1、 E 系统 CA 模块安全运维服务项目采购需求1. 项目简介1.1. 项目背景目前,E 系统 CA 模块采用 RSA1024 算法,为电子申请应用提供身份认证、数字签名、数据加解密服务,提高业务系统的身份认证强度,保障关键业务流程和数据的安全性。E 系统内网部分主要包括电子审批、代码化等及相关配套服务;外网部分主要包括电子申请、局外查询及相关配套服务。公钥密码算法模块用于电子申请中的 CA 服务模块。CA 服务模块部署分成外网和内网两个部分,外网部署有 OCSP 服务及电子申请调用接口模块,内网主要部署有 CA 服务、RA 服务、CAPub 服务、LDAP 服务。CA 服务模块相关硬件包括:外
2、网 OCSP 服务器、内网 CA/RA 服务器、和内网加密机。E 系统 CA 系统整体架构示意图如下所示:E 系统 CA 模块的建成和应用,规范了 E 系统安全建设的标准和流程,解决了应用系统身份认证强度低造成的身份假冒、非法盗取和内容泄露,解决了数据传输过程中被窃听、截取、非法篡改以及无法确保重要应用系统中关键数据处理发起者的真实身份等问题,提高了用户身份认证强度,加强了数据安全性,保障了应用系统非法用户进不来、重要信息窃不走、拿走看不懂、改不了、操作赖不了,整体提升了 E 系统安全水平。1.2. 项目建设必要性随着密码技术和计算技术的发展,1024 位 RSA 公钥密码算法面临严重的安全威
3、胁。国家研究了一系列国家标准的密码算法,并计划取代世界通行标准的 RSA、SHA-1 等算法。分别为:SM1 算法对应 3DES、AES 等对称算法,SM2 算法对应 RSA 公开密钥算法,SM3 对应 MD5、SHA-1 等摘要算法。E 系统使用 RSA 算法一直稳定运行,使用证书的终端用户达到 70 多万。目前,E 系统的 CA 模块已不符合国家密码管理局规定的使用国产 SM2 算法的要求。近期,接到安全部通报,E 系统 CA 系统存在容易受到黑客攻击的控件漏洞,需要进行安全升级工作。但是遵从政策指引,CA 设备原厂在国密局下发算法升级通知后已经不再对我局使用的旧 RSA 系统进行升级改造
4、工作。因此,为了维护 E 系统的安全性和稳定性,从根本上清除安全漏洞,同时也为了符合国家规范,需要将 E 系统的 CA 安全应用系统整体进行升级。考虑到既要满足国家使用 SM2 算法替代 RSA 公开密钥算法的要求,又要满足广大申请人的便捷性要求,计划将现有 CA 模块升级为国产算法 SM2 和RSA2048 混合使用的 CA 系统,对安全性要求高的用户提供使用硬 KEY 的 SM2算法服务,对其他用户提供相对于现有 RSA1024 算法更加复杂和安全的RSA2048 算法服务,即在维持现有系统 CA 服务方式不变的基础上,全面升级安全算法,保障广大申请人利益。2. 安全服务要求2.1. 服务
5、范围本次 CA 安全服务涉及的系统包括:E 系统、发明智审系统、E 系统容灾。本次 CA 安全服务所需要的软、硬件设备由投标人负责提供。2.2. 服务时间服务时间为自合同签订后,开始提供正式服务之日起一年。2.3. 服务地点国家知识产权局专利局。2.4. 服务要求(1) 热线支持服务:要求提供 7*24 小时电话支持服务,30 分钟响应,需提供具体负责人的联系方式。(2) E-Mail 支持服务:提供 7*24 小时 E-Mail 支持服务,2 小时内响应客户技术需求,4 小时内提出解决方案,需提供具体负责人的联系方式。(3) 现场技术支持服务:接到用户通知后 30 分钟内提供技术响应,1小时
6、内到达现场,提供排错服务,两小时内排除故障或采取措施恢复系统运行。提供 24 小时维修服务电话和专人值班手机。(4) 预防性安全服务:预防性安全服务包括现场巡检、调整优化。预防性维护及检测的时间应在不影响招标方系统使用的情况下与招标方协商,巡检次数 1 年不少于 4 次。(5) 产品升级服务:根据产品厂商的升级信息,为用户提供产品升级服务。及时通知招标方影响系统安全运行的软件漏洞和修补方法,并完成升级相应的现场服务。(6) 对于用户在使用过程中发现的各类问题,投标方应在以下期限内解决,以接到报修日为 T 日,按自然日计算,应在 T+1 日内解决问题。(7) 定期进行数据备份,保证系统数据的安全
