醫(yī)院密碼應(yīng)用安全性評估與整改項目需求

醫(yī)院密碼應(yīng)用安全性評估與整改項目需求（一）需求1.項目概況根據(jù)《密碼法》和GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，對腫瘤醫(yī)院HIS系統(tǒng)進行商用密碼應(yīng)用安全性改造，為系統(tǒng)提供完善的商用密碼支撐服務(wù)與保障體系，使得系統(tǒng)能夠更安全、穩(wěn)定地運行；同時，改造完成后，通過國家認(rèn)定的合規(guī)密評機構(gòu)的評測工作，并出具系統(tǒng)的密評報告；2．需求內(nèi)容序號需求內(nèi)容數(shù)量單位1國密門禁系統(tǒng)2套2國密視頻監(jiān)控系統(tǒng)2套3內(nèi)網(wǎng)綜合安全網(wǎng)關(guān)2臺4國密堡壘機2臺5數(shù)據(jù)庫加密機4臺6服務(wù)器密碼機2臺7簽名驗簽校驗機1臺8站點證書2張9密碼運營管理平臺1套10商用密碼適配開發(fā)1項11商用密碼應(yīng)用安全性評估1項3.需執(zhí)行的國家相關(guān)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及規(guī)范1）《2006-2020年國家信息化發(fā)展戰(zhàn)略》2）《計算機信息系統(tǒng)安全保護條例》3）《“十三五”國家信息化規(guī)劃》4）《商用密碼應(yīng)用安全性評估管理辦法（試行）》5）《商用密碼管理條例》（1999年）6）《網(wǎng)絡(luò)安全法》（2017年）7）《金融和重點領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018－2022）》8）《密碼法》（2020年）9）《電子簽名法》（2019年）10）GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求信息系統(tǒng)密碼測評要求（二）貨物需求一覽表序號配用密碼產(chǎn)品功能參數(shù)1國密門禁系統(tǒng)硬件參數(shù)要求：

系統(tǒng)包含國密CPU卡、國密門禁讀卡器、門禁控制器、密鑰注入器、門禁發(fā)卡器、PCI-E密碼卡等硬件設(shè)備及門禁管理系統(tǒng)、門禁日志審計系統(tǒng)和密鑰管理系統(tǒng)等軟件系統(tǒng)；

功能參數(shù)要求：

1)門禁用戶身份鑒別：國密CPU卡和國密門禁讀卡器，采用基于國密算法的對稱加解密技術(shù)，實現(xiàn)用戶身份鑒別；

2)門禁日志記錄完整性保護：使用PCI-E密碼卡(結(jié)合日志審計系統(tǒng)，保證兼容性)，采用基于SM3的HMAC技術(shù)，實現(xiàn)日志記錄的完整性保護；

3)身份認(rèn)證：支持卡、卡+密碼、卡+指紋、卡+人臉等多種身份認(rèn)證方式；

4)讀卡器密碼鎖定保護機制：當(dāng)用有效載體憑證但無效PIN的訪問次數(shù)超過設(shè)置值時，該載體憑證的訪問權(quán)限應(yīng)在設(shè)置的時間段內(nèi)被停用；如果無效PIN輸入次數(shù)只能使用制造商預(yù)設(shè)值時，可輸入次數(shù)應(yīng)不大于于5次；如果憑證停用的時間段只能使用制造商預(yù)設(shè)值時,應(yīng)不小于45s；

5)載體憑證密鑰量：載體憑證的密鑰量>2*106；

6)脅迫操作要求：輸入脅迫憑證的操作不能在脅迫觸發(fā)的地方產(chǎn)生可視或可聽見的信號；

7)控制器輸入信號處理：輸入信號為開關(guān)量時，應(yīng)能處理持續(xù)時間大于400ms的信號（如：開關(guān)量門狀態(tài)信號、REX作信號等）；

