XX公安“免证速办”项目——100项政务服务事项免证办建设需求.docx

XX公安“免证速办”项目一一100项政务服务事项免证办建设需求一、建设背景略。二、建设内容以省厅XX电子证照框架为依托，建设的“免证速办”平台，作为社会共治平台的基座，主要建设内容包括：态势感知体系建设：配备安全接入网关，逐渐推广桌面式及手持式人证核验设备，以完善政务服务态势感知体系。感知运营体系建设：政务网端建立感知运营中心，实现对人证核验一体机、手持核验机等泛感知设备的接入。确保设备接入符合数据采集、传输和应用规范,并具备鉴权、数据准入和加密传输等功能。并提供身份认证功能模块，包括新设备经过鉴权后调用实人核验功能的管理，同时，提供标准数据接口，为政务服务提供便利。免证速办资源池建设：依托地方大数据治理平台和公安部数据治理标准，整合人员、行为、点位、设备和轨迹数据，形成免证速办数据资源池，为实战应用提供数据支持。业务应用建设：依托公安部一所社会共治平台的身份认证、身份识别、全国关注人员预警、数据加密传输等能力，在公安网内建设超感融合中心、超感态势中心、数据驾驶舱功能等功能以及完成最多跑一次适应性改造，实现一所能力的实战应用、感知数据资源的汇聚分析和接口能力的审计。.三、建设内容(一)硬件设备序号名称技术规格单位数量1安全接入网关(互联网)一、硬件规格：1 .高度：2U机架式；2 .CPU规格：2颗CPU,14核28线程，2.4G；3 .内存规格：32G；4 .硬盘：4T；5 .接口规格：IjCONSOLE口，2USB口,设备板载2个IGE电口，2个IOGE可适应光口；6 .PCI-E加密卡:SJK1828V2.0、62XI-C卡;7 .模块：2个万兆光模块；8 .额定功率:550W；额定电流：7-3.5A/8-4A；额定电压：100-240V；电源：冗余双电源；二、性能指标：SM2；签名性能1500TPS/s(稳定业务连接的情况下)；验签性能13000TPSs(稳定业务连接的情况下)；三、软件功能：1 .部署模式：支持串联部署，通过串连方式签名验签、并进行安全防护。2 .签名验签(1)国密算法:SM2、SM3、SM4；(2)国际算法：RSA、AES>SHA256>MD5；(3)数字签名：支持SM2/RSA算法,支持PKCS#7格式；(4)数字验签：支持SM2/RSA算法,支持PKCS#7格式；台2数字信封：支持对数据制作数字信封，信封结构符合PKCS#7标准；支持解密符合PKCS#7标准的信封结果；(5)证书申请：支持机构证书的申请及详情展示。可下载机构证书申请文件到本地。可对申请执行重新申请操作，操作时自动填入历史申请信息；机构证书申请记录的导出，导出格式支持CSV；呈现当前网关设备所支持的机构证书详情。支持针对已冻结的证书进行申请解冻操作；支持机构证书申请表文件的导出。(6)身份认证查询身份核验业务查询加签：系统支持业务加签，对身份核验查询消息，先加密(使用基础设施的公钥加密)，后签名(业务应用的私钥签名)，实现加签后再转发该业务查询。身份核验业务查询验签：系统支持业务验签，可使用网关中存储的验签证书的SN、CN等信息验证业务查询里的机构证书是否可接入基础设施；可使用根证书，验证证书可靠性、有效期等；用机构证书自身的公钥、验证其私钥签名的正确性。以上信息匹配且正确则转发该业务查询。支持统计客户端业务查询详情，包含最后查询时间、证书所有者、证书序列号、查询次数、成功/失败次数等。3 .零信任接入(I)SPA密钥：支持接收可信接入控制系统的SPA密钥派发、更新，支持国密算法。(2) SPA认证：支持作为零信任客户端，向国家网络身份认证公共服务平台发送SPA密钥进行单包认证，进行管理通道和数据通道的建立。