金蝶企业安全认证解决方案
B企业 用户
C企业 用户
CA解决方案之K/3 Cloud私有云
企业本地 K/3 Cloud(企业私有云)
财 务 会 计
成 本 管 理 供 应 链 管 理 生 产 管 理 H R 管 理
其 他 … …
ESA(电子签 名应用服务器)
企业自建 CA系统
内网
互联网
集团用户
分子公司
供应商
CA系统:自建CA系统; 证书发放:在线审批、集中制作; 证书类型:VTN/CTN服务器证书,企业证书、 员工证书; 证书集成:ESA与K/3 Cloud深度集成,实现 ④内部公开 请勿外传 P26 登录、关键业务节点 CA管控。
④内部公开 请勿外传
P11
各种安全技术比较
身份鉴证
机密性
完整性
抗抵赖
口令
动态口令
密码技术
PKI/CA
④内部公开 请勿外传
P12
CA法律依据
中华人民共和国电子签名法
《电子签名法》第十三条
电子签名同时符合下列条件的,视为可靠的电子签名:
对数字证书应用过程的约束
(一)电子签名制作数据用于电子签名时,属于电子签名人专有; (二)签署时电子签名制作数据仅由电子签名人控制; (三)签署后对电子签名的任何改动能够被发现; (四)签署后对数据电文内容和形式的任何改动能够被发现。
审核单 据
•单据验签 •单据签名 •签名存储
支付
•单据验签 •单据签名 •签名存储
④内部公开 请勿外传
网银
•服务器身份识别
•加密传输通道
•单据签名验签
P17
EAS系统——托管型CA解决方案
天诚安信 数字认证中心
企业子CA系统
ESA
ESA
Internet
RA系统 (硬件锐风) EAS资金系统 银企网关
④内部公开 请勿外传
P9
EAS、K/3系统中存在的安全隐患
银行 集团企业 ④ 银企网关
金蝶EAS、K/3
③
②
① 如何确认用户身份? ② 如何防止网络窃听? ③ 如何发现信息篡改?
②
②
①
①
①
④ 如何预防用户抵赖?
EAS用户
EAS用户
EAS用户
企业CA 防控系统 ④内部公开 请勿外传
P10
EAS、K/3安全需求总结
H R 管 理
ESA(电子签 名应用服务器)
RA API
互 联 网
金蝶K/3 子CA系统
互
联
网
A企业 用户
B企业 用户
C企业 用户
CA系统:本地RA(RAAPI方式); 创建独立子CA:K/3子CA系统 证书发放:在线审批、集中制作; 证书类型:VTN服务器证书,企业/员工证书; 证书集成:ESA与K/3 Cloud深度集成,实 ④内部公开 请勿外传 P24 现登录、关键业务节点 CA管控。
用户名、口令泄露,个人身份被冒用 钓鱼网站的出现,服务器身份被冒用 由于互联网的开放性和共享性,黑客技术的发展、网络用户的安全意识不到 位等原因,导致个人、企业各种信息暴漏在公网中:
千万用户名密码被盗; 用户信息泄露; 系统程序被破坏,数据丢失。
钓鱼网站,用户资金被盗; 用户网上银行资金被盗; 用户信息泄露。
金蝶企业安全认证解决方案
报告人:孙天英 职 位:售前咨询工程师
版权所有©1993-2012金蝶软件(中国)有限公司
④内部公开 请勿外传
④ 内部公开 请勿外传
天诚安信简介 EAS/K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制
④内部公开 请勿外传
P2
天诚安信简介
成立于2011年5月 是北京天威诚信的全资控股子公司
较大)
数字签名、抗抵赖的功
能仍然可以实现。
④内部公开 请勿外传
P22
CA安全解决方案设计
④内部公开 请勿外传
P23
CA解决方案之K/3 Cloud公有云
金蝶K/3云服务中心 K/3 Cloud(公有云)
财 务 会 计 成 本 管 理
天诚安信 CA运营中心
R A 系 统
供 应 链 管 理
生 产 管 理
企业内部只需建设本地 多用于资金、财务、电 完全符合《电子签名法》
托管型
RA,即可下载证书(初 子招投标等对合规性要 要求,并且具有相关的 期投入少) 求较高的系统 资质证明
企业内部需要建设一套
合法合规性较弱,但在
企业自建型
完整的CA系统,用以下 多用于办公协同等企业 身份认证、数据加密、
发数字证书(初期投入 内控的系统
P36
案例分析——中国铁建(自建型CA)
中国铁建(简称 CRCC)有29家分子公司 分部在全国, CRCC为了 提高工作效率和管理效率, 建立了自己的企业应用中 心平台(单点登录),即 将HR、COM、B2B、 LCM、IS等系统的功能模 块集成到一个平台上进行 访问和管理,达到数据、 资源的共享及统一管理功 能。但是由于互联网的开 放性和共享性,给各业务 系统的访问,操作带来许 多信息安全隐患,从管理 便宜性上、性价比上考虑, 最终CRCC采用了自建CA 系统来保障应用的安全。
