深度好文让你全面了解银企直连
一、银企直联的概念
我们通常所说的企业网上银行,是指客户通过通用浏览器方式获得银行服务。而银企直联是指集团企业在集团内部建立自己的资金管理系统,通过数据接口将内部资金管理系统与商业银行核心系统、网银或者现金管理平台实现联接。通过银企直联系统企业可实现实时帐户信息查询、明细查询、自动转帐、交易查询等功能。并且交易的实时性和方便性得到大幅提高。
银企直联是一种新的网上银行系统与企业的财务软件系统在线直接联接的接入方式。银企直联通过因特网或专线连接方式,实现了银行和企业计算机系统的有机融合和平滑对接。企业通过财务系统的界面就可直接完成对银行账户以及资金的管理和调度,进行信息查询、转账支付等各项业务操作。同时,银企直联可以为企业在财务系统中开发和定制个性化功能提供支持,具有信息同步、高效简便、个性服务和安全可靠的鲜明特色。银企直联能够做到与企业计算机系统的对接,方便的完成企业系统的与银行有关的交易。
银企直联一般包括两种模式:银企直联和银企互联,银企直联指的是由银行每个企业大客户提供ERP系统接口标准,银行配合企业客户ERP系统进行接口的接入;而银企互联指的是由银行提供标准接口,企业客户按照银行提供的接口标准进行接入。
二、银企直联的发展阶段
银企直联的发展,也就是企业在相应的开户银行完成业务处理的过程,经历四个发展阶段:柜台阶段、网银阶段、银企直联阶段。
柜台阶段
企业在银行的对公业务处理,必须到开户行的对公网点去办理,也就是线下跑到银行网点,在对公的柜台办理业务。不但要花费时间到网点,如果遇到业务处理高峰,还要排很长的队伍。这是最费时费力的阶段。
网银阶段
后来有了互联网,企业可以在对应的开户银行开通企业网上银行业务,不需要直接到银行网点处理业务了。但是,通常一家企业少则有2到3家需要处理业务的银行,多的甚至几十家,所以不但要在不同的银行开通对公网银,而且每个银行都需要一个硬件安全签名设备,叫U盾。每次使用时,对于每个银行,都要在电脑上插入对应银行的U盾,单独登录。并且使用非常繁琐,每次处理都要在业务系统与网银系统重复录入各类信息,非常费时,还容易出错。
更重要的是由于企业的资金分散在不同银行,资金信息碎片化,家底不清,要对企业的资金整体进行管理比较困难,更多个性化管理需求也无法满足。
银企直联阶段
随着互联网的发展,通过安装网络专线,可以将多家银行银企直连的前置机与证书放到企业办公的数据中心中,同时还将企业的各类管理与业务系统同多家银行分别对接。这种方式虽然减少了各类数据的重复录入,减轻了财务人员的工作量。但是,业务系统与多家银行对接开发周期长,还要将前置机等设备放到了企业的数据中心中,要使用多台服务器与安全设备,需要IT运维人员进行管理,使用成本高。因此,只有有实力的大型企业客户使用,广大中小企业,仍然不能享受这样的服务。
三、银行为什么要推行“银企直连”服务
尽管各家商业银行都在不断努力完善、扩充自己网银系统的功能,但还是无法满足集团客户的要求。因为集团企业在推行资金集中过程中无法回避一个障碍:企业的个性化需求与银行标准化服务之间几乎无法调和的矛盾。企业,尤其是大型的集团企业,其自身的管理模式、管理特点,都是由于其历史沿革、管理现状、行业特点等原因决定的,所以根本不可能因为银行提供的现金管理服务模式的制约,就可以改变,反而是必须要求银行适应企业要求,修改银行服务系统功能。但银行系统非常庞大,牵一发而动全身,每一个细小的功能修改,都会涉及到全行网点的系统测试、系统升级、人员培训,对系统的运行稳定构成威胁。所以银行根本不可能及时满足客户的个性化需求,即使是银行的大客户、关键客户,其个性化需求银行也是无法全部满足的。正是由于客户个性化要求与银行系统稳定运行的保障要求之间的矛盾越来越严重,银行才开始推出“银企直联”的新服务,“银企直联”的新服务也才被大型集团客户在搭建内部资金管理系统时广泛应用。
四、银企直连的应用场景
银企直联在企业管理中的集成应用场景有哪些呢?
