(电子行业企业管理)内蒙古自治区人力资源社会保障电子认证体系建设方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内蒙古自治区人力资源社会保障
电子认证体系建设方案
为做好全区人力资源社会保障电子认证体系建设工作,根据人力资源和社会保障部《关于建设统一的人力资源社会保障网络信任体系的指导意见》,制定本方案。
一、建设原则
(一)统一规划、分步实施
根据人社部总体要求,自治区统一规划,分两期建设全区完整统一的电子认证体系,为全区人力资源社会保障各业务系统提供安全保障。
(二)统一标准、相互信任
按照《人力资源和社会保障电子认证体系规范》(LD/T 30-2009),保持统一的信任源,确保人力资源社会保障各业务系统之间、各地区业务协作的相互信任。
(三)技术先进、安全可靠
采用先进的电子认证技术,为自治区人力资源社会保障各业务系统提供信息安全、网络信任、身份鉴别、电子签章等安全服务,保障各业务系统安全稳定运行。
二、建设思路
(一)按照自治区统一规划,先期建设注册管理中心(RA),逐步建成完善的自治区电子认证中心(CA)。
(二)在推进电子认证体系建设的同时,进行数字证书
业务应用的推广,从满足业务实际需求出发,率先完成对试点盟市、试点应用系统的电子认证应用。
(三)按照人社部统一标准,严格规范和控制数字证书的签发和使用,实现一人一证、一户一证、一机一证、一证多用和互信互认。
三、系统设计
人力资源社会保障电子认证体系包含电子认证系统基础层、证书业务管理层、证书应用支撑层、相关政策法规和标准规范,总体结构如图1所示。
图 1 人力资源社会保障电子认证体系总体结构图电子认证系统基础层包括密钥管理系统、密码服务系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等。
证书业务管理层包括证书生命周期管理、系统运行管理、证书服务统一监管平台等。
证书应用支撑层包括基础安全接口和高级应用接口,为应用系统提供身份认证、数据加密解密、数字签名验签、电子签章、网络安全协议和时间戳等应用安全支撑功能。
(一)系统布局
自治区人力资源社会保障电子认证系统布局图如图2所示。
图2人力资源社会保障电子认证系统布局图
自治区电子认证系统包括密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统。以人力资源社会保障电子认证根系统为信任源,日常证书业务不与电子认证根系统进行实时通信。所有数字证书的申请、注册、审核、签发、证书的载体导入和交付都由自治区电子认证系统独自完成,为全区内部和外部应用系统提供证书服务。
(二)系统建设内容
电子认证系统的建设主要包括证书认证设施、密码管理设施,以及相配套的基础安全防护设施、承载网络系统、机房环境设施、密码机和数字证书载体等,如图3所示。其中,证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统;密码管理设施包括密钥管理系统和密码服务系统;基础安全防护设施包括防火墙、入侵检测、漏洞扫描、防病毒和安全审计等。
图3 电子认证系统设施结构图
1.电子认证系统
电子认证系统是电子认证体系的主要建设内容,涉及密钥管理系统、证书签发管理系统、证书注册管理系统和证书
查验服务系统等电子认证系统软硬件的购置和部署实施。自治区电子认证系统软件产品具备国家密码管理局颁发的《商用密码产品技术鉴定证书》和《商用密码产品型号证书》。
2.基础安全防护
电子认证系统的基础安全防护系统建设包括防火墙、入侵检测、漏洞扫描、防病毒和安全审计等。产品为经国家认证的信息安全产品,具有公安部的《计算机信息体系安全专用产品销售许可证》和中国信息安全认证中心颁发的有效认证证书。
电子认证系统各安全域边界防火墙的工作模式设置为路由模式,入侵检测的配置设置为高警戒检测级别。安全域的边界防护采用具有访问控制、入侵检测防护、防病毒和安全审计等综合安全功能的UTM设备。
3.机房环境设施
电子认证系统部署的机房符合国家有关计算机机房设计和建设标准,以及机房场地安全要求。机房设有门禁、视频监控和消防系统,提供可靠的供配电系统。密钥管理系统和签发管理系统部署的机房达到《电子信息体系机房设计规范》(GB50174-2008)B级以上要求,放置在具有电磁泄漏发射防护的场所。
4.密码机
密码机包括电子认证系统专用密码机和证书应用密码
机两类。产品具备国家密码管理局颁发的《商用密码产品技术鉴定证书》和《商用密码产品型号证书》。符合国家密码管理局《公钥密码基础设施应用技术体系密码设备应用接口规范》(试用)和《人力资源和社会保障电子认证体系第4部分:证书应用管理规范》(LD/T 30.4-2009)。密码机支持RSA(模长1024-2048)、SM1、SHA1、SHA256等算法。
5.数字证书载体
数字证书载体具备国家密码管理局颁发的《商用密码产品技术鉴定证书》和《商用密码产品型号证书》。产品符合《人力资源社会保障电子认证体系第5部分:证书载体规范》(LD/T 30.5-2009)要求。证书载体支持RSA 1024和SM2 256算法,全套内容包含证书载体、配套驱动程序、管理软件以及数字证书载体USB-Key的制作和分发服务等。
(三)系统部署和配置
密钥管理系统、证书签发管理系统和证书注册管理系统,软件和后台数据库分别配置在不同的服务器上。证书查询验证服务的目录服务器按主从方式分别部署在证书签发管理区域和应用服务区域。
系统部署结构如图4所示。
图4自治区电子认证系统部署结构图
四、数字证书应用集成设计
(一)应用安全策略
数字证书应用集成是电子认证体系建设的一项关键内容,为全区人力资源社会保障各业务系统提供应用安全支
撑,包括身份认证、数据加密解密、基于数字签名验签的防抵赖等基本证书应用安全功能,以及电子签章和时间戳等增强证书应用安全功能。
(二)应用集成技术框架
数字证书应用集成的框架设计如图5所示。 密码机密码设备
应用接口证书载体接口基础应用接口
通用密码服务接口
密码设备
服务器端
证书应用接口客户端证书应用接口高级应用接口
人力资源和社会保障应用系统
证书载体
图5人力资源社会保障证书应用集成框架图
人力资源社会保障应用系统是通过调用高级应用接口,与密码设备交互,以完成基于数字证书的安全应用。
密码设备由密码机、证书载体等组成,通过基础应用接口向上层应用提供密码服务。
基础应用接口是基于密码设备,直接对密码设备进行管理和操作的接口层,并向高级应用接口提供标准化的密码服务。