中间件软件政府采购需求标准正在征求意见-政府采购信息网

为推动政府采购需求标准建设，海关总署物资装备采购中心牵头联合云南省财政厅开展《中间件软件政府采购需求标准》的制定工作，目前已完成专家论证等工作，正在向社会公开征求意见，征集日期截止到7月30日。

《中间件软件政府采购需求标准》征求意见稿明确，中间件的共性需求应包括安全性、可靠性、可扩展性、开放性、易用性和可管理性以及高性能。如高性能方面，要求中间件软件系统应具备实时快速响应能力，具备高并发和横向扩展能力。

同时，征求意见稿还对操作系统平台支持、数据库支持、知识产权、服务支持、维修响应、培训以及人员要求做了明确规定。

在应用服务器中间件、消息中间件等需求方面，征求意见稿明确了标准规范、消息存储、队列分组、事务管理、消息类型以及集群等详细要求。例如，应用服务器中间件需求在安全架构方面要求应提供开放的、可扩展的安全架构，安全架构提供认证、授权、身份识别、角色映射等功能。

以下是《中间件软件政府采购需求标准》征求意见稿全文：

中间件软件政府采购需求标准（征求意见稿）

前言

本文件按照GB/T1.1-2020给出的规则起草。

本文件由中华人民共和国财政部提出并归口。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件起草单位：财政部国库司、海关总署物资装备采购中心、云南省财政厅。

中间件软件政府采购需求标准

1范围

政府采购本文件内的中间件产品的，采购需求宜参照本文件。法律法规对政府采购中间件产品有强制性规定的，从其规定。

2术语和定义

GB/T 11457-2006（信息技术、软件工程术语）、GB/T 33847-2017（各类中间件的标准说法及定义）、GB/T 28168-2011（消息中间件标准，定义了消息、集群、队列等术语，并提供了消息中间件模型）、GB/T 26232-2010（基于J2EE应用服务器中间件技术规范）GB/T 30883-2014（数据集成中间件）界定的术语和定义适用于本文件。

3缩略语

下列缩略语适用于本文件。

API应用编程接口（Application Programming Interface）

B/S浏览器/服务器模式（Browser/Server）

EJB企业级JavaBean（Enterprise Java Beans）

HTTP超文本传输协议（Hypertext Transfer Protocol）

HTTPS超文本传输安全协议（Hypertext Transfer Protocol Secure）

IP互连网协议（Internet Protocol）

Java EE Java企业级应用版本（Java Enterprise Edition）

JDBC Java数据库链接（Java Database Connectivity）

JMS Java消息服务（Java Message Service）

JSP Java服务器页面（Java Server Pages）

JNDI Java命名和目录接口（Java Naming and Directory Interface）

JMX Java管理扩展（JavaManagement Extensions）

SSL安全套接层（Secure Socket Layer）

TLS安全传输层协议（Transport Layer Security）

URL统一资源定位器（Uniform Resource Locator）

Web万维网（World Wide Web)

XSS跨站脚本攻击（Cross Site Scripting）

4中间件共性需求

4.1安全性

应保证系统数据处理的完整性，保证数据不被非法盗用和修改伪造，保证数据不因意外情况丢失和损坏，应提供多种安全检查审计手段。

4.2可靠性

应保证系统可靠连续运行；系统应具备良好的多机热备、冗余机制。

4.3可扩展性

宜采用组件化设计原则，以使系统能够适应将来可能出现的一些变化，新增功能时应不需改造原软件系统。

4.4开放性

系统应采用主流的、开放的技术，以保证系统对各种数据业务的服务，以及与相关系统的互连能力。

4.5易用性

应具有良好的中文操作界面、详细的帮助信息，应提供可视化的启动环境配置和系统参数配置。

4.6可管理性

应具有良好的管理手段，可管理或查看中间件自身的部署情况，包括软件状态和所在机器硬件资源情况。

4.7高性能

系统应具备实时快速响应能力，具备高并发和横向扩展能力。

4.8操作系统平台支持

应支持主流的Unix、Linux及其它符合我国信息安全和供应链安全稳定要求的操作系统，支持符合我国信息安全和供应链安全稳定要求的主要芯片。

4.9数据库支持要求

应支持多种主流关系型数据库系统。

4.10使用手册

应提供完整的中文产品说明、使用手册、维护手册等使用、开发、运维过程中的必要文件，应有随安装产品版本的对应电子版，不得以网上在线资料、开源资料代替。

4.11知识产权

应确保提供产品没有知识产权争议，提供如软件著作权登记证书等证明材料。

4.12服务支持

应在合同约定的时限内完成全部软件安装、配置和调试工作，从合同验收之日起，供应商应至少免费提供一年产品运维及技术支持服务，服务内容包括但不限于：产品日常支持（即时通讯手段、电话、网络、现场支持等）、产品定期升级、产品的缺陷修改、产品定期培训等服务。