场景1-- 报销
员工在完成报销流程的流转后,财务人员在系统办公系统下完成支付节点的批准,系统自动将付款支付信息发送到银行前置机,从而完成线上对报销款的支付。
而常规的做法是这样的呢?财务人员需要登录企业网银,插入银行U盾,确认出款。而通过银企直联,可以快速致富,提高了财务人员的付款效率。
场景2-- 工资发放
员工工资款、保险福利等,通过银企直联的批量代发抵扣完成工资款的发放。
场景3-- 对公付款
银企直联款可以完成集团企业内部的资金划拨、对公业务的跨行支付。
五、银企直联对企业的优势
1. 账务信息银企同步。银企互联有机联接了企业财务系统和银行业务处理系统,整合了双方的系统资源,解决了长期困扰企业的银企账务信息不一致问题,为企业财务决策提供实时、准确、全面的账务信息支持。
2. 实现个性化服务。企业可根据自身财务管理的需要,通过财务软件系统对银行提供的“原子”交易进行自由组合和控制,灵活定制内部授权机制,从而拥有自己的专有银行。
3. 操作简易、提高效率。企业财务人员无须重复录入指令信息,所有指令一次录入,一经审核批准,立即完成对外支付并更新财务系统账务信息,简化了手续,使客户使用起来更方便、更顺手。
4. 安全放心。除采用与网上银行相同的安全机制外,还在转账交易中增加了“签名时间”字段、在所有交易中增加了“包序列ID”字段,从而可有效地防止黑客攻击、指令重复提交。
银企直联的适用对象
希望实现资金集中管理,对企业财务信息与银行账户信息的实时一致性要求较高,注重财务工作效率,且具有ERP系统或财务软件系统的大型集团企业。
六、银企直联的接入流程
银企直联的接入流程一般会经历以下六大步骤。
第一步:找到企业想开通银企直联的银行,与银行完成商务洽谈,并与银行签订银企直联服务;
第二步:向银行获取相关开发文档,并申请测试环境;
第三步:财资管理系统实施方针对银行提供的技术文档进行银企直联接口开发与测试,并按照银行要求提交测试报告;
第四步:安装银企直联前置机前置程序;
第五步:申请开通银企直联生产环境,进行参数配置以及直联账户权限维护;开通完成后,在生产环境进行连通性测试;
第六步:正式上线使用。
七、企业如何构建银企直联
第一,企业在进行银企直联接入的洽谈时,通常是找当地支行即可,可以找当地开户行的客户经理提出银企直联对接请求。
第二,作为一家集团型企业,在总部集团下有多家控股子公司,在开通银企直联时,一般由集团统一牵头去办理银企直联,下属控股子公司统一授权给集团总部即可(假如不能授权的需单独开通,如子公司已上市)。
第三,企业与银行在洽谈银企直联的过程中,主要和银行沟通两方面内容:一是技术支持,需银行提供直联接口技术文档、测试环境说明以及向银行确认具体的银行方技术支持人员,以便后期接口开发调试、前置程序安装过程中遇到问题可及时进行沟通确认;二是相关费用的洽谈,银企直联在接入使用中一般涉及到开通费(一次性)、使用费(按年收取)、结算手续费以及其他一些银行提供的相关服务产生的费用。
第四,在银企直联协议签署过程中,银行的直联协议一般是总行统一的模板,若要修改其中的条款,难度非常大,因此不建议企业对协议进行条款上的修改。此外,企业还需要关注三个要点:一是明确直联协议及其附属协议(分子公司授权总部操作其账户)的具体签署流程,以及大致的周期情况(这个将直接影响直联上线进度);二是如果企业方对接银企直联接口是由第三方技术服务商来实现,则需明确该银企直联协议是否需要签三方协议,因为两方协议和三方协议签署的周期和过程都会有所不同;三是明确企业方本次银企直联对接需要开通的服务内容,比如余额查询、明细查询、转账支付、电子回单、电子票据等业务,企业在本次直联开通过程中需要开通哪些可根据企业本身的业务使用情况来判断。
第五,企业需和银行确认本次直联的接入是采用专线还是公网的接入方式,如果要使用专线,还需留出1个月左右的时间去进行线路的申请。
