國家統(tǒng)計局企業(yè)一套表身份認(rèn)證系統(tǒng)介紹和工作要求/sundae_meng目錄一、信息安全形勢二、統(tǒng)計信息系統(tǒng)身份認(rèn)證體系情況介紹三、身份認(rèn)證系統(tǒng)原理和操作步驟四、工作要求一、信息安全形勢（一）信息化持續(xù)快速發(fā)展：云計算、物聯(lián)網(wǎng)-----

馬局長：展開雙臂，迎接信息化！（二）伴隨著風(fēng)險和威脅：

1.傳統(tǒng)：拒絕服務(wù)、病毒、蠕蟲、黑客入侵、漏洞……2.云風(fēng)險：云服務(wù)的惡意使用、數(shù)據(jù)丟失或泄漏、惡意內(nèi)部人員賬戶/服務(wù)劫持、不安全的云軟件、未知風(fēng)險預(yù)測……3.物聯(lián)網(wǎng)主要風(fēng)險：無線安全、不安全的芯片/軟件、企業(yè)、公民隱私問題、ID真實性問題……（三）國際：美國政府高度重視美國的國家網(wǎng)絡(luò)安全，5月發(fā)布《網(wǎng)絡(luò)空間國際戰(zhàn)略》、7月發(fā)布《網(wǎng)絡(luò)空間軍事行動戰(zhàn)略》提出戰(zhàn)略倡議，加快美國在網(wǎng)絡(luò)空間的軍事擴(kuò)張步伐；北約8月發(fā)布新的《網(wǎng)絡(luò)安全戰(zhàn)略》；英國、印度、新西蘭等------網(wǎng)絡(luò)空間安全已為越來越多的國家和政府所重視。（四）國內(nèi)：近幾年密集出臺信息安全政策（如等級保護(hù)、分級保護(hù)等），發(fā)布多項信息安全國家標(biāo)準(zhǔn)，加快信息安全保障能力的建設(shè)。（五）面對風(fēng)險、形勢，技術(shù)解決的基礎(chǔ)----身份認(rèn)證身份可信、資源可控、行為可查問題可查可信可控信息安全、認(rèn)證為先。你是誰？這是信息安全首要解決的問題。通過數(shù)字證書，可以實現(xiàn)強(qiáng)身份認(rèn)證，解決信息系統(tǒng)中“你是誰”的問題。在身份認(rèn)證的基礎(chǔ)上，基于數(shù)字證書可以進(jìn)一步解決保密性、完整性和防抵賴等問題。身份認(rèn)證系統(tǒng)是信息安全的基礎(chǔ)設(shè)施。三類身份認(rèn)證方式：1、密碼識別根據(jù)所知道的信息來證明身份用戶名+密碼、動態(tài)口令2、生物識別根據(jù)獨一無二的身體特征指紋、虹膜、人臉識別等3、證物識別根據(jù)所擁有的物品來證明身份數(shù)字證書（Ukey）、智能卡為什么說數(shù)字證書系統(tǒng)是信息安全的基礎(chǔ)設(shè)施？比對項數(shù)字證書用戶名/口令生物特征口令動態(tài)口令安全性高低中中認(rèn)證范圍用戶、設(shè)備認(rèn)證只認(rèn)證用戶只認(rèn)證用戶只認(rèn)證用戶加解密/防篡改/防抵賴可以實現(xiàn)不能實現(xiàn)不能實現(xiàn)不能實現(xiàn)技術(shù)可靠性高高高不高，誤識別可擴(kuò)展性高低低低標(biāo)準(zhǔn)化程度高低低低管理與維護(hù)成本中較高高高投資規(guī)模中低中高身份認(rèn)證方式比較

數(shù)字證書是國際和國內(nèi)主流的電子認(rèn)證方式；數(shù)字證書是網(wǎng)絡(luò)世界唯一合法（電子簽名法）的身份證。

（六）法律法規(guī)的要求《中華人民共和國電子簽名法》(中華人民共和國主席令第十八號)2004年8月28日頒布，明確了電子簽名的法律地位；《電子認(rèn)證服務(wù)密碼管理辦法》（國家密碼管理局公告第2號）2005年3月31日國家密碼管理局；《證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》國家密碼管理局2005年6月23日發(fā)布，明確了PKI技術(shù)在安全認(rèn)證領(lǐng)域的基礎(chǔ)地位；《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中對第三級應(yīng)用系統(tǒng)必須使用雙因素進(jìn)行用戶認(rèn)證，并有九項要求：身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制。由身份認(rèn)證系統(tǒng)（ＰＫＩ／ＣＡ）實現(xiàn)上述（紅色字體）五項安全要求。（七）身份認(rèn)證應(yīng)用現(xiàn)狀國際：美國聯(lián)邦、日本等均建設(shè)了基于PKI/CA技術(shù)的身份認(rèn)證系統(tǒng)，實現(xiàn)信息系統(tǒng)的身份認(rèn)證。國內(nèi)：電子政務(wù)內(nèi)網(wǎng)、外網(wǎng)電子認(rèn)證系統(tǒng)；稅務(wù)、海關(guān)、統(tǒng)計等行業(yè)認(rèn)證系統(tǒng)；銀行業(yè)認(rèn)證系統(tǒng)（證書KEY）等。二、統(tǒng)計信息系統(tǒng)身份認(rèn)證體系情況介紹

（一）背景：企業(yè)一套表系統(tǒng)是在公安部備案的信息安全等級三級的應(yīng)用系統(tǒng)，是“四大工程”的核心。受到了統(tǒng)計系統(tǒng)和社會各界的廣泛關(guān)注，對系統(tǒng)的安全保障能力也提出了更高的要求。

