u8安全解決方案天威誠信_W

1、 天威誠信為用友 U8 客戶信息安全保駕護航（V 1.0）北京天威誠信電子商務服務有限公司2008 年 6 月 用友 U8 與天威誠信數字證書結合方案目錄目錄 、 概述1二、 U8 系統(tǒng)需求分析2三、 U8 數字認證方案的優(yōu)勢3四、 針對 U8 的 CA 部署模式54.1 第三方托管 CA 服務54.1.14.1.2概述5第三方托管 CA 模式64.2 企業(yè)自建 CA 系統(tǒng)74.2.14.2.24.2.3概述7系統(tǒng)構成8系統(tǒng)功能9五、 CA 認證運行環(huán)境建議116.1 完全托管模式116.2 本地 RA 模式116.3 自建型 CA 認證系統(tǒng)12六、 天威誠信介紹及案例137.1 天威誠信介紹

2、137.2 與用友的成功案例17北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 1 頁 共 18 頁一、概述天威誠信數字認證中心是由北京天威誠信電子商務服務有限公司運營管理的全 天威誠信擁有多年的行業(yè)實踐經驗、完整的產品解決方案、專業(yè)可靠的運營管理團隊，能夠為客戶提供完善的規(guī)劃咨詢，幫助客戶構建完整的電子認證體系，通過電子簽名、加密技術實現(xiàn)客戶信息系統(tǒng)間的協(xié)作和集成，有效提升了系統(tǒng)的安全等級，保障了數據的不可抵賴。作為電子認證行業(yè)的代表，天威誠信參與了國家相關部門對電子認證服務業(yè)體系規(guī)劃，同時在國家質量技術監(jiān)督

3、局的領導下，參與了CA 中心建設和運營管理規(guī)范 等制定工作。在人民電子簽名法的起草過程中，天威誠信作為業(yè)界最 為規(guī)范的認證中心，積極配合相關單位的立法工作，并作為專家參與了電子認證服務管理辦法的起草工作。天威誠信數字認證中心作為國內知名的電子認證服務提供商，致力于為公眾提供全面的電子認證服務，可以保障客戶 ERP、CRM、資金管理、OA、網上支付、網上交易、Web 站點、Email 等等企業(yè)內部應用、電子商務和電子政務應用安全。 用友軟件產品致力于企業(yè)各組織間以及企業(yè)與供應商、客戶、合作伙伴在信息共享的基礎上的協(xié)同工作。用友 ERP-U8 是一套企業(yè)級的解決方案，滿足不同的競爭環(huán)境 下，不同的

4、制造、商務模式下，以及不同的運營模式下的企業(yè)經營，實現(xiàn)從企業(yè)日常運營、人力資源管理到辦公事務處理等全方位的產品解決方案。用友 ERPU8 是以集成的信息管理為基礎，以規(guī)范企業(yè)運營，改善經營成果為目標，幫助企業(yè)“優(yōu)化資源， 提升管理”，實現(xiàn)面向市場的贏利性增長。 作為用友軟件 2007 年杰出產品合作伙伴，天威誠信將為用戶 ERP-U8 系統(tǒng)提供安全領先的信息安全解決方案。在以下的章節(jié)，我們將集中討論在用友 ERP-U8 系統(tǒng)中存在的信息安全風險，并提出天威誠信的安全解決方案。北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書

5、結合方案第 2 頁 共 18 頁二、U8 系統(tǒng)需求分析用友 ERP-U8 是一個企業(yè)綜合運營平臺，用以解決不同滿足各級管理者對信息化的 不同要求：為高層經營管理者提供大量收益與風險的決策信息，輔助企業(yè)制定長遠發(fā)展戰(zhàn)略；為中層管理人員提供企業(yè)各個運作層面的運作狀況，幫助做到各種的監(jiān)控、發(fā)現(xiàn)、分析、解決、反饋等處理流程，幫助做到投入產出最優(yōu)配比；為基層管理人員提供便利的作業(yè)環(huán)境，易用的操作方式實現(xiàn)工作崗位、工作職能的有效履行。可以說擁有 U8 以后，企業(yè)所有的信息化數據都在 U8 系統(tǒng)中保存和流轉，這就對 U8 系統(tǒng)的安全提出了更高的要求，眾多的用戶在 U8 的日常使用中，歸結起來，安全需求主要有

