金蝶企业安全认证解决方案.ppt

1、内部公开 请勿外传版权所有1993-2012金蝶软件（中国）有限公司 内部公开 请勿外传报告人：孙天英职 位：售前咨询工程师金蝶企业安全认证解决方案内部公开 请勿外传P2天诚安信简介EAS/K/3安全需求分析CA安全解决方案介绍合作案例介绍商务机制内部公开 请勿外传P3天诚安信简介成立于2011年5月是北京天威诚信的全资控股子公司北京天威诚信成立于2000年9月公司核心价值观：秉承创新 平衡发展2005年获工信部批准，成为国内首家跨区域、跨行业的电子认证服务机构！内部公开 请勿外传P4天诚安信简介作为CA行业的唯一代表，参与中华人民共和国电子签名法的起草电子认证服务管理办法起草专家组成员之一负

2、责国标CA认证机构建设和运营管理规范的制订国家电子商务标准化总体组专家成员参与国家信息中心电子政务外网PKI/CA体系的规划，并提供CA运营管理咨询国内具有显著行业地位和最具影响力的CA认证中心内部公开 请勿外传P5天诚安信简介全国服务体系北京总部西南分公司 华南分公司华东营销中心宁波分中心河南分中心 内部公开 请勿外传P6天诚安信&金蝶合作EAS、K/3安全需求分析CA安全解决方案介绍合作案例介绍商务机制内部公开 请勿外传P7信息安全事故案例互联网应用案例1：国内互联网“脱库门”u千万用户名密码被盗；u用户信息泄露；u系统程序被破坏，数据丢失。案例2：危险的光大银行u钓鱼网站，用户资金被盗；

3、u用户网上银行资金被盗；u用户信息泄露。u 用户名、口令泄露，个人身份被冒用u 钓鱼网站的出现，服务器身份被冒用由于互联网的开放性和共享性，黑客技术的发展、网络用户的安全意识不到位等原因，导致个人、企业各种信息暴漏在公网中：内部公开 请勿外传P8信息安全事故案例企业内部应用案例1：中国人寿保单信息泄露案例2：公司邮箱被盗，13万美元 货款丢失u 企业机密信息、数据泄露 哪个公司没有自己核心的客户资料、内部机密的财务数据、或者研发配方、还有设计图纸、投资方案，这些数据，一旦由于内部监管不力，而轻易泄露给了竞争对手，对于企业将会是致命的打击、公司所做的努力将会没有任何意义。内部公开 请勿外传P9信

4、息安全事故案例资金系统应用案例1：XX公司资金系统出纳账号被盗案例2：XX公司资金系统管理员监守自盗u 信息、数据被篡改；u 内部监管不力，出现责任抵赖；u 缺乏有效的电子证据公司系统安全问题日益严峻，不仅需要对外进行安全防护，对内，需要进行权限分割、安全监控、保留责任追溯证据。内部公开 请勿外传P10EAS、K/3系统中存在的安全隐患EAS用户EAS用户集团企业 企业CA 防控系统如何确认用户身份？如何防止网络窃听？如何发现信息篡改？如何预防用户抵赖？内部公开 请勿外传P11EAS、K/3安全需求总结1、从技术层面 身份认证：提供安全级别比“用户名+口令高”的身份认证方式，保障身份真实性；数

5、据机密性：保障传输的资金数据（金额、银行账户)等不被他人盗取）。数据防篡改性：保障资金数据的真实性，不被他人篡改。2、从法律层面 中华人民共和国电子签名法：系统里的数据符合电子签名法，后期可提取相关数据进行取证，防止他人抵赖等行为；内部公开 请勿外传P12各种安全技术比较身份鉴证身份鉴证机密性机密性完整性完整性抗抵赖抗抵赖口令口令动态口令动态口令密码技术密码技术PKI/PKI/CACA内部公开 请勿外传P13CA法律依据电子签名法第十四条 可靠的电子签名与手写签名或者盖章具有同等法律效力。电子签名法第十三条电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属