尤其上報數(shù)據(jù)的企業(yè)用戶，經(jīng)濟(jì)數(shù)據(jù)是企業(yè)的最高機(jī)密，直接關(guān)系經(jīng)濟(jì)利益，因此更關(guān)心報送系統(tǒng)是否可信、上報的數(shù)據(jù)是否被第三方竊取等。身份認(rèn)證系統(tǒng)是保障信息安全的基礎(chǔ)。（二）統(tǒng)計信息系統(tǒng)身份認(rèn)證系統(tǒng)現(xiàn)狀國家統(tǒng)計局身份認(rèn)證系統(tǒng)始建于2000年，是專門為統(tǒng)計業(yè)務(wù)系統(tǒng)提供安全認(rèn)證服務(wù)的系統(tǒng)。已應(yīng)用身份認(rèn)證的聯(lián)網(wǎng)直報系統(tǒng)：工業(yè)企業(yè)聯(lián)網(wǎng)直報、企業(yè)和服務(wù)業(yè)調(diào)查信息網(wǎng)、3000家房地產(chǎn)企業(yè)直報網(wǎng)、貿(mào)易外經(jīng)統(tǒng)計信息網(wǎng)、三農(nóng)數(shù)據(jù)網(wǎng)、服務(wù)業(yè)調(diào)查系統(tǒng)等。已簽發(fā)證書14萬張。隨著第二次全國經(jīng)濟(jì)普查項目的實施，目前已建設(shè)完成國家—省兩級分布式身份安全認(rèn)證系統(tǒng)。每省節(jié)點證書容量5000張?？蓪崿F(xiàn)《信息系統(tǒng)安全等級保護(hù)基本要求》三級標(biāo)準(zhǔn)中對企業(yè)一套表應(yīng)用系統(tǒng)身份鑒別、訪問控制、通信完整性、通信保密性、抗抵賴要求。經(jīng)聯(lián)調(diào)測試，目前在大并發(fā)訪問壓力下，國家局身份認(rèn)證每秒可簽發(fā)證書300張以上。（三）邏輯部署圖：（四）系統(tǒng)架構(gòu)圖：（五）身份認(rèn)證系統(tǒng)可以解決哪些安全問題

1.保護(hù)企業(yè)數(shù)據(jù)（可信、防竊取、防篡改等）；2.保障應(yīng)用系統(tǒng)安全；3.滿足國家公安部等信息安全主管部門的要求。三、身份認(rèn)證系統(tǒng)原理和操作（一）業(yè)務(wù)模式示意圖管理員操作：應(yīng)用系統(tǒng)管理員提供需注冊的用戶信息。身份認(rèn)證系統(tǒng)管理員將用戶信息在身份認(rèn)證系統(tǒng)中進(jìn)行注冊、審核。系統(tǒng)維護(hù)和技術(shù)支持。用戶操作：首次訪問企業(yè)一套表應(yīng)用系統(tǒng)時，到指定頁面下載本企業(yè)證書。訪問企業(yè)一套表應(yīng)用系統(tǒng)，安全認(rèn)證網(wǎng)關(guān)驗證用戶證書有效性。用戶填寫統(tǒng)計報表，并報送。（二）身份認(rèn)證系統(tǒng)證書下載流程企業(yè)一套表應(yīng)用系統(tǒng)用戶

２.首次登錄用戶，點擊”申請證書”按鈕１.用戶登錄應(yīng)用系統(tǒng)３.在證書下載的頁面下載安裝“根證書及配置文件”，并輸入用戶名和口令，下載用戶證書。用戶流程描述：企業(yè)用戶登錄企業(yè)一套表應(yīng)用系統(tǒng)；首次登錄系統(tǒng)的用戶，需下載安裝“根證書和配置文件”，輸入用戶名、口令，下載證書；證書自動安裝。本次培訓(xùn)演示環(huán)境:40:6001/dr//ytbonline;4/ytbonline;13/ytbonline;（三）使用證書，登錄應(yīng)用系統(tǒng)數(shù)據(jù)報送流程

流程描述：用戶在一套表系統(tǒng)首頁輸入用戶名口令，點擊“登錄”，并選擇本用戶證書；（后臺服務(wù)）安全認(rèn)證網(wǎng)關(guān)驗證用戶證書的頒發(fā)者是否合法以及證書是否在有效期限內(nèi)；（后臺服務(wù)）用戶證書驗證通過后，安全認(rèn)證網(wǎng)關(guān)將用戶證書信息傳遞給企業(yè)一套表系統(tǒng)；（后臺服務(wù)）企業(yè)一套表系統(tǒng)從安全認(rèn)證網(wǎng)關(guān)傳遞的數(shù)據(jù)中讀取用戶證書信息，并確定用戶權(quán)限；（后臺服務(wù)）企業(yè)一套表系統(tǒng)根據(jù)用戶權(quán)限，向安全認(rèn)證網(wǎng)關(guān)返回相應(yīng)業(yè)務(wù)操作界面；用戶計算機(jī)顯示相應(yīng)業(yè)務(wù)操作界面；開始數(shù)據(jù)報送，安全認(rèn)證網(wǎng)關(guān)保障數(shù)據(jù)傳輸?shù)陌踩１敬闻嘤?xùn)演示：40:6001/dr（四）常見問題1、每張證書有效期為三年，到期后需重新申請證書；2、在一套表系統(tǒng)中注冊了子賬戶的用戶，多個子賬戶可以同時使用其主賬戶的證書登錄系統(tǒng)，進(jìn)行報送；3、支持口令同步：在應(yīng)用系統(tǒng)中修改賬戶口令后，再到身