金稅三期應(yīng)用安全支撐平臺(tái)安全客戶端控件

金稅三期應(yīng)用安全支撐平臺(tái)安全客戶端控件是一款國(guó)家稅務(wù)總局安全客戶端控件，應(yīng)用安全支撐平臺(tái)在用戶規(guī)劃和建設(shè)應(yīng)用系統(tǒng)過(guò)程中，為"落實(shí)應(yīng)用的安全要求"提供了參考指南和解決規(guī)范；應(yīng)用安全支撐平臺(tái)在應(yīng)用的使用和管理過(guò)程中，為"方便應(yīng)用的安全管理"提供了可行手段和操作工具。

三個(gè)特點(diǎn)：

應(yīng)用安全：應(yīng)用安全支撐平臺(tái)可最大程度的解決各個(gè)網(wǎng)絡(luò)中應(yīng)用系統(tǒng)存在的安全問(wèn)題，使之達(dá)到敏感信息網(wǎng)絡(luò)的相關(guān)安全要求。
簡(jiǎn)化管理：應(yīng)用安全支撐平臺(tái)可最大程度的簡(jiǎn)化管理員對(duì)客戶終端的安裝部署，應(yīng)用系統(tǒng)的調(diào)整、安全策略的調(diào)整只需管理員在平臺(tái)上集中完成，對(duì)所有的用戶透明。
集中統(tǒng)一：應(yīng)用安全支撐平臺(tái)將當(dāng)前分散的應(yīng)用安全管理和標(biāo)準(zhǔn)不一的安全問(wèn)題盡最大程度的集中在平臺(tái)上予以解決，做到應(yīng)用安全服務(wù)集中、標(biāo)準(zhǔn)統(tǒng)一、成本低廉、安全風(fēng)險(xiǎn)低。

產(chǎn)品功能：

應(yīng)用安全支撐平臺(tái)主要功能包含身份鑒別支撐、安全傳輸支撐、安全存儲(chǔ)支撐、授權(quán)管理支撐、簽名驗(yàn)證支撐、安全審計(jì)支撐等六個(gè)部分。

