招标文件
采购需求
一、项目背景
生态环境是关乎民生的重要领域之一。为落实省委、省政府数字化改革要求,生态环境领域各个部门众多业务电子信息系统都进行了相应的改造,在可预见的未来,信息化手段在生态环境行业的应用将得到进一步加强。同时,随着数字化改革的不断深入,与各委办局进行数据共享与交换的需求日益频繁,这些都对网络(数据)安全提出更高的要求。
依据《密码法》、《网络安全法》、《电子签名法》等法律、文件要求,政府投资的信息化建设所使用的密码技术、产品必须是符合国家密码技术规范和要求;在信息化建设过程中,须运用商用密码技术保障信息系统安全,密码体系设计、建设应当三同步,即“同步规划、同步建设、同步运营”。
密码是网络安全的核心技术和基础支撑,是网络空间安全的DNA,根据全省生态环境商用密码建设要求,保证商用密码技术在全市生态环境领域应用,确保全省生态环境商用密码体系在宁波地区的落地;我局已于2022年完成了宁波市生态环境局商用密码应用服务平台(以下简称“商用密码应用服务平台”)的框架建设,针对省厅统一要求,本期完善商用密码应用服务平台,扩展商用密码应用功能,优化密码运算能力,扩大商用密码技术在市属生态环境业务系统中的应用,提升整体安全性,满足商用密码技术在生态环境领域应用的需要。
二、建设目标
1.初步满足省委密码工作领导小组对生态环境领域商用密码技术运用提出的要求:“密码与环境监管体系融合。服务美丽浙江建设,在我省环境治理智慧化中推广使用密码,实现密码在环境监测系统、陆域及海域资源环境承载能力监测网络、监测预警平台中的广泛应用”。
2.依照《省美丽浙江建设领导小组生态文明示范创建办公室关于印发2021年度设区市美丽浙江建设(生态文明示范创建行动计划)考核评价指标及评分细则和工作责任书的通知》(浙美丽办【2021】14号),对一期建设的商用密码应用服务平台进行运算能力和功能扩展,接入省厅“商用密码服务平台”,落实省生态环境厅全省生态环境领域商用密码应用体系建设的要求。运用商用密码技术保障数字化改革数据的真实性、完整性、抗抵赖性和机密性,确保生态环境业务数据的全生命周期的安全。
三、建设原则
根据宁波市生态环境系统的信息化建设规模及实际应用需要,本项目涉及对宁波市生态环境系统商用密码应用建设充分考虑长远发展需求。遵循原则如下:
1.商用密码技术与生态环境业务应用相结合的原则。
2.先进性和标准性统一的原则。
3.安全性和可靠性的原则。
4.稳定性的原则。
5.开放性和扩展性的原则。
6.易用易管理性的原则。
7.自主可控原则。
四、总体要求
宁波市生态环境商用密码技术应用紧扣数字化改革,依照省生态环境厅全省商用密码应用服务体系和宁波市生态环境商用密码应用体系总体设计,遵循“一次设计、分步实施”的原则进行实施。
商用密码应用服务平台(一期)建设情况:根据省厅要求部署商用密码应用服务平台,整体架构为软硬件一体化平台,支持模块化部署,实现了多维安全认证、数字签名、电子签章等密码服务功能,得到了部分应用;采用的算法为SM2、SM3、SM4等商用密码算法,同时兼容RSA、ECC等国际主流算法。
本项目是基于商用密码应用服务平台(一期)的设计和建设,对2022年已建的商用密码应用服务平台密码功能进行扩展,优化运算能力,为市属生态环境业务系统提供符合商用密码技术规范的密码服务;对环境质量自动监测、OA、饮用水水源地电子围栏系统服务端等业务系统进行商用密码应用改造,扩大商用密码技术在生态环境信息系统中应用;依托已对接省厅商用密码应用监管系统,扩展被监管内容,提升完善商用密码技术在宁波市生态环境系统中的全面应用。
五、技术路线要求
