关于印发建设统一的人力资源社会保障网络信任体系指导意见的通知

　　为进一步提高人力资源社会保障信息系统的安全保障能力，促进人力资源社会保障网络

　　信任体系建设，按照金保工程建设总体部署，根据《国家信息化领导小组关于加强信息安全

　　保障工作的意见》（中办发〔2003〕27号）、《国家网络与信息安全协调小组关于网络信任体

　　系建设若干意见》（国办发〔2006〕11号）和《电子政务电子认证体系建设总体规划》（国密

　　局联〔2007〕2号）有关精神，提出以下意见。

　　一、目标、任务和原则

　　（一）目标和任务

　　人力资源社会保障网络信任体系（以下简称网络信任体系）建设的总体目标：以人力资

　　源社会保障业务专网为依托，利用密码技术，建立全国统一、布局合理、保障有力、运行有

　　序、安全可靠的网络信任体系，为人力资源社会保障各应用系统提供有效的身份认证、数据

　　加密、授权管理和责任认定等安全机制，提升人力资源社会保障电子政务的应用支撑能力和

　　安全保障能力。

　　按照上述目标，网络信任体系建设的主要任务是：

　　1、建立部、省、市三级人力资源社会保障电子认证系统，以人力资源社会保障部根认证

　　系统为行业信任源点，建立统一的电子认证系统，最终纳入国家电子政务外网电子认证体系。

　　2、进行基于网络信任体系的应用软件开发和集成，积极推动网络信任体系在人力资源社

　　会保障业务中的应用。

　　3、根据国家电子认证系统相关标准规范和国家密码安全相关政策，结合人力资源社会保

　　障业务特点，制定人力资源社会保障网络信任体系标准规范，建立与网络信任体系相配套的

　　运行管理机制。

　　（二）建设原则

　　1、统一规划、分步实施。根据金保工程建设的总体部署，构建全国统一的网络信任体系，

　　制定统一规划，在统筹考虑当前与长远、局部与全局关系的基础上，本着急用为先的原则，

　　分步实施。

　　2、统一标准、相互信任。网络信任体系实行全国统一的标准和规范，确保人力资源社会

　　保障各子系统之间、各地区业务协作的相互信任。

　　3、分级建设、分级管理。在全国统一规划前提下，各地区根据当地业务需求、技术和经

　　济条件、信息系统建设状况等，按照统一的标准和要求，建设并管理当地的电子认证系统。

　　4、需求主导、促进应用。正确处理应用与安全的关系，坚持应用为先，以安全保应用，

　　以应用促安全。

　　二、网络信任体系的结构与布局

　　网络信任体系包括电子认证系统以及与之相配套的标准规范和运行管理机制。

　　（一）电子认证系统的构成

　　电子认证系统主要包括证书认证设施和密码管理设施，以及相配套的基础安全防护设施。其

　　中，证书认证设施包括证书签发管理系统、证书注册管理系统和证书查询验证服务系统，密

　　码管理设施包括密钥管理系统和密码服务系统，基础安全防护设施包括防病毒、防火墙、入

　　侵检测、漏洞扫描等系统。

　　证书签发管理系统提供数字证书的签发、发布、管理和撤销等服务。证书注册管理系统

　　提供数字证书的申请注册、审核等服务。证书查询验证服务系统提供数字证书和撤消列表信

　　息的查询服务。密钥管理系统提供密钥生成、密钥分发、密钥托管和密钥更新等服务。密码

　　服务系统提供加解密、签名及签名验证等安全服务。各系统组成关系图见图1（略）。

　　图1电子认证系统构成

　　（二）总体布局

　　网络信任体系由部、省、市三级电子认证系统组成，采用两级证书认证中心（见图2）（略）。

　　人力资源社会保障部电子认证系统作为一级认证节点，建立证书认证根系统、证书签发管理

　　系统、证书注册管理系统、证书查询验证服务系统和密钥管理系统，是人力资源社会保障网

　　络信任体系的信任源点，为部本级和全国性应用的证书用户提供认证服务。省级电子认证系

　　统作为二级认证节点，建立二级证书签发管理系统、证书注册管理系统、证书查询验证服务

　　系统和密钥管理系统，为省本级和全省性应用的证书用户提供认证服务。地市级电子认证系

　　统作为省级电子认证系统的延伸，建立证书注册管理系统和证书查询验证服务系统，为本地

　　（市）的证书用户提供认证服务。

　　图2网络信任体系总体结构

　　（三）省级建设模式

　　按照分步实施的建设原则，目前各地可在确保采用统一信任源、符合统一证书格式等标

　　准规范的前提下，结合本地实际情况，选用以下两种模式。

　　1、目标模式（模式一）：根据网络信任体系总体布局，省级直接建立二级证书认证中心。

　　省级证书签发管理系统从人力资源社会保障部证书认证根系统获取根证书，实现与人力资源

　　社会保障部的互联互通。省内所属地市建立证书注册管理系统，与省级证书签发管理系统联

　　接，由省级证书签发管理系统签发证书。

　　2、过渡模式（模式二）：省级建立证书注册管理系统，暂不建立二级证书认证中心。省级

　　证书注册管理系统及地市级证书注册管理系统直接联接到人力资源社会保障部证书签发管理

　　系统，由部证书签发管理系统签发证书。

　　有条件的省份，应直接采用目标模式。暂不具备条件的，可先采用过渡模式，待条件成

　　熟后，逐步过渡到目标模式。

　　三、网络信任体系建设

　　人力资源社会保障电子认证系统在统一规划的前提下，由部、省、市三级人力资源社会

　　保障部门分别建设。

　　（一）人力资源社会保障部承担的建设内容

　　人力资源社会保障部负责制定网络信任体系的总体框架和相关标准规范，负责统一规划网络

　　信任体系的密码体制，负责全国统一的电子认证系统相关软件的定制开发，承担部级电子认

　　证根系统的建设工作，完成证书认证系统的测评并通过国家密码管理局组织的安全性审查，

　　负责与人力资源社会保障部业务相关联的安全认证与授权管理，负责人力资源社会保障电子

　　认证系统纳入国家电子政务外网电子认证体系的相关工作。

　　（二）省及地市级人力资源和社会保障部门承担的建设内容

　　各地根据网络信任体系建设的目标、任务和原则，遵循网络信任体系标准规范，以人力资源

　　社会保障部电子认证根系统为依托，承担本地区电子认证系统建设，负责电子认证系统和应

　　用的集成工作。

　　四、网络信任体系应用

　　（一）应用范围

　　网络信任体系为人力资源社会保障各项应用提供有效的身份认证、数据加密、责任认定等安

　　全保障机制。列入金保工程一期建设任务的联网数据管理、社会保险基金财务数据采集管理、

　　社会保险基金监管、异地业务经办等全国性跨地区联网应用，要逐步以网络信任体系为支撑，

　　以确保系统的安全和可靠运行。其他各项跨地区联网应用，要在条件成熟时逐步纳入统一的

　　网络信任体系。各地区自行开展的本地业务和应用，可自主决定是否采用数字证书，但依托

　　互联网开展的自助式办事业务，如网上社会保险费申报等，应逐步采用数字证书。

　　（二）证书分类

　　网络信任体系主要为两类用户提供电子认证服务，一是全国人力资源社会保障系统业务专网

　　用户（以下简称内部用户），二是人力资源社会保障业务办理中涉及的社会用户（个人、用人

　　单位等，以下称外部用户）。针对这两类用户，网络信任体系签发和管理五类证书。其中，面

　　向内部用户的证书分为三类，分别是：

　　1、机构证书——面向人力资源社会保障系统内部机构（包括各级人力资源社会保障部门、

　　各类经办机构、公共服务机构、街道社区人力资源社会保障服务站、所等）和服务于人力资

　　源社会保障业务的系统外机构（包括定点医疗机构、定点零售药店、人力资源社会保障事务

　　代理机构等）发放。

　　2、人员证书——面向人力资源社会保障业务专网计算机终端用户（包括各级人力资源社

　　会保障部门工作人员、经办人员等）发放。

　　3、设备证书——面向人力资源社会保障信息系统的服务器、终端设备等发放。

　　面向外部用户的证书分为两类，分别是：

　　1、单位证书——面向人力资源和社会保障业务所管理服务的用人单位发放。

