XX市商用密码应用监管系统采购需求.docx

XX市商用密码应用监管系统采购需求一、项目背景近年来，国家对商用密码技术在信息化建设中的应用高度重视，网络空间安全形势也要求密码工作必须自主可控、自主创新。密码是网络安全的核心技术和基础支撑，是网络空间安全的DNA,运用商用密码技术保障数字经济安全将扮演着举足轻重的角色。正确设计、规划、建设、使用商用密码系统直接决定了整个网络信息系统的安全性。运用商用密码技术来保障数据的真实性、完整性、抗抵赖性是最经济、最有效的技术方式。为贯彻中华人民共和国密码法中华人民共和国网络安全法商用密码管理条例等法律法规，有效掌握全市商用密码应用情况，提升网络安全中商用密码相关信息的搜集能力，进一步加强商用密码对金融和重要领域信息系统保护,对商用密码应用情况、商用密码应用安全性评估情况的监管迫在眉睫。二、建设目标本项目遵循“一次设计、分步实施，注重效能”的建设原则，构建XX市密码管理局商用密码应用监管的基础支撑系统，完成与省密码管理局商用密码应用监管平台对接，推进全市商用密码应用监管体系建设，落实密码法对我局商用密码应用监管的工作要求，完成省密码管理局关于开展商用密码应用监管平台试点工作，实现商用密码应用合规性监管。三、技术路线XX市商用密码应用监管系统建设坚持问题导向和应用导向，遵循XX省商用密码应用监管体系设计和建设指南，对标省密码管理局商用密码应用监管要求，结合XX市商用密码应用监管的实际情况，聚焦核心问题，项目建设完成后进行总结提炼，在建立监管规范后进行应用推广。四、建设具体要求（一）本项目建设内容1.遵循XX省商用密码应用监管体系设计和建设指南，完成XX市商用密码应用监管系统建设规范的编写工作。2遵循XX省商用密码应用监管体系设计和建设指南，本项目构建XX市商用密码应用监管的基础支撑系统，包括但不限于XX地区商用密码应用安全性评估数据U流、商用密码产品认证证书查询、监管数据展示和运维管理。3.与省密码管理局商用密码应用监管平台集成，实现省密码管理局和XX市密码管理局监管数据互通。根据全省商用密码应用监管技术规范，构建商用密码应用监管数据互通时的应用层身份认证与密钥协商协议，实现应用层数据安全通信。本项目建设内容情况:序号内容名称数量单位说明1商用密码应用监管系统商用密码应用监管软件系统1套包括但不限于商用密码应用监管系统套件、商用密码应用安全性评估数据回流子系统、商用密码产品认证证书查询子系统、监管数据展示子系统、安全认证子系统、证书管理子系统、数字签名子系统、系统管理子系统，详见技术指标及参数。2信创服务器1台详见技术指标及参数。3信创密码硬件介质1套详见技术指标及参数。4信创服务器操作系统1套详见技术指标及参数。5信创集群数据库1套详见技术指标及参数。6综合安全网关1套详见技术指标及参数。7数字证书网关证书1张祚3年服务，详见技术指标及参数。8个人证书10张年3年服务，详见技术指标及参数。9项目集成省密码管理局商用密码应用监管平台技术对接1项详见技术指标及参数。（二）本项目详细建设要求1 .系统设计本项目的整体设计应当充分理解我省商用密码技术应用、商用密码应用安全性评估现状、以及XX市商用密码监管的需求，结合商用密码技术规范，遵循XX省商用密码应用监管体系设计和建设指南，设计符合我省商用密码应用的监管体系。XX市商用密码应用监管设计包括但不限于监管体系设计、监管系统架构设计、监管内容设计、被监管部门设计。本项目建设的商用密码应用监管系统，支持软硬件一体化、平台化架构，抽象化、模块化方式部署，建设按照商用密码技术规范要求，使用SM系列商用密码算法作为安全算法，并且按照商用密码技术规范实现密码算法，确保商用密码技术在商用密码应用监管系统中的正确运用。2 .遵循标准及规范（不限于）GM/T0002-2012SM4分组密码算法GM/T0003-2012SM2椭圆曲线公钥密码算法GM/T0004-2012SM3密码杂凑算法GM/T0005-2021随机性检测规范GM/T0028-2014密码模块安全技术要求GB/T39786-2021信息安全技术信息系统密码应用基本要求3 .本项目商用密码应用监管系统应当具备的功能本项目属于全省商用密码应用监管体系建设的一部分，应当确保本项目的商用密码应用监管系统建立统一密钥和证书管理机制；能够顺利对接省密码管理局商用密码应用监管平台，并对本项目使用的主密钥和证书进行全生命周期的管理。本项目商用密码应用监管系统的功能包括但不限于：(1)商用密码应用安全性评估数据回流通过与省密码管理局商用密码应用监管平台对接，获取XX市域的商用密码应用安全性评估分析结果数据。(2)商用密码应用安全性评估登记对XX市域开展的商用密码应用安全性评估项目进行登记，并同步至省密码管理局商用密码应用监管平台。(3)商用密码产品认证证书查询提供商用密码产品认证证书在线查询功能。(4)监管数据展示结合商用密码应用安全性评估数据、密评机构信息、商用密码产品认证证书数据、被监管信息系统商用密码应用数据等监管数据，提供多维数据展示。本项目运用的安全功能包括但不限于：(1)安全认证基于商用密码技术的身份认证功能，满足商用密码应用安全性评估要求。(2)证书管理实现商用密码应用监管系统使用的数字证书集中管理。(3)数字签名提供基于商用密码技术的数字签名功能。(4)电子签章提供符合电子签名法的电子签章。(5)系统管理包括但不限于接入管理、用户管理、日志管理、参数设置。依照XX省商用密码应用监管体系设计和建设指南，本项目的XX市商用密码应用监管系统，包括但不限于系统套件、商用密码应用安全性评估数据回流子系统、商用密码应用安全性评估登记子系统、商用密码产品认证证书查询子系统、监管数据展示子系统、安全认证子系统、证书管理子系统、数字签名子系统、系统管理子系统。4 .本项目商用密码应用监管系统部署要求根据全省商用密码应用监管体系规划要求，本项目建设的XX市商用密码应用监管系统的部署遵循全省商用密码应用监管体系部署要求，投标人应当充分理解本项目的商用密码应用监管要求，充分考虑XX商用密码应用监管的角色、部门，满足全省商用密码应用监管体系的整体部署要求，包括但不限于网络部署、整体架构部署，确保能够实现本项目的监管需求。（三）主要技术指标要求本项目的XX市商用密码应用监管系统建设需遵循XX省商用密码应用监管体系设计和建设指南。投标单位须按照以下要求在投标文件中进行逐条说明。1.XX市商用密码应用监管体系设计的技术指标要求指标项技术规格要求商用密码应用现状分析详细阐述商用密码应用现状，分析商用密码应用建设和密评过程中常见的问题。信息系统的数据生命周期商用密码技术应用分析结合具体应用场景，对信息系统的数据生命周期每个阶段使用商用密码技术进行分析。XX市商用密码应用监管体系根据商用密码应用和密评现状，详细阐述对全省商用密码应用监管体系的理解；说明XX市商用密码监管体系的设计思路和技术路线，如何与全省商用密码应用监管体系融合。结合全省商用密码应用监管体系设计和网络现状，详细描述XX市商用密码应用监管的组成和部署方式，阐述XX市商用密码应用监管系统架构设计和功能设计。说明XX市商用密码应用监管系统与省级商用密码应用监管平台的集成方式，包括但不限于各类监管功能的集成方式、集成模式、集成接口、个性化开发设计。说明XX市商用密码应用监管系统与XX市域被监管系统、统一密码服务平台的集成方式，包括但不限于各类监管功能的集成方式、集成模式、集成接口、个性化开发设计2.XX市商用密码应用监管系统的技术指标要求指标项技术规格要求总体要求商用密码应用监管系统整体架构为软硬件一体化平台，并非传统密码设备集群、密码资源池，供应商详细说明投标方案与传统密码硬件设备方案、密码资源池方案的区别。商用密码应用监管系统的软件系统具有独立自主的知识产权，具有产品计算机软件著作权登记证书和通过省级（含）以上软件评测中心测评取得的检测报告。支持信创架构，软件系统通过省级信创适配中心的信创适配测试，并取得适配报告。本项目硬件节点使用的硬件产品、操作系统、数据库软件符合自主可控要求。系统理论设计说明商用密码应用监管系统的密码功能设计、密码功能理论设计、密钥协议设计、被监管系统对接密码理论设计、与省级商用密码应用监管平台集成的理论设计；本项目的商用密码应用监管系统设计应当从密码理论上考虑安全性及可行性。商用密码应用安全性评估要求承诺商用密码应用监管系统建设完成后能够按照要求A至E通过商用密码应用安全性评估。要求A：网络和通信安全层面商用密码应用监管系统应采用完全符合商用密码应用安全性评估要求的数据传输通道，包括但不限于身份鉴别、通信数据完整性、机密性，详细说明具体实现方式，并提供通道协议抓包截图、数字证书作为佐证材料。要求B：应用和数据安全层面商用密码应用监管系统应采用自身提供的安全身份认证功能，并使用这些功能进行身份鉴别，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式。要求C：应用和数据安全层面商用密码应用监管系统应采用自身提供的数据完整性功能，并使用该功能保证自身系统访问控制信息完整性，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式，并提供验证数据完整性失败后异常处理的过程截图作为佐证材料。要求D：应用和数据安全层面商用密码应用监管系统应采用自身提供的数据存储保护功能，使用该功能进行数据存储机密性、完整性保护，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式，并提供数据被篡改后异常处理的过程截图作为佐证材料。要求E：应用和数据安全层面商用密码应用监管系统需采用自身提供的电子签章功能，使用该功能实现不可否认性，该测评单元应完全符合商用密码应用安全性评估要求，详细说明具体实现方式，并提供电子签章有效性验证通过的截图作为作证材料。商用密码应用监管系统软件系统（1套）指标项技术规格要求架构要求整体架构商用密码应用监管软件系统融合本期硬件节点，实现系统平台化、模块化、抽象化的统一部署，可支持服务编排（提供产品功能截图证明满足性）。软件系统提供组件化的微服务方式实现，每个微服务都可以独立替换和升级单元，各服务间采用轻量级的RPC协议通信。软件系统内各服务可以实现水平横向拓展，可以根据监管需求调整系统内的服务，以提供足够并发能力和高度的可用性。算法及遵循标准系统使用商用密码算法（SM2、SM3、SM4等），标准应包括但不限于GM/T0002-2012SM4分组密码算法、GMT0003-2012SM2椭圆曲线公钥密码算法、GM/T0004-2012SM3密码杂凑算法。兼容RSA、AES.ECC等国际通用算法集成规范提供系统的跨语言以及平台接入能力，商用密码应用监管系统统一对外提供以HTTP协议为基础的RESTful风格APIo可以不限开发语言接入商用密码应用监管系统，以一致的接入方式接入商用密码应用监管系统（提供产品功能截图证明满足性）。提供以适应不同开发环境和开发语言的兼容性接入和配套工具库，以便于系统的接入和相关功能的扩展。商用密码应用监管系统软件功能子系统系统套件软件系统支持平台化、模