OA系统CA数字证书认证和电子签名解决方案.docx

某市 OA 系统（内外网）基于 CA 的身份认证和电子签名解决方案 1、 用户背景 内蒙古某市下属 2 区、5 县、4 旗，人口 300 余万，该市交通发达，是内蒙连接东北的交通枢纽。 2、 用户需求 通过与沟通，总结最终用户需求如下： BS 架构的 OA 系统，采用 Domino Notes 开发的，用到金格的 word 控件， 主要是做痕迹保留用的，和系统登录无关。需要保证登录者身份的真实性。 对流程文件的表单进行电子签名，需要保证公文审批的完整性和不可抵 赖性，同时要考虑一个表单，多个领导会签的情况。 通过运营商组的专网，在网络出口已经部署防火墙。 3、 解决方案 据既有的安全项目经验，根据信息安全等级保护条例，厅局级政府单位需要进行内外网隔离。目前暂时按照内外网隔离的方案进行设计，如果确实不需要部署外网，则不必考虑外网设计。 具体设计方案如下： 在内网建设 CA 服务器。 密钥生成和管理由证书服务器密码机负责。 采用一主两从 LDAP，内网部署一主一从，外网部署一从。内网的主 LDAP 数据自动推送到内网从 LDAP，手工导入到外网从 LDAP。CA 服务器的证书和 CRL 列表定期发布到内网主 LDAP。 在内网部署电子签名中间件，进行双向的签名和验签。 手持 USB KEY，带有密码芯片算法的 KEY，存储量大于等于 32K，用于私钥存储。 为应用系统的 WEB 服务器发放服务器证书，实现用户登录时，用户和服 务器的双向验证，确保应用服务器身份和用户身份的真实性。 在公网入口部署 SSL VPN 设备，确保应用服务器是在收保护前提下使用， 所有应用不被外部的病毒、木马、黑客攻击。用户采用 USB KEY 登录应用层传输加密机 4、 用户收益 采用本方案后用户受益如下： 通过强身份认证手段的采用，确保用户身份的真实性。 通过对表单电子签名，确保数据的不可否认性、不可抵赖性和事后可追溯性。 所投资的安全设备，可以为其它业务系统提供安全服务。 北京安软天地科技有限公司 专业的应用安全服务提供商，主要提供 CA 系统、SSL VPN 设备，以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案，在金融、政府、电力、石油石化行业有大规模成熟应用。