金蝶企業(yè)安全認(rèn)證解決課件

1、報(bào)告人：孫天英職 位：售前咨詢工程師金蝶企業(yè)安全認(rèn)證解決方案天誠(chéng)安信簡(jiǎn)介EAS/K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機(jī)制天誠(chéng)安信簡(jiǎn)介成立于2011年5月是北京天威誠(chéng)信的全資控股子公司北京天威誠(chéng)信成立于2000年9月公司核心價(jià)值觀：秉承創(chuàng)新 平衡發(fā)展2005年獲工信部批準(zhǔn)，成為國(guó)內(nèi)首家跨區(qū)域、跨行業(yè)的電子認(rèn)證服務(wù)機(jī)構(gòu)！ 專注于商用密碼技術(shù)相關(guān)產(chǎn)品研制開(kāi)發(fā)，為企業(yè)、政府機(jī)構(gòu)和 個(gè)人提供高品質(zhì)、安全可信賴的商用密碼產(chǎn)品與信息安全產(chǎn)品。天誠(chéng)安信簡(jiǎn)介作為CA行業(yè)的唯一代表，參與中華人民共和國(guó)電子簽名法的起草電子認(rèn)證服務(wù)管理辦法起草專家組成員之一負(fù)責(zé)國(guó)標(biāo)CA認(rèn)證機(jī)構(gòu)建設(shè)和運(yùn)營(yíng)管理規(guī)范的制

2、訂國(guó)家電子商務(wù)標(biāo)準(zhǔn)化總體組專家成員參與國(guó)家信息中心電子政務(wù)外網(wǎng)PKI/CA體系的規(guī)劃，并提供CA運(yùn)營(yíng)管理咨詢國(guó)內(nèi)具有顯著行業(yè)地位和最具影響力的CA認(rèn)證中心天誠(chéng)安信簡(jiǎn)介全國(guó)服務(wù)體系北京總部西南分公司 華南分公司華東營(yíng)銷中心寧波分中心河南分中心 天誠(chéng)安信&金蝶合作EAS、K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機(jī)制信息安全事故案例互聯(lián)網(wǎng)應(yīng)用案例1：國(guó)內(nèi)互聯(lián)網(wǎng)“脫庫(kù)門” 千萬(wàn)用戶名密碼被盜；用戶信息泄露；系統(tǒng)程序被破壞，數(shù)據(jù)丟失。案例2：危險(xiǎn)的光大銀行釣魚網(wǎng)站，用戶資金被盜；用戶網(wǎng)上銀行資金被盜；用戶信息泄露。用戶名、口令泄露，個(gè)人身份被冒用釣魚網(wǎng)站的出現(xiàn)，服務(wù)器身份被冒用由于互聯(lián)網(wǎng)的

3、開(kāi)放性和共享性，黑客技術(shù)的發(fā)展、網(wǎng)絡(luò)用戶的安全意識(shí)不到位等原因，導(dǎo)致個(gè)人、企業(yè)各種信息暴漏在公網(wǎng)中：信息安全事故案例企業(yè)內(nèi)部應(yīng)用案例1：中國(guó)人壽保單信息泄露案例2：公司郵箱被盜，13萬(wàn)美元 貨款丟失 企業(yè)機(jī)密信息、數(shù)據(jù)泄露 哪個(gè)公司沒(méi)有自己核心的客戶資料、內(nèi)部機(jī)密的財(cái)務(wù)數(shù)據(jù)、或者研發(fā)配方、還有設(shè)計(jì)圖紙、投資方案，這些數(shù)據(jù)，一旦由于內(nèi)部監(jiān)管不力，而輕易泄露給了競(jìng)爭(zhēng)對(duì)手，對(duì)于企業(yè)將會(huì)是致命的打擊、公司所做的努力將會(huì)沒(méi)有任何意義。信息安全事故案例資金系統(tǒng)應(yīng)用案例1：XX公司資金系統(tǒng)出納賬號(hào)被盜案例2：XX公司資金系統(tǒng)管理員監(jiān)守自盜信息、數(shù)據(jù)被篡改；內(nèi)部監(jiān)管不力，出現(xiàn)責(zé)任抵賴；缺乏有效的電子證據(jù)公司系

4、統(tǒng)安全問(wèn)題日益嚴(yán)峻，不僅需要對(duì)外進(jìn)行安全防護(hù)，對(duì)內(nèi)，需要進(jìn)行權(quán)限分割、安全監(jiān)控、保留責(zé)任追溯證據(jù)。EAS、K/3系統(tǒng)中存在的安全隱患EAS用戶EAS用戶EAS用戶銀企網(wǎng)關(guān)銀行集團(tuán)企業(yè) 企業(yè)CA 防控系統(tǒng)如何確認(rèn)用戶身份？如何防止網(wǎng)絡(luò)竊聽(tīng)？如何發(fā)現(xiàn)信息篡改？如何預(yù)防用戶抵賴？金蝶EAS、K/3EAS、K/3安全需求總結(jié)1、從技術(shù)層面身份認(rèn)證：提供安全級(jí)別比“用戶名+口令高”的身份認(rèn)證方式，保障身份真實(shí)性；數(shù)據(jù)機(jī)密性：保障傳輸?shù)馁Y金數(shù)據(jù)（金額、銀行賬戶)等不被他人盜取）。數(shù)據(jù)防篡改性：保障資金數(shù)據(jù)的真實(shí)性，不被他人篡改。2、從法律層面中華人民共和國(guó)電子簽名法：系統(tǒng)里的數(shù)據(jù)符合電子簽名法， 后期可提

5、取相關(guān)數(shù)據(jù)進(jìn)行取證，防止他人抵賴等行為；各種安全技術(shù)比較身份鑒證機(jī)密性完整性抗抵賴口令動(dòng)態(tài)口令密碼技術(shù)PKI/CACA法律依據(jù)電子簽名法第十四條 可靠的電子簽名與手寫簽名或者蓋章具有同等法律效力。電子簽名法第十三條電子簽名同時(shí)符合下列條件的，視為可靠的電子簽名：（一）電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有；（二）簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制；（三）簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)；（四）簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)。對(duì)數(shù)字證書應(yīng)用過(guò)程的約束電子簽名法第十六條電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)。中華人民共和國(guó)電子簽名

6、法天誠(chéng)安信&金蝶合作EAS、K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機(jī)制什么是CA系統(tǒng)？什么是第三方CA機(jī)構(gòu)？CA是一套嚴(yán)密的數(shù)字身份認(rèn)證系統(tǒng)CA和數(shù)字證書是密不可分的兩個(gè)部分CA中心，它是負(fù)責(zé)產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機(jī)構(gòu)CA系統(tǒng)由RA注冊(cè)系統(tǒng)和CA簽發(fā)系統(tǒng)組成第三方CA機(jī)構(gòu)獲得國(guó)家認(rèn)可的第三方CA中心運(yùn)營(yíng)維護(hù)CA系統(tǒng)為用戶發(fā)放符合法律效力的數(shù)字證書CA系統(tǒng)簡(jiǎn)介數(shù)字證書RA注冊(cè)系統(tǒng)CA簽發(fā)系統(tǒng)公安局派出所身份證CA系統(tǒng)公安系統(tǒng)EAS系統(tǒng)CA安全應(yīng)用流程設(shè)計(jì)分公司用戶制作單據(jù)審核單據(jù)支付外網(wǎng)總部用戶登錄EAS資金系統(tǒng)銀企網(wǎng)關(guān)登錄制作單據(jù)審核單據(jù)支付簽名驗(yàn)簽雙重認(rèn)

