电子签名及原始凭证电子化解决方案

财务管控系统电子署名及原始凭证电子化解决方案2023年7月目录31111目录 2212431、背景 3206812、应用现状 3321462.1广西财务管控应用情况 3303472.2安全需求 4306742.3扩展需求 4125043、电子署名 427903.1定义 4313113.2功能 4195903.3原则 5268763.4原理及流程 6156143.4.1实现原理 6237353.4.2署名流程 788283.5、解决方案 7148013.5.1身份认证 7295943.5.2认证集成 9229993.5.3PKI/CA集成 10295763.5.4安全设计 11275653.5.5数据存储 13297654、原始凭证电子化 1613674.1应用需求 1660774.2目的思绪 16320374.3解决方案 18283684.3.1文献归集 1833564.3.2集中存储 1934604.3.3智能辨认 2068674.3.4文献查询 2097264.4应用价值 2238765、配合事项 2220286、服务支持 22

1、背景随着政府及各事业单位信息化管理理念提高和自身经济的发展，各大中小型企事业单位急需将信息化系统与其业务深度结合，信息化的安全性保障必将是下一步信息系统进一步应用的重点。而作为各类业务系统中保障信息化安全性的重要环节――电子签署名越来越多的被进一步应用。电网公司资金量大，流动频繁，在业务审批环节加强安全节点控制，更加显得尤为重要。目前广西电网已经进一步使用了远光财务管控系统，在各业务部门进行单据流转以及财务集中审批的过程中，为进一步提高系统安全管理，除建立严密有效的内部审批制度，完善内部审批程序外，更加需要同步在信息系统中保证资金业务的安全、高效，防范风险；在现有安全模式基础上，特引入电子署名安全机制，加强审批环节安全节点的控制。2、应用现状2.1广西财务管控应用情况从2023年12月1日至2023年1月20日，广西电网已顺利完毕了财务管控系统在南宁、柳州供电局的试运营工作。在试点单位成功上线运营的基础上，公司于2023年1月20日启动了其余12个供电局和1个运维局的系统上线工作，截至2023年8月底，已将系统试运营范围延伸至4个分公司、7个直属单位与44个县级供电公司，系统使用范围覆盖母公司范围内及县级供电公司所有单位。截至目前，广西电网已完毕了所属69家单位的资金系统上线运营工作，初步实现涵盖资金监控与调度、计划与执行的全过程管理的基础。2023年将以资金“收支两条线”为管控基础，以银行账户标准化、资金流程信息化、安全检查常态化为着力点，充足运用资金调度与监控系统等信息化手段，全方位开展资金全过程管理。对管控系统在安全和效率方面提出了更高的规定。2.2安全需求作为全网资金调度与监控平台，安全性应当是系统建设的首要考虑因素之一。目前重要是通过用户名及密码，以及权限控制用户操作，虽然系统内部也有很严格的数据逻辑控制，但是从风险防范的角度来看，风险值设立还是相对较低，系统安全机制尚有很大的提高空间，在加强风险控制方面，建议在引入第三方认证软件，保证资金数据的安全。2.3扩展需求2023年是广西电网公司“管理提高年”，结合公司经营特点及资金管理现状，以“保安全、提效益、促发展”为核心的指导思想为指导，在保障资金安全的前提条件下，提高资金使用效率，也显得尤为重要。所以本文将就电子署名和原始凭证电子化展开论述，并提供具体的解决方案。3、电子署名3.1定义电子署名是指数据电文中以电子形式所含、所附用于辨认署名人身份并表白署名人认可其中内容的数据。通俗点说，电子署名就是通过密码技术对电子文档的电子形式的署名，并非是书面署名的数字图像化，它类似于手写署名或印章，也可以说它就是电子印章。3.2功能（1）对电子文档进行电子签章、手写署名、键盘批注，保证电子文档的完整性；（2）假如文档被修改，电子签章会通过界面的变化(变灰)来提醒用户文档不可信；（3）可以设定电子印章的打印方式，保证打印文本不受电子印章影响；（4）通过硬件EKEY盖章来进一步提高安全性；（5）服务器端集中管理电子印章和EKEY，保存印章和EKEY来源的可靠性；（6）服务器端用户印章和EKEY权限系统，可以设定用户使用印章和EKEY的权限，保证用户的合理应用权限；（7）服务器端的电子印章日记和审计系统；（8）客户端用户登录可采用用户名密码方式或强制使用EKEY登录方式；（9）客户端验证电子印章时，不仅验证文档印章，还可和信任服务器存储记录进行比对，验证印章的操作合法性；3.3原则由于电子署名的形式具有多样性，因采用的技术方案不同，其可靠性、对的性、稳定性也许会有较大的不同，因此导致了其法律效力也不应在同一水平上。而“功能等同原则”可以较好地解决这一问题，其基本模式有三个：第一，只有符合一定条件的电子署名才具有与传统署名同等的法律效力;第二，不同模式和特性的电子署名以其稳定性、可靠性、真确性为标准相应不同的法律效力;第三，达成相应规定的电子署名即可具有与传统署名等同的法律效力，而不管具体的技术解决方案是什么。以此作为判断电子署名是否具有法律效力的依据，减少了电子技术的多样性对电子署名效力导致的不稳定影响。3.4原理及流程3.4.1实现原理3.4.2署名流程3.5、解决方案远光财务管控系统，在公司内部进行业务单据流转传递时候引入电子署名，在客户端签章用户使用盖章工具盖章时，印章来源都是从所连接的信任服务器中数据库调来，且每一个独立的用户都使用自己唯一的KEY证书，从而保证了印章来源的可靠性，安全性，可信性。3.5.1身份认证身份认证方案采用以智能卡（或USBKEY）为存储介质的基于数字证书的身份认证方式。这种方式具有明显的优点：采用基于公钥密码体制的CA数字证书认证机制，是目前所公认的最安全的身份认证方式之一，并且技术成熟，具有通用的国际标准。采用智能卡（或USBKEY）作为数字证书的存储介质。设备可以在内部进行密码运算，不允许将用户私钥导出和复制，并且带有PIN保护，能有效抵御蛮力尝试。在使用上，目前大多数的计算机都有USB接口，此类设备的使用简朴方便。（3）采用基于数字证书的身份认证方式，可以实现双因素认证的需求，袭击者假如想冒充合法用户的身份进入系统，不仅需要窃取到存储用户私钥的存储介质，还需要知道保护用户私钥的PIN码，而PIN码的尝试一般只有三次，这种双因素认证机制可以大大提高认证的安全强度，也会使得身份冒充变得更加困难。身份认证过程环节：①用户将USBKEY插入客户端机器，客户端机器自动从USBKEY中读取用户名；②客户端将USBKEY的ID号和用户名发给服务器并请求服务器对用户进行身份认证；③服务器产生一个随机数并发往客户端；④客户端将收到的随机数发给USBKEY；⑤使用USBKEY中的私钥对收到的随机数进行署名操作，并将署名结果发回客户端；⑥客户端将署名结果连同USBKEY中存储的数字证书发送到服务器端；⑦服务器端使用接受的数字证书对客户端发送的署名结果进行验证，假如验证通过就认为用户的身份合法，否则用户不合法；⑧服务器完毕对用户的身份认证以后，根据服务器端配置的用户权限表给用户分派权限，假如用户具有审批业务单据的权限，则允许用户进行审批，否则拒绝；⑨服务器端将用户身份的认证结果和访问权限结果发给客户端。⑩客户端根据身份认证结果和访问权限的结果允许或者拒绝用户。3.5.2认证集成财务管控模块支持两种方式的用户身份认证：基于用户口令的方式和基于身份令牌的方式。为方便与其他安全系统服务集成，进一步增强信息安全级别，财务管控模块提供了“第三方用户适配接口”，通过定制相关的适配器并动态配置，快速完毕涉及LDAP服务器在内的用户身份认证服务的集成；借助于更加专业的安全产品服务，从而更好地满足客户所需的用户身份认证方式和鉴别强度。目前财务管控模块已提供多个国内外公司的相关适配器，涉及LDAP目录用户适配器（IBMTivoliDirectoryServer、MicrosoftActiveDirectory等）、吉大正元南开目录服务适配器、江南PKI用户适配器，安达通SUREID用户适配器。