XX市商用密码应用监管系统采购需求.docx

XX市商用密码应用监管系统采购需求一、项目背景近年来，国家对商用密码技术在信息化建设中的应用高度重视，网络空间安全形势也要求密码工作必须自主可控、自主创新。密码是网络安全的核心技术和基础支撑，是网络空间安全的DNA,运用商用密码技术保障数字经济安全将扮演着举足轻重的角色。正确设计、规划、建设、使用商用密码系统直接决定了整个网络信息系统的安全性。运用商用密码技术来保障数据的真实性、完整性、抗抵赖性是最经济、最有效的技术方式。为贯彻中华人民共和国密码法中华人民共和国网络安全法商用密码管理条例等法律法规，有效掌握全市商用密码应用情况，提升网络安全中商用密码相关信息的搜集能力，进一步加强商用密码对金融和重要领域信息系统保护,对商用密码应用情况、商用密码应用安全性评估情况的监管迫在眉睫。二、建设目标本项目遵循“一次设计、分步实施，注重效能”的建设原则，构建XX市密码管理局商用密码应用监管的基础支撑系统，完成与省密码管理局商用密码应用监管平台对接，推进全市商用密码应用监管体系建设，落实密码法对我局商用密码应用监管的工作要求，完成省密码管理局关于开展商用密码应用监管平台试点工作，实现商用密码应用合规性监管。三、技术路线XX市商用密码应用监管系统建设坚持问题导向和应用导向，遵循XX省商用密码应用监管体系设计和建设指南，对标省密码管理局商用密码应用监管要求，结合XX市商用密码应用监管的实际情况，聚焦核心问题，项目建设完成后进行总结提炼，在建立监管规范后进行应用推广。四、建设具体要求（一）本项目建设内容1.遵循XX省商用密码应用监管体系设计和建设指南，完成XX市商用密码应用监管系统建设规范的编写工作。2遵循XX省商用密码应用监管体系设计和建设指南，本项目构建XX市商用密码应用监管的基础支撑系统，包括但不限于XX地区商用密码应用安全性评估数据U流、商用密码产品认证证书查询、监管数据展示和运维管理。3.与省密码管理局商用密码应用监管平台集成，实现省密码管理局和XX市密码管理局监管数据互通。根据全省商用密码应用监管技术规范，构建商用密码应用监管数据互通时的应用层身份认证与密钥协商协议，实现应用层数据安全通信。本项目建设内容情况:序号内容名称数量单位说明1商用密码应用监管系统商用密码应用监管软件系统1套包括但不限于商用密码应用监管系统套件、商用密码应用安全性评估数据回流子系统、商用密码产品认证证书查询子系统、监管数据展示子系统、安全认证子系统、证书管理子系统、数字签名子系统、系统管理子系统，详见技术指标及参数。2信创服务器1台详见技术指标及参数。3信创密码硬件介质1套详见技术指标及参数。4信创服务器操作系统1套详见技术指标及参数。5信创集群数据库1套详见技术指标及参数。6综合安全网关1套详见技术指标及参数。7数字证书网关证书1张祚3年服务，详见技术指标及参数。8个人证书10张年3年服务，详见技术指标及参数。9项目集成省密码管理局商用密码应用监管平台技术对接1项详见技术指标及参数。（二）本项目详细建设要求1 .系统设计本项目的整体设计应当充分理解我省商用密码技术应用、商用密码应用安全性评估现状、以及XX市商用密码监管的需求，结合商用密码技术规范，遵循XX省商用密码应用监管体系设计和建设指南，设计符合我省商用密码应用的监管体系。XX市商用密码应用监管设计包括但不限于监管体系设计、监管系统架构设计、监管内容设计、被监管部门设计。本项目建设的商用密码应用监管系统，支持软硬件一体化、平台化架构，抽象化、模块化方式部署，建设按照商用密码技术规范要求，使用SM系列商用密码算法作为安全算法，并且按照商用密码技术规范实现密码算法，确保商用密码技术在商用密码应用监管系统中的正确运用。2 .遵循标准及规范（不限于）GM/T0002-2012SM4分组密码算法GM/T0003-2012SM2椭圆曲线公钥密码算法GM/T0004-2012SM3密码杂凑算法GM/T0005-2021随机性检测规范GM/T0028-2014密码模块安全技术要求GB/T39786-2021信息安全技术信息系统密码应用基本要求3 .