《XX市XX局商用密码服务平台建设项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX市XX局商用密码服务平台建设项目采购需求.docx(21页珍藏版)》请在优知文库上搜索。
1、XX市XX局商用密码服务平台建设项目采购需求一、项目背景商用密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。我国高度重视密码技术在网络安全保障中的作用,把密码作为国家的重要战略资源,在各个重要应用领域全面推广国产密码算法应用。为落实省委、省政府数字化改革要求,2019年,XX省XX厅率先开展商用密码服务平台建设,指导各地XX部门陆续开展商用密码技术应用。XX市XX局作为省、市、县三级XX系统的重要环节,决定在省XX厅XX商用密码体系设计和建设指南的框架下,依据密码法、网络安全法、电子签名法等法律、文件,构建XX市级XX领域的商用密码应用服务平
2、台,在信息化建设过程中,同步运用商用密码技术保障信息系统安全,确保XX数据的“真、准、全”。二、建设目标通过本项目的建设,实现与省XX厅商用密码服务平台无缝对接,初步满足省委密码工作领导小组对全省XX领域商用密码技术运用提出的要求:“密码与环境监管体系融合。服务美丽XX建设,在我省环境治理智慧化中推广使用密码,实现密码在环境监测系统、陆域及海域资源环境承载能力监测网络、监测预警平台中的广泛应用”。依照省美丽XX建设领导小组办公室关于印发2022年度、2023年度设区市美丽XX建设(生态文明示范创建行动计划)考核评价指标及评分细则和工作责任书的通知(X美丽办【2022】16号),结合数字化改革的
3、工作要求,建设符合密码技术规范要求的商用密码应用服务平台,落实省XX厅全省XX领域商用密码应用体系建设的要求。立足XX市XX业务的实际应用要求,运用商用密码技术来保障XX市XX系统的业务信息系统安全。三、总体要求通过构建XX市XX系统商用密码应用服务平台,为市属XX业务信息系统提供统一、正确的商用密码算法实现和商用密码技术基础服务,逐步形成以XX市XX系统应用为支点,统一商用密码技术应用的商用密码应用体系;落实省委密码领导小组在全省XX领域密码应用创新的台账任务,与省XX厅商用密码服务平台实现无缝技术对接,确保全省XX商用密码体系在XX地区的落地;通过与省XX厅的商用密码应用监管系统集成,实现
4、省XX厅对XXXX领域商用密码应用在线监管,推动商用密码技术在XX市XX系统全面合规应用。四、建设内容1.贯彻省委密码工作领导小组对全省XX系统商用密码建设精神,落实XX省XX厅建设全省XX商用密码应用体系的任务,完成XX市XX局商用密码应用服务平台顶层设计。2 .构建XX市XX局商用密码应用服务平台基础架构,包括硬件平台和软件平台。商用密码应用服务平台完成等保测评和按要求通过商用密码应用安全性评估,与XX省XX厅商用密码服务平台对接,融入全省XX商用密码应用体系。3 .统一认证系统与商用密码应用服务平台对接,完成轻量级改造,依托商用密码技术提升系统认证安全性;完成环境质量自动监测系统(水)、
5、环境质量自动监测系统(气)轻量级商用密码应用改造,实现10个站点的采集数据安全传输;完成XX市生态文明创建示范数字化应用商用密码轻量级改造,配合做好局自建系统商密改造,实现对商用密码应用的要求。4 .商用密码应用服务平台的被监管子系统与省厅的商用密码应用监管系统集成,落实省厅对全省XX系统商用密码应用和商用密码功能监管要求,实现商用密码合规应用。(一)本项目建设清单序号内容名称数量单位说明1商用密码应用服务平台商用密码应用服务软件平台1套包括但不限于商用密码应用服务平台套件(系统基础框架、包括但不限于4个XX业务信息系统接入许可)、多维安全认证子系统、证书管理子系统,密钥管理子系统、数字签名子
