动管理服务器请求帐号管理数据库，根据用户提交的用户名、口令验证用户的身份，验证通过后，将帐号管理数据库中的用户信息读取出来；(4)AA签名服务器对以上信息进行签名确认；(5)信息签名确认后，将用户通过的证书申请请求连同用户信息一起发送给CA服务器；(6)CA服务器自动为用户签发数字证书，将签发数字证书的结果以邮件形式反馈给用户；(7)用户根据邮件中提示的网址链接，下载并安装数字证书；SHAPE\*MERGEFORMAT6.3通行码审批通行码方式是根据用户在证书注册网页上填写的通行码来鉴别用户的身份，从而实现自动颁发数字证书的方式。通行码是一串随机数，里面包含通行码序号和密码信息，它是管理员通过秘密的方式发送给用户的，用户使用通行码登陆证书注册网站，填写注册信息和通行码，提交请求，证书被自动批准的方式。其流程如下图所示：具体工作流程如下：(1)CA管理员通过CA系统，产生证书申请通行码，并将通行码以安全的方式发放到用户手中；(2)用户访问证书注册RA服务器Web页面，输入通行码，并根据系统的要求，填写必需的注册信息，同时在本地生成一对密钥对，私钥保存在本地，公密钥连同通行码、注册信息一起提交给RA系统；(3)RA系统将用户的通行码提交给CA服务器器，由CA服务器验证用户的通行码的真伪，验证通过后，自动为用户签发数字证书；(4)CA服务器将签发结果返回给用户，用户根据提示的网址链接，下载并安装证书；适用环境：大量用户申请数字证书，管理员手工批准工作繁重。在这种方式下要求通行码必须是通过安全可靠的方式发送给用户。如果没有一个安全可靠的通行码发送方式，对于安全级别要求比较高的数字证书，比如服务器证书，企业证书，不推荐采用该方式。SHAPE\*MERGEFORMAT6.4集中制证模式集中制证是指由管理员集中为用户录入注册信息，审核用户信息的真实性，将证书写入证书存储介质（通常为USBKEY），最后将制作好的证书分发给最终用户使用。为了减轻管理员的工作压力，其流程如下图所示：具体工作流程如下：(1)管理员访问证书注册RA服务器Web页面，插入USBKEY，填写需要申请证书的用户名等基本信息，同时在USBKEY中生成一对密钥对，私钥保存在本地，公密钥连注册信息一起提交给RA服务器；(2)RA服务器连接后台CA服务器申请签发数字证书；(3)管理员确认用户的详细信息，然后向CA服务器提交用户申请请求；(4)CA服务器自动为用户签发数字证书，并将签发的证书返回给CA管理员，证书自动存储到USBKEY中；(5)管理员将USBKEY发放给用户；适用环境：证书用户为企业内部用户或相关分销商、供应商等外部用户制证，通过管理员集中为用户制证，避免了最终用户证书申请过程中的误操作；通过自动管理模块的集成，极大减轻了管理员的信息录入工作负担。7CA安全认证系统工作原理7.1系统安全原理（1）身份认证和访问控制实现原理利用Web服务器对SSL（SecureSocketLayer，安全套接字协议）技术的支持，可以实现系统的身份认证和访问控制安全需求。目前，SSL技术已被大部份的WebServer及Browser广泛支持和使用。采用SSL技术，在用户使用浏览器访问Web服务器时，会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时：首先，服务器会传送它的服务器证书，客户端会自动的分析服务器证书，来验证服务器的身份。其次，服务器会要求用户出示客户端证书（即用户证书），服务器完成客户端证书的验证，来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效（即是否被窜改等）和客户端证书是否被吊销等。