综上所述,企业接入银企直联,理论上有技术能力就可以开发,看似简单,然而这却是一个十分复杂的系统性工程。由于直联接口开发过程中接口相对比较复杂,不稳定或者不成熟的接口,可能会直接导致支付事故;同时,银行直联接口会不定期的进行升级,因此开发完成后,还需要专门配置技术人员来跟进银行接口的及时升级以保证企业端的银企直联接口是最新的,否则也可能会产生支付事故,因此,想要安全快速的实现银行接入是不可能绕开相关专业壁垒和技术专家资源投入的。基于此,笔者建议各企业在充分了解企业自身可承受的成本投入能力及抗风险能力的基础上,来选择合适的模式合适的厂商来进行银企直联的建设。
八、有多少银行可以提供直联?
目前市面上的银行包括大型国有银行、股份制商业银行、城市商业银行、农村商业银行、外资银行、农信社等等,目前据央行发布的最新联行号信息库来看,银行数量虽然是有几千家以上,但是大致分成了300多个类别,因此,从目前央行划分的这个角度来看,能提供直联接口服务的银行机构应该不会超过300家,由此也可以看出银企直联的接口开发是一件需要不断投入时间和资源,耗费大量人力、财力的事情,基本不存在一蹴而就的可能性。
九、如何做银企直联业务集成?
在开始系统集成之前,需要完成如下工作:
1. 与银行签订协议或合同,获取银行的接口开发文档及实例
与银行签订协议或合同,一般建议由甲方完成,银行一般会对大型企业做优惠的让步。但也有强势的银行看不上小公司,存在店大欺客的情况,因人而异,没有讨论的意思,总之不建议由乙方公司完成这一步的操作。
2. 安装银行提供的前置机服务
安装银企直联前置机的服务软件,如招商银行的该服务名称为“银启通”。一般情况在台式机上安装即可,也有使用专项服务器的,前置机的具体配置要求,需要参考银行根据企业组织结构而提供的配置方案。为什么要安装前置机服务?它在整个系统中扮演什么角色呢?银企直连要涉及到三类系统程序:企业应用程序、前置机服务、银行服务。三者的关系如图所示:
企业应用程序:根据银行提供的报文规则组装报文,以HTTP或Socket的方式发送至银行前置服务
银行前置服务:接收报文,进行报文格式校验,然后使用数字证书加密,通过公网、专线、VPN的连接方式发送至银行服务。银行前置程序验证银行服务返回报文,再将解析后的报文返回企业内部程序前置机服务一般安装在windows操作系统上,有的银行前置机服务是单独的应用程序,可以在银行指导下安装,有的银行前置机服务因为兼容性问题,安装过程很麻烦。
3. 银行与前置机的连接方式
公网:是指银企直联系统采用Internet形式来物理连接银行端系统和企业端系统。他的特点是成本较低,但带宽窄,并且网速容易受外部网络环境影响。
专线:是指银企直联系统采用专门的线路来物理连接银行端系统和企业端系统。他的特点是企业需要按需求(月、年等)租用线路,成本相对较高,但由于是专用线路,带宽比较大,并且网速不容易受到外部网络环境的影响。
VPN:部分银行支持VPN
4. 集成开发
根据银行提供的接口开发文档说明,不同的银行提供的接口名称不同,但功能大同小异。一般企业应用到的接口范围如下:单笔转账业务、批量转账业务、对外转账业务、余额查询业务、转账结果交易查询
银企直联系统为实现与企业的直联对接,建设时需特别注意接入方式和连接方式两方面进行分析考虑。
1.银企直联接入方式选择
银企直联系统一般有两种接入方式:
(1)嵌入式
嵌入式银企直联系统是指银行将银企直联系统接口的Win32动态连接库进行封装,形成企业ERP系统可直接调用的API函数。这样,企业ERP系统就不需要知道与银行端交互的细节,只需调用相关API函数,并将数据按照定义好的参数格式发送给银企直联系统接口,由他完成与银行端的交互。而银企直联接口接收到请求后,首先提取出请求数据,处理组合数据,形成标准格式的请求报文,然后内部调用银行提供的交互接口将业务请求报文以加密的方式发送到银行端。银行处理完后,将加密的处理结果报文返回到银企直联接口,数据解密后通过消息返回给企业ERP系统。