7、證單據(jù)電子簽名簽名數(shù)據(jù)存儲(chǔ)單據(jù)驗(yàn)簽單據(jù)簽名簽名存儲(chǔ)單據(jù)驗(yàn)簽單據(jù)簽名簽名存儲(chǔ)網(wǎng)銀服務(wù)器身份識(shí)別加密傳輸通道 單據(jù)簽名驗(yàn)簽EAS系統(tǒng)托管型CA解決方案EAS資金系統(tǒng)總部用戶分公司用戶InternetESAESA銀企網(wǎng)關(guān)銀行Internet局域網(wǎng)天誠(chéng)安信數(shù)字認(rèn)證中心企業(yè)子CA系統(tǒng)企業(yè)RA管理員RA系統(tǒng)（硬件銳風(fēng)）托管型CA方案涉及的產(chǎn)品和服務(wù) 天誠(chéng)安信CA系統(tǒng)（最多100個(gè)用戶）在天誠(chéng)安信數(shù)據(jù)中心國(guó)家CA根下面建立客戶獨(dú)立托管子CA系統(tǒng)；用戶管理員可以通過(guò)本地RA系統(tǒng)（硬件銳風(fēng)服務(wù)器），安全便捷的發(fā)放數(shù)字證書。ESA電子簽名應(yīng)用服務(wù)器1、在用戶的系統(tǒng)中實(shí)現(xiàn)身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)加解密等功能數(shù)字證書

8、（有效期為一年）1、員工數(shù)字證書2、RA管理員數(shù)字證書存儲(chǔ)數(shù)字證書的USBKey技術(shù)實(shí)施支持 包含系統(tǒng)搭建、集成、培訓(xùn)等軟件系統(tǒng)維護(hù)服務(wù) 第一年免費(fèi)，第二年開(kāi)始收費(fèi)EAS系統(tǒng)自建型CA解決方案EAS資金系統(tǒng)總部用戶分公司用戶InternetESAESA銀企網(wǎng)關(guān)銀行Internet局域網(wǎng)企業(yè)RA管理員企業(yè)CA系統(tǒng)自建型CA方案涉及的產(chǎn)品和服務(wù)天誠(chéng)安信CA系統(tǒng)（500/1000用戶） 1、CA簽發(fā)系統(tǒng)（軟件） 2、RA注冊(cè)系統(tǒng)（軟件）ESA電子簽名應(yīng)用服務(wù)器1、在用戶的系統(tǒng)中實(shí)現(xiàn)身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)加解密等功能存儲(chǔ)數(shù)字證書的USBKey 具有加密芯片儲(chǔ)存和保護(hù)證書安全的介質(zhì)技術(shù)實(shí)施支持 包含系

9、統(tǒng)搭建、集成、培訓(xùn)等軟件系統(tǒng)維護(hù)服務(wù) 第一年免費(fèi)，第二年開(kāi)始收費(fèi)EAS兩種解決方案對(duì)比CA建設(shè)模式建設(shè)方式應(yīng)用場(chǎng)景合法合規(guī)性托管型企業(yè)內(nèi)部只需建設(shè)本地RA，即可下載證書（初期投入少）多用于資金、財(cái)務(wù)、電子招投標(biāo)等對(duì)合規(guī)性要求較高的系統(tǒng)完全符合電子簽名法要求，并且具有相關(guān)的資質(zhì)證明企業(yè)自建型企業(yè)內(nèi)部需要建設(shè)一套完整的CA系統(tǒng)，用以下發(fā)數(shù)字證書（初期投入較大）多用于辦公協(xié)同等企業(yè)內(nèi)控的系統(tǒng)合法合規(guī)性較弱，但在身份認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名、抗抵賴的功能仍然可以實(shí)現(xiàn)。CA安全解決方案設(shè)計(jì)EAS系統(tǒng)：托管型CA解決方案自建型CA解決方案K/3系統(tǒng)：K/3 Cloud公有云CA解決方案K/3 Cloud私

10、有云CA解決方案K/3 Wise系統(tǒng)CA解決方案CA解決方案之K/3 Cloud公有云K/3 Cloud（公有云）財(cái)務(wù)會(huì)計(jì)成本管理生產(chǎn)管理HR管理供應(yīng)鏈管理ESA（電子簽名應(yīng)用服務(wù)器）RA APIRA系統(tǒng)金蝶K/3子CA系統(tǒng)互聯(lián)網(wǎng)金蝶K/3云服務(wù)中心天誠(chéng)安信CA運(yùn)營(yíng)中心A企業(yè)用戶B企業(yè)用戶C企業(yè)用戶互 聯(lián) 網(wǎng)CA系統(tǒng)：本地RA（RAAPI方式）；創(chuàng)建獨(dú)立子CA：K/3子CA系統(tǒng)證書發(fā)放：在線審批、集中制作；證書類型：VTN服務(wù)器證書，企業(yè)/員工證書；證書集成：ESA與K/3 Cloud深度集成，實(shí)現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)CA管控。CA解決方案之K/3 Cloud公有云K/3 Cloud（公有云）財(cái)

11、務(wù)會(huì)計(jì)成本管理生產(chǎn)管理HR管理供應(yīng)鏈管理ESA（電子簽名應(yīng)用服務(wù)器）RA系統(tǒng)金蝶K/3子CA系統(tǒng)互聯(lián)網(wǎng)金蝶K/3云服務(wù)中心天誠(chéng)安信CA運(yùn)營(yíng)中心A企業(yè)用戶B企業(yè)用戶C企業(yè)用戶互 聯(lián) 網(wǎng)CA系統(tǒng)：本地RA（RA+CKS方式）；創(chuàng)建獨(dú)立子CA：K/3子CA系統(tǒng)證書發(fā)放：在線審批、集中制作；證書類型：VTN服務(wù)器證書，企業(yè)/員工證書；證書集成：ESA與K/3 Cloud深度集成，實(shí)現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)CA管控。CKS系統(tǒng)CA解決方案之K/3 Cloud私有云CA系統(tǒng)：自建CA系統(tǒng)；證書發(fā)放：在線審批、集中制作；證書類型：VTN/CTN服務(wù)器證書，企業(yè)證書、員工證書；證書集成：ESA與K/3 Cloud

12、深度集成，實(shí)現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)CA管控。K/3 Cloud（企業(yè)私有云）財(cái)務(wù)會(huì)計(jì)成本管理生產(chǎn)管理HR管理供應(yīng)鏈管理企業(yè)本地集團(tuán)用戶分子公司供應(yīng)商互聯(lián)網(wǎng)其他內(nèi)網(wǎng)企業(yè)自建CA系統(tǒng)ESA（電子簽名應(yīng)用服務(wù)器）CA解決方案之K/3 WISEK/3 Wise金蝶K/3子CA系統(tǒng)內(nèi)網(wǎng)用戶分子公司出差人員互聯(lián)網(wǎng)內(nèi)網(wǎng)企業(yè)本地天誠(chéng)安信CA運(yùn)營(yíng)中心ESA（電子簽名應(yīng)用服務(wù)器）CA系統(tǒng)：自建CA系統(tǒng)；證書發(fā)放：在線審批、集中制作；證書類型：VTN/CTN服務(wù)器證書，企業(yè)證書、員工證書；證書集成：ESA與K/3 Cloud深度集成，實(shí)現(xiàn)登錄、關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)CA管控。業(yè)務(wù)應(yīng)用-（一）設(shè)置登錄認(rèn)證節(jié)點(diǎn)設(shè)置用戶CA認(rèn)證方式

13、業(yè)務(wù)應(yīng)用-（一）身份認(rèn)證*業(yè)務(wù)應(yīng)用層面-（二）客商資料管理設(shè)置業(yè)務(wù)節(jié)點(diǎn)二次CA認(rèn)證業(yè)務(wù)應(yīng)用-（三）單據(jù)制作業(yè)務(wù)應(yīng)用-（四）單據(jù)審核業(yè)務(wù)應(yīng)用-（五）支付確認(rèn)天誠(chéng)安信CA構(gòu)建K/3系統(tǒng)安全體系 用戶身份認(rèn)證：采用證書認(rèn)證方式服務(wù)器身份：發(fā)放服務(wù)器證書信息加密：保障信息機(jī)密性信息簽名：防止操作行為抵賴證書法律效力：提供法律效力高的第三方證書服務(wù)法律層面技術(shù)層面有效的電子證據(jù)：電子簽名數(shù)據(jù)符合中華人民共和國(guó)電子簽名法，可用于后期取證信息驗(yàn)簽：保障數(shù)據(jù)的真實(shí)性，防止被他人篡改天誠(chéng)安信完全解決了EAS/K/3系統(tǒng)中的安全風(fēng)險(xiǎn)！天誠(chéng)安信&金蝶合作EAS/K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)

14、機(jī)制案例分析中國(guó)鐵建（自建型CA） 中國(guó)鐵建（簡(jiǎn)稱CRCC)有29家分子公司分部在全國(guó), CRCC為了提高工作效率和管理效率，建立了自己的企業(yè)應(yīng)用中心平臺(tái)（單點(diǎn)登錄），即將HR、COM、B2B、LCM、IS等系統(tǒng)的功能模塊集成到一個(gè)平臺(tái)上進(jìn)行訪問(wèn)和管理，達(dá)到數(shù)據(jù)、資源的共享及統(tǒng)一管理功能。但是由于互聯(lián)網(wǎng)的開(kāi)放性和共享性，給各業(yè)務(wù)系統(tǒng)的訪問(wèn)，操作帶來(lái)許多信息安全隱患，從管理便宜性上、性價(jià)比上考慮，最終CRCC采用了自建CA系統(tǒng)來(lái)保障應(yīng)用的安全。案例分析萬(wàn)科集團(tuán)（托管型CA）方案實(shí)現(xiàn)的功能：使用數(shù)字證書替代原有“用戶名+口令”，實(shí)現(xiàn)強(qiáng)身份認(rèn)證；實(shí)現(xiàn)雙向SSL加密通道，保障數(shù)據(jù)的機(jī)密性；采用電子簽名

15、技術(shù)，實(shí)現(xiàn)數(shù)據(jù)防篡改性，并且提供合法合規(guī)的電子證據(jù)；對(duì)系統(tǒng)內(nèi)關(guān)鍵業(yè)務(wù)流程節(jié)點(diǎn)進(jìn)行CA管控（如編制、審批、支付），保障業(yè)務(wù)流程安全性；提供有效的電子證據(jù)，可做法律依據(jù)。方案設(shè)計(jì)：萬(wàn)科集團(tuán)選擇采用天誠(chéng)安信的符合中華人民共和國(guó)電子簽名法要求的企業(yè)員工客戶端數(shù)字證書及電子簽名應(yīng)用服務(wù)器ESA（即托管型CA模式）共同實(shí)現(xiàn)集團(tuán)資金管理系統(tǒng)的安全可控性。天誠(chéng)安信&金蝶其他部分案例深圳市城市建設(shè)開(kāi)發(fā)集團(tuán)廣東海大集團(tuán)山東豐源煤電股份有限公司許繼集團(tuán)有限公司光明食品集團(tuán)有限公司皖西制藥集團(tuán)項(xiàng)目數(shù)字證書深圳茂業(yè)商廈有限公司廈門住宅集團(tuán)白天鵝賓館TCL財(cái)務(wù)公司工商銀行OEM自建CA項(xiàng)目新希望新廈門軌道交通集團(tuán)有限公司

16、廣東宏大爆破股份有限公司山西煤銷集團(tuán)長(zhǎng)治有限公司河北鋼鐵集團(tuán)敬業(yè)鋼鐵有限公司中國(guó)南山開(kāi)發(fā)(集團(tuán))股份有限公司廣西柳州鋼鐵（集團(tuán)）公司康順汽車上海紡織（集團(tuán)）有限公司中國(guó)鐵建股份有限公司江西省天然氣投資有限公司合肥供水集團(tuán)有限公司萬(wàn)科企業(yè)股份有限公司安徽省農(nóng)墾集團(tuán)廈門特區(qū)房地產(chǎn)集團(tuán)資金CA認(rèn)證廈門經(jīng)濟(jì)特區(qū)房地產(chǎn)開(kāi)發(fā)集團(tuán)有限公司江西投資燃?xì)庥邢薰綜A營(yíng)銷優(yōu)勢(shì)功能完善技術(shù)上：強(qiáng)身份認(rèn)證、數(shù)據(jù)機(jī)密性、完整性和抗抵賴性法律上：符合中華人民共和國(guó)電子簽名法與EAS無(wú)縫集成實(shí)施周期短：一周左右實(shí)施成本低：已在EAS中集成接口，無(wú)需反復(fù)測(cè)試項(xiàng)目驗(yàn)收：容易穩(wěn)定運(yùn)行專門的集成團(tuán)隊(duì)：負(fù)責(zé)EAS每個(gè)版本集成測(cè)試產(chǎn)品

17、穩(wěn)定運(yùn)行：已有多個(gè)成功案例應(yīng)用場(chǎng)景多一次建成，可用于多個(gè)應(yīng)用系統(tǒng)如：EAS、OA、供應(yīng)鏈、招投標(biāo)、Email天誠(chéng)安信項(xiàng)目生命周期流程售前階段項(xiàng)目實(shí)施售后服務(wù)運(yùn)維管理服務(wù)售前團(tuán)隊(duì)文檔輸出效果演示項(xiàng)目團(tuán)隊(duì)實(shí)施計(jì)劃實(shí)施方案項(xiàng)目培訓(xùn)項(xiàng)目發(fā)布。服務(wù)體系服務(wù)質(zhì)量控制事件響應(yīng)時(shí)間售后服務(wù)網(wǎng)點(diǎn)售后服務(wù)內(nèi)容CA運(yùn)營(yíng)中心人員安全場(chǎng)地安全系統(tǒng)安全天誠(chéng)安信&金蝶合作EAS/K/3安全需求分析CA安全解決方案介紹合作案例介紹商務(wù)機(jī)制天誠(chéng)安信&金蝶合作歷程 國(guó)內(nèi)一流的管理軟件企業(yè)金蝶集團(tuán)與天誠(chéng)安信的強(qiáng)強(qiáng)聯(lián)手，為金蝶客戶在身份認(rèn)證與數(shù)據(jù)安全方面提供了強(qiáng)大的解決方案，有效的解決了集團(tuán)企業(yè)信息安全中的重要隱患。07年雙方正式簽署戰(zhàn)略合作協(xié)議，07年10月在中國(guó)一拖財(cái)務(wù)公司項(xiàng)目上首度攜手。促進(jìn)了用戶的應(yīng)用安全，達(dá)到了雙盈、多盈的局面。天誠(chéng)安信與金蝶系統(tǒng)能達(dá)到系統(tǒng)無(wú)縫結(jié)合,無(wú)需進(jìn)行額外的系統(tǒng)開(kāi)發(fā),只需簡(jiǎn)單的配置修改,支持金蝶各個(gè)版本的證書應(yīng)用商務(wù)機(jī)制托管型模式報(bào)價(jià)范例釋：左側(cè)圖片為托管模式默認(rèn)報(bào)價(jià)項(xiàng)，右側(cè)上圖需根據(jù)實(shí)際用戶數(shù)報(bào)價(jià)，假設(shè)一EAS客戶有100用戶需要使