【正文】 列本地化服務(wù)。負(fù)責(zé)將《服務(wù)反饋表》中的技術(shù)信息和所總結(jié)的經(jīng)驗整理分類，并錄入到CA中心的支持信息數(shù)據(jù)庫中，定期編制知識信息快訊，向全體技術(shù)人員發(fā)布；l 技術(shù)支持工程師：是服務(wù)實施人員，負(fù)責(zé)CA中心的技術(shù)服務(wù)工作。東方中訊CA中心技術(shù)支持與售后服務(wù)組織方式如下圖所示：售后服務(wù)組織架構(gòu)服務(wù)總監(jiān)、客戶代表、客服人員、服務(wù)專員等專職人員，以及實施人員、開發(fā)工程師和技術(shù)支持部的安全技術(shù)專家組成了服務(wù)支持隊伍。 可根據(jù)客戶實際需求進(jìn)行系統(tǒng)的二次開發(fā)；178。 提供數(shù)字證書相關(guān)應(yīng)用的咨詢服務(wù)；178。178。我們秉承“誠信立德，人文為本，效率優(yōu)先，發(fā)展為上”的企業(yè)精神，以技術(shù)開發(fā)為后盾，以最佳服務(wù)求發(fā)展。常見問題學(xué)習(xí)216。216。現(xiàn)場培訓(xùn)時長約2小時。培訓(xùn)時長約1小時。（2） 培訓(xùn)形式216。 數(shù)字證書在企業(yè)單位信息系統(tǒng)中的應(yīng)用培訓(xùn)對數(shù)字證書如何在相關(guān)業(yè)務(wù)系統(tǒng)中使用，在使用過程中的常見問題及解決方法等方面的培訓(xùn)；216。 數(shù)字證書簡介培訓(xùn)對數(shù)字證書的概念，使用數(shù)字證書能帶來什么優(yōu)勢，身份認(rèn)證、電子簽名、數(shù)據(jù)加密等功能的簡介培訓(xùn)；216。 用戶培訓(xùn) 將根據(jù)需要，在企業(yè)單位信息科的統(tǒng)籌下，為用戶提供培訓(xùn)。 運(yùn)維安全管理的介紹培訓(xùn)：對的運(yùn)維信息安全策略、安全管理規(guī)范、風(fēng)險預(yù)警與應(yīng)急處理方案等方面提供培訓(xùn)；216。 CA電子認(rèn)證系統(tǒng)的介紹培訓(xùn)：對的數(shù)字證書簽發(fā)系統(tǒng)的工作機(jī)制、安全管理、權(quán)限控制等方面提供培訓(xùn)；216。 數(shù)字證書安全產(chǎn)品的應(yīng)用培訓(xùn)：對數(shù)字證書安全產(chǎn)品的介紹和應(yīng)用提供培訓(xùn)，包括統(tǒng)一身份認(rèn)證服務(wù)器、PKI權(quán)限管理系統(tǒng)、電子簽名服務(wù)器等安全產(chǎn)品的應(yīng)用培訓(xùn)。 PKI電子認(rèn)證應(yīng)用培訓(xùn)：對PKI基礎(chǔ)設(shè)施中涉及的所有實體，包括身份認(rèn)證、電子簽名、數(shù)據(jù)加密等應(yīng)用的培訓(xùn)；216。（1） 技術(shù)人員培訓(xùn)216。2. 日常零散發(fā)放日常零散發(fā)放具體流程如下： (1) 證書受理點的證書管理員登錄數(shù)字證書服務(wù)管理系統(tǒng)后，錄入證書用戶信息； (2) 審核人員審核證書申請信息（可選）； (3) EZCA后臺系統(tǒng)簽發(fā)數(shù)字證書； (4) 證書管理員使用空白USBKey在數(shù)字證書服務(wù)管理系統(tǒng)制作用戶數(shù)字證書；(5) 證書管理員將證書發(fā)放給證書用戶。 依托EZCA提供批量的證書申請、發(fā)放服務(wù)，企業(yè)單位證書受理點（信息中心）只負(fù)責(zé)證書用戶的信息收集和信息確認(rèn)，由EZCA后臺完成證書制作和發(fā)放。 我公司支持多種數(shù)字證書介質(zhì)，包括智能USBKey、智能射頻卡、SDKey。8) 證書查詢 東方中訊數(shù)字證書認(rèn)證有限公司為用戶和信息系統(tǒng)提供證書和黑名單的查詢與下載服務(wù)。加密密鑰的恢復(fù)流程如下：a) 申請密鑰恢復(fù)：證書用戶填寫加密密鑰的恢復(fù)所需要提供的紙質(zhì)材料，向單位證書管理員或東方中訊提出吊銷申請；b) 確認(rèn)更新：東方中訊數(shù)字證書認(rèn)證有限公司接到申請之日起，并審核通后，在五個工作日內(nèi)完成密鑰恢復(fù)業(yè)務(wù)的辦理。