金蝶企业安全认证解决方案

B企业 用户
C企业 用户
CA解决方案之K/3 Cloud私有云
企业本地 K/3 Cloud（企业私有云）
财 务 会 计
成 本 管 理 供 应 链 管 理 生 产 管 理 H R 管 理
其 他 … …
ESA（电子签 名应用服务器）
企业自建 CA系统
内网
互联网
集团用户
分子公司
供应商
CA系统：自建CA系统； 证书发放：在线审批、集中制作； 证书类型：VTN/CTN服务器证书，企业证书、 员工证书； 证书集成：ESA与K/3 Cloud深度集成，实现 ④内部公开 请勿外传 P26 登录、关键业务节点 CA管控。
④内部公开 请勿外传
P11
各种安全技术比较
身份鉴证
机密性
完整性
抗抵赖
口令
动态口令
密码技术
PKI/CA
④内部公开 请勿外传
P12
CA法律依据
中华人民共和国电子签名法
《电子签名法》第十三条
电子签名同时符合下列条件的，视为可靠的电子签名：
对数字证书应用过程的约束
（一）电子签名制作数据用于电子签名时，属于电子签名人专有； （二）签署时电子签名制作数据仅由电子签名人控制； （三）签署后对电子签名的任何改动能够被发现； （四）签署后对数据电文内容和形式的任何改动能够被发现。
审核单 据
•单据验签 •单据签名 •签名存储
支付
•单据验签 •单据签名 •签名存储
④内部公开 请勿外传
网银
•服务器身份识别
•加密传输通道
•单据签名验签
P17
EAS系统——托管型CA解决方案
天诚安信 数字认证中心
企业子CA系统
ESA
ESA
Internet
RA系统 （硬件锐风） EAS资金系统 银企网关
④内部公开 请勿外传
P9
EAS、K/3系统中存在的安全隐患
银行 集团企业 ④ 银企网关
金蝶EAS、K/3
③
②
① 如何确认用户身份？ ② 如何防止网络窃听？ ③ 如何发现信息篡改？
②
②
①
①
①
④ 如何预防用户抵赖？
EAS用户
EAS用户
EAS用户
企业CA 防控系统 ④内部公开 请勿外传
P10
EAS、K/3安全需求总结
H R 管 理
ESA（电子签 名应用服务器）
RA API
互 联 网
金蝶K/3 子CA系统
互
联
网
A企业 用户
B企业 用户
C企业 用户

CA系统：本地RA（RAAPI方式）； 创建独立子CA：K/3子CA系统 证书发放：在线审批、集中制作； 证书类型：VTN服务器证书，企业/员工证书； 证书集成：ESA与K/3 Cloud深度集成，实 ④内部公开 请勿外传 P24 现登录、关键业务节点 CA管控。
用户名、口令泄露，个人身份被冒用 钓鱼网站的出现，服务器身份被冒用 由于互联网的开放性和共享性，黑客技术的发展、网络用户的安全意识不到 位等原因，导致个人、企业各种信息暴漏在公网中：
千万用户名密码被盗； 用户信息泄露； 系统程序被破坏，数据丢失。
钓鱼网站，用户资金被盗； 用户网上银行资金被盗； 用户信息泄露。
金蝶企业安全认证解决方案
报告人：孙天英 职 位：售前咨询工程师
版权所有©1993-2012金蝶软件（中国）有限公司
④内部公开 请勿外传
④ 内部公开 请勿外传
天诚安信简介 EAS/K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制
④内部公开 请勿外传
P2
天诚安信简介
成立于2011年5月 是北京天威诚信的全资控股子公司
较大）
数字签名、抗抵赖的功
能仍然可以实现。
④内部公开 请勿外传
P22
CA安全解决方案设计
④内部公开 请勿外传
P23
CA解决方案之K/3 Cloud公有云
金蝶K/3云服务中心 K/3 Cloud（公有云）
财 务 会 计 成 本 管 理
天诚安信 CA运营中心
R A 系 统
供 应 链 管 理
生 产 管 理
企业内部只需建设本地 多用于资金、财务、电 完全符合《电子签名法》
托管型
RA，即可下载证书（初 子招投标等对合规性要 要求，并且具有相关的 期投入少） 求较高的系统 资质证明
企业内部需要建设一套
合法合规性较弱，但在
企业自建型
完整的CA系统，用以下 多用于办公协同等企业 身份认证、数据加密、
发数字证书（初期投入 内控的系统
P36
案例分析——中国铁建（自建型CA）
中国铁建（简称 CRCC)有29家分子公司 分部在全国, CRCC为了 提高工作效率和管理效率， 建立了自己的企业应用中 心平台（单点登录），即 将HR、COM、B2B、 LCM、IS等系统的功能模 块集成到一个平台上进行 访问和管理，达到数据、 资源的共享及统一管理功 能。但是由于互联网的开 放性和共享性，给各业务 系统的访问，操作带来许 多信息安全隐患，从管理 便宜性上、性价比上考虑， 最终CRCC采用了自建CA 系统来保障应用的安全。
④内部公开 请勿外传
P4
天诚安信简介——全国服务体系
北京总部 河南分中心
华东营销中心 宁波分中心
西南分公司 华南分公司
④内部公开 请勿外传
P5
天诚安信&金蝶合作 EAS、K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制
④内部公开 请勿外传
P6
信息安全事故案例——互联网应用
案例1：国内互联网“脱库门” 案例2：危险的光大银行
银行
局域网
Internet
企业RA管理员
总部用户
分公司用户
④内部公开 请勿外传 P18
托管型CA方案涉及的产品和服务
天诚安信CA系统（最多100个用户）
① 在天诚安信数据中心国家CA根下面建立客户独立托管子CA系统； ② 用户管理员可以通过本地RA系统（硬件锐风服务器），安全便捷 的发放数字证书。
网
CA系统：本地RA（RA+CKS方式）； 创建独立子CA：K/3子CA系统 证书发放：在线审批、集中制作； 证书类型：VTN服务器证书，企业/员工证书； 证书集成：ESA与K/3 Cloud深度集成，实现 ④内部公开 请勿外传 P25 登录、关键业务节点 CA管控。
A企业 用户
ESA电子签名应用服务器
1、在用户的系统中实现身份认证、数字签名、数据加解密等功能
存储数字证书的USBKey
具有加密芯片储存和保护证书安全的介质
技术实施支持
包含系统搭建、集成、培训等
软件系统维护服务
第一年免费，第二年开始收费
④内部公开 请勿外传
P21
EAS两种解决方案对比
CA建设模式 建设方式 应用场景 合法合规性
什么是CA系统？什么是第三方CA机构？
• CA是一套严密的数字身份认证系统
– CA和数字证书是密不可分的两个部分 – CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方 权威机构 – CA系统由RA注册系统和CA签发系统组成
• 第三方CA机构
– 获得国家认可的第三方CA中心 – 运营维护CA系统 – 为用户发放符合法律效力的数字证书
证书法律效力：提供法律 效力高的第三方证书服务
有效的电子证据：电子签名数据 符合《中华人民共和国电子签名 法》，可用于后期取证
天诚安信完全解决了EAS/K/3系统中的安全风险！
④内部公开 请勿外传
P35
天诚安信&金蝶合作 EAS/K/3安全需求分析 CA安全解决方案介绍 合作案例介绍 商务机制
④内部公开 请勿外传
ESA电子签名应用服务器
1、在用户的系统中实现身份认证、数字签名、数据加解密等功能
数字证书（有效期为一年）
1、员工数字证书 2、RA管理员数字证书
存储数字证书的USBKey
技术实施支持
包含系统搭建、集成、培训等
软件系统维护服务
第一年免费，第二年开始收费
④内部公开 请勿外传 P19
意义。
④内部公开 请勿外传
P8
信统出纳账 号被盗 案例2：XX公司资金系统管理员 监守自盗
信息、数据被篡改； 内部监管不力，出现责任抵赖； 缺乏有效的电子证据 公司系统安全问题日益严峻，不仅需要对外进行安全防护，对内，需要进行 权限分割、安全监控、保留责任追溯证据。
业务应用------（一）设置登录认证节点
设置用户 CA认证方 式
④内部公开 请勿外传
业务应用------（一）身份认证
******
④内部公开 请勿外传
业务应用层面------（二）客商资料管理
④内部公开 请勿外传
设置业务节点二次CA认证
④内部公开 请勿外传
业务应用------（三）单据制作
1、从技术层面
