資金是企業(yè)運(yùn)行的血液,能否正常循環(huán)流通,決定著企業(yè)的生存和發(fā)展,提高企業(yè)資金結(jié)算效率和支付安全保障至關(guān)重要。某集團(tuán)公司建立了嚴(yán)格的資金內(nèi)控機(jī)制和完善的資金管理制度,但公司業(yè)務(wù)鏈條長(zhǎng)、管理層級(jí)多、支出規(guī)模大,部分單位存在制度執(zhí)行不到位、操作流程不規(guī)范、密鑰管理不合規(guī),存在資金安全風(fēng)險(xiǎn)隱患。公司提出“強(qiáng)化系統(tǒng)的靈活配置和資金安全管控,基于財(cái)務(wù)的控制節(jié)點(diǎn)設(shè)置流程,可根據(jù)不同單位的人員配置情況,靈活設(shè)置崗位的職責(zé)權(quán)限;通過電子簽名、生物識(shí)別、密鑰管理等措施,加強(qiáng)資金支付安全管控?!?/span>
遠(yuǎn)光軟件從實(shí)際應(yīng)用出發(fā),著眼于業(yè)務(wù)銜接強(qiáng)化,結(jié)算審核、銀企通道及縱向管控集中管控能力,通過構(gòu)建資金收支安全保障體系,全面提高資金管理的安全、效率和效益。
資金收支安全保障體系
建立從業(yè)務(wù)申請(qǐng)、財(cái)務(wù)審核到支付通道、縱向管控全面覆蓋,符合國(guó)家信息安全等三級(jí)要求的多重資金安全保障體系,如圖1所示。
(一)業(yè)務(wù)銜接安全保障
全部支付申請(qǐng)由業(yè)務(wù)部門發(fā)起,杜絕財(cái)務(wù)部門手工填報(bào)和信息篡改。支付業(yè)務(wù)相關(guān)的前端業(yè)務(wù)系統(tǒng)/模塊(如ERP、員工報(bào)銷等)付款申請(qǐng)審批完成后自動(dòng)傳入GTMS資金系統(tǒng)付款結(jié)算池,加密存儲(chǔ),付款信息全程不可篡改,確保資金安全。
(二)結(jié)算審核安全保障
財(cái)務(wù)審批過程中可以結(jié)合密鑰簽名確保付款信息完整性、不可篡改性(包括收款方信息、付款金額、付款方式、付款賬戶信息、票據(jù)信息、付款摘要)。
在兼容電子支付環(huán)節(jié)密鑰加密外,支持手簽板簽名和生物識(shí)別身份認(rèn)證,進(jìn)一步加強(qiáng)資金支付安全。在密鑰加密等環(huán)節(jié)增加手簽板,保留在單據(jù)中,用于查詢及打?。辉诿荑€加密環(huán)節(jié)增加指紋或人臉識(shí)別驗(yàn)證身份,確保識(shí)別信息與預(yù)留信息保持一致。手簽板和生物識(shí)別驗(yàn)證通過后,在一定時(shí)間內(nèi)有效,不需每筆簽名時(shí)重復(fù)識(shí)別(見圖2)。
(三)銀企通道安全保障
GTMS系統(tǒng)銀企平臺(tái),建立了以密鑰加密體系(支持國(guó)內(nèi)/國(guó)際加密算法)、加密安全校驗(yàn)體系、信道加密體系、端口訪問控制體系、異常處理機(jī)制、日志追蹤機(jī)制為支撐的資金安全通道。
(四)縱向管控安全保障
系統(tǒng)資金結(jié)算功能統(tǒng)一規(guī)范,程序統(tǒng)一開發(fā)、編譯發(fā)布,各級(jí)單位直接部署應(yīng)用;資金業(yè)務(wù)體系集團(tuán)統(tǒng)一定義,縱向管控、授權(quán)控制。
支付安全技術(shù)保障
在整個(gè)資金電子支付過程中,從申請(qǐng)人提出付款申請(qǐng)開始,到銀行完成交易的整個(gè)過程,銀行保證銀行端的交易安全,而應(yīng)用軟件則主力承擔(dān)并保證企業(yè)端的支付安全,并且最大限度降低企業(yè)內(nèi)部的支付風(fēng)險(xiǎn)。遠(yuǎn)光軟件在支付過程中主要采用下列安全技術(shù)進(jìn)行支撐。
(一)數(shù)字簽名保障
