摘要：建设完整的企业可信身份管理首先需要对接入到信息化环境的人员进行统一的标识，确保人员身份可信；其次是需要对身份进行集中管理，如统一认证管理、统一账户管理、统一授权管理、统一终端管理等等，确保身份行为可信；在此基础上还需要具备通过对人员身份的监控及对其行为痕迹进行审计，确保人员身份结果的可信。以此实现企业整体信息化环境的可信身份管理，实现企业信息化的集中管控。

关键词：电子签章、电子合同、司法存证、安全邮件

1.概述

信息化是关系我国现代化建设全局的战略举措，企业作为我国国民经济的重要支柱，无疑是实施国家信息化发展战略的主力军。加强企业信息化工作，不仅对我国企业信息化建设可以发挥积极作用，从整体上提升我国经济信息化的发展水平，对于企业转变发展方式、提高发展质量、增强核心竞争力、应对日趋剧烈的国际竞争，具有极其重要的意义。

随着信息化建设的迅速发展，以及业务信息化应用的不断深化、普及与提高，对企业的信息安全问题也提出了更高的要求，如身份可信、数据安全等问题越来越受到关注与重视。虽然网络访问控制、入侵检测与防御等基于网络层面的安全防御系统，有效地解决了网络层面的安全问题。但是现有的安全技术手段对于用户身份的可信性鉴定、信息的加密防篡改、关键操作的防抵赖、责任认定等环节均存在一定的局限性。无论是网络系统、业务系统、办公系统，其最终的主体将是企业内外的人员，因此对于人员的可信身份的管理在信息化及工业化发展中越发显得重要，只有加强人员的管理及其可信身份管理，才能为企业的管理、业务发展构建可信的信息化环境。信息的管理和使用，最终将归根于人来管理及对人的管理，而对于人的管理，也必须是建立在可信安全的基础之上的，因此人的"可信身份管理"将成为企业管理信息化到达一定程度的关键环节和必然阶段。

人在信息化中担当着重要的建设、管理、应用、维护等角色，由此信息化的建设与管理将以人员为核心渗透企业整个信息化，已经成为必然。一个完整的企业可信身份管理首先需要对接入到信息化环境的人员进行统一的标识，确保人员身份可信；其次是需要对身份进行集中管理，如统一认证管理、统一账户管理、统一授权管理、统一终端管理等等，确保身份行为可信；在此基础上还需要具备通过对人员身份的监控及对其行为痕迹进行审计，确保人员身份结果的可信。以此实现企业整体信息化环境的可信身份管理，实现企业信息化的集中管控。

2.需求分析

为了加快建设集团企业综合管理信息系统，强化科学管理和集中控制，企业需要通过一系列的技术和管理措施建设企业的安全认证平台，实现企业信息化向整个企业集成、共享、协同转变，实现集团企业信息系统的统一集成。具体需求如下：

2.1用户身份真实性需求

目前企业业务应用系统大多采用"用户名+密码"的方式来验证用户的身份。这时用户所输入的信息和密码都是通过明文的方式，传输给系统服务器，服务器再根据所提交的信息和密码，查询数据库，来判断用户身份是否真实。这样的方式其实存在巨大的安全隐患，非法用户可以通过口令攻击，猜测、窃取等方式获得口令，假冒合法用户，登录系统获取机密信息。因此必须采用安全的手段，解决信息系统身份认证的需求。如果不解决身份真实、有效识别问题，各类办公软件，系统集成或自动化设备都无法正常开展，甚至带来不可估量的其他负面影响。

2.2统一身份认证需求

企业业务系统较多并且业务系统间分散独立，用户登录计算机后，使用不同的"账号+密码"登录各个业务系统，缺乏统一的用户身份标识和身份认证，因此亟需建立统一的身份认证系统，统一的用户管理系统，实现"单点登录，全网通行"，便捷、安全地满足业务和管理的需求。

2.3移动端安全性需求

目前基于公钥密码学的数字签名和加解密技术已经广泛应用在企业信息系统建设中，成为保证信息安全的重要工具，而私钥的安全性及使用是保障这些应用安全的基础。传统PC端的私钥安全可以通过USBKey来保护。

但在移动应用环境中，用户终端通常以软件的形式存储和使用私钥，因此安全防护能力较差。比如，如果私钥完整的存储在智能手机的单个文件中，那么攻击者通过权限提升则可获得私钥，另外，如果私钥完整的出现在每次的签名计算中，那么攻击者则可以有很多方式将其从智能手机内存中导出。即移动终端既有私钥的安全性需求，又需满足移动互联网低延迟、少交互的特点。

2.4数据传输存储安全性需求

企业信息系统终端与服务器间的信息传输安全往往被忽视，明文传输，非法用户很容易监听甚至篡改相关数据，或者直接入侵应用系统，窃取相关资料。

对数据而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁的同时，来自内部的数据泄露也是一个更需要重视的问题。在当今竞争日趋激烈的商业社会，到处存在着陷阱和诱惑。为了达到目的，一些不良企业或个人会不择手段来谋取自身利益的最大化。他们有可能窥探数据的研发、生产、收入数据、客户数据、销售数据等核心信息。这些信息关系企业生存与发展的命脉，一旦流失将会让数据面临信誉、经济、运营、隐私和法规遵从方面的威胁。

2.5操作行为或责任可追溯需求

随着系统信息化高速发展，各项传统线下业务逐步向线上转换；用户需对纸质签字或盖章负责转向对一段数据电文描述内容的认可，数据电文的责任归属是否明确直接关系到信息化流程能否完全取代传统的纸质流程。在用户身份真实可信的前提下，需要结合可靠的电子签名，建立信息系统中的责任认定机制，保障数据电文的操作行为可追溯，使信息化的高效率优势充分发挥。

3.方案架构

3.1系统架构

系统总体架构图

基于PKI/CA技术（身份认证、数字签名、电子签章、加解密等），通过采用签名服务器、时间戳服务器、电子签章系统等产品，结合企业具体业务需求，建设企业安全认证平台，通过为信息系统各方用户发放数字证书来对其进行身份标识，并且在信息系统业务执行过程中通过集成电子认证相关应用功能，最终满足信息系统的安全需求，为企业用户提供办公流程生命周期的安全保障。

（1）企业员工、供应商、合作伙伴等用户使用Ukey、手机盾的数字证书通过身份认证，登录统一身份认证管理系统，根据各自不同的权限访问企业内部应用系统；

（2）企业用户客户端通过安全认证网关，与业务应用服务器建立SSL连接，保证数据传输的安全；

（3）使用电子合同管理系统，企业与上下游供应链厂商签订电子合同；

（4）使用电子证明系统，对企业业务过程中各个业务系统产生的关键数据进行签名，建立责任认定机制。

3.2网络拓扑结构

网络拓扑图

4.方案特色

总体设计图

根据上述需求分析及企业实际需求，实现企业办公流程全生命周期的管理，拟建设内容如下：

1) 建立企业CA服务账户，提供证书生命周期管理，包括：证书注册、证书服务功能、系统管理功能、帐号管理功能、策略管理功能、统计审计与日志功能和密钥管理功能等。

2) 建立统一身份认证平台，为企业提供单点登录、统一身份认证、统一授权、统一用户管理、统一审计监控等服务；

3) 建立基于电子签名应用的电子证明系统，对企业业务过程中各个业务系统产生的关键数据进行签名保存；

4) 建立SSL安全通道，保证企业客户端和服务器间数据传输安全。

5) 建立面向企业上下游供应链厂商的电子合同管理平台；

5.适用领域

5.1企业统一身份认证

为满足业务需求，统一身份认证平台设计如下图所示：

统一身份认证平台架构图

如上图所示，部署统一身份认证平台，实现企业用户单点登录、用户管理、身份认证、访问控制和审计监控等功能。

5.2企业无纸化应用：电子合同

（一）企业内部：采用电子合同进行人事合同签署，节省了大量的人力、物力成本。员工在手机端即可完成实名认证，手写签名，签署合同。

（二）企业外部：使用电子合同云平台服务，助力企业节省签署时间成本，释放企业竞争力。

5.3企业无纸化应用：电子招投标

本方案主要为招投标的网络化提供安全、可信的保障，利用数字证书认证体系与招标单位业务系统进行应用结合，从而实现采购、招投标平台的认证安全、敏感文件加密等。

• 招标方/投标方/评标专家

参与在线招投标交易活动的各方主体使用数字证书进行强身份认证，确保用户身份真实性和唯一性。对招标公告、招标文件、投标文件、开标记录、评标报告、中标通知书等电文实施可靠电子签名，确保招投标业务各个环节可被记录，不可篡改，保障数据完整。

• 对运营单位

通过可靠的数字签名等安全保障技术，保障招投标过程和结果具有法律上的不可否认性，避免招投标纠纷，提高自身信誉和经营收益。

5.4企业数据安全传输

企业用户访问后台应用服务采取SSL加密方式，避免了用户信息的泄露，及用户资料被窃取；双向及单向SSL加密方式，保证了用户身份安全认证及访问信息的加密；证书信息的快速分析、解析，支持直接以URL、Header方式向后台应用传送证书字段；多样化的后台服务器支持包含FTP，WEB，SNMP/POP3的网络协议。并可根据访问权限的控制，为用户设定不同的访问策略。

5.5移动安全办公

采用移动安全认证系统，实现在不依靠外部硬件设备存储的前提下实现对用户个人证书的保存，同时支持国密算法应用。

• 提供完善的安全策略保证客户个人证书安全，客户端集成插件具备加壳、加固、抗逆向分析和防反编译等安全条件；

• 符合运行过程安全，包括证书申请传输和交易加签验签过程都不存在任何与客户个人证书相关的临时数据，由此防范内存分析攻击风险；

• 加密服务支持国密算法。

6.应用案例

四川CA是权威公正的第三方电子认证服务提供商，是四川省统一数字认证体系的重要组成部分、四川省信息安全的重要基础设施，经过13年的发展，我们的成功案例如下：

▪ 大数据

1) 崇州大数据应用项目

▪ 智慧交通

1) 成都交警业务离柜办理平台

▪ 电子商务

1) 宏信证券网上交易系统

2) 中房北辰评估电子商务平台

3) 四川天府银行网银系统

▪ 移动应用

1) 成都市社保医保便民服务平台

2) 成都市电视台手机移动认证应用

▪ 企业内部信息化

1) 成都市工投集团协同办公系统

2) 成都市劳保局办公自动化系统

3) 成都市区域卫生平台

四川省数字证书认证管理中心有限公司

联系人：江鹏

电  话：18516298723