④内部公开 请勿外传
P4
天诚安信简介——全国服务体系
北京总部 河南分中心
华东营销中心 宁波分中心
西南分公司 华南分公司
④内部公开 请勿外传
P5
天诚安信&金蝶合作 EAS、K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制
④内部公开 请勿外传
P6
信息安全事故案例——互联网应用
案例1:国内互联网“脱库门” 案例2:危险的光大银行
银行
局域网
Internet
企业RA管理员
总部用户
分公司用户
④内部公开 请勿外传 P18
托管型CA方案涉及的产品和服务
天诚安信CA系统(最多100个用户)
① 在天诚安信数据中心国家CA根下面建立客户独立托管子CA系统; ② 用户管理员可以通过本地RA系统(硬件锐风服务器),安全便捷 的发放数字证书。
网
CA系统:本地RA(RA+CKS方式); 创建独立子CA:K/3子CA系统 证书发放:在线审批、集中制作; 证书类型:VTN服务器证书,企业/员工证书; 证书集成:ESA与K/3 Cloud深度集成,实现 ④内部公开 请勿外传 P25 登录、关键业务节点 CA管控。
A企业 用户
ESA电子签名应用服务器
1、在用户的系统中实现身份认证、数字签名、数据加解密等功能
存储数字证书的USBKey
具有加密芯片储存和保护证书安全的介质
技术实施支持
包含系统搭建、集成、培训等
软件系统维护服务
第一年免费,第二年开始收费
④内部公开 请勿外传
P21
EAS两种解决方案对比
CA建设模式 建设方式 应用场景 合法合规性
什么是CA系统?什么是第三方CA机构?
• CA是一套严密的数字身份认证系统
– CA和数字证书是密不可分的两个部分 – CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方 权威机构 – CA系统由RA注册系统和CA签发系统组成
• 第三方CA机构
– 获得国家认可的第三方CA中心 – 运营维护CA系统 – 为用户发放符合法律效力的数字证书
证书法律效力:提供法律 效力高的第三方证书服务
有效的电子证据:电子签名数据 符合《中华人民共和国电子签名 法》,可用于后期取证
天诚安信完全解决了EAS/K/3系统中的安全风险!
④内部公开 请勿外传
P35
天诚安信&金蝶合作 EAS/K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制
④内部公开 请勿外传
ESA电子签名应用服务器
1、在用户的系统中实现身份认证、数字签名、数据加解密等功能
数字证书(有效期为一年)
1、员工数字证书 2、RA管理员数字证书
存储数字证书的USBKey
技术实施支持
包含系统搭建、集成、培训等
软件系统维护服务
第一年免费,第二年开始收费
④内部公开 请勿外传 P19
意义。
④内部公开 请勿外传
P8
信统出纳账 号被盗 案例2:XX公司资金系统管理员 监守自盗
信息、数据被篡改; 内部监管不力,出现责任抵赖; 缺乏有效的电子证据 公司系统安全问题日益严峻,不仅需要对外进行安全防护,对内,需要进行 权限分割、安全监控、保留责任追溯证据。
业务应用------(一)设置登录认证节点
设置用户 CA认证方 式
④内部公开 请勿外传
业务应用------(一)身份认证
******
④内部公开 请勿外传
业务应用层面------(二)客商资料管理
④内部公开 请勿外传
设置业务节点二次CA认证
④内部公开 请勿外传
业务应用------(三)单据制作
1、从技术层面
身份认证:提供安全级别比“用户名+口令高”的身份认证方式,保障身份真实性; 数据机密性:保障传输的资金数据(金额、银行账户…)等不被他人盗取)。 数据防篡改性:保障资金数据的真实性,不被他人篡改。
2、从法律层面
《中华人民共和国电子签名法》:系统里的数据符合电子签名法,
后期可提取相关数据进行取证,防止他人抵赖等行为;
CA解决方案之K/3 Cloud公有云
金蝶K/3云服务中心 天诚安信 CA运营中心
C K S 系 统 R A 系 统
K/3 Cloud(公有云)
财 务 会 计
成 本 管 理 供 应 链 管 理 生 产 管 理 H R 管 理 ESA (电子 签名应 用服务 器)