本项目建设秉承轻量级改造、经济性的原则,在不改变原有的网络拓扑结构、应用系统结构、已建商用密码应用服务平台整体架构的情况下,简易、便捷地对已建的商用密码应用服务平台密码服务功能进行扩展,优化运算能力;对环境质量自动监测、OA、饮用水水源地电子围栏系统服务端等生态环境业务系统轻量级改造,与商用密码应用服务平台轻量级对接,实现商用密码技术的应用,确保商用密码技术在全市生态环境业务系统中的可用、能用和好用;利用与省厅商用密码应用监管系统对接,拓展被监管内容,实现商用密码应用在线监管,确保商用密码技术在全市生态环境领域的正确应用。
六、项目建设具体要求
6.1建设内容
(1)按照浙江省生态环境厅《浙江省生态环境系统商用密码应用体系设计》和《浙江省生态环境系统商用密码应用体系建设指南》要求,贯彻省委密码工作领导小组对全省生态环境系统商用密码建设精神,落实浙江省生态环境厅有关建设全省生态环境商用密码应用体系,在软硬件一体化、平台化、模块化、抽象化设计和支持大规模和集群化部署的“商用密码应用服务平台”整体架构基础上,融合已建“商用密码应用服务平台”的密钥和证书体系,建立统一密钥和证书管理机制,完成密码功能扩展,优化密码运算能力部署;扩展后的商用密码应用服务平台能接入省厅“商用密码服务平台”,实现省厅对我局使用的证书和密钥统一管理,确保全省生态环境系统的商用密码体系的互通。
(2)利用已建商用密码应用服务平台和本项目扩展的密码功能和运算能力,结合一期对环境自动监测系统的改造试点经验,优化环境自动监测系统的商用密码应用对接改造方案,扩大前端商用密码应用范围,通过轻量级改造,保证数据的真实性、完整性、机密性和防止数据被篡改。
(3)OA系统与商用密码应用服务平台集成,对OA系统进行商用密码应用改造,运用商用密码技术保证OA系统的数据真实性、完整性、抗抵赖性。
(4)利用商用密码应用服务平台,对接饮用水水源地电子围栏系统服务端,通过轻量级的密码应用试点改造,实现商用密码技术应用;运用商用密码技术确保数据的真实性、完整性、和抗抵赖性。
(5)根据省厅商用密码应用的监管要求,增加被监管子系统的被监管内容功能,落实省厅及省密码管理局在线监管要求。
(6)部署生态环境商用密码技术应用场景展示,展示的内容包括但不限于商用密码应用服务平台的状态、改造后的生态环境业务系统状态、各类密码应用模块状态、数字证书使用状态、与省厅互联互通状态。
本项目的建设内容清单
|
序号 |
内容 |
名称 |
数量单位 |
说明 |
|
1 |
商用密码应用服务平台密码功能扩展 |
业务系统接入许可 |
3项 |
本项目生态环境业务系统接入商用密码应用服务平台许可 |
|
2 |
被监管子系统 |
1套 |
被监管功能扩展 |
|
|
3 |
对象存储子系统 |
1套 |
包括5T存储许可,支持版式文件集中存储管理 |
|
|
4 |
数据门户子系统 |
1套 |
实现基于密码技术的数据共享 |
|
|
5 |
商用密码应用展示子系统 |
1套 |
生态环境业务系统商用密码应用展示 |
|
|
6 |
数字证书 |
客户端证书 |
210张/年 |
与生态环境密码应用模块配套使用 |
|
7 |
生态环境业务系统商用密码应用改造 |
环境质量自动监测系统改造 |
1项 |
通过商用密码应用改造,运用商用密码技术保障环境质量自动监测系统安全 |
|
8 |
生态环境密码应用模块 |
204套 |
通过商用密码应用改造,运用商用密码技术保障环境质量自动监测系统安全 |
|
|
9 |
OA系统商用密码应用改造 |
1项 |
通过商用密码应用改造,运用商用密码技术保障OA系统安全 |
|
10 |
|
饮用水水源地电子围 栏系统服务端商用密码应用试点改造 |
1项 |
通过商用密码应用改造,运用商用密码技术保障饮用水水源地电子围栏系统服务端安全 |