證書解鎖流程如下：a) 申請解鎖：證書用戶填寫解鎖證書所需要提供的紙質(zhì)材料，向單位證書管理員或東方中訊提出吊銷申請；b) 審核：申請材料審核通過，東方中訊數(shù)字證書認(rèn)證有限公司應(yīng)將證書及時為用戶提供在線解鎖服務(wù)；c) 東方中訊數(shù)字證書認(rèn)證有限公司接到申請之日起，在一個工作日內(nèi)完成解鎖服務(wù)。證書吊銷流程如下：a) 申請吊銷：證書用戶填寫吊銷證書所需要提供的紙質(zhì)材料，向單位證書管理員或東方中訊提出吊銷申請；b) 確認(rèn)更新：東方中訊數(shù)字證書認(rèn)證有限公司在確認(rèn)吊銷申請后，東方中訊數(shù)字證書認(rèn)證有限公司應(yīng)將證書及時吊銷并更新黑名單（CRL）；c) 東方中訊數(shù)字證書認(rèn)證有限公司接到申請之日起，并審核通后，在一個工作日內(nèi)完成吊銷業(yè)務(wù)的辦理，并實時更新黑名單（CRL），按照發(fā)布策略將黑名單發(fā)布到指定的衛(wèi)生信息系統(tǒng)。 c) 下載新證書：申請通過后，證書管理員通過證書簽發(fā)系統(tǒng)下載新證書。企業(yè)單位指定的證書管理員進(jìn)入東方中訊證書簽發(fā)系統(tǒng)，進(jìn)行證書補(bǔ)辦，名字、用戶ID等信息變更。步驟如下：a) 申請更新：東方中訊數(shù)字證書認(rèn)證有限公司在證書到期前30天內(nèi)提醒用戶辦理證書更新業(yè)務(wù)；b) 確認(rèn)更新：東方中訊數(shù)字證書認(rèn)證有限公司在確認(rèn)更新申請后，授權(quán)并通知用戶下載新的證書；c) 下載新證書：證書用戶通過證書服務(wù)平臺下載新證書。多級服務(wù)模式下的證書發(fā)放流程3) 證書更新用戶證書即將到期時，東方中訊數(shù)字證書認(rèn)證有限公司為用戶重新簽發(fā)新的證書。如果采取郵遞方式獲取證書，為保證數(shù)字證書安全性，我們在用戶收到證書介質(zhì)之后通過證書服務(wù)平臺以證書下載授權(quán)碼的方式為用戶頒發(fā)數(shù)字證書。證書申請流程2) 證書發(fā)放東方中訊數(shù)字證書認(rèn)證有限公司在接收證書申請及申請資料原件后，對申請信息進(jìn)行審核并在五個工作日內(nèi)完成證書產(chǎn)品交付。為確保證書申請者身份的真實性和有效性，企業(yè)單位應(yīng)設(shè)立證書管理員崗位，負(fù)責(zé)提交本單位用戶證書申請。 數(shù)字證書服務(wù)我公司結(jié)合企業(yè)單位ERP系統(tǒng)的實際需求和具體情況，提供相應(yīng)的證書業(yè)務(wù)服務(wù)，數(shù)字證書服務(wù)管理符合以下要求：(一) 我公司有獨立的證書管理系統(tǒng)，實現(xiàn)證書全生命周期服務(wù)，包括證書申請、發(fā)放、更新、吊銷、介質(zhì)解鎖、密鑰恢復(fù)、丟失補(bǔ)辦、損壞重辦等服務(wù)內(nèi)容，方便企業(yè)單位用戶獲取證書服務(wù)；(二) 提供證書全在線服務(wù)模式，支持證書在線更新、在線解鎖等服務(wù)；(三) 提供證書快速應(yīng)急服務(wù)，滿足企業(yè)單位對業(yè)務(wù)連續(xù)性的要求；(四) 支持按照企業(yè)單位實際應(yīng)用需要，靈活定制服務(wù)交付的業(yè)務(wù)流程；(五) 支持多種證書存儲介質(zhì)包括智能USBKey、智能射頻卡、SDKey等，滿足企業(yè)單位今后發(fā)展對證書介質(zhì)的需求；(六) 支持證書管理權(quán)限分級，提供管理員、普通用戶、系統(tǒng)管理員等用戶和角色權(quán)限管理；(七) 提供對證書發(fā)放情況、證書狀態(tài)等情況進(jìn)行查詢、統(tǒng)計及報表輸出功能，滿足企業(yè)單位日常管理需要。對證書的法律性要求不強(qiáng)的用戶，企業(yè)可以通過自建的PKI/CA體系自主頒發(fā)證書，實現(xiàn)企業(yè)內(nèi)部信息的安全保障；對證書法律效力要求高、要求證書能作為有效的電子證據(jù)的用戶，企業(yè)可以通過第三方電子認(rèn)證服務(wù)機(jī)構(gòu)CA系統(tǒng)，或委托第三方頒發(fā)具有法律效力的數(shù)字證書。企業(yè)只要擁有東方中訊RA系統(tǒng)管理員證書，就可以在任何一臺機(jī)器上通過Web方式登錄東方中訊CA認(rèn)證中心后臺實現(xiàn)對PKI/CA體系的全權(quán)管理，并可以自主進(jìn)行證書的申請、下載和更新等工作。企業(yè)通過第三方的PKI/CA系統(tǒng)，委托第三方公司進(jìn)行數(shù)字證書的發(fā)放和管理。由我公司負(fù)責(zé)在客戶的本地建設(shè)全套的PKI/CA 體系，包括證書簽發(fā)系統(tǒng)（自建CA）證書注冊審批系統(tǒng)（自建RA），實現(xiàn)企業(yè)內(nèi)部證書自主簽發(fā)、證書管理、證書查詢服務(wù)等功能，可以自由的使用數(shù)字證書。第3章 數(shù)字證書服務(wù)方案我公司為企業(yè)單位建立的電子認(rèn)證服務(wù)體系，從服務(wù)內(nèi)容、服務(wù)模式、服務(wù)流程、服務(wù)保障等方面，建設(shè)符合企業(yè)單位特點的服務(wù)模式和流程，方便證書發(fā)放和管理，滿足企業(yè)單位實際業(yè)務(wù)需要。目前提供支持 iOS 與 Android 系統(tǒng)的上層證書管理與應(yīng)用中間件，支持軟證書與硬件證書進(jìn)行 SSL 雙向身份認(rèn)證與數(shù)字簽名。和身份認(rèn)證一樣，在移動平臺，同樣需要開發(fā)相應(yīng)的中間件產(chǎn)品支持上層應(yīng)用和下層外設(shè)（如雙接口 Key 或 TF 卡等）以實現(xiàn)對 iOS、Android 等系統(tǒng)的數(shù)字證書應(yīng)用支持。 證書處理模塊證書處理模塊以靜態(tài)庫、jar 包或者控件的方式提供，供專用客戶端軟件調(diào)用，實現(xiàn)的功能包括對證書的驗證，對本地證書的檢索，顯示成列表，供用戶選擇提交。證書的驗證可使用 CRL 或 OCSP 來進(jìn)行有效性驗證。171。 證書驗證模塊（CVM ）證書驗證模塊以插件或動態(tài)庫方式提供，實現(xiàn)對證書的驗證，證書驗證可選使用 CRL 或 OCSP 驗證有效性。 證書解析模塊（CPM ）證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。 在實現(xiàn)雙向身份認(rèn)證時， 專用客戶端需要對證書進(jìn)行處理，包括完成服務(wù)器證書的驗證，讓用戶選擇證書進(jìn)行提交等。 為此，可以提供證書應(yīng)用開發(fā)接口（API）幫助用戶進(jìn)行證書功能的集成，以下將從安全原理、安全構(gòu)架、證書應(yīng)用開發(fā)接口（API）和具體流程分別介紹應(yīng)用系統(tǒng)集成方案。由于無線信道信息傳送過程可能被竊聽，當(dāng)攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個信息來冒充該合法用戶的身份進(jìn)行網(wǎng)上審批， 這就是所謂的身份冒充攻擊。而在網(wǎng)上審批過程中存在著被黑客通過木馬等惡意程度進(jìn)行偽造、假冒和復(fù)制的風(fēng)險，從而損害企業(yè)利益，同時也對企業(yè)信譽(yù)造成不良影響。2. 關(guān)于審批權(quán)限的安全需求如何保障企業(yè)的審批安全， 避免權(quán)利被盜用風(fēng)險， 是企業(yè)面臨的第二大主要問題，這也是無紙化辦公的重要原因之一。 在無線網(wǎng)絡(luò)中的信號很容易受到攔截并被解碼，只要具有適當(dāng)?shù)臒o線接收設(shè)備就可以很容易實現(xiàn)無線竊聽，而且很難被發(fā)現(xiàn)。1. 關(guān)于通信安全需求傳統(tǒng)的有線網(wǎng)絡(luò)是利用通信電纜作為傳播介質(zhì)， 這些介質(zhì)大部分處于地下等比較安全的場所，因此中間的傳輸區(qū)域相對是受控制的。171。171。171。171。財務(wù)系統(tǒng)171。171?？尚艜r間戳簽名體系主要由簽名取證系統(tǒng)、時間戳服務(wù)器、時間源服務(wù)器等產(chǎn)品組成，加蓋時間戳簽名操作流程如圖27所示：圖27 加蓋時間戳簽名流程圖流程圖說明：1) ERP系統(tǒng)驗證用戶提交的待申請時間戳數(shù)據(jù)的數(shù)字摘要值，向簽名取證系統(tǒng)發(fā)起時間戳簽名請求；2) 簽名取證系統(tǒng)保存數(shù)據(jù)摘要值，通過webservice向時間戳服務(wù)器發(fā)起時間戳簽名請求； 3) 時間戳服務(wù)器保存請求數(shù)據(jù)，獲取時間源服務(wù)器（與國家授時中心進(jìn)行時間同步）的標(biāo)準(zhǔn)時間信息， 進(jìn)行時間戳簽名；4) 時間戳服務(wù)器向簽名取證系統(tǒng)返回時間戳簽名數(shù)據(jù)并存儲；5) 簽名取證系統(tǒng)保存時間戳簽名數(shù)據(jù)，向ERP系統(tǒng)返回時間戳簽名結(jié)果。數(shù)據(jù)安全存儲是加密機(jī)、安全存儲系統(tǒng)及密碼技術(shù)對涉密數(shù)據(jù)加密處理過程，流程如圖26所示:圖26 數(shù)據(jù)安全存儲程圖1) ERP系統(tǒng)將涉密數(shù)據(jù)提交到CA認(rèn)證特性的安全存儲系統(tǒng)加密接口；2) 安全存儲系統(tǒng)調(diào)用加密機(jī)服務(wù)器證書的公鑰生成加密數(shù)據(jù)后存儲； 3) ERP系統(tǒng)調(diào)用安全存儲系統(tǒng)機(jī)密接口獲取涉密數(shù)據(jù)原文。我公司電子印章服務(wù)平臺系統(tǒng)管理是構(gòu)建于web形式的管理系統(tǒng)，其中包括個人管理、系統(tǒng)管理、印章管理模塊，并設(shè)置機(jī)要員、系統(tǒng)管理員、印章管理員、日志管理等權(quán)限。電子簽章體系是由證書介質(zhì)、數(shù)字證書、簽章應(yīng)用中間件、電子簽章系統(tǒng)、ERP系統(tǒng)組成。 支持安全存儲：支持對重要數(shù)據(jù)加密存儲于簽名取證系統(tǒng)中。 支持雙向簽名：客戶端和服務(wù)器端均具備簽名、驗簽名功能，可以用來實現(xiàn)雙向、多次簽名的高安全級別方案；216。 通用性好：客戶端只需通過調(diào)用接口調(diào)用證書服務(wù)，可以支持采用C/C++、Java、C等主流開發(fā)語言開發(fā)的程序。電子簽名體系具有以下特點：216。流程說明如下：1) 客戶端和安全接入網(wǎng)關(guān)平臺完成雙向身份認(rèn)證，建立SSL通道； 2) 用戶利用數(shù)字證書對提交的電子單據(jù)進(jìn)行數(shù)字簽名； 3) 已簽名的數(shù)據(jù)通過SSL通道加密傳輸?shù)紼RP系統(tǒng)； 4) ERP系統(tǒng)獲取用戶的電子訂單信息及其數(shù)字簽名。企業(yè)用戶在業(yè)務(wù)操作過程中，對比較敏感和重要的電子單據(jù)進(jìn)行數(shù)字簽名，通過簽名驗證服務(wù)器驗證數(shù)據(jù)完整性，驗證通過將簽名結(jié)果與被簽名信息存入簽名取證系統(tǒng)。 使用SSL安全機(jī)制的通信過程如下：用戶與服務(wù)器建立連接后，服務(wù)器會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用公共密鑰對會話密鑰進(jìn)行加密，然后傳遞給服務(wù)器，服務(wù)器端用私人密鑰進(jìn)行解密，這樣，用戶端和服務(wù)器端就建立了一條安全通道，只有SSL允許的用戶才能與服務(wù)器進(jìn)行通信，從而解決了客戶端與ERP系統(tǒng)服務(wù)器之間信息加密傳輸?shù)膯栴}。SSL協(xié)議用于建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的機(jī)密性和安全性。 后臺記錄用戶登錄日志，快速檢測用戶訪問記錄。 登錄過程應(yīng)用隨機(jī)數(shù)簽名，保證每次登錄不可以被模擬、復(fù)制；216。 實現(xiàn)用戶角色和權(quán)限的管理和分配；216?？尚派矸菡J(rèn)證體系具有以下特點：216。用戶安全訪問ERP系統(tǒng)的流程如圖23所示：圖23 可信身份認(rèn)證體系流程圖1) 用戶將帶數(shù)字證書的USB Key插入計算機(jī)，訪問客戶端程序（基于B/S的IE或者基于C/S的客戶端） 登錄統(tǒng)一門戶，系統(tǒng)要求用戶選擇用戶