人社廳發(fā)〔2008〕62號

各省、自治區(qū)、直轄市人事、勞動保障廳（局），新疆生產(chǎn)建設(shè)兵團人事、勞動保障局：

為進一步提高人力資源和社會保障信息系統(tǒng)的安全保障能力，保證信息系統(tǒng)安全穩(wěn)定運行，按照金保工程建設(shè)總體部署和國家有關(guān)文件精神，我們擬定了《關(guān)于建設(shè)統(tǒng)一的人力資源社會保障網(wǎng)絡(luò)信任體系的指導(dǎo)意見》?，F(xiàn)印發(fā)給你們，請結(jié)合工作實際，認(rèn)真貫徹實施。

人力資源和社會保障部辦公廳

二〇〇八年八月七日

關(guān)于建設(shè)統(tǒng)一的人力資源社會保障網(wǎng)絡(luò)信任體系的指導(dǎo)意見

為進一步提高人力資源社會保障信息系統(tǒng)的安全保障能力，促進人力資源社會保障網(wǎng)絡(luò)信任體系建設(shè)，按照金保工程建設(shè)總體部署，根據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號）、《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于網(wǎng)絡(luò)信任體系建設(shè)若干意見》（國辦發(fā)〔2006〕11號）和《電子政務(wù)電子認(rèn)證體系建設(shè)總體規(guī)劃》（國密局聯(lián)〔2007〕2號）有關(guān)精神，提出以下意見。

一、目標(biāo)、任務(wù)和原則

（一）目標(biāo)和任務(wù)

人力資源社會保障網(wǎng)絡(luò)信任體系（以下簡稱網(wǎng)絡(luò)信任體系）建設(shè)的總體目標(biāo)：以人力資源社會保障業(yè)務(wù)專網(wǎng)為依托，利用密碼技術(shù)，建立全國統(tǒng)一、布局合理、保障有力、運行有序、安全可靠的網(wǎng)絡(luò)信任體系，為人力資源社會保障各應(yīng)用系統(tǒng)提供有效的身份認(rèn)證、數(shù)據(jù)加密、授權(quán)管理和責(zé)任認(rèn)定等安全機制，提升人力資源社會保障電子政務(wù)的應(yīng)用支撐能力和安全保障能力。

按照上述目標(biāo)，網(wǎng)絡(luò)信任體系建設(shè)的主要任務(wù)是：

1 建立部、省、市三級人力資源社會保障電子認(rèn)證系統(tǒng)，以人力資源社會保障部根認(rèn)證系統(tǒng)為行業(yè)信任源點，建立統(tǒng)一的電子認(rèn)證系統(tǒng)，最終納入國家電子政務(wù)外網(wǎng)電子認(rèn)證體系。

2 進行基于網(wǎng)絡(luò)信任體系的應(yīng)用軟件開發(fā)和集成，積極推動網(wǎng)絡(luò)信任體系在人力資源社會保障業(yè)務(wù)中的應(yīng)用。

3 根據(jù)國家電子認(rèn)證系統(tǒng)相關(guān)標(biāo)準(zhǔn)規(guī)范和國家密碼安全相關(guān)政策，結(jié)合人力資源社會保障業(yè)務(wù)特點，制定人力資源社會保障網(wǎng)絡(luò)信任體系標(biāo)準(zhǔn)規(guī)范，建立與網(wǎng)絡(luò)信任體系相配套的運行管理機制。

（二）建設(shè)原則

1 統(tǒng)一規(guī)劃，分步實施。根據(jù)金保工程建設(shè)的總體部署，構(gòu)建全國統(tǒng)一的網(wǎng)絡(luò)信任體系，制定統(tǒng)一規(guī)劃，在統(tǒng)籌考慮當(dāng)前與長遠(yuǎn)、局部與全局關(guān)系的基礎(chǔ)上，本著急用為先的原則，分步實施。

2 統(tǒng)一標(biāo)準(zhǔn)，相互信任。網(wǎng)絡(luò)信任體系實行全國統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，確保人力資源社會保障各子系統(tǒng)之間、各地區(qū)業(yè)務(wù)協(xié)作的相互信任。