數(shù)字簽名是指數(shù)據(jù)報(bào)文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。采用密碼技術(shù)的加、解密算法體制來實(shí)現(xiàn)對(duì)文件的數(shù)字簽名,實(shí)現(xiàn)交易的不可抵賴性和安全性服務(wù)。
關(guān)鍵環(huán)節(jié)控制:支付過程中各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一認(rèn)證和授權(quán);對(duì)核心數(shù)據(jù)進(jìn)行簽名;多重簽名;個(gè)人證書和職工信息綁定;銀行證書和服務(wù)器綁定。
在實(shí)際應(yīng)用中,往往采用的是多種電子證書認(rèn)證體系,滿足靈活使用,實(shí)施成本相對(duì)較低。
(1)企業(yè)內(nèi)部使用自己建立的內(nèi)部數(shù)字證書認(rèn)證體系,對(duì)申請(qǐng)到支付的企業(yè)各個(gè)流程環(huán)節(jié)進(jìn)行認(rèn)證和授權(quán)。私有獨(dú)立,并靈活方便。
(2)銀行提供自己可以驗(yàn)簽認(rèn)證的證書給個(gè)人或者企業(yè),標(biāo)準(zhǔn)規(guī)范。
(3)在支付的時(shí)候,需要進(jìn)行轉(zhuǎn)換,完成內(nèi)外兩套體系的對(duì)接。
(二)軟件系統(tǒng)安全保障
1.客戶端安全層面
(1)對(duì)于外部輸入數(shù)據(jù)的有效性檢查、對(duì)業(yè)務(wù)權(quán)限的判斷檢查均后臺(tái)邏輯層進(jìn)行控制,有效防止因界面漏洞形成的界面爆破。
(2)在數(shù)據(jù)錄入過程中,進(jìn)行數(shù)據(jù)的合法性檢查,不允許非法數(shù)據(jù)錄入到系統(tǒng)中。
(3)為防止SQL注入攻擊,輸入數(shù)據(jù)時(shí)禁止輸入構(gòu)成SQL注入攻擊的特定字符。服務(wù)端采用JDBC預(yù)編譯方式防止SQL注入攻擊漏洞。
(4)大部分功能支持定制界面,可以根據(jù)實(shí)際需要對(duì)重要敏感信息進(jìn)行區(qū)別標(biāo)記。
2.數(shù)據(jù)交互安全層面
(1)對(duì)于客戶端與服務(wù)端的敏感數(shù)據(jù)傳遞時(shí),均采用動(dòng)態(tài)密鑰算法,例如用戶登陸過程中的用戶名稱/用戶密碼、數(shù)據(jù)上報(bào)與下發(fā)等功能中均使用動(dòng)態(tài)密鑰加密數(shù)據(jù)。
(2)對(duì)于敏感數(shù)據(jù),采用數(shù)字簽名技術(shù),服務(wù)端通過驗(yàn)證客戶端的簽名數(shù)據(jù)的合法性,判斷在傳輸過程中相關(guān)的數(shù)據(jù)包是否被篡改。
(3)對(duì)于其他重要功能,可以選配使用業(yè)界成熟的傳輸協(xié)議在客戶端和服務(wù)端之間傳輸數(shù)據(jù)包。
3.應(yīng)用服務(wù)安全層面
(1)采用標(biāo)準(zhǔn)的加密算法,滿足國(guó)際國(guó)內(nèi)加密要求。服務(wù)端通過JAVA JCE接口完成數(shù)據(jù)的加解密,在實(shí)際的運(yùn)行環(huán)境中,可以根據(jù)自己的需要選用不同廠商,增強(qiáng)數(shù)據(jù)安全強(qiáng)度。
(2)提供了統(tǒng)一的用戶身份認(rèn)證服務(wù)和客戶端身份認(rèn)證組件,用于完成用戶登陸動(dòng)作。可指定用戶在特定IP登陸,強(qiáng)制密碼修改周期及密碼重復(fù)使用次數(shù)限制,強(qiáng)制要求密碼字符串的長(zhǎng)度及構(gòu)成要素。
(3)為防止非法客戶端通過窮舉法,連續(xù)向服務(wù)端發(fā)送登陸請(qǐng)求試圖猜測(cè)用戶密碼,動(dòng)鎖定客戶端請(qǐng)求功能。
