新昌县财政局身份认证与授权管理系统.docx
《新昌县财政局身份认证与授权管理系统.docx》由会员分享,可在线阅读,更多相关《新昌县财政局身份认证与授权管理系统.docx(12页珍藏版)》请在冰点文库上搜索。
新昌县财政局身份认证与授权管理系统
新昌县财政局身份认证与授权管理系统
货物需求一览表及技术需求书
一、项目概况
财政部信息网络中心于2008启动了全国财政身份认证与授权管理系统的建设工作。
财政身份认证与授权管理系统是一个全国系统,需要在财政部、省级财政部门、市级、县级财政部门进行部署。
财政部信息网络中心统一组织了财政部、35个省级财政部门节点的建设和实施工作。
并与2009年下发《财政部关于开展财政身份认证与授权管理系统建设的通知》(财办〔2009〕26号)文件(省厅已转发各市县)。
对该系统建设的重要意义,目标和原则,建设内容,实施和管理,采购和经费保障以及监督检查均作出了明确要求。
根据财政部关于“金财工程”应用支撑平台在地方推广实施工作的要求,2009年5月底浙江省财政厅开始了省级节点的财政一体化系统的建设,并和浙江省财政一体化系统(大平台)的应用接入工作。
截至目前,浙江省财政身份认证与授权管理系统证书的发证量两万张左右,这些证书主要在OA、大平台中进行身份认证、入门级控制等,达到了保护业务、数据安全的效果。
性能总体稳定,具有基于平台整合后的数据高度共享、流程完整顺畅、业务处理规范等特点,在一定程度上提升了财政科学化、精细化管理水平。
为进一步提升财政管理质量和效率,2010年起在已有建设成果基础上,浙江财政又启动了地市及县级财政的一体化系统建设,扩充了财政一体化系统的应用范围,该系统目前已经在全省范围内投入使用。
浙江财政身份认证与授权管理系统的建设以及数字证书的应用,为浙江财政一体化系统提供了强有力的安全保障。
截至目前,浙江财政省厅一体化系统的用户已经全部发证数字证书,系统采用证书认证代替原来的“用户名+口令”认证方式,解决了因口令泄漏而导致的用户身份冒充问题。
部分地市及区县也完成了身份认证与授权管理系统系统建设以及与一体化系统的对接。
同时,财政身份认证与授权管理系统还提供数字签名、数字信封、时间戳等扩展功能,为浙江财政一体化系统的进一步安全应用打下了坚实的基础。
二、本次采购内容
我局本次采购的身份认证与授权管理系统,主要包括基于数字证书的高强度身份认证、应用级访问控制两个方面,具体内容如下:
1.身份认证
目前我局的应用系统对用户身份的认证普遍采用“用户名+口令”的方式,应用系统登录通常使用静态口令,口令设置过于简单且长时间不进行更新;口令在数据库中有存储记录,可重复使用,非法用户通过网络窃听、非法数据库访问、穷举攻击、重放攻击等手段很容易得到这种静态口令,利用获得的口令,就可对资源进行非法访问和越权操作。
身份认证是应用系统判断用户是否合法的重要手段,也是应用系统的第一道安全防护。
传统的用户名/口令作为低强度认证方式无法满足安全认证需求,采用高强度的认证可提供比传统的身份认证方式更加安全可靠的方法,可以更好的保证系统的安全性。
2.证书综合管理
结合财政部门信息管理平台,面向管理员,完成新证书的申请、审核、证书自助更新申请、证书丢失损坏补办、以及PIN码的远程解锁等证书相关业务操作。
三、系统建设整体架构
该建设模式在系统中位于浙江省省级财政的下一级,主要部署身份认证模块的证书综合管理系统客户端和身份认证从LDAP,应用安全组件的身份认证网关,具体如下图所示:
财政身份认证与授权管理系统建设的总体部署是在财政专网统一部署身份认证模块、授权管理模块、安全审计模块和应用安全组件,在财政部设立证书签发中心(CA)、注册中心(RA)、证书综合管理系统,证书签发中心(CA)主要对全国财政部门及与财政业务相关单位的人员和设备的数字证书进行签发与维护,并自动下传给部机关和省级(含计划单列市)财政部门的证书注册中心(RA);在浙江省级财政部门设立注册中心(RA)和证书综合管理系统,为省本级相关人员提供证书注册管理,并对下级财政部门的证书综合管理系统客户端进行管理;在新昌县财政部门设立证书综合管理系统客户端。
四、采购清单
序号
名称
型号
数量
参考单价(元)
合计
(万元)
备注
1
证书综合管理系统客户端
1套
50000
5
一年免费维保
