【正文】 、利潤(rùn)總額分別達(dá)到 821 萬(wàn)和 59 萬(wàn) 。 為了保持技術(shù)研發(fā)的后續(xù)力量和塑造企業(yè)創(chuàng)新能力，定期組織技術(shù)人員和管理人員赴國(guó)外和國(guó)內(nèi)知名學(xué)府深造學(xué)習(xí)，并與公安部第三研究所、解放軍電子工程學(xué)院等國(guó)內(nèi)知名院校、研究所建立長(zhǎng)期穩(wěn) 定的業(yè)務(wù)關(guān)系。公司下設(shè)北京格爾國(guó)信、上海格爾信息、上海格爾衛(wèi)信及寧波格爾天屹等子公司，在全國(guó)各大中心城市還設(shè)有多 個(gè)辦事處。格爾軟件主要從事身份管理及其應(yīng)用的研發(fā)、生產(chǎn)、銷售。 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 7－ 近三年來(lái)職責(zé)和業(yè)務(wù)的調(diào)整情況及未來(lái)發(fā)展趨勢(shì) 在崗位職責(zé)方面，根據(jù)工業(yè)和信息化部等主管部門對(duì)電子認(rèn) 證服務(wù)機(jī)構(gòu)的要求，公司于 2020 年增設(shè)了運(yùn)營(yíng)服務(wù)中心，對(duì)相應(yīng)崗位的職責(zé)進(jìn)行了補(bǔ)充和完善，更好的支持和服務(wù)數(shù)字證書客戶。安徽 CA 使用的電子認(rèn)證系統(tǒng)所采用的 非對(duì)稱密碼算法為 RSA，密鑰長(zhǎng)度為 1024 位。 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 8－ 信息化現(xiàn)狀 本領(lǐng)域信息化建設(shè)的整體框架規(guī)劃或設(shè) 想 由于我國(guó)電子認(rèn)證服務(wù)業(yè)起步相對(duì)較晚，目前全國(guó)范圍內(nèi)的電子認(rèn)證系統(tǒng)使用的主要為 RSA1024 位密碼算法， RSA1024 無(wú)論從算法安全性還是密鑰長(zhǎng)度在可預(yù)見(jiàn)的時(shí)間里已無(wú)法保證業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的安全性。重新建設(shè)高安全性的 電子認(rèn)證系統(tǒng)，對(duì)提升我省 信息化的安全性、提高社會(huì)認(rèn)知，形成健全、有序的社會(huì)網(wǎng)絡(luò)信任體系，不僅十分必要，而且非常緊迫。 格爾軟件于 2020 年 4 月推出基于 SM2 算法電子認(rèn)證系統(tǒng)，在福建CA 成功應(yīng)用，并于 2020 年 5 月通過(guò)了國(guó)家密碼管理局組織的安全性審查，這也是我國(guó)第一家通過(guò)國(guó)家密碼管理局安全性審查的電子認(rèn)證系統(tǒng)。新系統(tǒng)將包含原系統(tǒng)所有功能， 是對(duì)原系統(tǒng)的升級(jí)和完善 。 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 10－ 二、 項(xiàng)目需求分析 項(xiàng)目建設(shè)的背景 大力 推進(jìn)信息化，是覆蓋我國(guó)現(xiàn)代化建設(shè)全局的戰(zhàn)略舉措，是貫徹落實(shí)科學(xué)發(fā)展觀、全面建設(shè)小康社會(huì)、構(gòu)建社會(huì)主義和諧社會(huì)和建設(shè)創(chuàng)新型國(guó)家的迫切需要和必然選擇?！