LD/T 03-2022 人力资源社会保障电子认证服务管理规范.pdf
- 文档部分内容预览:
LD/T 03-2022 人力资源社会保障电子认证服务管理规范
对数字证书管理机构工作人员,按照其岗位和角色安排不同的培训。培训内容主要包括认证系统操 作过程、软硬件配置、安全管理规范以及安全意识和他们未来工作中将使用到的软件。 对数字证书管理机构工作人员,其认证系统的相关知识与技能,每年应总结一次并由数字证书管理 机构组织培训。技术的进步、系统功能更新或新系统的加入,都应对相关人员进行培训。 认证策略调整、系统更新时,应对全体人员进行再培训,以适应新的变化
5.7对未授权行为的处罚
当员工被怀疑,或者已进行了 超出权限使用认证系统或进行越权操 乍,得知情况属实后应立即对该员工进行工作隔离,随后对该员工的未授权行为进行评估,并根据评估 结果对该员工进行相应处罚和采取 相应的防范处理措施
人力资源社会保障数字证书主要包括机构证书、人员证书、设备证书和持卡人证书等类型。 a) 机构证书一一面向人力资源社会保障系统内部机构(包括各级人力资源社会保障部门、各类经 办机构、公共服务机构、街道社区人力资源社会保障服务站、所等)、服务于人力资源社会保 障业务的系统外机构(包括人力资源社会保障事务代理机构等),以及人力资源社会保障业务 所管理服务的企事业单位发放。 b) 人员证书一一面向人力资源社会保障业务专网计算机终端用户(包括各级人力资源社会保障部 门工作人员、经办人员等)发放。 设备证书一一面向人力资源社会保障信息系统的服务器、终端设备等发放。 d)持卡人证书 一面向第三代社会保障卡持卡人发放
设计图纸电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
数字证书管理机构应制定证书服务规范,建立证书服务流程,按照人力资源社会保障电子认证服务 机构认证业务规则办理相关业务。 数字证书管理机构应当提供如下服务: a) 数字证书的申请、签发、更新、撤销等证书生命周期管理服务,用户加密密钥的生成、备份和 恢复等服务; b) 数字证书信息查询及状态信息查询服务: c) 数字证书统计、查询、下载等支持服务,以及数字证书应用集成支持服务; d) 为数字证书用户提供使用支持; e)提供数字证书相关培训服务
使用数字证书的单位、个人、设备或应用系统,应按照数字证书申请流程及规范,填写《数字证书 申请表》(见附录A),提交数字证书信息资料。其中,设备证书申请时,应通过密码设备产生PKCS#10 证书请求文件,并随《数字证书申请表》一并提交。 证书申请信息应当真实、完整和准确,证书申请人对其申请信息实质内容的真实性负责。 数字证书用户所在单位或部门负责证书信息真实性、准确性的审核,提交当地数学证书管理机构办 理数字证书登记。 审核通过后,本地数字证书管理机构依据业务规则受理证书申请,进行证书签发。 数字证书签发完成后,数字证书管理机构通过机要邮寄、专人派送或现场领取的方式,将密封好的 数字证书存储介质及清单交付给证书申请人。证书申请人履行签字等义务后,即完成证书交付。 证书申请服务流程如图1所示,
图1数字证书申请服务流程图
证书申请流程如下: a)申请人/申请单位/申请机构根据所要申请的证书类型,填写相应的证书申请表;用户在申请证 书时,应如实填写《证书业务申请表》(见附录A.1~A.3),并按照申请表要求提交相关材料; 个人用户应提供身份证等身份证明材料,单位用户应提供统一社会信用代码证书等证明材料; 申请人在《证书业务申请表》上签字或申请单位申请机构在《证书业务申请表》上盖章; c) 在办理证书时,应严格鉴别用户真实身份,确保用户的申请材料真实、准确、齐全,并同时具 有业务系统的相关权限;在完成身份鉴别后,由申请人/申请单位/申请机构所在主管部门盖章; d) 主管部门盖章后,将证书申请提交给数字证书管理部门进行审核; 数字证书管理部门接收证书申请要求; 9 f) 数字证书管理部门对证书申请审核并签字: g) 全部审核通过后,并始制证。工作人员办理数字证书时,应按《证书业务申请表》上的信息如 实录入电子认证系统,为用户分配证书载体并下载数字证书。数字证书下载成功后,工作人员 应安全保管好用户申请表和相关资料的复印件; h)证书制作好之后,通知主管部门领取; i)主管部门领取数字证书并分发给证书用户; )完成证书交付后,证书用户应妥善保管证书载体,并按照规定的操作流程进行使用。 用户领取数字证书后,应及时更改保护口令:在使用过程中,应定期更改保护口令;如记口令 成连续输入错误口令导致数字证书被锁死,用户应及时向部省市数字证书管理机构报告,由部省市数字 正书管理机构负责处理
6. 4. 2 证书更新
人员证书、机构证书和设备证书的证书有效期一般为5年,持卡人证书的证书有效期一般为10年。 数字证书持有人应在证书有效期满之前通过本地数字证书管理机构办理更新业务 证书过期前两个月内,系统应提示用户进行证书更新,证书用户按照提示及时申请更新证书,以确 保信息的有效性和密钥的安全。 a)在线自助更新 对于证书信息无须改变的证书用户,在证书即将过期时,获得工作人员的授权后,证书用户自助进 行在线证书更新操作,通过在线方式下载新证书到证书载体内,从而完成证书更新。 在线自助更新流程如图2所示
图2证书在线自助更新流程图
在线自助更新流程如下: 证书用户使用证书载体登录证书在线更新系统; 2) 在线提交证书更新申请,并联系管理员进行授权; 3) 管理员对证书更新申请进行审核; 4) 审核通过后,管理员进行授权; 5) 授权成功后,证书用户以在线方式下载新证书到证书载体内; 6) 完成证书更新。
5)授权成功后,证书用户 6)完成证书更新。 b)人工更新方式 证书用户持证书载体到证书注册点现场办理证书更新,由证书注册点工作人员为用户办理证书更 新。 人工更新流程如图3所示
证书用户持证书载体到证书注册点现场办理证书更新,由证书注册点工作人员为用户办理证 人工更新流程如图3所示,
图3证书更新人工更新流程图
1 申请人/申请单位/申请机构提交用户证书及证书更新申请相关材料,并按照要求填写《证 书业务申请表》(见附录A.1~A.3); 2) 申请人在《证书业务申请表》上签字或申请单位/申请机构在《证书业务申请表》上盖章; 申请人/申请单位/申请机构所在主管部门对证书更新申请进行审核,审核通过后在证书更 新申请表上盖章; 4) 向数字证书管理部门提交证书申请; 5) 数字证书管理部门接收主管部门提交上来的证书更新申请; 6) 数字证书管理部门对证书更新申请审核并签字; 7) 全部审核通过后,开始制作新证书; 8 新证书制作完成后,通知主管部门领取证书: 9) 由主管部门领取新证书,并分发给证书用户; 10)证书用户在领取新证书后,应妥善保管证书载体,并按照规定的操作流程进行使用
当证书用户信息发生变更时,用户应到证书注册点申请变更证书信息。 证书变更按照证书更新流程执行,见6.4.2。 当用户证书载体丢失或损坏时,应重新申请数字证书,此时应按照首次证书申请流程执行,见6.4.1。
发生下列情形之一的,数字证书持有人应申请撤销或者变更数字证书: a)数字证书私钥泄露:
b)数字证书中的信息发生重大变更; 认为本人不能实际履行本行业电子认证有关规定的义务; d)辞职或调动工作岗位。 发生下列情形之一的,部省市数字证书管理机构应撤销其签发的数字证书: a)证书持有人提供的信息不真实; b) 司法机构要求撤销证书持有人证书; c) 证书持有人申请撤销数字证书; d) 证书持有人丧失民事行为能力: e) 证书持有人严重违反本行业电子认证有关规定的义务 f) 数字证书的安全性不能得到保证; g) 法律、行政法规规定的其他情形。
图4数字证书撤销服务流程图
证书撤销的办理流程如下: a)证书用户到证书注册点提交用户证书,填写《证书业务申请表》(见附录A.1~A.3),并说明证 书撤销原因; b) 申请人在《证书业务申请表》上签字或申请单位/申请机构在《证书业务申请表》上盖章; c)主管部门对申请人/申请单位/申请机构提交的请求进行审核,确保其身份是真实有效的;审核 通过后,申请人/申请单位/申请机构所在主管部门盖章; d)> 将证书撤销申请提交到数字证书管理部门; e) 数字证书管理部门接收证书撤销申请; f) 数字证书管理部门对收到的证书撤销申请进行审核并签字:
全部审核通过后,撤销申请人/申请单位/申请机构证书;24小时内将申请人/申请单位/申请机 构证书签发到CRL,并发布到证书查验服务系统 h) 撤销证书后,通知主管部门; 1) 主管部门应及时通知申请人/申请单位/申请机构证书被撤销; j)证书撤销成功。 当证书用户违反法律法规或因其他原因无法承担数字证书相关责任时,证书注册机构可对用户证书 进行强制撤销,撤销后及时告知该用户,
6. 4. 5. 1服务要求
证书持有人的签名密钥对由用户的密码设备(如智能密码钥匙)生成,加密密钥对由密钥管理中心 KMC)生成。证书持有人的签名私钥由自已要善保管,不做备份。加密密钥在KMC备份并能够恢复。 密钥恢复是指加密密钥的恢复,KMC不负责签名密钥的恢复。密钥恢复分为证书持有人密钥恢复 和司法密钥恢复两类。 a)证书持有人密钥恢复:当证书持有人的密钥损坏或丢失后,某些密文数据将无法还原,此时证 书持有人可申请密钥恢复。证书持有人向部信息中心申请密钥恢复,经审核后,通过认证系统 向KMC请求;密钥恢复模块接受证书持有人的恢复请求,恢复证书持有人的密钥并下载到持 有者的证书存储介质中, b)司法密钥恢复:司法取证人员向部信息中心申请,经审核后,由密钥恢复模块恢复所需的密钥 并记录于特定存储介质中
6.4.5.2证书持有人密钥恢复
证书载体丢失或损坏,应通过密钥恢复解密曾经加密的数据。 密钥恢复时,证书用户应提交真实、完整的身份证明材料。数字证书管理机构应严格审核用户 真实性,由两名工作人员共同完成密钥恢复操作。密钥恢复流程如图5所示
5密钥恢复服务流程图
申请人/申请单位/申请机构填写密钥恢复申请,用户应如实填写《证书载体解锁申请表》(见 附录A.4); 申请人在《证书载体解锁申请表》上签字或申请单位/申请机构在《证书载体解锁申请表》上 盖章; C 在办理密钥恢复时,主管部门应严格鉴别用户真实身份,确保用户的申请材料真实、准确、齐 全。在完成身份鉴别后,由申请人/申请单位/申请机构所在主管部门盖章; d)主管部门将密钥恢复申请提交给数字证书管理部门进行审核; 数字证书管理部门接收密钥恢复申请; 数字证书管理部门对密钥恢复申请信息审核,并签字: S 全部审核通过后,开始密钥恢复申请;工作人员办理密钥恢复业务时,应按照密钥恢复申请材 料上的信息如实录入电子认证系统,恢复证书用户的密钥并下载到证书存储介质中;密钥恢复 完成后,数学证书管理机构应安全保管好用户申请表和身份证明材料等: 密钥恢复完成之后,通知主管部门; ) 由主管部门领取证书存储介质,并交付给证书用户; 证书用户在领取证书存储介质后,应妥善保管并按照规定的操作流程进行使用。
6.4.5.3司法密钥恢复