6、于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。对数字证书应用过程的约束电子签名法第十六条电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。中华人民共和国电子签名法内部公开 请勿外传P14天诚安信&金蝶合作EAS、K/3安全需求分析CA安全解决方案介绍合作案例介绍商务机制内部公开 请勿外传P15什么是CA系统？什么是第三方CA机构？CACA是一套严密的数字身份认证系统是一套严密的数字身份认证系统 CACA和数字证书是密不可分的两个部分和数字证书是密不可分的两个

7、部分 CACA中心，它是负责产生、分配并管理数字证书的可信赖的第三方中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构权威机构 CACA系统由系统由RARA注册系统和注册系统和CACA签发系统组成签发系统组成 第三方第三方CACA机构机构 获得国家认可的第三方获得国家认可的第三方CACA中心中心 运营维护运营维护CACA系统系统 为用户发放符合法律效力的数字证书为用户发放符合法律效力的数字证书内部公开 请勿外传P16CA系统简介数字证书RA注册系统CA签发系统公安局派出所身份证CA系统公安系统内部公开 请勿外传P17EAS系统CA安全应用流程设计分公司用户制作单据审核单据支付外网总

8、部用户登录EAS资金系统银企网关登录登录制作单制作单据据审核单审核单据据支付支付签名验签双重认证单据电子签名签名数据存储单据验签单据签名签名存储单据验签单据签名签名存储网银网银服务器身份识别加密传输通道 单据签名验签内部公开 请勿外传P18EAS系统托管型CA解决方案EAS资金系统总部用户分公司用户InternetESAESA银企网关银行Internet局域网天诚安信数字认证中心企业子CA系统企业RA管理员RA系统（硬件锐风）内部公开 请勿外传P19托管型CA方案涉及的产品和服务u 天诚安信CA系统（最多100个用户）在天诚安信数据中心国家CA根下面建立客户独立托管子CA系统；用户管理员可以通

9、过本地RA系统（硬件锐风服务器），安全便捷的发放数字证书。uESA电子签名应用服务器1、在用户的系统中实现身份认证、数字签名、数据加解密等功能u数字证书（有效期为一年）1、员工数字证书2、RA管理员数字证书u存储数字证书的USBKeyu技术实施支持 包含系统搭建、集成、培训等u软件系统维护服务 第一年免费，第二年开始收费内部公开 请勿外传P20EAS系统自建型CA解决方案EAS资金系统总部用户分公司用户InternetESAESA银企网关银行Internet局域网企业RA管理员企业CA系统内部公开 请勿外传P21自建型CA方案涉及的产品和服务u天诚安信CA系统（500/1000用户）1、CA签

10、发系统（软件）2、RA注册系统（软件）uESA电子签名应用服务器1、在用户的系统中实现身份认证、数字签名、数据加解密等功能u存储数字证书的USBKey 具有加密芯片储存和保护证书安全的介质u技术实施支持 包含系统搭建、集成、培训等u软件系统维护服务 第一年免费，第二年开始收费内部公开 请勿外传P22EAS两种解决方案对比CA建设模式建设模式建设方式建设方式应用场景应用场景合法合规性合法合规性托管型托管型企业内部只需建设本地RA，即可下载证书（初期投入少）完全符合电子签名法要求，并且具有相关的资质证明企业企业自建自建型型企业内部需要建设一套完整的CA系统，用以下发数字证书（初期投入较大）合法合规

11、性较弱，但在身份认证、数据加密、数字签名、抗抵赖的功能仍然可以实现。内部公开 请勿外传P23CA安全解决方案设计EAS系统：u 托管型CA解决方案u 自建型CA解决方案K/3系统：u K/3 Cloud公有云CA解决方案u K/3 Cloud私有云CA解决方案u K/3 Wise系统CA解决方案内部公开 请勿外传P24CA解决方案之K/3 Cloud公有云K/3 Cloud（公有云）财务会计成本管理生产管理HR管理供应链管理ESA（电子签名应用服务器）RA APIRA系统金蝶K/3子CA系统互联网金蝶K/3云服务中心天诚安信CA运营中心A企业用户B企业用户C企业用户互 联 网u CA系统：本地