验证通过后，服务器会解析客户端证书，获取用户信息，并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成，对用户是透明的。如下图所示，除了系统中已有的客户端浏览器、Web服务器外，要实现基于SSL的身份认证和访问控制安全原理，还需要增加下列模块：身份认证和访问控制原理图·Web服务器证书要利用SSL技术，在Web服务器上必需安装一个Web服务器证书，用来表明服务器的身份，并对Web服务器的安全性进行设置，使能SSL功能。服务器证书由CA认证中心颁发，在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效期，Web服务器需要使能SSL功能的前提是必须拥有服务器证书，利用服务器证书来协商、建立安全SSL安全通道。这样，在用户使用浏览器访问Web服务器，发出SSL握手时，Web服务器将配置的服务器证书返回给客户端，通过验证服务器证书来验证他所访问的网站是否真实可靠。·用户证书用户证书由CA认证中心颁发给企业内用户，在用户证书内标识了用户的身份信息、用户的公钥以及CA对证书相关域内容的数字签名，用户证书都有一个有效期。在建立SSL通道过程中，可以对服务器的SSL功能配置成必须要求用户证书，服务器验证用户证书来验证用户的真实身份。·证书解析模块证书解析模块以动态库的方式提供给各种Web服务器，它可以解析证书中包含的信息，用于提取证书中的用户信息，根据获得的用户信息，查询访问控制列表（ACL），获取用户的访问权限，实现系统的访问控制。·访问控制列表（ACL）访问控制列表是根据应用系统不同用户建设的访问授权列表，保存在数据库中，在用户使用数字证书访问应用系统时，应用系统根据从证书中解析得到的用户信息，查询访问控制列表，获取用户的访问权限，实现对用户的访问控制。（2）信息机密性实现原理信息机密性实现原理也是利用SSL技术来实现的，在用户使用浏览器访问Web服务器，完成双向身份认证，并完成对用户访问控制之后，在用户客户端和服务器之间建立安全的SSL通道，会在用户浏览器和Web服务器之间协商一个40位或128位的会话密钥。此时，在客户端和服务器之间传输的数据都是采用给会话密钥进行加密传输，从而保证了系统机密性安全需求。（3）信息抗抵赖性实现原理数字签名技术是实现信息抗抵赖性的有效技术，本方案利用数字签名技术，实现应用系统的信息抗抵赖性需求。数字签名技术的实现是指使用数字证书的私钥，对被签名数据的摘要值进行加密，加密的结果就是数字签名。在进行签名验证时，是用数字证书（即公钥）来进行验证，用公钥解密数据，得到发送过来的摘要值，然后用相同的摘要算法对被签名数据做摘要运算，得到另一个摘要值，将两个摘要值进行比较，如果相等，则数字签名验证通过，否则验证无效。数字签名技术的实现依赖于下列两个事实：一是每一个信息的摘要值是唯一的，找不到两个摘要值相同的不同信息；二是证书的私钥只有数字证书的拥有者才拥有，其他人得不到拥有者的私钥。这样，通过数字签名和签名验证，可以确定数据的确是数字证书的拥有者发送的，发送者不能进行抵赖。数据在发送的过程中，没有被别人窜改过的，是完整的。利用数字签名技术，可以对应用系统进行集成，用户在成功登录系统之后，系统已经完成了对用户的身份认证和访问控制，用户可以访问到请求的资源或页面，用户可以进行网上办公。此时，需要对用户在线提交的办公的敏感数据，如财务数据、办公数据等，进行数字签名，防止用户对提交的数据进行抵赖。采用数字签名技术，在用户提交重要数据时，客户端采用用户证书的私钥，对数据进行数字签名，然后将数据及其签名一起经过SSL通道发送给系统Web服务器。服务器接收到提交的信息，完成对签名的验证，将数据传输给后台处理，并将用户提交的数据及其签名保存到数据库中，以便将来用户进行抵赖时查询。