金稅三期應(yīng)用安全支撐平臺安全客戶端控件

金稅三期應(yīng)用安全支撐平臺安全客戶端控件是一款國家稅務(wù)總局安全客戶端控件，應(yīng)用安全支撐平臺在用戶規(guī)劃和建設(shè)應(yīng)用系統(tǒng)過程中，為"落實(shí)應(yīng)用的安全要求"提供了參考指南和解決規(guī)范；應(yīng)用安全支撐平臺在應(yīng)用的使用和管理過程中，為"方便應(yīng)用的安全管理"提供了可行手段和操作工具。

三個特點(diǎn)：

應(yīng)用安全：應(yīng)用安全支撐平臺可最大程度的解決各個網(wǎng)絡(luò)中應(yīng)用系統(tǒng)存在的安全問題，使之達(dá)到敏感信息網(wǎng)絡(luò)的相關(guān)安全要求。
簡化管理：應(yīng)用安全支撐平臺可最大程度的簡化管理員對客戶終端的安裝部署，應(yīng)用系統(tǒng)的調(diào)整、安全策略的調(diào)整只需管理員在平臺上集中完成，對所有的用戶透明。
集中統(tǒng)一：應(yīng)用安全支撐平臺將當(dāng)前分散的應(yīng)用安全管理和標(biāo)準(zhǔn)不一的安全問題盡最大程度的集中在平臺上予以解決，做到應(yīng)用安全服務(wù)集中、標(biāo)準(zhǔn)統(tǒng)一、成本低廉、安全風(fēng)險(xiǎn)低。

產(chǎn)品功能：

應(yīng)用安全支撐平臺主要功能包含身份鑒別支撐、安全傳輸支撐、安全存儲支撐、授權(quán)管理支撐、簽名驗(yàn)證支撐、安全審計(jì)支撐等六個部分。

