1、增加身份认证机制和数字签名机制,保障清算业务系统安全。要为清算业务系 统提供安全保障,需要满足以下安全目标: (1) 网络传输安全性:各级清算中心、清算组以及网点之间的业务数据传输 需要经过 X.25,DDN,PSTN 等多种公共网络,网络本身存在的安全漏洞 会对业务数据的安全性造成威胁。如恶意攻击者通过网络窃听技术造成 信息泄露,通过地址欺骗技术造成正常的业务数据被冒用和劫持等。 (2) 报文数据完整性:即在清算系统的各级清算中心、清算组以及网点之间 的业务报文数据生成及传输过程中,不能未经授权而被修改。 (3) 权限控制及制约性:与清算系统运行过程相关的每个业务人员的操作权 限都应有明确的
2、划分和严格的控制,并能相互制约。 (4) 业务行为抗否认性:任何清算业务活动应留有充足的记录,指明该业务 活动的授权、结果和所涉及人员 。并能用技术手段保证清算系统业务活 清算网络安全方案建议书 第 6 页 共 22 页 北京北大青鸟商用信息系统公司 动操作人员无法否认自己所进行过的活动。 (5) 运行环境安全可靠性:与清算系统相关的硬件资源(主机、服务器、网络 设备)、软件资源(操作系统、应用系统)、操作人员的安全可靠性问题。 (6) 业务系统间连接安全性:与外行及行内其它业务系统联接时的安全问题。 二、总体方案设计二、总体方案设计 21 设计原则设计原则 在分析了清算网络拓扑结构和清算业务
3、系统的特点,看到现有安全机制不 足以及提出针对现状的一些安全考虑之后,我们为清算网络安全解决方案的设 计制定了以下原则: (1)提供一体化的安全解决方案; (2)基本不对现有系统性能产生负面影响; (3)大幅度地提高业务系统的安全性和保密性; (4)尽量减少业务系统因采用新的安全方案带来的开发工作量; (5)加/解密、加/合押、数字签名全部由硬件实现; (6)安全产品应具有合法性和自主性; 22 设计思路设计思路 在设计具体的安全方案之前,我们需要分别考虑各级清算中心之间进行清 算数据传输的特点和要求,这里既有相同点,又有不同点。 相同点体现在: (1)各级清算中心之间进行严格的身份认证; (
4、2)每一笔业务都要有据可查,日志信息要真实准确; (3)清算数据需要加密/加押/加签后传输,整个过程全部由硬件实现,算 法强度遵从国家密码委员会办公室的要求; 清算网络安全方案建议书 第 7 页 共 22 页 北京北大青鸟商用信息系统公司 (4)处理过程不会对整个业务系统的性能造成较大的负面影响; 因为有这些相同点的存在,方案中我们为各级清算中心设计了相同的加/解 密、加/合押、身份认证、数字签名的机制。 不同点主要体现在两个方面: (1)业务流量不同。总清算中心与一清算级中心之间、一级清算中心与二 级清算中心之间的数据流量远远大于二级清算中心与清算组之间的数 据流量。例如总清算中心的业务流量
5、平均为 5 万笔/天、清算组的业务 流量平均为 560 笔/天。 (2)不同的清算点的清算主机类型及型号不同。例如总清算中心和一级清 算中心的主机采用 HP9000 系列小型机,二级清算中心和清算组的主 机大多采用 PC 服务器或 PC 机 。 在方案设计上,我们将根据各级清算中心的业务流量和处理能力进行不同 的配置,以适应各级清算中心的实际需求。 所以我们整个方案的设计分为两部分: (1)加/解密、加/合押、身份认证、数字签名机制实现方案设计; (2)各级清算中心安全产品配置方案设计 三、加解密、加合押、身份认证、数字签三、加解密、加合押、身份认证、数字签 名机制实现方案名机制实现方案 遵循
6、提供一体化安全解决方案和大幅度地提高业务系统的安全性和保密性 原则,我们对加/解密、加/合押、身份认证、数字签名机制的具体实现进行详细 设计。本方案中提到的各种机制适合总行与各级分行、支行。 提供业务安全主要使用到的技术有: (1)加/解密技术 对数据加密后传输,可以防止数据泄露,提供数据保密性。 清算网络安全方案建议书 第 8 页 共 22 页 北京北大青鸟商用信息系统公司 (2)加/合押技术 对数据加押后,可以防止数据被篡改,保证数据完整性。 (3)身份认证技术 身份认证是实现存取控制和审计的基础,好的身份认证机制可以保证 用户身份的真实性,抵制身份伪冒攻击。 (4)数字签名技术 数据传输
