包号 : 001
产品名称: 西丰县第一医院电子签名系统 建设
数量: 1项
是否为经过审批采购的进口产品: 否
核心产品 为 : 密钥协同平台( PC软盾、手机盾)
采购需求:
一、 建设目标 为实现医院无纸化建设的目标,保障医院电子病历系统、 HIS系统、LIS系统、PACS系统 等系统 的业务信息安全,需依据《卫生系统电子认证服务管理办法(试行)》、《电子病历应用管理规范(试行)》、《中华人民共和国电子签名法》及相关标准规范要求,需建立医院 CA电子签名系统,实现 统一的电子认证服务体系、业务应用安全支撑体系,保证电子病历从生成到最终归档全过程的真实可信和合法有效性。
项目建设目标如下:
1) 建立医院统一的电子认证服务体系,面向医院医护工作人员实现统一数字证书发放与管理,提供优质的、符合卫生行业规范的数字证书生命周期服务,满足医院的实际需要。
2) 为医院搭建一套完整的基于电子认证服务的应用安全支撑平台,为医院信息系统提供身份认证、数字签名、签名验证、电子签章、可信时间戳等电子认证服务功能,确保医院系统对于医护人员身份的强安全认证,医院电子数据的完整性保护;通过相关技术可确保患者身份真实认证,能进行事后防抵赖的权威举证, 实现 我院医疗无纸化。
本次招标需要针对医院电子病历系统等医院信息系统建设统一的业务应用安全支撑体系,设计合理的、实用的医院可信医疗业务建设方案,实现电子认证服务和相关技术与医院信息系统的有机集成结合,有效提升医院各系统的业务信息安全保障水平,构建安全可信的医院医疗业务环境,保证电子病历数据的真实性、完整性、有效性。
二、 建设内容 2.1 数字证书服务体系建设 建立医院的数字证书服务体系,从服务内容、服务模式、服务流程、服务保障等方面,设计符合医院特点的服务模式和流程等,方便证书发放和管理,满足医院实际业务需要。
具体满足以下要求:
1) 提供证书全生命周期服务,包括证书申请、发放、更新、吊销、解锁、补办等服务内容,方便用户获取证书服务;
l 2) 提供证书全在线服务模式,支持证书在线 信息采集、 更新、在线解锁等服务;
3) 提供证书快速应急服务,满足对业务连续性的要求;
4) 支持按照医院实际应用需要,灵活定制服务交付的业务流程;
5) 提供灵活配置证书模版功能,支持自定义扩展项;
★ 6) 支持多种证书混合 应用模式, 包括 PC 软盾、手机盾,并提供统一改造接口;
7) 提供管理员管理、系统管理等日常服务;
l 8) 能够实现数字证书及证书客户端在医院内网环境下自动静默更新功能。
2.2 电子认证应用支撑体系建设 根据医院 HIS系统、电子病历系统、LIS、PACS等医院信息系统的实际安全需求,设计基于数字证书的应用安全支撑体系,通过证书及证书应用相关产品和技术,实现电子认证服务与医院业务应用的有机结合,解决医院电子病历系统等系统的身份认证、授权管理、责任认定等安全问题,解决电子病历的真实性、完整性、有效性等问题,建立安全可信的医院医疗业务环境。
具体满足以下要求:
1) 全面分析医院电子病历等信息系统的应用安全需求,提出完善的应用安全支撑体系整体框架,能够实现与现有业务系统对接;
l 2) 满足数字证书的可信身份认证需求和我院电子病历的完整性保护和责任认定要求;
3) 保证医疗信息系统时间的权威、统一、精准,确保我院医护人员操作记录的时间可靠性;
4) 满足我院关键业务流程的可视化需求,符合国家密码局有关规范,全面解决我院电子病历无纸化的安全需求;
5) 提 供的患者签名解决方案 ,可以 实现 患者身份认证,直观展示患者签名过程及结果;
6) 提供标准的、通用的、多样化的接口形态,满足我院平台系统和技术的实际集成需要;
2.3 售后服务和技术支持 提供完善的售后服务和技术支持方案,包括但不限于以下内容:
1) 售后服务体系:投标人应当具有良好的服务理念和完善的售后服务体系,能够按照投标技术方案提供系统集成技术支持服务;
2)质保期:所投软、硬件产品质保期一年 , 质保期内应用软件和硬件的升级、维护均免费;
3) 运维支持:在系统建设、使用、运维等过程中遇到问题时,都能够得到投标人相应的技术支持与帮助;
l 4) 日常技术支持: 设立技术服务团队, 提供 7x24小时热线电话、远程网络、现场等技术支持服务,如遇系统故障需现场维护,要求维护人员 3 小时到场 ,满足医院业务连续性要求;
5)培训方案:根据医院的业务特点和用户认知程度不同,提出系统而有效的培训方案。
★ 三、 采购清单 | 序号 | 名称 | 单位 | 数量 | 备注 |
| 1 | 数字签名平台 | 套 | 1 | |
| 2 | 密钥协同平台( PC软盾、手机盾) | 套 | 1 | |
| 3 | 手写签名服务平台 | 套 | 1 | |
| 4 | 手写 签名终端 | 个 | 30 | |
| 5 | 个人证书( PC软盾、移动证书) | 张 /年 | 400 | |
| 6 | 制章费(云章) | 个 | 400 | |
| 7 | 服务器 证书 | 张 /年 | 3 | |
| 8 | 应用集成 | 项 | 1 | |
| 9 | 接口开发费 | 项 | 1 | |
四、 投标产品功能指标及要求 4.1 数字签名平台 | 序号 | 功能指标 |
| 1 | 提供 pkcs1/Pkcs7 attach/Pkcs7 detach/xml Sign 等对多种格式数据的数字签名和验证功能,支持RSA算法 |
| 2 | 提供文件数字签名和验证功能 ,支持对文件进行MD5、SHA-1等方式的数字摘要后在进行签名 |
| 3 | 提供证书验证功能,支持对 X.509 Version 3、PKCS系列证书的DER和PEM格式的应用与验证,支持移动证书验证 |
| 4 | 提供数据加密、解密功能,支持数字信封加密,支持 DES、Tri-DES算法、以及国产密码算法 |
| 5 | 提供 CRL的证书有效性验证,CRL更新配置可自动定时进行 |
| 6 | 实现对业务系统服务器端密码设备及服务器证书进行配置与管理,可生成服务器证书申请文件 |
| 7 | 可同时配置多条证书链,验证不同 CA的用户证书 |
| 8 | 可自动更新 CRL黑名单、动态更新,不需要重新启动服务 |
| 9 | 安全存储:基于密码技术构建安全存储区,用于对根证书及黑名单文件进行分类安全存储,防止非法操作 |
| 10 | 配置网络时间同步服务器及同步策略,实现与时间源的时间同步校对;可以开关时间源同步状态,配置时间源服务器地址,保证数字签名验证服务器时间的准确性,另外支持手工设定服务器时间 |
| 11 | 可以开启和关闭对外提供 webservice接口的功能 |
| 12 | 将服务器配置信息备份到 PC端,也可以将PC端的备份文件恢复到系统,方便出问题时的尽快恢复 |
| 13 | 提供日志记录,可将日志以 syslog的方式发送到指定服务器 |
| 14 | 支持双机、负载均衡 |
| 15 | 提供 C、COM 、Java 等主流开发API |
| 16 | SM2签名能力:≥850次/秒,SM2验证能力:≥680次/秒 |
| 17 | 支持 SM1、SM2、SM3、SM4、3DES、AES、RSA、SHA256算法 |
| 18 | 接收应用系统发来的时间戳签发请求,签发时间戳后将时间戳返回给应用系统,时间戳服务请求遵循国际通用的 RFC3161标准 |
| 19 | 处理应用系统发来的时间戳验证请求,将时间戳验证结果返回给应用系统 |
| 20 | 支持算法: RSA、SHA1、SM2、SM3 |
| 21 | 产品内置国家授时中心时间源 ,提供多种授时方式,包括:CDMA、北斗2、GPS |
| 22 | 提供对于外部导入时间戳服务器证书的上传、查询、导出等功能 |
| 23 | 授时精度: 0.5-3ms(毫秒) |
| 24 | 守时精度: <1ms(72小时),内置恒温晶振 |
| 25 | 可配置 IP、网关、端口、连接数、超时时间 |
| 26 | 提供备份恢复功能,可通过界面备份当前所有配置,保证系统瘫痪时的快速恢复 |
| 27 | 时间戳 SM2 签发性能≥1000次/秒,SM2验证性能≥500次/秒 |
| 28 | 支持第三方 CA机构签发的数字证书 |
| 29 | 提供基于 Web界面的电子印章的制作和管理功能,提供日志审计功能 |
| 30 | 支持电子印章图片写入,并与证书绑定,且用户在多种终端应用场景下,只应对一个印章 |
| 31 | 支持自动生成电子印章图片,或支持采集的手写签名 |
| 32 | 支持对多种文档格式如 wordexcelhtml等的电子签章,实现数据完整性保护,确认签章者身份 |
| 33 | ★ 支持电子印章在手机盾 及 PC软盾场景下的调用 |
| 34 | 支持电子印章图片写入证书存储介质中,并与证书绑定,且用户在多种终端应用场景下,只应对一个印章 |
| 35 | 提供电子签章中间件,满足 C/S环境的电子签章集成 |
| 36 | 支持原文、印章图片、数字签名的绑定,能够防止篡改 |
| 37 | 基于安全客户端,支持电子印章签署功能 |
| 38 | 支持在线签章和离线签章 |
| 39 | 提供印章管理功能,包括印章模板管理、印章制作、授权、停用、启用等功能 |
| 40 | 支持丰富的二次开发接口供集成,电子签章支持嵌入应用系统控制的各个流程 |
| 41 | 支持后台的自动批量电子签章功能,面向应用提供标准接口,调用电子认证服务器上的数字证书和时间戳,完成 PDF格式文档的自动批量签章,签章包含权威时间戳信息 |
| 42 | 提供 C#、C++、.NET、COM 、Java、Webservice等主流开发API |
| 43 | 电子签章数据结构符合《 GM/T 0031-2014 安全电子签章密码技术规范》 |
| 44 | 申请和获取签名数字证书。根据签名业务及签名人鉴证信息,向第三方 CA机构证书服务平台申请颁发数字证书,对PDF、网页等多种格式数据进行数字签名 |
| 45 | 通过手写输入设备,获取签名人手写签字笔迹,作为数字签名可视化展现效果图示 |
| 46 | 通过指纹采集设备,获取签名人指纹,用以标识签名人身份特征,在出现纠纷和责任认定时可用于确认签名人身份。采集的指纹信息需要经第三方 CA机构认证 |
| 47 | 使用数字签名密码算法,对数据内容进行密码运算,保护内容的完整性、有效性、和签名行为的不可否认性 |
| 48 | 支持的应用环境 Windows server2000/2003/2008;Linux;Unix |
| 49 | 最大支持终端数 最大支持 3000个终端 |
| 50 | 设备高度 机架式 2U,4个千兆网口,冗余电源 |
4.2 密钥协同平台 | 序号 | 功能指标要求 |
| 1 | 通过连接第三方 CA,为用户在移动设备和PC终端中下发数字证书,证书格式标准遵循X.509 V3标准 |
| 2 | 提供认证服务接口,支持基于数字证书的身份认证方式 |
| 3 | 数据签名:支持用户在 PC端或手机端联合签署业务数据 |
| 4 | 提供数据签名服务接口,支持业务系统发起签名请求,服务器与用户手机,服务器与 PC端完成协同签名 |
| 5 | ★ 支持与 PC软盾账户同步 |
| 6 | ★ 支持数字证书授权机制 |
| 7 | 支持用户在移动端下载个人证书,提供用户在 PC端下载证书 |
| 8 | 为用户提供关于证书的整个生命周期服务,包括证书的申请、更新服务等 |
| 9 | 可支持用户在多个手机硬件设备上注册账号 |
| 10 | 提供完整的开发接口,实现应用系统与 CA系统的业务对接,可为应用系统提供实时在线的证书申请、发放、更新、废除、状态查询服务 |
| 11 | 移动端支持 APP,且允许SDK集成 |
| 12 | 扫码签名:支持用户在移动端使用扫码方式签署业务数据 |
| 13 | 扫码进行 PDF签章和签章验签:对PDF文档进行电子签章;验证PDF签名文档有效性、完整性 |
| 14 | 设置签名图片:支持用户在移动端设置手写签名图片 |
| 15 | 支持环境 iOS 7.0以上,Android 4.0以上 |
| 16 | 包括二维码扫码认证、安全登录认证流程、签名验签流程、数据加解密集成支持配合 |
| 17 | 设备管理:支持用户在多个 PC终端设备上使用同一个用户身份,支持对用户终端设备的绑定、解绑等 |
| 18 | PC端同时支持多用户多账户登陆切换功能。证书临时授权功能,且提供独立的临时授权pin码 |
| 19 | 提供对证书用户的管理功能,包括用户添加、修改、删除、查找等 |
| 20 | 提供对系统管理员的管理功能,包括管理员的添加,角色配置等 |
| 21 | 用户管理:管理证书用户,支持用户变更、冻结、解冻、注销等操作 |
| 22 | 系统管理:支持对系统配置及对系统管理员进行管理 |
| 23 | 日志审计:提供业务操作日志、管理员操作日志等审计功能 |
| 24 | 为防范安全风险,系统须采用协同密钥产生和管理方式,密钥由客户端和服务端的硬件密码设备中分别产生。客户端的密钥因子应包含手机特征信息、用户签名口令、以及随机因子 ;服务端的密钥因子应加密后存储在密钥库中 |
| | 非功能指标要求 |
| 25 | 支持国密 SM2算法 |
| 26 | 证书类型: SM2证书 |
| 27 | 证书签发速度: SM2双证书签发时间小于10秒 |
| 28 | 2U机架式,4个千兆网口,冗余电源 |
4.3 手写签名服务平台 | 序号 | 功能指标要求 |
| 1 | 申请和获取签名数字证书。根据签名业务及签名人鉴证信息,向第三方 CA机构证书服务平台申请颁发数字证书,对PDF、网页等多种格式数据进行数字签名 |
| 2 | 通过手写输入设备,获取签名人手写签字笔迹,作为数字签名可视化展现效果图示 |
| 3 | 通过指纹采集设备,获取签名人指纹,用以标识签名人身份特征,在出现纠纷和责任认定时可用于确认签名人身份。采集的指纹信息需要经第三方 CA机构认证 |
| 4 | 支持手写屏的屏幕投影,可以与医生工作站 PC进行分屏显示 |
| 5 | 使用数字签名密码算法,对数据内容进行密码运算,保护内容的完整性、有效性、和签名行为的不可否认性 |
| 6 | 提供 C、 Java 等主流开发API |
| 7 | 使用数字签名密码算法,对知情同意书进行密码运算,保护知情同意书的有效性 |
| 8 | 提供知情同意书的存储、归档、展现、验证举证服务。支持知情同意书共享、同步到电子病历系统 |
| 9 | ★ 支持 PC软盾签署 |
| 10 | 支持的应用环境 Windows server2000/2003/2008;Linux;Unix |
| 1 1 | 提供 C、COM 、Java 等主流开发API |
| 1 2 | 最大支持终端数 最大支持 3000个终端 |
| 1 3 | 设备高度 2U,4个千兆网口,冗余电源 |
4.4 手写 签名终端 | 序号 | 功能指标要求 |
| 1 | 通过手写屏采集签名笔迹,手写笔迹支持 1024级/2018级压感感应,能够体现用户的手写生物特征,手写签名自动保存到文档中对应的签名区域 |
| 2 | 通过手写输入设备,签名人手写签字笔迹作为数字签名可视化效果展现 |
| 3 | 手写笔采用无线无源电磁笔,无需连接线,无需电池供电,减少维护量 |
| 4 | 通过指纹采集设备,获取签名人指纹,用以标识签名人身份特征,且用于责任认定,指纹采集设备符合公安部标准《居民身份证指纹采集器通用技术要求》( GA/T1011-2012),可以将采集的指纹图像加盖到文档中 |
| 5 | 提供 C、 Java 等主流开发API |
| 6 | 屏幕尺寸不小于 5 |
| 7 | 屏幕类型 TFT LCD LED |
| 8 | 手写精度 ±0.5mm(Center),±1.0mm(Edge) |
| 9 | 指纹识别类型 半导体式 |
| 10 | 分辨率:不低于 1280*800 |
| 11 | 兼容性: windows XP/vista/win7/win8/win10 |
| 12 | 支持免驱动设计, USB总线供电 |
| 13 | ★ 支持 PC软盾签署 |
4.5 数字证书 (一) 人数字证书
| 序号 | 功能指标要求 |
| 1 | 标识个人的网络身份 |
| 2 | 符合卫生部《卫生系统数字证书格式规范(试行)》 |
| 3 | 符合卫生部《卫生系统电子认证服务规范(试行)》 |
| 4 | 证书格式标准遵循 X.509 V3标准 |
| 5 | 支持存放介质:智能 USB - KEY、蓝牙KEY、 SDKEY及移动端终端安全存储 |
| 6 | 支持自定义证书扩展域 |
| 7 | ★实现跨浏览器支持,支持现有主流浏览器,包括Internet Explorer、Firefox、Chrome等以满足未来多终端平台的证书应用 。支持手机盾和 PC软盾证书可以相互授权操作,实现一张证书在多终端使用。 |
(二) 服务器 证书
| 序号 | 功能指标要求 |
| 1 | 标识设备的网络身份 |
| 2 | 符合卫生部《卫生系统数字证书格式规范(试行)》 |
| 3 | 符合卫生部《卫生系统电子认证服务规范(试行)》 |
| 4 | 证书格式标准遵循 X.509 V3标准 |
| 5 | 支持自定义证书扩展域 |
4.6 接口开发
| 序号 | 系统 | 功能模块 | 功能模块明细 |
| 1 | 电子数据签名接口封装 | PC端CA签名接口封装 | 登录用户管理 |
| 数字签名接口 |
| 2 | 患者手写板签名 | 医技报告数据签名 | 检验报告数据签名 |
| 检查报告数据签名 |
| 3 | 门急诊数据签名接口 | 门急诊数据签名 | 门诊电子申请单数据签名 |
| 门诊电子处方数字签名 |
| 门诊病历数据签名 |
| 4 | 住院数据签名接口 | 住院数据签名 | 住院电子医嘱数据签名 |
| 住院电子申请单数据签名 |
| 住院电子病历数字签名 |
| 5 | 护理数据签名接口 | 护理数据签名 | 护理医嘱执行数据签名 |
| 护理病历数据签名 |
| 6 | 药房数据签名接口 | 药房数据签名 | 住院发药数据签名 |
| 门诊发药数据签名 |