2
身份认证网关
G3000-I-S
2台
125000
25
一年免费维保
3
从LDAP软件(目录服务系统)
吉大正元
1套
98000
9.8
一年免费维保
4
Haikey3000key(usb-key)
海泰
1000
35
3.5
一年免费质保
5
应用接入license
1套
20000
2
6
集成费服务费
20000
2
合计
47.3
五、技术方案及说明
(一)整体设计说明
根据财政身份认证与授权管理系统的整体组织架构、业务模式、网络建设情况,此次新昌县财政局身份认证与授权管理系统建设主要包含两个模块,分别为身份认证模块(证书综合管理系统客户端、身份认证系统从目录)、应用安全组件(身份认证网关)。
身份认证与授权管理系统的信任源头为财政部身份认证中心,该中心是财政身份认证与授权管理系统的最高权威,新昌县财政局用户证书、机构证书均由该中心统一签发数字证书。
本期项目将在新昌县财政局建设部署身份认证与授权管理系统,并完成与大平台、国库支付应用系统的接入。
(二)产品功能说明
1.身份认证模块
1)证书综合管理系统客户端
作为省厅证书综合管理系统的县级财政局客户端,结合财政部门信息管理平台,面向全县数字证书使用者,完成新证书的申请、审核、证书自助更新申请、证书丢失损坏补办、以及PIN码的远程解锁等证书相关业务操作。
2)身份认证从目录服务系统
身份认证系统从目录作为数字身份证书发布和查询的工具,存储由省级目录推送的本地的相关信息,供应用安全组件、应用系统进行查询。
2.应用安全组件
应用安全组件主要包括身份认证网关以及对应的系统开发接口。
应用安全组件和应用服务部署在同一网络区中,提供用户数字身份证书有效性验证,验证证书基本信息,包括有效期、信任域、证书状态。
应用开发接口主要指完成和身份认证网关相结合的API,身份认证网关需实现与目录服务系统实现数据交互。
3.证书存储介质
数字证书用户通过在新昌县财政局所部署的证书综合管理系统客户端,向省级证书综合管理系统申请、获得数字证书。
数字证书均采用USBKey介质存储和保存。
(三)应用接入说明
根据浙江省财政厅的统一规划,在部署身份认证与授权管理系统的同时,要对新昌县财政局大平台等业务系统进行改造,目标要求将预算、国库、总账、工资、非税、资产、办公自动化、邮件等系统纳入管理范围。
接入应用系统的改造主要分以下四个阶段:
1.改造方案讨论、确认阶段
由财政项目组召集供应商、应用开发商一起,进行改造方案的讨论及确认工作,具体方案、流程可参照部机关给出的应用系统接入规范。
在确认之后可形成正式的系统安全接入方案。
2.应用开发、改造阶段
在形成书面的应用安全接入方案后,应用开发商将根据提供的接口及示例代码在测试环境下进行应用系统的开发、改造工作。
若在开发过程中有任何疑问可联系供应商进行协助解决。
3.接入测试阶段
在开发、改造完成后,可签发对应的测试证书进行接入测试工作,主要测试使用证书进行系统登录、是否能正常签名/验签等。
4.上线阶段
在系统测试通过后,即可着手准备改造后的系统在各地上线试运行。
六、产品技术要求
(一)证书综合管理系统客户端
序号
技术参数
指标和性能
1
产品形态
软件
2
数量
1套
3
系统版本
★系统必须是财政部统一开发的最新版本,由财政部授权提供,不限制License数量。
4
功能要求
★
(1)证书介质管理功能:
提供USB-Key初始化、用户PIN码修改、用户PIN码的远程解锁,用户证书自助更新等功能。
证书管理功能:
通过PKI系统证书业务接口实现证书的申请、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书制作等功能。
(2)查询统计功能:
提供“用户-证书-证书介质-印章”四者关联查询功能;提供按证书介质品牌、状态的统计功能;
★(3)支持签发RSA、SM2双算法证书。
5
性能要求
★
(1)系统具有快速处理能力,排除网络的因素,用户登录、认证的响应时间,系统平均反应时间不超过一秒,尖峰时间不超过三秒;
★
(2)要求系统整体运行稳定,满足多用户并发使用要求,具有抗错能力,以保证各项工作的正常进行;
★(3)系统运行过程中会与较多的其他系统发生数据交换,因此,本系统要能及时地检测到其它系统的故障,并进行相关处理。
