财政身份认证系统国产密码算法升级核心软硬件产品和服务项目.docx

财政身份认证系统国产密码算法升级核心软硬件产品和服务项目.docx

《财政身份认证系统国产密码算法升级核心软硬件产品和服务项目.docx》由会员分享，可在线阅读，更多相关《财政身份认证系统国产密码算法升级核心软硬件产品和服务项目.docx（35页珍藏版）》请在冰豆网上搜索。

财政身份认证系统国产密码算法升级核心软硬件产品和服务项目

财政身份认证系统国产密码算法升级核心软硬件产品和服务项目

采购文件

招标编号：

汴财单一采购

市招标采购服务有限公司

年月

第一部分采购邀请函

市招标采购服务有限公司受委托，就财政身份认证系统国产密码算法升级核心软硬件产品和服务项目以单一来源采购方式进行采购。

邀请贵公司参与本次采购。

、项目编号：

汴财单一采购。

、项目需求：

详见项目要求。

、供应商资格要求：

（）符合《中华人民国政府采购法》第二十二条之规定。

、采购文件售价：

人民币元，售后不退。

、协商时间：

年月日时分。

、协商地点：

市招标采购服务有限公司。

、联系人：

宋先生

、联系：

市招标采购服务有限公司

年月日

第二部分项目要求

一、项目总体说明：

、本项目为财政身份认证系统国产密码算法升级核心软硬件产品和服务项目。

、资金来源：

财政资金。

、采购方式：

单一来源。

、项目控制价：

元。

供应商报价超出项目控制价的做废标处理。

二、项目保证金缴纳方式及数量：

、供应商应在递交投标文件前提交投标保证金并作为其投标文件的一部分。

本项目保证金金额为元。

、投标保证金从基本账户转入到市招标采购服务有限公司（以实际到账为准），其它缴纳方式不予受理。

户名：

市招标采购服务有限公司

开户行：

中国银行汴京桥支行

账号：

.成交人的投标保证金及银行同期存款利息在书面合同签订后个工作日退还。

、如供应商有下列情况之一，投标保证金将不予退还：

（）中标人拒绝按招标文件、投标文件及中标通知书要求与采购人签订合同；

（）供应商要求修改、补充和撤销投标文件的实质性容或要求更改招标文件和中标通知书的实质性容；

（）中标人拒绝按照招标文件规定时间、金额、形式提交履约保证金。

（）法律法规和招标文件规定的其他情形。

、请在在银行转账单上注明详细的项目名称及标段名称，并将银行转账凭证作为投标文件的组成部分装订入投标文件中。

、投标保证金递交截止时间同接收投标文件截止时间。

三、项目容

市级财政

身份认证与授权管理系统国产密码算法升级

货物需求一览表及技术需求书

一、项目概况

财政部于年开始进行了财政身份认证与授权管理系统（以下简称“身份认证系统”）的建设工作。

该系统采用国际通用密码算法，在财政业务专网、财政部外网分别部署了一套身份认证系统。

截至目前，财政业务专网身份认证系统发证超过万（含地方财政），外网身份认证系统发证超过万，覆盖全国各级财政部门。

通过财政身份认证系统的建设以及证书的签发和应用，不仅保证了各业务系统中用户的强身份鉴别，同时对业务系统关键、敏感操作提供抗抵赖功能，并对重要的数据进行了加密及完整性保护，大大提高了整体应用的安全水平。

年底国家密码管理局为满足新形势下提高网络身份认证安全性等应用需求，公开发布了我国自主研发的椭圆曲线公钥密码算法，并于年月下发了《关于做好公钥密码算法升级工作的函》的通知，要求已配备使用商用密码的部委组织落实本单位身份认证系统支持国产密码算法升级工作。

财政身份认证系统作为财政业务系统安全的重要保障手段，在财政系统得到大面积使用，特别是随着国库集中支付电子化改革的推进，全国使用财政身份认证系统的人员超过万人。

财政身份认证系统的安全性关系到国家资金安全，国产密码算法升级对提升财政系统安全具有实际意义。

另外，现有财政身份认证系统基础环境已运行超过年，不支持国产密码算法，并且设备严重老化，故障率较高，运维成本较大，需要进行整体更替。

为满足国家政策相关要求以及财政业务安全的实际需要，财政部信息网络中心对现有的身份认证系统开展了国产密码算法升级改造。

按照财政部《关于开展地方财政身份认证与授权管理系统国产密码算法升级工作的通知（财信[]号）》文件、省财政厅《关于开展省财政身份认证与授权管理系统国产密码算法升级工作的通知（豫财信[]号）》文件要求，并结合我市实际情况的前提下启动市财政局身份认证与授权管理系统国产密码算法升级的建设工作。

二、本次采购容

市财政局身份认证与授权管理系统国产密码算法升级，需要针对身份认证模块、授权管理模块、安全审计模块和应用安全组件进行国产密码算法升级工作，需要针对基础软硬件进行国产化替代，使市财政局身份认证与授权管理系统能够同时支持国际通用算法和国密算法，提供基础安全支撑服务。

具体容如下：

1.身份认证模块

按照财政部、省财政厅的统一规划和要求，需要将市财政局身份认证与授权管理系统中的身份认证模块进行组件更替和升级，即一是将现有的系统替换成一套支持、双算法的证书综合管理系统和服务器密码机，与省厅系统对接后实现数字证书及其存储介质的本地化管理，建立并规证书存储介质管理和使用流程，提供证书存储介质的电子化流程管理；二是将身份认证从进行软件版本升级，并与省厅身份认证从对接，实现本市公钥证书信息和的同步。

通过上述操作使身份认证模块即能平滑过渡，又能同时支持国际通用算法和国密算法。

2.授权管理模块

需要将市财政局身份认证与授权管理系统中的授权管理模块（用户属性管理系统）进行软件版本升级，同时进行数据迁移工作。

3.安全审计模块

需要将市财政局身份认证与授权管理系统中的安全审计模块（安全审计系统）进行软件版本升级，同时进行数据迁移工作。

4.应用安全组件

需要对市财政局身份认证与授权管理系统中的应用安全组件（身份认证网关）进行国产密码算法替换工作，使其能够同时支持国际通用算法和国密算法，为财政业务系统使用国产密码算法奠定基础。

5.基础软硬件国产化替代

需要对市财政局身份认证与授权管理系统建设所使用的服务器、操作系统、数据库等基础软硬件环境进行国产化替代。

6.智能密码钥匙

需要采购一批同时支持国际通用算法和国密算法的智能密码钥匙，做个个人数字证书的存储载体。

三、升级原则

1.统一原则

金财工程的整体建设是需要在统一的要求和规划下进行的，在要求中明确规定安全问题更需要统一考虑、设计和建设。

也是在此原则下财政部统一规划和建设了“财政身份认证与授权管理系统”，将数字证书、数字签名等技术在整个财政行业进行应用奠定了很好的基础，本项目需要在统一的原则下对市财政局身份认证与授权管理系统进行国产密码算法升级。

2.合规性原则

一是规划的合规，市财政局进行身份认证系统升级建设必须按财政部的统一规划进行，在证书制作管理、签名验证、身份认证、使用等方面统一规、统筹使用。

二是市财政局身份认证系统升级所使用的产品应具有国家密码管理局颁发的国密算法支持型号证书，且具备通过国密局审核的实际国产密码算法升级应用案例。

3.国产化原则

市财政局身份认证与授权管理系统是支撑市财政业务系统安全运行的重要基础设施，国产密码算法升级是将此前使用的国际通用加密算法更换为国产密码算法，其系统建设所使用的服务器、操作系统、数据库等基础软硬件环境应根据情况实现国产化目标。

4.整体规划分步推进原则

市财政国产密码算法升级涉及面广，涉及到的技术复杂度高，为此升级工作须整体设计，分阶段、分步骤落实推进。

具体表现在身份认证模块、授权管理模块、安全审计模块的升级，采用先省厅、后地市、区县的进程依次进行；应用安全组件升级后将同时支持算法和算法，在一定时间允许两种算法并行使用。

5.利旧性原则

对已配备的网络、服务器及相关安全设备等尽可能利旧，最大限度的节约资金，提升设备的利用率。

6.延续性原则

在不改变系统管理员、业务管理员、应用开发人员和最终用户使用习惯基础上进行身份认证系统升级。

四、技术标准及规

市财政局身份认证与授权管理系统国产密码算法升级，需要在安全环节应给予充分考虑，必须按照国家密码管理局《证书认证系统密码及其相关安全技术规》、《证书认证系统密码及其相关安全协议规》等的技术标准和要求建设，保证项目建设的物理与环境的安全、网络的安全、操作系统的安全、数据库的安全、系统部安全、策略安全、人员安全。

同时还要遵守财政信任体系定制的标准规，并结合市财政局的实际情况帮助市财政局编写适合本市的《数字证书管理办法》，财政相关标准规具体容如下：

《财政信息系统安全应用接口标准》

《财政身份认证与授权管理系统系统建设标准》

《财政身份认证与授权管理系统属性证书格式标准》

《财政身份认证与授权管理系统应用系统分类编码》

《财政身份认证与授权管理系统授权策略标准》

《财政身份认证与授权管理系统数字证书格式标准》

《财政身份认证与授权管理系统用户机构编码标准》

《财政身份认证与授权管理系统目录服务建设标准》

《财政身份认证与授权管理系统系统命名标准》

《财政身份认证与授权管理系统职务编码标准》

《财政身份认证与授权管理系统职称编码标准》

《财政身份认证与授权管理系统职级编码标准》

《财政身份认证与授权管理系统身份认证系统应用接口标准》

《财政身份认证与授权管理系统应用系统接入规》

《财政身份认证与授权管理系统数字证书管理规》

《财政身份认证与授权管理系统运行管理规》

五、系统建设整体架构

财政身份认证系统国产密码算法升级工作，整体遵循“算法兼容、数据迁移、平滑过渡”的原则，并沿用原身份认证系统整体架构，升级支持国际通用算法和国密算法的软件系统，部署兼容国际通用算法和国密算法的应用安全组件，把原身份认证系统中的用户数据、密钥数据等数据平滑迁移到升级后的系统中，使得升级后的系统既可以管理原有的国际通用算法的证书又可以支持发放国密算法的证书，对于证书用户整体升级工作透明，已经发放的数字证书不需要重新发放，至年业务应用全面升级支持国产密码算法。

市财政局身份认证与授权管理系统位于省财政厅的下一级，本次国产密码算法升级，主要针对身份认证模块（证书综合管理系统、服务器密码机和身份认证从）、授权管理模块（用户属性管理系统）、安全审计模块（安全审计系统）、应用安全组件（身份认证网关）进行国产密码算法更换和升级工作，并对市财政局身份认证与授权管理系统建设所使用的数据库等基础软硬件环境进行国产化替代。

市财政局所管辖各区县财政局作为市财政局的下一级，此次财政身份认证与授权管理系统国产密码算法升级，主要针对身份认证模块（证书综合管理系统（区县版）和区县小型密码机）进行国产密码算法更换和升级工作。

具体如下图所示：

（一）市本级

1、身份认证模块

◆部署证书综合管理系统，并与省厅系统对接，通过数据迁移工具将原有系统数据迁移至证书综合管理系统中，之后证书的所有业务操作均在证书综合管理系统中进行，以实现对证书发放各环节进行统一管理。

◆购置一台支持和双算法的服务器密码机，为证书综合管理系统提供加密服务。

◆身份认证从升级至最新版本，并与省厅身份认证从对接，实现本市公钥证书信息和的同步。

2、授权管理模块

◆用户属性管理系统（）升级至最新版本的统一账号管理系统（）。

3、安全审计模块

◆安全审计系统（）升级至最新版本。

4、应用安全组件

◆新购置支持和双算法的应用安全组件（身份认证网关），并将其原配置迁移到新组件上。

◆对于已完成安全改造的财政业务系统，基于国际通用算法的调用和使用模式暂时不变；针对新业务系统和需要使用国密算法的老业务系统，需要严格按照《财政信息系统安全应用接口标准》、《财政身份认证与授权管理系统应用系统接入规要求》进行新系统的开发和老系统的安全改造，并实现与财政身份认证系统的安全集成。

（二）区县财政局

1、身份认证模块

◆部署证书综合管理系统（区县版），并与市财政局证书综合管理系统对接，通过数据迁移工具将原有系统数据迁移至证书综合管理系统（区县版）中，之后证书的所有业务操作均在证书综合管理系统（区县版）中进行，以实现对证书发放各环节进行统一管理。

◆购置一台支持和双算法的区县版小型密码机，为证书综合管理系统（区县版）提供加密服务。

六、采购清单

序号

区域

名称

型号

数量

参考单价（元）

合计

（万元）

备注

1

市本级

证书综合管理系统

套

三年维保

2

统一账号管理系统

套

3

安全审计系统

套

4

服务器密码机

台

5

身份认证网关

台

6

数据库

组

7

系统实施服务

项

8

区县

证书综合管理系统

套

三年维保

9

密码机

台

合计

元

七、产品技术要求

（一）证书综合管理系统

序号

技术参数

指标和性能

产品形态

软件

数量

套

系统版本

★系统必须是财政部统一开发的最新版本，由财政部授权提供，不限制数量，需提供系统部署和联调测试工作。

功能要求

★（）证书介质管理功能：

提供初始化、用户码修改、用户码的远程解锁，用户证书自助更新等功能。

证书管理功能：

通过系统证书业务接口实现证书的申请、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书制作等功能。

（）查询统计功能：

提供“用户证书证书介质印章”四者关联查询功能；提供按证书介质品牌、状态的统计功能。

★（）支持签发、双算法证书。

★（）能够与省厅系统对接。

性能要求

★（）系统具有快速处理能力，排除网络的因素，用户登录、认证的响应时间，系统平均反应时间不超过一秒，尖峰时间不超过三秒。

★（）要求系统整体运行稳定，满足多用户并发使用要求，具有抗错能力，以保证各项工作的正常进行。

★（）系统运行过程中会与较多的其他系统发生数据交换，因此，本系统要能及时地检测到其它系统的故障，并进行相关处理。

其他

★满足用户身份认证证书的业务管理。

（二）统一账号管理系统

序号

技术参数

指标和性能

产品形态

软件

数量

套

功能要求

（）提供统一的用户管理，通过可信系统集中维护用户数据库，集中维护用户身份、属性信息，应用系统的用户数据库与可信系统用户数据库保持同步以保证各应用系统的用户数据的一致性。

统一账号管理要求与身份认证系统和授权管理系统无缝集成。

（）通过统一的操作管理界面，方便用户信息的统一的管理与维护，将分散的用户管理整合到一致的管理平台下。

用户管理系统需要提供相应的接口，实现和业务系统之间用户数据的同步。

（）用户管理系统能够管理用户的地域、部门、职级、职务、职称等属性信息。

★（）能够与身份认证网关无缝对接，实现用户帐号信息的传递。

性能要求★

（）系统容纳的最大用户数不小于万人。

（）系统平均响应时间小于秒。

（三）安全审计系统

序号

技术参数

指标和性能

产品形态

软件

数量

套

功能要求

★（）审计数据来源于相关应用和应用系统授权控制信息。

（）提供针对不同审计信息来源数据获取方式。

（）针对不同审计信息源提供灵活的接收机制。

（）提供完善的查询和统计功能，报表打印，数据归档。

（）管理员是按应用的类型划分，相互之间没有依赖关系。

（）审计数据按策略加密存储。

（）对应用系统端口进行监测，并提供报警功能。

（）支持多审计管理员，并可以分别控制其权限。

（四）服务器密码机

序号

技术参数

指标和性能

产品形态

硬件

数量

台

设备要求

★（）产品须证书综合管理系统进行无缝对接。

（）要求系统遵循国家标准，并基于标准的体系架构。

（）支持多种操作系统：

应用服务器与密码机之间采用协议进行通信，可支持多种主流的操作系统，如系列，系列，、、等操作系统。

（）三层密钥结构：

采用“设备保护密钥用户密钥（部密钥对或）会话密钥”的三层密钥保护结构，保证用户密钥及应用系统的安全性。

功能要求

（）安全密钥存储：

保证关键密钥在任何时候不以明文形式出现在设备外，密钥备份文件也受到主密钥的保护。

（）支持连接密码及白：

通过连接密码和白的支持，实现了密码机对应用服务器的授权认证，进一步提高了系统的安全性。

（）支持多机并行：

多机并行可以提供容错功能，当有密码机出现故障时不影响业务运算。

多机并行还可以提高密码运算性能。

（）密钥使用授权：

每对用户密钥对对应一个授权保护码，以保证不同密码应用系统调用同一台密码设备时的密钥安全性。

★（）全面支持国产算法：

非对称算法、杂凑算法、对称算法、对称算法，具有更好的可扩展性

性能要求★

（）位密钥对生成>对秒

（）位加密速度>次秒

（）位解密速度>次秒

（）位密钥对生成>对秒

（）位密钥对生成<秒对

（）算法加解密速度>

（）算法加解密速度>

（）算法加解密速度>

（）杂凑算法速度>

（五）身份认证网关

序号

技术参数

指标和性能

产品形态

硬件

数量

台

功能要求

（）构架在身份认证系统和授权管理系统基础之上。

（）所有服务的管理都基于。

★（）遵循财政部统一的应用接入在身份层面的标准要求。

（）兼容多样的应用模式（、等），对功能无任何影响。

★（）提供旁路的认证方案。

（）支持多证书链管理。

（）会话周期可以管理。

★（）支持算法和算法。

（）支持、版本格式的数字证书；

（）采用标准协议、数据格式与其他相关产品和应用系统交互，无缝衔接；

（）支持三元分立，管理员的安全登录及超时的自动注销；

（）具备严格的认证日志存储及查询机制，日志支持以方式向第三方审计服务器发送；

（）支持以、等多种方式下载，并能根据最新的对证书进行有效性校验；

★（）支持新老身份认证网关配置信息的导出导入，支持已接入业务系统的平滑过渡。

性能要求★

（）算法用户认证速度大于次秒。

（）算法用户认证速度大于次秒。

（）平均响应时间<秒。

（六）证书综合管理系统（区县版）

序号

技术参数

指标和性能

产品形态

软件

数量

套

功能要求

（）证书介质管理功能：

提供初始化、用户码修改、用户码的远程解锁，用户证书自助更新等功能。

证书管理功能：

通过系统证书业务接口实现证书的申请、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书制作等功能。

（）查询统计功能：

提供“用户证书证书介质印章”四者关联查询功能；提供按证书介质品牌、状态的统计功能；

★（）能够与市财政局证书综合管理系统对接；

★（）支持签发、双算法证书。

性能要求★

系统具有快速处理能力，排除网络的因素，用户登录、认证的响应时间，系统平均反应时间不超过一秒，尖峰时间不超过三秒。

（七）区县小型密码机

序号

技术参数

指标和性能

产品形态

硬件

数量

台

设备要求

★（）产品须与证书综合管理系统（区县版）进行无缝对接。

（）要求系统遵循国家标准，并基于标准的体系架构。

（）三层密钥结构：

采用“系统保护密钥卡密钥对会话密钥”的三层密钥保护结构，保证用户密钥及应用系统的安全性。

功能要求

（）物理随机数的产生：

采用双物理噪声源芯片生成的随机数。

（）用户访问权限控制：

具有用户管理功能，提高了密码设备自身的安全性。

（）安全密钥存储：

保证关键密钥在任何时候不以明文形式出现在设备外，密钥备份文件也受到主密钥的保护。

（）密钥使用授权：

每对用户密钥对对应一个授权保护码，以保证不同密码应用系统调用同一台密码设备时的密钥安全性。

★（）全面支持国产算法：

非对称算法、杂凑算法、对称算法、对称算法，具有更好的可扩展性

性能要求★

（）位密钥对生成≥对秒

（）位加密速度≥次秒

（）位解密速度≥次秒

（）位密钥对生成≥对秒

（）算法加解密速度≥

（）算法加解密速度≥

（八）数据库

序号

技术参数

指标和性能

产品形态

软件

数量

组

功能要求

★（）国产数据库。

（）支持事务提交、回滚的管理功能，具备特性。

（）具备完善的事务处理机制，支持高并发场景下的事务处理。

（）支持用户应用系统所需隔离级别，支持隔离级别的设置。

（）支持锁等待时间设置，以防止由于锁等待超时而影响到整个应用，一旦锁等待超时，数据库会将返回错误给应用系统；支持自动解死锁功能。

（）支持通用的数据库对象，包括：

表、视图、触发器、索引、序列、数据库、约束、同义词、存储过程。

（）支持用户应用自定义函数索引、用户自定义存储过程函数、用户自定义数据类型。

（）应具备完善的备份和恢复能力。

（）数据库建表支持分区功能。

（）支持基于图形化和字符界面的监控功能。

（）应具备共享存储集群功能，并且主备节点读写分离。

（）应具备双机热备功能，双机具备独立存储，并且主备节点双活读。

★（）完全支持、标准。

（）数据库支持国际上主流的字符集：

、、、、、、、、、、、、、。

性能要求

（）使用工具基于业界通用的标准模型进行测试，测试结果不低于万。

（）目标导出数据量不少于，记录数不低于亿条，测试结果用时不超过秒，从源表导入数据量不少于，记录数不低于亿条，测试结果用时不超过秒。

（）单节点支持并发个用户连接到数据库。

（九）系统实施服务

针对本项目需要提供以下集成实施服务容：

1、调研用户现状，整合优化现有资源，科学规地完成规划设计和方案编写工作。

2、完成项目新购或升级设备及软件的供货、安装升级、联调测试等工作。

3、完成证书综合管理系统安装、配置，完成系统与服务器密码机的联调，完成系统与省财政厅系统对接，并通过数据迁移工具将本市财政局系统数据迁移至证书综合管理系统中。

4、完成身份认证从软件版本升级，并与省财政厅系统对接。

5、完成用户属性管理系统软件版本升级，升级到统一账号管理系统，并将原有系统数据迁移到新系统中。

6、完成财政身份认证与授权管理系统中各种产品在向新环境的数据迁移配置工作，并保证身份认证服务的连续性。

7、完成安全审计系统软件版本升级，并将原有系统数据迁移到新系统中。

8、指导并配合应用厂商完成本市财政局业务系统与应用安全组件的安全集成工作。

9、利旧设备的配置更改、联调测试等工作。

10、现场培训和集中培训。

11、系统的试运行保证及验收工作。

12、完成项目实施管理、涉密管理、售后服务、技术支持。

13、项目其他相关配合。

第三部分供应商须知

说明

·适用围

．本采购文件仅适用于本次采购中所述项目的货物及服务采购。

本采购文件由市招标采购服务有限公司负责解释。

·定义

．“采购机构”是指组织本次采购的代理机构：

市招标采购服务有限公司。

．“供应商”是指符合采购文件规定的条件，向采购机构提交采购响应文件的供应商。

．“采购人”是指：

市财政局。

．“货物”是指供应商按照采购文件规定，须向采购人提供的货物、备品备件、工具、手册及其他有关技术资料或材料。

．“服务”是指供应商按照采购文件规定，须向采购人提供的服务及其他类似的义务。

·合格的供应商

．供应商应遵守国家法律、法规和采购机构有关招标的规定。

·投标费用

．供应商应承担所有与参加采购有关的全部费用，不论采购结果如何，采购机构均无义务和责任承担这些费用。

采购响应文件说明

·采购文件的构成

．采购文件用以阐明所需货物及服务、采购投标程序和合同条款。

采购文件由下述部分组成：

采购邀请函

项目说明及要求

供应商须知

合同样本

采购响应文件格式

·采购