　　2、个人证书——面向人力资源和社会保障业务所管理服务的个人发放。

　　（三）证书签发

　　网络信任体系采用“集中式生产、分布式服务”部署模式，即证书申请、审核分别在部、

　　省、市的证书注册管理系统进行，证书的生产（签发、发布、管理、撤销等）集中在部、省

　　两级证书签发管理系统进行，证书查询由分布在各地的证书查询验证服务系统进行。其中，

　　人力资源社会保障部统一部署的全国性跨地区联网应用，采用的证书由人力资源社会保障部

　　证书签发管理系统签发。各地自行部署的应用，其证书由省级证书签发管理系统签发。采用

　　过渡模式暂时未建二级证书认证中心的省份，由人力资源社会保障部证书签发管理系统代为

　　签发。

　　（四）证书载体

　　发放给机构、人员及社会用户的证书，存储在具有国家密码管理机构批准的证书载体中

　　（UsbKey/IC卡）。人力资源社会保障部负责证书载体的设计，包括统一的外形式样、载体印

　　刷标识、材料类型、内部结构、芯片技术标准和统一的数字证书格式。其中，面向跨省联网

　　应用的设备证书，由人力资源社会保障部统一提供或指定选型。面向用人单位发放的证书，

　　以社会保障（单位）卡为载体，由人力资源社会保障部统一指定选型。

　　五、网络信任体系的运行与管理

　　部级和省级电子认证系统的运行管理，由人力资源社会保障部及各省级人力资源社会保

　　障部门自行安排，各地可根据本地区的系统规模和电子认证业务量大小，自行维护或委托第

　　三方认证服务机构维护。

　　委托具有合法资质的第三方认证服务机构进行运行维护的地区，必须将委托的第三方机

　　构相关情况向人力资源社会保障部备案，并接受人力资源社会保障部组织的相关培训等，以

　　确保各地间电子认证系统的标准统一和安全稳定运行。

　　目前已经通过第三方认证服务机构提供电子认证服务的地区，要按照统一的网络信任体

　　系建设要求逐步进行过渡，最终纳入人力资源社会保障网络信任体系。

　　六、保障措施

　　（一）统一标准

　　人力资源社会保障部统一制定网络信任体系相关标准和规范，主要包括《人力资源社会

　　保障电子认证系统管理规范》、《人力资源社会保障电子认证系统认证技术规范》、《人力资源

　　社会保障数字证书/证书撤消列表格式规范》、《人力资源社会保障数字证书应用管理规范》、

　　《人力资源社会保障数字证书载体规范》等。同时，要遵循国家电子认证系统标准规范和国

　　家密码安全相关政策，实现与国家电子政务外网电子认证系统的相互信任。

　　（二）健全机制

　　人力资源社会保障部将制定全国网络信任体系相关制度和规定，包括二级电子认证系统

　　审批、验收和备案制度、电子认证系统运行管理制度和数字证书使用制度等，将网络信任体

　　系相关软硬件平台的建设与运行、数字证书的签发、管理和应用等环节，纳入规范化轨道。

　　各地区要落实机构和人员配置，在部里相关制度的基础上，出台相应细则，确保网络信任体

　　系稳定和可靠运行。

　　（三）经费保障

　　各地电子认证系统建设是金保工程建设的重要内容之一。各级人力资源社会保障部门要

　　积极筹措资金，认真做好网络信任体系建设。电子认证系统的运维和管理所需费用，应列入

　　当地金保工程年度运行维护费中，也可按当地物价部门相关规定收取证书的一次成本费和年

　　度服务费，用于补充系统运行维护和技术支持服务经费。

　　七、进度安排

　　人力资源社会保障部将于2008年下半年完成网络信任体系相关规范标准的制定，完成部

　　本级电子认证系统的优化和完善，启动对部分全国性跨地区联网应用的安全支撑。

　　各省、自治区、直辖市的网络信任体系建设，可根据各地区的实际情况，按照全国的总

　　体部署方案，分批进行实施。各地要在金保工程一期建设中做好网络信任体系方案设计等准

　　备工作，启动有关的建设工作，在金保工程二期建设中全面完成网络信任体系建设。