如下图所示，实现本方案的设计需求需要增加下列模块：信息抗抵赖实现原理图·客户端数据签名模块客户端数据签名模块以控件的方式提供。用户使用浏览器访问Web服务器时，该模块作为控件进行下载，注册安装在用户浏览器中。数据签名模块的功能是使用用户选择的客户端证书的私钥对客户端发送的数据进行数字签名，保证数据传输的完整性，防止客户端对发送的数据进行抵赖。·服务端签名验证模块服务端签名验证模块以插件或动态库方式提供，安装在服务器端，实现对客户端数据签名的验证，对客户端数据签名证书的有效性验证。同时，将通过验证的数据，传输给后台应用服务器，进行相关的业务处理，并将数据及其数字签名保存到数据库中。7.2系统环境要求东方中讯自主研发的东方中讯CA2.0采用开放性架构设计，CA、RA各个模块均可以在各种平台上良好的运行，并且和其他第三方产品良好的兼容，其支持的系统平台和数据库如下所示：操作系统Windows平台、IBMAIX平台、SUNSolaris、Linux以及HPUNIX数据库SQLServer、Oracle、Mysql目录服务ActiveDirectory、SUNOneLDAP、OpenLDAP以及国内支持标准目录协议的产品。Web服务器支持主流的Web服务器，如IIS、APAHCE、TOMCAT、WEBLOGIC、DOMINO等等。客户端普通PC机，windows操作系统（不推荐使用Vista系统）8证书存储方式8.1USBKEY介绍身份认证是网络系统的第一道安全屏障，是实施访问控制和提供其它安全服务的基础,如果不能提供准确的身份认证服务，网上支付、密钥管理、数据加密等安全服务将成为空中楼阁。USBKEY是一种智能存储设备，可以存放数字证书，内有cpu芯片，可以进行数字签名和签名验证的运算，外形小巧，可插在电脑的USB接口中使用。证书如果存放在浏览器（电脑硬盘）中，容易被复制、窃取，安全性差；而如果存放在USBKEY中，便无法复制、导出，即使电脑中了木马病毒，也不会被窃取，安全性非常高。因此，为安全起见，建议使用USBKEY来存放数字证书。8.2USBKEY优点（1）安全性高（a）可以有效防止黑客或他人盗取证书。证书一旦下载到USBKEY中，便无法复制、导出，因此黑客无法窃取证书。（b）USBKEY有密码保护，且密码有输错次数的限制，一旦连续输错次数超过限制，USBKEY自动锁死，重新启用需本人到管理员处出示有效证件才能解锁。（c）证书存放在USBKEY中，不受电脑硬盘格式化、重装系统等的影响，可以有效防止证书损毁和丢失。（2）双因子身份认证每一个UKey都具有口令保护，口令和硬件构成了用户进行网上操作的两个必要因素，即所谓“双因子认证”。用户只有同时取得了硬件（UKey）和用户口令，才可以登陆。（3）使用方便（a）USBKEY的体积小，重量轻，可以随身携带，能随时随地的享用网上安全服务。（b）签名速度快，可以将网上业务流程的数字签名速度提高3—4倍。（c）具有自动连接功能。插入电脑USB口之后，可自动启动IE浏览器，并连接到所需的网页或者服务器，无需人工输入网址，真正做到方便快捷。（4）管理方便（a）有专门的USBKEY管理员工具，可以将软证书导入到USBKEY中，但是不能将证书的私钥从USBKEY中导出。（b）可以修改USBKEY的名字。（c）USBKEY被强制锁住之后，可以通过管理员工具进行解锁。（d）如果USBKEY中的证书已经过期后者由于某种原因导致证书失效，可以对USBKEY进行格式化。（e）USBKEY可以反复利用，存取不同的数字证书。8.3USBKEY密码USBKEY自身也有密码保护的，新的USBKEY都有一个初始密码，用户拿到了USBKEY之后可以自己修改USBKEY的密码，多了一层安全保护。