8)控制器時鐘要求：系統(tǒng)中含有計時部件的設(shè)備，其內(nèi)置的實時時鐘精度應(yīng)不低于每周±10s；

9)控制器自檢要求：ACU應(yīng)有自檢功能，對自檢結(jié)果給出通告；

10)門禁管理：支持用戶管理、卡片管理、人員管理、門禁管理、權(quán)限配置、數(shù)據(jù)同步與配置下發(fā)、實時監(jiān)控、日志查看、反潛、互鎖、聯(lián)動、多卡開門、遠(yuǎn)程開關(guān)門、時間段設(shè)置、假日設(shè)置等通用門禁管理功能；

11)日志記錄篡改告警提示：支持日志記錄篡改告警提示；

產(chǎn)品合規(guī)性要求：

1)符合GM/T0036標(biāo)準(zhǔn)要求，系統(tǒng)具備國密門禁系統(tǒng)類商用密碼產(chǎn)品型號認(rèn)證證書；

2)系統(tǒng)符合GB/T37078-2018二級標(biāo)準(zhǔn)要求（提供檢測報告）；

3)所包含的門禁管理系統(tǒng)、門禁日志審計系統(tǒng)和密鑰管理系統(tǒng)均具備第三方評測機構(gòu)出示的軟件產(chǎn)品登記測試報告；

4)具備國產(chǎn)操作系統(tǒng)產(chǎn)品兼容性認(rèn)證證書；

5)具備國產(chǎn)數(shù)據(jù)庫產(chǎn)品兼容性認(rèn)證證書；2國密視頻監(jiān)控系統(tǒng)硬件參數(shù)要求：

系統(tǒng)包含國密攝像機、國密NVR（內(nèi)置SATA密碼模塊）和PCI-E密碼卡等硬件設(shè)備和安全視頻加密系統(tǒng)軟件；

功能參數(shù)要求：

1)音像記錄機密性保護：國密攝像機和國密NVR采用基于SM4的對稱加解密技術(shù)，實現(xiàn)音像記錄機密性保護；

2)音像記錄完整性保護：國密NVR和PCI-E密碼卡(配合視頻加密系統(tǒng)軟件)，采用基于SM3的HMAC技術(shù)，實現(xiàn)音像記錄完整性保護；

3)音像記錄篡改告警提示：音像記錄被篡改時，輸出告警提示，同時畫面呈黑屏狀態(tài)，鎖定視頻回放功能；

4)監(jiān)控管理:支持視頻預(yù)覽、視頻回放、視頻錄像、聯(lián)動設(shè)置、日志查詢、設(shè)備管理、用戶管理、事件管理等通用監(jiān)控管理功能；

5)雙因子認(rèn)證：視頻加密系統(tǒng)登錄時，支持密碼設(shè)備PIN碼和口令雙因子驗證；

6)未插卡檢測：支持未插入PCI-E密碼卡時無法登錄，系統(tǒng)無法使用；

7)可支持利舊：可支持利舊使用攝像機；

8)生產(chǎn)一致性：為保證系統(tǒng)的兼容性，系統(tǒng)采用的內(nèi)置SATA密碼模塊、PCI-E密碼卡、視頻系統(tǒng)客戶端和服務(wù)端均為同一廠家生產(chǎn)；3內(nèi)網(wǎng)綜合安全網(wǎng)關(guān)硬件參數(shù)要求：

機架式設(shè)備，冗余電源，≧4個千兆光口、≧6個千兆電口，支持萬兆光口擴展；

功能參數(shù)要求：

1)算法支持，支持256位SM2公鑰密碼算法，支持RSA公鑰密碼算法；支持SM4和AES等對稱密碼算法，支持SM3、SHA256摘要算法；

2)協(xié)議支持，支持SSL、IPSec兩種安全協(xié)議；

3)支持國密雙證書體系，支持多站點證書功能和第三方簽發(fā)證書；

4)支持國密算法套件，并兼容國際算法套件；支持TLSv1.0/v1.1/v1.2/v1.3，同時支持國密標(biāo)準(zhǔn)SSL協(xié)議GMTLSv1.1；

5)支持創(chuàng)建多個SSL服務(wù)，保護HTTP、TCP不同的應(yīng)用服務(wù)；

6)支持RSAHTTPS以及SM2HTTPS管理端訪問，且支持同時啟用RSA和SM2在同一端口的HTTPS訪問；

7)支持創(chuàng)建SSLVPN服務(wù)并支持單雙向SSL配置，同時支持國密和國際證書策略，并支持國密與國際SSL算法套件及協(xié)議；

8)支持抗非法報文攻擊：包括支持通用非法報文、非法TCP報文、非法ICMP報文的檢測；支持抗系統(tǒng)掃描：包括Syn半開掃描、FIN、ACK掃描、圣誕樹掃描、NULL掃描、UDP掃描等；

9)支持多種協(xié)議的負(fù)載包括但不限于HTTP、HTTPS-RSA、HTTPS-SM2、TCP、TLS-RSA、TLS-SM2等協(xié)議；

10)支持SSL隧道端口復(fù)用配置，支持認(rèn)證數(shù)據(jù)傳輸隧道和業(yè)務(wù)數(shù)據(jù)傳輸隧道隔離、合并兩種數(shù)據(jù)傳輸要求；

11)支持IPSecIKE國密算法和國密協(xié)議；

12)支持隧道傳輸保障技術(shù)，包括IPSec分片技術(shù)、MTU探測修改技術(shù)，提高產(chǎn)品在復(fù)雜環(huán)境下的適應(yīng)能力；

13)支持使用軟件盤方式登錄虛擬門戶，且生成軟鍵盤內(nèi)容需要具有一定的隨機性；

性能指標(biāo)要求：

1）SSLVPN性能參數(shù)：RSA-2048吞吐≥9000Mbps、SM2吞吐≥7000Mbps；IPSecVPN性能參數(shù)：密文吞吐率≥2500Mbps；

2)終端用戶數(shù)量授權(quán)≥5000，最大并發(fā)隧道數(shù)≥10000；4國密堡壘機硬件參數(shù)要求：

軟硬件一體化產(chǎn)品，標(biāo)準(zhǔn)機架式設(shè)備，硬盤≥1T，內(nèi)存≥32G，配置≥4個100/1000M自適應(yīng)電口，雙電源；

功能參數(shù)要求：

1)支持以計劃的形式對Windows、linux、unix、網(wǎng)絡(luò)設(shè)備類資源的口令變更；

2)支持靜態(tài)口令、動態(tài)口令、數(shù)字證書綁定等多種認(rèn)證方式；

3)支持UKEYPIN碼、國密數(shù)字證書兩種組合的雙因子認(rèn)證；

4)設(shè)備自身集成一次性口令認(rèn)證服務(wù)器模塊，支持手機軟件程序APP；

5)可細(xì)粒度授權(quán),可根據(jù)協(xié)議實現(xiàn)對用戶和組的交叉授權(quán)；

6)可以基于用戶、用戶組、目標(biāo)設(shè)備、設(shè)備組進行授權(quán)；

7)系統(tǒng)提供授權(quán)功能，并支持對系統(tǒng)的用戶登錄進行可配置的策略設(shè)置，包括限制登錄IP、登錄時間段（可循環(huán)，如每周五8：00-18：00時）等，以確?？尚庞脩粼L問其擁有權(quán)限的后臺資源；

8)支持命令操作的黑白名單設(shè)置，命令權(quán)限控制規(guī)則應(yīng)支持正則表達式，并可以對命令的參數(shù)進行限制并記錄日志；

9)審計結(jié)果能夠以錄像重放方式展現(xiàn)，并支持根據(jù)時間、運維命令、進度條等方式進行定位回放；可以審計鼠標(biāo)鍵點擊操作（包括左、中、右鍵操作）；

10)能夠?qū)徲嬋坎僮餍袨?，包括vi和用戶shell菜單；

11)支持自定義BS類應(yīng)用通過應(yīng)用發(fā)布系統(tǒng)進行運維審計，例如數(shù)據(jù)庫管理客戶端、各種BS應(yīng)用系統(tǒng)及中間件等,并且能夠?qū)κ褂玫墓ぞ咴L問進行管理與控制，需詳細(xì)描述管理與控制力度；

12)應(yīng)用發(fā)布服務(wù)器應(yīng)為每個運維用戶創(chuàng)建獨立的windows普通用戶，每個用戶對應(yīng)單獨的用戶環(huán)境，不允許共用一個系統(tǒng)賬戶；

13)對自身全部操作進行詳細(xì)的審計，并可按關(guān)鍵字查詢和生成報表；審計結(jié)果具備較強的可讀性；

14)為保證日志存儲的安全性，會話日志必須先備份才可以刪除，不可以覆蓋；

15)系統(tǒng)支持事中告警功能；通過配置設(shè)置敏感操作策略，當(dāng)運維用戶操作這類命令，系統(tǒng)提供告警或者阻斷，以便審計員能重點關(guān)注,告警規(guī)則支持多條命令,告警規(guī)則正則表達式；

16)提供查詢界面，供用戶查詢某一命令或某命令的輸出；可組合時間、IP、用戶名、受管設(shè)備、運維協(xié)議等條件進行查詢；

17)提供初始化國密計算服務(wù)功能，可靈活選擇國密計算服務(wù)，即可以使用產(chǎn)品內(nèi)置國密資質(zhì)密碼卡；5數(shù)據(jù)庫加密機硬件參數(shù)要求：

機架式設(shè)備，≧雙電源,至少支持6個網(wǎng)口，至少支持2x擴展槽位，內(nèi)存:32G內(nèi)存，4T存儲空間；功能參數(shù)要求：

1、支持包括但不限于武漢達夢、ORACLE、SQLSERVER、MySQL、sybase、PostgreSQL、kingbase、oscar、db2、udal、greenplum、mongodb、redis、hive、rdsmysql、rdsmariadb、等數(shù)據(jù)庫；2、支持?jǐn)?shù)據(jù)庫字段級數(shù)據(jù)機密性和完整性保護；3、加密算法至少應(yīng)支持AES128、AES192、AES256等國際密碼算法，SM4國密算法；4.支持根據(jù)數(shù)據(jù)庫查看加密資產(chǎn)的信息，以表加密、列加密兩個維度查詢當(dāng)前的加密資產(chǎn)，并記錄所有加密的操作類型、操作結(jié)果、所用時長、操作賬戶；5、支持以下特殊數(shù)據(jù)類型和索引類型的加密正常讀寫、等值查詢和范圍查詢：BLOB數(shù)據(jù)、CLOB數(shù)據(jù)、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引等；6.支持離線加解密工具及加密信息記錄，記錄包括用戶名、郵箱、電話、加密內(nèi)容、加密地址等；對敏感數(shù)據(jù)文件加密，保障數(shù)據(jù)交換傳遞或備份安全，接收方需獲取授權(quán)并驗證信息后才可將密文數(shù)據(jù)解密使用；

7.支持在管理端推送安裝探針，支持對已安裝的探針進行監(jiān)控，至少應(yīng)包含IP地址、當(dāng)前狀態(tài)、已安裝的應(yīng)用、操作系統(tǒng)、運行時長、CPU占用情況等；8.從加密平臺中刪除被加密數(shù)據(jù)庫時，彈出解密引導(dǎo)，強制刪除時需通過數(shù)據(jù)庫賬號驗證；9.支持以圖形、列表等方式查看告警信息，告警信息應(yīng)當(dāng)包含告警時間、告警內(nèi)容、用戶IP、數(shù)據(jù)庫代理IP、事件等；性能指標(biāo)要求：

數(shù)據(jù)庫加密表實時查詢速率≥200000條/秒，數(shù)據(jù)庫加密表實時插入速率≥5000條/秒；

產(chǎn)品合規(guī)性要求：

1)投標(biāo)產(chǎn)品具備《商用密碼產(chǎn)品認(rèn)證證書》；產(chǎn)品具有信息技術(shù)產(chǎn)品安全測試證書；10、提供一套數(shù)據(jù)庫軟件，要求為集群架構(gòu)，分布式關(guān)系型數(shù)據(jù)庫架構(gòu)簡潔清晰，由存儲節(jié)點、計算節(jié)點和可視化管理平臺三部分組成，一套可視化管理平臺能管理多套計算節(jié)點集群及配套的存儲節(jié)點，支持從可視化管理平臺或命令行管理分布式關(guān)系型數(shù)據(jù)庫集群，部署架構(gòu)要求可視化管理平臺是旁路的、計算節(jié)點和存儲節(jié)點之間是串聯(lián)的；兼容Oracle數(shù)據(jù)庫/MySQL數(shù)據(jù)庫的SQL語法、內(nèi)置函數(shù)、數(shù)據(jù)類型、高級特性等功能，滿足通用的數(shù)據(jù)庫驅(qū)動程序JDBC/ODBC等、連接池C3P0、DHCP、DRUID等，能平穩(wěn)高效運行在國產(chǎn)處理器、國產(chǎn)服務(wù)器、國產(chǎn)操作系統(tǒng)、國產(chǎn)中間件的軟硬環(huán)境中；單個數(shù)據(jù)中心內(nèi)RPO等于0、RTO小于等于5秒，跨雙數(shù)據(jù)中心間RPO等于0、RTO小于等于30秒，可用性指標(biāo)要求達到99.99%、故障間隔時間要求超過24小時；提供滿足業(yè)務(wù)服務(wù)需要且不少于64個處理器核的軟件許可授權(quán)；10.1數(shù)據(jù)庫架構(gòu)能力，基礎(chǔ)要求是支持行業(yè)標(biāo)準(zhǔn)定義的水平分片表、垂直表、全局表，支持水平分片表橫向擴展提升數(shù)據(jù)存儲容量上限和數(shù)據(jù)服務(wù)處理上限的能力且線性系數(shù)不小于75%；提供數(shù)據(jù)庫架構(gòu)物理部署拓?fù)鋱D和邏輯部署拓?fù)鋱D功能，提供業(yè)務(wù)服務(wù)無感的水平分片表、垂直表、全局表之間的表類型變更功能；10.2數(shù)據(jù)正確能力，基礎(chǔ)要求是主鍵值/唯一索引值須滿足唯一約束，支持?jǐn)?shù)據(jù)分片鍵有關(guān)和數(shù)據(jù)分片鍵無關(guān)的主鍵值/唯一索引值的唯一約束功能，做到主鍵值/唯一索引值的全局唯一性；加分要求是提供數(shù)據(jù)唯一性監(jiān)測功能加1分、提供副本數(shù)據(jù)一致性監(jiān)測功能；10.3性能優(yōu)化能力，基礎(chǔ)要求是提供SQL語句執(zhí)行計劃、計算耗時等詳情及對比能力，支持自動識別出來性能體驗差的SQL語句及按SQL語句級、數(shù)據(jù)庫級、賬號級等自動留空確保數(shù)據(jù)庫集群性能體驗穩(wěn)定，支持自動收集信息評估及推薦性能體驗最佳的表對象的分片類型、水平分片表對象的分片鍵等，確保數(shù)據(jù)庫集群的訪問體驗最佳、運行穩(wěn)定可靠；加分項是提供架構(gòu)集群的數(shù)據(jù)分片評分功能、提供分片方案智能優(yōu)化功能、提供可視化SQL性能追蹤功能；10.4運維管理能力，基礎(chǔ)要求是提供基于可視化的管理平臺來收集查閱各類集群日志、審計日志等，提供預(yù)警告警功能、短信/APP通知/郵件等通知功能，提供可視化的首頁大屏拓?fù)?、統(tǒng)計報表、操作日志智能分析等功能；加分要求是提供集群運行網(wǎng)絡(luò)質(zhì)量可視化功能、提供集群邏輯拓?fù)漕A(yù)警可視化功能、提供數(shù)據(jù)閃回功能；6服務(wù)器密碼機硬件參數(shù)要求：

