浙江盐业集团数字证书应用案例
项目背景
用户状况
浙江盐业公司由于其本身特殊性--盐业公司与浙江盐务管理局是两块牌子,合署办公。随着社会信息自动化技术的发展,越来越多的工作通过电子信息化手段完成,也正是在这种背景下,浙江省盐业公司为了推进公司业务的管理,提高生产效率,希望逐步完善公司的信息化建设,建立各种自动化信息系统,包括ERP,VPN,OA等等。省盐务管理局是省人民政府盐业主管机构,负责全省盐业管理工作,省盐业公司为国有独资企业,负责全省盐资源开发和食盐、其他用盐的生产、储运、购销和加工碘盐用的碘剂、包装、防伪碘盐标志等的统一管理,是全省食盐专营的主体。这决定了盐业公司在信息自动化建设的过程中,必须着重注意信息安全的建设。
存在问题
在ERP系统的建设实施之前,公司已配置了边界防火墙、杀毒软件对服务器进行保护。但是仍存在以下几个安全隐患:
1) 员工、分销商等通过用户名/密码方式对系统进行访问。随着互联网技术的发展,网络钓鱼、网络欺诈、网络嗅探、密码窃取等事件的不断发生,使该种访问方式显的简单,不安全。用户名和密码等信息极易被窃取丢失,并且被利用。
2) 使用者本人的合法身份无法进行有效发行,使用和控制。当网络管理员的身份被破解后,大量不可控的非法用户行为将极大的危害系统安全。
综合以上问题,该系统针对用户身份的合法可靠性认证还缺乏有效解决方式。而资金管理信息系统内有着大量公司关键财务信息、数据,一旦被窃取,对集团造成的损失将无法估量。
建设目标
集团强烈希望能有一个解决方案能对集团的信息进行保护,并提出以下建设目标:
- 手段安全可靠,能有效弥补单纯的用户名/密码手段的缺点,可信赖。
- 成本经济、建设周期短,原有系统不须进行大的改造,以避免对使用造成大的影响。使用方便,不增加使用者的工作强度。
浙江省盐业集团对相关安全产品的技术与功能进行了综合比较,最终选择采用汇信科技的聚安电子工作证确保资金管理信息系统的数据与指令的安全可靠。
项目实施内容
技术实施内容
完成制发证系统的搭建。通过该制发证系统可以实现盐业集团ERP系统所有用户的数字证书的发放。制发证系统的构建策略采用租用模式,租用汇信科技PKI系统实现,盐业集团的管理员远程登录汇信科技数字证书签发系统,管理并维护盐业集团所有数字证书。
完成盐业集团ERP系统身份认证应用接入。通过在ERP系统服务器上配置服务器证书,并开通数字证书客户端认证,实现ERP系统用户必须通过数字证书才能登录ERP系统。在数字证书认证后,用户必须再次输入帐号口令,实现双重认证,保证ERP系统安全。
完成盐业集团ERP系统数字签名及数据加密应用。汇信科技提供标准的数字签名、数据加密接口,实现ERP系统数字签名和数据加密应用。
技术服务内容
在完成租用环境的搭建后,汇信科技提供系统使用培训,通过该培训,保证盐业集团系统管理员能够独立完成数字证书声明流程的维护。
在盐业集团人力资源紧张或特殊要求时,汇信科技可以帮助盐业集团共同完成数字证书的制发证工作。
在完成与资金系统的数字证书接入后,汇信科技提供资金系统数字证书使用培训,通过该培训,保证盐业集团用户可以方便的利用数字证书保障资金系统安全。
系统结构
项目建设成效
针对ERP管理系统,完成制发证系统的搭建及ERP管理系统身份认证应用接入,并配置服务器证书,建立SSL通道,保障客户端与系统之间的数据传输的安全性。
本项目为盐业集团资金管理信息系统申请了一张汇信SSL服务器证书,并替客户在服务器上进行了相关配置。效果详见下图:
图1 通过安全的https连接访问系统,并表明系统安全性
图2 可验证的服务器证书,表明连接加密
采用制发证系统平台,为集团员工颁发电子工作证,并帮盐业集团完成资金系统身份认证应用接入,使系统对申请登录的用户首先以数字证书方式进行认证,避免因用户名/密码被窃取而造成损失。
汇信科技为盐业集团搭建的制发证系统基于国际PKI/CA标准。由于电子工作证的签发权完全由集团管理员掌握,相当于集团给员工发了个人电子身份证书。同时电子工作证被灌入USB-key中,可随身携带,且USB-key本身有Pin码保护,防止因系统原用户名/密码被人窃取,或者USB-key丢失而造成公司信息外泄。
客户端只需安装汇信电子工作证软件,即可使用。
汇信科技为集团管理员详细演示了如何使用管理员证书对电子工作证进行申请、签发以及管理的工作,以及客户端的下载、安装与使用。
效果如下图:
图3 访问系统要求有电子工作证