他的特点是,通过这种设计,企业ERP系统只用专注自己的业务处理, 与银行交互的细节就由银企直联系统接口处理。这样以后对与银行交互功能的维护和扩展就不会影响到企业ERP系统,保持了两者系统功能间的松藕合和整体系统的高结合程度。而且与银行端交互的功能统一在银企直联系统接口里面管理,就可以通过多线程调用的方式共享与银行端的连接资源,大大提高了效率。同时ERP系统与直联系统接口间的API调用交互方式极大地简化了企业端访问直联接口部分的编程复杂性,并且提供了ERP系统平台无关性。并且由于可以直接镶嵌在ERP之内,也就保持了系统的安全性。维护和扩展成本低,不需硬件成本,但软件方面需要一定的个性化开发。
(2)代理服务器模式
代理服务器式银企直联系统是指银行提供的银企直联系统接口通过存放在企业的代理服务器,来实现与企业ERP系统间的数据交互。银企直联系统接口的代理服务器只接收符合标准报文格式的指令报文,然后对指令报文进行加密,最后通过交互接口将指令报文发送到银行端。银行处理完后,将加密的处理结果报文返回到银企直联接口,数据解密后形成标准格式的消息返回报文。
它的特点是,在这样的设计下,企业的硬件投入较高,而且由于两者系统功能的紧藕合,导致两者的结合程度不是特别精密。同时,这也增加了企业ERP系统访问直联接口部分的编程复杂性,加大了个性化开发的工作量,另外企业ERP系统还需关注银行交互的细节,所以维护和扩展成本也较高。但由于代理服务器只负责处理通讯加密和安全认证,系统速度较快。
5. 用户支付时的安全证书
银企直联前置机的安全证书有两种,一种是软证书,即CER文件,以证书文件的形式存在,没有硬件支持,可以随意复制,另外一种是硬证书,即存有证书信息的key,就像一个U盘一样插在前置机上。一个前置机配备一把key,硬证书还存在着一种盒子类型的,盒子可以插多跟网线连接,支持多人使用,而不需要配备多个前置机,一个前置机就足够了。key与安全盒子都是由银行方批量采购并激活注册后提供给企业使用。
十、银企直联有哪些接入模式
银企直联接入模式分为直接接入与直联上云模式两种;由于上述技术细节的不同,以及企业实际业务需求的差异性,银企直联的技术实现方式也各有不同,而企业采用哪种接入模式,市场上有很多不同的声音,给企业模式选择带来很多困惑,企业如何基于建设成本与系统安全之间作出平衡,以下举出几种市场主流模式加以分析:
1、直联接入模式的利弊权衡
根据企业接入直联是否需要前置机、使用何种证书形式等方面来区分,目前国内银企直联的接入方式可以组合出常用模式、高频模式和无前置模式三种不同的接入模式(图2)。
银企直联接入模式
常用模式
前置程序+U盾(硬证书),这是很多银行提供的接入方案。其优点是企业的系统与银行前置程序交互,银行前置程序将直联服务封装得比较友好,一般是明文通讯,与银行端复杂的通讯逻辑由前置程序负责,前置程序调用U盾进行签名验签;缺点是这种方式的并发性能低,一般通过扩展前置机来提升性能,即申请多个U盾,部署多个前置程序进行负载均衡,另外就是U盾使用寿命短,一般1-2年就要进行更换。这种常见模式一般适用的企业对于直联证书保存安全性要求高,可以承担银企直联的一定建设及维护成本。
高频模式
上述常用模式的升级版,采用加密机替代前置程序和U盾,即同时实现了前置程序和U盾的功能,性能提升10倍以上,加解密/签名验签速度能达到几十个U盾的速度,劣势是加密机成本比较高。高频模式适用的企业一般具有高频直联结算或者查询需求(例如超大型集团与互联网企业),且能承担较高的银企直联建设成本。
无前置模式