1）機架式設(shè)備，支持萬兆光口擴展，至少提供2個網(wǎng)絡(luò)端口，支持1+1冗余電源，支持交直流電源輸入；

功能參數(shù)要求：

1)算法支持：SM1、SM2、SM3、SM4國密算法；支持ECDSA，DSA國際算法；

2)系統(tǒng)同時支持WEB及CS管理方式，方便在不同場景下的產(chǎn)品使用；

3)密鑰生成：密碼機可提供各類型非對稱密鑰、對稱密鑰的生成功能；

4)密鑰存儲：密碼機內(nèi)可安全存儲各種類型的非對稱密鑰對、對稱密鑰；

5)對稱密鑰運算：密碼機可支持基于SM1、SM4、3DES、AES等算法的加解密功能；

6)非對稱密碼運算支持：SM2、RSA、DSA、ECDSA、SM9等的加解密運算；

7)數(shù)據(jù)摘要:密碼機支持SM3算法的數(shù)據(jù)摘要；密碼機支持SHA系列算法的數(shù)據(jù)摘要；消息鑒別碼的產(chǎn)生及驗證：密碼機支持基于SM1、SM4、DES/3DES、AES等算法的CBC-MAC的產(chǎn)生及驗證；

8)標(biāo)準(zhǔn)接口：支持基于GM/T0018《密碼設(shè)備應(yīng)用接口規(guī)范》標(biāo)準(zhǔn)封裝的SDK開發(fā)包；支持PKCS#11、JCE標(biāo)準(zhǔn)接口；

9)支持密鑰的生成、存儲、恢復(fù)、銷毀等生命周期管理操作，通過管理控制臺集中管理密鑰整個生命周期；

10)Web端支持對密鑰及系統(tǒng)配置等重要數(shù)據(jù)的備份/恢復(fù)機制，系統(tǒng)管理員可方便的在管理控制臺完成系統(tǒng)備份操作，可下載到本地進行妥善保存；

11)支持權(quán)限管理：支持根據(jù)三權(quán)分立原則劃分用戶角色及權(quán)限，包括管理員、審計員、操作員；

12)支持授權(quán)訪問：具有服務(wù)訪問白名單設(shè)置功能；

13)支持設(shè)備網(wǎng)口配置管理功能，可將網(wǎng)口設(shè)置為配置管理、主服務(wù)、兼容、聚合四種模式；

14)支持標(biāo)準(zhǔn)SNMP協(xié)議，可通過SNMP標(biāo)準(zhǔn)協(xié)議監(jiān)控密碼機的運行狀態(tài)；

15)支持基于三五門限安全機制的密鑰備份與恢復(fù)，且支持多版本備份恢復(fù)；

16)支持雙機熱備、負(fù)載均衡等高可用部署模式，提高服務(wù)的可靠性；

17)支持日志等級設(shè)置，可設(shè)置為DEBUG、WARN、ERR0R、FATAL四個等級，且支持通過數(shù)字簽名的方式實現(xiàn)日志數(shù)據(jù)完整性保護；18)設(shè)備可穩(wěn)定運行，不報錯，不卡死，內(nèi)存無泄漏，平均無故障時間大于30000小時；

性能指標(biāo)要求：

非對稱密鑰存儲容量：≥1024對，對稱密鑰存儲容量：≥1024個，SM2密鑰對產(chǎn)生速率：≥3500對/秒，隨機數(shù)生成速率：≥7Mbps，最大并發(fā)數(shù)：≥1000；7簽名驗簽校驗機功能參數(shù)要求：支持身份認(rèn)證配置：APP支持用戶名口令、短信驗證碼認(rèn)證等多種認(rèn)證方式，滿足電子認(rèn)證業(yè)務(wù)的安全合規(guī)性；2)支持上下級醫(yī)生簽名授權(quán)，上級醫(yī)師可選擇被授權(quán)醫(yī)師進行代簽授權(quán)，并簽署電子版授權(quán)委托書，授權(quán)委托書可后臺驗證；

3)用戶管理：支持內(nèi)部用戶管理對用戶的添加、修改、刪除、批量導(dǎo)入;支持用戶管理，支持查詢、刪除；

4)組織機構(gòu)管理：支持組織機構(gòu)的添加、修改、刪除；

5)密鑰管理：支持對協(xié)同簽名密鑰的生成、存儲、使用、銷毀等全生命周期的管理；

6)數(shù)字證書管理：當(dāng)醫(yī)護人員第一次登錄APP/微信小程序時，自動將證書下載至移動端，同時在管理端自動備份存儲證書；支持證書自動續(xù)期設(shè)置功能，可自定義證書續(xù)期時間，實現(xiàn)證書到期自動續(xù)期功能；

7)數(shù)據(jù)簽名：支持基于數(shù)字證書的可靠電子簽名功能，包括直接簽名、掃碼簽名、自動簽名、推送簽名；

8)授權(quán)簽名：支持上下級醫(yī)生簽名授權(quán)，上級醫(yī)師可選擇被授權(quán)醫(yī)師進行代簽授權(quán)，并簽署電子版授權(quán)委托書，授權(quán)委托書可后臺驗證；

9)支持授權(quán)查詢：查詢授權(quán)人與被授權(quán)人相關(guān)授權(quán)信息；

10)業(yè)務(wù)監(jiān)控：提供醫(yī)生簽名、患者簽名業(yè)務(wù)監(jiān)控功能，實時監(jiān)控簽名業(yè)務(wù)量，并以圖形展示統(tǒng)計結(jié)果；

11)支持證書簽發(fā)配置：在線證書簽發(fā)配置與離線證書簽發(fā)配置；

12)個人簽章圖片管理：支持簽章圖片自動生成、修改、審核個人電子簽章；

13)提供證書統(tǒng)計分析模塊，支持證書發(fā)放量、證書使用量的統(tǒng)計，支持按科室、時間等維度的業(yè)務(wù)量統(tǒng)計；

14)時間戳服務(wù)配置：通過web管理可配置時間戳服務(wù)地址，滿足時間戳服務(wù)的調(diào)用；

15)支持新增、修改、刪除等操作APP直接簽名支持在協(xié)同簽名APP中獲取待簽名任務(wù)直接完成簽名；

16)協(xié)同簽名系統(tǒng)基于SM2密鑰分割技術(shù)和協(xié)同簽名技術(shù)實現(xiàn)的簽名功能，具備私鑰存證、生成、使用、更新銷毀管理功能；

17)支持基于數(shù)字證書的個人電子簽名、掃碼簽章、網(wǎng)頁簽章、PDF簽章，簽章圖片配置支持移動端手寫簽名和管理端自定義；18)支持在統(tǒng)一頁面實現(xiàn)對用戶的集中管理，包括用戶導(dǎo)入、用戶新增、用戶照片和簽章圖片導(dǎo)入、單個凍結(jié)和批量凍結(jié)、單個刪除和批量刪除、批量導(dǎo)出等功能；

19)業(yè)務(wù)量統(tǒng)計管理：提供醫(yī)生簽名、患者簽名歷史業(yè)務(wù)量統(tǒng)計功能，支持按科室、執(zhí)業(yè)地點、醫(yī)生、時間等維度統(tǒng)計歷史業(yè)務(wù)量，并以圖形展示統(tǒng)計結(jié)果；

20)支持一人多設(shè)備、一設(shè)備多人的應(yīng)用場景；支持授權(quán)簽名：用戶只需要使用手機在PC端完成一次授權(quán)即可多次簽名，并可以關(guān)閉授權(quán)；支持推送簽名：用戶以推送的方式發(fā)起簽名，簽名者在手機端收到推送后直接完成簽名；；

性能指標(biāo)要求：

最大用戶數(shù)：≥1500；SM2協(xié)同簽名≥600TPS；

支持算法要求：

支持SM1、SM2、SM3、SM4算法；8站點證書（第三方機構(gòu)頒發(fā)）1)至少包含3年證書有效期；

2)支持RSA2048/SM2算法；

3)證書簽發(fā)機構(gòu)具備電子認(rèn)證服務(wù)資質(zhì)；9密碼運營管理平臺硬件參數(shù)要求：

機架式設(shè)備，≥16核處理器，≥32G內(nèi)存，≥4T存儲，2個千兆以太網(wǎng)口，1個獨立管理端口，1+1冗余電源；

功能參數(shù)要求：

1）支持指標(biāo)化形式標(biāo)化展示密碼設(shè)備的CPU、內(nèi)存等設(shè)備運行狀態(tài)和業(yè)務(wù)數(shù)據(jù)狀態(tài)，以及展示醫(yī)院當(dāng)前業(yè)務(wù)系統(tǒng)的商用密碼應(yīng)用安全性評估業(yè)務(wù)狀態(tài)；

2）支持通過SNMP、IPMI、JMX、HTTP/HTTPS、JDBC、PING、TELNET、AGENT等多種通訊協(xié)議采集密碼資產(chǎn)的運行狀態(tài)信息；

3）支持密碼資產(chǎn)信息的錄入和管理，實現(xiàn)對密碼資產(chǎn)信息的增加、修改、刪除、查詢以及統(tǒng)計；

4）支持告警動作觸發(fā)條件配置，提供設(shè)置單個觸發(fā)器觸發(fā)告警動作、提供設(shè)置多個觸發(fā)器聯(lián)合觸發(fā)告警動作；告警動作支持消息通知和告警上報，支持消息模板自定義配置；

5）支持工單功能，提供工單處理、工單歷史記錄查詢、統(tǒng)計、導(dǎo)出功能，提供工單故障解決通知功能；

6）支持實時監(jiān)控密碼設(shè)備運行狀態(tài)，設(shè)置閾值預(yù)警，當(dāng)監(jiān)測到通信等故障時進行系統(tǒng)告警；

7）支持智能巡檢管理，支持對巡檢計劃統(tǒng)一管理，對已定義的巡檢計劃進行自動化巡檢，通過啟用/禁用控制巡檢計劃的運行狀態(tài)，還可以通過立即執(zhí)行進行手動操作，支持對巡檢任務(wù)的巡檢結(jié)果生成巡檢報告；

8）支持展示密碼業(yè)務(wù)運行狀態(tài)的綜合匯總情況，包括證書使用量、密鑰使用量、密鑰狀態(tài)比例、簽名次數(shù)、加密次數(shù)、平均制證時間、平均簽名耗時、平均加密耗時、密碼設(shè)備狀態(tài)等信息；

9）支持監(jiān)控運行狀態(tài)信息采集策略的配置，包括信息采集規(guī)則、信息采集頻率的配置，支持告警閾值的配置，監(jiān)控信息匹配告警閾值時，需要自動觸發(fā)告警通知并生成運維工單；

10）實現(xiàn)對監(jiān)控模板的統(tǒng)一動態(tài)管理，包括：模板上傳、模板下載、模板刪除；

11）過資產(chǎn)監(jiān)控管理可以對納入監(jiān)控范圍的資產(chǎn)統(tǒng)一展示當(dāng)前運行情況、監(jiān)控視圖，并支持按需對監(jiān)控視圖展示內(nèi)容動態(tài)配置；10商用密碼適配開發(fā)對相關(guān)信息系統(tǒng)的重要數(shù)據(jù)梳理，針對梳理完后的重要數(shù)據(jù)進行安全保護策略制定，例如：病患身份證數(shù)據(jù)敏感關(guān)鍵數(shù)據(jù)，需要在通行傳輸和存儲層面都進行機密性和完整性的保護；

2、對相關(guān)信息系統(tǒng)的通信實體身份鑒別進行適配開發(fā)；

3、對相關(guān)信息系統(tǒng)通信過程中數(shù)據(jù)傳輸?shù)耐暾赃M行適配開發(fā)；

4、對相關(guān)信息系統(tǒng)通信過程中重要數(shù)據(jù)傳輸?shù)臋C密性進行適配開發(fā)；

5、對相關(guān)信息系統(tǒng)涉及的設(shè)備（如應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等），登錄用戶身份鑒別進行適配開發(fā)；

6、對相關(guān)信息系統(tǒng)的遠(yuǎn)程管理信息傳輸通道進行適配開發(fā)；

7、對相關(guān)信息系統(tǒng)應(yīng)用訪問控制信息的完整性進行適配開發(fā)；

8、對相關(guān)信息系統(tǒng)應(yīng)用重要數(shù)據(jù)存儲