金蝶企業(yè)安全認證解決課件

1、報告人：孫天英職 位：售前咨詢工程師金蝶企業(yè)安全認證解決方案天誠安信簡介EAS/K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機制天誠安信簡介成立于2011年5月是北京天威誠信的全資控股子公司北京天威誠信成立于2000年9月公司核心價值觀：秉承創(chuàng)新 平衡發(fā)展2005年獲工信部批準，成為國內(nèi)首家跨區(qū)域、跨行業(yè)的電子認證服務(wù)機構(gòu)！ 專注于商用密碼技術(shù)相關(guān)產(chǎn)品研制開發(fā)，為企業(yè)、政府機構(gòu)和 個人提供高品質(zhì)、安全可信賴的商用密碼產(chǎn)品與信息安全產(chǎn)品。天誠安信簡介作為CA行業(yè)的唯一代表，參與中華人民共和國電子簽名法的起草電子認證服務(wù)管理辦法起草專家組成員之一負責(zé)國標CA認證機構(gòu)建設(shè)和運營管理規(guī)范的制

2、訂國家電子商務(wù)標準化總體組專家成員參與國家信息中心電子政務(wù)外網(wǎng)PKI/CA體系的規(guī)劃，并提供CA運營管理咨詢國內(nèi)具有顯著行業(yè)地位和最具影響力的CA認證中心天誠安信簡介全國服務(wù)體系北京總部西南分公司 華南分公司華東營銷中心寧波分中心河南分中心 天誠安信&金蝶合作EAS、K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機制信息安全事故案例互聯(lián)網(wǎng)應(yīng)用案例1：國內(nèi)互聯(lián)網(wǎng)“脫庫門” 千萬用戶名密碼被盜；用戶信息泄露；系統(tǒng)程序被破壞，數(shù)據(jù)丟失。案例2：危險的光大銀行釣魚網(wǎng)站，用戶資金被盜；用戶網(wǎng)上銀行資金被盜；用戶信息泄露。用戶名、口令泄露，個人身份被冒用釣魚網(wǎng)站的出現(xiàn)，服務(wù)器身份被冒用由于互聯(lián)網(wǎng)的

3、開放性和共享性，黑客技術(shù)的發(fā)展、網(wǎng)絡(luò)用戶的安全意識不到位等原因，導(dǎo)致個人、企業(yè)各種信息暴漏在公網(wǎng)中：信息安全事故案例企業(yè)內(nèi)部應(yīng)用案例1：中國人壽保單信息泄露案例2：公司郵箱被盜，13萬美元 貨款丟失 企業(yè)機密信息、數(shù)據(jù)泄露 哪個公司沒有自己核心的客戶資料、內(nèi)部機密的財務(wù)數(shù)據(jù)、或者研發(fā)配方、還有設(shè)計圖紙、投資方案，這些數(shù)據(jù)，一旦由于內(nèi)部監(jiān)管不力，而輕易泄露給了競爭對手，對于企業(yè)將會是致命的打擊、公司所做的努力將會沒有任何意義。信息安全事故案例資金系統(tǒng)應(yīng)用案例1：XX公司資金系統(tǒng)出納賬號被盜案例2：XX公司資金系統(tǒng)管理員監(jiān)守自盜信息、數(shù)據(jù)被篡改；內(nèi)部監(jiān)管不力，出現(xiàn)責(zé)任抵賴；缺乏有效的電子證據(jù)公司系