熬S基揭秘 ”、“伊朗核設(shè)施網(wǎng)絡(luò)泄密” 等事件，警示我們要高度重視網(wǎng)絡(luò)安全管控。目前，我國(guó)正在推進(jìn)網(wǎng)絡(luò)實(shí)名制、網(wǎng)絡(luò)信任體系建設(shè)等相關(guān)工作，需要通過(guò)電子認(rèn)證來(lái)確定網(wǎng)絡(luò)中行為主體的真實(shí)身份，進(jìn)而控制權(quán) 限和認(rèn)定責(zé)任，保證信息資源真實(shí)性與可靠性，為建立網(wǎng)絡(luò)誠(chéng)信奠定良好基礎(chǔ)。目前，隨著我國(guó)信息化的積極推進(jìn)，各行業(yè)和各領(lǐng)域的安全需求日益突出，這為產(chǎn)業(yè)發(fā)展提供了廣闊的市場(chǎng)空間。為開發(fā)應(yīng)用市場(chǎng)，電子認(rèn)證服務(wù)機(jī)構(gòu)必將創(chuàng)新業(yè)務(wù)模式，深入研究各行業(yè)的應(yīng)用需求特點(diǎn)，開發(fā)出適合行業(yè)需求的應(yīng)用產(chǎn)品。 2020 年 10 月至 2020 年 5 月， 我公司 累計(jì)發(fā)放各類證書超 10 萬(wàn)張，目前電子認(rèn)證系統(tǒng)運(yùn)行正常。 需求分析 大力推進(jìn)信息化，是覆蓋我國(guó)現(xiàn)代化建設(shè)全局的戰(zhàn)略舉措，是貫徹落實(shí)科學(xué)發(fā)展觀、全面建設(shè)小康社會(huì)、構(gòu)建社會(huì)主義和諧社會(huì)和建設(shè)創(chuàng)新型國(guó)家的迫切需要和必然 選擇?！熬S基揭秘”、“伊朗核設(shè)施網(wǎng)絡(luò)泄密” 等事件，警示我們要高度重視網(wǎng)絡(luò)安全管控。目前，我國(guó)正在推進(jìn)網(wǎng)絡(luò)實(shí)名制、網(wǎng)絡(luò)信任體系建設(shè)等相關(guān)工作，需要通過(guò)電子認(rèn)證來(lái)確定網(wǎng)絡(luò)中行為主體的真實(shí)身份，進(jìn)而控制權(quán)限和認(rèn)定責(zé)任，保證信息資源真實(shí)性與可靠性，為建立網(wǎng)絡(luò)誠(chéng)信奠定良好基礎(chǔ)。目前，隨著我國(guó)信息化的積極推進(jìn)，各行業(yè)和各領(lǐng)域的安全需求日益突出，這為產(chǎn)業(yè)發(fā)展提供了廣闊的市場(chǎng)空間。為開發(fā)應(yīng)用市場(chǎng)，電子認(rèn)證服務(wù)機(jī)構(gòu)必將創(chuàng)新業(yè)務(wù)模式，深入研究各行業(yè)的應(yīng)用需求特點(diǎn)，開發(fā)出適合行業(yè)需求的應(yīng)用產(chǎn)品。 隨著電子商務(wù)、電子政務(wù)應(yīng)用的深入， 作為電子認(rèn)證服務(wù)業(yè)的主要用戶群體，黨政機(jī)關(guān)、企事業(yè)單位、個(gè)人在 未來(lái)幾年 的應(yīng)用將更為廣泛， 我國(guó)電子認(rèn)證服務(wù)業(yè)將獲得高增長(zhǎng)，在信息化中發(fā)揮更大的保障和支撐作用。建立科學(xué)、規(guī)范的電子認(rèn)證系統(tǒng)，為我省的電子商務(wù)和信息化建設(shè)搭建網(wǎng)絡(luò)信任體系就顯得十分迫切。因此， 該項(xiàng)目重點(diǎn)解決的是電子認(rèn)證系統(tǒng)的安全性問(wèn)題，其安全程度要遠(yuǎn)超過(guò)原 RSA1024 電子認(rèn)證系統(tǒng)。 ? 