Ukey全生命周期安全管控系统安全白皮书
1 整体系统架构安全性
阿谱斯Ukey manger 安全管控系统采用设备+平台+客户端标准企业级安全架构,平台部署在客户内网自己服务器上,UKey集中插在专用智能USB HUB上,设备只是通道,不存储任何用户敏感信息,如U盾名称、账号、使用人、到期日等敏感数据。财务老师及RPA 安装客户端软件。通过平台授权管理使用Ukey.
数据安全性:
阿谱斯设备里不存放任何业务数据,所有业务数据都存放在客户私网内部署的U盾管控平台服务器上,数据库可部署双机冗余架构,数据由甲方服务器存储并管理;
(其他:有的是设备内置数据库或数据文件,存储用户U盾使用信息,如厦门新XX;有的在设备里安装管控平台,设备和管控平台一体不可分开;如北京KBXX;这种单机板架构只适合代账公司,不适合企业集团信息安全要求。一旦设备坏了、维修、或者报废后,U盾使用数据存在极大的泄露风险。)
2 设备安全性
2.1 U盾物理安全性
全密闭结构,设备带独立锁,确保U盾不会被人轻易带走,且防尘防虫防鼠;
(其他:非密闭结构)
2.2 设备访问控制安全性
设备可通过IP白名单和安全码进行安全访问控制
2.3 设备电气安全性
使用温度0-70;每个USB端口真带15KV ESD保护,安规及电磁兼容性测试通过FCC/CE/GB 17625.1-2022:GB 4943.1-2022;GB/T 9254.1-2021(A级);拆开设备可以看到里面PCB的专业水准!
(其他:提供CCC认证,其实就是买了一个带CCC认证的好的电源适配器,拆开设备,里面PCB板、连线一塌糊涂!有的还有VGA,耳机接口等PC板子。有的还偷偷插个加密锁在板子上)
2.4 国产自主可控安全性
阿谱斯设备、底层驱动程序、客户端软件、管控平台等全部技术为国产自主研发,没有任何被国外“卡脖子”问题;核心CPU等均采用国产工业级ARM处理器。有完整软著专利等相关知识产权,驱动程序有微软官方WHQL兼容性认证。特别是设备***为核心的USB端口映射驱动程序,完全自主研发可控。该类设备***为关键的端口网络映射驱动程序,国内***自研厂家,支持windows\Linux\信创OS。
(提醒:有的设备采用因特尔X86电脑改装而成,且采用国外第三方USB OVER IP/USBIP软件封装到设备里,windows操作系统没有能力自研驱动程序,采用第三方驱动程序,有的使用澳大利亚Vitualhere的授权软件,有的使用英国FabulaTech驱动程序,有的使用上海某工作室Drivercoding套壳成CLOUDUSB驱动程序,设备核心软件均非自有,存在知识产权纠纷的风险,且有随时被停止使用的巨大风险。存在严重信息泄露和安全风险。)
国产信创适配能力决定了2027年银行网银迁移到国产信创OS后,是否还能继续使用:
2.5 设备安全性定位
标准IT网络设备,定位是机房专业网络设备,双网双电冗余,使用温度、指示灯等设计,按照机房专业通信设备设计的;主打安全可靠!
其他:定位是办公室自动化设备,类似打印机、报销一体机等办公器材设计,基于PC架构拼凑改造,主打方便低价!
3 业务使用安全性
3.1网银密码安全性
RPA通过专用硬件流程密码盒子做隔离;财务人员使用必须自己记住密码输入,阿谱斯不管理客户网银密码;
(其他:竟敢把客户网银账户、密码存储在其管控平台内,而管控平台有的还不是独立部署,偷偷在设备里藏一个数据库文件!!吓人!)
3.2 用户登录系统安全性
客户端登录方式:账户+密码+随机验证码+二次验证(如企微);客户单点登录系统登录(如KK);可增加指纹;平台密码强制复杂密码且90天须更改;
(其他:有厂商提供电子围栏登录客户端解决方案,需要增加额外成本和兼容性问题;不如直接使用windows 11本身自带的电子锁功能,效果更好。)
3.3 U盾管理系统重要安全机制
阿谱斯Ukey全生命周期安全管控系统为实时监控系统,每枚U盾是否可用状态,实时知晓;U盾和端口严格绑定,偷换会自动识别提示不匹配且无法连接使用;
(其他:非实时系统,巡检方式;U盾和端口无法绑定;被人偷偷拔掉或换掉,无法***时间知道,不可知谈何可管控!)
4 高安全性要求客户案例:
互联网及金融类客户对安全要求极为高,阿谱斯因为符合安全审核要求,被大类此类企业选用,如华为、阿里巴巴、美团、京东、字节跳动、隆基绿能、中兴通讯、中信证券、银河证券、国泰君安等几乎所有证券、保险、基金、银行都是因为安全性原因采用阿谱斯设备。
其他:基本没有这类客户。
因此,阿谱斯通信USB服务器及安全管控系统通过多维度安全机制,确保用户网银U盾安全合规使用,人盾分离、授权使用、使用过程日志记录、异常报警记录、实时在线监控、U盾盘点统计等全流程管控。并得到大量央企国企等高安全要求客户的认可和选择。
(提醒:弄个3C认证,并不能证明其设备和系统真正安全。3C只是代表设备绝缘和耐压及电磁兼容性符合相应国标范围,说白了,就是测试设备的电源是否可靠。3C不对设备的功能和信息安全做任何测试。)
如需进一步了解或需要安全相关检测报告等,欢迎与我们联系交流。