6、系统、密码模块管理子系统、安全随机数子系统、被监管子系统、运维管理子系统;预留时间戳、电子签章、验签验章、数据加解密、对象存储、数据门户等子系统的架构、空间、方式和接口。2商用密码应用服务硬件组件平台1批符合财政部数字化产品采购需求标准2023版要求,包括但不限于硬件、操作系统、数据库等。3XX密码应用模块XX密码应用模块1批支持商用密码应用服务平台,适用于XX业务系统的密码应用模块客户端(10套),XX业务系统密码应用模块设备服务端(2套)。4数字证书ZJCA数字证书1批包括网关证书、设备证书、用户证书5业务系统接入改造统一认证商用密码应用改造1项统一认证系统与商用密码服务平台对接,实现商用
7、密码应用6环境质量自动监测系统商用密码应用改造1项环境质量自动监测系统(水、气)与商用密码服务平台对接试点改造。7生态文明创建示范数字化平台商用密码应用改造1项生态文明创建示范数字化平台与商用密码服务平台对接,实现商用密码应用8项目集成全省XX商用密码应用体系集成1项与省XX厅商用密码服务平台的对接集成,确保网络、数据等符合省XX厅统一建设要求。9XX商用密码应用监管集成1项与省XX厅商用密码应用监管系统对接,实现在线监管,并且符合省XX厅的监管要求。本项目采购内容包括采购清单中货物供货、安装调试、货物验收、培训、质保期内的售后服务。采购需求清单中未提到,但在实际采购和安装过程中需要配置的各种
8、设备、辅助材料和其他费用等均计入针对采购人的报价中,不得额外收费。五、详细建设和技术指标要求本次项目建设必须严格按照XX省XX系统商用密码应用体系设计和XX省XX系统商用密码应用体系建设指南,遵循商用密码技术规范。投标单位须按照以下技术指标要求在投标文件中进行逐条说明。1.1 XX市XX商用密码体系设计投标人应当全面分析XX市XX局的各类系统信息应用场景,对业务场景的数据全生命周期中的商用密码应用场景进行剖析,使用环节中的商用密码技术应用从理论上进行可行性分析,设计适用于XX市XX系统的完整商用密码应用体系,实现与省厅商用密码服务平台无缝衔接,形成XX市XX系统的商用密码应用标准。通过与省XX
9、厅商用密码应用监管系统集成,实现商用密码应用在线监管,落实省厅对我市XX系统商用密码应用和商用密码功能监管的要求。指标项技术规格要求商用密码应用现状分析详细说明商用密码应用现状,包括但不限于目前商用密码应用的认知和实践错误、XX领域商用密码应用分析、常见建设思路和弊端XX业务信息系统中的数据生命周期中商用密码技术应用分析结合环境质量自动监测系统业务特点,对数据生命周期商用密码技术应用分析说明,包括但不限于数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等阶段;阐述解决数据生命周期中安全问题使用的商用密码技术XX市XX系统商用密码应用体系依照XX省XX系统商用密码应用体系设计要求,说明
10、设计思路阐述对全省XX系统商用密码体系设计的理解,说明XXXX系统商用密码应用体系设计,如何与全省XX系统商用密码体系设计融合阐述XX市XX局商用密码应用服务平台与省厅商用密码服务平台集成的方案,包括密钥管理、证书管理、电子签章管理、接口和方式等;说明XX市XX局商用密码应用服务平台与区县密码应用的方案阐述XX市XX局商用密码应用服务平台与省厅商用密码应用监管的集成方式、被监管内容详细说明XX市XX局商用密码应用服务平台架构设计,包括但不限于整体平台架构设计、软件平台架构设计、整体平台安全功能设计、整体平台运维管理功能设计、软件平台功能子系统设计根据省厅全省商用密码应用体系的要求,结合XX市X