以上适配器可通过财务管控模块的管理控制台进行配置，如下图：3.5.3PKI/CA集成财务管控模块通过“PKI/CA数字署名验证接口适配器”,与特定PKI/CA产品服务集成，完毕数字署名及署名验证，目前系统已经与多家国内PKI系统集成并使用。通过集成PKI/CA，使用数字署名技术，达成系统数据的完整性和操作的不可否认性，满足【中华人民共和国电子署名法】所规定的安全标准。财务管控模块已经提供“天威诚信”和“上海格尔”PKI数字署名验证适配器，可以在财务管控模块管理控制台中配置，见下图。3.5.4安全设计资金运营作为财务管控的一个核心模块，在财务管控整体安全设计的基础上增长了相关安全功能，重要体现在先进的数字署名保证及多重电子署名，服务器证书安全保障、多重证书、个人证书绑定、署名字段扩展、业务种类ID保障、专用网络、HTTPS传输、完善的安全测评体系等。数字署名保障财务管控电子署名认证采用中国金融认证中心（CFCA）统一认证授权颁发的电子署名许可，为目前国内主流的电子署名认证体系。电子署名是指数据报文中以电子形式所含、所附用于辨认署名人身份并表白署名人认可其中内容的数据。电子署名就是通过密码技术对电子文档的电子形式的署名，数字署名技术以加密技术为基础，数字署名技术的核心是采用密码技术的加、解密算法体制来实现对文献的数字署名，从而实现交易的不可抵赖性和安全性服务。多重署名安全系统提供多重电子署名，支持同一业务流程多人署名，只有所有署名数据产生且对的的情况下款项才允许被通过。多重署名就是多个用户对同一个消息进行数字署名，根据署名过程的不同，目前多重署名方案采用的是有序多重数字署名，即在同一署名流程中必须保证每个署名操作都对的署名且整个署名的顺序对的。如下图，此署名流程为五个署名节点，只有此五个节点都署名对的并且署名的前后顺序对的才干保证系统产生署名数据，最终才干审批完毕，任何一个环节假如中间署名数据不对的，单据将无法进行到下一个岗位。服务器证书安全CFCA发放的服务器数字证书文献可携带30-40字节长度的扩展信息，这些信息在证书发放完毕后,具有不能修改和删除的特性。根据这个特性，在服务器证书发放时，将财务管控系统服务器指定硬件的“唯一标记码”(如：MAC地址信息、CPU串号等)存储于扩展信息中；在服务器证书使用时，通过财务管控系统程序调用服务器指定硬件的唯一标记码与证书所携带的扩展信息进行对比验证，以保证该服务器证书与服务器硬件一一绑定。财务管控系统采用CFCA提供的工具包及“调用方法”完毕对所发放的服务器证书“扩展域名”信息提取，并与服务器指定硬件的“唯一标记码”进行验证判断，以保证此证书所绑定的服务器信息与系统使用服务器信息具有一致性。财务管控系统通过采用CFCA提供的工具包，读取证书文献里存储的“扩展域名”信息，与服务器指定硬件“唯一标记”进行匹配验证。多重证书保障体系财务管控涉及到多重证书验证，重要涉及财务管控客户端个人证书、财务管控服务器证书。财务管控个人证书署名数据需要与服务器证书进行校验，只有与服务器证书匹配的署名数据才允许接受，非法数据在服务器证书校验时不被通过。其中财务管控个人证书为硬证书，与个人身份认证进行一一匹配，只有拥有此证书权限的用户才可以正常使用此证书。财务管控服务器证书为.PFX电子文献，在管控服务器上与硬件唯一标记绑定。个人证书与职工校验财务管控提供了个人证书与职工身份信息校验功能，即个人证书Ukey固化的DN号与财务管控职工身份信息进行匹配，只有此操作员相应自己的Ukey才干进行电子署名，否则系统不予通过。保证了用户即使知道个人证书密钥的情况下，也必须要本操作员才干进行署名操作，即受财务管控系统操作员及个人证书双重约束下的安全保证。3.5.5数据存储保存敏感数据的密文财务管控模块初始化时，自动在指定工作磁盘目录中创建密钥文献，生成随机密钥作为对称加密密钥。密钥文献中的密钥重要用于数据库中敏感数据的加密，密钥文献的安全性则由操作系统安全级别保证。对于用户密码信息以3DES加密密文保存在数据库，见下图。数字署名保证数据的完整与不可否认财务管控模块中，对于单据凭证的数字署名信息均保存在数据库大字段中，即使数据库中单据/凭证表中的相关字段信息被非法修改，也可通过大字段中的数字署名信息进行验证。“单据/凭证”数字署名以传递流程中的岗位为单位进行设立，即在单据/凭证审批流程功能中，通过度别设立相关流程岗位权限中的“数字署名”部分；在启用数字署名功能时，可以设立对单据/凭证中的哪些数据项目进行数字署名(如下图)，一般选中所有数据项目。启用数字署名功能后，在传递单据/凭证时，假如当前岗位需要数字署名时，会规定用户插入USBKey等类似介质进行数字署名，若存在多个有效证书时，弹出如下图所示窗口选择证书。客户端完毕数字署名后，服务端保存单据/凭证数据前，假如数字署名验证失败，则显示如下图所示信息。在审核单据/凭证时，假如上一环节的数字署名信息没有验证通过，则不允许继续向下传递。财务管控模块中单据凭证的数字署名技术实现环节如下：（1）财务管控模块根据设立参数，把业务数据组成xml字符串内部表达；（2）对内部生成的xml字符串进行数字署名，生成PKCS7格式数据；（3）财务管控模块服务端验证署名数据是否合法，若合法，保存署名数据至数据库；（4）传递或显示单据凭证时，验证数字署名是否合法；4、原始凭证电子化4.1应用需求信息技术的发展，使信息系统朝着“无纸化”、“自动化”、“智能化”的方向发展。而要达成相应目的，在充足考虑与结合广西财务管控系统应用实际的情况下，一方面应解决纸质凭证信息孤立的问题，实现传统纸质凭证向电子化的方向的演变。4.2目的思绪为全面提高电子文献管理水平，针对电网公司大量的原始凭证，需要对电子文献管理工作实行统筹规划，统一管理。对电子文献形成、办理、传输、保存、运用、销毁等实行全过程管理，保证电子文献始终处在受控状态。制定统一标准和规范，对电子文献实行规范化管理，发挥电子文献高效、便捷的优势，对有价值的电子文献实行集中管理，提供分层次、分类别共享应用，并按照国家有关法律法规和规范标准的规定，采用有效技术手段和管理措施，保证电子文献信息安全。针对广西电网目前应用情况，并结合公司整体产品规划与开发实际，原始凭证电子化建设考虑分为两个阶段：第一阶段：完毕原始凭证的扫描；业务单据（凭证）完毕后的原始凭证补充上传；存储和文献查询检索功能。将各类型发票、文献等原始凭证通过扫描或摄像终端转换为信息系统中的电子数据，在业务解决中可方便、快捷查询和审计各业务发生的原始票据，提高公司信息化管理水平；通过电子文献的统一存储和管理，发挥电子文献高效、便捷的优势，共享应用公司有价值的电子文献。第二阶段：完毕原始凭证的OCR辨认，并将辨认出的信息写入业务单据中；文档分类及权限管理。实现原始凭证的OCR辨认，将图片等信息转换为计算机可解决的文本信息，并可将辨认出的信息生成管控业务单据，方便用户快捷解决业务，可根据OCR辨认信息进行查询检索原始凭证。实现原始凭证分类管理，方便用户管理和检索原始凭证；可按分类及文档进行权限管理，提高原始凭证数据安全管理水平。以上的系统实现必须依赖于外部扫描、影像设备的功能支持，目前管控系统已经支持的相关设备型号如下：设备类型品牌型号备注扫描仪富士通Fi6230Z驱动支持这一品牌的若干种型号，测试型号为Fi6230Z。高拍仪精易拍wx-500驱动支持这一品牌的若干种型号，测试型号wx-500。扫描仪HP惠普HPscanjet5590包含支持HP其他主流扫描设备扫描仪佳能9000F包含支持佳能的其他主流扫描设备高拍仪深圳良田S300D驱动支持这一品牌的若干种型号，测试型号S300D。4.3解决方案实现电子文献的收集、辨认、查询和存储，与公司业务系统紧密集成，加强对非结构化数据的规范管理和高效运用。4.3.1文献归集业务申请和审批过程中按流程、按节点随需扫描或上传原始电子文献，实现原始资料的动态收集。业务单据或凭证完毕后，可补充或修改上传原始凭证。4.3.2集中存储实现与非结构化数据中心的集成，将原始凭证集中存储，统一管理和调用。支持多种格式存储：.j