證書的凍結(jié)和解凍 該功能主要由管理方（ RA 操作員、 CA 中心管理員等）發(fā)起，對(duì)證書進(jìn)行凍結(jié)，使證書列入黑名單，暫時(shí)因?yàn)槭Ф鵁o(wú)法使 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 16－ 用；同時(shí)，管理方也可對(duì)被凍結(jié)的證書進(jìn)行解凍操作，使該證書恢復(fù)正常的使用功能。每當(dāng)簽發(fā)服務(wù)器在簽發(fā)一個(gè)用戶證書 完成后，簽發(fā)服務(wù)器會(huì)同時(shí)將證書放入目錄服務(wù)器中，以供用戶查詢。同時(shí)提供方便的 Web 查詢證書方式。 CA 系統(tǒng)提供對(duì)證書在線狀態(tài)查詢協(xié)議的支持，用戶可以通過(guò)標(biāo)準(zhǔn)的證書狀態(tài)查詢接口來(lái)獲取證書有效性的檢查結(jié)果，任何證書的作廢應(yīng)能夠即時(shí)反映到在線證書查詢中。 ? 數(shù)據(jù)歸檔，系統(tǒng)提供證書和日志的數(shù)據(jù)歸檔功能。 證書模板根據(jù)定制策略來(lái)生成，需提供的定制策略項(xiàng)包括：證書類型、是否發(fā)布、有效起始日期、有效期限、主題字符串類型、密鑰是否加密傳輸?shù)然镜哪０鎸傩?，同時(shí)還對(duì)不同密鑰用法的擴(kuò)展策略項(xiàng)選擇提供支持，這包括：對(duì)數(shù)字簽名、防抵賴、密鑰加密、數(shù)字加密、密鑰協(xié)商等密鑰用法的支持。 格爾數(shù)字認(rèn)證中心系統(tǒng)提供內(nèi)置的系統(tǒng)模板制定規(guī)則，可以屏蔽系統(tǒng)管理員在證書模板制作中可能造成的沖突操作。 ? 系統(tǒng)策略管理 ? 證書發(fā)布策略 ? 證書有效期策略 ? CRL 簽發(fā)、發(fā)布策略 ? 證書擴(kuò)展項(xiàng)策略 ? 邏輯 CA 管理 格爾 CA 能夠在同一個(gè) CA 系統(tǒng)軟硬件平臺(tái)和同一個(gè)共享的數(shù)據(jù)庫(kù)、 LDAP 服務(wù)器環(huán)境上，運(yùn)行多個(gè)邏輯 CA，擁有各自的密鑰和策略，獨(dú)立地為不同的用戶群簽發(fā)和管理證書，滿足 CA 托管運(yùn)行的需求。 ? 日志服務(wù)功能 ? 記錄管理員和操作員的所有動(dòng)作； ? 記錄整個(gè)證書認(rèn)證系統(tǒng)中各子系統(tǒng)的內(nèi)部運(yùn)行錯(cuò)誤和異常； ? 對(duì)整個(gè) CA 體系的發(fā)卡數(shù)量做統(tǒng)計(jì)和分析； ? 日志提供查詢、分析和審計(jì)管理； ? 日志系統(tǒng)提供統(tǒng)計(jì)報(bào)表輸出； ? 統(tǒng)計(jì)報(bào)表功能 審計(jì)模塊具有統(tǒng)計(jì)功能，可以根據(jù)操作日志等信息為用戶生成滿足用戶需要的各類統(tǒng)計(jì)報(bào)表。管理員只要輸入下列條件： ? RA 的編號(hào) 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 21－ ? 申請(qǐng)和 /或注銷 ? 起始日期 ? 截止日期 ? 待統(tǒng)計(jì)的證書類型 性能需求 支持多個(gè)虛擬 CA。 ECC 單證書簽發(fā)不小于 80 個(gè) /秒， ECC 雙證書簽發(fā)不小于30 個(gè) /秒。 ? 證書模板有效期 ? 密鑰不落地配置。對(duì)電子認(rèn)證系統(tǒng)中的關(guān)鍵日志進(jìn)行簽名，必要時(shí)可對(duì)日志的有效性進(jìn)行驗(yàn)證。 