產(chǎn)品特色

1、身份鑒別支撐和安全傳輸支撐

結(jié)合PKI/CA證書，采用SSL VPN協(xié)議的應(yīng)用安全保護(hù)方案，實(shí)現(xiàn)用戶的強(qiáng)身份認(rèn)證和數(shù)據(jù)安全傳輸。
將在格爾原安全認(rèn)證網(wǎng)關(guān)基礎(chǔ)上，研發(fā)了透明代理技術(shù)，將該功能集成到平臺中；并和網(wǎng)盾配合，透明的實(shí)現(xiàn)強(qiáng)身份認(rèn)證和安全傳輸；
透明代理的安全解決方案，使應(yīng)用結(jié)合更快捷，管理員安裝維護(hù)更方便；
安全代理的策略設(shè)置需嚴(yán)格進(jìn)行三權(quán)分立管理；
提供一個應(yīng)用訪問門戶，根據(jù)應(yīng)用的情況，可增刪應(yīng)用列表，且在門戶里顯示相應(yīng)的應(yīng)用鏈接列表。另外，該門戶頁面可實(shí)現(xiàn)必要的用戶自配置功能（如單位名稱、顯示圖片等）。
2、安全存儲支撐
結(jié)合PKI/CA證書，采用網(wǎng)絡(luò)安全集中存儲與安全分享的數(shù)據(jù)保護(hù)方案，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的安全存儲。（注：僅限文件類型的應(yīng)用數(shù)據(jù)）。
集成網(wǎng)絡(luò)安全存儲功能；
提供加密存取的開發(fā)接口（需要應(yīng)用調(diào)用）；
提供客戶端控件，用戶在應(yīng)用客戶端程序中上傳文件時，可選擇網(wǎng)絡(luò)安全存儲中的相關(guān)目錄；
提供服務(wù)端接口，應(yīng)用可獲取用戶可閱文件的鏈接地址（安全存儲文件的獲取途徑）。
3、授權(quán)管理支撐
提供統(tǒng)一的授權(quán)管理模塊，為應(yīng)用系統(tǒng)提供授權(quán)管理支撐。
平臺提供獨(dú)立的應(yīng)用授權(quán)管理模塊；
統(tǒng)一管理用戶的詳細(xì)屬性（基本屬性+擴(kuò)展屬性），為應(yīng)用的各自授權(quán)提供統(tǒng)一的用戶屬性管理功能；
統(tǒng)一屬性管理功能中注冊的部門結(jié)構(gòu)、用戶屬性，可以對外提供接口，供各種應(yīng)用獲�。�
平臺為應(yīng)用提供基本的網(wǎng)絡(luò)接入授權(quán)，首先非平臺注冊授權(quán)的用戶無法接入該網(wǎng)絡(luò)；
平臺為每一應(yīng)用提供一定粒度的訪問控制，為每一應(yīng)用先做一次用戶的訪問篩選；
授權(quán)管理設(shè)置需嚴(yán)格進(jìn)行三權(quán)分立管理。
4、簽名驗(yàn)證支撐
為符合應(yīng)用安全要求的完整性、抗抵賴性，提供簽名和驗(yàn)簽的功能，即簽名驗(yàn)證支撐。
提供簽名驗(yàn)證服務(wù)模塊；
簽名驗(yàn)證支撐支持多種模式，滿足各種應(yīng)用數(shù)據(jù)完整性和抗抵賴的需求；如下三種常見模式：1.客戶端數(shù)據(jù)簽名，客戶端數(shù)據(jù)驗(yàn)證；（常用于數(shù)據(jù)交換應(yīng)用）；2.客戶端數(shù)據(jù)簽名，服務(wù)端數(shù)據(jù)驗(yàn)證；（常用于客戶端的關(guān)鍵操作或提交的關(guān)鍵數(shù)據(jù)）；3.服務(wù)端數(shù)據(jù)簽名，服務(wù)端數(shù)據(jù)驗(yàn)證；（常用于數(shù)據(jù)備份）；
提供客戶端控件，供應(yīng)用客戶端調(diào)用，完成應(yīng)用數(shù)據(jù)和應(yīng)用操作的簽名或數(shù)據(jù)驗(yàn)證過程；（簽名時采用客戶端操作者的個人證書進(jìn)行）；
提供服務(wù)端接口，供應(yīng)用服務(wù)端調(diào)用，采用平臺的設(shè)備證書進(jìn)行數(shù)據(jù)簽名操作；
提供服務(wù)端接口，供應(yīng)用服務(wù)端調(diào)用，進(jìn)行驗(yàn)證操作，實(shí)現(xiàn)應(yīng)用的完整性校驗(yàn)、數(shù)據(jù)提交者身份的抗抵賴；
平臺可拒絕傳輸過程中完整性破壞的數(shù)據(jù)，要求發(fā)起方進(jìn)行重發(fā)處理，以進(jìn)行信息補(bǔ)救。
5、安全審計(jì)支撐
通過提供平臺本身及整個應(yīng)用系統(tǒng)的全方位審計(jì)和統(tǒng)計(jì)功能，實(shí)現(xiàn)應(yīng)用系統(tǒng)的安全審計(jì)支撐。
提供平臺本身的全方位審計(jì)和統(tǒng)計(jì)功能；（針對平臺自身的安全功能進(jìn)行審計(jì)，包括透明代理的日志、授權(quán)管理的日志、安全存儲的日志、平臺管理員的操作日志等）
為應(yīng)用提供數(shù)據(jù)審計(jì)接口，應(yīng)用系統(tǒng)通過該接口可將日志發(fā)送到平臺，由平臺集中提供統(tǒng)一詳細(xì)的審計(jì)和統(tǒng)計(jì)（日志格式由平臺統(tǒng)一定義，并根據(jù)應(yīng)用安全的要求，對審計(jì)數(shù)據(jù)信息詳細(xì)度提出一些要求）；
提供網(wǎng)絡(luò)層的用戶訪問審計(jì)，如何人、何時、何IP訪問了哪個應(yīng)用；
提供審計(jì)存儲空間的閥值設(shè)置功能，當(dāng)存儲空間將滿時，及時進(jìn)行告警。
當(dāng)審計(jì)系統(tǒng)不能正常工作或?qū)徲?jì)存儲空間將滿時，自動產(chǎn)生告警信息。審計(jì)存儲空間將滿時采取以下措施：切換到新的審計(jì)數(shù)據(jù)庫，原審計(jì)數(shù)據(jù)庫存檔（用戶可根據(jù)需要和制度進(jìn)行保存）。
采取審計(jì)服務(wù)與數(shù)據(jù)分離的機(jī)制，當(dāng)審計(jì)系統(tǒng)出現(xiàn)異常時，存儲的審計(jì)記錄不會被破壞。
系統(tǒng)審計(jì)記錄不可修改、不可偽造、不可刪除，另外通過摘要技術(shù)及驗(yàn)證操作，在意外情況下，能檢測出對審計(jì)記錄的修改。
提供對審計(jì)記錄的統(tǒng)計(jì)、查詢功能，包括按時間范圍、主客體身份、行為類型等條件進(jìn)行檢索查詢。
由平臺操作員來配置哪些應(yīng)用可審計(jì)，審核后方可生效；
由平臺操作員來配置每個應(yīng)用的審計(jì)員，審核后方可生效；
平臺的審計(jì)員不能審計(jì)具體的應(yīng)用；每個應(yīng)用的審計(jì)員方可審計(jì)對應(yīng)的應(yīng)用。
對審計(jì)記錄的操作同樣記錄日志，且受到同樣的保護(hù)（不可修改、不可偽造、不可刪除）。
審計(jì)系統(tǒng)時間可內(nèi)部設(shè)置，也可配置時間同步，即與外部標(biāo)準(zhǔn)時間源進(jìn)行時間同步。