9用友NC系统证书应用登陆界面资金上收资金下拨资金调拨切换账套网上转账确定网上转账点击委托付款委托付款书核查10技术支持与培训·支持东方中讯通过以下服务方式为电子签名信任服务用户提供7x24不间断的服务，帮助客户及时解决疑难问题。·专家咨询用户可以通过东方中讯的400客户免费电话服务（400-735-3922）、网站上公布的技术支持电子邮件(www.ezca.org)、东方中讯网站上的“及时语”在线客户服务系统等途径获得东方中讯信息安全专家的帮助，解决自己的问题；·定期客户回访东方中讯技术服务人员会定期的主动联系客户，帮助客户解决应用系统在使用中存在的问题；·安全信息发布在东方中讯的网站上有相应的安全信息发布板块，提供了详细的各种白皮书、宣传页、技术参考资料等，客户可以登录网站来获取各种技术参考和产品信息，包括常见问题解答、技术通报以及可搜索知识库；·应急响应对于客户发生的重大紧急事件，东方中讯将在第一时间派出PKI/CA应用和运营管理的专家，协助客户解决系统允许中出现的问题。培训针对RA管理员和用户，东方中讯提供PKI技术基础、PKI/CA系统管理、证书应用接口的开发等培训课程，并可以采用课堂授课和实验室培训相结合的方式。培训内容包括：·相关法律内容·《中华人民共和国电子签名法》·《电子认证服务管理办法》·案例分析·PKI技术基础培训·证书业务流程操作培训·证书使用培训·……附件一关于东方中讯·公司简介东方中讯数字证书认证有限公司成立于2001年，注册资本8000万元，净资产上亿元，主要从事电子认证服务、信息安全产品、信息安全服务等业务，是具有国家密码管理局、工信部资质的全国性合法从事第三方数字证书认证服务的权威机构，是可以信赖的、专业的信息安全服务机构。公司获得了国家密码管理局颁发的《电子认证服务使用密码许可证》、国家工信部颁发的《电子认证服务许可证》、公安部颁发的《计算机信息系统安全专用产品销售许可证》、“双软”企业和国家级高新技术企业等资质称号，是2009年国家发改委信息化示范单位，国家信息产业基地龙头企业。公司目前的主要产品是数字证书、安全接入网关系统、电子签章系统、时间戳服务系统、签名服务器、数字证书管理系统等，公司产品广泛应用于电子政务领域和电子商务领域，应用领域涉及全国海关电子口岸、税务、社保、质监、政府招投标、网络发票、资金结算、电子交易、医疗卫生、移动办公等，在全国拥有100多万优质用户，在北京、天津、重庆、四川、云南、青海等各省市设有技术服务机构。·企业人才队伍信息本公司业务面向全国，目前在北京、天津、重庆、四川、云南、青海、沈阳等地设立有业务或服务团队，拥有雄厚的人才队伍和强大的技术实力。公司目前在北京、重庆拥有约120人的运营服务团队，在天津拥有70人的运营服务团队，本公司包括博士学历1人、硕士学历13人、本科学历77人、其余均为大专以上学历，其中60%以上具有从事电子认证行业技术开发、系统建设、运营管理、客户服务工作5年以上的丰富经验。公司在四川地区成立了成都分公司，拥有10人的服务团队编制，负责四川地区客户的技术支持、售后服务和商务开发。·企业文化建设东方中讯拥有完善的企业文化建设体系，建立了公司文化理念体系、VI等文化建设要素,并积极开展文化建设工作。公司以“安全创造价值、诚信赢得尊重”为核心价值观，以“完善的服务体系、坚实的技术基础、持续的创新精神”为经营理念，以“一流的人才、创造一流的产品和服务”为团队建设理念，以“标准、实用、可靠、先进”为技术理念，以“及时、全面、专业、规范”为服务理念，以此来打造一个具有极强凝聚力、竞争力的公司。公司建立了中文商标“东方中讯”、英文商标“EZCA”和图形商标“”，并据此形成了一套完整的VI视觉识别体系。在企业文化建设过程中，本公司始终将为客户提供完善的服务、为客户创造价值作为员工培训、文化建设和工作质量评价的核心内容。