4.13维修响应

接到报修电话（或邮件）后，供应商应及时响应并按约定时间提出解决方案，如无法远程解决，应提供上门服务，及时排除故障。

4.14人员要求

上门服务人员应确保专业性。

4.15培训

应根据用户需要提供产品的安装、维护等技术培训，并提供相应培训的电子文档。

4.16产品社区

可建立产品相关的论坛、知识库、问答系统等，针对技术问题宜在24h内提供初步反馈。

5应用服务器中间件需求

5.1标准规范

应支持并通过Java EE 6.0及以上认证，提供相关认证证书，并向下兼容。

5.2 Java容器功能要求

应支持Web容器、EJB容器、EJB实例池和Web Service等。

5.3应用开发支持

应提供对主流集成开发环境的支持，如在编码、调试等方面的支持。

5.4 JMS功能要求

宜提供JMS集成服务，支持将第三方消息中间件作为消息服务代理。

5.5数据源功能要求

应支持JDBC连接池，宜提供连接池自动回收泄露连接、自动检查数据库连接有效性、JDBC语句缓存、数据库驱动的动态加载等连接池优化功能。

5.6通信协议

应支持HTTP 1.1，宜支持HTTP 2.0。

5.7容器化支持

宜支持快速部署到容器云环境，或作为业务应用的基础镜像，支持业务应用的二次镜像封装。

5.8中文支持功能要求

应支持GB18030，如当页面中的超链接URL中包含中文、重定向到中文文件名的JSP时不能够出现页面错误或乱码。

5.9扩展能力

宜支持在业务系统不宕机的情况下动态增加服务器，扩充系统性能。宜提供集群相关的管理API。

5.10 Session复制技术

应支持Session在应用服务器集群内的共享，宜支持多种Session共享策略。

5.11集群功能要求

应支持多服务器集群部署、负载均衡。应支持Web层的集群和EJB集群。

5.12远程管理

应具备标准的B/S模式管理控制台，可对远程的应用服务器环境进行应用部署、管理维护和监控。

5.13集中管理

宜支持集群的集中管理，包括节点安装与负载集群的自动配置、资源管理（如JDBC数据源）、实例管理（如集中部署、启停、状态监控等），集中监控（资源、实例）等。应支持故障转移，宜支持故障实例自动重启，宜支持主流网络管理协议。

5.14安全架构

应提供开放的、可扩展的安全架构，安全架构提供认证、授权、身份识别、角色映射等功能。

5.15访问过滤

应提供访问过滤配置功能，能够拒绝某个或某段网络地址的机器访问Web应用，达到防攻击效果。

5.16 XSS攻击防御

应提供XSS攻击防御，如提高cookie安全性、支持禁用HTTP的trace方法、支持HTTP包头的X-Frame-Options属性设置等。

5.17数据传输安全保证

应支持HTTPS，保证数据传输过程的安全性，支持标准的安全协议SSL 3.0或TLS协议。应支持国密SSL、国密SM2、SM3、SM4等加密算法。

5.18提供监控接口功能要求

宜提供监控接口，如通过JMX或RESTful API等的调用。

5.19有漏洞的安全协议禁用

宜提供主流SSL版本支持和按需配置，宜提供用户密码锁定等账户安全功能等。

6消息中间件需求

6.1标准规范

应提供安全、可靠、高效的消息传输，应支持行业标准的JMS 1.1及JNDI规范，宜支持JMS 2.0等规范。

6.2消息存储

应支持消息可靠传输，持久化存储与非持久存储，以及断点续传。应支持消息队列存储策略管理，可以灵活配置采用文件存储或数据库存储。

6.3队列分组和多类型队列要求

应提供多种队列及队列的分组管理机制，有利于队列和消息的管理维护。应支持死信队列及过期消息清理。

6.4消息发送

宜支持消息同步发送、异步发送和批量发送等方式。应支持文件传输时自动拆分和组装消息。

6.5事务管理

应支持事务管理，提供本地事务支持和分布式事务支持。

6.6消息类型要求

宜支持数据包和文件两种消息的类型。宜支持大数据包、大文件的传输。宜支持仅通过文件路径名直接进行文件传输，不需要应用程序再进行文件分解等其他附加操作处理。

6.7集群要求

应支持服务节点的集群，保证业务量增加时，通过集群共同承担服务处理工作。宜对数据库集群技术提供支持。

6.8限速功能

宜支持流量控制和实时监控进度、平均速率和最大速率，并且可以设置最大传输速率。

6.9管理要求

应提供 B/S的统一管理中心，支持多用户管理，可以为不同用户配置不同的创建、读、写操作等权限；可以对全网中所有的节点进行集中的配置、管理、监控，能够远程对节点进行启停控制。

6.10应用开发支持

应支持C、C++、C#、JAVA等开发语言接口。宜支持作为J2EE应用服务器的外置JMS扩展服务器。

6.11口令管理

宜支持客户端与服务器、服务器之间的SSL安全通道加密，支持额外的口令短语安全保护。

6.12传输加密

应支持消息传输过程中消息体加密，如支持通过用户的加密库或算法进行加密。

6.13容器化部署

宜支持快速部署到容器云环境，宜支持针对容器镜像的二次开发。

6.14第三方安全接口

应支持第三方安全接口，支持外挂加密算法，支持与第三方安全产品结合使用，完成数据的加密、电子签名等。

6.15传输方式要求

应提供至少一种消息传输模式，如点对点、发布订阅等。

7验证方法及证明材料

供应商应根据采购人实际需求，提供“第4章、第5章、第6章”中中间件软件相关功能的演示视频、截图或其他相关证明材料。

考考文献

[1]中华人民共和国政府采购法 2014.08.31

[2]中华人民共和国政府采购法实施条例 2015.01.30