4、統(tǒng)安全問題日益嚴峻，不僅需要對外進行安全防護，對內(nèi)，需要進行權(quán)限分割、安全監(jiān)控、保留責(zé)任追溯證據(jù)。EAS、K/3系統(tǒng)中存在的安全隱患EAS用戶EAS用戶EAS用戶銀企網(wǎng)關(guān)銀行集團企業(yè) 企業(yè)CA 防控系統(tǒng)如何確認用戶身份？如何防止網(wǎng)絡(luò)竊聽？如何發(fā)現(xiàn)信息篡改？如何預(yù)防用戶抵賴？金蝶EAS、K/3EAS、K/3安全需求總結(jié)1、從技術(shù)層面身份認證：提供安全級別比“用戶名+口令高”的身份認證方式，保障身份真實性；數(shù)據(jù)機密性：保障傳輸?shù)馁Y金數(shù)據(jù)（金額、銀行賬戶)等不被他人盜?。?shù)據(jù)防篡改性：保障資金數(shù)據(jù)的真實性，不被他人篡改。2、從法律層面中華人民共和國電子簽名法：系統(tǒng)里的數(shù)據(jù)符合電子簽名法， 后期可提

5、取相關(guān)數(shù)據(jù)進行取證，防止他人抵賴等行為；各種安全技術(shù)比較身份鑒證機密性完整性抗抵賴口令動態(tài)口令密碼技術(shù)PKI/CACA法律依據(jù)電子簽名法第十四條 可靠的電子簽名與手寫簽名或者蓋章具有同等法律效力。電子簽名法第十三條電子簽名同時符合下列條件的，視為可靠的電子簽名：（一）電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；（二）簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；（三）簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；（四）簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。對數(shù)字證書應(yīng)用過程的約束電子簽名法第十六條電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)。中華人民共和國電子簽名

6、法天誠安信&金蝶合作EAS、K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機制什么是CA系統(tǒng)？什么是第三方CA機構(gòu)？CA是一套嚴密的數(shù)字身份認證系統(tǒng)CA和數(shù)字證書是密不可分的兩個部分CA中心，它是負責(zé)產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機構(gòu)CA系統(tǒng)由RA注冊系統(tǒng)和CA簽發(fā)系統(tǒng)組成第三方CA機構(gòu)獲得國家認可的第三方CA中心運營維護CA系統(tǒng)為用戶發(fā)放符合法律效力的數(shù)字證書CA系統(tǒng)簡介數(shù)字證書RA注冊系統(tǒng)CA簽發(fā)系統(tǒng)公安局派出所身份證CA系統(tǒng)公安系統(tǒng)EAS系統(tǒng)CA安全應(yīng)用流程設(shè)計分公司用戶制作單據(jù)審核單據(jù)支付外網(wǎng)總部用戶登錄EAS資金系統(tǒng)銀企網(wǎng)關(guān)登錄制作單據(jù)審核單據(jù)支付簽名驗簽雙重認

7、證單據(jù)電子簽名簽名數(shù)據(jù)存儲單據(jù)驗簽單據(jù)簽名簽名存儲單據(jù)驗簽單據(jù)簽名簽名存儲網(wǎng)銀服務(wù)器身份識別加密傳輸通道 單據(jù)簽名驗簽EAS系統(tǒng)托管型CA解決方案EAS資金系統(tǒng)總部用戶分公司用戶InternetESAESA銀企網(wǎng)關(guān)銀行Internet局域網(wǎng)天誠安信數(shù)字認證中心企業(yè)子CA系統(tǒng)企業(yè)RA管理員RA系統(tǒng)（硬件銳風(fēng)）托管型CA方案涉及的產(chǎn)品和服務(wù) 天誠安信CA系統(tǒng)（最多100個用戶）在天誠安信數(shù)據(jù)中心國家CA根下面建立客戶獨立托管子CA系統(tǒng)；用戶管理員可以通過本地RA系統(tǒng)（硬件銳風(fēng)服務(wù)器），安全便捷的發(fā)放數(shù)字證書。ESA電子簽名應(yīng)用服務(wù)器1、在用戶的系統(tǒng)中實現(xiàn)身份認證、數(shù)字簽名、數(shù)據(jù)加解密等功能數(shù)字證書

8、（有效期為一年）1、員工數(shù)字證書2、RA管理員數(shù)字證書存儲數(shù)字證書的USBKey技術(shù)實施支持 包含系統(tǒng)搭建、集成、培訓(xùn)等軟件系統(tǒng)維護服務(wù) 第一年免費，第二年開始收費EAS系統(tǒng)自建型CA解決方案EAS資金系統(tǒng)總部用戶分公司用戶InternetESAESA銀企網(wǎng)關(guān)銀行Internet局域網(wǎng)企業(yè)RA管理員企業(yè)CA系統(tǒng)自建型CA方案涉及的產(chǎn)品和服務(wù)天誠安信CA系統(tǒng)（500/1000用戶） 1、CA簽發(fā)系統(tǒng)（軟件） 2、RA注冊系統(tǒng)（軟件）ESA電子簽名應(yīng)用服務(wù)器1、在用戶的系統(tǒng)中實現(xiàn)身份認證、數(shù)字簽名、數(shù)據(jù)加解密等功能存儲數(shù)字證書的USBKey 具有加密芯片儲存和保護證書安全的介質(zhì)技術(shù)實施支持 包含系

9、統(tǒng)搭建、集成、培訓(xùn)等軟件系統(tǒng)維護服務(wù) 第一年免費，第二年開始收費EAS兩種解決方案對比CA建設(shè)模式建設(shè)方式應(yīng)用場景合法合規(guī)性托管型企業(yè)內(nèi)部只需建設(shè)本地RA，即可下載證書（初期投入少）多用于資金、財務(wù)、電子招投標等對合規(guī)性要求較高的系統(tǒng)完全符合電子簽名法要求，并且具有相關(guān)的資質(zhì)證明企業(yè)自建型企業(yè)內(nèi)部需要建設(shè)一套完整的CA系統(tǒng)，用以下發(fā)數(shù)字證書（初期投入較大）多用于辦公協(xié)同等企業(yè)內(nèi)控的系統(tǒng)合法合規(guī)性較弱，但在身份認證、數(shù)據(jù)加密、數(shù)字簽名、抗抵賴的功能仍然可以實現(xiàn)。CA安全解決方案設(shè)計EAS系統(tǒng)：托管型CA解決方案自建型CA解決方案K/3系統(tǒng)：K/3 Cloud公有云CA解決方案K/3 Cloud私

10、有云CA解決方案K/3 Wise系統(tǒng)CA解決方案CA解決方案之K/3 Cloud公有云K/3 Cloud（公有云）財務(wù)會計成本管理生產(chǎn)管理HR管理供應(yīng)鏈管理ESA（電子簽名應(yīng)用服務(wù)器）RA APIRA系統(tǒng)金蝶K/3子CA系統(tǒng)互聯(lián)網(wǎng)金蝶K/3云服務(wù)中心天誠安信CA運營中心A企業(yè)用戶B企業(yè)用戶C企業(yè)用戶互 聯(lián) 網(wǎng)CA系統(tǒng)：本地RA（RAAPI方式）；創(chuàng)建獨立子CA：K/3子CA系統(tǒng)證書發(fā)放：在線審批、集中制作；證書類型：VTN服務(wù)器證書，企業(yè)/員工證書；證書集成：ESA與K/3 Cloud深度集成，實現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點CA管控。CA解決方案之K/3 Cloud公有云K/3 Cloud（公有云）財

11、務(wù)會計成本管理生產(chǎn)管理HR管理供應(yīng)鏈管理ESA（電子簽名應(yīng)用服務(wù)器）RA系統(tǒng)金蝶K/3子CA系統(tǒng)互聯(lián)網(wǎng)金蝶K/3云服務(wù)中心天誠安信CA運營中心A企業(yè)用戶B企業(yè)用戶C企業(yè)用戶互 聯(lián) 網(wǎng)CA系統(tǒng)：本地RA（RA+CKS方式）；創(chuàng)建獨立子CA：K/3子CA系統(tǒng)證書發(fā)放：在線審批、集中制作；證書類型：VTN服務(wù)器證書，企業(yè)/員工證書；證書集成：ESA與K/3 Cloud深度集成，實現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點CA管控。CKS系統(tǒng)CA解決方案之K/3 Cloud私有云CA系統(tǒng)：自建CA系統(tǒng)；證書發(fā)放：在線審批、集中制作；證書類型：VTN/CTN服務(wù)器證書，企業(yè)證書、員工證書；證書集成：ESA與K/3 Cloud

12、深度集成，實現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點CA管控。K/3 Cloud（企業(yè)私有云）財務(wù)會計成本管理生產(chǎn)管理HR管理供應(yīng)鏈管理企業(yè)本地集團用戶分子公司供應(yīng)商互聯(lián)網(wǎng)其他內(nèi)網(wǎng)企業(yè)自建CA系統(tǒng)ESA（電子簽名應(yīng)用服務(wù)器）CA解決方案之K/3 WISEK/3 Wise金蝶K/3子CA系統(tǒng)內(nèi)網(wǎng)用戶分子公司出差人員互聯(lián)網(wǎng)內(nèi)網(wǎng)企業(yè)本地天誠安信CA運營中心ESA（電子簽名應(yīng)用服務(wù)器）CA系統(tǒng)：自建CA系統(tǒng)；證書發(fā)放：在線審批、集中制作；證書類型：VTN/CTN服務(wù)器證書，企業(yè)證書、員工證書；證書集成：ESA與K/3 Cloud深度集成，實現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點CA管控。業(yè)務(wù)應(yīng)用-（一）設(shè)置登錄認證節(jié)點設(shè)置用戶CA認證方式

13、業(yè)務(wù)應(yīng)用-（一）身份認證*業(yè)務(wù)應(yīng)用層面-（二）客商資料管理設(shè)置業(yè)務(wù)節(jié)點二次CA認證業(yè)務(wù)應(yīng)用-（三）單據(jù)制作業(yè)務(wù)應(yīng)用-（四）單據(jù)審核業(yè)務(wù)應(yīng)用-（五）支付確認天誠安信CA構(gòu)建K/3系統(tǒng)安全體系 用戶身份認證：采用證書認證方式服務(wù)器身份：發(fā)放服務(wù)器證書信息加密：保障信息機密性信息簽名：防止操作行為抵賴證書法律效力：提供法律效力高的第三方證書服務(wù)法律層面技術(shù)層面有效的電子證據(jù)：電子簽名數(shù)據(jù)符合中華人民共和國電子簽名法，可用于后期取證信息驗簽：保障數(shù)據(jù)的真實性，防止被他人篡改天誠安信完全解決了EAS/K/3系統(tǒng)中的安全風(fēng)險！天誠安信&金蝶合作EAS/K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)

14、機制案例分析中國鐵建（自建型CA） 中國鐵建（簡稱CRCC)有29家分子公司分部在全國, CRCC為了提高工作效率和管理效率，建立了自己的企業(yè)應(yīng)用中心平臺（單點登錄），即將HR、COM、B2B、LCM、IS等系統(tǒng)的功能模塊集成到一個平臺上進行訪問和管理，達到數(shù)據(jù)、資源的共享及統(tǒng)一管理功能。但是由于互聯(lián)網(wǎng)的開放性和共享性，給各業(yè)務(wù)系統(tǒng)的訪問，操作帶來許多信息安全隱患，從管理便宜性上、性價比上考慮，最終CRCC采用了自建CA系統(tǒng)來保障應(yīng)用的安全。案例分析萬科集團（托管型CA）方案實現(xiàn)的功能：使用數(shù)字證書替代原有“用戶名+口令”，實現(xiàn)強身份認證；實現(xiàn)雙向SSL加密通道，保障數(shù)據(jù)的機密性；采用電子簽名

15、技術(shù)，實現(xiàn)數(shù)據(jù)防篡改性，并且提供合法合規(guī)的電子證據(jù)；對系統(tǒng)內(nèi)關(guān)鍵業(yè)務(wù)流程節(jié)點進行CA管控（如編制、審批、支付），保障業(yè)務(wù)流程安全性；提供有效的電子證據(jù)，可做法律依據(jù)。方案設(shè)計：萬科集團選擇采用天誠安信的符合中華人民共和國電子簽名法要求的企業(yè)員工客戶端數(shù)字證書及電子簽名應(yīng)用服務(wù)器ESA（即托管型CA模式）共同實現(xiàn)集團資金管理系統(tǒng)的安全可控性。天誠安信&金蝶其他部分案例深圳市城市建設(shè)開發(fā)集團廣東海大集團山東豐源煤電股份有限公司許繼集團有限公司光明食品集團有限公司皖西制藥集團項目數(shù)字證書深圳茂業(yè)商廈有限公司廈門住宅集團白天鵝賓館TCL財務(wù)公司工商銀行OEM自建CA項目新希望新廈門軌道交通集團有限公司

16、廣東宏大爆破股份有限公司山西煤銷集團長治有限公司河北鋼鐵集團敬業(yè)鋼鐵有限公司中國南山開發(fā)(集團)股份有限公司廣西柳州鋼鐵（集團）公司康順汽車上海紡織（集團）有限公司中國鐵建股份有限公司江西省天然氣投資有限公司合肥供水集團有限公司萬科企業(yè)股份有限公司安徽省農(nóng)墾集團廈門特區(qū)房地產(chǎn)集團資金CA認證廈門經(jīng)濟特區(qū)房地產(chǎn)開發(fā)集團有限公司江西投資燃氣有限公司CA營銷優(yōu)勢功能完善技術(shù)上：強身份認證、數(shù)據(jù)機密性、完整性和抗抵賴性法律上：符合中華人民共和國電子簽名法與EAS無縫集成實施周期短：一周左右實施成本低：已在EAS中集成接口，無需反復(fù)測試項目驗收：容易穩(wěn)定運行專門的集成團隊：負責(zé)EAS每個版本集成測試產(chǎn)品

17、穩(wěn)定運行：已有多個成功案例應(yīng)用場景多一次建成，可用于多個應(yīng)用系統(tǒng)如：EAS、OA、供應(yīng)鏈、招投標、Email天誠安信項目生命周期流程售前階段項目實施售后服務(wù)運維管理服務(wù)售前團隊文檔輸出效果演示項目團隊實施計劃實施方案項目培訓(xùn)項目發(fā)布。服務(wù)體系服務(wù)質(zhì)量控制事件響應(yīng)時間售后服務(wù)網(wǎng)點售后服務(wù)內(nèi)容CA運營中心人員安全場地安全系統(tǒng)安全天誠安信&金蝶合作EAS/K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機制天誠安信&金蝶合作歷程 國內(nèi)一流的管理軟件企業(yè)金蝶集團與天誠安信的強強聯(lián)手，為金蝶客戶在身份認證與數(shù)據(jù)安全方面提供了強大的解決方案，有效的解決了集團企業(yè)信息安全中的重要隱患。07年雙方正式簽署戰(zhàn)略合作協(xié)議，07年10月在中國一拖財務(wù)公司項目上首度攜手。促進了用戶的應(yīng)用安全，達到了雙盈、多盈的局面。天誠安信與金蝶系統(tǒng)能達到系統(tǒng)無縫結(jié)合,無需進行額外的系統(tǒng)開發(fā),只需簡單的配置修改,支持金蝶各個版本的證書應(yīng)用商務(wù)機制托管型模式報價范例釋：左側(cè)圖片為托管模式默認報價項，右側(cè)上圖需根據(jù)實際用戶數(shù)報價，假設(shè)一EAS客戶有100用戶需要使