无前置程序+软证书,这种方式性能高,省去了前置程序和前置机,可以降低企业和银行双方的部署运维成本,且对云平台的接入比较友好。这种模式适用于对银企直联建设成本承受能力较低、对性能要求高、对证书保存的安全性要求不高的企业。其实目前一些银行也开始推出开放银行的服务,理论上来说这是无前置模式的进一步延伸,API开放平台旨在将银行服务以API的方式向外界开放,打造一个开放共享、快速交付、面向服务封装的应用开发平台,将银行行内零散、线下、不统一的对外开放服务,汇聚为轻量化对接、标准化展示、集约化的服务。目前比如工行、招行等一些银行已经逐步开始提供开放平台的服务,这也是未来的一个发展方向。但是,笔者从技术实践出发,需要指出企业运转往往与多家银行合作,包括国有行、股份制银行与地方性商业银行,个别银行先行实践的优秀产品模式,绝大部分其他银行需要一年或者数年才能跟上;企业内部各类模式混合组建底层直联基础设施带来的运维管理压力是巨大的,资金管理的特殊性往往不允许企业追求新潮。当然,只跟一两个银行合作的企业不在讨论范围之列。
直联上云的模式差异对比
当前,越来越多的中小企业开始对银企直联提出使用需求,但这些企业对系统实现成本又相对比较敏感,因此云模式对这部分客户来说是一个不错的选择。对于银企直联上云,目前市场上不同技术厂商实现的方式也各有不同,常见的有以下三种解决方案(图3)。
完全托管模式
完全托管模式又可以细分为两个分支:
第一个分支是证书托管,这种分支模式下企业与银行间的银企直联协议仍需要照常签署,企业端不需要部署前置机,前置程序部署在云端(无前置模式除外),软证书或者前置机U盾也完全托管给云平台供应商。这种模式下,虽然云平台一般会在关键操作时需用户通过输入密码等方式进行鉴权,但理论上云平台提供者具有企业开通的该证书下的所有直联服务权限。举一个类比的例子,股票和期货交易资金全部是受银行监管的特殊账户内由用户自行操作交易完成,但证券公司和期货公司都不曾获得客户的账户全部权限,因此企业直接转移集团名下全部账户权限(载体为软证书或者U盾等物理介质)交给第三方在合规性上会有较大的争议。
第二个分支是账户托管,所谓的账户托管就是由云服务商代表企业统一与银行签署并开通银企直联,企业则将本公司账户做直联子账户授权给云服务商名下母账户,即实现所谓“一点接入,无需直联”的方案。这种方案从合规性角度来说,更加具有争议,大部分的银行一般也不允许企业以这种方式来接入,因此账户托管模式只有理论上的可行性,并不具备多少实操的意义。
半托管模式
半托管模式下,企业与银行正常签署直联协议,前置程序部署在云端,仅证书在企业端,通过网络来远程调用证书相关的操作。这种模式的优势是结合了其他模式的一些优势,既考虑了企业尽可能避开自行管理前置机的技术短板,但又保留了证书的所有权。然而,这种模式在实现上技术难度较高,且若是使用硬证书的话,会需要使用一些USB管理专业设备,设备的投入成本与本地部署前置机的费用相差不大,但是安装部署以及后续维护相较于本地部署前置机还是会更为简单。这种模式目前来说并不常见,适用于企业自身IT运维力量不太充足,但是又比较关注安全性,且在一定程度上愿意接受使用新技术以及愿意进行一定程度的成本投入的企业。
非托管模式
非托管模式下,企业与银行正常签署银企直联协议,前置机(前置程序、key)部署在企业端,并在企业端部署一个代理服务与云端通讯。与全托管相比,非托管模式尽可能地考虑了安全性的问题,前置机及证书都保留在企业端,云平台向银行发送直联请求时,都需要企业端的前置机及证书的配合,但是企业需要适当投入前置机的配置及维护成本。适用这种模式的企业一般希望在尽可能保护企业银行账户安全性的前提下,愿意投入少量资金进行银企直联的建设。综合以上三种云模式的解决方案来看:
非托管模式的技术更为成熟,是当前绝大部分企业的首选,自银企直联诞生之日起,该模式一直被市场验证为安全可靠的,对企业来说是一种较为合理的选择。
半托管模式作为一种云化更深入的模式,虽然目前技术成熟度稍微弱一些,但是对于那些乐于尝试新技术,对于saas服务接受度更高的企业来说,半托管模式也是一个不错的选择。
全托管模式建议企业从安全性及合规性角度出发,慎重选择。
十一、银企直联安全吗?