支持連接 KM(密鑰管理中心 )。美國(guó)、歐盟等西方國(guó)家為搶占網(wǎng)絡(luò)空間戰(zhàn)略制高點(diǎn)，紛紛出臺(tái)新的網(wǎng)絡(luò)信息安全戰(zhàn)略，保障其自身利益和提升國(guó)際競(jìng)爭(zhēng)力，重點(diǎn)加強(qiáng)其主動(dòng)攻擊能力，對(duì)我國(guó)信息安全帶 來(lái)嚴(yán)峻挑戰(zhàn)。因某些泄密事件的發(fā)生，美國(guó)已棄用 RSA 算法。而我省電子認(rèn)證系統(tǒng)仍基于國(guó)外 RSA 密碼算法?，F(xiàn)行的電子認(rèn)證系統(tǒng)和密鑰管理系統(tǒng)必須在 2020 年 6 月 30 日前完成非對(duì)稱密碼算法從 RSA到 SM2 的系統(tǒng)升級(jí)改造工作，同時(shí)要采取切實(shí)有效措施，認(rèn)真做好原支撐業(yè)務(wù)應(yīng)用的平滑過(guò)渡。 三、 項(xiàng)目建設(shè)方案 建設(shè)目標(biāo) 作為依法設(shè)立的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)，安徽省電子認(rèn)證管理中心致力于為網(wǎng)絡(luò)應(yīng)用提供權(quán)威的電子認(rèn)證服務(wù)業(yè)務(wù)，建立一個(gè)安全、可信的網(wǎng)絡(luò)應(yīng)用環(huán)境，為我省電子商務(wù)和電子政務(wù)的發(fā)展提供信息安全基礎(chǔ)平臺(tái)，促進(jìn)我省電子商務(wù)、電子政務(wù)、企業(yè)信息化的深入應(yīng)用和健康發(fā)展。 總體架構(gòu) 根據(jù)國(guó)家國(guó)密局安全規(guī)范， 我公司擬建設(shè)三級(jí)證書體系，即根證書 — CA 證書 — 用戶證書；三級(jí)管理機(jī)構(gòu)，即一級(jí)機(jī)構(gòu)為 CA 管理中心，二級(jí)機(jī)構(gòu)為 RA 審核中心，三級(jí)機(jī)構(gòu)為地方 LRA。 ? 管理二級(jí) CA：包括審批二級(jí) CA 的建設(shè)申請(qǐng)和審批二級(jí) CA 制定的運(yùn)營(yíng)政策；對(duì)二級(jí) CA 進(jìn)行審查，為其發(fā)放二級(jí) CA 證書。 ? 接受用戶申請(qǐng)注冊(cè)：二級(jí) CA 提供相應(yīng)的手段讓用戶能夠填寫申請(qǐng)表、證書更新申請(qǐng)表和證書作廢申請(qǐng)表。在邏輯組成上 RA 和 CA 是一個(gè)整體，而執(zhí)行不同的功能。 ? 自身密鑰管理，包括加密密鑰以及簽名密鑰的保存、使用、更新和銷毀。 LRA 是面向最終用戶的申請(qǐng)、審核機(jī)構(gòu)，其主要功能是對(duì)用戶提交的資料進(jìn)行審核。 與 此相配合，電子認(rèn)證信息安全系統(tǒng)已完成如下子功能，包括： （ 1）數(shù)字簽名認(rèn)證機(jī)制； 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 31－ （ 2）帳號(hào)管理； （ 3）口令質(zhì)量控制； （ 4）文件的訪問(wèn)控制； （ 5）防止程序非法終止； （ 6）程序自動(dòng)權(quán)限設(shè)置； （ 7） Setuid 控制－特權(quán)程序控制； （ 8）網(wǎng)絡(luò)控制服務(wù)； （ 9）登錄服務(wù)控制； （ 10）入侵響應(yīng)－系統(tǒng) IPS； （ 