1、 蕪湖市財政身份認證與授權管理系統國 產密碼算法升級項目單一來源采購需求一 、項目提出的背景和依據2015年，蕪湖市財政局按照財政部及省財政廳的要求， 在財政業 務專網內建設了一套身份認證與授權管理系統， 該系統采用國際通用 密碼算法。財政身份認證與授權管理系統作為財政業務系統安全的重 要保障手段，再財政系統得到廣泛應用，截止目前，全市財政業務專 網身份認證系統發證超過 1131 張左右，覆蓋全市各級財政部門、預 算單位、 代理銀行等部門。 通過財政身份認證與授權管理系統的建設 以及證書的簽發和應用， 不僅保證了財政主要業務系統中用戶的強身 份鑒別，同時對業務系統關鍵、敏感操作提供抗抵賴功能，

2、并對重要 數據進行了加密及完整性保護，有效提高了應用的安全水平。2017年，省財政廳信息化工作領導小組辦公室下發了 安徽省財 政廳信息化工作領導小組辦公室轉發財政部信息網絡中心關于開展 地方財政身份認證與授權管理系統國產密碼算法升級工作的通知 （財信辦【 2017】12 號）文件，要求切實做好我市財政身份認證與授 權管理系統國產密碼算法升級工作。 身份認證與授權管理系統作為財 政的重要安全基礎設施， 其安全性關系到財政資金安全， 國產密碼算 法升級對提升財政系統網絡安全具有實際意義。 為滿足國家相關政策 要求以及財政業務安全的實際需要， 蕪湖市財政局信息中心啟動了對 現有身份認證與授權管理系統

3、國產密碼算法升級改造工作。二、現有信息系統裝備和信息化應用狀況2015年，蕪湖市財政局按照財政部及省財政廳的要求， 在財政業 務專網內建設了一套身份認證與授權管理系統， 該系統采用國際通用 密碼算法。身份認證與授權管理系統作為財政的重要安全基礎設施， 其安全性關系到財政資金安全， 國產密碼算法升級對提升財政系統網 絡安全具有實際意義。 為滿足國家相關政策要求以及財政業務安全的 實際需要，蕪湖市財政局信息中心啟動了對現有身份認證與授權管理 系統國產密碼算法升級改造工作。三、項目建設的意義和必要性1、國家政策要求2010年，國家密碼管理局為滿足新形勢下提高網絡信任體系安全 性的應用需求，公開發布了

4、 SM2 橢圓曲線公鑰密碼算法，并于 2011 年 2 月下發 關于做好公鑰密碼算法升級工作的函， 2015年，中央 辦公廳、國務院辦公廳下發國產密碼算法升級和應用的相關文件， 要 求已配備使用商用密碼的部門組織落實本單位身份認證與授權管理 系統支持國產密碼算法的升級工作。2、系統安全需求目前財政身份認證與授權管理系統采用國際采用了國際通用的 RSA算法，但近年來隨著“ RSA 后門事件”的不斷被披露，基于其算 法的應用暴露出安全隱患， 考慮到目前網絡安全的嚴峻形勢以及財政 信息網絡應用資源的重要性， 財政身份認證與授權管理系統作為財政信息網絡的重要安全基礎設施，須及時對其進行改造、 升級，采

5、用安 全、可靠、受控的國產密碼算法，確保財政應用信息資源安全。四、需求分析 本次項目是將原有的財政身份認證與授權管理系統軟硬件升級 到支持國產密碼算法， 完成財政身份認證與授權管理系統核心組件的 整體升級，達到國家主管部門要求。 同時遵照 關于開展地方財政身 份認證與授權管理系統國產密碼算法升級工作的通知 （財信【 2017】 17）的要求，實施部署的主要基礎平臺產品和安全產品要求全部國產 化產品，包括加密機、操作系統、數據庫等。五、項目建設目標 本次國密算法升級的主要目標是： 將現有的財政身份認證與授權 管理系統、 USB KEY 等升級到支持國產密碼算法的軟硬件產品，完 成財政身份認證與授

6、權管理系統核心組件的整體升級， 達到國家主管 部門要求。通過升級，進一步優化設備配置和性能，提高系統的健壯 性，強化管理能力，提升系統整體的安全性、穩定性。同時，為財政 業務應用系統推廣國產密碼算法奠定基礎。六、建設原則1、國產化原則國密算法升級在實現身份認證與授權管理系統算法國產化的同 時，服務器、操作系統、數據庫等基礎軟硬件環境也要同步使用國產 化產品。2、可靠性原則為保證財政身份認證與授權管理系統的安全穩定運行， 新建身份 認證與授權管理系統采取關鍵部件冗余、 集群策略等多種措施， 確保 系統運行更加穩定可靠。3、延續性原則升級后的身份認證與授權管理系統沿用原有網絡和安全體系機 構，用戶

