格尔软件应用安全支撑平台管理系统

透明代理的安全解决方案，使应用结合更快捷，管理员安装维护更方便；

安全代理的策略设置需严格进行三权分立管理；

提供一个应用访问门户，根据应用的情况，可增删应用列表，且在门户里显示相应的应用链接列表。另外，该门户页面可实现必要的用户自配置功能（如单位名称、显示图片等）。

2、安全存储支撑

结合PKI/CA证书，采用网络安全集中存储与安全分享的数据保护方案，实现应用数据的安全存储。（注：仅限文件类型的应用数据）。

集成网络安全存储功能；

提供加密存取的开发接口（需要应用调用）；

提供客户端控件，用户在应用客户端程序中上传文件时，可选择网络安全存储中的相关目录；

提供服务端接口，应用可获取用户可阅文件的链接地址（安全存储文件的获取途径）。

3、授权管理支撑

提供统一的授权管理模块，为应用系统提供授权管理支撑。

平台提供独立的应用授权管理模块；

统一管理用户的详细属性（基本属性+扩展属性），为应用的各自授权提供统一的用户属性管理功能；

统一属性管理功能中注册的部门结构、用户属性，可以对外提供接口，供各种应用获取；

平台为应用提供基本的网络接入授权，首先非平台注册授权的用户无法接入该网络；

平台为每一应用提供一定粒度的访问控制，为每一应用先做一次用户的访问筛选；

授权管理设置需严格进行三权分立管理。

4、签名验证支撑

为符合应用安全要求的完整性、抗抵赖性，提供签名和验签的功能，即签名验证支撑。

提供签名验证服务模块；

签名验证支撑支持多种模式，满足各种应用数据完整性和抗抵赖的需求；如下三种常见模式：1.客户端数据签名，客户端数据验证；（常用于数据交换应用）；2.客户端数据签名，服务端数据验证；（常用于客户端的关键操作或提交的关键数据）；3.服务端数据签名，服务端数据验证；（常用于数据备份）；

提供客户端控件，供应用客户端调用，完成应用数据和应用操作的签名或数据验证过程；（签名时采用客户端操作者的个人证书进行）；

提供服务端接口，供应用服务端调用，采用平台的设备证书进行数据签名操作；

提供服务端接口，供应用服务端调用，进行验证操作，实现应用的完整性校验、数据提交者身份的抗抵赖；

平台可拒绝传输过程中完整性破坏的数据，要求发起方进行重发处理，以进行信息补救。

5、安全审计支撑

通过提供平台本身及整个应用系统的全方位审计和统计功能，实现应用系统的安全审计支撑。

提供平台本身的全方位审计和统计功能；（针对平台自身的安全功能进行审计，包括透明代理的日志、授权管理的日志、安全存储的日志、平台管理员的操作日志等）

为应用提供数据审计接口，应用系统通过该接口可将日志发送到平台，由平台集中提供统一详细的审计和统计（日志格式由平台统一定义，并根据应用安全的要求，对审计数据信息详细度提出一些要求）；

提供网络层的用户访问审计，如何人、何时、何IP访问了哪个应用；

提供审计存储空间的阀值设置功能，当存储空间将满时，及时进行告警。

当审计系统不能正常工作或审计存储空间将满时，自动产生告警信息。审计存储空间将满时采取以下措施：切换到新的审计数据库，原审计数据库存档（用户可根据需要和制度进行保存）。

采取审计服务与数据分离的机制，当审计系统出现异常时，存储的审计记录不会被破坏。

系统审计记录不可修改、不可伪造、不可删除，另外通过摘要技术及验证操作，在意外情况下，能检测出对审计记录的修改。

提供对审计记录的统计、查询功能，包括按时间范围、主客体身份、行为类型等条件进行检索查询。

由平台操作员来配置哪些应用可审计，审核后方可生效；

由平台操作员来配置每个应用的审计员，审核后方可生效；

平台的审计员不能审计具体的应用；每个应用的审计员方可审计对应的应用。

对审计记录的操作同样记录日志，且受到同样的保护（不可修改、不可伪造、不可删除）。

审计系统时间可内部设置，也可配置时间同步，即与外部标准时间源进行时间同步。

产品部署

1、单设备部署

 2/3   首页 上一页 1 2 3 下一页 尾页