|
11 |
生态环境密码应用模块 |
6套 |
通过商用密码应用改造,运用商用密码技术保障饮用水水源地电子围栏系统服务端安全 |
|
|
12 |
商用密码功能集成 |
商用密码应用服务平台功能扩展集成 |
1项 |
各密码功能与已建的商用密码应用服务平台进行扩展集成;完成省市平台联调 |
|
13 |
商用密码应用监管对接改造集成 |
省厅商用密码应用监管对接 |
1项 |
与省厅商用密码应用监管系统对接,实现商用密码应用内容和合规性在线监管要求 |
本项目采购内容包括采购清单中货物供货、安装调试、货物验收、培训、质保期内的售后服务。采购需求清单中未提到,但实际采购和安装过程中需要配置的各种设备、辅助材料和其他费用等均计入针对采购人的报价中,不得额外收费。
6.2详细建设要求
6.2.1总体架构要求
根据浙江省生态环境厅全省商用密码应用建设要求,紧扣数字化改革,本项目商用密码应用建设的整体架构需融合一期软硬件一体化、平台化、模块化、抽象化架构设计,支持大规模和集群化部署,保证商用密码应用服务平台密码功能扩展后的安全可靠。
商用密码应用服务平台密码功能扩展和运算能力的优化在技术上遵循宁波市生态环境局商用密码应用体系设计,沿用已建商用密码应用服务平台整体架构的技术路线,并非是传统密码设备的集群,区别于传统密码硬件设备方案、密码资源池方案,整体架构支持自主可控的软硬件,同时兼容传统计算机架构;商用密码应用服务平台的密码性能和服务支撑能力不依赖于密码硬件设备,采用模块化设计,各项扩展的密码功能可实现水平横向拓展,根据全市生态环境业务信息系统密码应用的需求,调整商用密码应用服务平台内的服务,具备足够的并发力和高度的可用性。
商用密码应用服务平台密码功能扩容部署,能够融合已建商用密码应用服务平台密钥和证书体系,建立统一的密钥和证书管理机制;商用密码应用服务平台的密码功能扩展和运算能力优化后,能接入省厅商用密码服务平台,实现省厅对宁波市生态环境局使用的证书和主密钥统一管理,确保全省生态环境系统的商用密码体系的互通。
本项目涉及的生态环境业务系统,通过轻量级改造,与商用密码应用服务平台采用轻耦合的方式集成,实现商用密码技术的应用,提高系统的安全性和用户访问的便捷性。
本项目商用密码应用监管内容扩展的整体架构应当与已建的商用密码应用服务平台一致,能够与原有被监管子系统融合,实现省厅和省密码管理部门对我市生态环境商用密码应
用在线监管。
6.2.2算法及算法实现要求
本项目的商用密码应用服务平台密码功能扩展和各业务系统的商用密码应用改造严格按照商用密码技术规范,选择SM2、SM3、SM4等商用算法作为安全算法,并且按照商用密码技术规范实现密码算法,确保商用密码技术在全市生态环境信息系统中的正确运用。同时兼容AES、ECC等国际通用算法。
6.2.3遵循的标准及规范要求包括但不限于:
GM/T 0002-2012《SM4分组密码算法》
GM/T 0003-2012《SM2椭圆曲线公钥密码算法》GM/T 0004-2012《SM3密码杂凑算法》
GM/T 0005-2021《随机性检测规范》
GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》
6.2.4本项目商用密码应用服务平台扩展应当具备的密码功能
*本项目属于全省生态环境系统的商用密码应用体系建设的一部分,应当确保商用密码应用服务平台密码功能扩展和运算能力优化后,能够融合已建商用密码应用服务平台的密钥和证书体系,建立统一密钥和证书管理机制;能够顺利对接省厅商用密码服务平台,省厅商用密码服务平台对本项目使用的主密钥和证书进行全生命周期的管理。
本项目商用密码应用服务平台的密码功能扩展包括但不限于以下功能:
(1)业务系统接入许可
增加3个业务系统接入商用密码应用服务平台的许可,能够实现环境质量自动监测、OA、饮用水水源地电子围栏系统服务端与商用密码应用服务平台集成。
(2)商用密码应用被监管功能
运用已经部署的商用密码应用被监管子系统,增加商用密码应用被监管内容和方式,与省厅商用密码应用监管系统对接,实现省厅和省密码管理部门对我局商用密码应用的内容和合规性在线监管。
(3)基于商用密码技术的对象存储功能
基于OA的商用密码应用改造需求,对接商用密码应用服务平台的对象存储子系统,实现对版式文件进行集中管理和存储。
(4)基于商用密码技术的数据共享
运用商用密码技术,通过商用密码应用服务平台的数据门户子系统,实现数据的安全共享。
(5)商用密码应用展示
提供全市生态环境商用密码应用状态的展示功能。
本项目与商用密码应用服务平台集成,运用的安全功能包括但不限于:
(1)多维认证方式
(2)证书管理
(3)密钥管理
(4)数字签名
(5)安全随机数
运用的管理功能包括:
(1)接入管理
(2)用户管理
(3)日志管理
依照省厅关于全省生态环境商用密码体系建设要求,本项目针对已建商用密码应用服务平台的密码功能扩展,包括但不限于业务系统接入许可、被监管子系统、对象存储子系统、数据门户子系统、商用密码应用展示子系统。
6.2.5商用密码应用服务平台密码功能扩展部署要求
供应商应当理解已建商用密码应用服务平台整体架构、网络、应用情况,设计符合商用密码应用平台密码功能扩展的部署方案(包括但不限于网络部署架构),充分考虑我市生态环境业务系统应用、与省厅的商用密码服务平台的集成和商用密码应用监管要求,确保密码功能扩展方案能够顺利实施。
6.3主要技术指标要求
本项目建设商用密码应用方案需适用于宁波市生态环境业务系统。投标单位须按照以下要求在投标文件中进行逐条说明。
6.3.1商用密码应用服务平台密码功能扩展技术指标要求
|
指标项 |
技术规格要求 |
|
总体要求 |
▲本项目的密码功能扩展整体架构与已建商用密码应用服务平台保持一致,支持软硬件一体化平台部署,并非是传统密码设备的集群,密码资源池架构,投标人应详细说明投标部署方案与传统密码硬件设备方案、密码资源池方案的区别。 |
|
▲软件平台系统应当具有产品计算机软件著作权登记证书及通过省级(含)以上软件测评中心测评取得的检测报告。 |
|
|
▲支持信创架构,软件系统通过省级信创适配测试中心的信创适配测试报告。 |
|
|
*承诺密码功能扩展后,商用密码应用服务平台能够通过商用密码应用安全性评估。 |
|
|
密码功能扩展的密码理论 |
系统性地说明商用密码应用服务平台密码功能扩展理论设计,包括但不限于适用于宁波市生态环境业务系统需要的密码理论,密码功 |
|
|
能理论、密钥协议理论、与省厅集成的密码理论。 |
|
|
商用密码应用服务平台软件平台密码功能扩展(1套) |
||
|
架构要求 |
总体架构 |
▲密码功能扩展支持模块化建设,采用微服务架构,可支持服务编排(容器)。(提供模块化、微服务架构展示截图证明材料) |
|
密码功能扩展以组件化的微服务方式实现,每个微服务都为可独立替换和升级的单元,并采用轻量级的异步去中心化协议通信。 |
||
|
密码功能扩展后,能够与已建商用密码应用服务平台融合,可实现水平横向拓展,可以根据业务需求调整系统内的服务,提供足够并发能力和高度的可用性。 |
||
|
*算法及遵循标准 |
使用商用密码算法包括SM2、SM3、SM4,遵循的标准应包括但不限于《GM/T 0002-2012 SM4分组密码算法》、《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》、《GM/T 0004-2012 SM3密码杂凑算法》。 |