6、以下幾個方面：身份認證和訪問控制：U8 系統(tǒng)必須嚴格控制并識別用戶的身份，登錄到 U8 系統(tǒng)的必須是相關業(yè)務人員，系統(tǒng)必須對登錄人的身份需求做嚴格的身份認證控 制，在目前 U8 系統(tǒng)普遍采用的“用戶名、認證要求； ”無法達到高強度的系統(tǒng)身份信息性和完整性：U8 系統(tǒng)是開放的業(yè)務平臺，業(yè)務數據一般在網絡上（有 的 U8 用戶的業(yè)務數據甚至在互聯(lián)網傳遞）傳輸，業(yè)務平臺數據的重要性要求乏強有力的信息數據性和完整性保障機制； 我們分析的以上信息安全需求，都可以通過在 U8 系統(tǒng)部署 PKI/CA 數字認證產品解決。下面我們介紹 PKI/CA 方案的優(yōu)勢和 CA 系統(tǒng)的部署模式，客戶根據自身的情況選擇合

7、適的 CA 服務形式，部署一個既符合 U8 系統(tǒng)安全要求，又滿足法律法規(guī) 要求的 PKI/CA 系統(tǒng)。 北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 3 頁 共 18 頁三、U8 數字認證方案的優(yōu)勢通過上面的分析，在 U8 業(yè)務平臺中存在的信息安全風險，就是天威誠信 U8 數字認證安全解決方案的主要關注點，即通過基于 PKI 的數字認證技術，為 U8 客戶提供用戶安全身份認證、信息加密和信息完整性保護及信息數字簽名抗抵賴保護等安全功能。用友 ERP-U8 系統(tǒng)已經成功集成了天威誠信的數字證書接口，因此，基于

8、U8 系 統(tǒng)構建的企業(yè)財務管理、集團應用、客戶關系管理、供應鏈管理、生產制造、分銷管 理、零售管理、決策支持、人力資源以及 OA 等應用中，可以直接使用天威誠信提供的數字證書功能，系統(tǒng)不必作任何改動，只需要部署天威誠信的數字證書功能實現(xiàn)代碼就可以完成對 U8 系統(tǒng)的證書應用改造。改造完成后，能夠為 U8 系統(tǒng)提供基于數字證書的以下安全保護： n 基于數字證書的 U8 安全登錄登錄 U8 系統(tǒng)時，將用數字證書替換掉原有安全級別較低的“用戶名/口令”登錄方式，用戶需要在計算機插入 USB KEY，使用 USB KEY 登錄 U8 系統(tǒng)；防止非授權用戶的惡意攻擊及“用戶名/口令”被盜等，提高 U8

9、系統(tǒng)的登錄認證強度。 技術和法律層面的雙重保障抗抵賴性基于 U8 系統(tǒng)構建的企業(yè)財務管理、集團應用、客戶關系管理、供應鏈管理、生產制造、分銷管理、零售管理、決策支持、人力資源以及 OA 等應用中，企業(yè)的各個業(yè)務處理環(huán)節(jié)都在網絡上實現(xiàn)，可以說 U8 系統(tǒng)已經已經成為企業(yè)業(yè)務流程的中樞神經。每一筆業(yè)務流程處理的安全，不僅關系到某個項目的順利開展，而且關 系到企業(yè)內部業(yè)務管理流程的安全和企業(yè)經營活動的正常開展，所以必須通過一種 技術手段來保證業(yè)務處理過程的安全，規(guī)范業(yè)務處理中相關人員的責任，保證每一 筆業(yè)務在處理過后都是真實的、是有證據可以追溯，即某個業(yè)務流程在處理過后如 果出現(xiàn)問題，相關當事人都是

10、無法抵賴的。天威誠信在U8 系統(tǒng)中通過數字證書實現(xiàn)的數字簽名就可以實現(xiàn)電子數據的抗抵賴。在現(xiàn)時生活中，要判定某一交易或者數據文件等的真實性，的仲裁是具備權威性的。2005 年人民電子簽名法頒布，電子數據的法律效力也有了相關的法律依據。法律上規(guī)定：只有得到信息頒發(fā)的電子認證服務 北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 4 頁 共 18 頁許可證的數字認證機構，其所頒發(fā)的數字證書在電子商務中的數字簽名才能夠得 獲得該資質。因此，用友 ERP-U8到法律的認可和保護，天威誠信率先從信息客戶使用天威誠信提供的數

11、字證書服務實現(xiàn)的電子簽名是符合電子簽名法要求的抗抵賴證據，從而使 U8 系統(tǒng)的電子化簽名和手寫簽名具有同等的法律效力，可以作為法律上有效的證據，在抗抵賴行為發(fā)生時，可以作為法律證據申請的仲裁。 因此，通過應用天威誠信的數字認證服務，U8 客戶能夠實現(xiàn)技術和法律層面的雙 重保障。天威誠信作為用友 2007 年產品伙伴，為用友 U8 系統(tǒng)提供優(yōu)質的第三方數字證書服務及具有國家權威資質的 CA 系統(tǒng)等相關安全產品。 北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 5 頁 共 18 頁四、針對 U8 的 CA 部署模式

12、目前業(yè)界主要有兩種不同的 PKI/CA 建設模式：第三方托管 CA 服務和自建型 CA 系統(tǒng)。兩種模式適用的范圍和建設方式是不同的，下面將作簡要介紹。 第三方托管型 CA 服務就是提供數字認證服務的廠商必須獲得國家相關資質：隨著人民電子簽名法的頒布，明確了由經過信息認證，獲得電 子認證服務許可證資質的認證機構頒發(fā)出來的數字證書在電子商務應用中是受到 人民電子簽名法保護的，而天威誠信就是首批獲得此資質的第三方 機構。第三方托管型也稱服務型，是指客戶通過天威誠信認證中心的現(xiàn)有的 CA 認證系統(tǒng)直接獲取數字證書，用戶在本地只要建設少量的 CA 模塊，就可以實現(xiàn) CA認證的功能。采用第三方托管模式，對

13、于用戶 CA 核心的建設（包括安全性、可靠性和穩(wěn)定性等方面的建設）、運營管理和系統(tǒng)維護都由天威誠信負責，用戶需要 建設的內容非常少，系統(tǒng)的建設速度也非常快。 自建型 CA 系統(tǒng)是指客戶購獨的 PKI/CA 軟件，建設一個獨立的 PKI/CA 系統(tǒng)，除了購買系統(tǒng)軟件之外，還包括系統(tǒng)、通信、數據庫以及物理安全、網絡安全 配置、高可靠性的冗余系統(tǒng)和恢復等方面的建設。建設的內容相對托管模式來 說比較多，建設周期相對較長，在建設完成后需要有一套規(guī)范的流程來運營。天威誠信為用友ERP-U8 系統(tǒng)用戶提供第三方托管型CA 服務和自建型CA 系統(tǒng) CA 系統(tǒng)部署方式。 4.1 第三方托管 CA 服務4.1.1

14、 概 述第三方托管 CA 模式的解決方案的適用的范圍是：傳遞的信息敏感，在技術層面上要實現(xiàn)敏感信息傳遞要防篡改、抗抵賴；信息傳遞雙方（多方）的行為需要有公正的第三方的證實，在法律層面上要能夠做到抗抵賴性。例如，資金管理系統(tǒng)中的 分支機構和企業(yè)總部之間、電子交易平臺中企業(yè)和經銷商之間等。采用“第三方托管 CA”模式企業(yè)可以節(jié)省，企業(yè)就可以專心做自己的業(yè)務，而不用購買和維護復雜的、昂貴的 PKI 系統(tǒng)。更重要的是：客戶希望他們使用的數字證書得到電子簽名法北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 6 頁 共 1

15、8 頁的保護，對于這樣的用戶我們建議他們采用第三方托管型CA 托管的模式：在天威誠信認證中心內部，為客戶建立一套托管 CA 系統(tǒng)，企業(yè)在申請數字證書的時候只需要直接通過互聯(lián)網到天威誠信數字認證中心在線申請代表集團企業(yè)員工、企業(yè)供 應商、客戶、合作伙伴等身份的數字證書（或者通過建設在客戶本地的 RA 管理端連接到天威誠信申請證書）。 由于用友 ERP-U8 系統(tǒng)已經集成了天威誠信數字證書技術接口，因此在用友 ERP-U8 系統(tǒng)中，企業(yè)內部用戶、供應商、客戶、合作伙伴可以直接使用天威誠信頒發(fā)的數字證書。在這種模式下簽發(fā)的數字證書除了在技術上保障防篡改、抗抵賴 “電子簽名法”的認可，使電子簽名和紙質

16、簽名具 性以外，還能夠得到人民有同等的法律意義。用戶使用這樣的數字證書在保證企業(yè)信息性、完整性、不 可抵賴性之外，發(fā)生交易的雙方（多方）還能夠得到法律上的保護。4.1.2 第三方托管 CA 模式4.1.2.1 完全托管模式如上圖所示： 完全托管 CA 服務在企業(yè)本地不建設任何 CA 模塊，其提供的服務通過企業(yè)委派的 CA 管理員使用數字證書（以 USB KEY 為證書介質）登錄到天威誠信認證中心為企業(yè)提供的 RA 控制中心來實現(xiàn)證書審批和管理功能。 北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 7 頁 共 1

17、8 頁 企業(yè)用戶通過登錄到用戶注冊服務器來完成用戶證書申請以及其他證書生命周期管理功能。 4.1.2.2本地 RA 模式如上圖所示：企業(yè)在本地建設本地 RA 服務器（WEB 方式）來接收本地用戶的證書申請以及其他證書生命周期管理請求。本地 RA 服務器是通過部署在天威誠信的 PORTAL服務器來完成用戶請求信息與 RA 服務器的通信； 通過企業(yè)委派的 CA 管理員使用數字證書（以 USB KEY 為證書介質）登錄到天威誠信為企業(yè)提供的 RA 控制中心來實現(xiàn)證書審批和管理功能； 4.2 企業(yè)自建 CA 系統(tǒng)4.2.1 概 述這種模式下，企業(yè)需要建設一個完整的 CA 認證系統(tǒng)為 U8 提供數字證書

18、。企業(yè)需要為建設 CA 系統(tǒng)提供軟件、硬件、場地、網絡、人員等各種條件。天威誠信為開發(fā)的功能強大的CA 系統(tǒng)天威誠信iTrus CA 2.0 可以滿足用戶自建CA 系統(tǒng)的要求。此 CA 系統(tǒng)在建成后，不僅可以為 U8 系統(tǒng)提供數字認證服務，也可以為 北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 8 頁 共 18 頁客戶的其他應用系統(tǒng)提供數字認證服務。如圖所示，iTrusCA 系統(tǒng)由最終用戶、RA 管理員、CA 管理員、注冊管理系統(tǒng)（RA）、 認證中心（CA）等構成。 4.2.2 系統(tǒng)構成最終用戶最終用戶是 C

19、A 系統(tǒng)的最終服務對象。通過 CA 系統(tǒng)，最終用戶申請獲得數字證書，并進行各種各樣的證書管理工作。 RA 管理員RA 管理員主要處理 RA 系統(tǒng)的管理以及 RA 端的用戶請求，包括批準證書、廢止 證書、拒絕請求、用戶下載和管理員維護等處理。 CA 管理員CA 管理員負責對 CA 系統(tǒng)、RA 帳戶及 RA 管理員進行管理。注冊中心（RA）注冊中心（RA）是 PKI/CA 平臺的前臺，為最終用戶提供用戶證書服務功能，為 RA 管理員提供 RA 管理服務功能。認證中心（CA）認證中心（CA）是 PKI/CA 平臺的核心，提供證書服務和管理的主要功能。認證服務（CRL）、證書狀態(tài)查詢服務（OCSP）和

20、時戳服務等；的服務包括：證書管 北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友 U8 與天威誠信數字證書結合方案第 9 頁 共 18 頁理服務、系統(tǒng)管理服務、證書數據庫、簽名服務器和設備等。如圖所示，認證中心的基本組成模塊包括：LDAP 服務模塊、CRL 服務模塊、CA管理服務中心、CA 處理中心、KMC 服務模塊、CA 數據庫和模塊等構成： LDAP 服務模塊 LDAP 服務模塊提供證書公開發(fā)布的目錄，認證中心根據 RA和 CA 的策略將簽發(fā)的證書發(fā)布到 LDAP 目錄中，向外提供 LDAP 查詢服務， 用戶可以使用 LDAP 協(xié)議查詢 CA

21、頒發(fā)的所有證書。 CRL 服務模塊 CRL 服務模塊提供證書吊銷列表查詢和下載等服務功能，認 證中心根據各 RA 的策略定時發(fā)布證書吊銷列表。 CA 管理服務中心 CA 對 RA、CA 管理員提供管理服務，包括：申請和管理CA 管理員證書；配置 CA 策略；申請配置 RA 帳號；申請和管理 RA 管理員證書等。CA 管理服務中心包括 RA 帳戶注冊模塊和 CA 管理模塊。 CA 處理中心 CA 處理中心是整個認證中心的核心部分，也是整個 PKI/CA 平臺的樞紐部分，提供核心的業(yè)務計算。CA 處理中心負責證書的簽發(fā)、吊銷和更新，負責處理來自前臺的業(yè)務請求，同時也負責管理 CA 數據庫。CA 端

22、大部分系統(tǒng)功能都是由 CA 處理中心在提供的服務實現(xiàn)的。CA 處理中心包括業(yè)務通訊模塊、郵件證書處理模塊、個人書處理模塊、企業(yè)證書處理 模塊、服務器證書處理模塊、代碼簽名證書處理模塊、VPN 證書處理模塊、 OCSP 服務模塊和時間戳服務模塊等。 模塊 支持軟件、硬件方式提供 CA 密鑰管理，包括根 CA 和子 CA 密鑰等，證書和 CRL 簽發(fā)等 功能。標準型 iTrusCA 系統(tǒng)采用軟件加密方式， 根據需要可以擴展成硬件加密方式。 KMC 服務模塊 KMC 服務模塊提供密鑰管理服務，在申請用戶證書時，可以通過 KMC 服務來產生證書密鑰對，并將私鑰備份到 KMC 服務器上，在用戶證書私鑰丟

23、失時，可以通過 KMC 服務，恢復用戶的證書和私鑰。 CA 數據庫 保存用戶注冊信息、頒發(fā)證書信息、RA 帳戶信息以及 CA 管理日志等 CA 相關數據。 4.2.3 系統(tǒng)功能北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月功能描述證書生命周期 進行證書申請、批準、更新、查詢、下載、吊銷管理操作 用友U8 與天威誠信數字證書結合方案 第 10頁共 18 頁北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月管理 CRL 查詢 配置指定 RA 的 CRL 下載地點及 CRL 發(fā)布時間 LDAP 查詢 進行目錄方式查詢，支

24、持電子郵件、用戶名和組織名的任意組合查詢及 模糊查詢 CA 管理 對 CA 管理員和 RA 管理員的管理 對 RA 帳號的管理 配置 CA 所簽發(fā)證書的有效期、證書主題、證書擴展、證書版本、密鑰長度、證書類型等方面；包括 CA 策略管理和 RA 策略管理 統(tǒng)計與日志 統(tǒng)計各 CA、RA 賬號證書頒況；記錄所有 RA 與 CA 的操作日志 密鑰管理 對密鑰的產生、存儲、歸檔和備份的管理 用友 U8 與天威誠信數字證書結合方案第 11頁共 18 頁五、CA 認證運行環(huán)境建議6.1完全托管模式對于完全托管模式的 CA 認證系統(tǒng)的網絡拓撲如下圖所示：對于完全托管模式，CA 系統(tǒng)的主要功能模塊已經建設在

25、了天威誠信數字認證中心，客戶本地只需要準備一臺 CA 系統(tǒng)管理端即可，這臺管理端也可以是管理員自己的計算機。建議管理端的配置如下： 6.2本地 RA 模式對于本地 RA 模式的 CA 認證系統(tǒng)的網絡拓撲如下圖所示：北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月托管 RA 模式系統(tǒng)運行環(huán)境建議模塊數量平臺硬件配置備注CA 系統(tǒng)管理端 1PC 機 硬 件 ： P4 1.5GHz, 512M RAM, HD 80G,USB 接口 軟件：Windows XP Professional，Internet Explorer 6.0 用友U8 與天威誠信數字證書結合

26、方案 第 12頁共 18 頁對于本地 RA 模式，需要在客戶本地建設系統(tǒng)的 RA 模塊和 CA 系統(tǒng)管理端，系統(tǒng)建議配置如下： 6.3自建型 CA 認證系統(tǒng)對于自建型的 CA 認證系統(tǒng)，由于各個客戶的用戶規(guī)模、對系統(tǒng)的性能要求、系統(tǒng)安全性要求等都各不相同，CA 系統(tǒng)的配置也會有很大的差別。對于自建型 CA 認證系統(tǒng)，我們將根據客戶的具體情況，提供相應的系統(tǒng)建議配置。 北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月本地 RA 模式系統(tǒng)運行環(huán)境建議模塊數量平臺硬件配置備注RA 服務器 1PC Server硬 件 ：P4 2.4GHz, 2G RAM, HD

27、 80G軟件：Windows 2003 Server Oracle Server 9i安裝本地 RA 模塊 RA 加密機/加密卡 1 標準硬件產品 此硬件模塊可選 CA 系統(tǒng)管理端 1PC 機 硬件：P4 1.5GHz, 512M RAM, HD 80G,USB 接口 軟 件 ：Windows XP Professional， Internet Explorer 6.0 用友U8 與天威誠信數字證書結合方案 第 13 頁 共 18 頁六、天威誠信介紹及案例7.1天威誠信介紹（1）公司簡介北京天威誠信電子商務服務有限公司（iTruschina）是經信息批準的全國性 PKI/CA 企業(yè)，是專門從事

28、數字信任服務、PKI/CA 建設服務、PKI/CA 應用服務、PKI/CA 運營管理咨詢服務和 PKI/CA 體系整體規(guī)劃服務的專業(yè)化信息安全技術與服務公司。公 司成立于 2000 年 9 月，注冊資金 5135 萬元，公司總部位于北京，在上海和廣州等地 設有辦事機構。天威誠信（iTruschina）致力于向企業(yè)、政府和大眾客戶提供全面的數字信任服務，矢志成為國內提供數字信任服務的領先者。依照我國國情和管理政策，借鑒國外先進技術及管理方法，建立中國自有品牌的信任服務體系，并研制了具有自主知識產權的 PKI 產品及應用。公司在開展自身業(yè)務的同時，參與了國家有關 PKI/CA 體系 規(guī)劃、建設和運

29、營管理等方面的工作，并積極參與中國電子簽名法立法。天威誠信正以其領先的技術、先進的管理方法和全面而精湛的產品與服務，為中國的信息安全服務。作為政府認可的、權威、可信、公正的第三方認證中心，天威誠信在北京建有 1000 平米的國際一流水準的、安全的數據中心，配備了專業(yè)可靠的運營管理團隊，采用 ISO17799 信息安全管理體系進行管理，制定了標準的認證業(yè)務聲明（CPS），對外提供 全球信任體系（VTN，Verisign Trust Network）、中國自有信任體系（CTN，China Trust Network）和客戶私有信任體系等多種信任服務。天威誠信通過提供數字證書服務、PKI/CA 建設

30、、PKI 應用產品和 PKI 應用規(guī)劃等多種方式，為網上業(yè)務系統(tǒng)的安全以及參與網上業(yè)務的各方的相互信任提供安全機制， 為網上業(yè)務過程中身份認證和訪問控制、信息保密性、信息完整性和業(yè)務操作的抗抵賴等安全需求提供了可靠的保證。公司的業(yè)務范圍涉及電子政務、電子商務和企業(yè)信息化建設等各個領域，目前，包括政府、稅務、工商、教育、郵政、銀行、證券、期貨、基金、保險、電信、移動、游戲、能源、煙草、鋼鐵、物流、制造業(yè)、IDC 和 ISP/ICP 等行業(yè)領域以及需求數字信任服務的個人。北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友U8 與天威誠信數字證書結合方案

31、第 14 頁 共 18 頁（2）公司優(yōu)勢（1） 國內領先的 PKI/CA 產品提供商和服務運營商：天威誠信作為國內唯一的既提供 PKI/CA 系統(tǒng)的產品提供商，又通過了信產部認證的電子認證服務運營商，在為客戶構建 CA 系統(tǒng)的同時，也結合自身的經驗和客戶的業(yè)務特點，為客戶規(guī)劃安全管理制度的建設、運營規(guī)范性的建設、物理安全/網絡安全/系統(tǒng)安全/應用安全的建設、證書策略（CP/CPS）的建設、密鑰管理制度的建設、人員責權分離制度的建設，以及應急響應制度的建設，使 CA 系統(tǒng)的建設能夠順利實施、安全運營。 （2） 靈活的 CA 產品架構：天威誠信在自身運營電子認證服務的過程中，不斷根 據客戶的需要，

32、對 CA 系統(tǒng)體系架構、功能模塊進行擴展和豐富，支持多信任體系架構，支持包括集中制證、手工審批、自動審批、通行碼和嵌入式等豐富的證書管理方式，并且產品部署靈活，適應能力強； （3）豐富的證書應用經驗：天威誠信不同于傳統(tǒng)的 CA 產品提供商，在提供電子認證服務過程中，天威誠信始終把如何安全、便利的用好證書當作同 CA 系統(tǒng)建設一樣重要的環(huán)節(jié)，在證書應用領域積累了豐富的經驗，開發(fā)了多種證書應用產品。 資質優(yōu)勢天威誠信取得了國家有關管理部門的所有資質（詳細見附件二描述），天威誠信認證中心是國家管理部門認可的認證中心。技術優(yōu)勢天威誠信從國外引進技術，技術體系符合國際規(guī)范，更容易與國際接軌，有利于在全球

33、統(tǒng)一的 CA 認證體系中占有一席之地。通過實踐證明，天威誠信采用的國際先進 技術建設的平臺具有高可靠性、先進性和高擴展性等優(yōu)勢。同時，天威誠信培養(yǎng)了專業(yè)化的技術開發(fā)和應用開發(fā)團隊，對 PKI 技術進行了深入的研究，掌握了有關 PKI 核心技術，并自主開發(fā)了 PKI/CA 產品及 PKI/CA 應用產品。 品牌優(yōu)勢天威誠信依據國情，引進先進技術，自主建立的安全、可靠的 PKI/CA 系統(tǒng)是一個 具有國際領先水平，是擁有自主加密核心技術的公鑰基礎設施平臺。天威誠信提供 CTN 體系服務，建立了中國的信任網絡，具有自主的品牌和享有自主知識產權。同時，天威誠信開發(fā)了具有自主知識產權的 PKI/CA 產

34、品和 PKI/CA 應用產品，能北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年 6 月 用友U8 與天威誠信數字證書結合方案 第 15 頁 共 18 頁夠提供全面的 PKI/CA 產品與服務。政策優(yōu)勢天威誠信是經信息批準的第一家全國性 PKI/CA 企業(yè)，公司產品和服務是通 過國家有關部門認證，獲得了安全行業(yè)相關資質的。其次，天威誠信在開展自身業(yè)務的同時，也積極向國家提出了有關 PKI/CA 建設方面的意見和建議，并幫助國家有關部 門建立了 PKI/CA 行業(yè)標準和運營管理規(guī)范。另外，天威誠信還作為唯一一家從事全國 性 PKI/CA 服務的企業(yè)代表，被法制辦邀

35、請，參加我國電子簽名法的研討工 作，并為我國電子簽名法提出了很多寶貴的建議和意見。管理優(yōu)勢天威誠信借鑒國外的先進管理經驗，制定了完善的安全管理策略，對天威誠信認證中心進行安全管理，安全管理策略包括物理安全策略、信息安全策略、系統(tǒng)安全策略、通信安全策略、密鑰管理策略和人員管理策略等，對認證中心的安全管理方面完全滿足 ISO17799 的標準，并通過了 ISO17799 認證。（3）天威誠信相關資質相關規(guī)定和許可證目前，國家相關部門已經發(fā)布了一些行業(yè)規(guī)范，對于在我國建設面向社會提供服務的 PKI/CA 中心，必須獲得下列有關部門的審批資質： 信息信息作為信息產業(yè)的主管部門，負責商業(yè)性 PKI/CA

36、 中心運營資質的審 批。負責審查商業(yè)性 PKI/CA 中心場地建設、運營管理流程、安全保障等等是否符 合信息CA 中心建設、運營和管理規(guī)范指南標準的要求。在即將出臺的 電子簽章法案實施條例中明確要求從事對外公眾服務的 PKI/CA 認證中心必須 得到信息 CA 管理部門的許可。天威誠信作為信產部批準的第一家全國性 PKI/CA 企業(yè)，參與了信息CA 中心建設、運營和管理規(guī)范指南的撰寫。目前，天威誠信正在參與原國家 計委國家信息中心組織制定的CA 行業(yè)運營規(guī)范國家標準的撰寫，并且負責主 持、召集、組織專家評定等工作。北京天威誠信電子商務服務有限公司iTrusChina Co.,Ltd2008 年

37、 6 月 用友U8 與天威誠信數字證書結合方案 第 16 頁 共 18 頁 國家管理委員會（簡稱國密辦）凡是涉及商用的 CA 軟件產品和 PKI/CA 中心必須經過國密辦的立項、安 全性審查及鑒定，其中安全性審查時必須的。安全性審查通過之后，國密辦正式頒發(fā)安全性審查通過的文件，PKI/CA 系統(tǒng)被視為符合國家政策的系統(tǒng)。 在此前提下，PKI/CA 運營商準備好相應的文件，在適當的時間向國密辦提出鑒定 申請。鑒定是對產品、系統(tǒng)技術水平的一個認可過程（如國內領先、國際先進等）， 鑒定過程并不影響 CA 廠商合法的市場和銷售行為。 天威誠信對外提供公眾服務的 PKI/CA 平臺和為企業(yè)獨立建設保障內

38、部信息安全的 PKI/CA 產品均通過了國密辦的安全性審查。 公安部公安部負責簽發(fā)“計算機信息系統(tǒng)安全專用產品銷售許可證”，PKI/CA 產品 只有經過公安部的測評，獲得公安部頒發(fā)的安全產品銷售許可證之后，才能在中國市場上合法的銷售。天威誠信的服務系統(tǒng)和產品均獲得了公安部的銷售許可。 中國國家信息安全測評認證中心（簡稱測評中心）測評中心是國家對信息安全產品與系統(tǒng)進行測評認證的權威機構。經過測評中心測試及檢驗合格的 PKI/CA 運營中心是符合國家頒布的 GB/T 18336-2001信 息技術 安全技術 信息技術安全性評估準則 和 ISO/IEC 17799-2000信息技術 信息安全管理實施細則標準的要求，同時也滿足最嚴格的 ISO 國際規(guī)范，可 以獲得國家信息安全