7、;定期进行数据检查与核对,保证数据的准确、完整。(8) 项目配合:招标方在实施重大事件和重大项目,如重大安全事件、系统切换、系统升级或机房搬迁等时,需要投标方配合或协助,投标方应积极响应及时指派资深系统支持人员现场协助及指导,提供现场技术支持。(9) 完成本项目系统软硬件故障进行分析和解决故障。(10) 技术交流:投标方应组织培训或其它形式的活动,对系统的维护、用户操作进行技术交流和相关培训。(11) 服务许可:为了保障系统的安全,无论是远程操作还是现场支持,投标方应保证招标方系统的安全,才能进行系统相关操作;投标方工作人员进入招标方机房前应征得招标方的同意,并办好相应的登记手续,离开时留下相
8、应的操作记录。(14)服务期结束后,按用户要求提供服务验收报告,进行服务验收。(15)提供的服务应满足公安部等保要求。2.5. 安全要求(1)数字证书服务a) CA 发放符合要求的数字证书,支持 RSA2048、支持国密算法 SM2。b) 根系统与算法规则服务。c) 签发系统服务。d) 移动设备发放数字证书服务。e) 注册服务。f) 密钥管理服务。g) 在线查询服务。h) TSA 时间戳。(2)算法升级服务a) 升级系统密码机接口。b) 目前使用 USB-key 中的芯片没有国密算法,不能支持 SM2 算法,需要进行更换;目前已经颁发的 USB-key 为 896 个,考虑未来几年的更换,计划
9、购买 2000 个 Key 备用,参照现有模式,免费为老用户更换,并向有高安全需求的用户发放。c) 系统软件升级,由原来仅支持 RSA 算法的软件系统(包括签发系统 CA、注册系统 RA、在线证书状态验证系统 OCSP、密钥管理中心系统 KMC) ,升级的新系统支持 RSA 和 SM2 两种算法。(3)证书兼容连续应用保障服务a) 为保证应用系统业务连贯性,设计现有数字证书与新建数字证书应用模块双轨并行,同时对外提供服务,为 E 系统电子申请应用提供高安全的身份认证、信息加/解密、信息完整性以及抗抵赖性等诸多安全服务。b) 部署新数字证书应用模块后,针对新的证书申请用户同时发放 RSA和 SM
10、2 两种算法的证书存放在 USB KEY 中。在业务系统中调用证书进行认证时由应用组件进行过滤和判断选择其中一种证书。c) 新增用户:在新数字证书模块中给用户发放新的 RSA 和 SM2 证书。d) 现有 CA 用户:可继续使用之前的证书。e) 部署新数字证书应用模块后,现有数字证书无更新功能,现有证书用户如需要更新,可通过新数字证书应用模块进行。现有 CA 用户证书到期需要更新,管理员在新数字证书应用支撑云平台中签发新的下载码,用户自行下载。f) 证书吊销:因某些原因不再继续使用时,吊销该证书。(4)完善证书相关审计服务a) 根据用户的全部申请信息进行查询。b) 可以根据时间段进行检索。c)
11、 可以查看证书状态。d) 可以组合条件查询。e) 可以根据 USBKey 编号进行查询。f) 可以根据证书序列号进行查询。(5)提升客户端证书应用组件服务客户端证书应用组件包含 USBKey 应用接口、证书管理助手和解锁工具。客户端证书应用组件为应用系统提供证书调用服务,通过调用 UKey 接口实现对 UKey 的操作。应用组件支持多算法(RSA、SHA1、SHA256 国际算法和SM1、SM2、SM3、SM4 国密算法) 、支持多系统版本(windows xp 以上操作系统)、支持多浏览器(Firefox、Google Chrome、Opera 等) 、兼容性好(兼容已发放的 UKey)扩展
12、性强(支持驱动及接口库动态加载,支持运算参数可配置) 。(6)证书自助更新服务a) 用户使用老 key 到自助服务更新网站进行认证,认证通过后提交证书更新成证书申请。b) 用户登录到证书自助网站,认证通过后,直接下载新的 SM2 证书到硬件 Key 中,软证书下载 RSA2048 到电脑中,下载成功后,现有生产系统同时将原有证书注销。(7)控件接口提升服务a) 认证组件改变为 C/S 架构,将认证功能封装成身份认证平台,客户端部署到各应用系统中,认证接口既支持 RSA 认证,又支持 SM2认证。b) 针对原已经结合过的应用系统(包括 E 系统电子申请、E 系统容灾、发明智能审交互式、CEPCT