11）日志系統(tǒng)及設(shè)置； （ 12）程序自身保護(hù)功能 (SelfSecurity)； （ 13）跨平臺(tái)管理； （ 14）遠(yuǎn)程站點(diǎn)信息； （ 15）防止非法結(jié)束系統(tǒng)功能 (reboot, shutdown 等 )； （ 16）當(dāng)系統(tǒng)意外斷電，啟動(dòng)后系統(tǒng)保持原有的安全設(shè)置； （ 17）提供 test模式 (模擬運(yùn)行 )功能。 存儲(chǔ)系統(tǒng)采用磁盤陣列，以提高系統(tǒng)的抗風(fēng)險(xiǎn)能力。安徽 CA 的制度規(guī)范包括《安全管理策略和規(guī)范》、《應(yīng)急預(yù)案安全事件報(bào)告制度》、《安全審計(jì)監(jiān)測(cè)管理制度》、《機(jī)房管理制度》、《機(jī)房監(jiān)控值班管理制度》、《機(jī)房保 密制度》、《密鑰信息管理制度》、《設(shè)備、資料報(bào)廢管理辦法》、《客戶檔案管理辦法》、《場(chǎng)地訪問(wèn)及授權(quán)辦法》等，從制度上有效保障衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)工作的有效開展。 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 36－ 其他輔助設(shè)施 和設(shè)備 根據(jù)系統(tǒng)建設(shè)的需要，對(duì)現(xiàn)有 RA 機(jī)房進(jìn)行適當(dāng)改造，增加一臺(tái)機(jī)柜，購(gòu)置 12 臺(tái)高性能服務(wù)器和 4 臺(tái)支持 SM2 算法加密機(jī)等設(shè)備，并對(duì)原系統(tǒng)基礎(chǔ)設(shè)施進(jìn)行擴(kuò)容，如： UPS 等。 ? 第三層為 CA 屏蔽機(jī)房屬于核心業(yè)務(wù)區(qū)域。為加快建設(shè)進(jìn)度，縮短建設(shè)周期，各階段工作應(yīng)盡量提前進(jìn)行，允許有一定程度的交叉，主要分為四個(gè)階段： 第一階段（調(diào)研分析）：與國(guó)家密碼管理局 信保處、技術(shù)處等部門聯(lián)系，了解國(guó)家政策和行業(yè)發(fā)展方向，調(diào)研全國(guó)電子認(rèn)證軟件系統(tǒng)開發(fā)商、密碼設(shè)備廠商、其他配套軟硬件設(shè)備提供商，了解基于 SM2算法的電子認(rèn)證系統(tǒng)建設(shè)的國(guó)家和地方政策、市場(chǎng)動(dòng)態(tài)、技術(shù)可行性等信息。 國(guó)家密碼管理局安全性審查驗(yàn)收通過(guò)后，項(xiàng)目建設(shè)結(jié)束，正式投產(chǎn)。 曾 參與過(guò)國(guó)家發(fā)改委項(xiàng)目的專家論證和實(shí)施及科技部 “ 十一五 ” 科技攻關(guān)項(xiàng)目的研究工作，在戰(zhàn)略規(guī)劃、技術(shù)開發(fā)、運(yùn)營(yíng)管理和市場(chǎng)營(yíng)銷等領(lǐng)域具有獨(dú)到的見(jiàn)解和豐富的經(jīng)驗(yàn)。 安徽 省電子認(rèn)證管理中心 有限責(zé)任公司擬 從組織、實(shí)施以及技術(shù)服務(wù)等各方面入手進(jìn)行管理，在保證項(xiàng)目質(zhì)量的前提下，有秩序、按時(shí)、順利的完成有關(guān)工作，并最終實(shí)現(xiàn)系統(tǒng)目標(biāo)。 （ 1） 項(xiàng)目管理 ： 在方案交付階段，項(xiàng)目管理與其它子過(guò)程并行執(zhí)行。 ① 項(xiàng)目進(jìn)度管理 項(xiàng)目的進(jìn)度應(yīng)通過(guò)項(xiàng)目進(jìn)度報(bào)告，項(xiàng)目進(jìn)度會(huì)議等手段，切實(shí)了解項(xiàng)目進(jìn)度，評(píng)估項(xiàng)目的進(jìn)展情況及未按計(jì)劃完成的原因，制定相應(yīng)的行動(dòng)方案，在必要時(shí)，將有關(guān)問(wèn)題提交項(xiàng)目管理協(xié)調(diào)委員會(huì)。常見(jiàn)的風(fēng)險(xiǎn)包括： ? 用戶需求定義不準(zhǔn)確或未能如期完成 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 42－
。質(zhì)量管理計(jì)劃書包括： ? 項(xiàng)目計(jì)劃表（包括關(guān)鍵路徑 /依賴關(guān)系的分析） ? 人力資源分配表 ? 項(xiàng)目組織架構(gòu)圖 ? 實(shí)施人員責(zé)任表 ? 項(xiàng)目提交表 ? 項(xiàng)目詳細(xì)任務(wù)事項(xiàng)表 ? 培訓(xùn)計(jì)劃 ? 工作場(chǎng)地安排 項(xiàng)目經(jīng)理將在項(xiàng)目啟動(dòng)會(huì)上向各項(xiàng)目參與人員詳細(xì)解釋項(xiàng)目詳情，使每個(gè)成員都清楚項(xiàng) 目的內(nèi)容及其職責(zé)。項(xiàng)目管理是一個(gè)不斷重復(fù)的過(guò)程，許多任務(wù)例如 “ 過(guò)程控制 ” 要貫穿于項(xiàng)目的始終，而另外一些任務(wù)會(huì)因?yàn)橥话l(fā)事件而啟動(dòng)，例如： 用戶要求改變需求 提前實(shí)現(xiàn)需 求 用戶處于緊急關(guān)頭 實(shí)際過(guò)程與計(jì)劃過(guò)程有差異 標(biāo)識(shí)新的風(fēng)險(xiǎn) 此過(guò)程在項(xiàng)目啟動(dòng)和項(xiàng)目結(jié)束之間與 “ 實(shí)施方案 ” 過(guò)程并行進(jìn)行。 ? 項(xiàng)目實(shí)施工作 針對(duì)調(diào)研的結(jié)果，根據(jù)軟件所能提供的功能和方法進(jìn)行開發(fā)實(shí)施。另外，公司按照董事會(huì)的要求，聘請(qǐng)了行政、財(cái)務(wù)、市場(chǎng)和法律專家作為顧問(wèn)，對(duì)公司的經(jīng)營(yíng)和管理提供決策咨詢。 項(xiàng)目負(fù)責(zé)人基本情況 總經(jīng)理 張建國(guó)， 1986 年畢業(yè)于南京航空航天大學(xué)電子信息專業(yè)，畢業(yè)后到 1995 年間，先后在南京航空航天大學(xué)團(tuán)委、教務(wù)處、科技產(chǎn)業(yè)處任職。 第三階段（項(xiàng)目實(shí)施）：協(xié)調(diào)系統(tǒng)廠商了解我公司現(xiàn)有網(wǎng)絡(luò)及相關(guān)設(shè)備情況，協(xié)調(diào)密碼機(jī)等設(shè)備的購(gòu)置后，由電子認(rèn)證系統(tǒng)廠商配合 安徽省信息化專項(xiàng) 資金申報(bào)項(xiàng)目可行性 研究 報(bào)告 － 38－ 我公司技術(shù)人員對(duì)軟件系統(tǒng)進(jìn)行開發(fā)并部署實(shí) 施。機(jī)房?jī)艋b飾系統(tǒng)如吊頂、門窗、地板等保持現(xiàn)有裝