一、银企直连
随着银行业务自动化和数据集中化的提高,很多企业客户需要柜台办理的业务都转移到在线办理,目前主流的银行都专门为企业客户提供了ukey,以及对应的网络接口,实现在线账务查询,转账等业务。
二、企业使用银行Ukey遇到的问题
2.1企业使用银行Ukey常见问题
使用加密狗/加密锁(UKey)的企业,尤其是云计算虚拟化技术的大型企业,往往会用到大量的行业加密狗,这会导致一系列困扰:其一,加密狗在物理传递过程中,难免会发生各种状况,如丢失或毁损;其二,因公司业务需要,员工可能必须随身携带加密狗外出,这种情况给企业内部使用该加密狗的员工带来不便,从而导致企业运作效率下降;其三,常见加密狗在PC机上拔插寿命一般为500次左右,加密狗在PC机反复的插拔难免会对插头和插口造成物理磨损,严重会导致无法使用。
在业务自动化方面,虽然银行提供了银企直连接口,但是出于安全考虑使用的物理硬件,需要手工插拔切换不同的银行ukey进行业务处理,严重限制了业务流程自动化,不利于集成到企业的其他信息系统众。
作为安全考虑,银行一般会要求插入ukey 的前置机独立配置,一个典型中型的企业都会有10个以上ukey, 这些ukey 每一个都要求独立前置,若采用物理机的话运算能力极大浪费,采用虚拟化前置是大多数企业的选择,这样就需要解决虚拟化中使用ukey 的问题。
银企直连涉及到到资金安全,需要有完善的事前审核和事后审计功能。有日志功能记录ukey 的插入/拔插,连接/断开,以及到每一个数据包的数据。
2.2企业管理Ukey困难
加密狗管理松散,从企业业务安全方面考虑,和特定加密狗无关的人员,例如:某员工没有使用该加密狗权限,却使用该加密狗。像这样的情况,是企业管理方面的漏洞,可能造成公司信息技术泄露,带来巨大损失,也是领导不想看到的情况。无规矩不成方圆,严格的管理制度是正规企业所必需的。
企业拥有大量加密狗,这些加密狗种类繁多,里面还会有一些加密狗外型相似,但负责不同的业务,准确区分相对应的加密狗以及对应的业务也极其重要。
有的困难是需要克服,如果这种困难已经影响到我们的正常工作,这就需要我们合理去解决,使企业业务安全平稳地进行。
云服务中虚拟环境下有些加密狗在物理机上能识别得到,在虚拟环境识别不到或者不稳定,我们可以通过usbserver共享服务硬件设备来实现在虚拟机或物理机使用U-key,以达到集中管理、远程控制等功能,也可在每台物理机或虚拟机之间很好地实现动态迁移加密狗。
一些加密狗在软件系统共享方案中也可以应用,但是需协同价格高昂的服务器一起使用,而我们只需配备单独的硬件设备即可。与前者相比,usbserver不仅节约了成本,节省了空间,而且硬件解决方案更具优势:每个usb端口提供稳定的供电,使设备工作稳定性更高。还有一些企业在应用加密狗时受到限制,即,只能在一个客户端使用,其他客户端无法使用此加密狗,只需用usbserver就可以实现网络上共享加密狗,大大提高了工作效率。综上所述,Usbserver方案通过解决这一系列问题,让您更好地实现在虚拟环境中使用加密狗及加密狗共享等应用。 Usbserver设备也是在虚拟化技术、IDC、系统集成商等多种行业应用usb设备在网络共享中的理想选择。此外,我们还为大中小型企业提供特别定制的云计算解决方案和安全模式方案。
三、银企直连ukey集中管理工作机理
3.1工作流程
1、客户应用通过API 接口调用RPA客户端,请求打开 ukey
2、RPA客户端询问集中控制器是否有权限打开连接指定的ukey
2、集中控制器通知客户端可以连接
4、RPA 客户端连接指定的usb server 中指定端口
5、USB Server 响应请求至客户端,并开启数据通道
6、RPA客户端通知ukey 连接状态
7、当有ukey 插入,拔插,连接,断开,报告日志服务器状态
3.2集中控制功能
实现集中调度服务,进行ukey 的集中管理,并提供以下功能
1 后台管理人员可以强制断开使用的 ukey
2 列表列出各个服务器的可用ukey,当可用ukey 下降到指定值时,提供警告
3 提供按ukey, 客户端 ip 的使用时长统计
4 可以在24/44口usb server 的任意一片服务器上部署,不需要单独的管理服务器
3.3 44口云计算版本工作原理