12、RA（RAAPI方式）；u 创建独立子CA：K/3子CA系统u 证书发放：在线审批、集中制作；u 证书类型：VTN服务器证书，企业/员工证书；u 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控。内部公开 请勿外传P25CA解决方案之K/3 Cloud公有云K/3 Cloud（公有云）财务会计成本管理生产管理HR管理供应链管理ESA（电子签名应用服务器）RA系统金蝶K/3子CA系统互联网金蝶K/3云服务中心天诚安信CA运营中心A企业用户B企业用户C企业用户互 联 网u CA系统：本地RA（RA+CKS方式）；u 创建独立子CA：K/3子CA系统u 证书发放：在线审批

13、、集中制作；u 证书类型：VTN服务器证书，企业/员工证书；u 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控。CKS系统内部公开 请勿外传P26CA解决方案之K/3 Cloud私有云u CA系统：自建CA系统；u 证书发放：在线审批、集中制作；u 证书类型：VTN/CTN服务器证书，企业证书、员工证书；u 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控。K/3 Cloud（企业私有云）财务会计成本管理生产管理HR管理供应链管理企业本地集团用户分子公司供应商互联网其他内网企业自建CA系统ESA（电子签名应用服务器）内部公开 请勿外传P

14、27CA解决方案之K/3 WISEK/3 Wise金蝶K/3子CA系统内网用户分子公司出差人员互联网内网企业本地天诚安信CA运营中心ESA（电子签名应用服务器）u CA系统：自建CA系统；u 证书发放：在线审批、集中制作；u 证书类型：VTN/CTN服务器证书，企业证书、员工证书；u 证书集成：ESA与K/3 Cloud深度集成，实现登录、关键业务节点CA管控。内部公开 请勿外传业务应用-（一）设置登录认证节点设置用户CA认证方式内部公开 请勿外传业务应用-（一）身份认证*内部公开 请勿外传业务应用层面-（二）客商资料管理内部公开 请勿外传设置业务节点二次CA认证内部公开 请勿外传业务应用-（

15、三）单据制作内部公开 请勿外传业务应用-（四）单据审核内部公开 请勿外传业务应用-（五）支付确认内部公开 请勿外传P35天诚安信CA构建K/3系统安全体系 用户身份认证：采用证书认证方式服务器身份：发放服务器证书信息加密：保障信息机密性信息签名：防止操作行为抵赖证书法律效力：提供法律效力高的第三方证书服务法律层面技术层面有效的电子证据：电子签名数据符合中华人民共和国电子签名法，可用于后期取证信息验签：保障数据的真实性，防止被他人篡改天诚安信完全解决了EAS/K/3系统中的安全风险！内部公开 请勿外传P36天诚安信&金蝶合作EAS/K/3安全需求分析CA安全解决方案介绍合作案例介绍商务机制内部公

16、开 请勿外传P37案例分析中国铁建（自建型CA）中国铁建（简称CRCC)有29家分子公司分部在全国,CRCC为了提高工作效率和管理效率，建立了自己的企业应用中心平台（单点登录），即将HR、COM、B2B、LCM、IS等系统的功能模块集成到一个平台上进行访问和管理，达到数据、资源的共享及统一管理功能。但是由于互联网的开放性和共享性，给各业务系统的访问，操作带来许多信息安全隐患，从管理便宜性上、性价比上考虑，最终CRCC采用了自建CA系统来保障应用的安全。内部公开 请勿外传P38案例分析万科集团（托管型CA）方案实现的功能：u使用数字证书替代原有“用户名+口令”，实现强身份认证；u实现双向SSL加