11、X系统网络现状、说明整体部署方式说明XX市XX业务系统与XX市XX局商用密码服务平台的应用集成方式,包括但不限于密码功能应用,集成方式、集成模式、密码功能实现方式、集成接口、以及个性化开发设计商用密码应用管理制度制定适用于XX市XX业务的商用密码技术应用管理制度,制度包括但不限于密码应用安全管理制度、安全管理制度发布及修订流程、密钥安全管理制度、密码应用日常管理操作规程,协助采购人结合实际应用情况更新管理制度1.2 XX市XX系统商用密码应用服务平台5. 2.1总体要求根据XX省XX系统商用密码应用体系设计和XX省XX系统商用密码应用体系建设指南,商用密码应用服务平台整体架构采用软硬件一体化、
12、平台化、模块化、抽象化设计,并非是传统密码设备的集群,区别于传统密码硬件设备堆叠和密码资源池方案;支持自主可控的软硬件,兼容传统计算机软硬件;商用密码应用服务平台的密码性能和服务支撑能力不只依赖于密码硬件设备,各项商用密码技术服务可实现水平横向拓展,具备足够的并发力和高度的可用性。商用密码应用服务平台采用轻耦合的方式与XX市XX业务系统集成,为全市XX系统提供商用密码服务和管理功能,提升全市XX业务信息系统的安全性;商用密码应用服务平台与省厅商用密码服务平台完成技术对接,融入全省XX商用密码应用体系,实现密钥和证书的互通互认;与省厅商用密码应用监管系统对接,实现省厅对XX市XX系统商用密码应用
13、合法性的在线监管。6. 2.2算法及算法实现商用密码应用服务平台使用的密码算法为商用密码算法,包括SM系列和ZUC系列,算法的实现严格按照商用密码技术规范执行,确保商用密码技术在XX市XX业务信息系统中的正确运用。5.2.3遵循标准及规范要求包括但不限于GM/T0002-2012SM4分组密码算法GM/T0003-2012SM2椭圆曲线公钥密码算法GM/T0004-2012SM3密码杂凑算法GM/T0005-2021随机性检测规范GM/T0009-2012SM2密码算法使用规范GMT0010-2012SM2算法加密签名消息语法规范GM/T0015-2012基于SM2密码算法的数字证书格式规范G
14、M/T0018-2012密码设备应用接口规范GM/T0019-2012通用密码服务接口规范GM/T0024-2014SS1.VPN技术规范GM/T0029-2014签名验签服务器技术规范GM/T0032-2014基于角色的授权管理与访问控制技术规范GM/T0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范GB/T39786-2021信息安全技术信息系统密码应用基本要求指标项技术规格要求总体要求商用密码应用服务平台整体架构为软硬件一体化密码平台,投标人详细说明投标方案与传统密码硬件设备方案、密码资源池方案的区别,提供商用密码应用服务平台整体架构图软件平台系统应当具有产品计
15、算机软件著作权登记证书和通过省级(含)以上软件测评中心测评取得的检测报告。支持信创架构,软件系统通过省级信创适配测试中心的信创适配测试报告硬件平台、操作系统、数据库软件符合财政部数字化产品采购需求标准2023版要求。商用密码应用安全性评估要求承诺商用密码应用服务平台建设完成后能够按照要求A至E通过商用密码应用安全性评估要求A:网络和通信安全层面商用密码应用服务平台应采用完全符合商用密码应用安全性评估要求的数据传输通道,包括但不限于身份鉴别、通信数据完整性、机密性,详细说明具体实现方式,并提供通道协议抓包截图、数字证书作为佐证材料要求B:应用和数据安全层面商用密码应用服务平台应采用自身提供的安全身份认证功能,并使用这些功能进行身份鉴别,该测评单元应完全符合商用密码应用安全性评估要求,详细说明具体实现方式要求C:应用和数据安全层而商用密码应用服务平台应采用自身提供的数据完整性功能,并使用该功能保证自身系统访问控制信息完整性,该测评单元应完全符合商用密码应用安全性评估要求,详细说明具体实现方式,并提供验证数据完整性失败后异常处理的过程
免费区 