(4)為日后數(shù)據(jù)審計(jì)和回溯,對(duì)關(guān)鍵操作記錄操作軌跡,內(nèi)容包括用戶名稱、計(jì)算機(jī)IP地址、登陸時(shí)間、操作日期、操作模塊名稱等。
(三)通道安全保障
(1)傳輸控制。在支付的關(guān)鍵路徑上,比如企業(yè)和銀行前置機(jī)連接鏈路,使用業(yè)務(wù)成熟的技術(shù)傳輸數(shù)據(jù)包,這種做法允許通信兩端之間能通過安全的連接來通訊,它提供加密、來源驗(yàn)證、數(shù)據(jù)完整性等支持,同時(shí)還提供通信雙方之間的身份識(shí)別和通信信道的安全,身份識(shí)別主要靠數(shù)字簽名來實(shí)現(xiàn),通信信道的安全靠數(shù)據(jù)加密實(shí)現(xiàn),以保護(hù)在不安全的公眾網(wǎng)絡(luò)上安全地交換數(shù)據(jù)。
(2)限制關(guān)鍵通道上的使用權(quán)限。通過設(shè)置用戶管理權(quán)限功能,安全級(jí)別較高的崗位,僅開放給針對(duì)性的部分高級(jí)用戶。這些用戶使用時(shí),系統(tǒng)自動(dòng)切換為安全通道進(jìn)行傳輸數(shù)據(jù),在靈活性和安全性上同時(shí)兼顧。
支付安全保障創(chuàng)新應(yīng)用
(一)應(yīng)用收款付款結(jié)算池
基于應(yīng)收款項(xiàng)明細(xì)及合同收款條款、訂單等信息,獲取各類預(yù)計(jì)收款信息,按時(shí)間、金額、收款進(jìn)度比例、款項(xiàng)性質(zhì)及收款方式等,預(yù)計(jì)資金收款時(shí)序,形成收款結(jié)算池?;诤贤犊顥l款、預(yù)算申請(qǐng)、業(yè)務(wù)報(bào)銷和付款申請(qǐng)等信息,獲取各類預(yù)計(jì)付款信息,按剛性、月內(nèi)支付、可延緩支付,預(yù)計(jì)資金付款時(shí)序,形成付款結(jié)算池。通過強(qiáng)化應(yīng)收款項(xiàng)和應(yīng)付款項(xiàng)的會(huì)計(jì)監(jiān)督,實(shí)現(xiàn)會(huì)計(jì)確認(rèn)、預(yù)算編制、資金支付強(qiáng)關(guān)聯(lián),建立全業(yè)務(wù)、端到端的業(yè)財(cái)融合方案,所有業(yè)務(wù)事項(xiàng)審核完成后先入池、再排程。
(二)應(yīng)用預(yù)算按日排程
根據(jù)付款結(jié)算池和收款結(jié)算池中的收付款業(yè)務(wù)信息,按預(yù)計(jì)收款時(shí)間(收入按歷史回收情況模擬流入曲線)形成資金收款時(shí)序排程,依據(jù)業(yè)務(wù)特性及合同付款條款要求形成資金支付時(shí)序排程,通過對(duì)業(yè)務(wù)、時(shí)間、金額、款項(xiàng)性質(zhì)等進(jìn)行多維配比,組合資金收支排程信息繪制資金日排程曲線,形成現(xiàn)金流日預(yù)算。按日預(yù)測(cè)未來現(xiàn)金流入、流出及余額,動(dòng)態(tài)跟蹤資金狀況及動(dòng)向,實(shí)時(shí)監(jiān)控資金日排程執(zhí)行過程,科學(xué)安排外部融資和內(nèi)部運(yùn)作,減少融資的頻率和規(guī)模,削峰去谷平滑資金曲線,提高資金的使用效率,提升資金統(tǒng)籌平衡能力。
(三)支付合規(guī)審批應(yīng)用
結(jié)合企業(yè)內(nèi)控合規(guī)管理要求,涉及內(nèi)控合規(guī)審查的崗位,在對(duì)應(yīng)的處理環(huán)節(jié)進(jìn)行業(yè)務(wù)處理時(shí),進(jìn)行內(nèi)控合規(guī)審查確認(rèn),對(duì)業(yè)務(wù)事項(xiàng)根據(jù)合規(guī)內(nèi)容進(jìn)行逐漸檢查,細(xì)化內(nèi)部控制。如強(qiáng)化合同付款條款結(jié)構(gòu)化管理、付款依據(jù)電子化管理,確保資金支付真實(shí)、合規(guī),防范挪用侵占、超前付款、重復(fù)付款等風(fēng)險(xiǎn)。