17、密通道，保障数据的机密性；u采用电子签名技术，实现数据防篡改性，并且提供合法合规的电子证据；u对系统内关键业务流程节点进行CA管控（如编制、审批、支付），保障业务流程安全性；u提供有效的电子证据，可做法律依据。方案设计：万科集团选择采用天诚安信的符合中华人民共和国电子签名法要求的企业员工客户端数字证书及电子签名应用服务器ESA（即托管型CA模式）共同实现集团资金管理系统的安全可控性。内部公开 请勿外传P39天诚安信&金蝶其他部分案例深圳市城市建设开发集团广东海大集团山东丰源煤电股份有限公司许继集团有限公司光明食品集团有限公司皖西制药集团项目数字证书深圳茂业商厦有限公司厦门住宅集团白天鹅宾馆TC

18、L财务公司工商银行OEM自建CA项目新希望新厦门轨道交通集团有限公司广东宏大爆破股份有限公司山西煤销集团长治有限公司河北钢铁集团敬业钢铁有限公司中国南山开发(集团)股份有限公司广西柳州钢铁（集团）公司康顺汽车上海纺织（集团）有限公司中国铁建股份有限公司江西省天然气投资有限公司合肥供水集团有限公司万科企业股份有限公司安徽省农垦集团厦门特区房地产集团资金CA认证厦门经济特区房地产开发集团有限公司江西投资燃气有限公司内部公开 请勿外传P40CA营销优势 技术上：强身份认证、数据机密性、完整性和抗抵赖性 法律上：符合中华人民共和国电子签名法功能完善 实施周期短：一周左右 实施成本低：已在EAS中集成接

19、口，无需反复测试 项目验收：容易与EAS无缝集成 专门的集成团队：负责EAS每个版本集成测试 产品稳定运行：已有多个成功案例稳定运行 一次建成，可用于多个应用系统 如：EAS、OA、供应链、招投标、Email应用场景多内部公开 请勿外传P41天诚安信项目生命周期流程售前阶段项目实施售后服务运维管理服务u 售前团队u 文档输出文档输出u 效果演示u 项目团队u 实施计划实施计划u 实施方案u 项目培训u 项目发布u。u 服务体系u 服务质量控制服务质量控制u 事件响应时间u 售后服务网点u 售后服务内容u CA运营中心u 人员安全人员安全u 场地安全u 系统安全内部公开 请勿外传P42天诚安信&

20、金蝶合作EAS/K/3安全需求分析CA安全解决方案介绍合作案例介绍商务机制内部公开 请勿外传P43天诚安信&金蝶合作历程 国内一流的管理软件企业金蝶集团与天诚安信的强强联手，为金蝶客户在身份认证与数据安全方面提供了强大的解决方案，有效的解决了集团企业信息安全中的重要隐患。07年双方正式签署战略合作协议，07年10月在中国一拖财务公司项目上首度携手。促进了用户的应用安全，达到了双盈、多盈的局面。天诚安信与金蝶系统能达到系统无缝结合,无需进行额外的系统开发,只需简单的配置修改,支持金蝶各个版本的证书应用内部公开 请勿外传P44商务机制托管型模式报价范例释：左侧图片为托管模式默认报价项，右侧上图需根

21、据实际用户数报价，假设一EAS客户有100用户需要使用证书登陆EAS系统：报价=左侧图中项+企业员工数字证书单价*100+Usbkey单价*100内部公开 请勿外传P45商务机制自建型模式报价范例释：左侧图片为自建型模式默认报价项，右侧上图需根据实际用户数以及用户需求报价，假设一EAS客户需要上一套自建型CA系统（600用户）：报价=左侧图中三项+Usbkey单价*实际需要key个数+100license包单价+加密卡（可选）软件服务年费一般按照左侧图中第一项费用的10%收取内部公开 请勿外传P46商务机制奖励计划2013年奖励计划亮点：1、报备有奖2、成单有奖3、直销、分销都有奖励详情直接咨询金蝶系统集成部内部公开 请勿外传Thanksterima kasih感謝谢谢 版权所有1993-2012金蝶软件（中国）有限公司 内部公开 请勿外传