大藤峡水利枢纽泄洪闸门集控系统等保三级及商用密码改造招标文件修改通知（二）-立方招采通

一、经研究，对大藤峡水利枢纽泄洪闸门集控系统等保三级及商用密码改造招标文件作如下修改：

（一）《第五章技术标准和要求》中“4.2应用系统及服务器改造要求”增加以下内容：

4.2.6与原系统对接要求

改造后的系统，要求实现与改造前系统相同的对外通信功能，即包括但不限于与电站计算机监控系统实现通信，与原先的左右岸泄洪闸门、南木江副坝闸门及鱼道闸门等下位机实现通信等。

（二）《第五章技术标准和要求》中“4.3商用密码改造方案” 增加以下内容：

4.3.3相关参数要求

（1）服务器密码机

1）硬件要求：CPU、操作系统应通过安全可靠测评，2U机架式设备，设备前面板具备液晶显示屏；可显示设备信息、网络配置以及密钥信息，支持万兆光口扩展，至少提供2个网络端口，支持1+1冗余电源，支持交直流电源输入。

2)密码机可提供各类型非对称密钥、对称密钥的生成和存储功能；密码机可支持基于SM1、SM4、3DES、AES、SM2、RSA、DSA、ECDSA、SM9等算法的加解密功能。

3)数据摘要:密码机支持SM3算法的数据摘要；密码机支持SHA1、SHA2算法的数据摘要。

4）消息鉴别码的产生及验证：密码机支持基于SM1、SM4、SM7、DES/3DES、AES等算法的CBC-MAC、CMAC的产生及验证。

5)密码机支持集群部署，并支持多机负载；支持通过NTP同步系统时间，具备多网口绑定，支持IPv4/IPv6双栈网络协议。

6)密钥生成时采用由内部密码卡的物理噪声源芯片生成的随机数，密钥生成后由密码卡中的保护密钥加密后存储。

7)支持密钥的生成、存储、恢复、销毁等生命周期管理操作，通过管理控制台集中管理密钥整个生命周期。

8)支持基于https实现远程管理和配置，支持基于SM2、RSA算法的安全通道接入密码机的密码服务。

9)支持权限管理：支持根据三权分立原则划分用户角色及权限，包括管理员、审计员、操作员。支持授权访问，具有服务访问白名单设置功能。支持syslog服务，可将业务日志外送至日志服务器。

10)支持标准SNMP协议，可通过SNMP标准协议监控密码机的运行状态，支持配置系统网络、系统时间、白名单等，设备管理界面可快速查看密钥存储状况、服务连接数、CPU使用率、内存使用率、设备网络配置情况、设备版本信息。

11)具备密钥备份恢复管理功能，备份界面展示备份历史记录、备份创建时间，管理员用户可通过界面进行新建密钥备份、查看备份记录详情、历史备份文件下载/删除操作，具备定时备份配置功能。

12)具备日志策略配置功能，可对密码机的监控日志、服务日志、管理日志的日志策略进行配置，日志策略配置包含：日志文件数量、日志文件大小、日志文件保存时间、日志过滤级别。

13)支持IPV6的部署和应用，具备第三方IPV6认证证书或检测报告，须提供证书复印件。

14)产品通过中国质量认证中心的节能认证，具备中国节能认证产品认证证书（提供节能认证证书）。

15)支持物理防撬密钥保护，非法撬动机箱会触发密钥自毁功能，保护设备内部密钥安全。

16)内置国密密码卡，密码卡取得商用密码产品认证证书，便于运维管理与故障排查，密码卡与密码设备为同一厂商。

（2）签名验签服务器

1)硬件参数：CPU、操作系统应通过安全可靠测评，2U机架式设备，≧8G内存，≧1TB硬盘存储空间，至少提供2个网络端口，支持万兆网口扩展。

2)支持SM2和RSA（1024/2048）算法。

3)数字签名/验证：所投产品支持基于SM2、RSA等算法的PKCS#1签名/验证、PKCS#7 Attached签名/验证、P7 Detached签名/验证功能；签名格式符合PKCS#7、GM/T0010等标准中定义的数据类型。

4)带签名的数字信封加密和解密：所投产品支持基于SM2、RSA等算法的带签名的数字信封加密、解密功能，数字信封格式符合PKCS#7、GM/T0010等标准中定义的数据类型；访问控制：所投产品支持IP白名单、连接口令等访问控制功能。

5)密钥结构采用“系统保护密钥-用户密钥-会话密钥”的三层密钥保护结构，保证关键密钥在任何时候不以明文形式出现在设备外，密钥备份文件受备份密钥加密保护。

6)支持基于RSA、SM2的TLS安全通道接入，确保数据传输的安全性。

7)支持符合GM/T0019国密标准规范接口，支持集群负载的方式保证业务冗余，防止出现单点故障，影响业务系统的正常运行。多机负载由接口层实现，对上层应用透明，部署方式简单。多机负载还可提高密码运算性能。

8)性能参数：非对称密钥存储数量RSA：≥1024对；SM2：≥1024对，256位SM2P1签名/验签(次/秒)：≥22000/4000，最大并发：≥5000。

9)设备管理界面可快速查看密钥存储状况、服务连接数、CPU使用率、内存使用率、设备网络配置情况、设备版本信息。

10)支持设备算法一键自检生成算法检测报告。

11)支持IPV4/IPV6双栈协议,具备第三方IPV6认证证书或检测报告。

12)产品通过中国质量认证中心的节能认证，具备中国节能认证产品认证证书（提供节能认证证书）。

13)支持物理防撬密钥保护，非法撬动机箱会触发密钥自毁功能，保护设备内部密钥安全。

14)内置国密密码卡，密码卡取得商用密码产品认证证书，便于运维管理与故障排查，密码卡与密码设备为同一厂商。

（3）智能密码钥匙(USB KEY)

1)采用了具有国内自主知识产权的高性能专用安全处理芯片，支持国密算法。

2)自主知识产权的芯片内部操作系统，兼容ISO7816标准。

3)支持X.509v3 证书存储。

4)全球唯一硬件序列号。

5)32K/64K字节内部存储空间供用户使用。

6)内置硬件公钥算法引擎，密码运算在内部进行，安全可靠。

7)提供符合标准PC/SC 驱动程序，另外也支持CCID 驱动方式。

8)支持USB 标准协议传输，即插即用，支持热插拔。

9)产品具备国家密码管理局颁发的商用密码产品认证证书。

（4）IPSec/SSL VPN综合安全网关

1) CPU、操作系统应通过安全可靠测评，≤2U 设备,核数≥8个，内存≥16G，硬盘 SSD 存储≥128G;支持交直流电源输入;网络端口≥10 个。

2)IPSec：密文吞吐率≥3600Mbps,最大并发隧道数≥84000 ；SSL：SM2 每秒新建连接数≥43000，SM2 并发用户数/并发连接数≥800000，SM2吞吐率：≥9100Mbps。

3)支持的密码算法包括 SM2、SM3、SM4 等国密系列算法，符合国密局对密码算法的合规性要求。

4)设备管理界面可快速查看WEB代理数量、CS代理数量、SSL新建连接数量、SSL并发连接数量、IPSEC隧道数量、证书数量以及资源使用率、产品型号、系统版本等信息。

5)支持ARP列表、路由表统计查询。

6)产品支持系统管理员、安全管理员、审计管理员三权分立，分管综合安全网关的不同功能管理，管理员身份采用基于USBKEY和国密数字证书的双因子身份鉴别。

7)可根据实际需求，修改管理员认证方式，同时可对部分管理员进行锁定、解锁及删除操作。

8)支持对密钥和服务配置等重要数据进行备份恢复，能够对备份数据进行加密保护。

9)支持集群部署，主备设备间同步数据，在出现单点故障时主备支持切换，防止单点故障；同时支持流量组的抢占模式。

10)具备路由管理、VLAN管理、BGP管理、OSPF管理等。

11)具备防火墙管理，支持洪水攻击防御、碎片攻击防御、总连接数限制、白名单管理、ACL规则管理等。

12)支持IPv4和IPv6地址相互转换机制。

13)具备Ping、Traceroute、NSlookup、TCP等网络诊断功能，支持TCP、ICMP、ARP、ESP等协议进行抓包分析。

14)设备可根据接口版本、接口地址、用户名称和密码等进行密钥管理及配置；同时可根据密钥类型、算法以及密钥用途进行密钥本地创建。

15)可对用户进行访问控制，支持基于MAC地址或者IP地址进行用户管理，基于IP地址、端口资源管理等。

16)支持应用重定向功能，在有防火墙NAT映射的情况下正常访问有重定向的网站。

17)提供双证书认证体系（签名证书、加密证书），通过双向认证对端证书来验证通信双方的身份，有效解决数据来源真实性问题；支持根证书管理：自签证书、导入第三方根证书，支持根证书链管理。

18)具备业务负载添加功能，支持业务系统的WEB代理、CS代理；同时可快速查询业务代理统计、业务负载统计数据，数据包括不止限于CPS/TPS/发送速率/接收速率/请求数/并发连接数等。

19)具备日志配置功能，支持IPSEC VPN日志查询、下载，支持基于远程地址、远程端口的SSL VPN访问日志查询、下载。

20)支持管理日志功能，可根据用户名、角色类型、操作、告警类型以及时间进行管理日志查询下载。

21)支持设备告警规则配置。

22)具备商用密码产品认证证书，产品符合GM/T0028《密码模块安全技术要求》第二级要求。

（5）国密门禁系统

1）配套门禁系统完全满足GB/T39786的规范与要求，能够对进入机房的人员身份进行鉴别，同时可对进入机房的记录数据进行完整性保护。

2）系统主要部件包括：国密门禁管理网关服务器（CPU、操作系统、数据库应通过安全可靠测评）、门禁控制器、发卡器、电磁锁、门禁卡等。国密门禁管理网关服务器包括（门禁管理系统+加密系统+完整性审计系统+服务器+加密卡+加密套件（密钥注入含加密硬件、软件））；门禁控制器：TCP/IP通讯,可接2个读卡器，含双禁电控箱；以及其他必要的配件等。

（6）监控系统与商密设备适配开发及现场部署更新升级

监控系统与商密适配工作：登录认证，涉及对接设备：签名验签服务器、智能密码钥匙（或者指纹仪）。java侧用户登录认证时对接信息加密厂家设备。密码存储，涉及对接设备：密码机。java侧密码存储加密解密对接信息加密厂家设备。加密传输，涉及对接设备：sslvpn网关机。增加加密同步功能，java侧同步数据库时对接信息加密厂家设备。

二、发布通知的媒介

本通知同时在中国招标投标公共服务平台、广西壮族自治区招标投标公共服务平台、广西壮族自治区公共资源交易中心网上发布。

三、联系方式

招标人：广西大藤峡水利枢纽开发有限责任公司

联系地址：广西桂平市北江桥头广西大藤峡水利枢纽开发有限责任公司前方营地

邮政编码：537226

联系人：王工

电话：0775-3318021

传真：/

招标代理机构：中水珠江规划勘测设计有限公司

地址：广东省广州市天河区天寿路沾益直街19号中水珠江设计大厦

联系人：练工、温工