眉山市中级人民法院密钥接入认证管理系统建设采购预公告眉山市公共资源交易中心受眉山市中级人民法院的委托，拟就密钥接入认证管理系统建设项目进行公开招标采购。现将采购单位提供的招标产品的配置、技术参数、服务等有关情况公布如下,并公开征求供应商及专家意见。一、征求意见范围1．是否出现明显的倾向性意见和歧视性条款； 2．影响政府采购“公开、公平、公正”原则的其他情况；3．配置、技术参数、服务要求、约束条件等是否合理。二、征求意见的回复各供应商及专家提出意见或建议的，请于2013年10月23日17:30前将书面材料签字（盖章）传真至眉山市公共资源交易中心，传真***-********联系人：周先生 电话***-********；市财政局监督科话：***-********。采购单位对逾期送达的的意见、建议书恕不接受。三、合格的意见或建议书要求1．供应商提出意见或建议的，书面材料须加盖单位公章和经法人代表签字确认，是授权代理人签字的，必须出具针对该项目的法人代表授权书及联系电话。2．各供应商及专家提出意见或建议内容必须是真实的，并附相关依据。本次采购的基本情况如下：一、项目预算：84万元二、供应商资格要求1．具有独立承担民事责任的能力；2．具有良好的商业信誉和健全的财务会计制度；3．具有履行合同所必须的设备和专业技术能力；4．具有依法缴纳税收和社会保障资金的良好记录；5．参加本次政府采购活动前三年内，在经营活动中没有重大违法违规记录；6．法律、行政法规规定的其他条件。三、建设地点：眉山市中级人民法院四、交货时间：采购人指定的区县（眉山范围内）五、售后服务：系统软件三年免费升级服务六、付款方式：设备安装调试、技术培训、验收合格后5个工作日内付合同款95%，其余5%余款作为质保金，一年后设备无质量问题一次性付清余款。七、项目概括、产品配置及要求：系统建设总体功能目标本次系统建设的具体目标是：以川高法482号文件和“四川省高级人民法院办公室关于开展全省法院密钥认证接入认证系统、网络边界安全防护系统建设的通知”为指导，以国家等级保护（三级）标准为参考，建设覆盖全市法院系统的，全面防护网络安全、主机安全、应用安全、数据安全、策略管理的全面安全体系和统一安全管理体系，具体达到以下建设目标：（一）用户强制身份认证管理实现用户进入全市法院内网的强制身份认证，并通过硬件KEY的双因子认证，确保一用户一KEY，只有通过硬件USB-KEY并输入正确的口令，才能登陆操作系统和接入内网，确保用户的身份合法性。（二）应用系统密钥管理实现全市法院内网各应用系统的账户与USB-KEY进行捆绑，用户登录和访问法院内部应用系统前，必须将硬件USB-KEY插入终端电脑，并使用正确的密码进行登录，否则拒绝访问。对全市法院各应用系统密钥加强安全防护，阻止非法用户的访问行为。做到对各应用系统数据的安全保障，确保核心业务数据的安全性和可用性。（三）分级部署以市院为中心，各个区县法院分级部署，以实现省院到市院、市院到各个区县法院从上自下的统一管理。市法院策略由省高院统一下发，各个区县法院策略由市法院统一下发。市法院终端日志上报高院由高院统一审批，各个区县日志上报市院由市院统一审批。方便对密钥认证系统的管理和维护。（四）业务系统单点登陆通过业务系统单点登录管理，避免用户记录多个业务系统密码，并有效的强制捆绑USB-KEY，从而达到增强原有业务系统用户密码管理的功能。（五）服务器保护服务器保护功能应基于应用代理技术，实现对内部业务服务器群的统一身份认证，各类业务应用服务器、数据库服务器都在保护的范围之内。服务器保护功能包括受保护服务器群安全域划分、服务器授权认证和操作日志记录三大功能。1、安全域划分。根据用户的业务范围和权限划分不同的安全域，有效控制各安全域之间的网络访问权限，所有业务仅对安全域内的授权用户开放。2、服务器授权认证。终端用户向受保护服务器群发起的网络连接首先被转发到认证服务器，只有通过认证和授权的用户才可访问受保护服务器。3、操作日志记录。终端用户到受保护服务器群的所有请求和数据都被截获，并形成日志传输到日志数据库，用户的一切操作均可追溯。（六）终端数据的集中安全管理要求可向终端下发策略，可管理终端访问应用服务器，能对终端机器外设端口授权管理，能防止终端机器非法外联控制，可对终端软硬件资产及软硬件资产变更统计、可绑定终端IP/MAC地址，可对终端进程黑白名单控制，可记录终端对网络资源的访问。（七）终端文件外发管理要求具有支持文件审批外带管理，要求在安全保密的策略管控下不能外带，必须经过领导审批后方可安全外带（审批外带后的文件可以是明文也可以是密文，并且外带文件权限均可控）；文件审批支持移动存储介质外发文件的加密穿透，且能实现多级审批；经过审批过的密文文件要求支持权限控制，只有输入指定的用户名密码才能打开。（八）终端合规检查管理要求管理员能自定义终端必须安装的软件，终端接入时对自定义软件安装情况进行合规检查，对违规的终端能够强制后台修复，只有修复后的终端才能接入内网。系统建设原则为确保全市法院内部网络与信息系统安全有效地运行，建设中必须遵循以下原则：（一）开放性系统设计符合国家党政网的统一标准，采用的各项设备（软、硬件）均应符合国际通用标准（国家保密管理有规定的除外），符合开放性原则，组网使用的技术要与技术发展的潮流吻合，保证系统的开放性和技术延伸性。（二）安全性必须保证系统和信息的高安全性，采取必要的防范措施，使整个系统受到有意、无意的非法侵入而造成系统破坏的可能性降至最低程度。设备选型以国有品牌为主，安全产品必须具有国家主管部门审批与鉴定的资质文件，涉密产品必须具有国家保密局颁发的涉密信息系统产品检测证书。（三）先进性系统要采用国际上先进、成熟、实用的技术，既保证系统实现的功能，又保证系统在未来的五年内，其技术和应用的发展仍能满足需求。（四）可靠性 系统应能适应较长时间的高负荷正常运转，保证系统在有异常情况下正常、可靠的运行。（五）容错性根据设备的功能、重要性等分别采用冗余、容错、备份等技术，以保证局部的错误不影响整个系统的运行。（六）高效率采用新技术和稳定的设备，将整个系统的信息流量维持在一个均衡高效的指标内，系统与网络资源的占用最小化。（七）易维护性系统的管理、维护和维修应具有简易性和可操作性。（八）可扩展性系统应具备良好的扩展性，在系统结构无须重大调整下，可实现平滑的升级。系统建设方案方案网络拓扑 （一）在中院核心服务器区内部署一台密钥管理系统，一台密钥认证服务器，实现对眉山中院及全市各区县法院密钥制作和分发，包含对迈维案件管理系统的授权访问。（二）在中院运维服务区内部署一台统一安全管理平台，实现对眉山中院及全市各区县法院终端策略统一制作和下发； （三）在眉山中院及全市各区县法院服务器上部署统一安全管理平台，中院运维服务器区统一分发授权管理权限账号，根据该账号各个法院能够对自己本院密钥系统进行维护和管理。系统功能和技术（一）终端安全防护实现对内网终端计算机的接入控制，只有授权的合法计算机才能够接入内网；实现对内网终端计算机的外联控制，连接到内网的终端计算机不能随意连接到外网；实现对内部计算机的行为管理和控制，禁止内部人员的不合理和违规行为，预防内部敏感信息外泄；实现对内网终端计算机的资产监控，禁止随意的资产变更，包括软件资产和硬件资产；实现对内网终端计算机的安全加固，能够对接入网络的终端进行安全基线检查，可设置周期或开机对终端安装杀毒软件情况进行检查，如果终端计算机没有安装任何防病毒软件，系统则强制断开终端网络，只能访问防病毒软件服务器进行下载安装防病毒软件客户端，并正常启动杀毒软件，才能正常接入网络。实现业务系统的账户与实名身份账户进行绑定，通过与USB-KEY捆绑，确保账户只能在有权限的终端访问服务器。建立统一的内网安全审计系统，实现对终端计算机和用户的安全审计，对违规行为和其他入侵行为进行监管，进行责任认定。（二）终端密钥管理解决内部工作人员的身份认证问题，主要通过建设身份认证系统来解决。身份认证系统将基于数字证书和CA认证中心实现，同时使用硬件USB KEY作为用户身份的硬件标识。1、提供了统一用户身份认证的手段，使用基于双因素的USB KEY令牌确认用户身份，并在此基础上进行认证和各项授权。2、认证系统和迈维法院信息管理系统登陆账号绑定，实现一人一ｋｅｙ登录。（三）移动存储介质管理移动介质管理主要实现内部网络中所有主机以及移动终端的安全管理与控制：实现对内部移动介质进行统一管理，只有注册的移动介质可以在全市法院内网使用，防止ＵＳＢ病毒感染内网网络；实现对注册的移动介质实现授权访问，只有授权的用户才能正常打开；实现对使用注册移动介质的用户进行日志审计，记录使用人，使用时间，使用部门及拷文件的名称和内容；实现特殊部门的注册介质进行特殊格式处理，防止移动介质丢失泄密。做到了“拿进来的移动存储器使不了”、“拿出去的移动存储器不能用”。（四）内网数据保护实现通过部署接入检查网关，检查只有安装XX实名认证审计的终端和用户持有管理员分配的USBKEY输入正确PIN码才可以接入内网防止非法内联。实现通过分域管理、无线网络设备控制、网络IP段控制防止用户使用多网卡、3G设备、无线网卡等设备非法外联。杜绝“一机两用”事件。从而防止把内网网络暴露在互联网造成网络非法窃听，非法截取。当由于工作需要将内部数据集进行外发之时，可以采用电子化的文件外带审批机制，实现数据外带的安全。（五）安全域与安全边界管理1、保障网络基础平台的安全可靠运行；2、严格区分不同安全域的网络边界，在网络边界上控制对安全域自身的非法访问，对于来自安全域外部的非法访问采取强制性的控制措施；3、阻止来自网络的各种风险通过网络边界入侵内部网络，确保网络基础平台稳定可靠的运行；4、能够及时发现网络风险或入侵行为，通过新的安全策略进行快速抑制；5、采用行之有效地审计手段，检查网络安全状况、追查安全事件、查明安全责任、处置内部的网络违规行为。（六）安全审计眉山全市法院整个内网没有较强的审计系统，操作系统本身自带的审计系统较弱，不便于统一管理。没有审计系统，对终端计算机用户的违规行为和其他入侵行为缺乏监管手段，也无法进行责任认定。为了防止工作人员在内部计算机上进行非法操作，必须对内网计算机的各种信息和用户的终端及网络行为进行安全审计，快速发现违规行为并报警，便于事后责任认定和追究。系统设备清单及费用概算中院设备清单：类别名称数量详细参数接入认证网关终端接入认证网关1部署在中院即可,实现全中院(含区县法院)所有终端接入认证检查，1U；千兆；并发50000。≥4个10/100/1000M电口；防火墙吞吐率600Mbps；每秒新建连接数25000；参考用户数1500；支持热备和BYPASS功能密钥USB-KEY内置认证系统200与内网认证网关联动，标准USB设备, 支持USB2.0接口 A型插头;标准PC/SC驱动,支持智能卡登录;支持多个密钥的存储,支持X.509 v3标准证书格式; 能与多种PKI应用无缝集成;支持基于冲击/响应（Challenge/Response）的双因子认证；实现内网各应用系统的账户与USB-KEY进行捆绑，用户登录和访问内部应用系统前，必须将硬件USB-KEY插入终端电脑，并使用正确的密码进行登录，否则拒绝访问。对各应用系统密钥加强安全防护，阻止非法用户的访问行为。做到对各应用系统数据的安全保障，确保核心业务数据的安全性和可用性。软件（实名认证审计系统）网络安全平台基础框架200可信网络安全平台的核心部件，存储用户信息、计算机信息、策略信息、权限配置以及审计记录等，实时管理所有客户端代理和网关设备。并提供基于用户的管理维度，属于各系统的基本功能，系统自带，做为公共包。网络监控系统200集中管理终端的软硬件资源，（包括硬件资产、外部设备、运行程序等），对终端的行为（包括网络、打印、文件等）进行控制和审计。移动存储管理系统200提供对u盘基于生命周期的管理，包括注册、挂起、注销、加密等效果。网络保密系统200对终端进行提供基于内外网隔离的环境安全解决方案，提供网络传输加密和控制、外设控制、U盘加密功能。 数据外带系统200对于需要外发的数据，提电子化的外带审批流程，实现数据外带的安全安全接入200提供安全接入、合规性检查、补丁分发等共功能。分级管理200提供安全域划分、分级管理等功能。服务器12U机架式服务器,含上架导轨;2×Intel Xeon E5620处理器; 4GB DDR3-1333MHz内存; 3×146GB热插拔SAS硬盘;配置512MB高速缓存高性能SAS RAID卡,支持RAID0，1，5，6，10，50，60; 双千兆网卡;外置USB DVD-RW光驱 USB软驱 配置USB键盘鼠标;1个PCI-E 2.0×8扩展槽,2个PCI-E 2.0×4扩展槽;服务器1 1热插拔服务器冗余电源。合计各区县法院设备清单：类别名称数量详细参数密钥USB-KEY内置认证系统637与内网认证网关联动，标准USB设备, 支持USB2.0接口 A型插头;标准PC/SC驱动,支持智能卡登录;支持多个密钥的存储,支持X.509 v3标准证书格式; 能与多种PKI应用无缝集成;支持基于冲击/响应（Challenge/Response）的双因子认证；实现内网各应用系统的账户与USB-KEY进行捆绑，用户登录和访问内部应用系统前，必须将硬件USB-KEY插入终端电脑，并使用正确的密码进行登录，否则拒绝访问。对各应用系统密钥加强安全防护，阻止非法用户的访问行为。做到对各应用系统数据的安全保障，确保核心业务数据的安全性和可用性。软件（实名认证审计系统）网络安全平台基础框架637可信网络安全平台的核心部件，存储用户信息、计算机信息、策略信息、权限配置以及审计记录等，实时管理所有客户端代理和网关设备。并提供基于用户的管理维度，属于各系统的基本功能，系统自带，做为公共包。网络监控系统637集中管理终端的软硬件资源，（包括硬件资产、外部设备、运行程序等），对终端的行为（包括网络、打印、文件等）进行控制和审计。移动存储管理系统637提供对u盘基于生命周期的管理，包括注册、挂起、注销、加密等效果。网络保密系统637对终端进行提供基于内外网隔离的环境安全解决方案，提供网络传输加密和控制、外设控制、U盘加密功能。 数据外带系统637对于需要外发的数据，提电子化的外带审批流程，实现数据外带的安全安全接入637提供安全接入、合规性检查、补丁分发等共功能。分级管理637提供安全域划分、分级管理等功能。合计各区县法院终端数量明细：法院名称接入电脑终端数冗余数合计东坡法院11040150仁寿法院13518153彭山法院801595丹棱法院502474洪雅法院801595青神法院472370总计637