3 分級建設(shè)，分級管理。在全國統(tǒng)一規(guī)劃前提下，各地區(qū)根據(jù)當(dāng)?shù)貥I(yè)務(wù)需求、技術(shù)和經(jīng)濟條件、信息系統(tǒng)建設(shè)狀況等，按照統(tǒng)一的標(biāo)準(zhǔn)和要求，建設(shè)并管理當(dāng)?shù)氐碾娮诱J(rèn)證系統(tǒng)。

4 需求主導(dǎo)，促進應(yīng)用。正確處理應(yīng)用與安全的關(guān)系，堅持應(yīng)用為先，以安全保應(yīng)用，以應(yīng)用促安全。

二、網(wǎng)絡(luò)信任體系的結(jié)構(gòu)與布局

網(wǎng)絡(luò)信任體系包括電子認(rèn)證系統(tǒng)以及與之相配套的標(biāo)準(zhǔn)規(guī)范和運行管理機制。

（一）電子認(rèn)證系統(tǒng)的構(gòu)成

電子認(rèn)證系統(tǒng)主要包括證書認(rèn)證設(shè)施和密碼管理設(shè)施，以及相配套的基礎(chǔ)安全防護設(shè)施。其中，證書認(rèn)證設(shè)施包括證書簽發(fā)管理系統(tǒng)、證書注冊管理系統(tǒng)和證書查詢驗證服務(wù)系統(tǒng)，密碼管理設(shè)施包括密鑰管理系統(tǒng)和密碼服務(wù)系統(tǒng)，基礎(chǔ)安全防護設(shè)施包括防病毒、防火墻、入侵檢測、漏洞掃描等系統(tǒng)。

證書簽發(fā)管理系統(tǒng)提供數(shù)字證書的簽發(fā)、發(fā)布、管理和撤銷等服務(wù)。證書注冊管理系統(tǒng)提供數(shù)字證書的申請注冊、審核等服務(wù)。證書查詢驗證服務(wù)系統(tǒng)提供數(shù)字證書和撤銷列表信息的查詢服務(wù)。密鑰管理系統(tǒng)提供密鑰生成、密鑰分發(fā)、密鑰托管和密鑰更新等服務(wù)。密碼服務(wù)系統(tǒng)提供加解密、簽名及簽名驗證等安全服務(wù)。各系統(tǒng)組成關(guān)系圖見圖1（略）。

（二）總體布局

網(wǎng)絡(luò)信任體系由部、省、市三級電子認(rèn)證系統(tǒng)組成，采用兩級證書認(rèn)證中心（見圖2，略）。人力資源社會保障部電子認(rèn)證系統(tǒng)作為一級認(rèn)證節(jié)點，建立證書認(rèn)證根系統(tǒng)、證書簽發(fā)管理系統(tǒng)、證書注冊管理系統(tǒng)、證書查詢驗證服務(wù)系統(tǒng)和密鑰管理系統(tǒng)，是人力資源社會保障網(wǎng)絡(luò)信任體系的信任源點，為部本級和全國性應(yīng)用的證書用戶提供認(rèn)證服務(wù)。省級電子認(rèn)證系統(tǒng)作為二級認(rèn)證節(jié)點，建立二級證書簽發(fā)管理系統(tǒng)、證書注冊管理系統(tǒng)、證書查詢驗證服務(wù)系統(tǒng)和密鑰管理系統(tǒng)，為省本級和全省性應(yīng)用的證書用戶提供認(rèn)證服務(wù)。地市級電子認(rèn)證系統(tǒng)作為省級電子認(rèn)證系統(tǒng)的延伸，建立證書注冊管理系統(tǒng)和證書查詢驗證服務(wù)系統(tǒng)，為本地（市）的證書用戶提供認(rèn)證服務(wù)。

（三）省級建設(shè)模式

按照分步實施的建設(shè)原則，目前各地可在確保采用統(tǒng)一信任源、符合統(tǒng)一證書格式等標(biāo)準(zhǔn)規(guī)范的前提下，結(jié)合本地實際情況，選用以下兩種模式：

