内蒙古自治区人力资源社会保障电子认证体系建设方案.docVIP

内蒙古自治区人力资源社会保障 电子认证体系建设方案 为做好全区人力资源社会保障电子认证体系建设工作，根据人力资源和社会保障部《关于建设统一的人力资源社会保障网络信任体系的指导意见》，制定本方案。 建设原则 统一规划、分步实施 根据人社部总体要求，自治区统一规划，分两期建设全区完整统一的电子认证体系，为全区人力资源社会保障各业务系统提供安全保障。 统一标准、相互信任 按照《人力资源和社会保障电子认证体系规范》（LD/T 30-2009），保持统一的信任源，确保人力资源社会保障各业务系统之间、各地区业务协作的相互信任。 技术先进、安全可靠 采用先进的电子认证技术，为自治区人力资源社会保障各业务系统提供信息安全、网络信任、身份鉴别、电子签章等安全服务，保障各业务系统安全稳定运行。 建设思路 （一）按照自治区统一规划，先期建设注册管理中心（RA），逐步建成完善的自治区电子认证中心(CA)。 （二）在推进电子认证体系建设的同时，进行数字证书业务应用的推广，从满足业务实际需求出发，率先完成对试点盟市、试点应用系统的电子认证应用。 （三）按照人社部统一标准，严格规范和控制数字证书的签发和使用，实现一人一证、一户一证、一机一证、一证多用和互信互认。 系统设计 人力资源社会保障电子认证体系包含电子认证系统基础层、证书业务管理层、证书应用支撑层、相关政策法规和标准规范，总体结构如图1所示。 图 1 人力资源社会保障电子认证体系总体结构图 电子认证系统基础层包括密钥管理系统、密码服务系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等。 证书业务管理层包括证书生命周期管理、系统运行管理、证书服务统一监管平台等。 证书应用支撑层包括基础安全接口和高级应用接口,为应用系统提供身份认证、数据加密解密、数字签名验签、电子签章、网络安全协议和时间戳等应用安全支撑功能。 （一）系统布局 自治区人力资源社会保障电子认证系统布局图如图2所示。 图2 人力资源社会保障电子认证系统布局图 自治区电子认证系统包括密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统。以人力资源社会保障电子认证根系统为信任源，日常证书业务不与电子认证根系统进行实时通信。所有数字证书的申请、注册、审核、签发、证书的载体导入和交付都由自治区电子认证系统独自完成，为全区内部和外部应用系统提供证书服务。 （二）系统建设内容 电子认证系统的建设主要包括证书认证设施、密码管理设施，以及相配套的基础安全防护设施、承载网络系统、机房环境设施、密码机和数字证书载体等，如图3所示。其中，证书认证设施包括证书签发管理系统、证书注册管理系统和证书查验服务系统；密码管理设施包括密钥管理系统和密码服务系统；基础安全防护设施包括防火墙、入侵检测、漏洞扫描、防病毒和安全审计等。 图3 电子认证系统设施结构图 1.电子认证系统 电子认证系统是电子认证体系的主要建设内容，涉及密钥管理系统、证书签发管理系统、证书注册管理系统和证书查验服务系统等电子认证系统软硬件的购置和部署实施。自治区电子认证系统软件产品具备国家密码管理局颁发的《商用密码产品技术鉴定证书》和《商用密码产品型号证书》。 2.基础安全防护 电子认证系统的基础安全防护系统建设包括防火墙、入侵检测、漏洞扫描、防病毒和安全审计等。产品为经国家认证的信息安全产品，具有公安部的《计算机信息体系安全专用产品销售许可证》和中国信息安全认证中心颁发的有效认证证书。 电子认证系统各安全域边界防火墙的工作模式设置为路由模式，入侵检测的配置设置为高警戒检测级别。安全域的边界防护采用具有访问控制、入侵检测防护、防病毒和安全审计等综合安全功能的UTM设备。 3.机房环境设施 电子认证系统部署的机房符合国家有关计算机机房设计和建设标准，以及机房场地安全要求。机房设有门禁、视频监控和消防系统，提供可靠的供配电系统。密钥管理系统和签发管理系统部署的机房达到《电子信息体系机房设计规范》（GB50174-2008）B级以上要求，放置在具有电磁泄漏发射防护的场所。 4.密码机 密码机包括电子认证系统专用密码机和证书应用密码机两类。产品具备国家密码管理局颁发的《商用密码产品技术鉴定证书》和《商用密码产品型号证书》。符合国家密码管理局《公钥密码基础设施应用技术体系 密码设备应用接口规范》(试用)和《人力资源和社会保障电子认证体系 第4部分：证书应用管理规范》（LD/T 30.4-2009）。密码机支持RSA（模长1024-2048）、SM1、SHA1、SHA256等算法。 5.数字证书载体 数字证书载体具备国家密码管理局颁发的《商用密码产品技术鉴定证书》和《商用密码产品型号证书》。产品符合《人力资源社会保障电子认证体系 第5部分：证书载体规范》（LD/T 30.5-2009）要求。