第三代社会保障卡发行和应用服务项目建设意见.docx

《第三代社会保障卡发行和应用服务项目建设意见.docx》由会员分享，可在线阅读，更多相关《第三代社会保障卡发行和应用服务项目建设意见.docx（7页珍藏版）》请在第一文库网上搜索。

1、第三代社会保障卡发行和应用服务项目建设意见一、项目背景按照“互联网+社保卡”的应用要求，面向全省提供第三代社保卡相关发行和应用的综合服务。人社部在制定第三代社保卡相关技术规范时，明确在第三代社保卡中全面推行国产密码算法的应用，包括密钥体系和CA体系等都要采用国产密码算法。二、建设目标根据人社部统一部署，为发行第三代社保卡做好相关技术支撑和服务。建立全省第三代社保卡RA密码算法和国产密码算法的密码服务支撑体系，面向全省提供第三代社保卡密钥加载和社保卡应用终端密码认证服务，全面提升社保卡发行和应用的安全性；为社保卡“一卡通”建设提供相关海报、视频等汇报宣传材料的规划、制作服务，保障全省第三代社保卡

2、发卡用卡工作的规范有序进行，统筹规范管理第三代社保卡的发行和服务工作。三、服务内容(一)第三代社保卡RA密码技术支撑服务。按照第三代社保卡建设要求，第三代社保卡必须写入全国统一标准的RA密钥，RA密钥以人力资源社会保障电子认证根系统为信任源点，提供与部电子认证系统一致的省电子认证系统，确保与部本级证书签发管理系统互联互通，实现为全省第三代社保卡提供证书的申请、注册、审核、下载、注销、统计、挂失、解挂、签名验签等应用安全支撑服务，并向下兼容提供综合服务。提供第三代社保卡RA密码服务平台和数据密码机同时，还须提供该产品在本项目服务期内的原厂售后服务承诺。主要包括：1证书注册管理前置机，负责处理与社

3、保卡发卡相关系统之间的通信与信息交互，针对持卡人证书发放提供数据处理、接口服务、数据加解密等服务，负责证书申请数据预处理、快速发卡系统等的证书申请请求及证书返回处理等。2 .证书注册管理系统(RA),提供用户数字证书申请的注册受理、证书下载、证书注销、挂失与解挂、证书更新等业务申请，通过业务专网连接到部级证书签发管理系统，由部级证书签发管理系统签发数字证书。3 .在线证书状态查询系统(OCSP),主要为用户及应用系统提供证书状态的实时在线查询服务。4 .证书在线自助服务系统，主要面向本省范围内持卡人提供证书在线下载等自助服务。5 .统一验证系统，主要为省内应用系统提供基于数字证书的持卡人身份认

4、证、签名验签等服务。6 .服务器密码机，主要分为电子认证专用密码机和应用密码机：电子认证专用密码机指的是RA密码机、OCSP密码机，主要为RA系统、OCSP系统提供数字证书申请注册、审核、下载及查询等过程中的密码服务；应用密码机主要为统一验证系统提供服务端签名/验签、数据加/解密等密码服务。第三代社保卡RA密码服务平台涉及产品清单如下:序号产品名称性质数量1证书注册管理软件(RA)软件12在线证书状态查询软件(OCSP)软件13目录服务软件(1DAP)软件14电子认证密码机、应用密码机硬件35应用安全网关硬件26数字签名服务器硬件27证书注册管理前置机硬件18证书在线自助服务系统软件19统一验

5、证系统软件110统一验证密码机硬件211操作系统软件812数据库管理系统软件413中间件软件414应用服务器硬件415数据库服务器硬件416防火墙硬件117交换机硬件2（二）国产密码管理技术支撑服务。按照第三代社保卡建设要求，为建立第三代社保卡国产密码管理技术支撑体系并向下兼容提供综合服务。1 .提供省集中的统一密码认证服务平台，集中部署在省级社会保障卡管理机构，统一提供社保卡国产密码管理和服务技术支撑，系统网络环境兼容IPV6o统一密码认证服务平台所需的密码服务系统和高性能密码机池（包括省级+省本级和11个地市共13台密码机）由中标商提供，社保卡认证时将通过统一密码服务系统均衡调用密码机池中

6、的硬件密码机进行认证，实现全省集中、高效的密码认证服务。认证架构如图所示：统一接口密码服务子系统密钥管理子系统任务调度模块一码务统统密服系一钥证务台统密认服平省持卡库密钥认丐/密钥认证钥认证2 .要求进行密码管理技术支撑综合方案讲解和系统演示。3 .统一密码服务系统具体要求：（1）支持在线社保卡交易鉴权，并兼容已有的原人社部配发和用户原有密码机（卫士通SJ1O5、SJ105-ASJJI312-B等）。（2）支持1inuxWindows.AIXHPunix等多平台部署，且有较好移植性，确保系统平台更换时可移植，对现有数据库、中间件、应用服务器软件、防火墙等产品能够很好兼容。（3）支持密钥集中管理

7、：对各系统、密码机、密码键盘的密钥生成、分发、处理、存储及销毁等各环节进行集中管理。（4）支持密码机设备多应用系统共享使用；支持用密码信封等方式将终端主密钥安全分发至终端。（5）支持密码机双机热备，密码机间密钥和配置信息自动同步和负载均衡；支持密码机透明增加和负载均衡自动实现，并能实时监测密码机故隙，自动卸载故障密码机。（6）支持集中整合各业务系统关键敏感信息，并统一提供密码服务接口；支持密码机分组使用和管理，每个分组中密码机实现负载均衡，并对外提供统一通用AP1接口服务。（7）支持远程Web端进行密码机日常管理；支持对密码服务平台和密码机运行状态实时图形化监控；支持对系统关键数据及运行情况全

8、面统计，以不同维度和角度展示系统各指标情况。（8）性能要求：SM4密码算法PIN验证速率不低于IOOOO次/秒，SM4密码算法IC卡联机验证速率不低于10000次/秒，SM3与SM4运算速率不低于10000次/秒；支持业务交易不低于5000笔/秒；任务、AP1及服务处理时间不高于0.01秒，系统整体备份时间不高于05小时，系统恢复时间不高于20分钟；交易、API及服务的成功率不低于99.9999%o4 .数据密码机具体要求：（1）符合人社部社保卡密码机相关规范和要求，通过人社部检测的社会保障卡专用密码机。（2）根据国家对密码机相关规定，取得数据加密服务器软件著作权、公安部销售许可证、商用密码产

9、品销售许可证和商用密码产品型号证书等。（3）符合密码机相关技术规范GM/T0002-2012SM4分组密码算法、GM/T0003-2012SM2椭圆曲线公钥密码算法、GM/T0004-2012SM3密码杂凑算法、GM/T0005-2012随机性检测规范、GM/T0009-2012SM2密码算法使用规范、GM/T0010-2012SM2密码算法加密签名消息语法规范、GM/T0015-2012基于SM2密码算法的数字证书格式规范、GM/T0018-2012密码设备应用接口规范等。（4）支持国密SSF33、SMESM2、SM3、SM4算法,并满足PB0C2.0和PB0C3.0规范，兼容RSA1O24

10、、RSA2048DES、3DES、AES、RSA、MD5、SHA224SHA256SHA384、SHA512等密码算法。（5）支持以下功能：使用专用密码管理软件（社保卡密码管理系统）进行密码机配置、证书和密钥内部管理，并支持弱密码检测；密钥管理使用三层密钥体系，并支持密钥内部存储；支持USBKEY机制，实现开机控制，一机一KEY,支持使用USBKEY安全模块存管密钥、支持USBKEY口令认证管理密码机；支持密钥全生命周期管理，包括密钥生成、安全存储、导出、导入、备份、恢复、状态查看和销毁；支持全日志记录，并对日志进行集中管理和审计；提供AP1接口供调用，包含JAVA语言版本以及C语言版本。（6

11、）提供至少四个100/100OM自适应网口，IOG光口（预留可选配），4个USB口和1个并口，支持双电源；支持集群部署模式，并提供高可靠运行方案；具备USB管理接口；前面板具有液晶显示屏方便操作。（7）支持多种安全保护机制。抗干扰机制；密钥自毁机制；通信端口安全机制；机仓安全机制；并选用通过国家密码管理局批准的安全芯片实现密码运算和随机数发生器。（8）性能要求：SM4算法ECB加解密速率360MbPs、SM4算法CBC加解密速率360MbPs、SM2密钥产生速率100对/秒、SM2签名速率2500次/秒、SM2验签速率1500次/秒、SM3计算Hash速率200MbPs、SSF33算法加解密速

12、率50MbPs、可靠性MTBF30000ho5.提供密码服务平台和数据密码机同时须提供原厂对该产品在本项目服务期内的原厂售后服务承诺。（三）第三代社保卡素材和检验服务1 .根据甲方实际需求，提供社保卡“一卡通”建设提供相关海报、视频等汇报宣传材料的制作服务，如长三角社保卡居民服务“一卡通”宣传海报排版设计、视频编制和拍摄制作等。因此产生的费用包含在项目总费用内。2 .提供XX省第三代社卡卡片检测和数据验证服务，如卡片硬件性能指标检测、卡片接触和非接环境检测、卡片功能通用性检测和卡片数据验证服务等。（四）其他服务1根据甲方实际需求，确定是否提供对项目内容的第三方测评，第三方测评费用包含在项目总费

13、用内。3 .协助省厅做好相关的统计工作与一些临时性业务的处理，每年至少一次对用户、业务经办人进行回访、巡检和检测，了解系统使用情况、业务开展情况及运行情况等。4 .投标方应提供驻场人员3名，驻场人员应是熟悉社保卡业务的专业人员。同时，提供远程技术支持服务，对驻场人员无法解决的问题，及时响应，全面支持，保隙问题的快速解决。4.服务内容清单:序号内容简要说明数量单位1第三代社保卡RA密码技术支撑服务见第三代社保卡RA密码服务平台涉及产品清单1套2国产密码管理技术支撑服务统一密码服务系统2套数据密码机13台3第三代社保卡素材和检验服务社保卡素材制作按需社保卡检测4第三方测评服务/按需次5驻场团人员和

14、日常服务/3人四、服务期限本次服务的服务期限暂定为三年。后续两年是否续签，由用户根据中标方合同履行情况，当年经费及运维需求等情况而定。在服务期内，须确保提供优质服务、现场技术支持和7X24小时故障响应,设备故障时间超过24小时无法排除的，应提供备机应急。应用系统发生应急故障时，确定故障原因，制定故障恢复方案，实施故障恢复措施，恢复系统正常运行，并持续跟踪系统运行情况，并做出详细故障说明，提供故障报告。服务期内如发生重大安全、质量事故，包括但不限于：密钥泄密等，采购人有权单方面终止中标后所签订的合同，并追究相关责任。五、保密服务方对本项目的内容均有保密之义务，非经对方的书面允许，不得将其泄露给任何第三方（根据其适用的法律必须披露的情况除外），也不得用于本项目之外的其它用途。对在合作过程中所获知的对方的业务、技术情报和资料均负有保密义务，不得将其泄漏给第三方（根据其适用的法律必须披露的情况除外）。违反上述规定的直接损失由责任方承担。六、验收运维服务一年到期后，由用户确定具体时间组织专家进行项目最终验收。