(四)遠(yuǎn)光軟件認(rèn)證精靈產(chǎn)品
遠(yuǎn)光認(rèn)證精靈,兼容涵蓋USB key、指紋識(shí)別、虹膜識(shí)別、高敏簽字版、RFID讀卡設(shè)備等設(shè)備,可作為企業(yè)支付的安全衛(wèi)士。能保證每個(gè)人身份信息的唯一性,不可能被復(fù)制、冒用、替代,提高員工身份認(rèn)證安全性;在接觸式身份認(rèn)證硬件基礎(chǔ)上,加入非接觸式身份認(rèn)證硬件,虹膜識(shí)別模塊和人臉圖像錄制模塊,體現(xiàn)身份認(rèn)證渠道多樣性;個(gè)人身份認(rèn)證信息不會(huì)因時(shí)間、天氣、環(huán)境等發(fā)生變化,而導(dǎo)致人員認(rèn)證失敗,確保身份認(rèn)證過程穩(wěn)定性;認(rèn)證精靈既能夠?qū)崿F(xiàn)全離線認(rèn)證,也可以配置為網(wǎng)絡(luò)集中管理,實(shí)現(xiàn)一處錄入多處認(rèn)證。
(五)銀企自動(dòng)對(duì)賬應(yīng)用
系統(tǒng)自動(dòng)生成唯一對(duì)賬標(biāo)識(shí),建立財(cái)務(wù)、銀行數(shù)據(jù)關(guān)聯(lián)關(guān)系,貫通資金流轉(zhuǎn)全過程,提高自動(dòng)對(duì)賬頻率,提升資金安全監(jiān)控手段。對(duì)賬規(guī)則:系統(tǒng)采用“金額+對(duì)賬碼”方式進(jìn)行自動(dòng)匹配,首先按照單筆金額和對(duì)賬碼完全相符的銀行流水和賬簿明細(xì)進(jìn)行一一自動(dòng)勾對(duì);再按照對(duì)賬碼相同的多筆銀行流水或賬簿明細(xì)匯總后進(jìn)行自動(dòng)勾對(duì);再系統(tǒng)按照賬簿明細(xì)有對(duì)賬碼,金額相同且唯一的銀行流水和賬簿明細(xì)進(jìn)行自動(dòng)勾對(duì);系統(tǒng)按金額相同且唯一銀行流水和賬簿明細(xì)進(jìn)行自動(dòng)勾對(duì);對(duì)剩余仍未勾對(duì)的銀行流水和賬簿明細(xì)進(jìn)行逐筆核對(duì),確認(rèn)未達(dá)賬項(xiàng)并自動(dòng)生成余額調(diào)整表。
(六)銀行回單管理機(jī)器人
利用RPA機(jī)器人,快速實(shí)現(xiàn)各商業(yè)銀行的電子回單打印,并實(shí)現(xiàn)回單與支付單據(jù)、賬務(wù)憑證掛接和自動(dòng)歸檔。機(jī)器人自動(dòng)登錄網(wǎng)銀系統(tǒng)獲取回單信息;機(jī)器人通過提取對(duì)賬碼,獲取付款憑證與資金支付申請(qǐng)單據(jù)、銀行回單的對(duì)應(yīng)關(guān)系,按對(duì)賬標(biāo)記自動(dòng)執(zhí)行匹配,在資金系統(tǒng)同步打印并完成付款憑證的自動(dòng)歸檔。RPA機(jī)器人將財(cái)務(wù)人員從簡(jiǎn)單重復(fù)的“苦力勞動(dòng)”中解放出來,大大減少財(cái)務(wù)人員分揀回單,核對(duì)回單與付款憑證匹配等的工作量,極大提升工作效率和數(shù)據(jù)準(zhǔn)確性。
典型案例:
某大型電力央企,自2010年開始使用資金系統(tǒng),資金支付采用密鑰作為支付安全保障方式,但在密鑰保管和使用過程中,仍存在“一人代辦多崗位職能”“密鑰借用”等影響企業(yè)資金安全的情況。為了持續(xù)深化資金安全管控,2014年開始探索開展采用指紋認(rèn)證,進(jìn)一步提高資金支付安全級(jí)別。近年來,隨著生物識(shí)別技術(shù)興起,該公司開展資金支付領(lǐng)域的創(chuàng)新應(yīng)用探索,成功在資金支付業(yè)務(wù)關(guān)鍵環(huán)節(jié)中引入“人臉+密鑰”雙重安全防控體系,以期借力新技術(shù)、新方法強(qiáng)化資金安全管控。同時(shí),通過深化業(yè)財(cái)融合,集中管理資金往來款項(xiàng),所有業(yè)務(wù)事項(xiàng)審核完成后先入池、后排程、再支付,將會(huì)計(jì)確認(rèn)、預(yù)算編制、資金收付、回單智能掛接、銀企自動(dòng)對(duì)賬等緊密銜接在一起,實(shí)現(xiàn)信息在資金系統(tǒng)中從前到后自動(dòng)貫通,提升業(yè)財(cái)協(xié)同管控能力,全面提高資金管理的安全、效率和效益。2016年數(shù)據(jù)統(tǒng)計(jì),公司主業(yè)、產(chǎn)業(yè)、金融單位(上千家會(huì)計(jì)主體)共使用資金系統(tǒng)完成在線支付近四百萬筆數(shù)萬億資金。
主辦單位:中國(guó)電力發(fā)展促進(jìn)會(huì) 網(wǎng)站運(yùn)營(yíng):北京中電創(chuàng)智科技有限公司 國(guó)網(wǎng)信通億力科技有限責(zé)任公司 銷售熱線:400-007-1585
項(xiàng)目合作:400-007-1585 投稿:63413737 傳真:010-58689040 投稿郵箱:yaoguisheng@chinapower.com.cn
《 中華人民共和國(guó)電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證 》編號(hào):京ICP證140522號(hào) 京ICP備14013100號(hào) 京公安備11010602010147號(hào)
資金是企業(yè)運(yùn)行的血液,能否正常循環(huán)流通,決定著企業(yè)的生存和發(fā)展,提高企業(yè)資金結(jié)算效率和支付安全保障至關(guān)重要。某集團(tuán)公司建立了嚴(yán)格的資金內(nèi)控機(jī)制和完善的資金管理制度,但公司業(yè)務(wù)鏈條長(zhǎng)、管理層級(jí)多、支出規(guī)模大,部分單位存在制度執(zhí)行不到位、操作流程不規(guī)范、密鑰管理不合規(guī),存在資金安全風(fēng)險(xiǎn)隱患。公司提出“強(qiáng)化系統(tǒng)的靈活配置和資金安全管控,基于財(cái)務(wù)的控制節(jié)點(diǎn)設(shè)置流程,可根據(jù)不同單位的人員配置情況,靈活設(shè)置崗位的職責(zé)權(quán)限;通過電子簽名、生物識(shí)別、密鑰管理等措施,加強(qiáng)資金支付安全管控?!?/span>
遠(yuǎn)光軟件從實(shí)際應(yīng)用出發(fā),著眼于業(yè)務(wù)銜接強(qiáng)化,結(jié)算審核、銀企通道及縱向管控集中管控能力,通過構(gòu)建資金收支安全保障體系,全面提高資金管理的安全、效率和效益。
資金收支安全保障體系
建立從業(yè)務(wù)申請(qǐng)、財(cái)務(wù)審核到支付通道、縱向管控全面覆蓋,符合國(guó)家信息安全等三級(jí)要求的多重資金安全保障體系,如圖1所示。
(一)業(yè)務(wù)銜接安全保障
全部支付申請(qǐng)由業(yè)務(wù)部門發(fā)起,杜絕財(cái)務(wù)部門手工填報(bào)和信息篡改。支付業(yè)務(wù)相關(guān)的前端業(yè)務(wù)系統(tǒng)/模塊(如ERP、員工報(bào)銷等)付款申請(qǐng)審批完成后自動(dòng)傳入GTMS資金系統(tǒng)付款結(jié)算池,加密存儲(chǔ),付款信息全程不可篡改,確保資金安全。
(二)結(jié)算審核安全保障
