金稅三期應用安全支撐平臺安全客戶端控件

金稅三期應用安全支撐平臺安全客戶端控件是一款國家稅務總局安全客戶端控件，應用安全支撐平臺在用戶規(guī)劃和建設應用系統(tǒng)過程中，為"落實應用的安全要求"提供了參考指南和解決規(guī)范；應用安全支撐平臺在應用的使用和管理過程中，為"方便應用的安全管理"提供了可行手段和操作工具。

三個特點：

應用安全：應用安全支撐平臺可最大程度的解決各個網(wǎng)絡中應用系統(tǒng)存在的安全問題，使之達到敏感信息網(wǎng)絡的相關安全要求。
簡化管理：應用安全支撐平臺可最大程度的簡化管理員對客戶終端的安裝部署，應用系統(tǒng)的調(diào)整、安全策略的調(diào)整只需管理員在平臺上集中完成，對所有的用戶透明。
集中統(tǒng)一：應用安全支撐平臺將當前分散的應用安全管理和標準不一的安全問題盡最大程度的集中在平臺上予以解決，做到應用安全服務集中、標準統(tǒng)一、成本低廉、安全風險低。

產(chǎn)品功能：

應用安全支撐平臺主要功能包含身份鑒別支撐、安全傳輸支撐、安全存儲支撐、授權管理支撐、簽名驗證支撐、安全審計支撐等六個部分。

產(chǎn)品特色

1、身份鑒別支撐和安全傳輸支撐

結(jié)合PKI/CA證書，采用SSL VPN協(xié)議的應用安全保護方案，實現(xiàn)用戶的強身份認證和數(shù)據(jù)安全傳輸。
將在格爾原安全認證網(wǎng)關基礎上，研發(fā)了透明代理技術，將該功能集成到平臺中；并和網(wǎng)盾配合，透明的實現(xiàn)強身份認證和安全傳輸；
透明代理的安全解決方案，使應用結(jié)合更快捷，管理員安裝維護更方便；
安全代理的策略設置需嚴格進行三權分立管理；
提供一個應用訪問門戶，根據(jù)應用的情況，可增刪應用列表，且在門戶里顯示相應的應用鏈接列表。另外，該門戶頁面可實現(xiàn)必要的用戶自配置功能（如單位名稱、顯示圖片等）。
2、安全存儲支撐
結(jié)合PKI/CA證書，采用網(wǎng)絡安全集中存儲與安全分享的數(shù)據(jù)保護方案，實現(xiàn)應用數(shù)據(jù)的安全存儲。（注：僅限文件類型的應用數(shù)據(jù)）。
集成網(wǎng)絡安全存儲功能；
提供加密存取的開發(fā)接口（需要應用調(diào)用）；
提供客戶端控件，用戶在應用客戶端程序中上傳文件時，可選擇網(wǎng)絡安全存儲中的相關目錄；
提供服務端接口，應用可獲取用戶可閱文件的鏈接地址（安全存儲文件的獲取途徑）。
3、授權管理支撐
提供統(tǒng)一的授權管理模塊，為應用系統(tǒng)提供授權管理支撐。
平臺提供獨立的應用授權管理模塊；
統(tǒng)一管理用戶的詳細屬性（基本屬性+擴展屬性），為應用的各自授權提供統(tǒng)一的用戶屬性管理功能；
統(tǒng)一屬性管理功能中注冊的部門結(jié)構(gòu)、用戶屬性，可以對外提供接口，供各種應用獲�。�
平臺為應用提供基本的網(wǎng)絡接入授權，首先非平臺注冊授權的用戶無法接入該網(wǎng)絡；
平臺為每一應用提供一定粒度的訪問控制，為每一應用先做一次用戶的訪問篩選；
授權管理設置需嚴格進行三權分立管理。
4、簽名驗證支撐
為符合應用安全要求的完整性、抗抵賴性，提供簽名和驗簽的功能，即簽名驗證支撐。
提供簽名驗證服務模塊；
簽名驗證支撐支持多種模式，滿足各種應用數(shù)據(jù)完整性和抗抵賴的需求；如下三種常見模式：1.客戶端數(shù)據(jù)簽名，客戶端數(shù)據(jù)驗證；（常用于數(shù)據(jù)交換應用）；2.客戶端數(shù)據(jù)簽名，服務端數(shù)據(jù)驗證；（常用于客戶端的關鍵操作或提交的關鍵數(shù)據(jù)）；3.服務端數(shù)據(jù)簽名，服務端數(shù)據(jù)驗證；（常用于數(shù)據(jù)備份）；
提供客戶端控件，供應用客戶端調(diào)用，完成應用數(shù)據(jù)和應用操作的簽名或數(shù)據(jù)驗證過程；（簽名時采用客戶端操作者的個人證書進行）；
提供服務端接口，供應用服務端調(diào)用，采用平臺的設備證書進行數(shù)據(jù)簽名操作；
提供服務端接口，供應用服務端調(diào)用，進行驗證操作，實現(xiàn)應用的完整性校驗、數(shù)據(jù)提交者身份的抗抵賴；
平臺可拒絕傳輸過程中完整性破壞的數(shù)據(jù)，要求發(fā)起方進行重發(fā)處理，以進行信息補救。
5、安全審計支撐
通過提供平臺本身及整個應用系統(tǒng)的全方位審計和統(tǒng)計功能，實現(xiàn)應用系統(tǒng)的安全審計支撐。
提供平臺本身的全方位審計和統(tǒng)計功能；（針對平臺自身的安全功能進行審計，包括透明代理的日志、授權管理的日志、安全存儲的日志、平臺管理員的操作日志等）
為應用提供數(shù)據(jù)審計接口，應用系統(tǒng)通過該接口可將日志發(fā)送到平臺，由平臺集中提供統(tǒng)一詳細的審計和統(tǒng)計（日志格式由平臺統(tǒng)一定義，并根據(jù)應用安全的要求，對審計數(shù)據(jù)信息詳細度提出一些要求）；
提供網(wǎng)絡層的用戶訪問審計，如何人、何時、何IP訪問了哪個應用；
提供審計存儲空間的閥值設置功能，當存儲空間將滿時，及時進行告警。
當審計系統(tǒng)不能正常工作或?qū)徲嫶鎯�空間將滿時，自動產(chǎn)生告警信息。審計存儲空間將滿時采取以下措施：切換到新的審計數(shù)據(jù)庫，原審計數(shù)據(jù)庫存檔（用戶可根據(jù)需要和制度進行保存）。
采取審計服務與數(shù)據(jù)分離的機制，當審計系統(tǒng)出現(xiàn)異常時，存儲的審計記錄不會被破壞。
系統(tǒng)審計記錄不可修改、不可偽造、不可刪除，另外通過摘要技術及驗證操作，在意外情況下，能檢測出對審計記錄的修改。
提供對審計記錄的統(tǒng)計、查詢功能，包括按時間范圍、主客體身份、行為類型等條件進行檢索查詢。
由平臺操作員來配置哪些應用可審計，審核后方可生效；
由平臺操作員來配置每個應用的審計員，審核后方可生效；
平臺的審計員不能審計具體的應用；每個應用的審計員方可審計對應的應用。
對審計記錄的操作同樣記錄日志，且受到同樣的保護（不可修改、不可偽造、不可刪除）。
審計系統(tǒng)時間可內(nèi)部設置，也可配置時間同步，即與外部標準時間源進行時間同步。