天威诚信为天威诚信为天威诚信为天威诚信为用友用友用友用友U8客户客户客户客户信息信息信息信息安全安全安全安全保驾护航保驾护航保驾护航保驾护航((((V1.0))))北京天威诚信电子商务服务有限公司2008年6月用友U8与天威诚信数字证书结合方案目录北京天威诚信电子商务服务有限公司2008年6月iTrusChinaCo.,Ltd目目目目录录录录一一一一、、、、概述概述概述概述.................................................................................................................................1二二二二、、、、U8系统需求分析系统需求分析系统需求分析系统需求分析...........................................................................................................2三三三三、、、、U8数字认证方案的优势数字认证方案的优势数字认证方案的优势数字认证方案的优势...............................................................................................3四四四四、、、、针对针对针对针对U8的的的的CA部署模式部署模式部署模式部署模式..............................................................................................54.1第三方托管CA服务......................................................................................................54.1.1概述......................................................................................................................54.1.2第三方托管CA模式..........................................................................................64.2企业自建CA系统..........................................................................................................74.2.1概述......................................................................................................................74.2.2系统构成..............................................................................................................84.2.3系统功能..............................................................................................................9五五五五、、、、CA认证运行环境建议认证运行环境建议认证运行环境建议认证运行环境建议................................................................................................116.1完全托管模式................................................................................................................116.2本地RA模式................................................................................................................116.3自建型CA认证系统....................................................................................................12六六六六、、、、天威诚信介绍及案例天威诚信介绍及案例天威诚信介绍及案例天威诚信介绍及案例...................................................................................................137.1天威诚信介绍................................................................................................................137.2与用友的成功案例........................................................................................................17用友U8与天威诚信数字证书结合方案第1页共18页北京天威诚信电子商务服务有限公司2008年6月iTrusChinaCo.,Ltd一一一一、、、、概述概述概述概述天威诚信数字认证中心是由北京天威诚信电子商务服务有限公司运营管理的全国性CA认证中心,是信息产业部批准的商业PKI/CA试点企业,也是《中华人民共和国电子签名法》颁布后,首批获得国家许可的电子认证服务机构。天威诚信拥有多年的行业实践经验、完整的产品解决方案、专业可靠的运营管理团队,能够为客户提供完善的规划咨询,帮助客户构建完整的电子认证体系,通过电子签名、加密技术实现客户信息系统间的协作和集成,有效提升了系统的安全等级,保障了数据的不可抵赖。作为电子认证行业的代表,天威诚信参与了国家相关部门对电子认证服务业体系规划,同时在国家质量技术监督局的领导下,参与了《CA中心建设和运营管理规范》等制定工作。在《中华人民共和国电子签名法》的起草过程中,天威诚信作为业界最为规范的认证中心,积极配合相关单位的立法工作,并作为专家参与了《电子认证服务管理办法》的起草工作。天威诚信数字认证中心作为国内知名的电子认证服务提供商,致力于为公众提供全面的电子认证服务,可以保障客户ERP、CRM、资金管理、OA、网上支付、网上交易、Web站点、Email等等企业内部应用、电子商务和电子政务应用安全。用友软件产品致力于企业各组织间以及企业与供应商、客户、合作伙伴在信息共享的基础上的协同工作。用友ERP-U8是一套企业级的解决方案,满足不同的竞争环境下,不同的制造、商务模式下,以及不同的运营模式下的企业经营,实现从企业日常运营、人力资源管理到办公事务处理等全方位的产品解决方案。用友ERP-U8是以集成的信息管理为基础,以规范企业运营,改善经营成果为目标,帮助企业“优化资源,提升管理”,实现面向市场的赢利性增长。作为用友软件2007年杰出产品合作伙伴,天威诚信将为用户ERP-U8系统提供安全领先的信息安全解决方案。在以下的章节,我们将集中讨论在用友ERP-U8系统中存在的信息安全风险,并提出天威诚信的安全解决方案。用友U8与天威诚信数字证书结合方案第2页共18页北京天威诚信电子商务服务有限公司2008年6月iTrusChinaCo.,Ltd二二二二、、、、U8系统系统系统系统需求分析需求分析需求分析需求分析用友ERP-U8是一个企业综合运营平台,用以解决不同满足各级管理者对信息化的不同要求:为高层经营管理者提供大量收益与风险的决策信息,辅助企业制定长远发展战略;为中层管理人员提供企业各个运作层面的运作状况,帮助做到各种事件的监控、发现、分析、解决、反馈等处理流程,帮助做到投入产出最优配比;为基层管理人员提供便利的作业环境,易用的操作方式实现工作岗位、工作职能的有效履行。可以说拥有U8以后,企业所有的信息化数据都在U8系统中保存和流转,这就对U8系统的安全提出了更高的要求,众多的用户在U8的日常使用中,归结起来,安全需求主要有以下几个方面:身份认证和访问控制身份认证和访问控制身份认证和访问控制身份认证和访问控制::::U8系统必须严格控制并识别用户的身份,登录到U8系统的必须是相关业务人员,系统必须对登录人的身份需求做严格的身份认证控制,在目前U8系统普遍采用的“用户名、密码”无法达到高强度的系统身份认证要求;信息信息信息信息机密性和机密性和机密性和机密性和完整性完整性完整性完整性::::U8系统是开放的业务平台,业务数据一般在网络上(有的U8用户的业务数据甚至在互联网传递)传输,业务平台数据的重要性要求系统采用相应的安全机制,保证业务系统数据(尤其是业务的关键数据)的机密性和完整性,保证数据在网络传输中不能被窃取和篡改,目前U8系统缺乏强有力的信息数据机密性和完整性保障机制;我们分析的以上信息安全需求,都可以通过在U8系统部署PKI/CA数字认证产品解决。下面我们介绍PKI/CA方案的优势和CA系统的部署模式,客户根据自身的情况选择合适的CA服务形式,部署一个既符合U8系统安全要求,又满足法律法规要求的PKI/CA系统。用友U8与天威诚信数字证书结合方案第3页共18页北京天威诚信电子商务服务有限公司2008年6月iTrusChinaCo.,Ltd三三三三、、、、U8数字认证数字认证数字认证数字认证方案的方案的方案的方案的优势优势优势优势通过上面的分析,在U8业务平台中存在的信息安全风险,就是天威诚信U8数字认证安全解决方案的主要关注点,即通过基于PKI的数字认证技术,为为为为U8客户提客户提客户提客户提供用户安全身份认证供用户安全身份认证供用户安全身份认证供用户安全身份认证、、、、信息加密和信息加密和信息加密和信息加密和信息信息信息信息完整性保护及信息数字签名抗抵赖保护等完整性保护及信息数字签名抗抵赖保护等完整性保护及信息数字签名抗抵赖保护等完整性保护及信息数字签名抗抵赖保护等安全安全安全安全功能功能功能功能。用友用友用友用友ERPERPERPERP----U8U8U8U8系统系统系统系统已经成功集成了天威诚信的数字证书接口已经成功集成了天威诚信的数字证书接口已经成功集成了天威诚信的数字证书接口已经成功集成了天威诚信的数字证书接口,因此,基于U8系统构建的企业财务管理、集团应用、客户关系管理、供应链管理、生产制造、分销管理、零售管理、决策支持、人力资源以及OA等应用中,可以直接使用天威诚信提供的数字证书功能,系统不必作任何改动系统不必作任何改动系统不必作任何改动系统不必作任何改动,,,,只需要部署天威诚信的只需要部署天威诚信的只需要部署天威诚信的只需要部署天威诚信的数字数字数字数字证书功能证书功能证书功能证书功能实现实现实现实现代码代码代码代码就可以完成对U8系统的证书应用改造。改造完成后,能够为U8系统提供基于数字证书的以下安全保护:基于基于基于基于数字证书的数字证书的数字证书的数字证书的U8安全安全安全安全登录登录登录登录登录U8系统时,将用数字证书替换掉原有安全级别较低的“用户名/口令”登录方式,用户需要在计算机插入USBKEY,使用USBKEY登录U8系统;防止非