| 安全性对比 | ||||||
| 序号 | 安全内容 | 阿谱斯通信RPUSI★★★★★ | 其他X | 其他K | 严重性说明 | 鉴定方式或证据 |
| 整体系统架构安全性★★★★★ | 设备+平台+客户端企业级架构,设备只是通道,不存储任何用户业务使用信息,客户业务使用信息,U盾信息都存在平台端,标准企业级架构 | 设备内存储客户业务信息及U盾信息,平台和客户端作为微服务,设备内置数据库或数据文件,安全性重度依赖设备; | 设备和U盾管控平台一体化架构,数据和设备混在一起 | 设备维修、报废,客户的U盾信息及业务使用信息,怎么保证不被泄露?信息安全严重漏洞 | POC或设备及平台手册 | |
| 整体安全性 | 网络安全性★★ | 设备网络端口号可更改,网络协议可自定义开启关闭 | 未知有无安全机制 | 未知 | IT准入及护网行动会涉及 | 查看设备内网络参数配置部分 |
| 数据安全性★★★★★ | 设备里不存放任何业务数据,所有业务数据都存放在客户私网内部署的U盾管控平台,数据库可部署双机架构,数据由甲方服务器存储并管理 | 设备内存放客户业务使用数据,如U盾名称、账号、使用人以及使用连接次数等客户敏感数据 | 设备和平台为一体,客户业务数据势必存在设备内 | 我的数据我做主,数据资产属于甲方,甲方数据不能存储在普通设备里;严重安全管理漏洞 | 核查设备内是否需要配置U盾相关信息,是否有独立管控平台部署 | |
| U盾物理安全★★★ | 全密闭结构,设备带独立锁,确保U盾不会被人轻易带走,且防尘防虫防鼠 | 非密闭结构,鼠笼式架构 | 非密闭结构 | 老鼠会把U盾线咬断 | 网站图片及实物 | |
| 设备访问控制安全性★★ | 设备可通过IP白名单和安全码进行安全访问控制 | 令牌机制 | 未知 | 设备部署在内网IP地址,不对公网,通常主要以IP白名单为常见方式 | 查看设备内网络参数配置部分 | |
| 设备安全性 | 设备电气安全性★★★★★ | 使用温度0-70;每个USB端口真带15KV ESD保护,安规及电磁兼容性测试通过FCC/CE/GB 17625.1-2022:GB 4943.1-2022;GB/T 9254.1-2021(A级) | 使用温度0-45度;端口号称带15KV静电保护,但PCB上没任何保护芯片;GB 17625.1-2022:GB 4943.1-2022;GB/T 9254.1-2021(A级);CCC | 使用温度0-45度;端口无保护;GB 17625.1-2022:GB 4943.1-2022;GB/T 9254.1-2021(A级);CCC | 端口真带ESD静电保护还是虚假,核实PCB上保护芯片可知 | 报告、认证及打开设备看PCB板品质就知道真假 |
| 设备安全性定位★★★★★ | 标准IT网络设备,定位是机房专业网络设备,双网双电冗余,使用温度、指示灯等设计,按照机房专业通信设备设计的 | 定位是办公室自动化设备,类似打印机、报销一体机等办公器材设计,基于PC架构拼凑改造 | 定位是办公室自动化设备,类似打印机、报销一体机等办公器材设计,基于PC架构改造拼凑 | 究竟是专业设备还是电脑还是办公器材,涉及到甲方安全管控归类和级别 | POC+实测+技术交底 | |
| 国产自主可控安全性★★★★★ | 该类设备***为关键的端口网络映射驱动程序,国内自研厂家,支持windows\Linux\信创OS | 第三方笛可科技授权,套壳成CLOUDUSB,无自研能力 | 澳大利亚Vitualhere 授权驱动程序,无自研能力 | 被卡脖子及后门漏洞风险;老外的部分U盾不兼容,无法匹配;2027年***切换到国产信创OS下还能否继续使用,不让用windows的化,立刻变成”砖头“ | 设备管理器-串行通用总线截图--属性,查看数字前面证书是自己的还是第三方的 | |
| 网银密码安全性★★★★★ | RPA通过专用硬件流程密码盒子做隔离;财务人员使用必须自己记住密码输入,不管理客户网银密码 | 未知 | 把客户网银账户、密码存储在其管控平台内! | 业务层面***为关键的安全核心问题 | POC+实测+技术交底 | |
| 业务使用安全性 | 用户登录系统安全性★★★ | 客户端登录方式:账户+密码+随机验证码+二次验证(如企微);客户单点登录系统登录(如KK);可增加指纹 | 账户密码+指纹模块;电子围栏 | 账户密码等方式 | 多因子认证 | POC+实测+技术交底 |
| U盾管理系统重要安全机制 | 实时监控系统,每枚U盾是否可用状态,实时知晓;U盾和端口严格绑定,偷换会自动识别提示不匹配且无法连接使用 | 非实时系统,巡检方式;U盾和端口无法绑定 | 非实时系统,巡检方式;U盾和端口无法绑定 | 可知可用可管;线上系统和之前存放在保险柜里管理逻辑不一样了 | POC+实测+技术交底 | |
| 供应链安全性★★ | 硬件、软件全自研,自有研发和工厂 | 非自研,淘宝广告机主板,核心底层软件采用第三方笛可的,委托加工;应用软件自研 | 非自研,淘宝广告机主板,核心底层软件采用澳大利亚votualhere的,按压设备采用淘宝金手指工作室的;委托加工组装;应用软件自研 | 第三方驱动授权方非可控,核心硬件存在第三方停产或换型号风险 | 厂家实地考察 | |
| 其他安全 | 安全性高要求客户案例(互联网及金融类客户) | 头部证券、基金、银行、互联网公司等大量客户 | 公开资料无金融类客户,未知 | 公开资料无金融类客户,未知 | 互联网企业及金融类企业对安全性审核比较严格,伪安全是无法通过审核要求的 | 网站及业绩证明 |
