文档介绍:社保行业
统一安全平台解决方案
XX科技有限公司
目录
第一章行业现状分析与需求分析 3
社保行业的现状及发展趋势 3
网上社保使用数字证书的必要性 3
政策层面 4
技术层面 4
业务层面 5
第二章基于PKI和IBC的双密码体系介绍 7
7
IBC简介 7
PKI与IBC对比 9
3. PKI与IBC融合 10
第三章基于奥联OSA架构的统一安全应用平台及行业解决方案 11
奥联OSA架构 11
整体解决方案 11
OLYM-OSA安全中间件 12
统一接入认证 14
内网管理 16
外网接入、安全传输 18
安全存储及备份 18
移动OA 19
全网设备管理 21
统一密钥管理中心 26
细粒度策略控制 28
第四章运营模式 29
与开发商的完美融合及价值提升 29
各单位模式分析 30
附录:公司简介 34
文档说明
编写日期
版本
阅读对象
社保行业用户、CA中心
方案概要
以IBC中心和IBCKEY为核心,实现多种应用和安全防护
第一章行业现状分析与需求分析
社保行业的现状及发展趋势
社会保险是关系到民生国计的大事,未来五年之内我国的社保要全国联网、社保业务电子化、网络化,通过网络在线的实现各种社保业务,这意味着一张有效的社保卡可以‘漫游’到全国,这是由温总理亲自挂帅的全国性社保项目。但我还很落后,各地发展参差不齐,以下是各地社保作业的调查情况:
现场办理、网上普通、数字证书认证三种业务模式比例:
共调研全国七大区二十五省四直辖市共52家社保局,其中现场办理共22家,网上普通申报共20家,使用证书认证共10家。其中广东省使用数字证书最为普遍和广泛。
从上表可以看到使用证书认证业务的不到20%,而且大部分还没有使用国家认可的安全介质。
网上社保使用数字证书的必要性
电子政务和电子商务的大力发展是未来的趋势,工业化和信息化的融合也是必然的趋势。但网上在线业务在提高生产效率的同时也带来巨大的隐患,因此网上普通业务只能作为技术普及引导,电子政务及电子商务的核心保障应该是密码技术,比如证书认证技术、标识密码技术。其必要性表现在以下方面:
政策层面
《中华人民共和国电子签名法》
为确保网上办理社保信息安全、真实、可靠,根据《中华人民共和国电子签名法》的要求,参保单位在网上办理社保业务必须使用数字证书。
《国务院关于加快发展服务业的若干意见》
为深入贯彻落实《国务院关于加快发展服务业的若干意见》精神,充分发挥科技对服务业发展的支撑和引领作用,支持可集成和重用的安全认证、在线支付、在线征信、计量计价、商务搜索、授权管理、责任认定等服务组件的研究开发,形成配套的服务及服务接口技术标准和符合性测试工具,为信息平台互连互通提供基础技术条件,构建服务型社,服务型政府,推动我国现代服务业各领域持续、快速、和谐发展。
技术层面
解决钓鱼网站风险
描述:不法分子仿冒社保网站,参保人不慎填入用户名和密码,即被盗取用户资料。
可能发生的纠纷:A公司的社保账号用户名与密码被黑客软件盗取,黑客登陆社保网站后,将全公司员工的社保数据被删除,乱改,导致当月A公司社保不能有效的发放。
数据泄露和不完整的风险
描述:“网上查询”系统是通过HTTP协议进行信息传输,而HTTP协议是明文传输,因此在传输过程中社保用户的资料等敏感信息有可能在传输过程中被非法用户截取。用户的资料等敏感信息有可能在传输过程中被恶意篡改或部分信息丢失,无法保障传输数据内容的完整性,容易造成因敏感数据泄露而引起的纠纷
可能发生的纠纷案例:A公司的薪金是保密的,A公司张三的社保金额数据被窃取并泄露到A公司,引起了公司内部人员关于工资的争端,造成A公司内部管理出现混乱。
业务层面
责任无法认定的风险
描述:未采用数字证书的网上社保系统普遍采用用户名+密码方式登陆社保系统,用户用户名+密码方式容易被计算机病毒与木马盗取并被他人非法利用,用此产生的责任和损失无法有效的追溯。
可能发生的纠纷案例:A公司的社保账号用户名与密码被黑客软件盗取,黑客登陆社保网站后,将全公司员工的社保数据被删除,乱改,导致当月A公司社保不能有效的发放,
因此产生的损失和责任是?
A公司社保专员未做好计算机木马病毒的防范,导致账号被盗用?
社保局未做好保护对参保单位账号与密码的安全措施?
无良黑客的违法行为?
审计风险
描述:社保网上服务厅是对