1目標(biāo)模式（模式一）：根據(jù)網(wǎng)絡(luò)信任體系總體布局，省級直接建立二級證書認(rèn)證中心。省級證書簽發(fā)管理系統(tǒng)從人力資源社會保障部證書認(rèn)證根系統(tǒng)獲取根證書，實現(xiàn)與人力資源社會保障部的互聯(lián)互通。省內(nèi)所屬地市建立證書注冊管理系統(tǒng)，與省級證書簽發(fā)管理系統(tǒng)連接，由省級證書簽發(fā)管理系統(tǒng)簽發(fā)證書。

2過渡模式（模式二）：省級建立證書注冊管理系統(tǒng)，暫不建立二級證書認(rèn)證中心。省級證書注冊管理系統(tǒng)及地市級證書注冊管理系統(tǒng)直接連接到人力資源社會保障部證書簽發(fā)管理系統(tǒng)，由部證書簽發(fā)管理系統(tǒng)簽發(fā)證書。

有條件的省份，應(yīng)直接采用目標(biāo)模式。暫不具備條件的，可先采用過渡模式，待條件成熟后，逐步過渡到目標(biāo)模式。

三、網(wǎng)絡(luò)信任體系建設(shè)

人力資源社會保障電子認(rèn)證系統(tǒng)在統(tǒng)一規(guī)劃的前提下，由部、省、市三級人力資源社會保障部門分別建設(shè)。

（一）人力資源社會保障部承擔(dān)的建設(shè)內(nèi)容

人力資源社會保障部負(fù)責(zé)制定網(wǎng)絡(luò)信任體系的總體框架和相關(guān)標(biāo)準(zhǔn)規(guī)范，負(fù)責(zé)統(tǒng)一規(guī)劃網(wǎng)絡(luò)信任體系的密碼體制，負(fù)責(zé)全國統(tǒng)一的電子認(rèn)證系統(tǒng)相關(guān)軟件的定制開發(fā)，承擔(dān)部級電子認(rèn)證根系統(tǒng)的建設(shè)工作，完成證書認(rèn)證系統(tǒng)的測評并通過國家密碼管理局組織的安全性審查，負(fù)責(zé)與人力資源社會保障部業(yè)務(wù)相關(guān)聯(lián)的安全認(rèn)證與授權(quán)管理，負(fù)責(zé)人力資源社會保障電子認(rèn)證系統(tǒng)納入國家電子政務(wù)外網(wǎng)電子認(rèn)證體系的相關(guān)工作。

（二）省及地市級人力資源和社會保障部門承擔(dān)的建設(shè)內(nèi)容

各地根據(jù)網(wǎng)絡(luò)信任體系建設(shè)的目標(biāo)、任務(wù)和原則，遵循網(wǎng)絡(luò)信任體系標(biāo)準(zhǔn)規(guī)范，以人力資源社會保障部電子認(rèn)證根系統(tǒng)為依托，承擔(dān)本地區(qū)電子認(rèn)證系統(tǒng)建設(shè)，負(fù)責(zé)電子認(rèn)證系統(tǒng)和應(yīng)用的集成工作。

四、網(wǎng)絡(luò)信任體系應(yīng)用

（一）應(yīng)用范圍

網(wǎng)絡(luò)信任體系為人力資源社會保障各項應(yīng)用提供有效的身份認(rèn)證、數(shù)據(jù)加密、責(zé)任認(rèn)定等安全保障機制。列入金保工程一期建設(shè)任務(wù)的聯(lián)網(wǎng)數(shù)據(jù)管理、社會保險基金財務(wù)數(shù)據(jù)采集管理、社會保險基金監(jiān)管、異地業(yè)務(wù)經(jīng)辦等全國性跨地區(qū)聯(lián)網(wǎng)應(yīng)用，要逐步以網(wǎng)絡(luò)信任體系為支撐，以確保系統(tǒng)的安全和可靠運行。其他各項跨地區(qū)聯(lián)網(wǎng)應(yīng)用，要在條件成熟時逐步納入統(tǒng)一的網(wǎng)絡(luò)信任體系。各地區(qū)自行開展的本地業(yè)務(wù)和應(yīng)用，可自主決定是否采用數(shù)字證書，但依托互聯(lián)網(wǎng)開展的自助式辦事業(yè)務(wù)，如網(wǎng)上社會保險費申報等，應(yīng)逐步采用數(shù)字證書。

（二）證書分類

網(wǎng)絡(luò)信任體系主要為兩類用戶提供電子認(rèn)證服務(wù)，一是全國人力資源社會保障系統(tǒng)業(yè)務(wù)專網(wǎng)用戶（以下簡稱內(nèi)部用戶），二是人力資源社會保障業(yè)務(wù)辦理中涉及的社會用戶（個人、用人單位等，以下稱外部用戶）。針對這兩類用戶，網(wǎng)絡(luò)信任體系簽發(fā)和管理五類證書。其中，面向內(nèi)部用戶的證書分為三類，分別是：

1機構(gòu)證書——面向人力資源社會保障系統(tǒng)內(nèi)部機構(gòu)（包括各級人力資源社會保障部門，各類經(jīng)辦機構(gòu)，公共服務(wù)機構(gòu)，街道社區(qū)人力資源社會保障服務(wù)站、所等）和服務(wù)于人力資源社會保障業(yè)務(wù)的系統(tǒng)外機構(gòu)（包括定點醫(yī)療機構(gòu)、定點零售藥店、人力資源社會保障事務(wù)代理機構(gòu)等）發(fā)放。

2人員證書——面向人力資源社會保障業(yè)務(wù)專網(wǎng)計算機終端用戶（包括各級人力資源社會保障部門工作人員、經(jīng)辦人員等）發(fā)放。

3設(shè)備證書——面向人力資源社會保障信息系統(tǒng)的服務(wù)器、終端設(shè)備等發(fā)放。

面向外部用戶的證書分為兩類，分別是：

1單位證書——面向人力資源和社會保障業(yè)務(wù)所管理服務(wù)的用人單位發(fā)放。

2個人證書——面向人力資源和社會保障業(yè)務(wù)所管理服務(wù)的個人發(fā)放。

（三）證書簽發(fā)

網(wǎng)絡(luò)信任體系采用“集中式生產(chǎn)、分布式服務(wù)”部署模式，即證書申請、審核分別在部、省、市的證書注冊管理系統(tǒng)進行，證書的生產(chǎn)（簽發(fā)、發(fā)布、管理、撤銷等）集中在部、省兩級證書簽發(fā)管理系統(tǒng)進行，證書查詢由分布在各地的證書查詢驗證服務(wù)系統(tǒng)進行。其中，人力資源社會保障部統(tǒng)一部署的全國性跨地區(qū)聯(lián)網(wǎng)應(yīng)用，采用的證書由人力資源社會保障部證書簽發(fā)管理系統(tǒng)簽發(fā)。各地自行部署的應(yīng)用，其證書由省級證書簽發(fā)管理系統(tǒng)簽發(fā)。采用過渡模式暫時未建二級證書認(rèn)證中心的省份，由人力資源社會保障部證書簽發(fā)管理系統(tǒng)代為簽發(fā)。

（四）證書載體

發(fā)放給機構(gòu)、人員及社會用戶的證書，存儲在具有國家密碼管理機構(gòu)批準(zhǔn)的證書載體中（UsbKey/IC卡）。人力資源社會保障部負(fù)責(zé)證書載體的設(shè)計，包括統(tǒng)一的外形式樣、載體印刷標(biāo)識、材料類型、內(nèi)部結(jié)構(gòu)、芯片技術(shù)標(biāo)準(zhǔn)和統(tǒng)一的數(shù)字證書格式。其中，面向跨省聯(lián)網(wǎng)應(yīng)用的設(shè)備證書，由人力資源社會保障部統(tǒng)一提供或指定選型。面向用人單位發(fā)放的證書，以社會保障（單位）卡為載體，由人力資源社會保障部統(tǒng)一指定選型。

五、網(wǎng)絡(luò)信任體系的運行與管理

部級和省級電子認(rèn)證系統(tǒng)的運行管理，由人力資源社會保障部及各省級人力資源社會保障部門自行安排，各地可根據(jù)本地區(qū)的系統(tǒng)規(guī)模和電子認(rèn)證業(yè)務(wù)量大小，自行維護或委托第三方認(rèn)證服務(wù)機構(gòu)維護。