身份认证：提供安全级别比“用户名+口令高”的身份认证方式，保障身份真实性； 数据机密性：保障传输的资金数据（金额、银行账户…)等不被他人盗取）。 数据防篡改性：保障资金数据的真实性，不被他人篡改。
2、从法律层面
《中华人民共和国电子签名法》：系统里的数据符合电子签名法，
后期可提取相关数据进行取证，防止他人抵赖等行为；
CA解决方案之K/3 Cloud公有云
金蝶K/3云服务中心 天诚安信 CA运营中心
C K S 系 统 R A 系 统
K/3 Cloud（公有云）
财 务 会 计
成 本 管 理 供 应 链 管 理 生 产 管 理 H R 管 理 ESA （电子 签名应 用服务 器）
互 联 网
金蝶K/3 子CA系统
互
联
④内部公开 请勿外传 P7
信息安全事故案例——企业内部应用
案例1：中国人寿保单信息泄露
案例2：公司邮箱被盗，13万美元 货款丢失
企业机密信息、数据泄露
哪个公司没有自己核心的客户资料、内部机密的财务数据、或者研发配方、 还有设计图纸、投资方案，这些数据，一旦由于内部监管不力，而轻易泄露
给了竞争对手，对于企业将会是致命的打击、公司所做的努力将会没有任何
北京天威诚信成立于2000年9月
公司核心价值观：秉承创新 平衡发展
2005年获工信部批准，成为国内首家跨区域、跨行业的电子认证服务机构！
④内部公开 请勿外传
P3
天诚安信简介
国内具有显著行业地位和最具影响力的CA认证中心
作为CA行业的唯一代表，参与《中华人民共和国电子签名法》的起草 《电子认证服务管理办法》起草专家组成员之一 负责国标《CA认证机构建设和运营管理规范》的制订 国家电子商务标准化总体组专家成员 参与国家信息中心电子政务外网PKI/CA体系的规划，并提供CA运营管 理咨询
《电子签名法》第十四条
可靠的电子签名与手写签名或者盖章具有同等法律效力。
《电子签名法》第十六条
电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。
④内部公开 请勿外传
P13
天诚安信&金蝶合作 EAS、K/3安全需求分析
CA安全解决方案介绍
合作案例介绍
商务机制
④内部公开 请勿外传
P14
④内部公开 请勿外传
业务应用------（四）单据审核
④内部公开 请勿外传
业务应用------（五）支付确认
④内部公开 请勿外传
天诚安信CA构建K/3系统安全体系
技术层面
法律层面
用户身份认证：采用证书认证方式 服务器身份：发放服务器证书 信息加密：保障信息机密性 信息签名：防止操作行为抵赖 信息验签：保障数据的真实性， 防止被他人篡改
④内部公开 请勿外传
P15
CA系统简介
CA系统
数字证书
RA注册系统
CA签发系统
身份证
派出所
公安系统
公安局
④内部公开 请勿外传
P16
EAS系统CA安全应用流程设计
EAS资金系统
总部用户
登录
分公司用户
制 作 单 据
审 核 单 据
支 付
银 企 网 关
登录
•签名验签 •双重认证
制作单 据
•单据电子签名 •签名数据存储
CA解决方案之K/3 WISE
企业本地
天诚安信 CA运营中心
K/3 Wise
ESA（电子签 名应用服务器）
金蝶K/3 子CA系统
内网
互联网
内网用户
分子公司
出差人员
CA系统：自建CA系统； 证书发放：在线审批、集中制作； 证书类型：VTN/CTN服务器证书，企业证书、 员工证书； 证书集成：ESA与K/3 Cloud深度集成，实现 ④内部公开 请勿外传 P27 登录、关键业务节点 CA管控。
EAS系统——自建型CA解决方案
ESA
ESA
Internet
企业CA系统 EAS资金系统 银企网关 银行
局域网
Internet
企业RA管理员
总部用户
分公司用户
④内部公开 请勿外传 P20
自建型CA方案涉及的产品和服务
天诚安信CA系统（500/1000用户）
1、CA签发系统（软件） 2、RA注册系统（软件）
④内部公开 请勿外传 P37
案例分析——万科集团（托管型CA）
方案设计：
万科集团选择采用天诚安信的
符合《中华人民共和国电子签 名法》要求的企业员工客户端 数字证书及电子签名应用服务