本项目商用密码应用监管系统应当具备的功能本项目属于全省商用密码应用监管体系建设的一部分，应当确保本项目的商用密码应用监管系统建立统一密钥和证书管理机制；能够顺利对接省密码管理局商用密码应用监管平台，并对本项目使用的主密钥和证书进行全生命周期的管理。本项目商用密码应用监管系统的功能包括但不限于：(1)商用密码应用安全性评估数据回流通过与省密码管理局商用密码应用监管平台对接，获取XX市域的商用密码应用安全性评估分析结果数据。(2)商用密码应用安全性评估登记对XX市域开展的商用密码应用安全性评估项目进行登记，并同步至省密码管理局商用密码应用监管平台。(3)商用密码产品认证证书查询提供商用密码产品认证证书在线查询功能。(4)监管数据展示结合商用密码应用安全性评估数据、密评机构信息、商用密码产品认证证书数据、被监管信息系统商用密码应用数据等监管数据，提供多维数据展示。本项目运用的安全功能包括但不限于：(1)安全认证基于商用密码技术的身份认证功能，满足商用密码应用安全性评估要求。(2)证书管理实现商用密码应用监管系统使用的数字证书集中管理。(3)数字签名提供基于商用密码技术的数字签名功能。(4)电子签章提供符合电子签名法的电子签章。(5)系统管理包括但不限于接入管理、用户管理、日志管理、参数设置。依照XX省商用密码应用监管体系设计和建设指南，本项目的XX市商用密码应用监管系统，包括但不限于系统套件、商用密码应用安全性评估数据回流子系统、商用密码应用安全性评估登记子系统、商用密码产品认证证书查询子系统、监管数据展示子系统、安全认证子系统、证书管理子系统、数字签名子系统、系统管理子系统。4 .本项目商用密码应用监管系统部署要求根据全省商用密码应用监管体系规划要求，本项目建设的XX市商用密码应用监管系统的部署遵循全省商用密码应用监管体系部署要求，投标人应当充分理解本项目的商用密码应用监管要求，充分考虑XX商用密码应用监管的角色、部门，满足全省商用密码应用监管体系的整体部署要求，包括但不限于网络部署、整体架构部署，确保能够实现本项目的监管需求。（三）主要技术指标要求本项目的XX市商用密码应用监管系统建设需遵循XX省商用密码应用监管体系设计和建设指南。投标单位须按照以下要求在投标文件中进行逐条说明。1.XX市商用密码应用监管体系设计的技术指标要求指标项技术规格要求商用密码应用现状分析详细阐述商用密码应用现状，分析商用密码应用建设和密评过程中常见的问题。信息系统的数据生命周期商用密码技术应用分析结合具体应用场景，对信息系统的数据生命周期每个阶段使用商用密码技术进行分析。XX市商用密码应用监管体系根据商用密码应用和密评现状，详细阐述对全省商用密码应用监管体系的理解；说明XX市商用密码监管体系的设计思路和技术路线，如何与全省商用密码应用监管体系融合。结合全省商用密码应用监管体系设计和网络现状，详细描述XX市商用密码应用监管的组成和部署方式，阐述XX市商用密码应用监管系统架构设计和功能设计。说明XX市商用密码应用监管系统与省级商用密码应用监管平台的集成方式，包括但不限于各类监管功能的集成方式、集成模式、集成接口、个性化开发设计。说明XX市商用密码应用监管系统与XX市域被监管系统、统一密码服务平台的集成方式，包括但不限于各类监管功能的集成方式、集成模式、集成接口、个性化开发设计2.XX市商用密码应用监管系统的技术指标要求指标项技术规格要求总体要求商用密码应用监管系统整体架构为软硬件一体化平台，并非传统密码设备集群、密码资源池，供应商详细说明投标方案与传统密码硬件设备方案、密码资源池方案的区别。商用密码应用监管系统的软件系统具有独立自主的知识产权，具有产品计算机软件著作权登记证书和通过省级（含）以上软件评测中心测评取得的检测报告。支持信创架构，软件系统通过省级信创适配中心的信创适配测试，并取得适配报告。本项目硬件节点使用的硬件产品、操作系统、数据库软件符合自主可控要求。