4 .安全网络通道安全通道：支持与国家网络身份认证公共服务平台之间建立TLS安全网络通道，确保从客户侧到服务侧的业务数据在网络中保密性和完整性。5 .安全防护策(I)Web蜜罐：支持通过设备自身携带的蜜罐伪装策略，对可能遭受的非法扫描和恶意试探行为进行诱捕预警。(2)入侵防护：支持网络入侵检测和防护，可设置动作为通过、阻断或封禁，并可设置封禁时长。(3) DDoS攻击：支持针对管理通道和业务通道分别配置DDoS防护策略。(4) IP黑白名单：支持配置全局IP黑名单、全局IP白名单，在业务处理之前对报文进行判断，丢弃或放行。(5)访问控制策略：支持对匹配了策略源地址、目的地址、协议类型、目的端口的流量，进行阻断或放行；可配置该条策略的优先级、过期时长等。6 .统一监管(1)接受管理端的统一监管：接收可信接入控制系统的策略指令，包含网关系统升级、补丁升级、特征库升级、网关证书发放和更新以及业务模式变更等命令；支持接收可信身份接入控制系统下发的签名机构证书文件，及冻结、解除冻结等操作命令；支持接收可信身份接入控制系统下发的验签业务信息；支持接收可信接入控制系统下发的网关零信任认证密钥、或密钥更新信息。(2)上传日志信息：同步业务查询日志、安全防护日志信息给可信接入控制系统统一管理和分析，包含入侵防护日志、DDoS日志、Web蜜罐日志、IP黑白名单日志、业务查询统计信息等。7 .系统管理(1)网关代理：支持网关代理能力，可代理国家网络身份认证公共服务平台地址。(2)系统状态：支持系统状态监控，包含CPU使用率、内存使用率、硬盘使用率以及各接口实时流量状态等。(3)网关证书：支持网关证书的在线申请、离线申请、证书导入等；设备证书中需包含签名证书、加密证书；支持SPA-KEY信息展示。(4)版本升级：支持系统、补丁、规则库版本可从本地或者FTP服务器升级，支持规则库在线升级。(5)配置备份：支持配置手工备份、自动备份，支持导入备份文件。(6)诊断：支持在线抓包,ping,traceroute>telnet>一键诊断等运维工具。7 7)SNMP：支持标准的SNMP管理，兼容VI、V2、V3版本(8)集中管理端：配置接入集中管理端IP、端口，集中管理端需包括可信接入控制系统、日志服务器、文件服务器。8 .日志报表(1)业务查询：支持记录客户端业务查询日志，包括成功和失败查询，以及失败查询原因。(2)证书管控：支持记录证书管理日志，包含网关证书中请日志、机构证书的管理及申请日志等。(3)设备监管：支持记录设备监管日志，包含系统管理、设备配置、升级管理日志等。(4)安全防护日志：支持记录各类安全防护日志，包含入侵防护日志、DDoS日志、Web蜜罐日志、IP黑白名单日志等；支持对安全防护日志按照源IP进行聚合。(5)日志上报：支持通过国密加密隧道上报日志到管理系统。2安全模块一、硬件规格1 .2U机架式2 .工作电源：双路电源。交流输入：100-240V,6050Hz,7-3.5A直流输入：240V,3.5A3 .功耗:280W4 .网络接口:RJ-45101001000Mb*25 .工作协议:TCP/IP6 .平均故障间隔时间:50000小时7 .工作温度:10oC-50oC8 .非凝结的工作湿度:5%-85%9,存储温度:0-6010.非凝结的存储湿度:5%-95%二、性能指标SM2Pl签名/验签（次/秒）：16000/16000SM2P7签名/验签（次/秒）：16000/16000三、产品功能L多应用支持：安全服务器可支持不同应用的证书及对应密钥的生成及存储；2 .多信任域支持：支持配置不同的证书信任域，证书验证策略支持配置不验证、根证书、CRL.OCSP等多种验证策略；3 .数字签名/验证：安全服务器可提供基于SM2算法的PKCSftl签名/验证、PKCS#7Attached签名/验证、P7Detached签名/验证功能；签名格式符合PKCS#7、GM/T0010等标准中定义的数据类型；4 .数字信封加密和解密：安全服务器可提供基于SM2算法的数字信封加密、解密功能，数字信封格式符合PKCS#7、GM/T0010等标准中定义的数据类型；5 .权限控制：安全服务器可提供管理员、审计员、操作员台1多级权限，对设备的不同管理操作需不同管理人员登录，从而具备相应的管理权限。6.访问控制：安全服务器可提供IP白名单、连接口令等访问控制功能；支持GM/T0019国密标准规范接口；支持与国密SDF接口功能对等的HTTPReSt接口采用国密SJK1727型加密卡；兼容全国人像业务系统使用的密钥体系、密钥管理系统和PKl系统（二）系统功能2.1 感知运营中心2.1.1 设备管理2.1.1.1 设备标准接入提供设备标准接入能力，非视频类感知设备统一提供数据标准接入，视视频类感知设备统一提供多协议设备接入。非视频类感知设备统一提供数据标准接入，各品牌各品类设备按照准入规范进行转换接入。视频类感知设备统一提供多协议设备接入，屏蔽底层协议差异，根据不同品类的设备，进行标准化接口与事件封装，提供千万级物联感知设备结构化数据接入能力。2.1.1.2 场景绑定支持新增接入的设备与场所绑定功能。支持场所的解绑与换绑。2.1.1.3 设备运营设备运营功能负责管理所有接入感知设备，用于收集、处理和分析各种数据和信息。提供设备的状态监测、设备信息查询、设备管理、设备异常预警等功能。设备状态监测：对设备的运行状态进行监测。设备信息查询：可通过名称、序列号、场景地点名称等进行查询。设备管理：设备新增、设备编辑、设备删除、场景绑定等操作。设备异常预警：当设备运行异常时候，提供预警功能。2.1.1.4 设备鉴权提供设备鉴权功能，设备鉴权通常包括以下步骤：设备注册：设备需先在感知运营中心注册，平台记录设备的唯一标识符。设备验证：设备在接入平台之前，需要提供有效的身份验证凭据进行验证,以确认设备的身份和权限。授权访问：通过身份验证的设备，系统会授予相应的访问权限，可以限制设备对系统的操作和资源的访问范围。2.1.2 场景管理场景管理是根据政务场景、医疗场景等不同场景的特点和需求进行定制化设计，合理规划和执行场景化数据管理，为相关决策和创新提供有力支持。包括场所信息管理与场所设备管理。场所信息管理：对场所信息提供新增、编辑、删除、修改等功能。场所设备管理：对场所绑定的设备提供新增绑定、解绑、修改等功能。2.1.3 统计分析提供统计分析功能，统一展示感知设备运营态势。包括总设备数、场景设备数、访问量、不同类型设备占比分析、设备异常分析等。1.1.1.1 场所概况展示该场景下，设备的整体情况，包括总数、接入数、接入率等。其场所概况体现了现代化、高效化和安全化的特点。通过对其地理位置、设施配备的详细描述，可以更好了解该中心的整体情况，为未来的规划和发展提供有力支持。1.1.1.2 工作监督提供整体互联网端设备总数、接入数、接入率等。整体互联网端设备总数、接入数和接入率等指标在评估场景服务能力具有重要作用。1.1.1.3 设备类型统计分析前端设备作为感知运营中心数据采集基础，其类型多样。通过对这些设备的数量、分布以及使用进行统计分析，便于了解不同区域或场景下的设备配置是否合理，以及哪些设备类型在实际应用中表现更为出色。1.1.1.4 设备异常预警统计分析对设备异常情况进行统计分析，包括异常类型、时间、地点等信息。通过对设备异常预警数据进行深入的分析，我们可以更好地了解设备的运行状况，及时发现并解决潜在问题，从而确保整个系统的