司法密钥恢复应有以下两方人员同时在场参与: a)有司法恢复权限的密钥管理中心业务操作员: b)司法取证人员。司法取证人员应持有能证明其身份的数字证书和能进行数字签名的密码硬件(如 智能密码钥匙)。 司法密钥恢复流程如图6所示,
图6司法密钥恢复服务流程图
司法密钥恢复流程如下: a)司法取证人员填写司法密钥恢复申请,应如实填写《证书载体解锁申请表》(见附录A.4); b) 司法取证人员在《证书载体解锁申请表》上签字或申请单位/申请机构在《证书载体解锁申请 表》上盖章; c) 在办理密钥恢复时,主管部门应严格鉴别司法取证人员真实身份,确保司法取证人员的申请材 料真实、准确、齐全;在完成身份鉴别后,由申请人/申请单位/申请机构所在主管部门盖章; d)主管部门将司法密钥恢复申请提交给数字证书管理部门进行审核; e) 数字证书管理部门接收司法密钥恢复申请; T 数字证书管理部门对司法密钥恢复申请信息审核,并签字: g 全部审核通过后,开始司法密钥恢复申请:工作人员办理司法密钥恢复业务时,应按照司法密 钥恢复申请材料上的信息如实录入电子认证系统,恢复加密密钥对并下载到司法专用载体中; 司法密钥恢复完成后,数字证书管理机构应安全保管好司法密钥恢复申请表和身份证明材料 等; h) 司法密钥恢复完成之后,通知主管部门: 由主管部门领取司法专用载体,并交付给司法取证人员,
电子认证系统在签发证书、更新证书后,应及时将证书发布到数据库和目录服务系统中。在证书撤 销后,应将CRL及时发布到目录服务系统中,用户或应用系统可通过证书查验系统查询证书的撤销情 况。
6.4.7持卡人证书业务流程
6. 4. 7.1模式分类
第三代社保卡加载数学证书,是将持卡人证书写人第三代社保卡非对称认证系统环境个人化的过 程。 第三代社保卡非对称认证系统环境个人化包括:卡商批量写入数字证书、个人化中心批量写入数字 证书、快速发卡系统写入数字证书、服务窗口或持卡人自助写入证书和服务窗口申请并写入数字证书五 种可选模式,由发卡地区根据现有条件自行选择其中一种模式或多种模式。不同的个人化模式,其持卡 人证书业务流程不同。
6.4.7.2模式一:卡商批量写入数字证书
模式一适用于批量制卡并由卡商进行个人化的情况,其具体流程如图7所示。 a)完成卡体印制后,卡商首次个人化时,触发社保卡生成签名公私钥,并按照《第三代社会保障 卡非对称认证应用制卡数据流转流程(试行)》有关格式要求整理并提交申请数据(含签名公 钥及其他信息)。 b 发卡地区人力资源社会保障部门将接收到的申请数据与发卡数据进行比对,比对无误后,将申 请数据发送给省市级RA。 省市级RA将申请数据上传给上一级CA,由上一级CA统一签发数字证书并下发至省市级RA。 d) 省市级RA获取数字证书后,经由发卡地区人力资源社会保障部门回传给卡商。 卡商在获取数据后进行二次个人化,匹配签名密钥与数字证书后,将含数字证书的所有个人化 数据写入社保卡,修改非对称认证系统环境主控密钥和管理员PIN,即完成卡片的个人化。
图7 模式一:卡商批量写入数字证书的流程
6.4.7.3模式二:个人化中心批量写入数字证书
模式二适用于批量制卡并由个人化中心进行个人化的情况,其具体流程如图8所示。 a)第1步同模式一,卡商将半成品卡片和申请数据移交到发卡地区人力资源社会保障部门。 b) 发卡地区人力资源社会保障部门将接收到的申请数据与发卡数据进行比对,比对无误后,将申 请数据发送给省市级RA c 省市级RA将申请数据上传给上一级CA,由上一级CA统一签发数字证书并下发至省市级RA。 d) 省市级RA获取数字证书后,经由发卡地区人力资源社会保障部门回传给个人化中心。 个人化中心进行签名密钥与数字证书的匹配,将含数字证书的所有个人化数据写入社保卡,修 改非对称认证系统环境主控密钥和管理员PIN,以及进行社会保障系统环境主控密钥和应用密 钥替换,即完成卡片的个人化, 说明:如果个人化中心没有数据准备系统,应在个人化中心现有系统中新增该功能模块
