实用参考电子印章集中管理应用解决方案doc.docx
《实用参考电子印章集中管理应用解决方案doc.docx》由会员分享,可在线阅读,更多相关《实用参考电子印章集中管理应用解决方案doc.docx(9页珍藏版)》请在冰点文库上搜索。
实用参考电子印章集中管理应用解决方案doc
电子印章集中管理应用解决方案
北京安证通信息科技股份有限公司
1方案概述3
2需求分析3
3方案设计4
3.1系统总体架构5
3.2印章集中管理7
3.3用章审批流程8
3.4防伪打印输出9
4系统功能9
5技术特点10
1方案概述
印章在金融、政府、企业以及个人的社会活动中均发挥着极其重要的作用。
但是在印章的实际使用和管理过程中,普遍存在着印章管理与使用不规范等问题造成印章滥用、代盖、盗用等。
用印的规范性已经引起了各部门的相当重视,印章集中管理成为解决该问题的一种最好方式,而印章集中管理后,如何确保用印的方便性,同样也是不容忽视的问题,所以如何做到既能安全的集中管理印章,又能方便的让各分、子公司方便的使用印章,正是印章集中管理解决方案设计的出发点。
该方案在分析印章集中管理的基本需求的基础上,提供了清晰的设计方案,特别是对印章集中管理、用章审批管理和文件防伪打印进行了详细的方案设计。
同时对系统功能做了简要描述,最后对系统的技术特点做了简单的总结。
2需求分析
为了避免实物印章存在的盖章难、印章被滥用、代盖、偷盖等问题。
因此将所有的物理印章进行电子化,通过印章集中管理系统实现对电子印章使用的规范管理。
具体的需求可以描述为如下几点:
1)公司所有的印章全部收缴到总公司印章管理部门封存保管。
各级分支机构不在具备盖章职能权限。
2)将所有实物印章实现电子化,电子化印章加密存储于数据库中,不可以被导出使用。
3)完全模拟传统实物印章的用章审批流程;
4)所有需要签章的文档全部导入到印章集中管理系统中,经过严格的用章流程审批后才允许盖章;
5)通过严格的授权体系和审批流程最后实现只有授权人才可以申请用印,只有指定的授权人(印章管理员)才可以在指定的文件中加盖指定的印章,并非印章管理员可以任意使用电子印章,这样才可以实现真正的用章安全控制
6)盖章后的电子文件具有防篡改、防抵赖性;
7)能够记录电子印章的全生命周期的日志信息,从印章入库、授权、停用、销毁、用章、撤章等等;
8)控制盖章文件的打印份数并且记录打印日志信息;
9)需要采取必要措施确保加盖印章之后的电子文档打印成纸质文件之后,确保纸质文件与电子文件的一致性和防伪性能。
3方案设计
为了实现印章集中管理与用章审批管理,确保用章安全性和盖章文件的可追溯性,本方案设计的基本思路如下:
1)印章集中存放:
将所有的实物印章进行收回,存放在公司本部专门的印章管理室,由专人、多人联合管理,互相制约;
2)印章电子化:
将所有的物理印章进行电子化,统一加密存放在数据库中,即使数据库被盗,也无法解密其中的电子印章文件。
3)用印审批:
将所有需要加盖印章的文档转入到印章集中管理系统中。
实行严格的用印审批流程,通过对不同类型的文件盖章设置不同的流程,通过权限设计,只有具备相关权限的人才可以申请用印,整个用印流程包括了用印申请、用印审批、加盖印章和文档打印。
这样可以实现印章管理员只可以对通过严格审批的特定文档加盖特定的印章,通过技术手段而不是完全依赖职业道德去约束印章管理员的随意用章行为。
4)确保电子文档安全性:
通过将数字签名技术与电子印章结合在一起的电子签章技术可以对盖章后的电子文档实现防篡改和防抵赖。
5)文件输出控制:
通过采用以下手段来电子文档的输出安全。
a)严格控制打印份数:
只有授权的持有USBKEP密钥的人才可以打印授权打印的电子文档,一般来说。
即使是授权人也只可以打印许可的打印份数,如果需要申请更多打印份数,需要特别申请补打份数。
b)采用加密二维条码:
通过采用加密二维条码来实现对关键信息的保护,将关键信息加密之后转换成二维条码,需要识别时,通过标准二维条码扫描枪,可以获取二维条码信息,利用解密客户端来还原原文,将从二维条码中获取的信息与纸质文件上的关键信息进行比对即可了解文件中的关键信息是否与原文一致。
c)光学水印防伪:
通过在打印文档时在每一页的特定位置加入光学水印信息,可以鉴别纸质文件的出处,和防止抽页。
光学水印在自然光下,凭肉眼是不可见的,只有通过特定的光栅片才可以看到特定的水印信息,通过转到光栅片,在不同角度可以看到不同的水印信息,即可以支持多重水印信息,一般采用两重水印可以。
综合以上安全措施可见,通过采用符合《电子签名法》的电子签章技术可以实现电子文档的防篡改和防抵赖,通过采用综合多种手段可以实现对电子文档的输出控制和纸质文件防伪。