系统理论设计说明商用密码应用监管系统的密码功能设计、密码功能理论设计、密钥协议设计、被监管系统对接密码理论设计、与省级商用密码应用监管平台集成的理论设计；本项目的商用密码应用监管系统设计应当从密码理论上考虑安全性及可行性。商用密码应用安全性评估要求承诺商用密码应用监管系统建设完成后能够按照要求A至E通过商用密码应用安全性评估。要求A：网络和通信安全层面商用密码应用监管系统应采用完全符合商用密码应用安全性评估要求的数据传输通道，包括但不限于身份鉴别、通信数据完整性、机密性，详细说明具体实现方式，并提供通道协议抓包截图、数字证书作为佐证材料。要求B：应用和数据安全层面商用密码应用监管系统应采用自身提供的安全身份认证功能，并使用这些功能进行身份鉴别，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式。要求C：应用和数据安全层面商用密码应用监管系统应采用自身提供的数据完整性功能，并使用该功能保证自身系统访问控制信息完整性，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式，并提供验证数据完整性失败后异常处理的过程截图作为佐证材料。要求D：应用和数据安全层面商用密码应用监管系统应采用自身提供的数据存储保护功能，使用该功能进行数据存储机密性、完整性保护，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式，并提供数据被篡改后异常处理的过程截图作为佐证材料。要求E：应用和数据安全层面商用密码应用监管系统需采用自身提供的电子签章功能，使用该功能实现不可否认性，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式，并提供电子签章有效性验证通过的截图作为作证材料。商用密码应用监管系统软件系统（1套）指标项技术规格要求架构要求整体架构商用密码应用监管软件系统融合本期硬件节点，实现系统平台化、模块化、抽象化的统一部署，可支持服务编排（提供产品功能截图证明满足性）。软件系统提供组件化的微服务方式实现，每个微服务都可以独立替换和升级单元，各服务间采用轻量级的RPC协议通信。软件系统内各服务可以实现水平横向拓展，可以根据监管需求调整系统内的服务，以提供足够并发能力和高度的可用性。算法及遵循标准系统使用商用密码算法（SM2、SM3、SM4等），标准应包括但不限于GM/T0002-2012SM4分组密码算法、GMT0003-2012SM2椭圆曲线公钥密码算法、GM/T0004-2012SM3密码杂凑算法。兼容RSA、AES.ECC等国际通用算法集成规范提供系统的跨语言以及平台接入能力，商用密码应用监管系统统一对外提供以HTTP协议为基础的RESTful风格APIo可以不限开发语言接入商用密码应用监管系统，以一致的接入方式接入商用密码应用监管系统（提供产品功能截图证明满足性）。提供以适应不同开发环境和开发语言的兼容性接入和配套工具库，以便于系统的接入和相关功能的扩展。商用密码应用监管系统软件功能子系统系统套件软件系统支持平台化、模块化、抽象化的统一部署；建立统一密钥管理机制；通过商用密码应用监管系统套件，完成各子系统融合部署。（提供产品功能截图证明满足性）。商用密码应用安全性评估数据回流子系统根据全省商用密码应用监管体系，实现省级商用密码应用监管平台将XX市域商用密码应用安全性评估数据回流。数据回流方式符合全省商用密码应用监管体系数据回流要求，支持周期性自动回流、支持实时更新获取等。回流内容包括但不限于应用单位、信息系统名称、评估结果、备案编号、商用密码应用安全性评估机构、商用密码应用安全性评估人员等信息。（提供产品功能截图证明满足性）结合监管业务要求解析回流数据，提供多条件数据检索、数据详情展示。商用密码应用安全性评估登记子系统根据XX市域商用密码应用安全性评估现状，根据XX市密码管理局对密评项目的登记要求，完成密评项目开展和结果在商用密码应用监管系统中登记。登记内容包括但不限于应用单位、信息系统名称、评估结果、备案编号、商用密码应用安全性评估机构、商用密码应用安全性评估机构人员信息。