產(chǎn)品特色

1、身份鑒別支撐和安全傳輸支撐

結(jié)合PKI/CA證書，采用SSL VPN協(xié)議的應(yīng)用安全保護(hù)方案，實(shí)現(xiàn)用戶的強(qiáng)身份認(rèn)證和數(shù)據(jù)安全傳輸。
將在格爾原安全認(rèn)證網(wǎng)關(guān)基礎(chǔ)上，研發(fā)了透明代理技術(shù)，將該功能集成到平臺(tái)中；并和網(wǎng)盾配合，透明的實(shí)現(xiàn)強(qiáng)身份認(rèn)證和安全傳輸；
透明代理的安全解決方案，使應(yīng)用結(jié)合更快捷，管理員安裝維護(hù)更方便；
安全代理的策略設(shè)置需嚴(yán)格進(jìn)行三權(quán)分立管理；
提供一個(gè)應(yīng)用訪問(wèn)門戶，根據(jù)應(yīng)用的情況，可增刪應(yīng)用列表，且在門戶里顯示相應(yīng)的應(yīng)用鏈接列表。另外，該門戶頁(yè)面可實(shí)現(xiàn)必要的用戶自配置功能（如單位名稱、顯示圖片等）。
2、安全存儲(chǔ)支撐
結(jié)合PKI/CA證書，采用網(wǎng)絡(luò)安全集中存儲(chǔ)與安全分享的數(shù)據(jù)保護(hù)方案，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的安全存儲(chǔ)。（注：僅限文件類型的應(yīng)用數(shù)據(jù)）。
集成網(wǎng)絡(luò)安全存儲(chǔ)功能；
提供加密存取的開(kāi)發(fā)接口（需要應(yīng)用調(diào)用）；
提供客戶端控件，用戶在應(yīng)用客戶端程序中上傳文件時(shí)，可選擇網(wǎng)絡(luò)安全存儲(chǔ)中的相關(guān)目錄；
提供服務(wù)端接口，應(yīng)用可獲取用戶可閱文件的鏈接地址（安全存儲(chǔ)文件的獲取途徑）。
3、授權(quán)管理支撐
提供統(tǒng)一的授權(quán)管理模塊，為應(yīng)用系統(tǒng)提供授權(quán)管理支撐。
平臺(tái)提供獨(dú)立的應(yīng)用授權(quán)管理模塊；
統(tǒng)一管理用戶的詳細(xì)屬性（基本屬性+擴(kuò)展屬性），為應(yīng)用的各自授權(quán)提供統(tǒng)一的用戶屬性管理功能；
統(tǒng)一屬性管理功能中注冊(cè)的部門結(jié)構(gòu)、用戶屬性，可以對(duì)外提供接口，供各種應(yīng)用獲��；
平臺(tái)為應(yīng)用提供基本的網(wǎng)絡(luò)接入授權(quán)，首先非平臺(tái)注冊(cè)授權(quán)的用戶無(wú)法接入該網(wǎng)絡(luò)；
平臺(tái)為每一應(yīng)用提供一定粒度的訪問(wèn)控制，為每一應(yīng)用先做一次用戶的訪問(wèn)篩選；
授權(quán)管理設(shè)置需嚴(yán)格進(jìn)行三權(quán)分立管理。
4、簽名驗(yàn)證支撐
為符合應(yīng)用安全要求的完整性、抗抵賴性，提供簽名和驗(yàn)簽的功能，即簽名驗(yàn)證支撐。
提供簽名驗(yàn)證服務(wù)模塊；
簽名驗(yàn)證支撐支持多種模式，滿足各種應(yīng)用數(shù)據(jù)完整性和抗抵賴的需求；如下三種常見(jiàn)模式：1.客戶端數(shù)據(jù)簽名，客戶端數(shù)據(jù)驗(yàn)證；（常用于數(shù)據(jù)交換應(yīng)用）；2.客戶端數(shù)據(jù)簽名，服務(wù)端數(shù)據(jù)驗(yàn)證；（常用于客戶端的關(guān)鍵操作或提交的關(guān)鍵數(shù)據(jù)）；3.服務(wù)端數(shù)據(jù)簽名，服務(wù)端數(shù)據(jù)驗(yàn)證；（常用于數(shù)據(jù)備份）；
提供客戶端控件，供應(yīng)用客戶端調(diào)用，完成應(yīng)用數(shù)據(jù)和應(yīng)用操作的簽名或數(shù)據(jù)驗(yàn)證過(guò)程；（簽名時(shí)采用客戶端操作者的個(gè)人證書進(jìn)行）；
提供服務(wù)端接口，供應(yīng)用服務(wù)端調(diào)用，采用平臺(tái)的設(shè)備證書進(jìn)行數(shù)據(jù)簽名操作；
提供服務(wù)端接口，供應(yīng)用服務(wù)端調(diào)用，進(jìn)行驗(yàn)證操作，實(shí)現(xiàn)應(yīng)用的完整性校驗(yàn)、數(shù)據(jù)提交者身份的抗抵賴；
平臺(tái)可拒絕傳輸過(guò)程中完整性破壞的數(shù)據(jù)，要求發(fā)起方進(jìn)行重發(fā)處理，以進(jìn)行信息補(bǔ)救。
5、安全審計(jì)支撐
通過(guò)提供平臺(tái)本身及整個(gè)應(yīng)用系統(tǒng)的全方位審計(jì)和統(tǒng)計(jì)功能，實(shí)現(xiàn)應(yīng)用系統(tǒng)的安全審計(jì)支撐。
提供平臺(tái)本身的全方位審計(jì)和統(tǒng)計(jì)功能；（針對(duì)平臺(tái)自身的安全功能進(jìn)行審計(jì)，包括透明代理的日志、授權(quán)管理的日志、安全存儲(chǔ)的日志、平臺(tái)管理員的操作日志等）
為應(yīng)用提供數(shù)據(jù)審計(jì)接口，應(yīng)用系統(tǒng)通過(guò)該接口可將日志發(fā)送到平臺(tái)，由平臺(tái)集中提供統(tǒng)一詳細(xì)的審計(jì)和統(tǒng)計(jì)（日志格式由平臺(tái)統(tǒng)一定義，并根據(jù)應(yīng)用安全的要求，對(duì)審計(jì)數(shù)據(jù)信息詳細(xì)度提出一些要求）；
提供網(wǎng)絡(luò)層的用戶訪問(wèn)審計(jì)，如何人、何時(shí)、何IP訪問(wèn)了哪個(gè)應(yīng)用；
提供審計(jì)存儲(chǔ)空間的閥值設(shè)置功能，當(dāng)存儲(chǔ)空間將滿時(shí)，及時(shí)進(jìn)行告警。
當(dāng)審計(jì)系統(tǒng)不能正常工作或?qū)徲?jì)存儲(chǔ)空間將滿時(shí)，自動(dòng)產(chǎn)生告警信息。審計(jì)存儲(chǔ)空間將滿時(shí)采取以下措施：切換到新的審計(jì)數(shù)據(jù)庫(kù)，原審計(jì)數(shù)據(jù)庫(kù)存檔（用戶可根據(jù)需要和制度進(jìn)行保存）。
采取審計(jì)服務(wù)與數(shù)據(jù)分離的機(jī)制，當(dāng)審計(jì)系統(tǒng)出現(xiàn)異常時(shí)，存儲(chǔ)的審計(jì)記錄不會(huì)被破壞。
系統(tǒng)審計(jì)記錄不可修改、不可偽造、不可刪除，另外通過(guò)摘要技術(shù)及驗(yàn)證操作，在意外情況下，能檢測(cè)出對(duì)審計(jì)記錄的修改。
提供對(duì)審計(jì)記錄的統(tǒng)計(jì)、查詢功能，包括按時(shí)間范圍、主客體身份、行為類型等條件進(jìn)行檢索查詢。
由平臺(tái)操作員來(lái)配置哪些應(yīng)用可審計(jì)，審核后方可生效；
由平臺(tái)操作員來(lái)配置每個(gè)應(yīng)用的審計(jì)員，審核后方可生效；
平臺(tái)的審計(jì)員不能審計(jì)具體的應(yīng)用；每個(gè)應(yīng)用的審計(jì)員方可審計(jì)對(duì)應(yīng)的應(yīng)用。
對(duì)審計(jì)記錄的操作同樣記錄日志，且受到同樣的保護(hù)（不可修改、不可偽造、不可刪除）。
審計(jì)系統(tǒng)時(shí)間可內(nèi)部設(shè)置，也可配置時(shí)間同步，即與外部標(biāo)準(zhǔn)時(shí)間源進(jìn)行時(shí)間同步。