1、新昌县财政局身份认证与授权管理系统货物需求一览表及技术需求书一、 项目概况财政部信息网络中心于 2008 启动了全国财政身份认证与授权管理系统的建设工作。财政身份认证与授权管理系统是一个全国系统,需要在财政部、省级财政部门、市级、县级财政部门进行部署。财政部信息网络中心统一组织了财政部、35 个省级财政部门节点的建设和实施工作。并与 2009 年下发财政部关于开展财政身份认证与授权管理系统建设的通知 (财办200926 号)文件(省厅已转发各市县) 。对该系统建设的重要意义,目标和原则,建设内容,实施和管理,采购和经费保障以及监督检查均作出了明确要求。根据财政部关于“金财工程 ”应用支撑平台在
2、地方推广实施工作的要求,2009 年 5 月底浙江省财政厅开始了省级节点的财政一体化系统的建设,并和浙江省财政一体化系统(大平台)的应用接入工作。截至目前,浙江省财政身份认证与授权管理系统证书的发证量两万张左右,这些证书主要在 OA、大平台中进行身份认证、入门级控制等,达到了保护业务、数据安全的效果。性能总体稳定,具有基于平台整合后的数据高度共享、流程完整顺畅、业务处理规范等特点,在一定程度上提升了财政科学化、精细化管理水平。为进一步提升财政管理质量和效率,2010 年起在已有建设成果基础上,浙江财政又启动了地市及县级财政的一体化系统建设,扩充了财政一体化系统的应用范围,该系统目前已经在全省范
3、围内投入使用。浙江财政身份认证与授权管理系统的建设以及数字证书的应用,为浙江财政一体化系统提供了强有力的安全保障。截至目前,浙江财政省厅一体化系统的用户已经全部发证数字证书,系统采用证书认证代替原来的“用户名+口令” 认证方式,解决了因口令泄漏而导致的用户身份冒充问题。部分地市及区县也完成了身份认证与授权管理系统系统建设以及与一体化系统的对接。同时,财政身份认证与授权管理系统还提供数字签名、数字信封、时间戳等扩展功能,为浙江财政一体化系统的进一步安全应用打下了坚实的基础。二、 本次采购内容我局本次采购的身份认证与授权管理系统,主要包括基于数字证书的高强度身份认证、应用级访问控制两个方面,具体内
4、容如下:1. 身份认证目前我局的应用系统对用户身份的认证普遍采用“用户名口令”的方式,应用系统登录通常使用静态口令,口令设置过于简单且长时间不进行更新;口令在数据库中有存储记录,可重复使用,非法用户通过网络窃听、非法数据库访问、穷举攻击、重放攻击等手段很容易得到这种静态口令,利用获得的口令,就可对资源进行非法访问和越权操作。身份认证是应用系统判断用户是否合法的重要手段,也是应用系统的第一道安全防护。传统的用户名/口令作为低强度认证方式无法满足安全认证需求,采用高强度的认证可提供比传统的身份认证方式更加安全可靠的方法,可以更好的保证系统的安全性。2. 证书综合管理结合财政部门信息管理平台,面向管
5、理员,完成新证书的申请、审核、证书自助更新申请、证书丢失损坏补办、以及 PIN 码的远程解锁等证书相关业务操作。三、 系统建设整体架构该建设模式在系统中位于浙江省省级财政的下一级,主要部署身份认证模块的证书综合管理系统客户端和身份认证从 LDAP,应用安全组件的身份认证网关,具体如下图所示:证 书 综 合 管 理 系 统客 户 端身 份 认 证 从 L D A P身 份 认 证 网 关身 份 认 证 模 块应 用 安 全 组 件财政身份认证与授权管理系统建设的总体部署是在财政专网统一部署身份认证模块、授权管理模块、安全审计模块和应用安全组件,在财政部设立证书签发中心(CA) 、注册中心(RA)
6、 、证书综合管理系统,证书签发中心(CA)主要对全国财政部门及与财政业务相关单位的人员和设备的数字证书进行签发与维护,并自动下传给部机关和省级(含计划单列市)财政部门的证书注册中心(RA ) ;在浙江省级财政部门设立注册中心(RA)和证书综合管理系统,为省本级相关人员提供证书注册管理,并对下级财政部门的证书综合管理系统客户端进行管理;在新昌县财政部门设立证书综合管理系统客户端。四、 采购清单序号 名称 型号 数量参考单价(元)合计(万元) 备注1 证书综合管理系统客户端 1 套 50000 5一年免费维保2 身份认证网关 G3000-I-S 2 台 125000 25一年免费维保3从 LDAP
7、 软件(目录服务系统)吉大正元 1 套 98000 9.8一年免费维保4 Haikey3000key(usb-key) 海泰 1000 35 3.5一年免费质保5 应用接入 license 1 套 20000 26 集成费服务费 20000 2合计 47.3五、 技术方案及说明(一) 整体设计说明根据财政身份认证与授权管理系统的整体组织架构、业务模式、网络建设情况,此次新昌县财政局身份认证与授权管理系统建设主要包含两个模块,分别为身份认证模块(证书综合管理系统客户端、身份认证系统从目录) 、应用安全组件(身份认证网关) 。身份认证与授权管理系统的信任源头为财政部身份认证中心,该中心是财政身份认
8、证与授权管理系统的最高权威,新昌县财政局用户证书、机构证书均由该中心统一签发数字证书。本期项目将在新昌县财政局建设部署身份认证与授权管理系统,并完成与大平台、国库支付应用系统的接入。(二) 产品功能说明1. 身份认证模块1)证书综合管理系统客户端作为省厅证书综合管理系统的县级财政局客户端,结合财政部门信息管理平台,面向全县数字证书使用者,完成新证书的申请、审核、证书自助更新申请、证书丢失损坏补办、以及 PIN 码的远程解锁等证书相关业务操作。2)身份认证从目录服务系统身份认证系统从目录作为数字身份证书发布和查询的工具,存储由省级目录推送的本地的相关信息,供应用安全组件、应用系统进行查询。2.
9、应用安全组件应用安全组件主要包括身份认证网关以及对应的系统开发接口。应用安全组件和应用服务部署在同一网络区中,提供用户数字身份证书有效性验证,验证证书基本信息,包括有效期、信任域、证书状态。应用开发接口主要指完成和身份认证网关相结合的 API,身份认证网关需实现与目录服务系统实现数据交互。3. 证书存储介质数字证书用户通过在新昌县财政局所部署的证书综合管理系统客户端,向省级证书综合管理系统申请、获得数字证书。数字证书均采用 USBKey 介质存储和保存。(三) 应用接入说明根据浙江省财政厅的统一规划,在部署身份认证与授权管理系统的同时,要对新昌县财政局大平台等业务系统进行改造,目标要求将预算、
10、国库、总账、工资、非税、资产、办公自动化、邮件等系统纳入管理范围。接入应用系统的改造主要分以下四个阶段:1. 改造方案讨论、确认阶段由财政项目组召集供应商、应用开发商一起,进行改造方案的讨论及确认工作,具体方案、流程可参照部机关给出的应用系统接入规范。在确认之后可形成正式的系统安全接入方案。2. 应用开发、改造阶段在形成书面的应用安全接入方案后,应用开发商将根据提供的接口及示例代码在测试环境下进行应用系统的开发、改造工作。若在开发过程中有任何疑问可联系供应商进行协助解决。3. 接入测试阶段在开发、改造完成后,可签发对应的测试证书进行接入测试工作,主要测试使用证书进行系统登录、是否能正常签名/验
11、签等。4. 上线阶段在系统测试通过后,即可着手准备改造后的系统在各地上线试运行。六、产品技术要求(一) 证书综合管理系统客户端序号 技术参数 指标和性能1 产品形态 软件2 数量 1 套3 系统版本 系统必须是财政部统一开发的最新版本,由财政部授权提供,不限制 License 数量。4 功能要求(1)证书介质管理功能:提供 USB-Key 初始化、用户PIN 码修改、用户 PIN 码的远程解锁,用户证书自助更新等功能。证书管理功能:通过 PKI 系统证书业务接口实现证书的申请、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书制作等功能。(2)查询统计功能:提供“用户-证书-证书介质-印章
12、”四者关联查询功能;提供按证书介质品牌、状态的统计功能;(3)支持签发 RSA、SM2 双算法证书。5 性能要求(1)系统具有快速处理能力,排除网络的因素,用户登录、认证的响应时间,系统平均反应时间不超过一秒,尖峰时间不超过三秒;(2)要求系统整体运行稳定,满足多用户并发使用要求,具有抗错能力,以保证各项工作的正常进行;(3)系统运行过程中会与较多的其他系统发生数据交换,因此,本系统要能及时地检测到其它系统的故障,并进行相关处理。6 其他 满足用户身份认证证书的业务管理。(二) 身份认证网关序号 技术参数 指标和性能1 产品形态 硬件2 数量 2 台3 功能要求 (1)构架在身份认证系统和授权
13、管理系统基础之上。 (2)所有服务的管理都基于 B/S。(3)遵循财政部统一的应用接入在身份层面的标准要求。(4)兼容多样的应用模式(C/S、B/S 等) ,对功能无任何影响。(5)提供旁路的认证方案。(6)支持多证书链管理。(7)会话周期可以管理。(8)支持 RSA 算法和 SM2 算法。(9)支持 X509V2、X509 V3 版本格式的数字证书;(10)采用 HTTP 标准协议、XML 数据格式与其他相关产品和应用系统交互,无缝衔接;(11)支持三元分立,管理员的安全登录及超时的自动注销;(12)具备严格的认证日志存储及查询机制,日志支持以 syslog 方式向第三方审计服务器发送;(1
14、3)支持以 LDAP、WEB 等多种方式下载 CRL,并能根据最新的 CRL 对证书进行有效性校验。4 性能要求(1)RSA 算法用户认证速度大于 1000 次/秒。(2)SM2 算法用户认证速度大于 600 次/秒。(3)平均响应时间 1 秒5 其他所投产品必须与财政部全国财政身份认证与授权管理系统属于同一产品系列,并且符合财政部全国财政身份认证与授权管理系统建设制订的各种标准规范。所投产品需提供与财政部签订的合同,投标人非产品厂家的,还需提供产品厂家的供货授权作为证明材料。(三) 目录服务系统序号 技术参数 指标和性能1 产品形态 软件2 数量 1 套3 功能要求(1)支持 LDAP V2
15、、V3 标准,包括RFC2251、RFC2253、RFC2254、RFC2255 及 RFC2256,支持标准的 LDIF 格式;(2)支持 PKI/PMI 的相关标准,支持 X.509 V3 标准,特别是 RFC2459、RFC2587 及 RFC3280;(3)系统具有 7*24 小时连续运行能力,结构清晰、布置容易;(4)可根据某一查询设置特殊的索引进行优化;(5)提供基于 Java 和 C 的 API 接口,具备良好的二次开发能力和整合能力;(6)支持主从结构,支持一主多从和多主多从的布署方式。 (7)系统必须支持主流操作系统。(8)支持数据复制与引用机制;(9)支持自定义模式,用户可
16、以根据需要定义自己的数据类型。4 性能要求(1)支持多并发处理,支持百万级以上的条目数据;(2)支持精确查询, 10 万条目单线程响应速度不高于 1ms,50 线程响应速度不高于 15ms; (3)支持模糊查询,10 万条目单线程响应速度不高于100ms,50 线程响应速度不高于 200ms; (4)10 万条目吞吐量不低于 2500 次/秒(50 线程精确查询) 。(四) 应用开发接口序号 技术参数 指标和性能1 产品形态 软件2 数量 1 套3 功能要求(1)支持 PKCS#7 和 XML 格式的签名和验证。(2)支持浏览器、应用服务器、通用客户端的调用。(3)签名包中可以设定是否携带证书
17、和原文。(4)提供数字信封功能。(5)提供获取证书基本信息功能。(6)支持对文件和数据进行签名、加密。(7)提供获取签名、加密数据包中原始内容的功能。(8)支持大文件、大数据签名、加密。(9)提供 CRL 的获得能力。(五) USB-Key序号 技术参数 指标和性能1 产品形态 硬件2 数量 1000 只3 功能要求(1)64K 及以上安全存储空间(2)支持 RSA(1024/2048)/SM1/SM2/SM3/SM4 以及国产分组算法等(3)硬件生成 1024 位 RSA 密钥对(4)硬件实现数字签名,私钥永不出 Key(5)硬件产生随机数(6)操作系统:Windows98SE/Me/2000/XP/2003 Server/Vista/Win7/Win8/Win10、Linux(7)支持标准:PKCS#11、CSP、SKF、X.509v3、SSLv3、IPSec4 性能要求(1)1024 位 RSA 公私钥对生成: 700ms/对以上(2)1024 位 RSA 解密/签名: 10ms/次以上(3)1024 位 RSA 加密/验签: 1ms/次以上(4)SM1 加密/解密: 1.2Mbps 以上5 其他 三个月的 USB-KEY 上门服务