密评机构登记采用省级商用密码应用监管平台的商用密码应用安全性评估监管客户端，支持基于商用密码SM2算法的协同签名。对登记数据实现电子签章，并形成登记报告。（提供产品功能截图证明满足性）商用密码产品认证证书查询子系统商用密码产品认证证书信息延误不超过48小时。提供在线查询功能，支持电子政务外网和互联网接入。查询内容包括但不限于证书编号、产品名称、委托人名称、产品等级、证书有效期、证书状态、执行标准。（提供产品功能截图证明满足性）监管数据展示子系统本项目商用密码应用监管系统采用采用数据驾驶舱方式进行统一展示。根据商用密码应用安全性评估数据回流状况，展示XX市域商用密码应用安全性评估状况，包括但不限于XX市域密评项目的测评机构、测评人员和被测系统。（提供产品功能截图证明满足性）商用密码应用安全性评估登记子系统数据统计展示。安全认证子系统提供基于商用密码技术的身份认证功能，支持USB-KEY,无介质数字签名安全认证，可根据具体业务需要选择性应用。详细说明实现方式。提供基于商用密码技术实现关键身份鉴别数据加固存储功能，可根据具体业务需要选择性应用。证书管理子系统提供各类数字证书集中管理功能，实现多环境数字证书管理操作方式，支持在线管理和离线管理方式，详细说明在线证书管理的实现方式（提供产品功能截图证明材料）支持商用密码应用监管系统使用的数字证书在线管理操作；提供证书申请、外部证书导入功能；提供证书按条件查询；提供证书到期预警通知功能。提供根证书管理功能提供数字证书（链）验证功能。数字签名子系统提供基于协同签名技术的数字签名功能。具备USBKEY、无介质等多种签名触发方式。电子签章子系统提供符合商用密码技术规范的电子签章功能；实现PDF、OFD等版式文件的电子签章。支持电子印章制作、集中管理等功能。支持印章管理员使用符合商用密码算法的智能密码钥匙认证。系统管理子系统可视化统一可视化界面实现商用密码应用监管系统管理操作。（提供产品功能截图证明材料）接入管理提供接入管理功能，对接入XX市商用密码应用监管系统的各类信息系统进行管理，支持生成接入身份标识。用户管理提供系统用户管理功能，支持导入用户，支持用户绑定USBKEY等操作。日志管理提供记录监管系统管理行为日志、外部接口调用日志等与监管系统相关的日志记录管理。提供统一管理各类监管功能的微服务日志功能，观察各项监管功能服务健康状态。参数设置提供可视化参数配置功能，管理和调整监管系统运行参数。（提供产品功能截图证明材料）监管系统扩展在不改变商用密码应用监管系统整体架构的情况下，可按照上级管理部门要求，进行功能扩展，详细说明设计方案。商用密码应用监管系统硬件节点（1套）指标项技术规格要求形态2U处理器自主可控的高性能处理器，64核、主频2.2GHzo内存8通道DDR4,标配16G*8°硬盘1.2T2.5英寸SAS*4RAID支持硬件Raid0l10550660等模式，支持Raid启动PCI-E扩展支持不少于IjPCIexl6插槽，不少于2个PCIex8插槽。网卡2个10/100/1000M以太网口o电源满配冗余电源。节能具有在有效期内的节能标志产品环保具有在有效期内的环境标志产品认证证书操作系统自主可控的操作系统（1套）数据库自主可控的数据库（1套）单节点密码性能要求形态硬件方式。SMl加解密NIGbPs。SM4加解密N15Gbps0AES加解密9Gbps。SM2密钥255000次/秒。签名三60000次/秒。验证三45000次/秒。加密230000次/秒。解密三50000次/秒。SM31.5Gbpso随机数生成2Mbpso随机源双随机源。对称密钥21000个。数目SM2密钥数目N100O对。对称算法支持模式ECBCBC0FBo综合安全网关（1套）指标项技术规格要求基本配置自主可控CPU,8GDDR3内存，64GBSSD固态硬盘，机箱高度：1U。接口6个10/100/100OMbase-1以太网接口，2个SFP千兆光口插槽，2个USB,1个COnSoIe口RJ45。