13、、集成电路附图设计等) ,逐一进行新接口替换测试,按照接口替换难易及系统重要性进行排序上线。(8)专家支持服务a) 满足前述各项服务要求。b) 制定 CA 电子认证系统的应急预案并组织进行演练。结合知识产权局对建立信息安全事件应急预案工作的要求,每年组织进行应急预案的评审与修订,并进行演练。同时,结合日常运行维护,制定应急操作流程,确保当发生突发事件时及时响应。c) CA 系统,加密机设备的维护,保障所提供服务的软硬件系统环境。d) 提供系统建设支撑服务。e) CA 受理点制度的建立及完善。2.6. 实施要求(1)项目实施过程控制在本项目实施过程中,应完成招标文件中所规定的各项任务,包括:软硬
14、件设备进场验收、软硬件设备安装调试、系统测试、系统联调、安全服务等,提供安全维护和技术支持。项目整体实施分为 3 个阶段,项目准备、项目实施及调试、项目验收。(2)项目准备a) 投标人需根据安全服务的需要,提供相应的软、硬件设备。b) 根据用户的现有实际情况提出相应的设备部署方案。(3)项目实施及调试本项目的安装、实施、联调和服务地点均在国家知识产权局专利局。a) 在设备到达指定到货地点一周前向项目单位提供提交详细的设备供货清单,由项目单位确认并提供相应的场地完成安装。b) 设备到货后开始进行软硬件设备安装调试。完成安全服务所需要的软硬件设备搭建。c) 用户方需配合完成安全服务所需设备的搭建工
15、作,并提供设备运行所需要的基础环境,如网络、存储、备份等。d) 软硬件环境安装调试完成后,进行应用部署,为相关应用系统提供 CA 安全服务。e) 上线前应进行第三方测试并提供测试报告。(4)项目验收本项目服务时间为一年,自合同签订之日起计算,服务时间满一年后,本项目服务期自动结束,视为项目验收。3. 其他要求3.1. 投标方要求投标方在北京有服务机构。3.2. 团队要求投标方应针对本项目设立专门的团队,并至少有 1 名驻场服务人员,团队人员应该具备以下能力:(1) 熟悉系统,包括现有的系统功能和相关数据,能够迅速解决相关的问题。(2) 熟悉系统的整体架构、系统数据结构、系统程序,能够迅速的定位
16、系统故障并予以解决。(3) 精通专利审查业务,对项目相关的业务非常熟悉。能够清晰明确的理解业务部门提出的问题,并根据实际业务提出最佳的解决方案。(4) 具有丰富的系统运行维护和问题处理的经验和知识积累。(5) 投标方不得在履行合同期间更换项目经理,若因不可抗力,必须变更时,应选派一名具有同等或更高资历的人员进行替换。(6) 投标方不得在履行合同期间更换项目主要技术负责人,若因不可抗力,必须变更时,应选派一名具有同等或更高资历的人员进行替换。(7) 新更换人员的资历应事先得到招标方认可。投标方不得因人员的变更影响合同的价格及合同履行期限。3.3. 服务管理要求(1)投标方应针对本项目设立完善的管
17、理机制和工作流程,即为服务的运行管理建立一套专门的组织机构。(2)安全工作人员管理,包括 PKI/CA 系统安全工作人员的配置、角色和岗位划分,以及岗位职责描述。(3)服务管理功能,即对服务管理中涉及的主要工作进行说明,制定管理工作,包括证书管理、USB KEY 管理、审计与监控措施等。(4)管理规范,对 CA 中心管理、证书帐号管理、鉴证管理、KMC 管理、人员管理及相关的管理制度的制定提出建议。服务管理流程应结合我局现状进行设计。管理包括但不限于配置管理、变更管理、发布管理、沟通管理、安全管理、知识库管理等。3.4. 付款要求(1) 预付款:合同签订后,按照招标方支付时间向投标方预付合同总
18、额的约 50%;(2) 尾款:维护期结束后,对系统维护工作进行验收,双方签署验收报告后按照招标方支付时间向投标方支付合同总额的约 50%。3.5. 违约责任(1) 投标方未能按照服务要求中约定(如:响应和恢复时间、服务方式等) 向用户提供技术支持与服务,视为违约,招标方有权将此记为技术支持和服务中断,并保留进一步向投标方索赔由于技术支持和服务中断给招标方造成的损失的权利。(2) 在本合同生效期内,对于技术支持和服务的中断,每中断 1 次,扣除合同总价款的 1%作为罚金。超出违约保证金的部分,用户有权要求投标方按此标准退回已支付的金额,赔偿用户因此遭受的损失。(3) 如投标方在接到用户维修通知后 2 小时内仍不能修复系统,视为投标方违约,在规定时间以后恢复故障的,每一天按照合同总价款的 1%作为罚金,如因此给招标方造成损失,投标方应负责赔偿。