44口云计算版本在4u 的机架内,内置了22 片完全独立的主板,每片主板只提供两个 usb 端口为一组用于虚拟化,各组 usb 端口之间完全隔离,包括网络,cpu, 内存,操作系统都隔离,任何一组usb 失效不会影响其他组的 usb 共享。适用于高可靠,高密度环境的 usb 虚拟化环境。44口云计算版本细分两种:集中管理版本和独立管理版本。集中管理版本内置了一个微型路由器,对外只用一个ip 即可访问,适用于ip 资源紧张的环境;独立管理版本需要提供 22 个ip, 侧重于故障隔离。
适用场景:
高密度,高可靠性环境,例如数据中心,财务中心,银企直连。
已认证通过的银行银企直连ukey , 截至2019-8月底
| Ukey 厂家 |
Vid/pid |
结论 |
| 建设银行 |
8829:ccb2 |
可用 |
| 农业银行 |
096e:0401 |
可用 |
| 工商银行 |
1780:0401 |
可用 |
| 招商银行 |
069e:a101 |
可用 |
| 广发银行 |
1ea8:d002 |
可用 |
| 交通银行 |
1677:0107 |
可用 |
| 建行k宝 |
1677:0024:0100 |
可用 |
| 农行金e 顺飞天一代 |
096e:0305:0100 |
可用 |
| 平安银行 |
096e:070b:7104 |
可用 |
| 平安直通车 |
096e:070b:6104 |
可用 |
| 兴业银行 |
096e:0702:7102 |
可用 |
| 光大银行 |
096e:0713:3310 |
可用 |
| 广发银行 |
1ea8:d023:0100 |
可用 |
| 招商银行 |
1ea8:c016:0100 |
可用 |
| 农业银行 |
163c:0620:0704 |
可用 |
| 交通银行 |
1780:0501:0001 |
可用 |
| 华夏银行 |
096e:0716:3305 |
可用 |
| 民生银行 |
14d6:3002:0101 |
可用 |
| 中信银行 |
096e:0801:0100 |
可用 |
四、RPA客户端功能(单收费服务)
RPA 客户端提供服务接口,供第三方软件调用
五、U-KEY集中管理平台
5.1技术要求
管理平台采用B/S架构,在中心机房部署服务器和应用系统,服务端程序必须支持多种操作系统(至少包括Windows系列和Linux系列)。
管理平台通用性配置,只在一个服务端配置,其他服务端采用同步机制。
U-KEY图片配置支持常用图片格式,描述信息支持中文描述。
5.2功能需求
网络配置
管理平台提供个子模块的网络参数配置功能,维护并展示各子模块的IP地址、网关DNS等配置信息。
5.3设备配置
该模块功能,主要实现管理子模块中连接设备的信息,配置连接端口,描述信息,显示设备连接状态,配置设备的访问权限等。
5.4系统配置
系统配置功能,提供有关子模块系统的端口配置,以及用户连接方式设置,有关系统日志的配置,系统密码、远程重启,和版本更新等功能。
5.5 U-KEY设备管理
实现对所有在线设备的管理功能,包括设备故障的重置功能,空闲设备的自动管理功能,以及服务端的设备连接状态管理功能。
5.6用户配置管理
用户管理,在服务端配置系统用户,以及用户权限,实现客户端连接用户的登录验证功能,以及用户根据各自所拥有的U-KEY访问权限连接设备,实现用户的密码管理功能。
六、日志服务器(单收费服务)
Usb server 提供了详细,可配置的日志功能
记录级别分为仅连接,连接+数据头,全部数据包
不同的记录级别有不同安全响应,记录数据越详细,对网络和服务器的压力也越大
以下以一个使用加密狗为例说明
| 记录级别 |
数据量 |
安全性 |
监控目标 |
| 仅连接 |
小 |
低 |
是否使用了加密狗 |
| 连接+数据头 |
中 |
高 |
用加密狗做了哪些事情 |
| 全部数据包 |
大 |
高 |
用加密狗做了哪些事情,具体操作了哪些数据 |
查看日志
登录日志服务器,没有特别说明的情况下,账号为 admin, 密码为 linuxce
点击相关链接即可查看日志
七、性能要求
可用性要求
持续工作时间:系统能7*24小时不间断持续工作,除进行必要的维护而关闭外;
维护关闭时间:每次因维护连续关闭时间不超过4小时,每年累计关闭时间不超过8小时;所有维护需在非工作时间进行,并且不能影响正常需要;
有效工作时间:系统应保证99.9%的时间按设计工作时间正常运行;
在标准硬件配置环境下,系统使用过程的各项操作响应迅捷。
可靠性要求
软件在实施前经过完整的测试,以保证上线系统的可靠、稳定运行;
日常硬件维护不应影响正常的系统运行。
八、安全要求
系统应具有但不限于以下安全保障措施:
功能用户管理控制
所用人员仅能操作和查看其授权范围之内的U-KEY设备。
*管理员应能对系统中所有人员进行身份控制,并进行人员权限划分,系统应对无合法身份的用户禁止访问。
登陆管理
管理员用户登陆时,可根据需要,支持多种安全登陆认证机制;
有限授权
系统设计时,要考虑的授权原则:
基于设备的权限控制。
用户只能在设备访问权限范围进行访问;对于没有授权设备,用户无法访问。
系统操作日志
系统可以记录下来用户的每一次重要操作的日志,并提供对日志的分析功能。
九、项目实施
9.1系统支持
- 应提供系统支持和服务以保证项目的成功实施,包括:
- 系统应用软件的现场安装;
- 协调硬件和操作系统的安装;
- 提供完善的系统升级、扩容方案;
- 在支持时段(5×8)内接到求助后,1小时内必须响应,一般故障4小时内解决,重大故障,12小时解决,;
- 提供相应的支持体系以保证支持、服务和项目成功;
- 提出其在系统支持和维护方面专职投入的人力资源状况;
- 提交其支持团队的固定电话、移动电话、传真等及其他有关联系方式;
9.2维护
可提供满足系统维护最低需求的多种服务以供选择;
系统维护服务应包含有系统运行效率监控和调整的专家咨询,同时还包括系统的功能增强和升级;
9.3培训
概述
1) 新系统和新技术的实施将很大程度的改变原有的工作方式,应提供相关的培训。
2) 在培训方面应满足以下需求:
a. 培训讲师应具有丰富的经验;
b. 确保业务部门用户能够操作和使用新系统处理相关业务;
c. 确保信息技术人员能够运行、管理和维护系统;
3)提供电子版用户使用手册,使用手册应有相应图示,以利于学习使用。
培训需求
1) 培训课程应在指定地进行;
2) 培训并帮助应用人员熟练掌握相关模块的使用;
3) 向信息技术管理员提供下列培训:系统配置、系统应用、系统管理等;
公司介绍
北京盛讯美恒科技发展有限公司成立于2008年,是一家年轻的科技创新公司,是国内为数不多拥有真正自主知识产权的高新科技发展有限公司,全球、国内均处于领先地位的虚拟化平台USB设备解决方案提供商。我们拥有虚拟平台下USB设备使用完整的产品线和融合解决方案。
随着国内云计算环境的成熟,计算资源供给日益标准化,企业自建机房,维护IT基础设施的模式迅速转向云计算模式,连关键业务系统也倾向于虚拟化。
在企业转向云计算模式的过程中,有两类应用用到了usb server, 一类是以用友U8为代表的财务类软件,一类是各种企业银行应用,这两类应用都有一个绕不过去的门槛,如何在云计算环境中使用加密狗。这两类应用都是企业的关键业务应用,对安全性,可靠性要求很高, 公司专注于“把特定用途软件和硬件结合”,软件是灵魂,硬件是躯壳,二者缺一不可,我们的工作,就是为专用的软件定制提供硬件设备,软件硬件结合。
基于以上理念,开发的usb server 是一款 usb 设备虚拟化产品,通过把usb 设备网络化,可以摆脱usb 数据线的束缚,广泛用于企业虚拟化应用中,并拥有自主专利(专利号 ZL200920167815.3 )和软件著作权(软著登字第0219215号),累积发展企业客户1200多家,主要分布领域为税务、教育、科技、投资、核电、航天、船舶等行业。
公司依托雄厚的研发实力及客户群体,建有U-KEY兼容性测试实验室,实验室配备有测试服务器、数字示波器、逻辑分析仪等测试仪器设备,硬件条件优越。建立了Ukey 数据检索系统。该实验室为开放实验室,对社会各界开放。
从2011年开始,公司凭借在嵌入式和软件方面的深厚积累,拓展移动互联网,定位于“手机生产力”,为企业办公迁移到移动设备上提供解决方案。产品线涵盖了企业基础设施,安全检测,设备适配,办公流程优化,为企业向移动办公迁移提供实施咨询和解决方案。
2016年,公司收购了一支金融科技团队,获得了移动应用快速开发框架,依托drupal框架发力企业服务市场,重点专注钉钉和微信企业号整合,迄今为止,已经为数十家企业实施了基于drupal的钉钉及微信企业号的部署和定制开发。
北京盛讯美恒科技发展有限公司遵从客户为本的经营理念,依托于国内虚拟化云计算技术迅猛发展,坚持以持续技术创新为客户不断创造价值,致力于为客户提供强大的技术支持和周到的售后服务。
北京盛讯美恒 翟林 18611622922