北财在线针对金融和泛金融类公司的大量U盾安全便捷集中管理方案

发布时间:2022-10-14 11:30:00   作者:小G  浏览次数:451

在银行、保险、证券、基金、期货、财务公司等企业的资金管理和业务操作中,需要管理和操作大量的U盾Ukey,少则几十,多则成百上千。尤其是当前企业资金全量、全场景覆盖监管政策的要求下,以及企业IT架构逐渐向超融合虚拟化方向演进,金融类和泛金融类公司的U盾管理成为一个不小的技术难题。

一、网银U盾主要有两大类:

1、用于银企直联的直联U盾,主要用于企业银企直联时的安全认证,签名和验签。

2、财资业务人员使用的网银U盾,主要是相关业务操作的查询盾,经办盾和审核盾。

二、网银U盾现有主要管理方式:

1、银企直联盾主要还是直接插在物理前置机上,多个银企直需要多个物理前置机。

2、业务使用的U盾则分散在不同单位的不同角色财务人员手里。

三、网银U盾管理所面临的问题:

1、直联盾直接插在物理前置机上,占用空间大,造成资源浪费,管理复杂。

2、部分直联盾需要定期进行人工进行插拔,防止长时间不操作休眠。

3、部分业务用的U盾或电子口令卡存在需要按压物理OK/确认键,在U盾上输入密码,需要长按相关按键,需要侧按相关按键,以及动态口令填入。

4、业务人员还需要频繁进行U盾操作,进行流水、回单、对账单等的下载,以及支付提单等的重复、低效的工作。

5、U盾多,容易遗失,业容易出错。

6、非银企直联网银资金数据采集工作量大,采集不及时。

7、直联U盾在云主机,虚拟机等环境下远程挂载使用。

8、业务用网银U盾如何集中远程管理和使用。

四、网银U盾集中安全管理的方案:

随着企业归集分散在各分子公司或部门的网银U盾等设备,实行统一集中管理,实现U盾入库登记,使用登记,实现U盾统一调度管理,实现U盾自动插拔,U盾OK或确认键自动按压,在U盾上自动输入密码,U盾动态口令自动识别回填等;实现相关U盾远程共享挂载,权限分配,访问控制,IP或MAC地址白名单,U盾过期自动提醒;集中管理后的U盾等设备支持远程运行挂载在裸金属服务器,各种云服务以及虚拟服务器,同时提供客户端,支持分散的业务人员通过客户端远程挂载运行相应U盾,同时也支持RPA机器人对盾自动化的相关操作。支持U盾使用、闲置等情况的统计,支持管理和调用操作的实时日志。支持有线网络和无线连接接入。


图 1 U盾集中管理系统功能及统计


1.无线有线接入管理

实现KBOT U盾集中管理设备有线和无线接入管理,支持有线和无线的DHCP,支持有线和无线的静态固定IP设置。实现IP地址、子网掩码、网关地址、DNS地址设置。


图 1.1 接入有线固定IP设置示例


图 1.2 接入无线固定IP设置示例


2.KBOT(USBServer)接入管理

支持管理多个KBOT(USBServer)的接入管理,支持设置接入KBOT的名称、IP地址、登陆用户名密码,拥有者登的信息设置,支持接入KBOT的新增、编辑和删除,支持打开和关闭选定KBOT设备全部USB端口;支持KBOT端口对应U盾配置,配置对应U盾的端口名称、位置,U盾的管理人员、类型、账户、密码、领用时间、领用人,U盾到期时间,是否需要按压,OK/确认键按压,长按、侧按等,以及在U盾密码输入,动态口令识别,支持U盾用户授权等;支持端口配置的新增、查看、编辑、删除、关闭、开启等功能。


图 2.1 KBOT接入管理列表示例


图 2.2 KBOT接入新增和编辑功能示例


图 2.3 KBOT端口功能列表示例


图 2.4 KBOT端口新增和编辑功能示例


3.机械臂配置管理

管理配置KBOT(USBServer)机械臂,实现单臂机械臂,轨道机械臂的管理配置,实现机械臂名称、类型所在USBServer的位置、IP、用户名和密码管理,实现接入机械臂不同位置坐标的配置。支持机械臂的新增、编辑、配置、删除、测试按压等功能。

图 3.1 KBOT机械臂列表功能示例


图 3.2 KBOT机械臂新增编辑功能示例


4.网银账户管理

支持管理KBOT(USBServer)对应端口的网银账户管理,支持账户名称、账户号码、开户行、开户支行、账户类型(U盾登陆和电子网银)、U盾类型、U盾序列号、U盾密码、账号密码等的新增和编辑,网银账户的批量导入,以及删除和编辑功能。

图 4.1 KBOT端口对应网银账户管理功能示例


图 4.2 KBOT端口对应网银账户添加和编辑功能示例


5.打印机共享管理

KBOT(USBServer)管理控制台支持接入局域网或可访问网络打印机的添加共享,实现远程共享打印或云打印。便于特定场景下智能自动打印相关凭证或单据。

图 5.1 KBOT打印机管理列表功能示例


图 5.2 KBOT打印机添加和打印功能示例


6.日志管理

实现KBOT(USBServer)管理人员、业务人员、客户端的操作和调用详细记录,记录了操作调用的人员名称、时间、IP地址、动作名称,所有操作日志实时生成,不能删除,方便相应的安全审计。

图 6.1 KBOT日志记录功能示例


7.账户管理

实现KBOT(USBServer)账户的增加、删除、编辑和禁用、启用,账户密码的重置,账号密码要求必须有大小写字母,数字和特殊字符,必须大于等于6位数,支持用户和IP地址以及MAC地址绑定的白名单机制,以及人员角色的设置。

图 7.1 KBOT账户管理功能示例


图 7.2 KBOT账户新增和编辑功能示例


8.角色管理

实现KBOT(USBServer)基于RBAC用户角色的增加、删除、编辑和权限的设置。

图 8.1 KBOT角色新增和编辑功能示例


图 8.2 KBOT角色权限配置功能示例


9.客户端连接

KBOT(USBServer)支持客户端远程挂载集中统一后的U盾,可以实现授权用户登陆后U盾远程挂载到本地使用,支持连接选定U盾,断开U盾连接,支持实现远程U盾OK/确认键自动按压,U盾上的密码远程自动输入

图 9.1 KBOT 客户端用户登陆功能示例


图 9.2 KBOT客户端连接、断开、输密确认功能示例