【正文】 證書和輸入密碼設(shè)備密碼；2) 需要先通過安全接入網(wǎng)關(guān)完成雙向身份認(rèn)證。CA安全認(rèn)證體系由可信身份認(rèn)證、安全傳輸通道、可信電子簽名、可信電子簽章、數(shù)據(jù)安全存儲(chǔ)、可信時(shí)間戳簽名等子體系組成。2） 客戶端與安全接入網(wǎng)關(guān)通過SSL安全鏈路通信，保證信息傳輸過程中的機(jī)密性、完整性和可信性；3） CA認(rèn)證體系為ERP系統(tǒng)提供對(duì)敏感數(shù)據(jù)的加密和安全存儲(chǔ)，對(duì)關(guān)鍵審批環(huán)節(jié)的電子簽名和電子簽章的功能，在發(fā)生糾紛時(shí)，能從簽名取證系統(tǒng)快速獲取簽名數(shù)據(jù)，提供有效的電子證據(jù)。CA認(rèn)證體系框架如圖21所示：圖21 CA認(rèn)證體系 網(wǎng)絡(luò)架構(gòu)企業(yè)安全體系由安全接入網(wǎng)關(guān)和CA認(rèn)證體系（包括簽名取證系統(tǒng)、證書應(yīng)用中間件、簽名驗(yàn)證服務(wù)器、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器、時(shí)間源服務(wù)器、安全存儲(chǔ)系統(tǒng)、加密機(jī)）組成，為ERP系統(tǒng)提供身份認(rèn)證、訪問控制、數(shù)據(jù)傳輸加密、數(shù)字簽名、電子簽章、安全存儲(chǔ)等于一體的安全解決方案。l 公安部《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》《電子數(shù)據(jù)法庭科學(xué)鑒定通用方法》（GA/T9762012 公安部）：“規(guī)定了法庭鑒定時(shí)電子證據(jù)數(shù)據(jù)的獲取、檢驗(yàn)分析和呈現(xiàn)的規(guī)范獲取的數(shù)據(jù)文件和原始的數(shù)據(jù)文件的哈希值，驗(yàn)證兩者的一致性，確保兩者是相同的。 當(dāng)事人也可以選擇使用符合其約定的可靠條件的電子簽名。2) 國家標(biāo)準(zhǔn)l SM2橢圓曲線公鑰密碼算法3) 法律法規(guī)l 中華人民共和國《電子簽名法》《電子簽名法》第七條：“數(shù)據(jù)電文不得僅因?yàn)槠涫且噪娮印⒐鈱W(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的而被拒絕作為證據(jù)使用。數(shù)字時(shí)間戳服務(wù)（DTS：digital time stamp service）是網(wǎng)上電子商務(wù)安全服務(wù)項(xiàng)目之一，能提供電子文件的日期和時(shí)間信息的安全保護(hù)。7) 時(shí)間戳在電子商務(wù)交易文件中，時(shí)間是十分重要的信息。通俗點(diǎn)說，電子簽名就是通過密碼技術(shù)對(duì)電子文檔的電子形式的簽名，并非是書面簽名的數(shù)字圖像化，它類似于手寫簽名或印章，也可以說它就是電子印章。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。3) CA系統(tǒng)證書認(rèn)證系統(tǒng)( Certificate Authentication System)，簡稱CA系統(tǒng)，是對(duì)數(shù)字證書進(jìn)行證書生命周期全過程管理的安全系統(tǒng)。PKI政務(wù)的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。 方案建設(shè)目標(biāo)1) 建設(shè)企業(yè)PKI/CA體系，為ERP系統(tǒng)終端用戶提供數(shù)字證書發(fā)放與管理，為企業(yè)用戶提供優(yōu)質(zhì)的、規(guī)范的數(shù)字證書生命周期服務(wù)，滿足企業(yè)ERP系統(tǒng)數(shù)字證書應(yīng)用；2) 建立財(cái)務(wù)管理系統(tǒng)、物流管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等企業(yè)ERP系統(tǒng)統(tǒng)一的業(yè)務(wù)應(yīng)用安全支撐體系，實(shí)現(xiàn)電子認(rèn)證服務(wù)和相關(guān)技術(shù)與企業(yè)信息系統(tǒng)的有機(jī)集成結(jié)合，有效提升企業(yè)財(cái)務(wù)管理等系統(tǒng)的業(yè)務(wù)信息安全保障水平，構(gòu)建安全可信的企業(yè)ERP業(yè)務(wù)環(huán)境，保證用戶登錄的真實(shí)身份認(rèn)證、信息傳輸?shù)陌踩?