6
其他
★满足用户身份认证证书的业务管理。
(二)身份认证网关
序号
技术参数
指标和性能
1
产品形态
硬件
2
数量
2台
3
功能要求
(1)构架在身份认证系统和授权管理系统基础之上。
(2)所有服务的管理都基于B/S。
★(3)遵循财政部统一的应用接入在身份层面的标准要求。
(4)兼容多样的应用模式(C/S、B/S等),对功能无任何影响。
★(5)提供旁路的认证方案。
(6)支持多证书链管理。
(7)会话周期可以管理。
(8)支持RSA算法和SM2算法。
(9)支持X509V2、X509V3版本格式的数字证书;
(10)采用HTTP标准协议、XML数据格式与其他相关产品和应用系统交互,无缝衔接;
(11)支持三元分立,管理员的安全登录及超时的自动注销;
(12)具备严格的认证日志存储及查询机制,日志支持以syslog方式向第三方审计服务器发送;
(13)支持以LDAP、WEB等多种方式下载CRL,并能根据最新的CRL对证书进行有效性校验。
4
性能要求
★
(1)RSA算法用户认证速度大于1000次/秒。
★
(2)SM2算法用户认证速度大于600次/秒。
★(3)平均响应时间<1秒
5
其他
★所投产品必须与财政部全国财政身份认证与授权管理系统属于同一产品系列,并且符合财政部全国财政身份认证与授权管理系统建设制订的各种标准规范。
所投产品需提供与财政部签订的合同,投标人非产品厂家的,还需提供产品厂家的供货授权作为证明材料。
(三)目录服务系统
序号
技术参数
指标和性能
1
产品形态
软件
2
数量
1套
3
功能要求
★
(1)支持LDAPV2、V3标准,包括RFC2251、RFC2253、RFC2254、RFC2255及RFC2256,支持标准的LDIF格式;
★
(2)支持PKI/PMI的相关标准,支持X.509V3标准,特别是RFC2459、RFC2587及RFC3280;
(3)系统具有7*24小时连续运行能力,结构清晰、布置容易;
(4)可根据某一查询设置特殊的索引进行优化;
(5)提供基于Java和C的API接口,具备良好的二次开发能力和整合能力;
★(6)支持主从结构,支持一主多从和多主多从的布署方式。
(7)系统必须支持主流操作系统。
(8)支持数据复制与引用机制;
(9)支持自定义模式,用户可以根据需要定义自己的数据类型。
4
性能要求
★
(1)支持多并发处理,支持百万级以上的条目数据;
★
(2)支持精确查询,10万条目单线程响应速度不高于1ms,50线程响应速度不高于15ms;
★(3)支持模糊查询,10万条目单线程响应速度不高于100ms,50线程响应速度不高于200ms;
★(4)10万条目吞吐量不低于2500次/秒(50线程精确查询)。
(四)应用开发接口
序号
技术参数
指标和性能
1
产品形态
软件
2
数量
1套
3
功能要求
★
(1)支持PKCS#7和XML格式的签名和验证。
(2)支持浏览器、应用服务器、通用客户端的调用。
(3)签名包中可以设定是否携带证书和原文。
(4)提供数字信封功能。
(5)提供获取证书基本信息功能。
★(6)支持对文件和数据进行签名、加密。
(7)提供获取签名、加密数据包中原始内容的功能。
(8)支持大文件、大数据签名、加密。
(9)提供CRL的获得能力。
(五)USB-Key
序号
技术参数
指标和性能
1
产品形态
硬件
2
数量
1000只
3
功能要求
(1)64K及以上安全存储空间
★
(2)支持RSA(1024/2048)/SM1/SM2/SM3/SM4以及国产分组算法等
(3)硬件生成1024位RSA密钥对
★(4)硬件实现数字签名,私钥永不出Key
(5)硬件产生随机数
(6)操作系统:
Windows98SE/Me/2000/XP/2003Server/Vista/Win7/Win8/Win10、Linux
(7)支持标准:
PKCS#11、CSP、SKF、X.509v3、SSLv3、IPSec
4
性能要求
(1)1024位RSA公私钥对生成:
700ms/对以上
★
(2)1024位RSA解密/签名:
10ms/次以上
★(3)1024位RSA加密/验签:
1ms/次以上
(4)SM1加密/解密:
1.2Mbps以上
5
其他
三个月的USB-KEY上门服务
升级会员 