7、無需改變使用習慣，現有應用無需改動，可繼續使用身份認 證與授權管理系統相關功能， 新建身份認證與授權管理系統在一段時 間內確保兼容原有的身份認證與授權管理系統。4、擴展性原則升級后的身份認證與授權管理系統不僅要求滿足現階段的業務 需求，而且能夠滿足未來業務的增長需求。隨著業務系統規模擴大， 網絡、服務器、存儲等系統基礎環境能靈活擴展。七、相關依據身份認證系統國產密碼算法升級工作應遵循以下國家標準和規范：GM/T 0034-2014基于 SM2 密碼算法的證書認證系統密碼及 其相關安全技術規范GM/T 0002-2012 SM4 分組密碼算法GM/T 0003-2012SM2 橢圓曲線公鑰密碼算

8、法GM/T 0004-2012 SM3 密碼雜湊算法 GM/T 0006-2012 密碼應用標識規范GM/T 0009-2012SM2 密碼算法使用規范GM/T 0010-2012SM2 密碼算法加密簽名消息語法規范GM/T 0014-2012數字證書認證系統密碼協議規范GM/T 0015-2012 基于 SM2 密碼算法的數字證書格式規范GM/T 0016-2012智能密碼鑰匙密碼應用接口規范GM/T 0017-2012 智能密碼鑰匙密碼應用接口數據格式規范GM/T 0018-2012密碼設備應用接口規范GM/T 0019-2012通用密碼服務接口規范GM/T 0027-2014智能密碼鑰匙

9、技術規范GM/T 0030-2014服務器密碼技術規范同時，身份認證系統國產密碼算法升級工作應遵循財政部近期修訂并即將頒發的以下財政相關標準和規范：財政信息系統安全應用接口標準財政身份認證與授權管理系統-系統建設標準財政省的認證與授權管理系統-目錄服務建設標準財政省的認證與授權管理系統-應用開發接口標準財政省的認證與授權管理系統-授權策略標準財政省的認證與授權管理系統-數字證書格式標準財政省的認證與授權管理系統 -系統命名標準 財政省的認證與授權管理系統-應用系統分類編碼標準財政省的認證與授權管理系統-用戶機構編碼標準財政省的認證與授權管理系統-職稱編碼標準財政省的認證與授權管理系統-職級編碼

10、標準財政省的認證與授權管理系統-職務編碼標準財政省的認證與授權管理系統-屬性證書格式標準財政省的認證與授權管理系統-數字證書管理規范財政省的認證與授權管理系統-應用系統接入規范財政省的認證與授權管理系統-運行管理規范、建設內容與系統框架將現有的財政身份認證與授權管理系統、 USB KEY 等升級到支 持國產密碼算法的軟硬件產品。 同時為保證財政身份認證與授權管理 系統連續、穩定運行，在系統升級過程中，新系統對外提供服務的端 口、地址和原有系統要保持一致，實現無縫網絡連接。1、 系統架構 2、 網絡結構 3、 系統流程圖 九、升級工作內容1、部署支持雙算法的身份認證模塊和最新版本的授權管理模塊，

11、 原有服務器可利舊，也可新購服務器部署。2、部署證書綜合管理系統，通過數據遷移工具將已有的 LRA 系 統里的數據， 遷移至證書綜合管理系統。 證書的所有業務操作均在證 書綜合管理系統中進行，可實現對證書發放各環節進行統一管理。3、已接入 CA 的應用系統均需要嚴格按照最新發布的財政信 息系統安全應用接口標準、財政身份認證與授權管理系統 -應用 系統接入規范進行接口替換、安全改造。4、后續新采購的 USB KEY 需要同時支持雙算法。 國密算法沒有 完全取代國際通用算法之前， 需要在 USB KEY 中植入兩套算法證書， 在使用過程中自動適配使用哪類證書。之前已經發放的 USB KEY， 可在

12、證書到期后進行更換。5、身份認證系統軟件部署基礎軟硬件平臺建設完成后， 部署同時支持老算法和國產密碼算 法的身份認證模塊， 并保持原有的國際通用算法根密鑰不變； 新部署 同時支持國際通用算法和國產密碼算法的應用安全組件， 包括身份認 證網關和數字簽名服務器（帶時間戳功能）；部署最新版本的授權管 理模塊和安全審計模塊。6、數據遷移把原身份認證系統中的用戶數據、 密鑰數據平滑遷移到新建的身 份認證系統中，使得新系統既可以管理原有的國際通用算法的證書又 可以支持國產密碼算法的證書。 身份認證模塊的數據遷移采用將原有 系統的數據完全遷移到新系統中的方式實現； 身份認證系統安全組件 的數據遷移采用將原有

13、應用安全組件的配置復制到新組件上的方式 實現；授權管理模塊和安全審計模塊的數據遷移采用將原有老系統的 配置導入到新系統中的方式實現。 數據遷移后進行身份認證系統各組 件及其它相關測試， 主要測試數據遷移后是否一致， 系統的各項功能 是否正常。7、系統割接及驗證在完成數據遷移工作、 相關的測試驗證工作、 系統割接上線準備 工作后，擇定時間進行系統割接。系統割接后，對已發放國際通用算 法證書以及新發放國產密碼算法證書進行驗證， 具體內容包括證書是 否可以正常管理、 證書是否可以正常應用兩個部分。 對于已發放的國 際通用算法證書， 在新的認證系統中進行管理，查看證書的凍結、解 凍、注銷、 更新等業務

14、操作是否正常， 同時在原有的業務系統之中驗 證該證書是否可以正常使用。 對新發放的兼容國際通用密碼算法和國 產密碼算法證書， 按照正常的管理流程進行證書的申請、 注銷、更新、 凍結、解凍等操作， 查看系統運行是否正常，同時需要在新的應用安 全組件的環境下對國產密碼算法證書進行測試， 查看國際通用密碼算法和國產密碼算法證書是否都可以正常應用8、試運行期檢查系統初步驗收后進入試運行期， 在試運行期對項目的建設成果進 行全面檢查，檢查系統經過初驗上線運行后， 是否還存在問題和隱患。 針對發現的問題和隱患及時進行處理， 例如對設備的配置調優、 對軟 件策略細化、對系統安全進行加固等。十、硬件設備和軟件

15、購置清單單位：萬元序號設備及軟件名 稱主要性能指標單價數量總價總計：421國密算法密碼機1.產品須具備國家密碼管理局頒發 的商用密碼產品型號證書， 產品須在國 家密碼管理局發布的支 持 SM2/SM3/SM4 密碼算法的商用密 碼產品目錄名單中。（須提供證書、名 單截圖等相應證明材料掃描件或影印 件）2. 產品須與財政證書綜合管理系統進 行無縫對接。3. 要求系統遵循國家標準， 并基于標準 的 PKI 體系架構。4. 支持多種操作系統： 應用服務器與密 碼機之間采用 TCP/IP 協議進行通信， 可支持多種主流的操作系統，如 Windows 系列， Linux 系列， Solaris 、 AI

16、X、HP-UX等 Unix 操作系統。5. 三層密鑰結構： 采用“設備保護密鑰- 用戶密鑰（內部密鑰對或 KEK）- 會話 密鑰”的三層密鑰保護結構， 保證用戶 密鑰及應用系統的安全性。6. 安全密鑰存儲： 保證關鍵密鑰在任何 時候不以明文形式出現在設備外， 密鑰 備份文件也受到主密鑰的保護。7. 支持連接密碼及白名單： 通過連接密 碼和白名單的支持， 實現了密碼機對應 用服務器的授權認證， 進一步提高了系 統的安全性8. 支持多機并行： 多機并行可以提供容 錯功能， 當有密碼機出現故障時不影響 業務運算。 多機并行還可以提高密碼運 算性能9. 密鑰使用授權： 每對用戶密鑰對對應 一個授權保護

17、碼， 以保證不同密碼應用 系統調用同一臺密碼設備時的密鑰安 全性10. 全面支持國產算法： SM2 非對稱算 法、 SM3雜湊算法、 SM4對稱算法、 SM1 對稱算法，具有更好的可擴展性11. 性能要求SM2密鑰對生成 3000 對/ 秒； 加密速度 1400 次/ 秒；10110序號設備及軟件名 稱主要性能指標單價數量總價解密速度 2500 次/ 秒。12. 供貨須前向采購人提供原廠3 年質保服務承諾函原件。13.為保證所提供設備為原廠正品， 供貨前須向采購人提供原廠授權原件。2操作系統(國產)1、產品符合 POSIX標準； 2、具有良好的兼容主流處理器和服務 器，全面兼容國產數據庫及中間

18、件軟 件，能實現基于國產處理器架構的高可 用集群和負載均衡集群使用要求； 3 、可運行在 x86 (32-bit) 、 x86_64 (64-bit) 、MIPS、SPARC等 架構的處理 器上，滿足高可用性、高可靠性以及可 擴展性的應用需求； 4、具有良好的數據庫軟件兼容性，兼 容國內外主流的數據庫軟件產品，包 括：人大金倉、 達夢、神通、 南大通用、 Oracle 、 IBM、SYBASE、 PostgreSQL 、 Mysql 等； 5、具有良好的中間件兼容性，兼容國 內外主流的中間件軟件產品，包括：東 方通、中創、金蝶、Oracle 、IBM、Apache 等； 6、提供圖形化軟件包升

19、級工具，支持 外網遠程升級或本地升級服務； 7 、支持最新國家標準字符集(如： GB18030-2005)，支持多種中文輸入法； 8、支持基于本地網絡和異地網絡的數 據備份工具，包括：支持計劃任務、增 量差分備份；基于 B/S 架構的配置管理； 支持對備份結果進行短信、郵件通知； 9、提供圖形化的 SELinux 、防火墻以及 VPN的配置管理工具； 10、提供常用的系統工具， 包括：VsFtpd 圖形配置工具、日志查看工具、系統運 行圖形分析工具( LKST、KSar 等)、內 核崩潰轉儲工具；11 、 SELinux 多級安全支持，基 于 Targeted 策略可以為所有服務提供安 全保障

20、；提供安全增強模塊，可實現用 戶賬號與強口令機制、 強制存取控制功 能 MAC、安全審計等功能； 12、支持對整個已安裝操作系統及數據 分區的鏡像備份和恢復； 13、支持高可用集群軟件產品； 14、對業務系統提供多層次保護； 15、負載過大或服務異常時可以根據策 略進行智能切換； 16、提供豐富的開發工具和完整的 Linux 開發環境，集成 Eclipse 開發環 境， C/C+(CDT)和 Java(JDT) 開發工具 包；集成 Qt 開發框架及基于 Qt 的 KDE 開發框架；支持 GCC包含的 C、 C+、 Objective C、 Chill 、 Fortran 和 java 等；支持

21、 Python, Perl ， Shell ， Ruby，144序號設備及軟件名 稱主要性能指標單價數量總價PHP等腳本語言； 17、提供系統補丁包的及時更新； 18、基于開源 yum/pup 升級器，提供強 大、靈活、可定制的軟件包管理環境， 支持對公共、私有軟件倉庫的訪問，確 保高效、便捷的軟件升級服務； 19、提供中文化的圖形操作界面，支持 多種安裝方式，可采用光盤安裝，網絡 安裝，硬盤安裝等； 資質要求： 1、生產廠商通過能力成熟度集成模 型 CMMI3級及以上認證， 投標文件中須 提供認證證書掃描件或影印件。 （提供 證書掃描件或影印件， 采購人保留中標 后核查原件的權利，如有虛假，

22、由此造 成的后果由投標供應商自行承擔） 2、投標文件中須提供該產品的軟件著 作權證書掃描件或影印件。 （提供證書 掃描件或影印件， 采購人保留中標后核 查原件的權利，如有虛假，由此造成的 后果由投標供應商自行承擔） 3、提供 1 年免費質保；3數據庫軟件（國產）功能要求 : 1、支持事務提交、回滾的管理功能， 具備 ACID 特性； 2、具備完善的事務處理機制，支持高 并發場景下的事務處理； 3、支持用戶應用系統所需隔離級別， 支持隔離級別的設置； 4、支持鎖等待時間設置，以防止由于 鎖等待超時而影響到整個應用， 一旦鎖 等待超時， 數據庫會將返回錯誤給應用 系統；支持自動解死鎖功能； 5、支持通用的數據庫對象，包括：表、 視圖、觸發器、索引、序列、數據庫鏈 接、約束、同義詞、存儲過程； 6、支持用戶應用自定義函數索引、用 戶自定義存儲過程 / 函數、用戶自定義 數據類型； 7、應具備完善的備份和恢復能力； 8、數據庫建表支持分區功能； 9、支持基于圖形化和字符界面的監控 功