、完整性、用戶操作行為的不可抵賴性?) 在企業(yè)部署安全存儲(chǔ)系統(tǒng)，對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，能發(fā)生糾紛時(shí)，能快速提取簽名數(shù)據(jù)、簽章數(shù)據(jù)作為有效的電子證據(jù)，防止抵賴行為。5) 管理成本控制企業(yè)需要管理不同業(yè)務(wù)系統(tǒng)的用戶，導(dǎo)致了用戶管理的復(fù)雜度增加和效率降低，為此企業(yè)需要付出更多的 IT管理成本。數(shù)據(jù)信息的法律保障在這些關(guān)鍵操作中，都需要保證對(duì)操作行為進(jìn)行有效的控制，即有真實(shí)權(quán)限的人員才能進(jìn)行操作，操作后對(duì)操作行為要有有效的審計(jì)。正因?yàn)槿绱耍珽RP系統(tǒng)信息安全顯得尤為重要，包含ERP系統(tǒng)中的信息資產(chǎn)安全已經(jīng)破在眉睫。2) 信息安全需求為了保證系統(tǒng)的安全，不僅僅要保證主系統(tǒng)不受外部干擾，還應(yīng)確保各個(gè)部門之間的聯(lián)系和資源共享得到安全保證，做到不越權(quán)進(jìn)行彼此互訪，防止內(nèi)部安全系統(tǒng)出現(xiàn)問題。本方案以成熟的、安全的、認(rèn)可的PKI/CA技術(shù)為基礎(chǔ)，從安全技術(shù)角度提供企業(yè)ERP系統(tǒng)安全解決方案，如果實(shí)現(xiàn)ERP系統(tǒng)整體安全，企業(yè)還需考慮安全的管理措施。因此，在某種程度上可以將ERP系統(tǒng)作為企業(yè)中樞系統(tǒng)，統(tǒng)領(lǐng)著一切其他子系統(tǒng)，子系統(tǒng)在總系統(tǒng)的分配調(diào)度下協(xié)調(diào)工作，共同為企業(yè)整體的運(yùn)轉(zhuǎn)提供保證。ERP（EnterpriseResourcePlanning）企業(yè)資源計(jì)劃系統(tǒng)，是指建立在信息技術(shù)基礎(chǔ)上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運(yùn)行手段的管理平臺(tái)。企業(yè)ERP系統(tǒng)安全解決方案東方中訊數(shù)字證書認(rèn)證有限公司72 / 72目 錄第1章 方案介紹 5 概述 5 安全需求分析 6 方案建設(shè)目標(biāo) 7第2章 企業(yè)PKI/CA體系安全解決方案 8 常用術(shù)語 8 設(shè)計(jì)依據(jù) 9 安全認(rèn)證體系建設(shè)方案 11 CA安全認(rèn)證體系框架 11 網(wǎng)絡(luò)架構(gòu) 12 企業(yè)ERP系統(tǒng)安全保障體系 14 14 安全傳輸通道 16 可信電子簽名體系 16 可信電子簽章體系 18 數(shù)據(jù)安全存儲(chǔ) 19 可信時(shí)間戳簽名 19 企業(yè)ERP系統(tǒng)認(rèn)證體系應(yīng)用 20 20 21 21第3章 電子認(rèn)證體系服務(wù)方案 22 數(shù)字證書服務(wù) 22 23 30 證書發(fā)放模式 30 培訓(xùn)服務(wù) 33 33 用戶培訓(xùn) 34 售后服務(wù) 37第4章 東方中訊及主要產(chǎn)品介紹 44 44 企業(yè)規(guī)模 44 企業(yè)人才隊(duì)伍信息 44 企業(yè)文化建設(shè) 45 技術(shù)團(tuán)隊(duì) 46 資質(zhì)證明 46 PKI/CA體系主要產(chǎn)品 49 簽名取證系統(tǒng) 49 50 52 53 時(shí)間戳服務(wù)器 56 安全存儲(chǔ)系統(tǒng) 58 60第6章 產(chǎn)品配置及報(bào)價(jià) 63 本期建設(shè)方案產(chǎn)品報(bào)價(jià)方案 63 后期售后服務(wù)及產(chǎn)品報(bào)價(jià)方案 66第1章 方案介紹 概述隨著信息技術(shù)的發(fā)展和應(yīng)用的不斷深入，信息安全日益受到國家、企業(yè)和社會(huì)公眾的關(guān)注。中國政府已經(jīng)提出了構(gòu)建國家信息安全保障體系的設(shè)想，明確了政府、企業(yè)和公民各自應(yīng)承擔(dān)的責(zé)任與義務(wù)，同時(shí)國家也鼓勵(lì)信息安全技術(shù)的研究和創(chuàng)新，《信息產(chǎn)業(yè)科技發(fā)展“十一五”規(guī)劃和2020年中長期規(guī)劃綱要》中明確把信息安全技術(shù)作為優(yōu)先發(fā)展的重點(diǎn)技術(shù)之一，主要包括密碼技術(shù)、電子認(rèn)證、應(yīng)急響應(yīng)、信息安全評(píng)測技術(shù)等。