社保统一安全平台解决方案

深圳市奥联科技有限公司|第一章行业现状分析与需求分析1社保行业统一安全平台解决方案深圳市奥联科技有限公司深圳市奥联科技有限公司|第一章行业现状分析与需求分析2目录第一章行业现状分析与需求分析...............................................................................................31.1社保行业的现状及发展趋势............................................................................................31.2网上社保使用数字证书的必要性....................................................................................3政策层面...........................................................................................................................4技术层面...........................................................................................................................4业务层面...........................................................................................................................5第二章基于PKI和IBC的双密码体系介绍.................................................................................72.1传统的PKI技术................................................................................................................72.2IBC简介.............................................................................................................................72.3PKI与IBC对比.................................................................................................................93.PKI与IBC融合.................................................................................................................10第三章基于奥联OSA架构的统一安全应用平台及行业解决方案.........................................113.1奥联OSA架构................................................................................................................113.2整体解决方案................................................................................................................113.3OLYM-OSA安全中间件..............................................................................................123.3统一接入认证..................................................................................................................143.4内网管理..........................................................................................................................163.5外网接入、安全传输......................................................................................................183.6安全存储及备份..............................................................................................................183.7移动OA...........................................................................................................................193.8全网设备管理..................................................................................................................213.9统一密钥管理中心..........................................................................................................263.10细粒度策略控制............................................................................................................28第四章运营模式...........................................................................................................................304.1与开发商的完美融合及价值提升..................................................................................304.2各单位模式分析............................................................................................................31附录：公司简介...........................................................................................................................34文档说明编写日期2008.6.20版本1.0阅读对象社保行业用户、CA中心方案概要以IBC中心和IBCKEY为核心，实现多种应用和安全防护深圳市奥联科技有限公司|第一章行业现状分析与需求分析3第一章行业现状分析与需求分析1.1社保行业的现状及发展趋势社会保险是关系到民生国计的大事，未来五年之内我国的社保要全国联网、社保业务电子化、网络化，通过网络在线的实现各种社保业务，这意味着一张有效的社保卡可以‘漫游’到全国，这是由温总理亲自挂帅的全国性社保项目。但我国目前的社保业务系统总体水平还很落后，各地发展参差不齐，以下是各地社保作业的调查情况：现场办理、网上普通、数字证书认证三种业务模式比例：网上普通38%现场办理43%证书认证19%共调研全国七大区二十五省四直辖市共52家社保局，其中现场办理共22家，网上普通申报共20家，使用证书认证共10家。其中广东省使用数字证书最为普遍和广泛。从上表可以看到使用证书认证业务的不到20％，而且大部分还没有使用国家认可的安全介质。1.2网上社保使用数字证书的必要性电子政务和电子商务的大力发展是未来的趋势，工业化和信息化的融合也是必然的趋势。但网上在线业务在提高生产效率的同时也带来巨大的隐患，因此网上普通业务只能作为技术普及引导，电子政务及电子商务的核心保障应该是密码技术，比如证书认证技术、标识密码技术。其必要性表现在以下方面：深圳市奥联科技有限公司|第一章行业现状分析与需求分析4政策层面《中华人民共和国电子签名法》为确保网上办理社保信息安全、真实、可靠，根据《中华人民共和国电子签名法》的要求，参保单位在网上办理社保业务必须使用数字证书。《国务院关于加快发展服务业的若干意见》为深入贯彻落实《国务院关于加快发展服务业的若干意见》精神，充分发挥科技对服务业发展的支撑和引领作用，支持可集成和重用的安全认证、在线支付、在线征信、计量计价、商务搜索、授权管理、责任认定等服务组件的研究开发，形成配套的服务及服务接口技术标准和符合性测试工具，为信息平台互连互通提供基础技术条件，构建服务型社，服务型政府，推动我国现代服务业各领域持续、快速、和谐发展。技术层面解决钓鱼网站风险描述：不法分子仿冒社保网站，参保人不慎填入用户名和密码，即被盗取用户资料。可能发生的纠纷：A公司的社保账号用户名与密码被黑客软件盗取，黑客登陆社保网站后，将全公司员工的社保数据被删除，乱改，导致当月A公司社保不能有效的发放。数据泄露和不完整的风险描述：“网上查询”系统是通过HTTP协议进行信息传输，而HTTP协议是明文传输，因此在传输过程中社保用户的资料等敏感信息有可能在传输过程中被非法用户截取。用户的资料等敏感信息有可能在传输过程中被恶意篡改或部分信息丢失，无法保障传输数据内容的完整性，容易造成因敏感数据泄露而引起的纠纷可能发生的纠纷案例：A公司的薪金是保密的，A公司张三的社保金额数据被窃取并泄露到A公司，引起了公司内部人员关于工资的争端，造成A公司内部管理出现混乱。深圳市奥联科技有限公司|第一章行业现状分析与需求分析5业务层面责任无法认定的风险描述：未采用数字证书的网上社保系统普遍采用用户名+密码方式登陆社保系统，用户用户名+密码方式容易被计算机病毒与木马盗取并被他人非法利用，用此产生的责任和损失无法有效的追溯。可能发生的纠纷案例：A公司的社保账号用户名与密码被黑客软件盗取，黑客登陆社保网站后，将全公司员工的社保数据被删除，乱改，导致当月A公司社保不能有效的发放，因此产生的损失和责任是？1.A公司社保专员未做好计算机木马病毒的防范，导致账号被盗用？2.社保局未做好保护对参保单位账号与密码的安全措施？3.无良黑客的违法行为？审计风险描述：社保网上服务厅是对公众开放的服务平台，每天都有不同身份的用户登录到该平台查询、办理业务。因此需要详细地记录每一个用户登录社保系统和在社保系统中的操作信息，以便在出现业务纠纷时能出示登录、操作日志作为解决纠纷的证据；使用软证书进行签名的日志记录等数据不具备作为法律证据的效力，在审计操作记录时，导深圳市奥联科