一、經(jīng)研究，對大藤峽水利樞紐泄洪閘門集控系統(tǒng)等保三級及商用密碼改造招標文件作如下修改：
（一）《第五章 技術(shù)標準和要求》中“4.2應(yīng)用系統(tǒng)及服務(wù)器改造要求”增加以下內(nèi)容：
4.2.6與原系統(tǒng)對接要求
改造后的系統(tǒng)，要求實現(xiàn)與改造前系統(tǒng)相同的對外通信功能，即包括但不限于與電站計算機監(jiān)控系統(tǒng)實現(xiàn)通信，與原先的左右岸泄洪閘門、南木江副壩閘門及魚道閘門等下位機實現(xiàn)通信等。
（二）《第五章 技術(shù)標準和要求》中“4.3商用密碼改造方案” 增加以下內(nèi)容：
4.3.3相關(guān)參數(shù)要求
（1）服務(wù)器密碼機
1）硬件要求：CPU、操作系統(tǒng)應(yīng)通過安全可靠測評，2U機架式設(shè)備，設(shè)備前面板具備液晶顯示屏；可顯示設(shè)備信息、網(wǎng)絡(luò)配置以及密鑰信息，支持萬兆光口擴展，至少提供2個網(wǎng)絡(luò)端口，支持1+1冗余電源，支持交直流電源輸入。
2)密碼機可提供各類型非對稱密鑰、對稱密鑰的生成和存儲功能；密碼機可支持基于SM1、SM4、3DES、AES、SM2、RSA、DSA、ECDSA、SM9等算法的加解密功能。
3)數(shù)據(jù)摘要:密碼機支持SM3算法的數(shù)據(jù)摘要；密碼機支持SHA1、SHA2算法的數(shù)據(jù)摘要。
4）消息鑒別碼的產(chǎn)生及驗證：密碼機支持基于SM1、SM4、SM7、DES/3DES、AES等算法的CBC-MAC、CMAC的產(chǎn)生及驗證。
5)密碼機支持集群部署，并支持多機負載；支持通過NTP同步系統(tǒng)時間，具備多網(wǎng)口綁定，支持IPv4/IPv6雙棧網(wǎng)絡(luò)協(xié)議。
6)密鑰生成時采用由內(nèi)部密碼卡的物理噪聲源芯片生成的隨機數(shù)，密鑰生成后由密碼卡中的保護密鑰加密后存儲。
7)支持密鑰的生成、存儲、恢復、銷毀等生命周期管理操作，通過管理控制臺集中管理密鑰整個生命周期。
8)支持基于https實現(xiàn)遠程管理和配置，支持基于SM2、RSA算法的安全通道接入密碼機的密碼服務(wù)。
9)支持權(quán)限管理：支持根據(jù)三權(quán)分立原則劃分用戶角色及權(quán)限，包括管理員、審計員、操作員。支持授權(quán)訪問，具有服務(wù)訪問白名單設(shè)置功能。支持syslog服務(wù)，可將業(yè)務(wù)日志外送至日志服務(wù)器。
10)支持標準SNMP協(xié)議，可通過SNMP標準協(xié)議監(jiān)控密碼機的運行狀態(tài)，支持配置系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)時間、白名單等，設(shè)備管理界面可快速查看密鑰存儲狀況、服務(wù)連接數(shù)、CPU使用率、內(nèi)存使用率、設(shè)備網(wǎng)絡(luò)配置情況、設(shè)備版本信息。
11)具備密鑰備份恢復管理功能，備份界面展示備份歷史記錄、備份創(chuàng)建時間，管理員用戶可通過界面進行新建密鑰備份、查看備份記錄詳情、歷史備份文件下載/刪除操作，具備定時備份配置功能。
12)具備日志策略配置功能，可對密碼機的監(jiān)控日志、服務(wù)日志、管理日志的日志策略進行配置，日志策略配置包含：日志文件數(shù)量、日志文件大小、日志文件保存時間、日志過濾級別。
13)支持IPV6的部署和應(yīng)用，具備第三方IPV6認證證書或檢測報告，須提供證書復印件。
14)產(chǎn)品通過中國質(zhì)量認證中心的節(jié)能認證，具備中國節(jié)能認證產(chǎn)品認證證書（提供節(jié)能認證證書）。
15)支持物理防撬密鑰保護，非法撬動機箱會觸發(fā)密鑰自毀功能，保護設(shè)備內(nèi)部密鑰安全。
16)內(nèi)置國密密碼卡，密碼卡取得商用密碼產(chǎn)品認證證書，便于運維管理與故障排查，密碼卡與密碼設(shè)備為同一廠商。
（2）簽名驗簽服務(wù)器
1)硬件參數(shù)：CPU、操作系統(tǒng)應(yīng)通過安全可靠測評，2U機架式設(shè)備，≧8G內(nèi)存，≧1TB硬盤存儲空間，至少提供2個網(wǎng)絡(luò)端口，支持萬兆網(wǎng)口擴展。
2)支持SM2和RSA（1024/2048）算法。
3)數(shù)字簽名/驗證：所投產(chǎn)品支持基于SM2、RSA等算法的PKCS#1簽名/驗證、PKCS#7 Attached簽名/驗證、P7 Detached簽名/驗證功能；簽名格式符合PKCS#7、GM/T0010等標準中定義的數(shù)據(jù)類型。
4)帶簽名的數(shù)字信封加密和解密：所投產(chǎn)品支持基于SM2、RSA等算法的帶簽名的數(shù)字信封加密、解密功能，數(shù)字信封格式符合PKCS#7、GM/T0010等標準中定義的數(shù)據(jù)類型；訪問控制：所投產(chǎn)品支持IP白名單、連接口令等訪問控制功能。
5)密鑰結(jié)構(gòu)采用“系統(tǒng)保護密鑰-用戶密鑰-會話密鑰”的三層密鑰保護結(jié)構(gòu)，保證關(guān)鍵密鑰在任何時候不以明文形式出現(xiàn)在設(shè)備外，密鑰備份文件受備份密鑰加密保護。
6)支持基于RSA、SM2的TLS安全通道接入，確保數(shù)據(jù)傳輸?shù)陌踩�性�?br>7)支持符合GM/T0019國密標準規(guī)范接口，支持集群負載的方式保證業(yè)務(wù)冗余，防止出現(xiàn)單點故障，影響業(yè)務(wù)系統(tǒng)的正常運行。多機負載由接口層實現(xiàn)，對上層應(yīng)用透明，部署方式簡單。多機負載還可提高密碼運算性能。
8)性能參數(shù)：非對稱密鑰存儲數(shù)量RSA：≥1024對；SM2：≥1024對，256位SM2P1簽名/驗簽(次/秒)：≥22000/4000，最大并發(fā)：≥5000。
9)設(shè)備管理界面可快速查看密鑰存儲狀況、服務(wù)連接數(shù)、CPU使用率、內(nèi)存使用率、設(shè)備網(wǎng)絡(luò)配置情況、設(shè)備版本信息。