|
|
自主可控架构兼容性 |
系统扩展能够实现《目录》操作系统、数据库的兼容应用。 |
|
|
高可用 |
密码功能扩展支持已建商用密码应用服务平台的架构部署,支持双活、集群部署,任意1个物理节点的损坏不影响业务系统正常运行,不影响数据正常访问,确保业务连续性。 |
|
|
集成规范 |
密码功能扩展后,商用密码应用服务平台提供通用密码服务接口,提供系统的跨语言以及平台接入能力,统一对外提供以HTTP协议为基础的RESTful风格API。 |
|
|
密码功能扩展后,不限开发语言接入平台,以一致的接入方式使用商用密码应用平台提供的服务。 |
||
|
验签接口符合GM/T 0018-2012密码设备应用接口规范中的接口规定,同时支持没有预处理的签名消息(包含签名者ID和明文信息)验签。 |
||
|
密码功能子系统 |
业务系统集成许可数 |
本项目商用密码应用服务平台增加的业务系统集成许可数≥3个。 |
|
▲被监管子系统 |
符合省厅和省级密码管理部门的监管要求,利用标准规范接口,能够按照要求扩展被监管内容,确保上级监管部门商用密码应用在线监管工作要求。 |
|
|
对象存储子系统 |
▲自主可控,提供软件著作权证书及软件测评报告。 |
|
|
支持容器化部署,支持使用docker compose、docker swarm和Kubernetes方式部署启动;支持5TB存储许可。 |
||
|
提供可视化页面查看存储空间大小,查看文件信息,可执行文件的 |
||
|
|
|
上传、下载、删除操作。(提供产品功能截图证明材料) |
|
可为存储在对象存储系统中的对象数据添加描述信息,通过对描述信息的筛选,快捷地进行分类查找;支持基于纠删码(erasure code)数学算法的恢复丢失和损坏数据功能,支持在损坏一半数据盘的情况下,仍然保持数据可读;支持云存储服务接口。 |
||
|
支持运用商用密码应用服务平台签章接口实现版式文档和非结构化元数据的可靠存储。(提供API文档以及存储数据结构证明材料) |
||
|
提供RESTful风格的API接口,能够方便地为不同系统提供对象存储服务。 |
||
|
提供基于商用密码算法安全加密存储服务,密钥和证书体系与商用密码应用服务平台一致。(提供功能截图证明材料) |
||
|
数据门户子系统 |
以对象存储子系统的存储数据作为数据源,提供数据检索能力和存储对象的访问能力。 |
|
|
支持多条件对非结构化文档数据的定制化文档搜索。(提供功能截图证明材料) |
||
|
支持对象存储文档在线预览和签名签章验证。(提供功能截图证明材料) |
||
|
可定制化数据管理逻辑,实现文档统一的管理,包括但不限于支持对同一用户所有文档的管理。 |
||
|
提供统一界面和操作逻辑,实现不同数据源的文档管理操作。 |
||
|
利用数据门户子系统,能够从数据源获取数据包括但不限于版式文档本身、文档元数据。 |
||
|
商用密码应用展示子系统 |
展示商用密码应用服务平台提供的密码服务状态,包括但不限于服务类型、服务实时状态。 |
|
|
展示商用密码应用服务平台密码应用服务统计状况,包括但不限于接入系统状态、地区统计、区域地图。 |
||
|
展示商用密码应用服务平台日志监控 |
||
|
业务系统商用密码应用状况,结合区域地图展示,包括但不限于业务系统使用的密码应用模块状况、密码功能应用状况、数字证书应用状况。(提供功能截图证明) |
||
|
展示与省厅商用密码服务平台集成互联状况。 |
||
|
展示与省厅商用密码应用监管系统集成状况。 |
*详情请见招标文件
收藏