委托具有合法資質(zhì)的第三方認(rèn)證服務(wù)機構(gòu)進行運行維護的地區(qū)，必須將委托的第三方機構(gòu)相關(guān)情況向人力資源社會保障部備案，并接受人力資源社會保障部組織的相關(guān)培訓(xùn)等，以確保各地間電子認(rèn)證系統(tǒng)的標(biāo)準(zhǔn)統(tǒng)一和安全穩(wěn)定運行。

目前已經(jīng)通過第三方認(rèn)證服務(wù)機構(gòu)提供電子認(rèn)證服務(wù)的地區(qū)，要按照統(tǒng)一的網(wǎng)絡(luò)信任體系建設(shè)要求逐步進行過渡，最終納入人力資源社會保障網(wǎng)絡(luò)信任體系。

六、保障措施

（一）統(tǒng)一標(biāo)準(zhǔn)

人力資源社會保障部統(tǒng)一制定網(wǎng)絡(luò)信任體系相關(guān)標(biāo)準(zhǔn)和規(guī)范，主要包括《人力資源社會保障電子認(rèn)證系統(tǒng)管理規(guī)范》《人力資源社會保障電子認(rèn)證系統(tǒng)認(rèn)證技術(shù)規(guī)范》《人力資源社會保障數(shù)字證書/證書撤銷列表格式規(guī)范》《人力資源社會保障數(shù)字證書應(yīng)用管理規(guī)范》《人力資源社會保障數(shù)字證書載體規(guī)范》等。同時，要遵循國家電子認(rèn)證系統(tǒng)標(biāo)準(zhǔn)規(guī)范和國家密碼安全相關(guān)政策，實現(xiàn)與國家電子政務(wù)外網(wǎng)電子認(rèn)證系統(tǒng)的相互信任。

（二）健全機制

人力資源社會保障部將制定全國網(wǎng)絡(luò)信任體系相關(guān)制度和規(guī)定，包括二級電子認(rèn)證系統(tǒng)審批、驗收和備案制度，電子認(rèn)證系統(tǒng)運行管理制度和數(shù)字證書使用制度等，將網(wǎng)絡(luò)信任體系相關(guān)軟硬件平臺的建設(shè)與運行，數(shù)字證書的簽發(fā)、管理和應(yīng)用等環(huán)節(jié)，納入規(guī)范化軌道。各地區(qū)要落實機構(gòu)和人員配置，在部里相關(guān)制度的基礎(chǔ)上，出臺相應(yīng)細(xì)則，確保網(wǎng)絡(luò)信任體系穩(wěn)定和可靠運行。

（三）經(jīng)費保障

各地電子認(rèn)證系統(tǒng)建設(shè)是金保工程建設(shè)的重要內(nèi)容之一。各級人力資源社會保障部門要積極籌措資金，認(rèn)真做好網(wǎng)絡(luò)信任體系建設(shè)。電子認(rèn)證系統(tǒng)的運維和管理所需費用，應(yīng)列入當(dāng)?shù)亟鸨９こ棠甓冗\行維護費中，也可按當(dāng)?shù)匚飪r部門相關(guān)規(guī)定收取證書的一次成本費和年度服務(wù)費，用于補充系統(tǒng)運行維護和技術(shù)支持服務(wù)經(jīng)費。

七、進度安排

人力資源社會保障部將于2008年下半年完成網(wǎng)絡(luò)信任體系相關(guān)規(guī)范標(biāo)準(zhǔn)的制定，完成部本級電子認(rèn)證系統(tǒng)的優(yōu)化和完善，啟動對部分全國性跨地區(qū)聯(lián)網(wǎng)應(yīng)用的安全支撐。

各省、自治區(qū)、直轄市的網(wǎng)絡(luò)信任體系建設(shè)，可根據(jù)各地區(qū)的實際情況，按照全國的總體部署方案，分批進行實施。各地要在金保工程一期建設(shè)中做好網(wǎng)絡(luò)信任體系方案設(shè)計等準(zhǔn)備工作，啟動有關(guān)的建設(shè)工作，在金保工程二期建設(shè)中全面完成網(wǎng)絡(luò)信任體系建設(shè)。