可以說，企業(yè)的ERP系統(tǒng)幾乎覆蓋了企業(yè)運(yùn)作的所有部分，包括生產(chǎn)、營銷、管理、客服、售后服務(wù)等等。如果中樞系統(tǒng)出現(xiàn)問題，將導(dǎo)致整個(gè)企業(yè)運(yùn)轉(zhuǎn)出現(xiàn)問題，甚至導(dǎo)致整個(gè)企業(yè)的癱瘓，可以說， ERP系統(tǒng)的安全穩(wěn)定對(duì)于企業(yè)整體的安全有著重要作用。 安全需求分析企業(yè)ERP系統(tǒng)的安全與穩(wěn)定關(guān)系到整個(gè)企業(yè)能否正常運(yùn)行，是企業(yè)需要特別注重的方面。ERP系統(tǒng)安全需求主要體現(xiàn)在以下幾個(gè)方面： 1) 身份真實(shí)性認(rèn)證不同業(yè)務(wù)系統(tǒng)無法實(shí)現(xiàn)統(tǒng)一的安全認(rèn)證和授權(quán)，同時(shí)各個(gè)系統(tǒng)安全策略設(shè)置級(jí)別不一致，從而無法保障各個(gè)系統(tǒng)的身份認(rèn)證和訪問安全的可靠性。ERP的特點(diǎn)大而全，包含企業(yè)的組織架構(gòu)、銷售渠道、客戶資源等方方面面的信息。3) 對(duì)關(guān)鍵操作的控制和審計(jì)關(guān)鍵操作即對(duì)數(shù)據(jù)交換過程，主要有ERP系統(tǒng)中關(guān)鍵文檔的提交和發(fā)布、報(bào)賬系統(tǒng)中重要信息的傳輸、財(cái)務(wù)系統(tǒng)中的資金支付、電子單據(jù)確認(rèn)等。4) ERP系統(tǒng)中存儲(chǔ)的都是企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，對(duì)這些業(yè)務(wù)數(shù)據(jù)的管理和審計(jì)必須符合相關(guān)的法律法規(guī)要求。業(yè)務(wù)系統(tǒng)繁多，用戶需要記憶多個(gè)帳戶和口令，無形中引導(dǎo)客戶使用弱密碼，不同系統(tǒng)登陸和使用極為不便，同時(shí)由于用戶口令遺忘而導(dǎo)致的支持費(fèi)用不斷上漲。第2章 企業(yè)PKI/CA體系安全解決方案 常用術(shù)語1) PKI PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。2) 數(shù)字證書數(shù)字證書（Digital Certificate），是由權(quán)威的電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行數(shù)字簽名的，包含擁有者信息、擁有者公開密鑰、簽發(fā)者信息、有效期以及一些擴(kuò)展信息的數(shù)字文件。4) SSL協(xié)議SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。5) 電子簽名電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。6) 電子簽章電子簽章是電子簽名的一種表現(xiàn)形式，利用圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視效果，同時(shí)利用電子簽名技術(shù)保障電子信息的真實(shí)性和完整性以及簽名人的不可否認(rèn)性。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。 設(shè)計(jì)依據(jù)我公司提供的CA安全認(rèn)證體系的建設(shè)方案遵循相關(guān)的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)以及電子商務(wù)行業(yè)標(biāo)準(zhǔn)：1) 國際標(biāo)準(zhǔn)l PKCS 1: RSA Cryptography Standard；l PKCS 3: DiffieHellman Key Agreement Standard；l PKCS 5: PasswordBased Cryptography Standard；l PKCS 6: ExtendedCertificate Syntax Standard；l PKCS 7: Cryptographic Message Syntax Standard；l PKCS 8: PrivateKey Information Syntax Standard；l PKCS 9: Selected Attribute Types；l PKCS 10: Certification Request Syntax Standard；l PKCS 11: Cryptographic Token Interface Standard；l PKCS12: Personal Information Exchange Syntax Standard；l PKCS15: Cryptographic Token Information Format Standard?！? 