CA电子认证系统内容及要求.doc

CA电子认证系统内容及要求第一章 投标人须知一、 总 则1. 说明1.1 “招标人”系指依法进行政府采购的国家机关、事业单位、团体组织。1.2 “投标人”系指拟参加投标和向招标人提供货物及相应服务的供应商。1.3 本招标文件仅适用于本投标邀请书中所述货物及服务的采购。标书中的“货物”指符合本次招标标底项目名称的合格产品。标书中的“服务”指符合本次招标标底项目名称的合格产品的安装服务。2. 招标范围1.1 主要范围：CA电子认证系统项目采购与安装。包括相关硬件和软件购置、安装、调试及其售后服务等。投标报价包括项目第一期报价（包括软件费、硬件费、管理费等一切费用）、项目第二期报价（包括软件费、硬件费、管理费等一切费用）、时间戳服务器报价。3. 合格的投标人22.1 具备独立法人资格的企业法人，企业注册资金不低于500万人民币，具有良好的商信誉和健全的财务会计制度、具有履行合同所必需的设备和专业技术能力、有依法缴纳税收和社会保障资金的良好记录，在经营活动中没有重大违法记录，法律、行政法规规定的其他条件。2.2 投标人必须拥有工信部颁发的有效的电子认证服务许可证。2.3 投标人必须拥有国家密码管理局颁发的有效的电子认证服务使用密码许可证。2.4 投标人必须拥有国家密码管理局颁发的有效的电子政务电子认证服务机构。2.5 投标人必须拥有软件企业认定证书。2.6 投标人必须拥有质量管理体系认证证书。2.7 投标人必须是卫生部许可的卫生系统电子认证服务机构。2.8 外省投标人必须在武汉市具有办事处，具备固定办公场所和专业技术支持人员与客服人员。2.9 投标人必须对所有招标货物和服务投标，不允许只对其中一种或几种货物和服务投标。2.10 投标人只允许为独立法人，本项目不接受联合体投标。2.11 投标人须提供在全国三甲医院实施该信息系统项目的合同和验收证明（提供符合医院名单、联系人、联系电话、医院验收证明、合同首页复印件等）。4. 投标报价33.1 投标报价包括项目第一期报价（包括软件费、硬件费、管理费等一切费用）、项目第二期报价（包括软件费、硬件费、管理费等一切费用）、时间戳服务器报价；3.2 投标报价应完全包括招标文件规定的货物和服务范围，不得任意分割或合并所规定的分项；3.3 投标人根据上述规定所作分项报价的目的只是为了评标时对投标文件进行比较的方便，但并不限制招标人订立合同的权力；3.4 除有特别规定外，每个投标品目，只能有一个报价，招标人不接受有任何选择报价的投标。3.5 货物清单中的个人数字证书、设备数字证书、USBKEY数量可根据实施情况进行修改，所产生的费用可另签订补充协议。第二章 招标内容与要求一、项目背景为保障我院以电子病历为核心的医院信息化平台的业务安全，解决系统使用过程中身份认证、授权管理、责任认定等问题，确保电子病历系统具备法律性、公正性，规范医务人员对业务系统的操作，逐步实现无纸化办公，提高工作效率，依据卫生部发布的卫生系统电子认证服务管理办法（试行）及相关规范的要求，拟在我院建立一套CA电子认证系统。二、项目建设内容及要求27 CA电子认证集成27.1 集成目标1) 在目前卫生信息系统普遍使用的用户名/口令认证方式基础上，引入数字证书技术，建立基于数字证书的身份认证机制，确保系统访问控制的高安全性和高可靠性；2) 对卫生信息系统的重要操作环节和重要数据实现基于数字证书的数字签名功能，保护数据的完整性，并为后期纠纷处理及责任认定提供合法电子证据；3) 对卫生信息系统的敏感信息实现基于数字证书的数据加密功能，确保敏感信息在传输和存储阶段的安全性。27.2 集成要求1）第一期：需与我院LIS系统、PACS系统、心电系统、OA系统完成电子认证的集成工作。2）第二期：需与我院的电子病历系统 、HIS系统、体检系统完成电子认证的集成工作。27.3 集成内容卫生信息系统证书应用集成内容如下：1) 基于数字证书的身份认证证书登录认证过程中，应完成以下安全认证工作：a) 证书保护口令校验；b) 每次登录认证是基于随机数的签名和验证，防止重放攻击；c) 验证用户证书的信任链；d) 验证用户证书有效期；e) 基于最新的黑名单文件，验证用户证书是否被吊销；f) 验证证书信息是否在信息系统具有对应的用户账户及操作权限。在证书应用集成时，同时应实现用户安装和使用的方便性，如证书介质的即插即用功能。2) 数字签名和验证卫生信息系统中关键业务数据和操作的数字签名，应满足电子签名法以及其他相关政策法规规定的书面形式、原件形式及文件保存等要求，至少应包括数据原文、电子签名、可信时间等内容，并可在需要时查询、阅读、下载、验证，具备作为电子证据的真实性、可靠性和可验证性。3) 数据加密和解密数字签名可以和图章结合起来应用，实现电子签章功能，从而实现电子签名的可视化管理，方便用户查看、审阅和验证。4) 时间戳应用电子认证服务机构提供的时间戳服务应基于可靠的标准时间源，确保时间的准确和可信。28 证书服务保障体系建设建立我院的电子认证服务体系，从服务内容、服务模式、服务流程、服务保障等方面，设计符合我院特点的服务模式和流程等，方便证书发放和管理，满足我院实际业务需要。具体满足以下要求：1) 提供证书全生命周期服务，包括证书申请、发放、更新、吊销、介质解锁、丢失补办、损坏重办等服务内容，方便医院用户获取证书服务；2) 设计符合医院实际情况的证书信息收集和签章采集的工作模式与流程；3) 提供证书培训服务，培训方式、次数由院方根据电子认证业务推广计划酌情安排；4) 提供呼叫中心业务，实现高效便捷的人工服务；5) 提供证书在线服务，支持证书在线更新、在线解锁等功能，并在线提供证书基础知识教程、证书日常操作指南、证书常见问题解决手册等服务；6) 提供快速有效的证书保障服务，及时处理应急情况，保证医院业务的连续性；7) 提供灵活配置证书模版功能，支持自定义扩展项；8) 提供项目客户经理服务，明确职责，负责与院方的项目日常沟通、协调与处理；9) 提供对证书发放情况、证书状态等信息的查询与统计服务，满足院方日常管理需要。29 售后服务与技术支持要求提供完善的售后服务和技术支持方案，包括但不限于以下内容：1) 按照投标技术方案，提供应用安全支撑体系在医院信息系统中的集成技术支持服务；2) 所投标产品硬件产品质保期不低于叁年、CA证书载体质保期不低于一年，并说明质保期后的售后服务内容和收费标准；3) 在系统建设、使用、运维等过程中遇到问题时，需提供相应的技术支持与帮助；4) 在医院所在地需配备常驻的售后与技术保障团队，对于系统故障，要求提供快速响应机制，满足医院业务连续性要求；5) 提供全面、灵活的服务支持方式和手段，包括不限于网站服务、热线支持、邮件支持、现场支持等；6) 根据医院的业务特点和用户认知程度不同，提出系统而有效的培训方案。30 软硬件相关要求30.1 货物清单1）项目第一期序号招标货物名称数量主要技术参数或规格1个人数字证书800详见30.2 2设备数字证书4详见30.23USBKEY800详见30.24数字签名验签服务器2详见30.25电子签章系统1详见30.26系统集成第一期1详见30.22）项目第二期序号招标货物名称数量主要技术参数或规格1个人数字证书1700详见30.2 2设备数字证书3详见30.23USBKEY1700详见30.24系统集成第二期1详见30.23）时间戳功能序号招标货物名称数量主要技术参数或规格1时间戳服务器1详见30.230.2 货物技术参数及要求投标人所投产品至少应包括下述产品，产品具体指标上应满足如下要求：1) 个人数字证书序号功能指标1标识个人用户网络身份。2符合卫生部卫生系统数字证书格式规范（试行）。3符合卫生部卫生系统电子认证服务规范（试行）。4证书格式标准遵循x509v3标准。5支持存放介质：智能USBKey。6支持自定义证书扩展域管理。2) 设备数字证书序号功能指标1标识设备网络身份。2符合卫生部卫生系统数字证书格式规范（试行）3符合卫生部卫生系统电子认证服务规范（试行）4证书格式标准遵循x509v3标准。3) USBKEY序号功能指标1符合卫生部卫生系统数字证书介质规范（试行）2USB Key为标准USB 1.1设备，支持USB2.0接口3USB Key支持PC/SC驱动，支持智能卡登录4USB Key带LED状态指示灯，能够进行通讯状态指示和电源指示5数据存储时间不小于10年，可擦写50万次以上；平均故障间隔时间（MTBF）4000小时；工作温度：0 - 40，工作湿度：25%-80%，贮存温度：-10 - 55，贮存湿度：95%（40）6USBKey容量=64K字节,CPU:=8位7USB Key自身的安全要求：具备完善的PIN校验保护功能, PIN码传输必须经过加密处理8USB Key内应至少支持建立三级应用；支持多应用，各应用间相互独立；支持多种文件类型9支持国密局的SSF33算法，SM2，以及标准的DES、RSA、SAH-1、MD5等加密算法序号非功能性指标1USBKey内部硬件支持RSA密钥对生成算法，密钥对必须在USBKey芯片内部生成，私钥在任何时刻都不得以任何形式出现在芯片外部，生成1024位RSA密钥对平均时间5秒；2数字签名和验证时间50kbps，RSA解密速度30kbps4存储要求a)公私钥对=2个，b)必须在提供保护口令前提下才能访问密钥5证书的装载、更新、文件读写符合中国金融集成电路（IC）卡规范中各种安全保护机制；6支持硬件真随机数发生器4) 时间戳服务器序号功能指标12个千兆网口；2提供符合国际标准（RFC3161） 和RFC2630的时间戳签发与验证功能；3支持系统配置备份恢复；4支持日志记录；5提供C、COM 、Java 等主流开发API；5) 数字签名验证服务器序号功能指标所投产品须满足卫生部电子认证服务相关技术规范提供Pkcs1/Pkcs7 等对多种格式数据的数字签名和验证功能，支持RSA算法。提供文件数字签名和验证功能, 支持对文件进行MD5、SHA-1等方式的数字摘要后在进行签名。提供证书验证功能，支持对X.509 Version 3、PKCS系列证书的DER和PEM格式的应用与验证。提供数据加密、解密功能，支持数字信封加密，支持DES、3DES算法。提供CRL的证书有效性验证，CRL更新配置可自动定时进行。服务器证书管理：实现对业务系统服务器端密码设备及服务器证书进行配置与管理，可生成服务器证书申请文件。信任源管理：可同时配置多条证书链，验证不同CA的用户证书。动态黑名单管理：可自动更新CRL黑名单、动态更新，不需要重新启动服务。安全存储：基于密码技术构建安全存储区，用于对可信根证书及黑名单文件进行分类安全存储，防止非法操作。序号非功能指标1提供备份恢复功能，可通过界面备份当前所有配置，保证系统瘫痪时的快速恢复2提供日志记录，可将日志以syslog的方式发送到指定服务器3支持双机、负载均衡4提供C、COM 、Java 等主流开发API5签名能力：不少于1500次/秒，签名验证：不少于3000次/秒6适用环境：千兆环境，并发用户多7支持性能扩展，提供增加硬件加密引擎或并行负载扩展方式序号产品规格要求1设备高度3U2物理参数500*430*1323网络接口2x1000M4电源指标2个560W工控电源5工作温度0C-45 C6工作湿度5%-95% RH，不凝结6) 电子签章系统序号功能指标1支持第三方CA机构签发的数字证书2提供基于Web界面的电子印章的制作和管理功能，提供日志审计功能3支持电子印章图片写入证书存储介质中，并与证书绑定4支持自动生成电子印章图片，或支持采集的手写签名5支持对多种文档格式如wordexcelhtml等的电子签章，实现数据完整性保护，确认签章者身份6提供电子签章中间件，满足C/S、B/S环境的电子签章集成7支持原文、印章图片、数字签名的绑定，能够防止篡改7) 系统集成序号系统集成要求1与医院包含EMR、HIS、LIS、PACS、心电系统、OA系统、体检系统等业务系统进行无缝连接，本标包含投标人所需相关集成费用，今后院方再有其他集成需求，不得再收取任何费用。院方有义务和权力参与系统集成等事宜。15第三章 招标文件格式附件一投标文件封面格式武汉市中心医院CA电子认证系统项目投标文件项 目 名 称： 项 目 编 号： 投标人（盖章）： 法人授权代表（签字）： 日 期： 年 月 日附件二投标函致： 根据贵方_ _项目招标采购的投标邀请，签字代表_ （全名、职务）经正式授权并代表投标人 _ _（投标人名称、地址）提交下述文件正本 份和副本 份。（1） 开标一览表；（2） 投标分项报价表；（3） 投标货物清单；（4） 技术规格偏离表；（5） 商务条款偏离表；（6） 按招标文件投标人须知和技术要求提供的有关文件；（7） 资格证明文件；据此函，签字代表宣布同意如下：1.所附开标一览表中规定的应提供和交付的货物投标报价为:(1)项目第一期人民币 元。(2)项目第二期人民币 元。（3）时间戳服务器人民币 元。2.投标人将按招标文件的规定履行合同责任和义务。3.投标人已详细审查全部招标文件，包括修改文件（如有的话）以及全部参考资料和有关附件，我方对此完全理解并同意放弃对这方面有不明及误解的权利。4.本投标自开标日起有效期为 个日历日。5.投标人同意提供按照招标人可能要求的与其谈判有关的一切数据或资料。6.与本投标有关的一切正式往来通讯请寄：地址： 邮编：_ _电话：_ _ 传真： 投标人授权代表签字：_ _ 投标人名称（公章）：_ 附件三开标一览表1项目名称2投标人名称3投标报价（元）（1）项目第一期人民币 元。（大写： ）（2）项目第二期人民币 元。（大写： ）（3）时间戳服务器人民币 元。（大写： ）4其他费用5交货地点6交货时间7工期(日历日)8付款方式9质保期10备注说明：（1）所有价格均系用人民币表示，单位为元，除非招标文件中另有规定，精确到个数位。（2）投标人必须按此表格式中的对应栏目内容填写，若需增加栏目，请在栏目“备注”中填写，并作详细说明。（3）为了便于唱标，请各投标人将开标一览表单独密封装在信封。 投标人授权代表签字：_ 投标人（公章）： 附件四法人代表授权书本授权书声明： （投标人名称）法人代