公司积极展开各类员工培训，开展演讲比赛、技术竞赛、优秀员工评选、团队拓展训练等企业文化建设活动。根据业务需要，公司还多次开展认证业务新闻发布会，通过媒体传播公司文化理念。·技术团队重庆市拥有约40人的软件开发团队，包含运维组、产品组、研发组。运维组：负责公司CA系统、RA系统的深入开发和维护；产品组：负责公司产品开发和产品维护；研发组:负责行业产品的需求调研，形成产品可开发性报告交付产品组。重庆市拥有约30人的项目实施团队，其中数据库认证人员5人，负责项目的实施和售后服务。·项目实施案例介绍作为专业的信息安全服务提供商，我公司拥有雄厚的人才队伍和强大的技术实力，依靠自主技术研发完成的电子认证产品和信息安全方案已广泛应用于电子政务行业、电子商务行业、通讯行业、医疗卫生行业。我公司的电子签名认证服务系统在医疗卫生行业有成熟稳定的解决方案，已在重庆、四川、贵州、云南、华北、西北等多个平台及多家三甲医院有成功应用案例： 项目名称 客户单位 主要系统 客户级别 中国金关工程CA部分 中国海关（全国所有海关电子口岸） 电子签名认证系统 正部级 天津市社保网上申报系统 天津市人力资源与社会保障局 电子签名认证系统 正厅级 中国金税工程试点项目 天津地税局 电子签名认证系统 正厅级 中国金税工程试点项目 重庆地税局 电子签名认证系统 正厅级 重庆社保网上申报系统 重庆市社会和劳动保障局 电子签名认证系统 正厅级 重庆公积金网上平台 重庆公积金中心 电子签名认证系统 正厅级 重庆机电设备招投标平台 重庆市政府采购中心 电子签名认证系统 正厅级 云南省工程建设招投标平台 云南省建委 电子签名认证系统 正厅级 重庆药品招投标平台 重庆市药品交易所 电子签名认证系统 正厅级 重庆市房屋网上签约系统 重庆市国土局 电子签名认证系统 正厅级 重庆市土地和矿产交易平台 重庆市土地和矿产交易中心 电子签名认证系统 副厅级 重庆市医院信息化能力建设项目 重庆市卫生局（重庆市33家区、县医院） 电子签名认证系统 正厅级 四川省药品招投标平台 四川省卫生厅 电子签名认证系统 正厅级 医院CA认证项目 重庆医科大学附属北碚医院 电子签名认证系统 三甲 医院CA认证项目 重庆医科大学附属二院 电子签名认证系统 三甲 医院CA认证项目 重庆医科大学附属永川医院 电子签名认证系统 三甲 医院CA认证项目 泸州医科大学附属口腔医院 电子签名认证系统 三乙 医院CA认证项目 绵阳404医院 电子签名认证系统 三甲 医院CA认证项目 四川崇州市人民医院 电子签名认证系统 三乙 医院CA认证项目 成都市第十人民医院（成都市传染病医院） 电子签名认证系统 三甲 医院CA认证项目 仁寿市人民医院 电子签名认证系统 三乙 医院CA认证项目 贵阳市第一人民医院 电子签名认证系统 三甲 医院CA认证项目 云南肾脏病医院 电子签名认证系统 二甲附件二东方中讯相关资质·资质证明·软件企业认定证书·《电子认证服务许可证》·《电子认证服务使用密码许可证》·《电子政务电子认证服务机构》·商用密码产品销售许可证自动审批的安全设计：配置AA端的签名模块时需要为本地RA帐户申请帐户证书，帐户证书保存在签名服务器，当AA服务器自动签发证书时需要用帐户证书签名，并用CA中心的AA证书对数据加密，保证数据的安全性。同时从CA中心返回至AA服务器的数据，也要求使用CA中心的AA证书签名，并用本地RA的帐户证书加密。完全托管模式、本地RA模式、本地RA+AA自动管理模式都支持通行码方式申请数字证书。_1234567891.vsd_1234567892.vsd����������������������������������������������������������_1234567890.vsd