芜湖市财政身份认证与授权管理系统国产密码算法升级项目单Word格式.docx
- 文档编号:8477499
- 上传时间:2023-05-11
- 格式:DOCX
- 页数:22
- 大小:48.87KB
芜湖市财政身份认证与授权管理系统国产密码算法升级项目单Word格式.docx
《芜湖市财政身份认证与授权管理系统国产密码算法升级项目单Word格式.docx》由会员分享,可在线阅读,更多相关《芜湖市财政身份认证与授权管理系统国产密码算法升级项目单Word格式.docx(22页珍藏版)》请在冰点文库上搜索。
将现有的财政身份认证与授权管理系统、USBKEY等升级到支持国产密码算法的软硬件产品,完成财政身份认证与授权管理系统核心组件的整体升级,达到国家主管部门要求。
通过升级,进一步优化设备配置和性能,提高系统的健壮性,强化管理能力,提升系统整体的安全性、稳定性。
同时,为财政业务应用系统推广国产密码算法奠定基础。
六、建设原则
1、国产化原则
国密算法升级在实现身份认证与授权管理系统算法国产化的同时,服务器、操作系统、数据库等基础软硬件环境也要同步使用国产化产品。
2、可靠性原则
为保证财政身份认证与授权管理系统的安全稳定运行,新建身份认证与授权管理系统采取关键部件冗余、集群策略等多种措施,确保系统运行更加稳定可靠。
3、延续性原则
升级后的身份认证与授权管理系统沿用原有网络和安全体系机构,用户无需改变使用习惯,现有应用无需改动,可继续使用身份认证与授权管理系统相关功能,新建身份认证与授权管理系统在一段时间内确保兼容原有的身份认证与授权管理系统。
4、扩展性原则
升级后的身份认证与授权管理系统不仅要求满足现阶段的业务需求,而且能够满足未来业务的增长需求。
随着业务系统规模扩大,网络、服务器、存储等系统基础环境能灵活扩展。
七、相关依据
身份认证系统国产密码算法升级工作应遵循以下国家标准和规
范:
GM/T0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》
GM/T0002-2012《SM4分组密码算法》
GM/T0003-2012《SM2椭圆曲线公钥密码算法》
GM/T0006-2012《密码应用标识规范》
GM/T0009-2012《SM2密码算法使用规范》
GM/T0010-2012《SM2密码算法加密签名消息语法规范》
GM/T0014-2012《数字证书认证系统密码协议规范》
GM/T0015-2012《基于SM2密码算法的数字证书格式规范》
GM/T0016-2012《智能密码钥匙密码应用接口规范》
GM/T0017-2012《智能密码钥匙密码应用接口数据格式规范》
同时,身份认证系统国产密码算法升级工作应遵循财政部近期修
订并即将颁发的以下财政相关标准和规范:
财政信息系统安全应用接口标准》
财政身份认证与授权管理系统
-系统建设标准》
财政省的认证与授权管理系统
-目录服务建设标准》
-应用开发接口标准》
-授权策略标准》
-数字证书格式标准》
财政省的认证与授权管理系统-系统命名标准》
-应用系统分类编码标准》
-用户机构编码标准》
-职称编码标准》
-职级编码标准》
-职务编码标准》
-属性证书格式标准》
-数字证书管理规范》
-应用系统接入规范》
-运行管理规范》
、建设内容与系统框架
将现有的财政身份认证与授权管理系统、USBKEY等升级到支持国产密码算法的软硬件产品。
同时为保证财政身份认证与授权管理系统连续、稳定运行,在系统升级过程中,新系统对外提供服务的端口、地址和原有系统要保持一致,实现无缝网络连接。
九、升级工作内容
1、部署支持双算法的身份认证模块和最新版本的授权管理模块,原有服务器可利旧,也可新购服务器部署。
2、部署证书综合管理系统,通过数据迁移工具将已有的LRA系统里的数据,迁移至证书综合管理系统。
证书的所有业务操作均在证书综合管理系统中进行,可实现对证书发放各环节进行统一管理。
3、已接入CA的应用系统均需要严格按照最新发布的《财政信息系统安全应用接口标准》、《财政身份认证与授权管理系统-应用系统接入规范》进行接口替换、安全改造。
4、后续新采购的USBKEY需要同时支持双算法。
国密算法没有完全取代国际通用算法之前,需要在USBKEY中植入两套算法证书,在使用过程中自动适配使用哪类证书。
之前已经发放的USBKEY,可在证书到期后进行更换。
5、身份认证系统软件部署
基础软硬件平台建设完成后,部署同时支持老算法和国产密码算法的身份认证模块,并保持原有的国际通用算法根密钥不变;
新部署同时支持国际通用算法和国产密码算法的应用安全组件,包括身份认证网关和数字签名服务器(带时间戳功能);
部署最新版本的授权管理模块和安全审计模块。
6、数据迁移
把原身份认证系统中的用户数据、密钥数据平滑迁移到新建的身份认证系统中,使得新系统既可以管理原有的国际通用算法的证书又可以支持国产密码算法的证书。
身份认证模块的数据迁移采用将原有系统的数据完全迁移到新系统中的方式实现;
身份认证系统安全组件的数据迁移采用将原有应用安全组件的配置复制到新组件上的方式实现;
授权管理模块和安全审计模块的数据迁移采用将原有老系统的配置导入到新系统中的方式实现。
数据迁移后进行身份认证系统各组件及其它相关测试,主要测试数据迁移后是否一致,系统的各项功能是否正常。
7、系统割接及验证
在完成数据迁移工作、相关的测试验证工作、系统割接上线准备工作后,择定时间进行系统割接。
系统割接后,对已发放国际通用算法证书以及新发放国产密码算法证书进行验证,具体内容包括证书是否可以正常管理、证书是否可以正常应用两个部分。
对于已发放的国际通用算法证书,在新的认证系统中进行管理,查看证书的冻结、解冻、注销、更新等业务操作是否正常,同时在原有的业务系统之中验证该证书是否可以正常使用。
对新发放的兼容国际通用密码算法和国产密码算法证书,按照正常的管理流程进行证书的申请、注销、更新、冻结、解冻等操作,查看系统运行是否正常,同时需要在新的应用安全组件的环境下对国产密码算法证书进行测试,查看国际通用密码算
法和国产密码算法证书是否都可以正常应用
8、试运行期检查
系统初步验收后进入试运行期,在试运行期对项目的建设成果进行全面检查,检查系统经过初验上线运行后,是否还存在问题和隐患。
针对发现的问题和隐患及时进行处理,例如对设备的配置调优、对软件策略细化、对系统安全进行加固等。
十、硬件设备和软件购置清单
单位:
万元
序号
设备及软件名称
主要性能指标
单价
数量
总价
总计:
42
1
国密算法密
码机
★1.产品须具备国家密码管理局颁发的商用密码产品型号证书,产品须在国家密码管理局发布的支持SM2/SM3/SM4密码算法的商用密码产品目录名单中。
(须提供证书、名单截图等相应证明材料扫描件或影印件)
2.产品须与财政证书综合管理系统进行无缝对接。
3.要求系统遵循国家标准,并基于标准的PKI体系架构。
4.支持多种操作系统:
应用服务器与密码机之间采用TCP/IP协议进行通信,可支持多种主流的操作系统,如Windows系列,Linux系列,Solaris、AIX、HP-UX等Unix操作系统。
5.三层密钥结构:
采用“设备保护密钥
-用户密钥(内部密钥对或KEK)-会话密钥”的三层密钥保护结构,保证用户密钥及应用系统的安全性。
6.安全密钥存储:
保证关键密钥在任何时候不以明文形式出现在设备外,密钥备份文件也受到主密钥的保护。
7.支持连接密码及白名单:
通过连接密码和白名单的支持,实现了密码机对应用服务器的授权认证,进一步提高了系统的安全性
8.支持多机并行:
多机并行可以提供容错功能,当有密码机出现故障时不影响业务运算。
多机并行还可以提高密码运算性能
9.密钥使用授权:
每对用户密钥对对应一个授权保护码,以保证不同密码应用系统调用同一台密码设备时的密钥安全性
10.全面支持国产算法:
SM2非对称算法、SM3杂凑算法、SM4对称算法、SM1对称算法,具有更好的可扩展性
11.性能要求
SM2密钥对生成3000对/秒;
加密速度1400次/秒;
10
解密速度2500次/秒。
★12.供货须前向采购人提供原厂3年
质保服务承诺函原件。
★13.为保证所提供设备为原厂正品,供货前须向采购人提供原厂授权原件。
2
操作系统
(国产)
1、产品符合POSIX标准;
2、具有良好的兼容主流处理器和服务器,全面兼容国产数据库及中间件软件,能实现基于国产处理器架构的高可用集群和负载均衡集群使用要求;
3、可运行在x86(32-bit)、x86_64(64-bit)、MIPS、SPARC等架构的处理器上,满足高可用性、高可靠性以及可扩展性的应用需求;
4、具有良好的数据库软件兼容性,兼容国内外主流的数据库软件产品,包括:
人大金仓、达梦、神通、南大通用、Oracle、IBM、SYBASE、PostgreSQL、Mysql等;
5、具有良好的中间件兼容性,兼容国内外主流的中间件软件产品,包括:
东方通、中创、金蝶、Oracle、IBM、Apache等;
6、提供图形化软件包升级工具,支持外网远程升级或本地升级服务;
7、支持最新国家标准字符集(如:
GB18030-2005),支持多种中文输入法;
8、支持基于本地网络和异地网络的数据备份工具,包括:
支持计划任务、增量差分备份;
基于B/S架构的配置管理;
支持对备份结果进行短信、邮件通知;
9、提供图形化的SELinux、防火墙以及VPN的配置管理工具;
10、提供常用的系统工具,包括:
VsFtpd图形配置工具、日志查看工具、系统运行图形分析工具(LKST、KSar等)、内核崩溃转储工具;
11、SELinux多级安全支持,基于Targeted策略可以为所有服务提供安全保障;
提供安全增强模块,可实现用户账号与强口令机制、强制存取控制功能MAC、安全审计等功能;
12、支持对整个已安装操作系统及数据分区的镜像备份和恢复;
13、支持高可用集群软件产品;
14、对业务系统提供多层次保护;
15、负载过大或服务异常时可以根据策略进行智能切换;
16、提供丰富的开发工具和完整的Linux开发环境,集成Eclipse开发环境,C/C++(CDT)和Java(JDT)开发工具包;
集成Qt开发框架及基于Qt的KDE开发框架;
支持GCC包含的C、C++、ObjectiveC、Chill、Fortran和java等;
支持Python,Perl,Shell,Ruby,
4
PHP等脚本语言;
17、提供系统补丁包的及时更新;
18、基于开源yum/pup升级器,提供强大、灵活、可定制的软件包管理环境,支持对公共、私有软件仓库的访问,确保高效、便捷的软件升级服务;
19、提供中文化的图形操作界面,支持多种安装方式,可采用光盘安装,网络安装,硬盘安装等;
资质要求:
★1、生产厂商通过能力成熟度集成模型CMMI3级及以上认证,投标文件中须提供认证证书扫描件或影印件。
(提供证书扫描件或影印件,采购人保留中标后核查原件的权利,如有虚假,由此造成的后果由投标供应商自行承担)2、投标文件中须提供该产品的软件著作权证书扫描件或影印件。
(提供证书扫描件或影印件,采购人保留中标后核查原件的权利,如有虚假,由此造成的后果由投标供应商自行承担)3、提供1年免费质保;
3
数据库软件
功能要求:
1、支持事务提交、回滚的管理功能,具备ACID特性;
2、具备完善的事务处理机制,支持高并发场景下的事务处理;
3、支持用户应用系统所需隔离级别,支持隔离级别的设置;
4、支持锁等待时间设置,以防止由于锁等待超时而影响到整个应用,一旦锁等待超时,数据库会将返回错误给应用系统;
支持自动解死锁功能;
5、支持通用的数据库对象,包括:
表、视图、触发器、索引、序列、数据库链接、约束、同义词、存储过程;
6、支持用户应用自定义函数索引、用户自定义存储过程/函数、用户自定义数据类型;
7、应具备完善的备份和恢复能力;
8、数据库建表支持分区功能;
9、支持基于图形化和字符界面的监控功能;
10、具备共享存储集群功能,并且主备节点读写分离;
11、具备双机热备功能,双机具备独立存储,并且主备节点双活读;
12、完全支持SQL92、SQL99标准;
13、支持国际上主流的字符集:
ISO8859-1、ASCII、CP1252、EURO、UNICODE、8859-15、UCS4、GB18030-2000、GBK、UTF8、BIG5、SBIG5、CCDC、EUCTW;
性能要求:
1、使用BenchmarkSQL工具基于业界通
用的TPCC标准模型进行测试,测试结果TpmC不低于1万;
2、目标导出数据量不少于20GB,记录数不低于1亿条,测试结果用时不超过30秒,从源表导入数据量不少于20GB,记录数不低于1亿条,测试结果用时不超过60秒;
3、单节点支持并发1000个用户连接到数据库;
4、提供1年免费质保;
其他要求:
★投标文件中须提供该产品的软件著
作权证书扫描件或影印件。
(提供证书扫描件或影印件,采购人保留中标后核查原件的权利,如有虚假,由此造成的后果由投标供应商自行承担)
国产密码算法升级实施服务
1.完成基础环境部署。
2.完成身份认证与授权管理系统的部署及升级。
3.完成市级证书综合管理系统部署安装、配置联调。
4.完成数据迁移及处理,须保障原有数据完整性及安全性。
5.完成应用联调测试,实现现有应用系统与新部署升级的系统的无缝对接。
6.完成证书综合管理系统的系统管理员业务、证书管理员的业务培训。
7.完成证书业务配置(申请、下载、注
销、更新)。
8、提供3年免费质保;
18
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 芜湖市 财政 身份 认证 授权 管理 系统 国产 密码 算法 升级 项目