一 需求背景
很多安全性和版权控制要求高的应用软件普遍采用硬件加密狗的形式控制用户的访问,如远程支付授权等,并且已经从并口加密狗发展到采用 USB 加密狗。
目前大部分情形是加密狗分派到相应权限的用户,使用的时候插到电脑U口,用完自己保管或交还主管统一保管。
存在的问题/要解决的痛点
1.1 加密狗Ukey 丢失风险
加密狗放在使用者抽屉或包里,存在保管丢失的风险;
1.2 加密狗不好盘点
随着企业业务扩大,越来越多的加密狗分散到不同人员手上,哪些过期了,那些快要过期了,哪些在谁手上等,这些问题变得越来越棘手;
1.3 加密狗频繁快递
对于那些集团公司,财务总部位于集团,分公司子公司月末月头需要使用加密狗,需要频繁由总部寄到外点使用,用完立刻要寄回,造成效率低下,而且有遗失的风险;
1.4 企业信息化系统升级到云端或虚拟化后,原先的加密狗怎么继续使用
服务器上没那么多U口,而且不可能频繁进出机房;一些业务迁移到阿里云或其他公有云上,业务授权还要在本地进行。
因此,需要一套专业的集中安全管控系统解决上述问题。
二 系统架构及组成
系统主要由集中管控软件UKEY_CC2000 以及远程USB Server 组成,
2.1 针对PC架构方式:
U盾直接查到PC或叫前置机 USB口,授权后进行业务操作;
现在,把所有U盾都集中插到RFS NetworkUSB Server上,通过网络或VPN将U盾远程映射到对应的PC上,PC上按照驱动程序及工具,物理上将U盾和人员隔离开,但逻辑上和原来直接插在PC上完全一样使用。
2.2 针对虚拟机/云架构
信息化系统虚拟化或云化后,原来需要U盾授权使用的业务系统,由于本地没有了PC,只有瘦客户机或云终端,U盾没有办法继续使用,现在,将所有U盾都集中插到RFS NetworkUSB Server上,通过网络或VPN将U盾远程映射到对应的虚拟机或云机,就想和本地原来直接插在电脑上使用效果完全一样。
三 系统功能
系统采用C/S架构,主要实现了如下功能:
3.1 Ukey 使用或限定使用
经过授权的用户,登陆到系统,点击“连接Ukey”,既可以把需要的Ukey“插到”自己的PC或虚拟机,正常进行业务操作;也可对Ukey进行限定使用,如特定时间段禁止任何人使用;
3.2 权限管理:
首次将所有用户的账号及Ukey使用权限录入到系统数据库,只有合法的账号才能使用对应的Ukey;
3.3 Ukey管理与盘点
系统将所有Ukey 集中统一管理,包括Ukey名称、序列号、有效时间、银行名称或软件名称等信息;可以按特定条件查询Ukey,比如,按照名称或有效期限查询;
3.4 统计与审计:
可针对Ukey进行使用频率,时间,账号等统计,也可对某一Ukey进行审计,追溯异常使用等情形;
3.5 系统管理
用户管理:创建、查询、启用和禁用用户,并分配角色等系统基本功能。
四 效益
通过本系统,可以实现对所有U盾的集中统一管控,安全访问,按条件进行查询及盘点,对金融、证券、保险以及集团公司等拥有大量U盾的客户,可以有效地提高安全性,提高作业效率。特别是对于那些已经虚拟化或计划虚拟化信息系统的用户,本系统非常完美地解决了加密狗U盾的使用及管理问题。
五 推荐应用
财务共享中心Ukey机制安全管控
RPA网银自动化人机协同工作
企业加密狗安全管控