7、过程中需要增加数字签名,验证发送者的身份。 这四种技术的使用配合使用。在下面方案的设计中我们将这四种技术融会 贯通,结合使用,提供了很强的安全保障。 31 方案论述方案论述 该方案将密钥分为三种:主密钥 K_M、身份认证密钥 K_C、工作密钥 K_W。 其中只有主密钥 K_M 是固定的,身份认证密钥 K_C 和工作密钥 K_W 均是在 实际业务处理时生成的,每次身份认证和数据传输使用的密钥都是不相同的, 每日的工作密钥在签到后加密下发,从而实现了 Challenge/Response 方式的身 份认证和一次一密的机制。本方案的特点是:使用主密钥进行身份认证;公钥 不参与认证;在线更改主密钥;公
8、钥以最小使用概率出现;认证速度大大加快。 具体业务流程设计如下: 场景:场景:下级行业务主机向上级行业务主机签到,之后进行业务数据的传输。 要求:要求:签到时上级行需要认证下级行的身份,认证通过后业务数据加密传 输,传输内容需要带有数字签名。 前提:前提:下级行在硬件加密卡中保存自己的主密钥 K_M,上级行可以根据下 级行的 ID 得到保存在本地硬件加密卡中的下级行的主密钥 K_M。 流程:流程:(见下图) 清算网络安全方案建议书 第 9 页 共 22 页 北京北大青鸟商用信息系统公司 32 安全性分析 上面的安全方案有以下四个优点: (1)Challenge/Response 身份认证机制
9、下级行每次向上级行签到时,上级行生成的认证密钥 K_C 是 Challenge,下 级行发回的使用 K_C 加密的认证信息是 Response。每次签到进行的身份认证不 同,可以防止恶意攻击者在合法操作员完成正常的身份认证之后,截取该次身 份认证的内容,伪造该合法操作员的身份,即抵制重复攻击。 (2)一次一密的加密机制 ENC(K_C+ENC(K_W/K_C)/K_M) 上上级级清算中心清算中心 根据下级行 ID 查找本地主密钥表,得 到该下级行主密钥 K_M; 产生身份认证密钥 K_C 和工作密钥 K_W; 用 K_C 加密 K_W,得到 ENC(K_W/K_C); 用 K_M 加密 ENC
10、(K_W/K_C)和认证密钥 K_C,得到 ENC(K_C+ENC(K_W/K_C)/K_M), 向下级行发出认证请求; 验证下级行发送的认证信息 ENC(K_W/K_C)的合法性。合法,进行业务 数据的传输。否则,记录下级行 ID,拒绝 该次认证请求; 使用工作密钥 K_W 实现业务数据的加解 密和签名。 业务请求+ID ENC(K_W/K_C) 加密业务数据+ 数字签名 下下级级行清算中心行清算中心 提出业务请求,发送自己的身份 ID 用 K_M 解开认证请求,得到认证密钥 K_C 和 ENC(K_W/K_C),然后使用 K_C 解 密得到工作密钥 K_W; 发送身份认证信息 ENC(K_
11、W/K_C)到上 级行; 使用工作密钥 K_W 实现业务数据的加 解密和签名。 清算网络安全方案建议书 第 10 页 共 22 页 北京北大青鸟商用信息系统公司 每次签到后会使用不同的工作密钥进行传输,这样可以防止恶意攻击者在 破解了前一个工作密钥之后对以后的业务数据造成威胁。 (3)数字签名密钥一次一密 数据传输过程中需要增加数据签名,保证数据传输的完整性和识别、证实 发送者身份。方案将工作密钥作为签名密钥使用,所以签名密钥可以作到一次 一密,可以防止恶意攻击者在破解了前一个签名密钥之后对以后的业务数据造 成威胁。 (4)密钥管理简单 建行业务是两级业务,上级行只需要保存其下属下级行的主密钥
12、。身份认 证密钥和工作密钥(数据加/解密和数字签名)是在实际需要认证和传输数据的 时候生成的,不需要预先保存。 3 32 2 安全性分析安全性分析 为了提高安全性,还需要注意三个问题: (1)密钥的安全分发与存放 密钥(主密钥、公钥/私钥)的安全性非常重要,因为它是保证身份认证密 钥和工作密钥安全的基础。对于建行二级业务结构而言,密钥分发分为以下几 步: 上级行产生下级行的公钥/私钥,存放在 IC 卡中,使用 IC 卡口令 的 HASH 值保护加密后,下放到各个下级行中; 下级行主机所带加密校验卡通过外带 IC 读写器将卡中公钥/私钥读 到加密校验卡中存放。该过程需要下级行操作员知道 IC 卡
13、的口令 才能进行。 主密钥由利用下级行公钥保护传输、在线更换。只能有和所用公钥 相对的私钥才能解密。 (2)身份认证密钥和工作密钥的随机性 身份认证密钥和工作密钥实际上是随机数,保证产生随机数的随机性非常 重要,否则攻击者按照随机数产生的规律性伪造合法的密钥。加密校验卡中的 噪声源用来产生随机数,随机数的产生会用到加密校验卡当前状态,时间,系 清算网络安全方案建议书 第 11 页 共 22 页 北京北大青鸟商用信息系统公司 统状态等信息,这种产生随机数的方式因为有硬件加入带来了良好的随机性。 (3)加密算法电源1+1冗余热插拔10A输入电源,2根可支持GB2099.3标准的电源线。DVD-RO
14、M 软驱USB键盘 USB鼠标 每台各1个,配齐导轨,要求整机2U高度PC机架式服务器。3机架服务器CPU1颗IntelXeon DP四核 5420(2.5G-2*6M L2 Cache,1333MHz FSB)15三年保修(免费上门更换硬件,软件升级365*7*24服务,故障响应时间为4小时,并在8小时内提出解决方案,如果48小时内无法解决硬件故障,必须向用户提供不低于原性能的备用机。终身维修。(备份服务器,安装veritas)内存4GB(2G*2) Registered ECC DDRII 667 FBD内存 支持双通道内存读取技术,内存热备份技术硬盘2*300G 15K转 3.5英寸热插
15、拔SAS硬盘,做硬件级别的镜像。网卡双1000M自适应以太网卡电源1+1冗余热插拔10A输入电源,2根可支持GB2099.3标准的电源线。DVD-ROM 软驱 USB键盘 USB鼠标 每台各1个,配齐导轨,要求整机2U高度PC机架式服务器。15”液晶显示器一台。2存储与备份设备存储与备份设备序号名称数量说明1磁盘柜与硬盘11、配置双控制器。所有部件都冗余设计2、存储1TB可用容量,FC 15K硬盘,考虑到raid损耗,裸容量要求在1.3TB以上。3、支持与主机的FC SAN网络连接方式。4、每个控制器的CPU数量1;存储系统的CPU总数量2;。要求磁盘阵列中存储数据专用Cache2GB5、写C
16、ache必须镜像,支持读Cache和写Cache比例的在线调整,要求有Cache断电保护措施,保证缓存中数据不丢失;再次启动时将数据重新调入CACHE,保证数据的高可用性及一致性6、前端主机连接光纤通道数量4;所有端口速率4Gb/s7、后端磁盘连接光纤通道数量2。所有端口速率2Gb/s8、支持RAID 0、1、0+1、3、5、。9、三年原厂质保,提供原厂商服务承诺函原件2磁盘阵列增加HBA光纤卡(在本次招标服务器上使用)34GB3磁带库(备份)1光纤接口,配备一个LTO-4磁带机驱动器,配置远程管理单元,单个800G磁带格式,槽位10个,配置5盒LTO-4磁带,2盒清洗带,10M多模光纤电缆,
17、与本次招标中的备份服务器互连,要求备份速度50M/S。原厂三年现场技术支持与服务4光纤58根10米光纤线,要求兼容本次招标的存储、服务器以及磁带库。516口光纤交换机14GB,要求所有端口全部激活3、系统软件序号产品名称数量备注1Oracle10g 中文标准版10用户1新增2备份软件VERITAS1个服务器端,2个基于网络备份的客户端,(支持多平台),支持本次采购的服务器、存储以及磁带库。三年原厂免费升级,提供原厂商服务承诺书原件新增二、售后服务要求以上设备和软件全部要求提供原厂商3年的整机免费现场保修服务承诺,且维修响应时间要求为724小时。三、上述技术和售后服务要求为最基本要求,投标方只能
18、提高不能降低上述设备配置和服务水平。第四部分 开标与评标须知一、 开标1、时间:二零零捌年玖月拾陆日下午十三点。2、地点:杭州市秋涛北路1281号 八楼。3、招标方在上述时间和地点公开开标,投标方须派代表参加。4、开标时,招标方工作人员将查验投标文件密封情况,确认无误后拆封投标文件,进行公开唱标,唱标内容为各投标方投标文件正本中“开标一览表”内容,以及招标方认为合适的其他内容与记录。二、评标1、评标由招标方设立的本次招标项目评标小组负责。2、开标后即开始进行评标。3、评标程序:1)投标文件审查:开标后,评标小组就投标方投标文件进行审查、质疑、评估和比较,并对需投标方进一步确认或介绍、解释的内容
19、进行质询。询标期间,投标方授权代表须在现场负责解答相关事宜。2)综合评定打分:评标小组成员经过审查投标文件及内容质询后,对投标单位的方案、投标报价、性能描述、售后服务及资质等方面进行综合评价,并按下述第四点规定的各项评定内容和权重进行打分。3)评标结果审批:评标小组将评标情况、中标建议名单及理由形成评标报告,按本公司审批流程和权限上报审批确定中标单位。4、评标原则和规定1)投标文件不符合要求的或投标方不符和投标资格的,评标小组将直接确认为“废标”,并取消投标方资格。2)评标对所有投标单位采用相同的程序和标准进行。3)评标小组将保守投标文件中属于投标单位的商业秘密。4)评标小组要求投标单位就投标
20、文件中含义不明确的内容进行必要的澄清、说明或答辩时,投标单位必须当场或按评标小组规定的时间和形式给予答复,但不得对投标内容进行实质性变更。5)投标方不得干扰评标小组的工作,不得在最终评标结果公布前向评标小组成员询问情况,不得向评标小组成员赠送礼金、礼物或给予各种形式利益的承诺,否则将被取消本次及今后本公司一切招标项目的投标资格。6)投标单位不得相互串通报价,不得排挤其它投标单位的公平竞争,否则将被取消本次及今后本公司一切招标项目的投标资格。三、定标1、按本公司审批流程和权限由最终审批人审批确定中标单位。2、由杭州娃哈哈集团有限公司物资供应部签发中标通知书。3、结标结果由杭州娃哈哈集团有限公司在
21、官方网站()上公布,未中标单位恕不一一通知。评标小组不向落标方解释落标原因并不退还投标文件。四、评标标准:评标内容权重资质10性能35价格40服务15五、本次招标设立招标监督电话,投标方对本次招投标工作中存在的任何单位、人员旨在影响评标结果的活动均可通过拨打该监督电话进行举报。招标监督电话:0571-87880578(杭州娃哈哈集团公司总经理办公室)第五部分 附件附件一投 标 承 诺 书杭州娃哈哈集团有限公司:我们已仔细阅读贵司的杭州娃哈哈集团有限公司08130号招标文件,并完全理解。经认真研究,我们决定参加投标。特向贵司做出以下承诺:1、我们愿意遵照招标文件中的相关内容和合同条款以及其它一切
22、要求投标。2、我们愿意提供招标文件要求的所有文件资料,并保证这些资料均为真实、完整、有效和合法的。3、我们愿意接受并配合贵司对整个招标过程进行的管理,若我们在投标过程中有任何违反招标文件的行为,愿意按照招标文件的规定接受贵司的扣罚。4、如果我们中标,我们将严格履行招标、投标文件及双方签订的合同中规定的各项要求。5、如果我们有下述任一项行为的,我们愿意赔偿由此给贵司(或贵司关联公司)造成的一切损失:(1)我们提供的营业执照、原厂商授权证书等投标文件存在伪造、变造、虚假陈述等欺骗性内容的。(2)我们中标但不与贵司或贵司关联公司签订合同的。 6、我们将对贵方招标文件所涉及的贵公司商业秘密严格保密,不会以任何形式传播、泄露招标文件的内容以及最后的招标结果。特此承诺!我们的联系方式:投标单位:地址: 联系人:电话: 传真:法定代表人: 电子邮箱地址: