宁波税务2023年密码应用改造及安全性评估服务项目采购需求

宁波税务2023年密码应用改造及安全性评估服务项目采购需求一、项目概述1.1项目背景为推进国家政务信息系统密码应用与安全建设工作，国务院于2019年印发了《国家政务信息化项目建设管理办法》（国办发〔2019〕57号），要求项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行安全评估。公安部于2020年印发《关于贯彻落实等保制度和关基制度的指导意见》（公网安〔2020〕1960号），要求网络运营者应贯彻落实《中华人民共和国密码法》等有关法律法规规定和密码应用相关标准规范，第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务，第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估，以深入贯彻实施国家网络安全等级保护制度，落实密码安全防护要求。国务院于2023年公布修订通过的《商用密码管理条例》，要求促进商用密码应用，使用商用密码保护网络与信息安全。国家税务总局下发了《国家税务总局网络安全和信息化领导小组办公室关于进一步加强税务信息系统密码应用及安全性评估工作的通知》（税总信息办便函〔2023〕99号），要求对定为等级保护第三级的网络和信息系统，要按照密码应用相关管理办法和标准，每年开展一次密码应用安全性评估工作，要求坚持目标导向，对密评中发现的各类问题，制定整改计划，切实采取措施完成整改任务，使用符合国家网络安全规范和认证要求的商用密码产品和服务，合规、正确、有效应用商用密码技术对网络和信息系统进行保护。1.2建设目标根据国家、浙江省关于电子政务领域应用系统密码应用工作要求，按照国家税务总局对商用密码应用工作的部署和要求，顺利推进我局金税三期系统、增值税发票管理新系统、金税三期社保费征管信息系统、门户网站系统、电子税务局系统、自助办税终端系统、金税四期信息系统等三级业务系统的密码应用改造工作，实现身份认证、数据完整性、数据机密性等保护，确保系统密码应用满足商用密码应用安全评估要求，保障各系统的安全性、合法性、合规性，达到“符合或基本符合”的测评结论（即得分均达到60分，且不存在任意高风险项）。1.3建设原则根据国家税务总局宁波市税务局的信息化建设规模及实际应用需要，本项目涉及金税三期系统、增值税发票管理新系统、金税三期社保费征管信息系统、门户网站系统、电子税务局系统、自助办税终端系统、金税四期信息系统等业务系统商用密码应用建设充分考虑长远发展需求。遵循原则如下：标准性原则：系统各项技术遵循国际标准、国家标准、行业和相关规范，并且所有选用的技术和产品，遵循通用标准，各系统模块之间具有良好的兼容性。合规性原则：国产密码改造须根据《中华人民共和国密码法》、《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）等相关法律法规要求，选择国家密码管理局核准的密码产品，确保系统建设与运行管理的合规性，降低系统安全风险。实用先进性原则：系统的实现参考国内标杆并结合现状，采用先进可靠的技术，确保系统的先进性和成熟性，选择当今市场上主流并领先的产品和技术。成熟性原则：采用的技术和产品都要求经过市场的考验，有在大型系统中应用的成功案例。主要功能模块采用自有知识产权的成熟产品，通过具体配置来实现本项目的需求。冗余性原则：要考虑容错能力，关键节点设备和核心设备有适当的冗余。采用灵活的机制实现负载均衡，防止“瓶颈”产生，必须避免单点故障导致系统整体或重要功能的丧失，最大限度减少停机时间。可扩展性原则：系统设计中为将来可预见和不可预见的性能扩充留有余地，具备灵活的可扩展性，满足业务近期、中期甚至长期时间范围业务快速增长的需要，具备方便地适应业务需求的变化、迅速地支持新业务的能力。维护性和易用性原则：系统及产品具有良好的用户操作、管理界面，完备地帮助信息，系统参数的维护与管理可通过操作界面实现，维护人员可以轻松地完成对整个系统的配置、管理。1.4规范标准《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法（试行）》《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）《信息系统密码应用测评要求》（GM/T0115-2021）《信息系统密码应用测评过程指南》（GM/T0116-2021）《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估测评作业指导书（试行）》《商用密码应用安全性评估测评工具使用需求说明（试行）》国家密码管理局印发的有关标准和指导性文件GB/T39786-2021《信息安全技术信息系统密码应用基本要求》GB/T32918.1-2016《信息安全技术SM2椭圆曲线公钥密码算法第1部分：总则》GB/T32918.2-2016《信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法》GB/T32918.3-2016《信息安全技术SM2椭圆曲线公钥密码算法第3部分：密钥交换协议》GB/T32918.4-2016《信息安全技术SM2椭圆曲线公钥密码算法第4部分：公钥加密算法》GB/T32918.5-2017《信息安全技术SM2椭圆曲线公钥密码算法第5部分：参数定义》GB/T35275-2017《信息安全技术SM2密码算法加密签名消息语法规范》GB/T35276-2017《信息安全技术SM2密码算法使用规范》GB/T32905-2016《信息安全技术SM3密码杂凑算法》GB/T32907-2016《信息安全技术SM4分组密码算法》GB/T20518-2018《信息安全技术公钥基础设施数字证书格式》GB/T36322-2018《信息安全技术密码设备应用接口规范》GB/T38556-2020《信息安全技术动态口令密码应用技术规范》GB/T38636-2020《信息安全技术传输层密码协议（TLCP）》GB/T37092-2018《信息安全技术密码模块安全要求》GB/T25056-2018《信息安全技术证书认证系统密码及其相关安全技术规范》GB/T20518-2018《信息安全技术公钥基础设施数字证书格式》GB/T35291-2017《信息安全技术智能密码钥匙应用接口规范》GB/T37033-2018《信息安全技术射频识别系统密码应用技术要求》GM/T0014-2012《数字证书认证系统密码协议规范》GM/T0017-2012《智能密码钥匙密码应用接口数据格式规范》GM/T0019-2012《通用密码服务接口规范》GM/T0020-2012《证书应用综合服务接口规范》GM/T0025-2014《SSLVPN网关产品规范》GM/T0026-2014《安全认证网关产品规范》GM/T0027-2014《智能密码钥匙技术规范》GM/T0032-2014《基于角色的授权与访问控制技术规范》GM/T0036-2014《采用非接触卡的门禁系统密码应用技术指南》GM/T0050-2016《密码设备管理技术规范》GM/T0051-2016《密码设备管理对称密钥管理技术规范》GM/T0052-2016《密码设备管理VPN设备监察管理规范》GM/T0053-2016《密码设备管远程监控与合规性检验接口数据规范》》GM/T0067-2019《基于数字证书的身份鉴别接口规范》GM/T0087-2020《浏览器密码应用接口规范》其他相关国家标准和密码行业标准等1.5采购清单带※的设备为核心设备本项目采购的硬件产品应符合财政部、生态环境部、工业和信息化部印发的《绿色数据中心政府采购需求标准（试行）》（财库〔2023〕7号）中的相关要求，满足绿色数据中心建设要求。序号采购类别产品名称数量单位最高限价（单位：元）1硬件及软件部分国密视频监控系统国密视频监控安全管理系统1套2770000.00国密网络硬盘录像机3台国密网络摄像机19台2国密门禁系统国密读卡器17台国密PSAM卡17张国密CPU卡15套国密发卡器1台门禁控制器9台3※SSLVPN安全网关4台4※身份认证网关2台5※国密堡垒机2台6SSL数字证书6张7设备SSL证书3张8国密浏览器100个9咨询服务部分密码集成、密码咨询服务、运行维护和现场测评辅助服务1项300000.0010密评部分商用密码安全性评估服务27项2430000.00二、服务范围和要求2.1商用密码应用安全性评估2.1.1商用密码应用安全性评估服务内容组织具备相关资质的检测机构，2023年完成对国家税务总局宁波市税务局（金税三期系统、增值税发票管理新系统、金税三期社保费征管信息系统、门户网站系统、电子税务局系统、自助办税终端系统）三级系统的商用密码应用安全性评估工作；2024年-2026年每年完成对国家税务总局宁波市税务局（金税三期系统、增值税发票管理新系统、金税三期社保费征管信息系统、门户网站系统、电子税务局系统、自助办税终端系统、金税四期信息系统）三级系统的商用密码应用安全性评估工作。依据密评国家标准GB/T39786-2021《信息系统密码应用基本要求》，工作内容主要包括技术层面、管理层面和高风险项三方面的检测和评估，形成《商用密码应用安全性评估报告》。2.1.2商用密码应用安全性评估服务要求商用密码应用安全性评估服务指标项组织具备相关资质的检测机构，根据信息系统的安全保护等级，依据《GB/T39786—2021信息安全技术信息系统密码应用基本要求》的条款要求，逐一对信息系统密码应用进行检测，测评的内容包括但不限于以下内容：1.安全技术测评：包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面的安全测评。2.安全管理测评：包括密钥管理、安全管理（分为制度、人员、建设和应急四个子模块）两个方面的安全测评。商用密码应用安全性要求具体内容：a）物理和环境安全序号工作单元名称工作单元描述1身份鉴别应使用密码技术的真实性服务来保护物理访问控制身份鉴别信息，保证重要区域进入人员身份的真实性。2电子门禁记录数据完整性检查使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性情况。3视频记录数据完整性检查使用密码技术的完整性服务来保证视频监控音像记录的完整性情况。4硬件密码模块实现检查采用GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理情况。b）网络和通信安全序号工作单元名称工作单元描述1身份鉴别检查网络和通信设备的身份标识与鉴别和用户登录的配置情况。2访问控制信息完整性通过抓包分析及验证的方式对访问控制信息的完整性进行分析检查。3通信数据完整性通过抓包分析及验证的方式对通信数据的完整性进行分析检查。4通信数据机密性通过抓包分析及验证的方式对通信数据的机密性进行分析检查。5集中管理通道安全对采用密码技术建立的信息安全通道集中管理网络中安全设备或安全组件的情况进行分析检查。6硬件密码模块实现检查采用GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理情况。c）设备和计算安全序号工作单元名称工作单元描述1身份鉴别检查服务器的身份标识与鉴别和用户登录的配置情况。2远程管理身份鉴别信息机密性检查系统在用户实施身份鉴别的过程中是否采用密码技术对设备标识信息进行密码保护。3访问控制信息完整性检查各主机相应操作系统或数据库的自主访问控制设置情况，包括安全策略覆盖、访问控制信息完整性情况等。4敏感标记完整性通过访谈系统管理员和安全管理员关于信息系统重要信息资源的敏感标记设置，并且通过相关技术手段进行强制访问控制措施有效性，同时检查敏感标记的完整性。5重要程序文件完整性对重要程序及文件的完整性进行分析检查。6日记记录完整性检查各主机服务器相应操作系统或数据库的日志记录的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计记录的保护及完整性验证情况。7硬件密码模块实现检查采用GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理情况。d）应用和数据安全序号工作单元名称工作单元描述1身份鉴别检查业务应用系统的身份标识与鉴别功能设置和使用配置情况；2访问控制检查业务应用系统的访问控制功能设置情况，如访问控制的策略、访问控制粒度、权限设置情况等。3数据传输安全检查业务应用系统的数据传输机制、加密算法等信息。4数据存储安全检查数据存储的环境及安全性。5日志记录完整性检查业务应用系统的日志配置情况及完整性保证措施。6重要应用程序的加载和卸载检查重要应用程序的加载与卸载情况。7抗抵赖检查业务应用系统客户端和服务器端之间的不可抵赖性情况。8硬件密码模块实现检查采用GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理情况。e）密钥管理序号工作单元名称工作单元描述1密钥生成分析密码中的随机数的产生是否符合GM/T0005要求2密钥存储密钥的存储是否加密3密钥分发密钥分发是否采取身份鉴别、完整性、机密性的防护措施4密钥导入与导出是否采取安全措施防护非法获取5密钥使用是否明确用途6密钥备份与恢复是否明确密钥的备份策略，及可靠的恢复机制7密钥归档是否采取有效安全的措施保证归档密钥的安全性和正确性8密钥销毁是否具有紧急情况下销毁密钥的措施f）安全管理序号工作单元名称工作单元描述1制度检查密码安全管理制度的制订情况。2人员通过访谈安全主管，检查人员名单等文档，检查关于密码管理的相关规定及岗位设置、职责情况。3建设通过检查相关密码项目文档对密码项目的规划、建设及运行情况进行检查。4应急通过访谈系统运维负责人，检查安全事件的应急预案、记录分析文档、安全事件报告和处置管理制度等过程，评估被评估单位是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。测评要求（1）中标人应详细描述本次项目的整体实施方案，包括项目概述、密评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。（2）中标人应详细描述实施人员的组成、资质及各自职责的划分。中标人应配置有经验的技术人员进行本次项目实施。（3）本次项目实施过程中所使用到的各种工具软件由中标人推荐，经采购人确认后由中标人提供并在项目中使用。在响应文件中应详细描述所使用的安全技术工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。（4）本次项目实施过程中所使用到的测评工具，应包括国家密码局认可的密码专用检测工具、漏洞扫描工具等获得许可的检测工具，对系统数据进行分析，并以分析结果辅证评估报告。（5）安全技术工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由中标人推荐，经采购人确认后由中标人提供并在项目中使用。（6）项目实施需要的运行环境（如场地、网络环境等）由采购人提供，中标人应详细描述需要的运行环境的具体要求。交付物本项目测评工作输出包括且不限于以下成果：《商用密码应用安全性评估报告》2.1.3《密码应用方案》商用密码应用安全性评估服务工作内容中标人将优化完善的密码应用方案委托第三方测评机构进行《密码应用方案》商用密码应用安全性评估。测评机构从《信息安全技术信息系统密码应用基本要求》（GM/T39786-2021）中选择相应等级的评估指标，结合信息系统的构成特点，确定具体的评估对象，针对宁波市税务局优化完善的商用密码安全应用方案，通过访谈、检查和测试等方式判断其安全技术和安全管理各层面所对应评估指标的符合程度，判断被评估系统在密码应用设计和落地方面是否满足符合国家信息系统商用密码应用安全中的合规性、正确性、有效性要求，找出与国家标准要求之间的差距，根据评估结果出具差距分析报告，作为后续安全整改的依据，帮助其达到信息系统商用密码应用安全的要求。交付物包括且不限于以下成果：《<密码应用方案>商用密码应用安全性评估报告》2.2商用密码应用改造及咨询服务2.2.1商用密码应用改造及咨询内容中标人需在遵循国家税务总局相关要求的前提下，根据本项目服务期内第三方测评机构出具的《商用密码应用安全性评估报告》，结合已有的《密码应用方案》，根据对采购人系统概况和密码改造目标的深刻理解，充分调研采购人信息系统的密码应用需求，依据国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置及密钥管理等方面，优化完善系统密码应用方案，制定安全管理方案和实施保障方案。2．提供商用密码应用改造和咨询服务，包括但不限于密码应用改造与适配、提供相关业务系统密码应用改造所需的技术支持和咨询服务、提供密码应用改造测试设备、提供商用密码安全性评估全程辅助对接服务、配合建立密码管理体系。3．中标人需对本项目涉及的7个三级系统完成商用密码应用改造工作，经有资质的第三方测评机构检测后，取得“符合或基本符合”的测评结论（即得分均达到60分，且不存在任意高风险项）。完成相关改造后，不新增单一故障点，降低对系统性能的影响，能针对业务系统快速恢复提出有效措施方案，方案内容全面详细；根据项目交付时间能提供实施性强的按时交付的实施方案。对系统重要数据提供安全可靠的备份方案。2.2.2服务质量保障1.中标人应保证投标项目在采购人条件成熟时应立即开展实施；2.中标人在项目实施过程中应服从采购人的统一领导和协调，采购人有权裁决供应商的责任范围，中标人必须执行，在采购人限定的时间内解决问题。如果中标人不能按时完成方案编制，采购人有权中止项目、索赔或拒付款项；3.中标人需根据自己的方案实施经验结合采购人的实际需求进一步细化和完善工作任务，作为项目实施的指导性文件；4.中标人应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保方案编制按时保质的完成；5.项目验收完成后，要求提供为期一年的技术咨询服务，以保证项目正常运行。2.2.3指标要求序号产品名称指标项技术规格/能力要求1国密视频监控系统通用通用要求：1.供应商所投产品应包括系统部署所需的所有辅材。2.供应商所投产品应提供三年软件升级（如有）和硬件质保服务。国密视频监控安全管理系统功能要求：1.▲支持基于用户名口令+智能密码钥匙（基于数字证书）的双因子身份鉴别方式。（要求提供公安部检测报告证明）；数字证书认证过程采用经过国家密码管理局认证的硬件密码模块实现。（提供密码模块《商用密码产品认证证书》复印件）2.支持基于数字证书的双向认证模式对接入设备进行身份认证，并采用商密安全技术对平台与设备间提供信令完整性保护。要求双向认证增加延时＜400ms，信令认证增加延时＜400ms。3.支持采用商密安全技术，对视频监控客户端下载/导出的视频文件进行加密和完整性保护；对视频加密文件的访问，应通过智能密码钥匙/口令认证，且使用专用播放器才能够对视频文件进行解密播放。支持视频文件的完整性校验，一旦视频内容被篡改，同样/法正常播放。4.▲支持对视频数据存储过程提供机密性与完整性保护，且采用完全自主研发并经过国家商用密码管理局认证的硬件密码模块实现。（提供硬件密码模块《商用密码产品认证证书》复印件）5.视频加解密播放增加延时＜400ms，实时预览和回放/卡顿，实现加解密过程不影响用户的视频观看体验。6.对用户、设备和服务提供基UKey/CSR的安全对象注册管理功能，并为其签发证书；外部系统通过接口请求注册安全对象，采用审批管理机制，注册请求发起，必须由授权人员审批通过后，才可将相关证书自动下发到请求注册的下发地址；支持授权人员主动进行证书下发。（要求提供公安部检测报告证明）7.采用三级密钥管理机制，支持向各类视频设备（包含采集设备、存储设备、编解码设备）和平台提供视频相关密钥的管理功能（生成、分发、查询、更新）；能够对视频码流加密密钥（VEK）提供视频密钥加密密钥（VKEK）的加密传输能力；视频密钥加密密钥（VKEK）支持调用方公钥（数字证书）方式的加密传输；提供对视频加密密钥对、签名公钥的安全管理。（要求提供公安部检测报告证明）8.视频加密密钥支持周期性动态变化，更新周期不超过1小时（可设置到分钟），由摄像头调用安全芯片重新生成，在有效时间内无法实施内容破解。9.提供LDAP套件，提供系统内已签发证书的管理服务，通过LDAP证书目录服务器进行证书查询，证书查询接口调用时间小于100ms。支持安全对象的双证书签发，可进行签名证书和加密证书的一次性申请和签发；支持根据请求注册的下发地址自动完成证书下发操作。（要求提供公安部检测报告证明）10.▲密钥生成、存储和运算相关支撑均由通过国家密码管理局认证的独立硬件密码模块（密码卡/智能密码钥匙）提供，保证密钥管理全生命周期的安全性，符合商密标准技术规范要求。（要求提供公安部检测报告证明）（要求提供密码模块《商用密码产品认证证书》复印件）11.支持对系统内所有有效操作进行详细日志记录，并附带操作人员的私钥签名信息；支持对重要操作日志进行有效审计，审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；提供对审计记录数据的统计、查询及生成审计报表功能。（要求提供公安部检测报告证明）国密网络硬盘录像机功能要求：1.内置通过国家密码局检测认证的安全芯片，支持SM1/SM2/SM3/SM4等国家商用密码算法；

2.支持基于数字证书的设备接入认证能力；3.支持基于国家商用密码算法的信令认证能力；

4.支持符合国家商用密码算法标准的证书请求文件导出；

5.支持符合国家商用密码算法标准的数字证书导入管理，用于平台/设备接入认证；

6.内置二级密码模块，可配套加密平台，满足密评三级视频数据存储完整性要求；

7.支持芯片安全校验能力，包括随机数有效性检测，算法符合性检测等；

8.支持算法安全校验能力，包括开机自检，使用时自检和定期自检等。

9.2U标准机架式，8盘位，可满配10T硬盘；

10.支持2个HDMI，2个VGA，HDMI+VGA组内同源；

11.≥2个千兆网口，≥1个eSATA接口，网络输入带宽320Mbps；

12.≥32路H.264、H.265混合接入，最大支持16×1080P解码；

13.▲具备国家密码管理局认证通过的《商用密码产品认证证书》国密网络摄像机功能要求：1.具有200万像素CMOS传感器；2.内置GPU芯片；3.内置红外与白光补光灯；4.支持白光报警功能，当报警产生时，可触发联动白光闪烁；5.最低照度彩色：0.0005lx，最大亮度鉴别等级（灰度等级）不小于11级；6.白光补光距离不小于15米；7.需支持双码流技术，主码流最高1920x1080@25fps，子码流704x576@25fps。在1920x1080@25fps下，清晰度不小于1100TVL。支持H.264、H.265视频编码格式，且具有HighProfile编码能力；8.需具备区域入侵检测、越界检测、进入区域、离开区域等功能；9.需支持DC12V/POE供电；10.同一静止场景相同图像质量下，设备在H.265编码方式时，开启智能编码功能和不开启智能编码相比，码率节约80%；11.▲具备国家密码管理局认证通过的《商用密码产品认证证书》。2国密门禁系统通用通用要求：1.供应商所投产品应包括系统部署所需的所有辅材。2.供应商所投产品应提供三年软件升级（如有）和硬件质保服务。国密读卡器性能要求：1.≥32位高速处理器，性能强劲。2.同时支持RS485和韦根协议。3.支持国密CPU读卡模块，读卡频率13.56MHz，采用国密SM1、SM4加密算法，增强系统设备安全性。4.卡片识别距离：3~8CM。5.支持防拆报警功能。6.支持在线升级。7.内置看门狗程序，能够检控设备的异常运行状态，并执行修复处理，确保设备长期运行。8.防水等级IP64。9.工作电压DC12V，功耗≤2W。10.安装方式：120盒、86盒安装。11.▲设备应具有具有商用密码相关资质证书：商用密码产品认证证书。国密PSAM卡功能要求：1.国密PSAM卡；

2.采用国密SM1算法加密。国密CPU卡性能要求：1.国密CPU卡，感应频率13.56MHZ；

2.支持国密SM1算法加密；

3.容量为8K。国密发卡器功能要求：1.支持发卡类型：ID卡、Mifare卡、二三代身份证卡（序列号）、普通CPU卡、国密CPU卡；

2.USB2.0接口；

3.具有2个Sim卡尺寸的PSAM卡座；门禁控制器性能要求：1.处理器：32位处理器

2.管控门数：2门

3.通讯方式：上行TCP/IP、RS485

4.读卡器接口：RS485和Wiegand双通讯接口

5.存储容量：10万张卡和30万记录存储

6.工作电压：自带机箱和供电电源（AC220V输入），7.工作电压DC12V，功耗≤4W（不带负载）

8.机箱尺寸：345mm（高）x370mm（宽）x90mm（厚）

9.支持蓄电池（303700655OT7-12蓄电池）接入，10.设备本身不含蓄电池；

11.主机应具有消防联动功能，当检测到消防信号后，可以自动打开门锁。

12.主机应具防区报警功能，有4个入侵探测接口，能够联动报警输出。

13.系统平台应具有视频联动报警功能。3SSLVPN安全网关自主创新要求产品需采用纯国产CPU和国产操作系统性能要求：1.▲4层吞吐量≥30G，四层并发连接数≥18000000，4层新建连接数CPS≥600000，7层新建连接数RPS≥1000000。内存大小≥16G，硬盘容量≥256GSSD，冗余电源，接口≥4千兆电口+4千兆SFP光口+4万兆SFP+光口。提供三年软件升级和硬件质保服务。功能要求：支持多合一功能集成功能，设备可同时支持包括链路负载均衡、全局负载均衡、服务器负载均衡和国密卸载的功能。多种功能同时处于激活可使用状态，无需额外购买相应授权；2.▲支持链路负载均衡技术，基于URL的链路调度功能，内置不少于10万条的国外URL网址库，无需手动导入并支持自动更新，管理员可查看。可根据URL将访问国外网站的请求调度到指定线路；（提供设备操作界面截图证明材料）

3.▲支持服务器负载均衡技术，服务器负载状态支持投屏展示，能够显示设备的电源状态、风扇转速、磁盘温度、CPU温度、CPU和内存占用率、新建连接数、并发连接数、吞吐情况、SSL新建和SSL吞吐数据、压缩优化和缓存优化数据；业务的健康状态、新建连接数、并发连接数、上下行流量、每秒请求数；节点池的调度算法、健康状态、新建连接数、并发连接数、上下行流量；（提供设备操作界面截图证明材料）

4.支持IPv6改造，提供IPv6产品检测报告，报告要求有信通院或其下属权威第三方检测机构提供的盖章证明；

5.支持国密SSL算法的单向和双向认证，至少包含以下算法：国密：SM2、SM3、SM4算法；6.设备支持制作RSA2048算法的CSR证书请求和导入；支持SSL加密功能，可将普通流量加密以适配需要通过SSL/TLS协议才能访问的服务器；支持将客户端证书或证书指定的项（Subject、Issuer、Validity、SN、NotBefore、NotAfter、CommonName、PublicKey）插入至HTTPHeader或URL或Cookie当中，并且能按照以上三种方式同时插入。

7.支持高可用性，支持双机热备部署方式，可自动同步配置并提供连接会话的镜像功能，实现无缝故障切换；支持基于链路流量进行有效性判断，能够在预设时间内进行主动探测；

8.支持设备虚拟化，支持将一台物理设备从逻辑上划分为多台虚拟设备，各虚拟设备拥有独立的计算资源和网络资源，各虚拟设备可运行不同软件版本，虚拟设备重启或升级时不影响其他虚拟设备的正常运行，虚拟设备宕机可自动重启；

9.▲运维管理功能，内置智能告警系统,支持E-mail、SNMPTrap两种告警方式，管理员可基于业务安全所关注方面来选择告警触发事件与对应的告警方式，当业务网络环境中发生问题时（如服务器宕机、网络攻击、链路中断等故障场景），即会自动向管理员发送告警信息；（提供设备操作界面截图证明材料）；10.▲产品成熟度，所投产品具备《计算机软件著作权登记证书》，产品具备国家密码管理局颁发的《商用密码产品认证证书》，产品生产厂家通过CMMI5认证以保证产品代码质量与稳定性，（以上要求提供资质复印件或其他相应证明材料）。4身份认证网关自主创新要求产品需采用纯国产CPU和国产操作系统性能要求：旁路认证TPS：≥5000，每秒新建连接：≥2800，吞吐：≥700Mbps，最大并发连接：≥20000，最大在线用户数：30000。提供三年软件升级和硬件质保服务。功能要求：支持国际和国产双算法；国际算法包括：RSA、3DES等算法，同时支持国家密码管理局发布的国密算法，包括：SM2、SM3、SM4；支持TLS1.0、TLS1.1、TLS1.2、SSL3.0协议，支持高安全性的TLS1.3协议及标准的国密SSL协议；支持多种认证方式：支持UKEY证书认证、协同签名、静态口令+验证码认证方式，同时支持RSA、SM2算法证书；支持基于数字证书的单、双向认证；▲支持多网关联动登录：多台网关服务器进行互信，客户端登录其中一台网关后，再次登录互信中其它网关时无需再次认证，直接联动登录。（提供功能截图证明材料）；反向代理应用支持人脸二次认证：反向代理应用支持证书+人像认证，访问应用时进行证书认证后可以设定应用是否需要进行人像二次鉴别。支持PC和移动智能终端身份认证：PC端支持WindowsXP及以上操作系统、支持国产化麒麟、统信、中科方德等操作系统；移动端支持安卓、IOS、鸿蒙操作系统；SSL代理服务：可设置多个独立的SSL/TLS服务，通过服务端口进行不同区分，系统通过应用代理为应用发布单独的对外服务端口，用户通过身份认证网关的IP和对外服务端口访问应用；加密传输：客户端到网关之间的通信链路可以依据用户对安全和性能效率的需求选择是否加密，支持国密SSL加密传输；支持证书认证后，可以把结果、用户的基本信息传送给后台的应用系统，应用系统实现单点；支持定义多种属性信息传递项：证书基本信息DN项、证书扩展信息、自定义扩展信息、用户属性信息、应用账号信息、客户端信息等属性，支持自定义属性信息；应用级访问控制：可根据用户认证方式、DN规则、访问时间、源IP、可信CA、用户属性、角色、终端指纹等定制访问控制策略，符合规则条件的用户才有权限访问应用；支持URL级别的访问控制；▲支持证书+终端绑定访问控制：用户需要同时满足证书和终端条件才可以登录身份认证网关访问有权限的应用；（提供功能截图证明材料）；单点登录：网关能够为多应用环境下提供单点登录服务，形成统一简易门户，可定制登录页面；分别支持客户端和应用、门户和应用、应用和应用之间的单点登录。支持集群、数据同步功能；支持三方负载均衡，借助于第三方负载均衡设备配合自身的集群、数据同步功能，实现多台设备之间的负载均衡功能；▲支持主路部署模式下网关内保护的应用向网关外用户客户端发起连接的应用场景。（提供功能截图证明材料）；支持本地审计功能：系统支持对用户日常访问业务系统的行为进行集中审计功能，管理员可以登录系统进行查看、审计，同时支持根据不同条件精确定位相关审计信息。支持外发审计信息功能：系统支持将审计信息发送到第三方统一审计平台，包括综合审计查询系统（AQS）和SYSLOG服务器。支持同时启用IPV4和IPV6协议（提供IPV6资质证明）；▲产品须具备国家网络与信息系统安全产品质量监督检测中心颁发的信息技术产品安全测试证书；（提供证书证明材料）；▲产品须支持信创软硬件环境，具备国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》且满足密码模块安全等级第二级相关要求；（提供证书证明材料）；5国密堡垒机性能要求：1.产品应为2U机架式软硬件一体化设备，能够独立完成运维管理功能，不需要配备额外服务器、虚拟机等辅助设备，需内置硬件国密加密卡。2.主机配置：CPU≥8核，内存≥16G，硬盘≥4T（raid1），千兆以太网电口≥4个，1+1冗余电源。3.可管理设备数量：2000台；最大字符并发会话数≥3000，最大图形并发会话数≥1500.4.提供三年软件升级和硬件质保服务。功能要求：1.支持HA、集群方案、分级部署方案，旁路部署，逻辑网关；2.支持SSH、TELNET、SFTP、FTP、RDP、X11、VNC协议；支持USBKEY、动态令牌、屏幕保护、角色授权、工单管理、秘钥登录、H5-WEB运维、通用APP代填、移动运维、API接口、协同监督等；3.支持本地认证、radius、AD域、LDAP、数字证书、USBKEY、国密令牌、手机令牌、多因子认证；4.支持linux、unix、网络设备的自动改密；支持windows2000/2003/2008/2012/2016的自动改密；5.支持商业数据库：Oracke、Mysql、Sqlserver、Sybase、DB2；6.支持国产数据库：达梦、金仓；7.支持运维用户可以通过Windows自带的mstsc工具或第三方远程工具进行C/S运维各类图形化操作类型资产，并支持用户采用OTP、Radius认证、AD认证与本地认证结合的多因素认证；8.支持安全客户端隐身访问模式，无安全客户端或非授权安全客户端无法访问系统（提供功能截图证明材料）；9.安全客户端至系统采用非http/https通信协议，仅需开放一个TCP端口，即可实现系统的所有功能使用。（提供功能截图证明材料）；10.▲国密身份鉴别：符合国密要求的动态令牌登录堡垒机（提供功能截图证明材料、提密码模块《商用密码产品认证证书》复印件）;11.▲国密数据传输机密性保护：通过内置国密加密卡+国密SSL软件模块，运维人员使用支持国密HTTPS的浏览器访问堡垒机（提供功能截图证明材料、提密码模块《商用密码产品认证证书》复印件）;12.▲国密数据传输完整性保护：通过内置国密加密卡+国密SSL软件模块，国密HTTPS方式实现远程访问系统的传输完整性保护（提供功能截图证明材料、提密码模块《商用密码产品认证证书》复印件）；13.▲数据原发抗抵赖和数据接收抗抵赖：国密Ukey，通过数字签名的方式实现抗抵赖（提供功能截图证明材料、提密码模块《商用密码产品认证证书》复印件）;14.支持多应用发布中心功能，并支持应用发布中心集群，实现大并发下的应用管理访问（提供功能截图证明材料）；15.支持web页面上配置网口bond绑定，bond模式支持平衡轮循环策略、主-备份策略、平衡策略、广播策略、IEEE802.3ad动态链路聚合、适配器传输负载均衡、适配器适应性负载均衡（提供功能截图证明材料）；16.产品具备计算机信息系统安全专用产品销售许可证（增强级）（提供相关证明材料）；17.产品具备中国国家信息安全产品认证CCRC（提供相关证明材料）；18.▲产品近三年内在CNVD上披露的高危漏洞不高于5条。6SSL数字证书功能要求：1.符合国密局和工信部的合规性要求，具有国家密码管理局《电子认证服务使用密码许可证》、工业和信息化部《电子认证服务许可证》资质（提供相关证明材料）；2.RSA证书根要求经过国际Webtrust认证；3.企业级OV证书类型通配符，支持多个子域名使用，支持RSA/SM2加密算法；

4。保障应用站点的安全性，对应用站点用户与网站间的交互访问全链路数据进行加密,实现传输数据的防劫持、防篡改、防监听；5.SM2证书要求国内可信CA机构基于国家根体系；6.SM2证书支持国产360，红莲花等国产浏览器使用；7.提供重新编译过支持国密SSL的Nginx，并进行了SM2服务器证书的部署验证；8.提供三年维护服务。7设备SSL证书功能要求：1.符合国密局和工信部的合规性要求，具有国家密码管理局《电子认证服务使用密码许可证》、工业和信息化部《电子认证服务许可证》资质（提供相关证明材料）；2.企业级OV证书类型单域名，支持RSA/SM2加密算法；

3.SM2证书要求国内可信CA机构基于国家根体系；4.SM2证书支持国产360，红莲花等国产浏览器使用；5.提供重新编译过支持国密SSL的Nginx，并进行了SM2服务器证书的部署验证；6.提供三年维护服务。8国密浏览器功能要求：1.支持浏览器通用功能，包括浏览器地址栏、标签栏、插件栏、状态栏、收藏夹管理、下载管理、数据清理、快捷键、鼠标手势、开发者工具等功能。（提供功能截图证明材料）2.支持客户端登录模式选择，可选择仅允许账号登录模式或仅允许设备登录模式，或账号登录模式与设备登录模式共存。支持开启账号认证模式下进行账号认证方式选择，允许本地账号认证及第三方账号认证配置，如。支持对设备登录模式管控登录设备的范围，如所有设备允许登录和特定设备登录。第三方认证通道从AD/LDAP/CAS类等（提供功能截图证明材料）3.支持用户收藏夹、选型页配置等数据同步管理，可实现切换设备后数据云端同步，支持由用户个性化设置与管理平台同步的数据类型。（提供功能截图证明材料）4.支持扩展加载，具备扩展商店，可通过扩展商店使用第三方扩展程序。5.浏览器双内核同时支持SM2/SM3/SM4国密算法和RSA等通过国际算法，以及SSL单双向安全协议，与Web服务器之间建立安全通道，保证Web网页访问的安全性。6.支持基于国密https站点和国际算法https站点的智能探测，自动切换通信协议。"7.支持访问网址云安全查询，当用户访问网站和点击网页中的链接时，浏览器要对网址特征与云安全计算中心的恶意网址库进行比对。当用户访问木马网站、欺诈网站时，其在地址栏会显示“危险网站”、“风险网站”等信息，同时弹出警示窗口或者跳转到警示页面，避免用户因为访问这类网站而造成的损失（提供功能截图证明材料）8.支持用户和部门的手动管理，包括组织结构及用户信息的增删改等操作，以及用户组织结构调整、权限调整等功能。9.支持针对所有设备列表和详情展示，展示设备名称、IP、Mac地址、所属组织、设备在线/离线/启用/禁用状态。支持设备的查询、增加、删除、转移分组、支持从模板批量导入设备信息，支持批量导出设备信息。支持针对单个设备进行管理，包括设备的启用和禁用管理，设备与账号进行绑定，设备生效策略查看和修改，设备登录日志等查看。（提供功能截图证明材料）10.支持多级管理员角色添加，可由超级管理员创建下级管理员，并赋予该角色管理员功能范围、管理范围的权限；下级管理员可基于授予的功能范围和管理范围做子组织的应用、设备及兼容和安全策略等管理，满足运维管理权限下放需求。（提供功能截图证明材料）11.支持内核切换策略的添加、删除、编辑、展示查询，支持按域名、IP以及URL进行区分配置；支持管理后台针对某一个/组应用设置【禁止手动切核】策略。12.支持以用户和设备形成虚拟组，并绑定到组织架构中下发组策略，组策略将优先与其他组织策略生效；（提供功能截图证明材料）13.支持组策略生效在用户组和设备组，按照组织架构动态设置，也支持对特定用户或设备导入或手动选择；（提供功能截图证明材料）14.支持客户端落盘数据的安全防护，对cookie、历史记录数据进行加密保护。15.支持可信应用调用：控制用户在使用浏览器时触发调起本地应用的协议管理，无需用户手动选择是否启用外部应用。（提供功能截图证明材料）16.支持对用户访问的所有网址进行安全云查，及时拦截恶意网址；17.支持屏幕截取保护，防止重要信息通过截图的方式流出。（提供功能截图证明材料）18.支持客户端崩溃信息自动上传到管理平台，管理平台可针对自动上传的崩溃信息进行管理，并支持崩溃信息、dump包的下载和导出，用于快速定位并解决客户端崩溃。（提供功能截图证明材料）19.产品具备国家密码管理局颁发的《商用密码产品认证证书》。20.提供三年软件升级维护服务。三、项目实施要求1．合同签订后30日内，完成国密视频监控系统、国密门禁系统的安装调试，90日内完成SSLVPN安全网关、身份认证网关、国密堡垒机、国密浏览器的安装调试。硬件设备质保期和软件升级维护服务期为硬件及软件验收合格后3年。2．每年度系统密评工作在采购人指定时间内完成。3．采购人完成本项目涉及的7个三级业务系统密码应用改造并通过密评。4．完成硬件及软件的安装、配置、测试、优化等工作，达到招标文件中规定的内容、功能和性能要求。5．如果本次设备的序列号所对应的最终用户不是采购人的情况，一经查实将不予支付相关货款。以上所有与（多次）安装、调试和验收相关的费用均需计入报价总价。四、项目人员管理要求项目服务人员的管理应按照《税务系统外部技术支持人员网络安全管理规范》执行。中标人应按照项目工作特点为项目服务人员提供必要的工作设备。工作设备在现场服务需要接入网络应遵守采购人的安全要求。中标人对参与运维的服务人员进行安全管理，服务人员安全管理不到位由中标人承担经济和法律责任，触犯法律的依法追究相关人员的法律责任。中标人应充分重视本项目实施工作，应成立专门的商用密码改造实施小组完成实施工作，实施小组应包含1名专职项目经理和5名及以上实施工程师。专职项目经理主要负责实施总体计划、人力资源调度、与相关单位的工程协调和工程调度等工作。参与本实施工作的实施小组人员应具备至少五年以上系统集成实施经验以及出色的技术水平和丰富的同类型项目实施经验。采购人有权要求中标人撤换不符合要求的服务人员。中标人应充分重视本项目测评的实施工作，参与商用密码应用安全性评估实施的测评公司需具备商用密码应用安全性评估资质，并严格按照密码管理局等业务主管部门相关测评流程和要求开展实施，成立专门的商用密码应用安全性评估实施小组(不少于3名密码测评工程师（不含项目经理）)完成实施工作，并指定一名专职的项目经理（与密码应用改造项目经理不可复用），主要负责实施总体计划、人力资源调度、与相关单位的工程协调和工程调度等工作。参与本实施工作的各类技术人员应具备出色的技术水平和丰富的同类型项目实施经验。采购人有权要求中标人撤换不符合要求的服务人员。项目团队应做好服务的计划与总结，向采购人提交工作报告。五、应急响应要求用户提出技术支持请求后，项目服务团队须在0.5小时内响应；当发生硬件故障时，在0.5小时内响应并恢复系统正常运行；当硬件故障不能解决时，应在故障发生24小时内提供同档次或更高配置的设备对故障设备进行替换，完成配置，保证业务正常运转，直至故障设备修复后重新部署回原节点。项目服务团队如未能在上述规定时间内解决故障并恢复系统运行，用户有权动用设备原厂商的技术力量和设备，或请其他专业公司进行维修，所有费用由中标人支付。六、网络安全与保密要求中标人须与采购人签订《网络安全保密承诺书（适用于单位）》《供应链安全管理承诺书（适用于单位）》《单位网络安全承诺书》，其项目服务人员须与采购人签订《网络安全保密承诺书（适用于个人）》《供应链安全管理承诺书（适用于单位）》《个人网络安全承诺书》。本项目自身及其涉及的数据等相关信息，受《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》、《税务工作秘密管理暂行办法》等法律、法规、规范性文件的保护。中标人及其服务人员为采购人须遵循与网络安全相关的国家法律法规和税务系统规章制度，严格履行相关法律法规和规范性文件的法定义务，严格落实供应链安全管理，确保税费数据保密性、完整性和可用性，做到