电源1+1冗余电源，AC220V,120Wo整机吞吐率8GbpsoSSL自适应搭配商密和非商密浏览器，实现SSL自适应，实现数据以HTTPS形式传输（提供操作截图等证明材料）。IPSec功能支持AH、ESP协议、支持隧道模式，支持SM2算法进行密钥协商，建立IPSeC隧道。用户组支持“角色+组”的灵活用户管理，实现用户权限分级、分权管理。IPv6支持IPv6网络协议。PKI体系支持X.509证书体系、PKCSl2证书/私钥加密，支持第三方CA的根证书导入。SSL性能算法套件ECC(SM2)-SM4-SM3,ECC(SM2)-SMl-SM3o每秒新建连接数5500o最大并发连接数27000o最大并发用户数27000o密文吞吐率200MbpsoIPSeC性能算法套件SM2+SM1+SM3+ESP,SM2+SM4+SM3+ESPo工作模式隧道模式。密文吞吐率64字节小包加解密吞吐率三8Mbps。1428大包加解密吞吐率三IOMbPs。密码算法算法类型支持SMI、SM2、SM3、SM4商用密码算法。算法安全性支持双路物理噪声源随机数发生器。支持高速SMl算法专用芯片。支持开机自检。包括随机数检查、算法正确性检查、密钥完整性检查、密钥配对一致性检查、系统完整性检查。高可用支持双主机热备部署，支持主备机自动切换（提供产品功能截图证明满足性）。支持多机负载均衡，支持负载动态分配（提供产品功能截图证明满足性）。管理要求管理员登录支持数字证书（SM2）+口令的“双因子”认证方式（提供产品功能截图证明满足性）。支持GM算法对日志进行完整性保护。3.数字证书的技术指标要求本项目遵循全省商用密码应用监管体系建设要求，XX市商用密码应用监管系统通过与省级商用密码应用监管平台对接，在线申请符合商用密码技术规范的数字证书，省级商用密码应用监管平台对XX市商用密码应用监管系统使用的数字证书全生命周期管理。指标项技术规格要求总体要求通过省级商用密码应用监管平台统一申请符合国家密码管理局要求的电子认证机构颁发的数字证书，详细说明实现方式。算法和证书类型算法：SM2；证书类型：网关证书（1张）、用户证书（10张）。服务包含竣工验收后1年使用服务、出具电子认证机构服务函。4.与省级商用密码应用监管平台集成的技术指标要求指标项技术规格要求集成设计本项目的商用密码应用监管系统与省级商用密码应用监管平台集成，要求充分理解全省商用密码应用监管体系，设计商用密码应用监管集成方案，包括但不限于密钥体系、证书体系，本设计应当从密码理论上考虑安全性及可行性，确保省市监管平台和系统的互通，包括但不限于密钥、证书全生命周期安全交互，符合全省商用密码应用监管要求。本项目的集成技术要求：根据商用密码应用监管场景要求，对重要监管业务数据存储与传输使用商用密码技术保护，符合全省商用密码应用监管体系建设要求。供应商提供详细、完整的设计方案。集成接口以HTTP协议为基础的RESTful风格API,支持GB/T38636-2020信息安全技术传输层密码协议（TLCP）要求的安全传输协议，支持使用商用密码技术进行信源验证及加密。集成状态展示与省级商用密码应用监管平台集成后，可在XX市商用密码应用监管系统查看监管集成状态。集成内容包括但不限于密钥、证书、协议，符合全省商用密码应用监管技术要求与省级商用密码应用监管平台集成，实现省密码管理局对XX市商用密码应用情况的监管。与省级商用密码应用监管平台集成，回流XX市域商用密码应用安全性评估数据。向省级商用密码应用监管平台同步XX市域商用密码应用安全性评估登记数据。与省级商用密码应用监管平台集成，提供商用密码产品认证证书查询。部署详细设计、说明XX市商用密码应用监管系统与省级商用密码应用监管平台集成的网络部署方案，确保互联互通。（提供互通的截图证明材料）5.本项目运维的技术指标要求指标项技术规格要求资质要求符合密码技术要求，具有电子认证服务使用密码许可证、电子认证服务许可证、是电子政务电子认证服务机构。运维地点本项目遵循全省商用密码应用监管体系部署要求，投标人应当在系统部署地设有研发和实施机构。（提供证明材料）