(完整版)集团企业可信身份管理解决方案20100624

天威诚信数字认证中心北京天威诚信电子商务服务有限公司集团企业可信身份管理解决之道可信身份管理必要性可信身份管理解决之道Outline议程可信身份管理解决之术整体规划分步实施成功案例可信身份管理必要性—人员管控

信息化建设的基础设施建设阶段；

通过网络的互联，各终端设备在局域网内互通互联；通过互联网，不同的局域网，局域网和个人终端互通互联；网络层安全是保证网络资源合法使用的保障手段。

信息化建设的应用系统建设阶段；

通过应用系统提高业务运营效率；

随着不同业务对信息化的需求，应用系统的数量快速增加；应用安全形式简单，各自为政。

对网络资源和应用资源进行统一分配使用；

对使用网络资源和应用资源的人员进行统一标识；

对人员制定统一的安全策略。

对人员进行统一身份认证；对具有合法身份的人员在使用资源过程中进行监控；对进入系统资源的身份进行证据的保全；通过取证保证所有身份行为的可追溯。网络建设阶段应用系统建设阶段可信身份管理人员管控阶段人员管控将是企业信息化发展的一个必然阶段网络系统资源应用系统资源可信身份管理必要性—可信身份人员标识认证授权操作记录审计可信身份通过第一和第二阶段的建设，形成信息的网络和应用资源。而最终使用这些资源的是人员。对人员的合理管控，使得资源得到最好的使用，从而达到资源投入效率最大化。通过对人员进行统一的标识，统一的认证，统一的授权；以及通过对人员在使用资源过程中行为的记录和审计，达到对人员可信身份的管理。可信身份是作为人员管控的基础理念可信身份管理必要性可信身份管理解决之道Outline议程可信身份管理解决之术总体规划分步实施成功案例可信身份管理解决之道—管理模型结果管理过程管控身份管理人员对身份、过程和结果的管理将会形成完整的可信身份管理闭环可信身份管理解决之道—必要环节操作前操作中操作后鉴别标识映射授权认证操作记录审计流程方法集中在集团企业大环境下，围绕人员管理的必要环节无处不在贯穿人员操作前、操作中、操作后可信身份管理必要性可信身份管理解决之道Outline议程可信身份管理解决之术总体规划分步实施成功案例可信身份管理解决之术操作前鉴别标识映射授权咨询服务iTrusCA/iTrusCKS

iTrusUTS

鉴别是通过规范、标准和严谨的流程来实现可信身份管理解决之术—可信身份咨询服务1应用支撑技术服务234567`8运营管理团队建设咨询服务运营场地建设咨询服务运营管理技术服务安全与审计技术服务安全应急技术服务认证业务声明（CP/CPS）技术服务符合性评定技术服务（一）启动鉴证服务启动鉴证任务（二）客户在线注册（三）实施鉴证流程（四）在线证书签发联系客户办理客户提交鉴证资料，在线证书注册接收鉴证资料实施证书鉴证在线签发证书指导客户下载可信身份管理解决之术—严格鉴证保障安全

确认客户身份真实性确认客户证书服务请求真实性确保证书签发给正确实体严格的鉴证流程鉴证——电子认证服务机构的核心功能之一，只有可靠的鉴证服务，才能确保证书发放给正确的申请者，才能构建起可信的电子认证服务iTrus可信身份安全管理分析操作前鉴别标识映射授权咨询服务iTrusCA/iTrusCKS

iTrusUTS

需要为集团企业人员的虚拟身份标识找到一种行之有效的方法可信身份管理解决之术—标识的统一实现在同一企业环境下人员身份的统一标识，避免一人对应多个账户，一个账户对应多身份；为加强信息化促进企业业务安全快速发展，实现企业安全且有效的信息化统一管控，奠定基础。人员的身份管理，前提是实现身份的统一标识信息化的发展及其管理也正体现了

中国的“人”文化CA平台（人员身份统一标识）身份服务可信身份管理解决之术—身份认证服务证书生命周期管理日志和审计权限管理密钥管理证书模版发布管理CRL管理证书签发员工系统（业务、办公、PC、服务器、网络设备）建立PKI/CA基础设施，实现企业人员身份的统一标识，为可信身份管理奠定基础！iTrusCKS管理服务平台服务功能管理功能CA平台（人员身份统一标识）可信身份管理解决之术—终端的基础保障发放检测问题反馈修复升级解锁证书生命周期管理日志和审计权限管理密钥管理证书模版发布管理CRL管理证书签发初始化库存查询注销证书绑定可信身份管理解决之术操作前鉴别标识映射授权咨询服务iTrusCA/iTrusCKS

iTrusUTS

集中的映射和授权管理可以大大提高集团企业的应用效应可信身份管理解决之术—综合服务能力

以PKI/CA技术为核心，在企业体系内建立综合业务系统管理服务平台-----iTrusUTS(统一信任管理平台)，加强人员行为的过程管控加强对办公及业务系统的用户管理、证书管理（集成RA管理）、认证管理（集成SSO）、授权管理和审计管理。1实现为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务管理。2提高业务系统及设备的安全管控力度，确保业务、系统正常有效运转。3可信身份管理解决之术—统一的规范标准服务iTrusUTS是一个以PKI/CA技术为核心的综合业务系统管理服务平台，主要包括平台管理层和平台接口层，通过有效的配置、服务实现对企业资源层（办公及业务系统）的用户管理、证书管理、认证管理、授权管理和审计管理等人员行为的过程管控。iTrusUTS（统一信任管理平台）平台管理层策略管理权限管理接口管理运行管理备份管理平台接口层资源层数据源ADHR应用OA邮件ERP资金账号管理证书接口证书应用审计平台授权管理认证管理证书管理审计管理账号接口认证接口账号接口CA中心RA可信身份管理解决之术操作中认证操作记录统一认证管理（SSO）SVS/时间戳服务证据保全服务统一入口、统一规范既方便了用户的体验性，也提升了管理服务能力可信身份管理解决之术—集中认证管理服务统一认证管理单点登录多种用户登录方式票据管理认证安全策略管理日志管理可信身份管理解决之术—规范严谨的认证流程OAERP用户名/口令邮件…CRM应用网关单点登录模块用户端通行码数字证书AD域…门户系统UTS系统1用户访问门户，并提交认证信息2门户将认证信息提交单点登录验证，通过后产生票据保存，并从UTS系统获得用户权限信息，将用户访问应用列表交给门户3门户显示用户可访问的应用列表4用户点击门户中的应用访问链接5门户连接UTS系统产生鉴证SAML断言，将用户重定向至应用网关6应用网关验证断言，取出用户登录应用的信息，并将用户登录信息注入到应用帐户登录请求中发送给应用7应用帐户登录成功，用户进入应用界面可信身份管理解决之术操作中认证操作记录统一认证管理（SSO）SVS/时间戳服务证据保全服务唯有可信的操作才能保障过程的真实有效性签名验签服务器可信身份管理解决之术—iTrusSVS(签名验签服务)数字签名模块C/C++APIJavaAPICOM签名验签模块系统配置模块服务管理模块安全操作系统（iTrusOS）可信身份管理解决之术—iTrusSVS标准流程可信身份管理解决之术—时间戳服务可信身份管理解决之术操作中认证操作记录统一认证管理（SSO）SVS/时间戳服务证据保全服务对过程产生的记录和证据合理的存储是可追溯的基础可信身份管理解决之术—iTrusESS（证据保全服务）iTrusESS（电子签名证据保全服务系统）系统提供业务交易电子证据的保存及数据信息管理，保证系统敏感数据的可信赖性签名。为后期通过技术调查取证，验证电子证据是否被篡改、当时交易的各方人员信息，保证交易各方利益。功能如下：电子证据的保存1电子签名证据管理：验证、查询、审计2电子取证服务3个人举证4可信身份管理解决之术—iTrusESS服务流程Internet管理员Web端证据数据库证据保存服务器iTrusESS签名数据管理配置证据审计验证保存应用服务器1应用服务器2可信身份管理解决之术—iTrusESS服务流程可信身份管理解决之术操作后审计证书应用审计合规的电子取证和责任鉴定能够最大限度的为集团企业体现价值可信身份管理解决之术—完善结果管理基于证书的应用审计平台可实现对企业体系内的办公系统、业务系统及包含UTS、KEY管理、CA等平台的集中信息审计加强系统管理员对应用系统访问人员的审计及其行为的结果管理1实现对各应用系统访问者的识别和行为的抗抵赖2证书应用审计平台UTS审计应用系统审计KEY管理审计CA审计可信身份管理解决之术—证书应用审计服务平台审计接口UTS平台应用系统证书管理平台CA系统系统运行审计策略授权审计管理行为审计账户管理审计应用控制审计用户行为审计账户授权审计KEY出入库审计维护行为审计CA管理审计RA管理审计证书应用审计加强系统管理员对应用系统访问人员的审计及其行为的结果管理实现对各应用系统访问者的识别和行为的抗抵赖。可信身份管理解决之术—第三方电子签名取证服务天威诚信电子签名取证服务是指天威诚信为使用天威诚信数字证书服务的用户,提供通过相关技术流程进行电子签名验证服务,以实现调查取证。主要功能特点如下验证当时交易的各方人员信息1验证电子证据的可靠性及有效性2实现行为的可追溯及抗抵赖3保证交易各方的利益4取证和鉴定是关系数据可信性和法律性的关键环节可信身份管理解决之术—合规的取证流程01提出取证需求021、接受申请函2、发起取证服务031、通知相关领导及取证小组2、流转《取证服务受理申请表》041、需求确认2、确定是否可提供服务05向客户发送《取证服务受理通知书》06如取证服务可以受理，与客户签订《取证服务合同》07确认服务可受理，签订合同08收到合同，发起取证服务09通知取证服务小组，提供服务010召开启动会，确定服务方案与计划0121、制定《电子签名验证意见书》2、召开取证服务评审会，签署《电子签名验证意见书》011根据服务方案与计划提供取证服务013向客户提供《电子签名验证意见书》客户发起人（法务部）认证服务部取证小组企业信任服务体系：可信身份管理平台CA认证中心RA服务中心终端管理中心帐户授权管理服务SSO单点登录iTrusSVS验签服务iTrusCKS管理中心证据保全服务取证服务证书应用审计可信身份管理服务平台可信身份管理运营服务终端网络应用层身份管理、过程管控、结果管理组成最终的—可信身份管理平台企业应用系统可信身份管理必要性可信身份管理解决之道Outline议程可信身份管理解决之术总体规划分步实施成功案例可信身份管理总体规划iTrusCKSiTrusCKSiTrusCKS集团CA/RA集团CA/RA集团CA/RA集团CA/RAiTrusCKS可信身份管理分步实施应用扩展第一阶段基础建设第二阶段推广应用第三阶段全面管控CA基础平台建设身份管理试点应用接口标准/应用集成规范管理规范人员管控应用管控业务管控第三方认证服务扩展持续改进优化区域扩展证书全面推广可信身份管理必要性可信身份管理解决之道Outline议程可信身份管理解决之术成功案例总体规划分步实施在后期支持上，相对其他厂商来说，他们显然是最好的。身份认证系统第一次大规模应用在高校领域，许多问题在事前根本无法预料。但天