《電子簽名法》第十三條：電子簽名同時(shí)符合下列條件的，視為可靠的電子簽名： （一） 電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有； （二） 簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制； （三） 簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)； （四）簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)。 《電子簽名法》第十四條：“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”?！度∽C與鑒定文書電子簽名》（ GA/T9762012 公安部）：“明確電子簽名、數(shù)字證書、數(shù)字證書格式和數(shù)字 證書簽發(fā)機(jī)構(gòu)”“明確簽名過程和電子簽名驗(yàn)證過程”“明確電子簽名管理系統(tǒng)”4) 其他規(guī)范l 《電子認(rèn)證服務(wù)管理辦法》l 《電子認(rèn)證業(yè)務(wù)規(guī)則規(guī)范(試行)》l 《信息安全等級(jí)保護(hù)管理辦法》l 《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 安全認(rèn)證體系建設(shè)方案 CA安全認(rèn)證體系框架 ERP的應(yīng)用系統(tǒng)中，置入東方中訊PKI/CA體系或企業(yè)自建PKI/CA體系，實(shí)現(xiàn)安全可信的企業(yè)信息系統(tǒng)。企業(yè)體系網(wǎng)絡(luò)架構(gòu)如圖22所示：圖22 企業(yè)安全體系網(wǎng)絡(luò)架構(gòu)圖網(wǎng)絡(luò)結(jié)構(gòu)圖說明：1） ERP系統(tǒng)端前置安全接入網(wǎng)關(guān)l 實(shí)現(xiàn)用戶安全接入： 基于數(shù)字證書的用戶真實(shí)身份鑒別和嚴(yán)格的訪問控制策略保證合法的用戶安全接入網(wǎng)絡(luò)，阻止非法用戶訪問；l 實(shí)現(xiàn)ERP系統(tǒng)單點(diǎn)登錄： 用戶在成功登陸網(wǎng)關(guān)后，用戶在訪問其他的應(yīng)用系統(tǒng)時(shí)，網(wǎng)關(guān)可以進(jìn)行模擬代填或?qū)⒂脩粜畔鬟f給后臺(tái)服務(wù)器實(shí)現(xiàn)自動(dòng)登錄功能，用戶只需要登錄一次就可以訪問所授權(quán)的應(yīng)用系統(tǒng)，降低企業(yè)管理成本。 企業(yè)ERP系統(tǒng)安全保障體系CA管理員通過數(shù)字證書簽發(fā)系統(tǒng)給企業(yè)用戶簽發(fā)數(shù)字證書，以及相應(yīng)的CA認(rèn)證產(chǎn)品（含簽名取證系統(tǒng)、證書應(yīng)用中間件、簽名驗(yàn)證服務(wù)器、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器、時(shí)間源服務(wù)器、安全存儲(chǔ)系統(tǒng)、加密機(jī)）建立PKI/CA安全信任體系，實(shí)現(xiàn)用戶身份的真實(shí)性，信息傳輸?shù)陌踩煽啃?、操作的不可抵賴性。各子體系詳細(xì)內(nèi)容如下：可信身份認(rèn)證體系是密碼設(shè)備、數(shù)字證書、安全接入網(wǎng)關(guān)、簽名取證系統(tǒng)、證書應(yīng)用中間件、ERP系統(tǒng)共同構(gòu)建。認(rèn)證通過后，客戶端和安全接入網(wǎng)關(guān)之間建立SSL連接，客戶端和ERP服務(wù)器之間的數(shù)據(jù)傳輸通過SSL通道加密傳輸；3) ERP系統(tǒng)獲取客戶端提交的隨機(jī)數(shù)簽名數(shù)據(jù)，通過WEBSERVICE或socket方式提交數(shù)據(jù)到CA認(rèn)證平臺(tái)，它將對(duì)用戶證書的有效性，簽名數(shù)據(jù)的完整性、有效性進(jìn)行驗(yàn)證；