×××集团数字证书应用方案
1.1 项目背景
浙江省×××集团为一大型综合性经营企业集团,集体管理层对企业信息化建设较为重视,信息化建设水平较高。目前已投入运行的系统有OA系统、ERP系统、人力资源管理系统、财务系统等等。根据公司的发展趋势,集团为了全集团资金可集中管控和调配,达到降低资金使用成本、提高资金使用效率、保证集团资金安全的目的,开始进行资金管理信息系统建设。通过银企网络直连手段,实现资金集中筹措、协调、支付和调控。
在资金管理系统的建设实施之前,公司已配置了边界防火墙、杀毒软件对服务器进行保护。但是仍存在以下几个安全隐患:
1、员工、分销商等通过用户名/密码方式对系统进行访问。随着互联网技术的发展,网络钓鱼、网络欺诈、网络嗅探、密码窃取等事件的不断发生,使该种访问方式显的简单,不安全。用户名和密码等信息极易被窃取丢失,并且被利用。
2、由于资金系统的特殊性,提出了对系统数据高保密性的要求,通过普通的http方式无法实现以上功能,需要通过加密的方式保证全程链路加密。
3、类似于金融系统中我们对重要操作都需要进行签字盖章,在资金系统中也是一样,还需要实现行为防抵赖的功能。
综合以上问题,资金系统还存在一定的安全隐患,而资金管理信息系统内有着大量公司关键财务信息、数据,一旦被窃取,对集团造成的损失将无法估量。
1.2 建设目标
集团强烈希望能有一个解决方案能对集团的信息进行保护,并提出以下建设目标:
1、手段安全可靠,能有效弥补单纯的用户名/密码的缺点。
2、能够同时实现身份认证、数据保密和行为防抵赖。
3、成本经济、建设周期短,原有系统不须进行大的改造,以避免对使用造成大的影响。使用方便,不增加使用者的工作强度。
×××集团对相关安全产品的技术与功能进行了综合比较,最终选择采用汇信科技的PKI系统确保资金管理信息系统的数据与指令的安全可靠。
1.3 项目实施内容
1.3.1 技术方案
采用制发证系统平台,为集团员工颁发电子工作证,并帮×××集团完成资金系统身份认证应用接入,使系统对申请登录的用户首先以数字证书方式进行认证,避免因用户名/密码被窃取而造成损失。
汇信科技为×××集团搭建的制发证系统基于国际PKI/CA标准。由于电子工作证的签发权完全由集团管理员掌握,相当于集团给员工发了个人电子身份证书。同时电子工作证被灌入USB-key中,可随身携带,且USB-key本身有Pin码保护,防止因系统原用户名/密码被人窃取,或者USB-key丢失而造成公司信息外泄。
客户端只需安装汇信电子工作证软件,即可使用。
1.3.2 技术实施内容
1.完成制发证系统的搭建。通过该制发证系统可以实现×××集团资金管理系统所有用户的数字证书的发放。制发证系统的构建策略采用租用模式,租用汇信科技PKI系统实现,×××集团的管理员远程登录汇信科技数字证书签发系统,管理并维护×××集团所有数字证书。
2.完成×××集团资金系统身份认证应用接入。通过在资金系统服务器上配置服务器证书,并开通数字证书客户端认证,实现资金系统用户必须通过数字证书才能登录资金系统。在数字证书认证后,用户必须再次输入帐号口令,实现双重认证,保证资金系统安全。
3.完成×××集团资金系统数字签名及数据加密应用。汇信科技提供标准的数字签名、数据加密接口,由资金系统的开发商实现资金系统数字签名和数据加密应用。
1.4 项目建设成效
项目建设成效主要包括以下几点:
首先,访问资金系统,必须插入电子工作证才能登录,否则无法进入资金系统。
其次,在访问资金系统的整个过程中,实现全程数据加密,保证了资金系统数据安全。
最后,在进行重要操作时,对操作数据进行数字签名,实现了行为防抵赖。