银企直联系统为企业和银行之间建立了安全、高效、可追踪的直接信息交互渠道。在直通渠道的建立过程中,银行和企业之间对彼此身份进行基于数字证书的身份确认,以确保服务双方身份的正确性。另外,对于在对接渠道中交换的应用交易数据,特别是敏感交易数据,银企直联系统服务采用访问控制、数据签名技术、完整性技术以及防抵赖技术加以多重保证。
访问控制:访问控制功能由防火墙实现,对企业内部网之间和内外网络的数据流进行内容审查,只允许合法的数据通过。还可实现用户认证、负载分担等功能。提供网络地址翻译(NAT)服务,对外隐藏网络地址,防止内部地址公开。为保障系统内网络安全并实现与银行网络的安全访问,系统通过2个防火墙将银企直联系统分成5个安全区域。对不同区域设定安全优先级,并根据数据访问流向定义访问控制规则。
5个区域的安全优先级从高到低分为:
(1)银企直联系统数据库服务器和银行的前置机。数据库服务器从银行前置机上获取数据,写人数据库中,提供WEB服务器调用,并与ERP财务模块交换数据。
(2)企业内部网络和ERP服务器财务模块。满足内部网络对WEB服务器的查询需求,以及ERP财务系统与银企直联系统数据库的数据交换。
(3)各家银行驻企业财务中心的营业网点。主要提供对WEB服务器的访问,完成对汇票部分的查询功能。虽然银行网点和企业财务主机物理位置相同,但由于业务功能不同,必须区分在不同网络区域。
(4)银企直联系统WEB发布服务器和财务中心营业前台的业务主机。WEB服务器提供所用查询功能。WEB服务器提供企业内部网络和系统内部WEB访问,财务业务主机所有的查询、转账等业务操作都是通过WEB浏览器完成。
(5)银企直联系统与银行的网络连接部分。主要是提供各家银行网银服务器与数据库区相应银行前置机的数据交换。与不同银行的连接由不同的接人路由器和外部防火墙实现。
入侵检测和漏洞扫描:为弥补防火墙的不足,同时在区域1和区域4部署了入侵检测系统。入侵检测通过监控主机或网络中流动的数据,分析已有的特征码,识别可能的攻击尝试。目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,缩短响应外部网络入侵的时间。
在区域设置一台网络漏洞扫描器。漏洞扫描(事前的检测系统),也称为安全性评估或脆弱性分析,是对网络设备进行自动的安全漏洞检测和分析,支持基于安全策略的安全风险管理过程。另外,能够执行预定的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。他的作用就是在发生网络攻击事件前,通过对整个网络范围扫描发现网络的漏洞隐患,及时给出修补方案。
系统安全控制器:在企业内部系统层面的安全管理由系统安全控制器来实现。系统安全控制器配备了系统安全控制软件,部署在WEB服务器上,用以实现业务用户身份认证、操作权限控制、日志记录、数据备份和数据恢复,是面向企业内部的安全控制系统。
身份认证终端:身份认证依靠“PKI公钥密码体制”的加密机制、数字签名机制和用户登录密码等提供多重保证。身份认证由专门的认证机构负责证书或密钥的生成、发放、删除管理。各家银行均有严谨的证书申请流程、CA证书发放系统和安全客户端软件。CA,即认证中心,是PKI的核心机构,他的主要任务是受理数字证书的申请、签发和管理。CA证书发放系统保留了客户的信息数据,承担证书管理工作,并与安全传输平台连接,对通过网络传输的用户证书进行身份认证。