由上可知,通过印章集中管理可以达到高于物理印章的盖章安全性和防伪性。
3.1系统总体架构
印章集中管理系统是以PKI/PMI技术为基础,基于安证通ESA20PP电子签章系统架构,其总体架构如下图所示。
印章集中管理系统总体架构图
3.2印章集中管理
安全电子印章管理应用系统是将世界先进的PKI技术应用于印章管理之中,强化对电子印章的申请、审批、制作和应用各个环节的管理,将电子印章与用户的数字证书进行关联,确保导入印章管理系统的电子印章图片以及电子印章持有者的身份真实可靠,防范电子印章持有者冒名顶替,从而杜绝电子印章的滥用,确保签章人的不可抵赖性。
将公司全部的电子印章加密存储到电子印章管理系统中,保证印章图片只有在电子印章系统中能够正常显示使用。
即使拷贝了印章图片信息,在电子印章系统外无法正常显示,保证了印章图片的安全存储。
所有印章可以授权给一个或者几个人管理,也可以授权其中某人仅对一部分印章具有管理和使用权限。
3.3用章审批流程
1)用印申请人员通过登录印章集中管理系统对申请用印文档进行用印申请,选择要使用的印章及审批人,可以选择一个或多个审批人;
2)审批人对申请进行审批,同时申请人可以更改印章名称,根据业务情况是否要进入到下一审批节点;
3)下一审批节点再次对申请内容进行审批,也可以更改用章信息;
4)审批完成后,流程转到印章管理员。
由专门的盖章人员对电子文档进行盖章操作,通过将印章名称(编号)与电子印章图片一一绑定,可以保证盖章的人在申请用印的文件上只可以加盖指定的印章,不可以盖任意章。
也可以减少因盖章人员的失误造成的盖错印章。
5)盖章完成后,文档转到用印申请人,由用印申请人自己打印盖章后的电子文件。
6)审计管理员可以对系统所有操作进行日志审计和查询。
3.4防伪打印输出
电子签章客户端组件提供了二维条码、光学水印和骑缝章防伪组件,可以为已盖章文件的打印提供可靠的防伪手段和方便的辨别手段。
通过识别纸质文件中的防伪信息,可以有效的鉴别纸质文件的真伪。
1)打印份数控制:
只有授权的持有USBKEP密钥的人才可以打印授权打印的电子文档,一般来说。
即使是授权人也只可以打印许可的打印份数,如果需要申请更多打印份数,需要特别申请补打份数。
2)采用加密二维条码:
通过采用加密二维条码来实现对关键信息的保护,将关键信息加密之后转换成二维条码,需要识别时,通过标准二维条码扫描枪,可以获取二维条码信息,利用解密客户端来还原原文,将从二维条码中获取的信息与纸质文件上的关键信息进行比对即可了解文件中的关键信息是否与原文一致。
3)光学水印防伪:
通过在打印文档时在每一页的特定位置加入光学水印信息,可以鉴别纸质文件的出处,和防止抽页。
光学水印在自然光下,凭肉眼是不可见的,只有通过特定的光栅片才可以看到特定的水印信息,通过转到光栅片,在不同角度可以看到不同的水印信息,即可以支持多重水印信息,一般采用两重水印可以。
4系统功能
印章集中管理系统包括电子印章管理、电子签章认证、用印审批管理、系统日志审计、系统设置管理。
电子印章管理主要完成电子印章的申请、审批、制作以及电子印章授权/再授权、停用/启用、销毁等管理,以及对电子印章印模图片库进行维护和管理。
电子印章管理采用“用户—角色—权限”三维权限管理模型,可以给不同的人赋予不同的角色,进而分配不同的使用权限,这样可以将平台管理、印章申请、印章制作、印章管理、印章使用等权限分配给不同人员,从而从流程和权限上加强印章安全管理,这样从印章管理的角度也能确保印章来源的真实、可靠。
可以根据自己本身的需要自定义角色,以满足不同的管理需求。
电子印章管理全面地反映了电子印章的管理思想,建立了与传统实物印章相对应的电子印章管理思路,实现了电子印章从申请、审批、制作到使用授权、停用/启用、销毁直至使用等整个生命周期的管理。
电子印章管理分为几大功能模块:
电子印章申请、电子印章制作、印章印模管理、电子印章授权、系统日志审计、系统设置管理、软件自动升级管理。
1)USBKEP管理:
主要是对用于登录印章集中管理系统的用户的USBKEP在系统中进行注册,只有注册过的USBKEP的持有人才可以登录该系统,也只有经过注册的USBKEP才可以用来使用电子印章。
USBKEP管理模块包括注册、挂失(取消挂失)、销毁和授权的操作。
2)电子印章申请:
授权人员可以登录系统填写电子印章申请单,填写申请单时应该区分申请的是电子公章、个人名章还是个人手写签名,对于不同的电子印章形式,需要填写的内容会有所区别。
申请经过审核后才可以进入印章制作环节,审批未被批准,则退回申请。
3)印章申请审批:
印章管理部门在收到申请后,根据业务需求决定是否同意使用电子印章,如果同意申请,则进入下一个制章环节,如果不同意申请,则退回申请。
1)印章印模维护:
在申请人提交申请的同时,会上传一个经过图片处理软件处理的实物印章印模或者个人签名图片,申请通过后,该图片自动导入印章印模库,并且要导入时间作为印模生效的起始时间,而印模有效期自动设为无限期。
印章管理人员可以对各个印章印模进行停用、销毁和查询等管理,对于已经停用或者销毁的印模,在制作电子印章时不可以再使用。
对于印章名称相同,但是印鉴不同的印章,应该保持多个印鉴印模,但是同时有效的只可以有一个。
2)电子印章制作:
印章申请在经过审批之后,即自动进入制作流程。
制章时需要在插入制章授权卡后插入电子印章卡,选择合适的印章印模就可以自动完成制章流程,将印章印模图片与电子印章卡内的数字证书进行绑定并且将加密后的电子印章存储在服务器数据库中。
3)印章授权管理:
电子印章制作完成后,还需要对电子印章的使用进行授权,以满足网络版电子签章时对签名者的身份进行认证。
个人签名章在制章时自动授权给本人,单位章或者部门章则需要根据实际情况进行授权。
4)电子印章管理:
该模块主要功能包括电子印章更新、停用/启用、电子印章销毁、电子印章的查询——可以查询各个阶段、各种状态的电子印章。
5)用章审批管理:
将所需要盖章的文档从本地导入到服务器中,或者通过接口设计自动从其他业务系统中导入需要签章的电子文档。
主要功能有:
a)新建审批流程:
根据文档类型不同,可以设置不同的用印审批流程。
b)流程跟踪管理:
可以跟踪各个用印审批流程,及时发现流程停止环节,确保流程畅通;
c)申请用印:
具备申请用印权限者在需要对某个文档盖章时,提交用印申请,在申请时要求填写用印原因,选定用印文件,选择需要加盖哪些印章。
d)撤销申请:
在申请签章的文档还没有盖章之前,可以撤销申请,该流程自然中止。
e)用印审批:
具备审批权限者登录系统后会看到等待审批的用印申请列表,选择某一个具体的申请,进行审核,审核通过进入下一个流程,审核不通过,在退回给上一个节点。
在进行审批时,可以修改用印的印章列表。
f)文档签章:
最后一个审批人审批通过之后,文档自动转到印章管理员处等待签章,印章管理员打开文档,插入USBKEP,点击“加盖印章”按钮,系统自动将弹出该文档可以加盖的印章列表,选择其一加盖之,如果只需要加盖一个印章,则不需要选择,印章位置可以移动,在正式确定之后自动锁定位置。
g)文档打印:
签章人可以分配打印份数,如果需要补打,则需要打印者提出申请,印章管理员可以临时增加打印份数给申请者。
6)日志审计管理:
该模块主要包括系统日志和用章日志。
系统通过记录ip和MAC地址以及操作人、操作类型、操作时间等,以弄清楚何人、何时在何处用哪台电脑对电子印章做过何操作,并且保证审计日志加密存储,从而保证审计日志的安全和不可篡改。
通过设定条件,可以自动对系统进行安全监控,以方便的将电子印章日志信息按条件,进行分级、分部门、分时间段进行统计,以便于管理人员及时掌握印章的使用过程,了解各单位、各部门制作电子印章的数量、盖章数量、违规用章报警等信息,便于管理人员监督和审计。
可以方便的将统计记录按要求,分级、分部门导出到EGcel表格中输出。
a)系统日志:
包括系统登录日志、印章申请日志、印章审批日志、印章制作日志等,能够详细的记录何人何时在哪台电脑上登录过印章管理后台并能详细记录登录后台所做的每一步操作,对每一步操作的结果是否成功都有日志记录对于操作失败的原因有记录说明如:
登录失败—密码错误!
。
b)用章日志:
包括签章日志、撤章日志等能够详细的记录何人何时在哪台电脑上对哪个文档进行签章、撤章、打印等操作,对每一步操作的结果是否成功都有日志记录对于操作失败的原因有记录说明。
c)打印日志:
详细记录每一个文档的打印日志,包括文档名称、打印人、打印日期、打印所有机器的IP地址和MAC地址等。
4)系统设置管理:
主要是完成系统基础数据的设置,包括组织机构设置、系统用户管理、系统角色管理、系统权限管理等功能。
a)组织机构设置:
设置电子印章制作系统中涉及的组织机构,本系统支持多级组织机构,支持树型组织机构的管理,进而使得电子印章制作系统支持集中部署,分级管理的应用模式。
b)系统用户管理:
输入电子印章用户的基本信息,并且给特定用户分配一定的角色,便于为特定用户群分配系统权限。
c)系统角色管理:
设置系统角色,通过角色,把相同性质的用户组织在一起,便于系统权限的分配。
d)系统权限管理:
为特定角色的用户分配系统权限,支持分级授权制章和分级审计管理。
升级会员 