企業(yè)ERP系統(tǒng)安全解決方案

1、重慶市衛(wèi)計委人口信息中心信息安全PKI/CA體系建設方案 企業(yè)ERP系統(tǒng)安全解決方案東方中訊數(shù)字證書認證有限公司企業(yè)ERP信息系統(tǒng)安全解決方案 東方中訊數(shù)字證書認證有限公司目 錄 TOC o 1-4 h z u HYPERLINK l _Toc404351017 第1章 方案介紹 PAGEREF _Toc404351017 h 5 HYPERLINK l _Toc404351018 1.1概述 PAGEREF _Toc404351018 h 5 HYPERLINK l _Toc404351019 1.2安全需求分析 PAGEREF _Toc404351019 h 6 HYPERLINK l _

2、Toc404351020 1.3方案建設目標 PAGEREF _Toc404351020 h 7 HYPERLINK l _Toc404351021 第2章 企業(yè)PKI/CA體系安全解決方案 PAGEREF _Toc404351021 h 8 HYPERLINK l _Toc404351022 2.1常用術語 PAGEREF _Toc404351022 h 8 HYPERLINK l _Toc404351023 2.2設計依據(jù) PAGEREF _Toc404351023 h 9 HYPERLINK l _Toc404351024 2.3安全認證體系建設方案 PAGEREF _Toc404351

3、024 h 11 HYPERLINK l _Toc404351025 2.3.1 CA安全認證體系框架 PAGEREF _Toc404351025 h 11 HYPERLINK l _Toc404351026 2.3.2 網絡架構 PAGEREF _Toc404351026 h 12 HYPERLINK l _Toc404351027 2.4企業(yè)ERP系統(tǒng)安全保障體系 PAGEREF _Toc404351027 h 14 HYPERLINK l _Toc404351028 2.4.1可信身份認證體系 PAGEREF _Toc404351028 h 14 HYPERLINK l _Toc4043

4、51029 2.4.2 安全傳輸通道 PAGEREF _Toc404351029 h 16 HYPERLINK l _Toc404351030 2.4.3 可信電子簽名體系 PAGEREF _Toc404351030 h 16 HYPERLINK l _Toc404351031 2.4.4 可信電子簽章體系 PAGEREF _Toc404351031 h 18 HYPERLINK l _Toc404351032 2.4.5 數(shù)據(jù)安全存儲 PAGEREF _Toc404351032 h 19 HYPERLINK l _Toc404351033 2.4.6 可信時間戳簽名 PAGEREF _Toc

5、404351033 h 19 HYPERLINK l _Toc404351034 2.5企業(yè)ERP系統(tǒng)認證體系應用 PAGEREF _Toc404351034 h 20 HYPERLINK l _Toc404351035 2.5.1企業(yè)自建PKI/CA體系模式 PAGEREF _Toc404351035 h 20 HYPERLINK l _Toc404351036 2.5.2遠程PKI/CA體系模式 PAGEREF _Toc404351036 h 21 HYPERLINK l _Toc404351037 2.5.3混合式PKI/CA模式 PAGEREF _Toc404351037 h 21 H

6、YPERLINK l _Toc404351038 第3章 電子認證體系服務方案 PAGEREF _Toc404351038 h 22 HYPERLINK l _Toc404351040 3.1 數(shù)字證書服務 PAGEREF _Toc404351040 h 22 HYPERLINK l _Toc404351041 3.1.1證書生命周期 PAGEREF _Toc404351041 h 23 HYPERLINK l _Toc404351042 3.1.2支持多種數(shù)字證書介質 PAGEREF _Toc404351042 h 30 HYPERLINK l _Toc404351043 3.1.3 證書發(fā)

7、放模式 PAGEREF _Toc404351043 h 30 HYPERLINK l _Toc404351044 3.2 培訓服務 PAGEREF _Toc404351044 h 33 HYPERLINK l _Toc404351045 3.2.1對系統(tǒng)相關人員培訓 PAGEREF _Toc404351045 h 33 HYPERLINK l _Toc404351046 3.2.2 用戶培訓 PAGEREF _Toc404351046 h 34 HYPERLINK l _Toc404351047 3.3 售后服務 PAGEREF _Toc404351047 h 37 HYPERLINK l _

8、Toc404351048 第4章 東方中訊及主要產品介紹 PAGEREF _Toc404351048 h 44 HYPERLINK l _Toc404351049 4.1企業(yè)資質和技術實力 PAGEREF _Toc404351049 h 44 HYPERLINK l _Toc404351050 4.1.1 企業(yè)規(guī)模 PAGEREF _Toc404351050 h 44 HYPERLINK l _Toc404351051 4.1.2 企業(yè)人才隊伍信息 PAGEREF _Toc404351051 h 44 HYPERLINK l _Toc404351052 4.1.3 企業(yè)文化建設 PAGEREF

9、 _Toc404351052 h 45 HYPERLINK l _Toc404351053 4.1.4 技術團隊 PAGEREF _Toc404351053 h 46 HYPERLINK l _Toc404351058 4.1.5 資質證明 PAGEREF _Toc404351058 h 46 HYPERLINK l _Toc404351059 4.2 PKI/CA體系主要產品 PAGEREF _Toc404351059 h 49 HYPERLINK l _Toc404351060 4.2.1 簽名取證系統(tǒng) PAGEREF _Toc404351060 h 49 HYPERLINK l _Toc

10、404351061 4.2.2數(shù)字證書應用中間件 PAGEREF _Toc404351061 h 50 HYPERLINK l _Toc404351062 4.2.3簽名驗證服務器 PAGEREF _Toc404351062 h 52 HYPERLINK l _Toc404351063 4.2.4電子簽章 PAGEREF _Toc404351063 h 53 HYPERLINK l _Toc404351064 4.2.5 時間戳服務器 PAGEREF _Toc404351064 h 56 HYPERLINK l _Toc404351065 4.2.6 安全存儲系統(tǒng) PAGEREF _Toc40

11、4351065 h 58 HYPERLINK l _Toc404351066 4.2.7加密機 PAGEREF _Toc404351066 h 60 HYPERLINK l _Toc404351067 第6章 產品配置及報價 PAGEREF _Toc404351067 h 63 HYPERLINK l _Toc404351071 6.1 本期建設方案產品報價方案 PAGEREF _Toc404351071 h 63 HYPERLINK l _Toc404351072 6.2 后期售后服務及產品報價方案 PAGEREF _Toc404351072 h 66第1章 方案介紹概述隨著信息技術的發(fā)展和

12、應用的不斷深入，信息安全日益受到國家、企業(yè)和社會公眾的關注。中國政府已經提出了構建國家信息安全保障體系的設想，明確了政府、企業(yè)和公民各自應承擔的責任與義務，同時國家也鼓勵信息安全技術的研究和創(chuàng)新，信息產業(yè)科技發(fā)展“十一五”規(guī)劃和2020年中長期規(guī)劃綱要中明確把信息安全技術作為優(yōu)先發(fā)展的重點技術之一，主要包括密碼技術、電子認證、應急響應、信息安全評測技術等。ERP（EnterpriseResourcePlanning）企業(yè)資源計劃系統(tǒng)，是指建立在信息技術基礎上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運行手段的管理平臺。可以說，企業(yè)的ERP系統(tǒng)幾乎覆蓋了企業(yè)運作的所有部分，包括生產、營銷、

13、管理、客服、售后服務等等。因此，在某種程度上可以將ERP系統(tǒng)作為企業(yè)中樞系統(tǒng)，統(tǒng)領著一切其他子系統(tǒng)，子系統(tǒng)在總系統(tǒng)的分配調度下協(xié)調 HYPERLINK t _blank 工作，共同為企業(yè)整體的運轉提供保證。如果中樞系統(tǒng)出現(xiàn)問題，將導致整個企業(yè)運轉出現(xiàn)問題，甚至導致整個企業(yè)的癱瘓，可以說， ERP系統(tǒng)的安全穩(wěn)定對于企業(yè)整體的安全有著重要作用。本方案以成熟的、安全的、認可的PKI/CA技術為基礎，從安全技術角度提供企業(yè)ERP系統(tǒng)安全解決方案，如果實現(xiàn)ERP系統(tǒng)整體安全，企業(yè)還需考慮安全的管理措施。安全需求分析企業(yè)ERP系統(tǒng)的安全與穩(wěn)定關系到整個企業(yè)能否正常運行，是企業(yè)需要特別注重的方面。為了保證系

14、統(tǒng)的安全，不僅僅要保證主系統(tǒng)不受外部干擾，還應確保各個部門之間的聯(lián)系和資源共享得到安全保證，做到不越權進行彼此互訪，防止內部安全系統(tǒng)出現(xiàn)問題。ERP系統(tǒng)安全需求主要體現(xiàn)在以下幾個方面： 身份真實性認證不同業(yè)務系統(tǒng)無法實現(xiàn)統(tǒng)一的安全認證和授權，同時各個系統(tǒng)安全策略設置級別不一致，從而無法保障各個系統(tǒng)的身份認證和訪問安全的可靠性。信息安全需求ERP的特點大而全，包含企業(yè)的組織架構、銷售渠道、客戶資源等方方面面的信息。正因為如此，ERP系統(tǒng)信息安全顯得尤為重要，包含ERP系統(tǒng)中的信息資產安全已經破在眉睫。對關鍵操作的控制和審計關鍵操作即對數(shù)據(jù)交換過程，主要有ERP系統(tǒng)中關鍵文檔的提交和發(fā)布、報賬系統(tǒng)

15、中重要信息的傳輸、財務系統(tǒng)中的資金支付、電子單據(jù)確認等。在這些關鍵操作中，都需要保證對操作行為進行有效的控制，即有真實權限的人員才能進行操作，操作后對操作行為要有有效的審計。數(shù)據(jù)信息的法律保障 ERP系統(tǒng)中存儲的都是企業(yè)的關鍵業(yè)務數(shù)據(jù)，對這些業(yè)務數(shù)據(jù)的管理和審計必須符合相關的法律法規(guī)要求。管理成本控制企業(yè)需要管理不同業(yè)務系統(tǒng)的用戶，導致了用戶管理的復雜度增加和效率降低，為此企業(yè)需要付出更多的 IT管理成本。業(yè)務系統(tǒng)繁多，用戶需要記憶多個帳戶和口令，無形中引導客戶使用弱密碼，不同系統(tǒng)登陸和使用極為不便，同時由于用戶口令遺忘而導致的支持費用不斷上漲。方案建設目標建設企業(yè)PKI/CA體系，為ERP系

16、統(tǒng)終端用戶提供數(shù)字證書發(fā)放與管理，為企業(yè)用戶提供優(yōu)質的、規(guī)范的數(shù)字證書生命周期服務，滿足企業(yè)ERP系統(tǒng)數(shù)字證書應用；建立財務管理系統(tǒng)、物流管理系統(tǒng)、生產管理系統(tǒng)等企業(yè)ERP系統(tǒng)統(tǒng)一的業(yè)務應用安全支撐體系，實現(xiàn)電子認證服務和相關技術與企業(yè)信息系統(tǒng)的有機集成結合，有效提升企業(yè)財務管理等系統(tǒng)的業(yè)務信息安全保障水平，構建安全可信的企業(yè)ERP業(yè)務環(huán)境，保證用戶登錄的真實身份認證、信息傳輸?shù)陌踩浴⑼暾?、用戶操作行為的不可抵賴性；在企業(yè)部署安全存儲系統(tǒng)，對敏感數(shù)據(jù)進行加密存儲，能發(fā)生糾紛時，能快速提取簽名數(shù)據(jù)、簽章數(shù)據(jù)作為有效的電子證據(jù)，防止抵賴行為。第2章 企業(yè)PKI/CA體系安全解決方案常用術語PK

17、I PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。PKI政務的基礎技術包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。數(shù)字證書數(shù)字證書（Digital Certificate），是由權威的電子認證服務機構進行數(shù)字簽名的，包含擁有者信息、擁有者公開密鑰、簽發(fā)者信息、有效期以及一些擴展信息的數(shù)字文件。CA系統(tǒng)證書認證系統(tǒng)( Certificate Authentication System)，簡稱CA系統(tǒng)，是對數(shù)字證書進行證書生命周期全過程管理的安全系統(tǒng)。SSL協(xié)議SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport

18、 Layer Security，TLS）是為網絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網絡連接進行加密。電子簽名電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。通俗點說，電子簽名就是通過密碼技術對電子文檔的電子形式的簽名，并非是書面簽名的數(shù)字圖像化，它類似于手寫簽名或印章，也可以說它就是電子印章。電子簽章電子簽章是電子簽名的一種表現(xiàn)形式，利用圖像處理技術將電子簽名操作轉化為與紙質文件蓋章操作相同的可視效果，同時利用電子簽名技術保障電子信息的真實性和完整性以及簽名人的不可否認性。時間戳在電子商務交易文件中，時間是十分重要的信息

19、。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。數(shù)字時間戳服務（DTS：digital time stamp service）是網上電子商務安全服務項目之一，能提供電子文件的日期和時間信息的安全保護。設計依據(jù)我公司提供的CA安全認證體系的建設方案遵循相關的國際標準、國家標準以及電子商務行業(yè)標準：國際標準PKCS #1: RSA Cryptography Standard；PKCS #3: Diffie-Hellman Key Agreement Standard；PKCS #5: Password-Based Cryptography Standard；

20、PKCS #6: Extended-Certificate Syntax Standard；PKCS #7: Cryptographic Message Syntax Standard；PKCS #8: Private-Key Information Syntax Standard；PKCS #9: Selected Attribute Types；PKCS #10: Certification Request Syntax Standard；PKCS #11: Cryptographic Token Interface Standard；PKCS#12: Personal Informati

21、on Exchange Syntax Standard；PKCS#15: Cryptographic Token Information Format Standard。國家標準SM2橢圓曲線公鑰密碼算法法律法規(guī)中華人民共和國電子簽名法電子簽名法第七條：“數(shù)據(jù)電文不得僅因為其是以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的而被拒絕作為證據(jù)使用。” 電子簽名法第十三條：電子簽名同時符合下列條件的，視為可靠的電子簽名： 電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有； 簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制； 簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)； （四）簽署后對數(shù)據(jù)電文內容和形式的

22、任何改動能夠被發(fā)現(xiàn)。 當事人也可以選擇使用符合其約定的可靠條件的電子簽名。 電子簽名法第十四條：“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。公安部中華人民共和國公共安全行業(yè)標準電子數(shù)據(jù)法庭科學鑒定通用方法（GA/T976-2012 公安部）：“規(guī)定了法庭鑒定時電子證據(jù)數(shù)據(jù)的獲取、檢驗分析和呈現(xiàn)的規(guī)范獲取的數(shù)據(jù)文件和原始的數(shù)據(jù)文件的哈希值，驗證兩者的一致性，確保兩者是相同的。取證與鑒定文書電子簽名（ GA/T976-2012 公安部）：“明確電子簽名、數(shù)字證書、數(shù)字證書格式和數(shù)字 證書簽發(fā)機構”“明確簽名過程和電子簽名驗證過程”“明確電子簽名管理系統(tǒng)”其他規(guī)范電子認證服務管理辦法電子

23、認證業(yè)務規(guī)則規(guī)范(試行)信息安全等級保護管理辦法信息系統(tǒng)等級保護安全設計技術要求安全認證體系建設方案2.3.1 CA安全認證體系框架 ERP的應用系統(tǒng)中，置入東方中訊PKI/CA體系或企業(yè)自建PKI/CA體系，實現(xiàn)安全可信的企業(yè)信息系統(tǒng)。CA認證體系框架如圖2-1所示：圖2-1 CA認證體系2.3.2 網絡架構企業(yè)安全體系由安全接入網關和CA認證體系（包括簽名取證系統(tǒng)、證書應用中間件、簽名驗證服務器、電子簽章系統(tǒng)、時間戳服務器、時間源服務器、安全存儲系統(tǒng)、加密機）組成，為ERP系統(tǒng)提供身份認證、訪問控制、數(shù)據(jù)傳輸加密、數(shù)字簽名、電子簽章、安全存儲等于一體的安全解決方案。企業(yè)體系網絡架構如圖2-

24、2所示：圖2-2 企業(yè)安全體系網絡架構圖網絡結構圖說明：ERP系統(tǒng)端前置安全接入網關實現(xiàn)用戶安全接入： 基于數(shù)字證書的用戶真實身份鑒別和嚴格的訪問控制策略保證合法的用戶安全接入網絡，阻止非法用戶訪問；實現(xiàn)ERP系統(tǒng)單點登錄： 用戶在成功登陸網關后，用戶在訪問其他的應用系統(tǒng)時，網關可以進行模擬代填或將用戶信息傳遞給后臺服務器實現(xiàn)自動登錄功能，用戶只需要登錄一次就可以訪問所授權的應用系統(tǒng)，降低企業(yè)管理成本。客戶端與安全接入網關通過SSL安全鏈路通信，保證信息傳輸過程中的機密性、完整性和可信性；CA認證體系為ERP系統(tǒng)提供對敏感數(shù)據(jù)的加密和安全存儲，對關鍵審批環(huán)節(jié)的電子簽名和電子簽章的功能，在發(fā)生糾

25、紛時，能從簽名取證系統(tǒng)快速獲取簽名數(shù)據(jù)，提供有效的電子證據(jù)。企業(yè)ERP系統(tǒng)安全保障體系CA管理員通過數(shù)字證書簽發(fā)系統(tǒng)給企業(yè)用戶簽發(fā)數(shù)字證書，以及相應的CA認證產品（含簽名取證系統(tǒng)、證書應用中間件、簽名驗證服務器、電子簽章系統(tǒng)、時間戳服務器、時間源服務器、安全存儲系統(tǒng)、加密機）建立PKI/CA安全信任體系，實現(xiàn)用戶身份的真實性，信息傳輸?shù)陌踩煽啃?、操作的不可抵賴性。CA安全認證體系由可信身份認證、安全傳輸通道、可信電子簽名、可信電子簽章、數(shù)據(jù)安全存儲、可信時間戳簽名等子體系組成。各子體系詳細內容如下：2.4.1可信身份認證體系可信身份認證體系是密碼設備、數(shù)字證書、安全接入網關、簽名取證系統(tǒng)、證

26、書應用中間件、ERP系統(tǒng)共同構建。用戶安全訪問ERP系統(tǒng)的流程如圖2-3所示：圖2-3 可信身份認證體系流程圖用戶將帶數(shù)字證書的USB Key插入計算機，訪問客戶端程序（基于B/S的IE或者基于C/S的客戶端） 登錄統(tǒng)一門戶，系統(tǒng)要求用戶選擇用戶證書和輸入密碼設備密碼；需要先通過安全接入網關完成雙向身份認證。認證通過后，客戶端和安全接入網關之間建立SSL連接，客戶端和ERP服務器之間的數(shù)據(jù)傳輸通過SSL通道加密傳輸；ERP系統(tǒng)獲取客戶端提交的隨機數(shù)簽名數(shù)據(jù)，通過WEBSERVICE或socket方式提交數(shù)據(jù)到CA認證平臺，它將對用戶證書的有效性，簽名數(shù)據(jù)的完整性、有效性進行驗證； 如果驗證通過

27、，則安全進入安全接入網關；如果驗證和查詢失敗，用戶將無法進行登錄。可信身份認證體系具有以下特點：必須用證書介質(USBKEY)+數(shù)字證書才可以登錄ERP系統(tǒng)；實現(xiàn)用戶角色和權限的管理和分配；登錄密碼存儲在證書介質(USBKEY)內，無法從其他渠道獲??；登錄過程應用隨機數(shù)簽名，保證每次登錄不可以被模擬、復制；通過存儲在移動介質（USB Key）私鑰來生成數(shù)字證書，用戶只需要輸入PIN碼即可登錄系統(tǒng)（最佳實踐結合SSO），簡單靈活；后臺記錄用戶登錄日志，快速檢測用戶訪問記錄。2.4.2 安全傳輸通道客戶端與ERP系統(tǒng)之間使用SSL協(xié)議（Security Socket Layer安全套接層協(xié)議）。S

28、SL協(xié)議用于建立用戶與服務器之間的加密通信，確保所傳遞信息的機密性和安全性。SSL安全機制是依靠數(shù)字證書來實現(xiàn)，基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應的私人密鑰。 使用SSL安全機制的通信過程如下：用戶與服務器建立連接后，服務器會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用公共密鑰對會話密鑰進行加密，然后傳遞給服務器，服務器端用私人密鑰進行解密，這樣，用戶端和服務器端就建立了一條安全通道，只有SSL允許的用戶才能與服務器進行通信，從而解決了客戶端與ERP系統(tǒng)服務器之間信息加密傳輸?shù)膯栴}。2.4.3 可信電子簽名體系電子簽名法確立可靠的電子簽名與手

29、寫簽名或者蓋章具有同等的法律效力，是無紙化辦公的重要法律保障。企業(yè)用戶在業(yè)務操作過程中，對比較敏感和重要的電子單據(jù)進行數(shù)字簽名，通過簽名驗證服務器驗證數(shù)據(jù)完整性，驗證通過將簽名結果與被簽名信息存入簽名取證系統(tǒng)。電子簽名流程如圖2-4所示：圖2-4 可信電子簽名體系流程圖用戶登錄ERP系統(tǒng)后，用USBKEY對財務數(shù)據(jù)、重要數(shù)據(jù)等審批意見進行數(shù)字簽名。流程說明如下：客戶端和安全接入網關平臺完成雙向身份認證，建立SSL通道； 用戶利用數(shù)字證書對提交的電子單據(jù)進行數(shù)字簽名； 已簽名的數(shù)據(jù)通過SSL通道加密傳輸?shù)紼RP系統(tǒng)； ERP系統(tǒng)獲取用戶的電子訂單信息及其數(shù)字簽名;ERP服務器調用簽名驗證服務器的

30、驗證函數(shù)接口，驗證用戶身份、簽名數(shù)據(jù)的完整性和有效性； 驗證通過后將電子簽名、簽名數(shù)據(jù)存儲于簽名取證系統(tǒng)； CA認證平臺向ERP服務器返回簽名結果；ERP系統(tǒng)向客戶端返回結果。電子簽名體系具有以下特點：電子取證、驗證流程快捷、方便；通用性好：客戶端只需通過調用接口調用證書服務，可以支持采用C/C+、Java、C#等主流開發(fā)語言開發(fā)的程序。支持標準的證書、數(shù)字簽名加解密算法；支持雙向簽名：客戶端和服務器端均具備簽名、驗簽名功能，可以用來實現(xiàn)雙向、多次簽名的高安全級別方案；支持時間戳應用：支持時間戳服務；支持安全存儲：支持對重要數(shù)據(jù)加密存儲于簽名取證系統(tǒng)中。2.4.4 可信電子簽章體系ERP系統(tǒng)業(yè)

31、務的審批流程中，使用電子簽章對流程的關鍵審批環(huán)節(jié)加蓋電子簽章，形象模擬現(xiàn)實紙質審批流程，同時對簽章文件或數(shù)據(jù)進行保護。電子簽章體系是由證書介質、數(shù)字證書、簽章應用中間件、電子簽章系統(tǒng)、ERP系統(tǒng)組成。電子簽章流程如圖2-5所示：圖2-5 可信電子簽章體系流程圖CA第三方使用電子簽章管理系統(tǒng)為用戶生成電子簽章，并將電子簽章灌入證書介質并和數(shù)字證書進行有效綁定，將包括數(shù)字證書和電子簽章圖片的證書介質按照發(fā)放流程分配給企業(yè)用戶；客戶端集成的電子簽章軟件提供對審批文件的數(shù)字簽名和電子簽章。我公司電子印章服務平臺系統(tǒng)管理是構建于web形式的管理系統(tǒng)，其中包括個人管理、系統(tǒng)管理、印章管理模塊，并設置機要員

32、、系統(tǒng)管理員、印章管理員、日志管理等權限。2.4.5 數(shù)據(jù)安全存儲ERP系統(tǒng)對涉密數(shù)據(jù)進行加密存儲，保障信息的安全。數(shù)據(jù)安全存儲是加密機、安全存儲系統(tǒng)及密碼技術對涉密數(shù)據(jù)加密處理過程，流程如圖2-6所示:圖2-6 數(shù)據(jù)安全存儲程圖ERP系統(tǒng)將涉密數(shù)據(jù)提交到CA認證特性的安全存儲系統(tǒng)加密接口；安全存儲系統(tǒng)調用加密機服務器證書的公鑰生成加密數(shù)據(jù)后存儲； ERP系統(tǒng)調用安全存儲系統(tǒng)機密接口獲取涉密數(shù)據(jù)原文。 2.4.6 可信時間戳簽名可信時間戳服務實現(xiàn)對數(shù)據(jù)、文件生成和上傳過程中加蓋可信的時間戳，確保數(shù)據(jù)、文件時間的可信性。可信時間戳簽名體系主要由簽名取證系統(tǒng)、時間戳服務器、時間源服務器等產品組成，

33、加蓋時間戳簽名操作流程如圖2-7所示：圖2-7 加蓋時間戳簽名流程圖流程圖說明：ERP系統(tǒng)驗證用戶提交的待申請時間戳數(shù)據(jù)的數(shù)字摘要值，向簽名取證系統(tǒng)發(fā)起時間戳簽名請求；簽名取證系統(tǒng)保存數(shù)據(jù)摘要值，通過webservice向時間戳服務器發(fā)起時間戳簽名請求； 時間戳服務器保存請求數(shù)據(jù)，獲取時間源服務器（與國家授時中心進行時間同步）的標準時間信息， 進行時間戳簽名；時間戳服務器向簽名取證系統(tǒng)返回時間戳簽名數(shù)據(jù)并存儲；簽名取證系統(tǒng)保存時間戳簽名數(shù)據(jù)，向ERP系統(tǒng)返回時間戳簽名結果。企業(yè)ERP系統(tǒng)數(shù)字證書應用系統(tǒng)名稱PKI/CA安全保障體系身份認證電子簽名或簽名驗簽加密傳輸時間戳簽名安全存儲OA系統(tǒng)財務

34、系統(tǒng)SCM（供應鏈管理）CRM（客戶關系管理）移動終端數(shù)字證書安全解決方案2.6.1 需求分析移動電子辦公如何有效的解決身份認證、交易數(shù)據(jù)的完整、保證交易的安全性及不可否認性，都是客戶以及電商企業(yè)最關心的問題。關于通信安全需求傳統(tǒng)的有線網絡是利用通信電纜作為傳播介質， 這些介質大部分處于地下等比較安全的場所，因此中間的傳輸區(qū)域相對是受控制的。而在無線通信網絡中，所有的通信內容（如移動用戶的通話信息、身份信息、位置信息等）都是通過無線信道傳送的，無線信道是一個開放性信道，其利用無線電波進行傳播的特性，使得任何個人和組織不需要申請就可以進行通信。 在無線網絡中的信號很容易受到攔截并被解碼，只要具有

35、適當?shù)臒o線接收設備就可以很容易實現(xiàn)無線竊聽，而且很難被發(fā)現(xiàn)。這對于移動電子商務的信息安全構成了潛在威脅。關于審批權限的安全需求如何保障企業(yè)的審批安全， 避免權利被盜用風險， 是企業(yè)面臨的第二大主要問題，這也是無紙化辦公的重要原因之一。利用ERP系統(tǒng)進行審批必然會涉及到網上審批，網上審批是目前企業(yè)辦公發(fā)展的一個重點。而在網上審批過程中存在著被黑客通過木馬等惡意程度進行偽造、假冒和復制的風險，從而損害企業(yè)利益，同時也對企業(yè)信譽造成不良影響。2.3. 關于身份認證的需求在無線通信網絡中， 移動站與網絡控制中心以及其它移動站之間不存在固定的物理連接，移動站必須通過無線信道傳送用戶的身份信息。由于無線信

36、道信息傳送過程可能被竊聽，當攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個信息來冒充該合法用戶的身份進行網上審批， 這就是所謂的身份冒充攻擊?；赑KI/CA移動終端安全解決方案基于數(shù)字證書和安全接入網關的身份認證安全移動辦公平臺屬于一種 C/S 或B/S的架構系統(tǒng)， 不能直接集成證書應用。 為此，可以提供證書應用開發(fā)接口（API）幫助用戶進行證書功能的集成，以下將從安全原理、安全構架、證書應用開發(fā)接口（API）和具體流程分別介紹應用系統(tǒng)集成方案。雙向身份認證實現(xiàn)雙向身份認證的原理是通過雙向認證的加密通道來實現(xiàn)。 在實現(xiàn)雙向身份認證時， 專用客戶端需要對證書進行處理，包括完成服務器證書

37、的驗證，讓用戶選擇證書進行提交等。實現(xiàn)雙向身份認證的原理如下圖所示，需要增加下列模塊：信息抗抵賴數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^數(shù)字簽名技術來實現(xiàn)的，信息抗抵賴需要增加下列模塊：安全集成架構根據(jù)上述安全原理，采用證書應用開發(fā)接口（API） ，對移動辦公系統(tǒng)進行安全集成，系統(tǒng)安全架構如下圖所示： 如上圖所示，系統(tǒng)安全集成涉及的證書應用接口包括： 證書解析模塊（CPM ）證書解析模塊是一系列平臺下的動態(tài)鏈接庫，用于解析 DER 或 PEM 編碼的 X.509 數(shù)字證書，將證書中的信息，包括用戶名、證書有效期、公鑰等信息分解為字符串。 證書驗證模塊（CVM ）證書驗證模塊以插件或動態(tài)庫方式提供，實現(xiàn)對證書

38、的驗證，證書驗證可選使用 CRL 或 OCSP 驗證有效性。通過證書驗證，可以保證證書的真實性，保證使用該證書進行的操作的有效性和不可抵賴性。數(shù)據(jù)簽名/ 驗證模塊（SVM ）數(shù)據(jù)簽名及驗證模塊是一系列平臺下的動態(tài)鏈接庫或控件， 可以應用于客戶端和服務器端，實現(xiàn)對傳輸數(shù)據(jù)的數(shù)字簽名，和對數(shù)字簽名及其證書進行驗證。證書的驗證可使用 CRL 或 OCSP 來進行有效性驗證。證書處理模塊證書處理模塊以靜態(tài)庫、jar 包或者控件的方式提供，供專用客戶端軟件調用，實現(xiàn)的功能包括對證書的驗證，對本地證書的檢索，顯示成列表，供用戶選擇提交。基于數(shù)字證書及簽名驗證服務器的數(shù)據(jù)安全基于移動互聯(lián)網的各種公文、訂單、

39、用戶身份敏感信息和交易敏感信息等都需要保證內容被加密和不可被篡改。和身份認證一樣，在移動平臺，同樣需要開發(fā)相應的中間件產品支持上層應用和下層外設（如雙接口 Key 或 TF 卡等）以實現(xiàn)對 iOS、Android 等系統(tǒng)的數(shù)字證書應用支持。 之后才可以使用數(shù)字證書完成對以上信息實現(xiàn)數(shù)據(jù)加密和數(shù)字簽名以及驗簽，以保障信息的完整性和保密性。目前提供支持 iOS 與 Android 系統(tǒng)的上層證書管理與應用中間件，支持軟證書與硬件證書進行 SSL 雙向身份認證與數(shù)字簽名?？梢允褂脩敉ㄟ^使用自己的證書（私鑰）來對交易過程中所要提交的表單內容進行簽名，在客戶端能夠實現(xiàn)對字符串、文件的簽名，并能夠驗證來自

40、服務器端的簽名。第3章 數(shù)字證書服務方案我公司為企業(yè)單位建立的電子認證服務體系，從服務內容、服務模式、服務流程、服務保障等方面，建設符合企業(yè)單位特點的服務模式和流程，方便證書發(fā)放和管理，滿足企業(yè)單位實際業(yè)務需要。3.1 PKI/CA體系建設模式根據(jù)客戶的實際需求，東方中訊因地制宜提供三種服務模式：企業(yè)內部自建PKI/CA體系、可信第三方的PKI/CA體系以及混合式PKI/CA模式，企業(yè)可以根據(jù)自己的實際需求靈活的選擇。3.1.1企業(yè)自建PKI/CA體系建設模式由我公司負責在客戶的本地建設全套的PKI/CA 體系，包括證書簽發(fā)系統(tǒng)（自建CA）證書注冊審批系統(tǒng)（自建RA），實現(xiàn)企業(yè)內部證書自主簽發(fā)

41、、證書管理、證書查詢服務等功能，可以自由的使用數(shù)字證書。該體系適用于需要自己簽發(fā)數(shù)字證書的客戶、對證書法律性要求不強，使用數(shù)字證書作為安全解決方案的客戶，PKI/CA體系的運行維護、安全、管理等工作全部由企業(yè)內部負責。3.1.2第三方PKI/CA體系建設模式企業(yè)通過第三方的PKI/CA系統(tǒng)，委托第三方公司進行數(shù)字證書的發(fā)放和管理。該模式不需要在企業(yè)內部建設PKI/CA體系，PKI/CA體系完全建設在東方中訊，由東方中訊提供全面的、快捷的、專業(yè)的數(shù)字證書服務。企業(yè)只要擁有東方中訊RA系統(tǒng)管理員證書，就可以在任何一臺機器上通過Web方式登錄東方中訊CA認證中心后臺實現(xiàn)對PKI/CA體系的全權管理，

42、并可以自主進行證書的申請、下載和更新等工作。3.1.3混合PKI/CA建設模式混合式PKI/CA模式結合了企業(yè)自建PKI/CA和引用可信第三方PKI/CA兩種應用模式。對證書的法律性要求不強的用戶，企業(yè)可以通過自建的PKI/CA體系自主頒發(fā)證書，實現(xiàn)企業(yè)內部信息的安全保障；對證書法律效力要求高、要求證書能作為有效的電子證據(jù)的用戶，企業(yè)可以通過第三方電子認證服務機構CA系統(tǒng)，或委托第三方頒發(fā)具有法律效力的數(shù)字證書。混合式PKI/CA模式，企業(yè)可以根據(jù)實際需求靈活應用，提高運營效率，降低運營成本。3.2 數(shù)字證書服務我公司結合企業(yè)單位ERP系統(tǒng)的實際需求和具體情況，提供相應的證書業(yè)務服務，數(shù)字證書

43、服務管理符合以下要求：我公司有獨立的證書管理系統(tǒng)，實現(xiàn)證書全生命周期服務，包括證書申請、發(fā)放、更新、吊銷、介質解鎖、密鑰恢復、丟失補辦、損壞重辦等服務內容，方便企業(yè)單位用戶獲取證書服務；提供證書全在線服務模式，支持證書在線更新、在線解鎖等服務；提供證書快速應急服務，滿足企業(yè)單位對業(yè)務連續(xù)性的要求；支持按照企業(yè)單位實際應用需要，靈活定制服務交付的業(yè)務流程；支持多種證書存儲介質包括智能USBKey、智能射頻卡、SDKey等，滿足企業(yè)單位今后發(fā)展對證書介質的需求；支持證書管理權限分級，提供管理員、普通用戶、系統(tǒng)管理員等用戶和角色權限管理；提供對證書發(fā)放情況、證書狀態(tài)等情況進行查詢、統(tǒng)計及報表輸出功能

44、，滿足企業(yè)單位日常管理需要。3.2.1證書生命周期證書申請申請數(shù)字證書的，視為同意遵守東方中訊數(shù)字證書認證有限公司數(shù)字證書服務協(xié)議及其他有關規(guī)定，視為承認該數(shù)字證書電子簽名的法律效力。為確保證書申請者身份的真實性和有效性，企業(yè)單位應設立證書管理員崗位，負責提交本單位用戶證書申請。下圖為數(shù)字證書辦理申請界面：數(shù)字證書辦理申請界面證書申請流程：證書管理員收取用戶申請材料，核實用戶申請信息的真實性；證書管理員將證書申請信息報送相關領導審批確認；證書管理員使用專用證書對審批確認后的證書申請信息進行電子簽名；證書管理員通過證書服務平臺向東方中訊數(shù)字證書認證有限公司提交簽名后的申請信息進行證書申請；證書管

45、理員將紙質的證書申請資料原件提交給東方中訊數(shù)字證書認證有限公司用以存檔備案。證書申請流程證書發(fā)放東方中訊數(shù)字證書認證有限公司在接收證書申請及申請資料原件后，對申請信息進行審核并在五個工作日內完成證書產品交付。證書申請審核集中服務模式下的證書發(fā)放流程如下：東方中訊CA對所提交的資料進行審核；資料是否齊全，是否填寫完整，填寫是否符合規(guī)范；資料是否加蓋單位公章；資料填寫信息是否真實；申請人是否符合證書發(fā)放要求：資料審核未通過，告知用戶單位證書管理員原因并返還申請資料；通過審核則錄入用戶相關信息并提交證書申請信息，制作數(shù)字證書；東方中訊CA對數(shù)字證書分類、整理，將數(shù)字證書頒發(fā)給用戶單位證書管理員，返還

46、用戶申請憑據(jù)；證書管理員對數(shù)字證書進行核對，并分發(fā)到用戶手中。如果采取郵遞方式獲取證書，為保證數(shù)字證書安全性，我們在用戶收到證書介質之后通過證書服務平臺以證書下載授權碼的方式為用戶頒發(fā)數(shù)字證書。集中服務模式下的證書發(fā)放流程多級服務模式下證書發(fā)放流程與集中服務模式下的證書發(fā)放流程基本相同，僅增加了用戶單位上級審核環(huán)節(jié)。多級服務模式下的證書發(fā)放流程證書更新用戶證書即將到期時，東方中訊數(shù)字證書認證有限公司為用戶重新簽發(fā)新的證書。證書的更新流程參見證書申請流程圖：證書更新申請東方中訊數(shù)字證書認證有限公司在收到更新申請后，承諾在二個工作日內完成更新業(yè)務的確認操作，并保證用戶可實時下載新證書。步驟如下：申

47、請更新：東方中訊數(shù)字證書認證有限公司在證書到期前30天內提醒用戶辦理證書更新業(yè)務；確認更新：東方中訊數(shù)字證書認證有限公司在確認更新申請后，授權并通知用戶下載新的證書；下載新證書：證書用戶通過證書服務平臺下載新證書。證書補辦東方中訊數(shù)字證書變更申請，主要是針對數(shù)字證書主題名字變更，介質損壞或丟失。企業(yè)單位指定的證書管理員進入東方中訊證書簽發(fā)系統(tǒng)，進行證書補辦，名字、用戶ID等信息變更。步驟如下：變更申請：用戶在介質丟失或損壞后向企業(yè)單位信息科提交補辦申請確認變更：企業(yè)單位相關審核人員在確認變更申請后，在證書簽發(fā)系統(tǒng)中提交申請。 下載新證書：申請通過后，證書管理員通過證書簽發(fā)系統(tǒng)下載新證書。證書吊

48、銷證書吊銷申請當密鑰遺失、介質損壞、證書信息變更、證書用戶證件失效時。證書吊銷流程如下：申請吊銷：證書用戶填寫吊銷證書所需要提供的紙質材料，向單位證書管理員或東方中訊提出吊銷申請；確認更新：東方中訊數(shù)字證書認證有限公司在確認吊銷申請后，東方中訊數(shù)字證書認證有限公司應將證書及時吊銷并更新黑名單（CRL）；東方中訊數(shù)字證書認證有限公司接到申請之日起，并審核通后，在一個工作日內完成吊銷業(yè)務的辦理，并實時更新黑名單（CRL），按照發(fā)布策略將黑名單發(fā)布到指定的衛(wèi)生信息系統(tǒng)。證書解鎖用戶遺忘證書保護口令，或多次輸入錯誤的保護口令導致證書介質鎖死時，東方中訊數(shù)字證書認證有限公司提供證書解鎖服務，為用戶重新設

49、置證書保護口令。證書解鎖流程如下：申請解鎖：證書用戶填寫解鎖證書所需要提供的紙質材料，向單位證書管理員或東方中訊提出吊銷申請；審核：申請材料審核通過，東方中訊數(shù)字證書認證有限公司應將證書及時為用戶提供在線解鎖服務；東方中訊數(shù)字證書認證有限公司接到申請之日起，在一個工作日內完成解鎖服務。密鑰恢復東方中訊數(shù)字證書認證有限公司提供加密密鑰的恢復服務。加密密鑰的恢復流程如下：申請密鑰恢復：證書用戶填寫加密密鑰的恢復所需要提供的紙質材料，向單位證書管理員或東方中訊提出吊銷申請；確認更新：東方中訊數(shù)字證書認證有限公司接到申請之日起，并審核通后，在五個工作日內完成密鑰恢復業(yè)務的辦理。司法取證需要進行密鑰恢復

50、時，東方中訊數(shù)字證書認證有限公司按照國家有關規(guī)定的程序處理。證書查詢 東方中訊數(shù)字證書認證有限公司為用戶和信息系統(tǒng)提供證書和黑名單的查詢與下載服務。東方中訊數(shù)字證書認證有限公司保障證書信息安全，查詢和下載權限經用戶管理單位審定。3.2.2支持多種數(shù)字證書介質 我公司支持多種數(shù)字證書介質，包括智能USBKey、智能射頻卡、SDKey。如下圖：證書介質3.2.3 證書發(fā)放模式證書批量發(fā)放初次批量證書申請，是指EZCA向首次提出申請證書的用戶提供的證書發(fā)放服務。 依托EZCA提供批量的證書申請、發(fā)放服務，企業(yè)單位證書受理點（信息中心）只負責證書用戶的信息收集和信息確認，由EZCA后臺完成證書制作和發(fā)

51、放。 證書批量發(fā)放具體流程如下： (1) 證書受理點的證書管理員填寫證書申請列表，登錄數(shù)字證書服務管理系統(tǒng)后，上傳證書申請列表； (2) 審核人員確認、審核證書申請列表信息（可選）； (3) EZCA集中制作證書，發(fā)送至企業(yè)單位； (4) 證書管理員將證書發(fā)放給證書用戶。日常零散發(fā)放日常零散發(fā)放具體流程如下： (1) 證書受理點的證書管理員登錄數(shù)字證書服務管理系統(tǒng)后，錄入證書用戶信息； (2) 審核人員審核證書申請信息（可選）； (3) EZCA后臺系統(tǒng)簽發(fā)數(shù)字證書； (4) 證書管理員使用空白USBKey在數(shù)字證書服務管理系統(tǒng)制作用戶數(shù)字證書；(5) 證書管理員將證書發(fā)放給證書用戶。3.3

52、培訓服務東方中訊公司配備2名培訓師，根據(jù)企業(yè)單位安排，對企業(yè)單位技術人員、系統(tǒng)運維人員、全體ERP終端用戶不定期進行培訓，培訓時間不少于2個工作周。3.3.1系統(tǒng)相關人員培訓技術人員培訓PKI基礎設施系統(tǒng)架構培訓：對PKI基礎設施包含的內容，技術標準、規(guī)范，PKI體系架構的整體介紹；PKI電子認證應用培訓：對PKI基礎設施中涉及的所有實體，包括身份認證、電子簽名、數(shù)據(jù)加密等應用的培訓；數(shù)字證書接口應用培訓：對不同開發(fā)語言、開發(fā)環(huán)境下的數(shù)字證書接口，包括在WINDOWS、LINUX、MAC等平臺下，基于C、JAVA、C#等開發(fā)語言的接口應用提供培訓；數(shù)字證書安全產品的應用培訓：對數(shù)字證書安全產品

53、的介紹和應用提供培訓，包括統(tǒng)一身份認證服務器、PKI權限管理系統(tǒng)、電子簽名服務器等安全產品的應用培訓。運維人員培訓CA電子認證系統(tǒng)的介紹培訓：對的數(shù)字證書簽發(fā)系統(tǒng)的工作機制、安全管理、權限控制等方面提供培訓；網絡架構介紹培訓：對的網絡部署、防火墻、入侵檢測、入侵防護系統(tǒng)、安全網關、防病毒系統(tǒng)等方面提供培訓；運維安全管理的介紹培訓：對的運維信息安全策略、安全管理規(guī)范、風險預警與應急處理方案等方面提供培訓；硬件產品應用和維護培訓：對加密機、時間戳服務器、統(tǒng)一身份認證服務器等硬件設備的應用和維護培訓。3.3.2 用戶培訓 將根據(jù)需要，在企業(yè)單位信息科的統(tǒng)籌下，為用戶提供培訓。培訓內容數(shù)字證書簡介培訓

54、對數(shù)字證書的概念，使用數(shù)字證書能帶來什么優(yōu)勢，身份認證、電子簽名、數(shù)據(jù)加密等功能的簡介培訓；數(shù)字證書使用培訓對數(shù)字證書介質驅動程序的安裝，介質管理工具各項功能的使用，數(shù)字證書在使用中的常見問題及解決方法等方面的培訓；數(shù)字證書在企業(yè)單位信息系統(tǒng)中的應用培訓對數(shù)字證書如何在相關業(yè)務系統(tǒng)中使用，在使用過程中的常見問題及解決方法等方面的培訓；電子認證服務培訓對提供的電子認證服務，包括數(shù)字證書各項業(yè)務的簡介、辦理流程、客戶服務體系等方面的培訓。培訓形式現(xiàn)場統(tǒng)一培訓針對終端用戶的培訓：在CA系統(tǒng)正式上線前，可由企業(yè)單位信息科通知并組織使用CA的終端用戶，到指定的培訓場所（例如會議廳），東方中訊培訓講師對終

55、端用戶進行培訓，內容包括數(shù)字證書基礎知識，數(shù)字證書在信息系統(tǒng)的操作方法，證書介質的維護保管，數(shù)字證書使用中常見問題的處理，數(shù)字證書的售后服務。培訓時長約1小時。針對企業(yè)單位信息科技術人員的培訓：企業(yè)單位信息科技術人員在本院CA系統(tǒng)的使用中擔任著重要角色，需要對其進行較全面的培訓?，F(xiàn)場培訓時長約2小時。對信息科技術人員培訓的同時東方中訊提供日常CA維護指導文檔。網絡培訓通過web網站形式，對證書使用中的常見問題進行收錄整理并更新，方便用戶查看。常見問題學習用戶手冊用戶手冊3.4 售后服務完善的技術支持和服務是應用系統(tǒng)得以長期穩(wěn)定運行的重要保障，也是獲得客戶最終認同和信任的必要前提，東方中訊公司本

56、著用戶至上的原則，憑借雄厚的技術實力、完善的服務體系、強大的支持后盾、本地化的地域優(yōu)勢，能夠快速響應客戶需求，并隨時根據(jù)客戶的實際需求提供全面的、個性化的技術支持服務。3.4.1服務理念我們秉承“誠信立德，人文為本，效率優(yōu)先，發(fā)展為上”的企業(yè)精神，以技術開發(fā)為后盾，以最佳服務求發(fā)展?！耙钥蛻魹橹行摹笔俏覀兊姆绽砟?，我們本著“用戶至上、質量第一、服務優(yōu)質、響應及時”的服務原則，為用戶提供及時、高效、可靠的服務。3.4.2服務內容積極解決用戶在使用數(shù)字證書過程中遇到的問題（如證書登陸系統(tǒng)、證書更新、證書注銷等問題）；提供數(shù)字證書相關應用的咨詢服務；為系統(tǒng)的升級和拓展提供應用集成支持；可根據(jù)客戶實

57、際需求進行系統(tǒng)的二次開發(fā)；認真履行各項服務條款和承諾。3.4.3售后服務組織東方中訊CA中心技術支持與售后服務組織方式如下圖所示：售后服務組織架構服務總監(jiān)、客戶代表、客服人員、服務專員等專職人員，以及實施人員、開發(fā)工程師和技術支持部的安全技術專家組成了服務支持隊伍。各職位的職責及隸屬關系說明如下：服務總監(jiān)：CA中心主管，負責CA中心的全面管理，包括值班、外出服務、信息反饋等制度的制定、工作安排和監(jiān)督實施；客戶代表：由營銷中心人員擔任，為用戶提供咨詢服務，了解用戶需求，聽取用戶意見和建議，將用戶的需求和建議進行分類，并及時反饋給相應的服務專員；客服人員：通過熱線電話和網絡的方式接收用戶的服務請求

58、，做好問題信息的記錄，及時為用戶解決問題；定期對客戶進行回訪，加強對客戶的反饋；服務專員：安全服務實施負責人，帶領技術支持工程師，完成服務總監(jiān)部署的服務計劃；服務專員在接到服務請求后，安排技術支持工程師在規(guī)定的時間內趕赴用戶現(xiàn)場或直接向用戶提供解決方案，保證其系統(tǒng)正常運行；文檔工程師：收取外勤服務技術工程師的服務反饋表。負責將服務反饋表中的技術信息和所總結的經驗整理分類，并錄入到CA中心的支持信息數(shù)據(jù)庫中，定期編制知識信息快訊，向全體技術人員發(fā)布；技術支持工程師：是服務實施人員，負責CA中心的技術服務工作。技術支持工程師外出到用戶現(xiàn)場做技術支持服務，服務完成后填寫服務反饋表，將具體的服務情況與

59、提供的方案、該次服務中的經驗和技術心得寫在其中，簽字后送交文檔工程師進行信息歸檔；技術后援人員：由研發(fā)中心的研究/開發(fā)工程師以及安全技術專家等共同組成，負責CA中心的各項技術服務工作。3.4.4售后服務流程東方中訊CA中心按照規(guī)范的服務流程為用戶提供服務，服務流程如下圖所示：售后服務流程3.4.5售后服務方式東方中訊CA中心通過熱線電話、網絡遠程、現(xiàn)場等多種服務方式，為用戶提供數(shù)字證書使用幫助、應用咨詢培訓、應急保障和應用集成支持等一系列本地化服務。東方中訊服務平臺如下圖所示：東方中訊服務平臺呼叫中心服務東方中訊CA中心擁有以客戶為主導的綜合語音平臺呼叫中心系統(tǒng)(Call Center), 客

60、服專員可通過電話指導的方式解決用戶的問題。東方中訊服務熱線：4007353922后服務投訴熱線 :3704電話響應時間：對一般性問題，客服中心在1個小時內反饋建議，8小時內解決問題；對復雜問題，CA中心在三個工作日內提出解決方案并及時解決問題。如果問題無法通過電話解決，需要進行遠程維護的，技術支持人員可通過網絡遠程服務的方式解決用戶的問題。網絡遠程服務如果用戶在系統(tǒng)使用過程中遇到一些基本的系統(tǒng)問題，我公司的支持工程師可以通過遠程撥號方式登錄到用戶設備上來查看問題的原因，并指導用戶排除故障。這種方式可以以更快、更及時的方式達到親臨現(xiàn)場解決問