在前置机上安装银行各种接口平台、安全客户端软件和读卡器、USB KEY等外接设备。合法生成的证书或者密钥写入专用外接设备,或存放在安全配置文件指定的路径。从而使前置机成为银企直联系统中企业面向银行的身份认证终端。
数据加密:数据加密由前置机上安装安全客户端软件,或者采用专门的加密机实现。采用PKI的公钥加密算法,使用的加密密钥和解密密钥不同,而且不可能由加密密钥解出解密密钥。CA管理方把密钥成对发放,一个在信息团体内公开称公钥,一个由用户秘密保存称私钥。信息传递时使用其中一个密钥对信息进行加密,由另一个解密,其优点是便于密钥管理、分发、便于签字签名。银企之间传递的数据在发送方和接收方经加密、解密后接受。密钥由Ic卡或硬件加密机中存储的数据产生,具备较好的保密性;同时利用接入平台软件完成对银行网银系统进行连接。
数字签名:数字签名解决了否认、伪造、篡改及冒充等问题。发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。具体做法是前置机向银行提交信息时,会在信息后附加该客户的数字签名,然后使用私钥对完整信息进行加密后发送到银行端,由银行端的接受服务器访问CA服务器,获得客户的公钥后解密,分析交易或查询内容并进行业务处理,同时记录客户的签名,以作日后核对。
银行向前置机反馈信息时,通过向CA服务器提取客户公钥,加上银行的签名,加密发送给客户。客户前置机收到后,安全客户端软件会使用用户私钥解密,然后通过前置机的数据接口发送信息。审计跟踪技术:安全审计评估系统就是指根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。企业财务系统前置设备增加系统参数设置功能,可通过开关此功能达到记录交易日志的目的;网上银行系统中记录每笔交易的经手人信息,以达到对交易审计跟踪目的。其他安全控制措施:在系统内部建立网络防病毒系统,实现病毒引擎和代码自动升级更新、防病毒策略统一部署等,防止病毒、木马等恶意程序对系统内部的攻击,同时防止病毒向银行内部网络传播。建立严格的内部控制制度,从管理层面上加强IC卡、USB key等硬件设施管理,加强对密钥、证书的管理,防止非系统管理员操作等。
十二、银企直联的架构
银企直联系统结构以防火墙为边界,分为银行端和企业端两个层次。
1.企业对接系统(企业端)
企业对接系统主要完成企业ERP资金模块或独立资金管理系统与银行前置机的数据交互功能。这些ERP资金模块或独立资金管理系统得到银行授权,可通过位于对接系统上的专用接口与前置机通讯,即采用接口软件使ERP服务器的财务模块和银行前置机实现数据交互。
2.银行对接系统
银行对接平台位于银行网络内部,设置于对接服务器之上,完成银行网上银行系统(各家银行提供的与直联系统对接的系统,名称略有不同,但提供了相同或者相近的服务功能。如工行的网上银行系统(或简称网银)、建行的重要客户系统(或简称重客系统)、农行的现金管理平台(或简称CMP)、招行的电子银行系统)与企业对接系统前端银行前置机的连接,完成数据传递、加密认证、数据格式转换、历史信息采集等功能。
往期内容回顾:
关注公众号不定期发布数字化转型干货
本文内容来自于网络整理,仅供交流,不做商业用途!
本文图片来自网络,如果侵犯到您的权益,请联系作者删除!
致力于解决中小企业数字化转型困惑,如有问题请在公众号发消息给老杨!
阅读原文 最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。