某省能源财务共享U盾集中安全管控

一、企业概况

       某省能源集团有限公司成立于2001年，公司注册资本200多亿元人民币，以发电为核心，协同发展天然气、煤炭、航运、港口、储能、节能、环保、金融、综合能源服务等上下游产业链。2024年实现营业收入837亿元，上网电量超1600亿千瓦时，截至2024年底，公司资产总额达3115亿元。拥有全资、控股、参股单位500多家，控股1家A股上市公司。中国企业500强位列第200多位。

二、核心需求和痛点

       核心业务需求：

       1、实现网银U盾集中管理，人盾分离，公司内部远程使用网银U盾；

       2、实现网银U盾更细粒度权限管控，按人、角色、用户、设备、终端、盾、时间等多维度进行管控；

       3、实时监控U盾使用状况，U盾在线状况等，日志记录和审计；

       4、方便查找、管理、维护和变更网银U盾；

       5、实现网银U盾按键远程点按，支持正面OK按键，侧面OK按键，尾部OK按键，长按，双击，锁屏按键等，以及密码器按键；

       6、网银U盾休眠后支持网银U盾唤醒，支持物理模拟插拔网银U盾；

       7、支持兼容网银一代盾和二代盾；

       8、提供网银RPA机器人调用接口。

       信创及安全要求：

       1、USBServer设备CPU必须是国产ARM架构，满足信创要求，64位，不少于8核。内存不低于8G，系统存储不低于64G 固态盘，数据存储不低于128G；

       2、USBServer设备内操须是国产信创操作系统银河麒麟V10；

       3、管控平台要求部署支持华为鲲鹏920 ARM架构服务器，支持银河麒麟高级服务器操作系统V10，数据库支持华为OpenGuass；

       4、上线前现场测试并满足等保三的系统安全要求，按CCRC第三方安全测评整改直至复测无高中低风险。

       业务痛点：

       1、U盾多，线下管理不方便，查找不便捷，U盾领取、归档、销户、交接等繁琐；

       2、U盾使用无法进行有效追溯和审计，无法进行细粒度的权限管控；

       3、频繁插拔U盾容易损坏U盾或电脑端口，同时还需人工手动点按OK确认键；

       4、线下使用U盾效率低下，同时会因保管不当，容易造成U盾丢失；

       5、人盾没有分离，经办和复核若经由一个人，容易发生舞弊风险，从而造成资金损失。

三、KBOT USBServer解决方案

 通过网银优盾集成管理设备及网银U盾智能化管理系统，实现对网银U盾集中安全管理和智能化调用。将所有网银U盾集中插放在KBOT USBServer网银U盾智能硬件管理设备上，通过配套的KBOT软件管理平台配置U盾与设备端口对应关系以及指定每个U盾管理人员，资金人员可通过电脑客户端远程操作管辖内的所有网银U盾，从而进行网银登录、业务处理等步骤认证，省去反复查找、插拔U盾，按压U盾的工作，大幅提高工作效率。实现对各类型U盾统一进行集中管理、自动化管理和应用，具备U盾授权使用、远程调用、实时监控、安全认证、可追踪及统计等功能，并具有良好的可扩展性，可用于后续对接共享业务系统或RPA（流程自动化机器人）软件等。通过对网银优盾进行集中管控，为集团进一步推动资金业务自动化提供条件，为全面推动财务云资金结算自动化、智能化工作，实现安全、高效结算打下坚实基础。

       2台KBOT_1896，1台KBOT_5400，5台KBOT_1884智能一体化设备，设备采用国产高性能嵌入式ARM架构的RK3588，8核的CPU，64G固态+128G数据存储，8G内存，银河麒麟嵌入式操作系统 V10 SP1。两台智能轨道多点按压机械臂，共支持680多个网银U盾（含经办和复核）的集中管理和远程使用。一套KBOT管控平台，部署在两台华为鲲鹏920，OpenGuass系统，银河麒麟高级服务器版本V10的私有云虚拟服务器上，两台为一主一备。

部署逻辑架构示例图

       安全加固及策略设置：

       1、设置设备口令锁定策略，口令生存期和口令复杂度；

       2、限制设备root用户SSH远程登录，并配置用户最小授权；

       3、设置设备内文件与目录缺省权限控制；

       4、限制设备远程登录的白名单；

       5、设置设备登录超时时间设置和账号文件权限设置；

       6、开启设备日志审计服务；

       7、设备内安装杀毒软件和安全中心；

       8、设备启用操作系统防火墙；

       9、管控平台设置业务人员登录客户端与IP地址MAC地址绑定，非白名单的用户拒绝访问；

      10、客户端登录客户启用动态口令认证，APP动态口令5分钟刷新一次；

      11、管控平台严格细粒度控制U盾授权用户，授权使用时间；

      12、管控平台系统管理员只有管理权限，不能挂载和使用U盾。

      U盾集中管理应用效果：

      财务共享中心共归集了600多网银U盾，几十个不同银行、不同类型、不同权限的网银U盾，每日根据待办理的结算单据逐笔、逐个切换账户，来回插拔不同账号所对应的网银U盾，该过程及其繁琐、枯燥，乏味，业务量非常巨大，不仅业务处理效率提升有限，数据处理出错、遗漏的概率也大，服务响应的时间和周期也相对滞后，同时由于人力资源有限，相关业务骨干员工经常需要加班加点，工作饱和度和工作强度都较高，重复低附加值的工作使员工获得感也较弱，更是无法把有限的精力投入更有价值的工作内容上。

       通过引入KBOT USBServer网银U盾智能硬件管理设备，以及配套的KBOT管理平台配置U盾与设备端口对应关系以及指定每个U盾管理人员，资金人员可通过电脑客户端远程操作管辖内的所有网银U盾，从而进行网银登录、业务处理等步骤，省去反复查找、插拔 U 盾的工作，大幅提高工作效率。效率提升58%。

       同时使原来线下使用U盾的方式转变到线上，满足U盾线上入库，出库，借出，远程连接、按压等操作，权限细粒度管控，网银U盾使用日志记录和审计，绑定了用户的IP地址或MAC地址，增强了U盾使用的安全性，管理便捷性提升68%，安全性提升了79%。