6.4.7.4模式三:快速发卡系统写入数字证书
图8模式二:个人化中心批量写入数字证书的流程
模式三适用于零星制卡、补/换发卡并由快速发卡系统进行个人化的情况,其具体流程如图9所示。 a)卡商完成卡体印制和部分应用个人化后,形成预制卡。 b)前台受理发卡请求,快速发卡系统触发社保卡生成签名公私钥,并将申请数据上传给省市级RA。 C 省市级RA受理申请后,将申请数据上传给上一级CA,由上一级CA统一签发数字证书并下发至省 市级RA。基于快速发卡系统的时效性,数字证书的申请、签发和下发等工作应实时处理。 d 省市级RA将签发好的数字证书返回给快速发卡系统。 e 快速发卡系统进行签名密钥与数字证书的匹配,将含数字证书的所有个人化数据写入社保卡, 修改非对称认证系统环境主控密钥和管理员PIN,即完成卡片的个人化。
6.4.7.5模式四:服务窗口或持卡人自助写入数字证书
9模式三:快速发卡系统写入数字证书的流
模式四适用于先行在发卡期间完成卡片个人化、后台证书生成,后续在应用期间完成数字证书个人 化的情况,其具体流程如图10所示。 第1步同模式一。 b) 第2步同模式一。 c) 第3步同模式一。 d) 第4步同模式一或二(选择模式一或二取决于卡商还是个人化中心进行个人化)。 e) 持卡人可通过服务窗口工作人员、经办大厅的自助终端、PC端自助设备等途径下载写入数字证 书,也可直接访问证书在线自助服务系统完成数字证书的下载写入
模式四:服务窗口或持卡人自助写入数字证书
6.4.7.6模式五:服务窗口电请并写入数字证书
模式五适用于地市发卡未做非对称认证应用数据加载,由服务窗口申请并写入数字证书的情况,其 具体流程如图11所示。 该模式是应急方案,卡商在创建应用时,仅完成非对称认证系统环境的初始化,数字证书的申请及 写入全部由服务窗口完成。 a)卡商完成卡体印制和部分应用个人化,对于非对称认证系统环境,只建立文件结构,而不产生 签名公私钥。服务窗口触发社保卡生成签名公私钥,并将申请数据上传给省市级RA。 b) 省市级RA受理申请后,将申请数据上传给上一级CA,由上一级CA统一签发数字证书,并将证书 下发至省市级RA。 c) 省市级RA将签发好的数字证书返回给服务窗口。 d) 服务窗口将含数字证书的所有个人化数据写入社保卡,替换非对称认证系统环境主控密钥和管 理员PIN,即完成卡片的个人化。
6. 5.1证书资料管理
图11模式五:服务窗口申请并写入数字证书的流程
部省市数字证书管理机构应满足以下证书资料管理要求: a)数字证书原始资料、更新资料以及审核通过后的资料的管理; b)数字证书发放资料的管理; 用户信息注册表和数字证书撤消列表的审核与备案资料的管理; d 只允许指定专人负责本机构数字证书资料的收集、更新与管理,并及时提交更新后的数字证书 资料。
6.5.2信息保存年限
部省市数字证书管理机构应当采用符合国家相关法律法规要求的载体,完整记录、妥善保存数 业务申请材料、与认证相关的信息,并承担保密责任,不得泄露或遗失,信息保存期至少为证书 5年。
6.5.3信息保密要求
部省市数字证书管理机构应当按照《电子政务电子认证服务管理办法》等的规定,建立完善的保密 制度,履行保密义务,并接受有关职能部门的监督指导。 除法律法规另有规定外,部省市数字证书管理机构及其工作人员不得泄露下列信息: a)数字证书持有人的身份信息; b)数字证书持有人委托认证机构保管的数字证书密钥。
6. 6. 1证书介质保管
数字证书使用单位应当加强证书管理,指导并要求证书持有人要善保管数字证书介质及其密钥,未 经明确授权,不得随意转借他人使用。 出现数字证书介质丢失或损坏等异常情况时,证书持有人应当立即联系数字证书管理机构进行妥善 处理。 数字证书介质按照“专人专用”、“谁持有,谁负责”的原则进行管理,原则上不得转借他人使用
6. 6. 2 PIN 码保护
数字证书持有人应保护好数字证书,及时更改数字证书初始保护密码。如果怀疑密码失密、数字证 书信息有所改变、数字证书丢失等,应及时报告单位联系人,并通过单位联系人到数字证书管理机构办 理变更等相关手续。
7.1证书应用安全功能
基于数字证书的应用安全功能包括 女字签名验签等基本证书应用安全功 能,以及统一身份认证、 书应用安全功能
7.2 证书应用安全要求
等级保护第三级以上(含三级)的人力资源社会保障重要信息系统须采用密码技术保障系统应用和 数据安全,二级信息系统可根据自身安全防护需求采用密码技术保障系统应用和数据安全,具体包括: a)对于处于同一网络环境多个彼此独立、管理分散的应用系统,应建立统一身份认证管理机制: b) 所有三级系统应提供基于数字证书的用户身份认证功能,实现对登录用户及通信实体的身份 鉴别,确保用户及通信实体身份的真实性; C) 所有三级系统应提供数据加密、解密的功能,实现对信息系统重要数据的数据加密存储,确 保存储过程中的数据机密性; d) 所有三级系统应提供数字签名与验签功能,实现对重要数据的数字签名,确保数据完整性; e) 所有三级系统应提供基于数字证书的数据加密功能实现对重要业务操作的数据加密,或采用 SSL、IPSec等安全协议实现数据通道加密,确保其在传输过程中的数据机密性:
7.3证书应用服务支持
7.3.1证书应用服务管理
数字证书管理机构参与用户的业务系统安全需求分析,并指导证书应用部分的开发和实施。 业务系统明确安全需求分析后,填写《电子认证应用登记表》,签字后提交给主管部门进行 核通过后签字盖章,正式提交给数字证书管理部门。 数字证书管理部门对用户提交的资料进行复核,审核通过后进行应用集成的指导实施。
7.3.2证书应用接口程序
安全网标准7.3.3技术支持服务
提供向用户解释电子认证应用架构方面的问题、接口实现问题、软件部署问题,以及关于集成 范问题。
电子认证系统相关管理制度包括电子认证系统运行场所进出管理制度、用户信息保密制度、电 服务工作人员管理制度、机房安全管理制度等
各级数字证书管理机构在制定管理制度时,应按国家有关标准执行。
8.2安全操作与维护规范
数据备份的操作与维护规范应包括以下内容: 系统升级后,应立即进行全备份; 对数据变化量大的服务器,应每天做一次增量备份,每周做一次全备份; 对数据变化量少的服务器,可每周做一次备份; d)对重要数据应准备两套备份,其中异地存放一套; e)对数据库的备份应单独进行; 对重要的目录应单独进行备份; 手工进行的备份,应在介质上标明备份的服务器及路径; 自动进行的备份,应将备份介质有效区分; 选择的备份介质应能保证数据的长期可靠,否则应定期更新,
8. 2. 3口令管理
各级数字证书管理机构应制订应急处理预案,当出现重大故障或灾难性事故时抽样标准,应启动预定的应急 处理方案进行处理。 应急处理预案应根据事件的严重程度、紧急程度和事件类别,分别规范告警、报告、保护、处置、 善后、总结等处理流程和处置措施。 系统恢复正常运行后,应对应急处理过程进行总结,总结中应详细记录事件起因、处理过程、经验 教训、改进建议等。 应针对应急事件处理中暴露的问题,不断完善和修改应急处理预案
....- 相关专题: