盈科博新海事局方案.doc

根据相关领导的阐述和部署，本项目规划建议旨在实施短时间内构建以智能IC卡为载体的船舶执照电子化信息管理应用平台和相应数据库平台以及相应的网络架构；同时配套构建相应的制卡系统、发卡系统、持卡客户服务系统，从而构成完整的卡运用体系。并且为船舶电子签证、船员电子认证、船舶行驶电子化信息管理、船舶港务电子化信息管理等作好电子化卡管理应用拓展平台。一、 项目规划背景1、 船舶登记卡应用处理概念船主持卡船舶登记制卡发卡业务应用变更登记注销登记挂失登记失效登记2、 海事管理卡应用体系概念直属海事处理管理中心海事处理应用点统计查询管理船舶防污染管理船舶安全检查管理船舶港内作业管理船舶动态管理船舶进出港签证管理国际航行船舶进出口岸管理船舶登记管理统计查询管理船舶防污染管理船舶安全检查管理船舶港内作业管理船舶动态管理船舶进出港签证管理国际航行船舶进出口岸管理船舶登记管理数据集中处理权限控制和接入认证系统数据集中发掘分析管理数据汇总处理数据汇传卡读写签认系统权限控制和接入认证系统统计查询管理船舶防污染管理船舶安全检查管理船舶港内作业管理船舶动态管理船舶进出港签证管理国际航行船舶进出口岸管理船舶登记管理实时数据交换部局海事分析管理中心3、 海事行政管理及卡管理系统体系构架交通部IC卡管理总中心（包括制卡中心）地方政府海事局部海事局IC卡管理分中心地方海事局直属海事局（14）IC卡管理分中心地方海事分局直属海事分局（224）IC卡应用签证点地方海事处直属海事处（。）地方海事营运点直属海事营运点（。）4、 卡管理系统实施要求l 统一卡应用标准、统一卡应用平台、统一卡数据平台、统一卡安全认证；统一卡系统与其他系统对接平台、统一制卡（初始化基础信息）、统一卡客户服务平台、统一卡系统应用网络。l 在最短的时间内实现正式发卡运行。l 逐步充实完善系统管理应用功能。二、 系统原则规划1、 系统构成制卡系统卡应用管理系统（应用平台）卡营运点应用系统卡管理应用网络系统卡系统数据采集平台（数据库平台）卡客户服务系统卡应用安全认证系统系统硬件平台（硬件平台）系统软件平台（系统平台）安全保障体系2、 系统逻辑结构 表示密钥认证系统IC卡管理系统交通部海事业务应用系统制卡系统数据接口卡管理总中心（应用平台）数据（库）平台部海事局卡处理终端卡处理终端管理终端管理终端数据接口卡处理终端卡处理终端IC卡管理分中心（应用平台）数据（库）平台客服中心直属海事局（14）客服系统客服系统管理终端管理终端直属海事分局（224）营运点卡应用终端营运点卡应用终端直属海事处（。）协议接口直属海事营运点（。）三、 系统构建规划卡的使用流程：在卡管理系统应用的过程中所执行的卡物流管理工作流程IC卡管理总中心（包括制卡中心）直属海事营运点（。）直属海事处（。）直属海事分局（224）直属海事局（14）部海事局交通部地方海事营运点地方海事处地方海事分局地方海事局地方政府海事局IC卡管理分中心IC卡管理分中心IC卡应用签证点1、 系统构建布局2、 卡管理系统逻辑结构3、 卡管理系统功能规划卡管理系统在整个IC卡工程中处于核心位置之一，它贯穿于整个系统，主要由以下几部分构成：1) IC卡管理总中心（或长三角地区IC卡管理中心）IC卡管理总中心负责全国（或长三角地区）范围的海事IC卡的统一采购、制卡和发卡，分发与回收销毁。2) 直属局或地方局IC卡管理分中心船舶登记信息的汇总由各直属局或地方局卡管理分中心负责，是海事IC卡系统业务管理和数据处理的核心。直属局或地方局管理中心将建立辖区内海事IC卡系统的中心数据库，负责处理各船舶登记点与IC卡有关的业务处理。4、 卡管理系统功能分布序号功能长三角地区卡管理中心直属局(地方局)管理中心备注1系统信息维护发卡前完成2系统信息查询发卡前完成3系统编码维护发卡前完成4操作员角色维护发卡前完成5操作员信息维护发卡前完成6操作员权限维护发卡前完成7更改口令与登录ID发卡前完成8发卡点信息维护发卡前完成9卡片入库发卡前完成10卡片领用发卡前完成11卡片回收发卡后完成12卡库存统计查询发卡后完成13卡库存查询发卡后完成14船证卡的发卡发卡前完成15卡证静态信息变更维护发卡后完成16船证卡的更换发卡后完成17卡挂失发卡后完成18解挂发卡后完成19坏卡的处理发卡后完成20注销发卡后完成21密码更新发卡后完成22密码重装发卡后完成23密码解锁发卡后完成24卡信息的查询发卡前完成25黑名单的生成发卡后完成26黑名单的传输发卡后完成5、 卡管理系统功能描述卡管理系统的功能分为管理中心内部管理、卡片实物管理、发卡业务、黑名单的管理等几类。其中管理中心内部管理包括：系统信息的设置与维护、系统编码维护、操作人员的权限管理。卡片实物管理包括：卡片入库、卡片领用、卡片回收、卡库存统计查询、卡库存台帐查询等。发卡业务包括：船证卡的发卡、卡证静态信息变更维护、船证卡的更换、卡挂失、解挂、坏卡的处理、注销、密码更新、密码重装、密码解锁、卡信息的查询等。黑名单的管理包括：黑名单的生成、传输。6、 卡管理系统应用分布7、 系统安全保障系统安全从技术上来分，主要包括四个方面：卡内数据的安全、数据库安全，应用安全、网络传输安全；1) 卡内数据的安全卡数据的安全性是通过密钥体系来保障的。更新卡内静态数据的密钥存储于中心的加密机中，签证动态信息的更新所需的密钥的存储介质是PSAM卡，加密机和PSAM卡只能用于认证，无法导出密钥。对IC卡上数据的任何更改都是通过密钥认证来实现的，由此来保证卡内的数据的安全。另外，IC卡上保存的密钥是由根密钥经过两级分散后的密钥，所以，即使某张船主卡密钥被破也不会影响其他卡片的密钥。2) 数据库安全 确定用户/角色权限管理规则数据库管理员具有最高的权限，负责建立用户和角色，并根据系统和应用需求将相关权限赋予相应角色或用户，能够保证上一级用户控制管理下一级用户的权限，能够跟踪用户对数据库操作的行为。通过这个机制，可以防止因用户越权操作、恶意破坏数据等行为。 制定完善的数据库备份恢复策略双机容错系统具有高可靠性，但是它仍然会发生故障。为避免主机系统或数据库本身发生的故障而导致数据库数据的丢失，可以将数据备份到磁带上，并采取异地保存的方式以保证数据的安全。 杜绝来自操作系统的安全威胁外部用户通过控制操作系统的相关服务（如：TELNET、FTP等）进而破坏数据库的数据是很常见的。为了避免这种威胁，可以把与数据库无关的操作系统服务全部屏蔽。 加强数据库管理员的职能此外，还采取加强数据库管理员职能的方式，保证系统的安全：l 安装、配置数据库时，要充分考虑数据库的数据的扩充和实际功能需求，避免以后较大数据库配置改动，保证数据库正常的运行。l 制定用户密码管理规范，防止不明用户侵入数据库。l 定期监视数据库运行性能，及时调整数据库的相关参数，保证系统的正常运行。l 关注所采用的DBMS发布的安全漏洞，及时下载相关程序，弥补漏洞。l 系统操作的记录和稽核3) 应用系统的安全对整个系统的不同用户组所拥有的权限进行了灵活的划分。可以提供不同类型的组的划分，用户可按需要产生不同的操作员组，并赋予一定的权限。每种类型的用户都不能执行超出自己范围的功能。应用系统安全还需要考虑操作员的控制，操作员访问系统需要检验操作员密码、而且操作员密码在数据库中以MD5算法密文存储，安全级别相当于LINUX/UNIX的用户名和密码，所以，即使数据库管理员登陆数据库也不能获取操作员密码的原文。4) 数据在网络传输上的安全网络传输安全主要是确保数据通过网络传输时数据不被篡改、截取。中间件能很好的保证数据传输的安全性，如TUXEDO的LLE(LINK LEVEL ENCPRYT)功能就能实现连接级的基于每次会话的动态密钥保护；5) 管理手段技术上的安全保障只是整个安全体系的一部分，我们认真分析了整个系统的安全要求，总结以往相关项目的实施经验，确立了一套比较完善的安全系统架构，包括技术、管理等多个层面的安全措施，全面保证整个系统的安全。l 安全管理制度和流程l 定期安全评估l 独立的安全攻击评估l 安全审计8、 密钥管理系统在海事船舶IC卡系统整体结构中，密钥管理系统是卡应用的安全核心，保证IC卡应用的整体安全性和可靠性。海事船舶IC卡系统的密钥管理系统采用两级密钥管理体系，从逻辑上分为海事船舶IC卡密钥管理总部作为一级密钥管理系统，各直属局或地方局作为二级密钥管理系统；从物理部署上来看，两个中心统一设在海事局总部；1) 一级密钥管理系统生成全国通用的IC卡身份认证密钥和签证认证密钥，通过这些密钥认证船舶IC卡的身份，并在全国范围内安全的脱机签证，更新航行过程中的动态数据； IC卡身份认证密钥（MIAK）该密钥用于终端对船舶IC卡的身份合法性的认证；它的根密钥通过密钥管理系统写入各海事局的业务加密机和SAM卡中，用卡号分散后的子密钥写入每张船舶IC卡中； 签证认证密钥该类密钥用于各海事局签证点的签证终端对船舶IC卡写入签证信息时的安全认证；它的根密钥通过密钥管理系统写入各海事局的业务加密机和SAM卡中，用卡号分散后的子密钥写入每张船舶IC卡中；根据不同的签证写入内容，这些密钥分为五类，分别为：密钥名称密钥表示保护的文件船舶航次配员数据修改认证密钥MEAK 1船舶航次配员数据文件船舶进港信息数据修改认证密钥MEAK 2船舶进港信息数据文件船舶出港信息数据数据修改认证密钥MEAK 3船舶出港信息数据文件船舶安检信息数据认证密钥MEAK 4船舶安检信息数据文件其他信息数据修改认证密钥MEAK 5其他信息数据文件2) 二级密钥管理系统生成各直属（地方）海事局所辖地区的专有密钥应用维护密钥，通过这些密钥的保护才能安全更新海事船舶IC卡的静态数据；这些密钥的根密钥存储于各海事局的业务加密机中，用卡号分散后的子密钥写入每张船舶IC卡中； 应用维护密钥1（MAMK1）用于保护卡片的自身与业务无关的信息，包括海事应用文件和公共应用基本数据文件； 应用维护密钥2（MAMK2）用于保护船舶IC卡的业务信息中的静态数据，包括船舶基本信息数据文件、船舶主要证书数据文件和船舶最低配员数据文件；3) 船舶IC卡、加密机、终端SAM的密钥认证关系表各海事局业务加密机船舶IC卡签证终端SAM卡MAMK1海事应用自身维护MAMK2静态数据更新签证时身份认证 MIAK船舶航次配员数据更新 MEAK1船舶进港信息数据更新 MEAK2船舶出港信息数据更新 MEAK3船舶安检信息数据更新 MEAK4船舶其他数据更新 MEAK54) 功能扩展另外，为了易于以后的功能扩展，密钥管理系统要预留添加新应用的专用密钥的功能，加强密钥管理系统的通用性和灵活性。9、 制卡系统部署根据部海事局集中统一制卡业务需求，制卡系统部署在部海事局制卡中心；船舶IC卡白卡进入制卡系统后，系统完成卡片文件结构的创建，下载一级密钥中心密钥，然后继续完成下载二级密钥和卡片文件信息内容的写入，并且打印卡面视读信息；SAM卡白卡进入制卡系统后，系统完成卡片文件结构的创建，下载一级密钥中心的根密钥；10、 卡机具情况分析制卡机资料1) 主流制卡设备目前，国内主流制卡机有如下品牌：（1） Logika （意大利）（2） DataCard（美国）Logika和DataCard 的产品在国内银行刚开始发信用卡时即进入中国市场，多年来，受到国内用户的认可，一直保持着主流产品的地位。 市场占有率 DataCard 的制卡机在大型、高档产品方面有较多的型号和配制，但价格昂贵。Logika的产品在功能上可以实现与DataCard同类设备相同的功能，但在价格上具有很大的竞争优势。在国内，工行、交行的用户在大型、豪华制卡机方面，选用DC产品的用户较多，而其他银行和非银行用户如农行、中行、建行、社保、加油、邮储等选用Logika的产品较多。因此，综合市场占有率约为各占50%左右（其他品牌的设备不计）。 产品系列l Logika 的产品： 大型机： LC2000（模块化） 中型机： LT700、LT950C 小型机： LC560、LT500、LC100l DardCard的产品： 大型机： DC9000（模块化）、DC7000（模块化） 中型机： DC500 小型机： DC280、DC450、UltraGrafix800、ImageCard42) 制卡设备对照表 生产厂家设备型号设备功能市场参考价格（RMB）LogikaLC2000写磁、IC、平印、彩色、凸印、烫色、条码、邮件处理300万左右LT700写磁、IC、凸印、烫色20万左右LT950C写磁、IC、平印、单色17万左右LT560写磁、凸印、烫色13万左右LT500写磁、IC、平印、单色12万左右LC100写磁、IC、平印、彩色5万左右DataCardDC9000写磁、IC、平印、彩色、凸印、烫色、条码、邮件处理400万左右DC7000写磁、平印、单色、凸印、烫色（不包含IC,可选配）100万左右DC500写磁、凸印、烫色（不包含IC,可选配）55万左右DC280写磁、凸印、烫色15万左右DC450写磁、凸印、烫色（不包含IC,可选配）22万左右ImageCard4写磁、平印、彩色15万左右UltraGrafix800写磁、平印、单色（不包含IC,可选配）20万左右台式IC卡终端ICT800/810（三换捷德）Star590e(实达)P520(天石) CPU80C52（8KROM 256KRAM）INTEL80C188EC-存储器Flash:256KB,可擦除100,000次。SRAM32KB512K BYTES Flash4MB+256KBFlash用户数据空间显示双液晶显示，96x32pixels12864LCD双LCD液晶显示屏(128X64、122X32)，带背光接口RS232、MODEM、RS485（可选）3个RS232 RS232、MODEM、RS485（可选）键盘4x4键盘，ICT810另加一个3x1小键盘10个数字键，4个系统功能键，8个交易功能键，2个字母键，1个进退纸键4x4键盘PSAM卡座2个无2个智能卡接口1个IC卡座符合ISO7816标准,插拔250,000次无故障1个IC卡座1个IC卡座工作环境工作温度：545 相对湿度：5%85%RH050C 温度：-20C 至 55C 湿度：5%-85%重量大约450克450克外型尺寸210mm（长）x 91mm（宽）x 125mm（高）278mm(长)173mm(宽)100mm(高)长:190mm 宽:120mm高:114.5mm市场价格￥2800元￥3200元￥3200元手持POSSJD600S(三换捷德)P115(天石)STAR 728（实达）CPUMC68EZ32816位处理器32位ARM中央处理器90L32 CPU存储器2M BytesFLASH 128K BytesSRAM32M bits大容量数据、程序存储空间2M BytesFLASH 248K BytesSRAM显示器LCD 128*64，图形方式，有背光128*64宽温高清晰液晶，EL背光LCD 160*240卡接口插拔式主卡座1个，SAM卡接口1个降落式IC卡卡座插拔式主卡座2个，SAM卡接口1个键盘20键键盘：开机键、左箭头键、右箭头键、OK（确定）键、C（取消）键、F1（功能）键、F2（功能）键、0、1、2、3、4、5、6、7、8、9、*、19键人机工学高质量键盘17键键盘通讯方式RS232，波特率：9600bps57600bps兼具串口和红外通讯功能RS232电池1200mAh可充电锂电池采用大容量通用锂电池3节5号电池外型尺寸120mm*65mm*30mm(L*W*H)-使用时间待机时间：至少72小时连续工作时间：13小时-市场价格￥2000￥5800￥2200IC卡读卡器SJD200(三换捷德)STAR SCE-718(实达)海豚系列双卡座读写器（明华）支持卡型支持ISO-7816标准的T=0、T=1的CPU卡；存储卡；逻辑加密卡支持ISO-7816标准的T=0、T=1的CPU卡；存储卡；逻辑加密卡可读MEMORY卡，CPU卡；下卡座可读CPU卡(符合T=0/T=1通讯协议)。通讯RS232串行接口 波特率960019200bpsRS232串行接口 RS232串行接口 波特率960019200bpsPSAM卡11-4个SAM卡槽（可选）1工作电源DC 5V5% 从计算机PS/2取电从计算机PS/2取电无需外接电源，从计算机PS/2取电。工作环境工作温度：545相对湿度：85%RH工作温度：545商业级070 市场价格￥880￥1000￥1000加密机总参56所30所（卫士通）数据所资格认证产品通过国家商密委的密码安全产品资格认证产品通过国家商密委的密码安全产品资格认证产品通过国家商密委的密码安全产品资格认证工作电压AC 220 V25% / 50Hz AC 220 V25% / 50HzAC 220 V25% / 50Hz接口类型TCP/IP RS232TCP/IP RS232TCP/IP RS232支持的应用中国金融集成电路(IC)卡规范等中国金融集成电路(IC)卡规范等中国金融集成电路(IC)卡规范等密钥的保护物理锁，防拆、防撬设计，密钥加密存储、打开机盖密钥自毁物理锁，防拆、防撬设计，密钥加密存储、打开机盖密钥自毁物理锁，防拆、防撬设计，密钥加密存储、打开机盖密钥自毁机具自身参数设置旋钮选择面板按键管理软件市场价格￥120000￥120000￥120000l 在兰色部分适应性调整的同时完成黄色部分的基本开发建设，实现卡应用管理系统首期的正式发卡试运行。l 在正式发卡试运行期间完成绿色部分的开发建设，同时进一步完善卡应用管理系统。l 根据具体应用情况，进行全系统应用需求分析，进行全系统的整合开发建设。1、 项目建设推行规划为了使项目开发建设工作得以顺利推进，建议，在开发建设期间，根据统一卡应用标准、统一卡应用平台、统一卡数据平台、统一卡