財(cái)務(wù)審批過程中可以結(jié)合密鑰簽名確保付款信息完整性、不可篡改性(包括收款方信息、付款金額、付款方式、付款賬戶信息、票據(jù)信息、付款摘要)。
在兼容電子支付環(huán)節(jié)密鑰加密外,支持手簽板簽名和生物識(shí)別身份認(rèn)證,進(jìn)一步加強(qiáng)資金支付安全。在密鑰加密等環(huán)節(jié)增加手簽板,保留在單據(jù)中,用于查詢及打?。辉诿荑€加密環(huán)節(jié)增加指紋或人臉識(shí)別驗(yàn)證身份,確保識(shí)別信息與預(yù)留信息保持一致。手簽板和生物識(shí)別驗(yàn)證通過后,在一定時(shí)間內(nèi)有效,不需每筆簽名時(shí)重復(fù)識(shí)別(見圖2)。
(三)銀企通道安全保障
GTMS系統(tǒng)銀企平臺(tái),建立了以密鑰加密體系(支持國(guó)內(nèi)/國(guó)際加密算法)、加密安全校驗(yàn)體系、信道加密體系、端口訪問控制體系、異常處理機(jī)制、日志追蹤機(jī)制為支撐的資金安全通道。
(四)縱向管控安全保障
系統(tǒng)資金結(jié)算功能統(tǒng)一規(guī)范,程序統(tǒng)一開發(fā)、編譯發(fā)布,各級(jí)單位直接部署應(yīng)用;資金業(yè)務(wù)體系集團(tuán)統(tǒng)一定義,縱向管控、授權(quán)控制。
支付安全技術(shù)保障
在整個(gè)資金電子支付過程中,從申請(qǐng)人提出付款申請(qǐng)開始,到銀行完成交易的整個(gè)過程,銀行保證銀行端的交易安全,而應(yīng)用軟件則主力承擔(dān)并保證企業(yè)端的支付安全,并且最大限度降低企業(yè)內(nèi)部的支付風(fēng)險(xiǎn)。遠(yuǎn)光軟件在支付過程中主要采用下列安全技術(shù)進(jìn)行支撐。
(一)數(shù)字簽名保障
數(shù)字簽名是指數(shù)據(jù)報(bào)文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。采用密碼技術(shù)的加、解密算法體制來實(shí)現(xiàn)對(duì)文件的數(shù)字簽名,實(shí)現(xiàn)交易的不可抵賴性和安全性服務(wù)。
關(guān)鍵環(huán)節(jié)控制:支付過程中各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一認(rèn)證和授權(quán);對(duì)核心數(shù)據(jù)進(jìn)行簽名;多重簽名;個(gè)人證書和職工信息綁定;銀行證書和服務(wù)器綁定。
在實(shí)際應(yīng)用中,往往采用的是多種電子證書認(rèn)證體系,滿足靈活使用,實(shí)施成本相對(duì)較低。
(1)企業(yè)內(nèi)部使用自己建立的內(nèi)部數(shù)字證書認(rèn)證體系,對(duì)申請(qǐng)到支付的企業(yè)各個(gè)流程環(huán)節(jié)進(jìn)行認(rèn)證和授權(quán)。私有獨(dú)立,并靈活方便。
(2)銀行提供自己可以驗(yàn)簽認(rèn)證的證書給個(gè)人或者企業(yè),標(biāo)準(zhǔn)規(guī)范。
(3)在支付的時(shí)候,需要進(jìn)行轉(zhuǎn)換,完成內(nèi)外兩套體系的對(duì)接。
(二)軟件系統(tǒng)安全保障
1.客戶端安全層面
(1)對(duì)于外部輸入數(shù)據(jù)的有效性檢查、對(duì)業(yè)務(wù)權(quán)限的判斷檢查均后臺(tái)邏輯層進(jìn)行控制,有效防止因界面漏洞形成的界面爆破。
(2)在數(shù)據(jù)錄入過程中,進(jìn)行數(shù)據(jù)的合法性檢查,不允許非法數(shù)據(jù)錄入到系統(tǒng)中。
(3)為防止SQL注入攻擊,輸入數(shù)據(jù)時(shí)禁止輸入構(gòu)成SQL注入攻擊的特定字符。服務(wù)端采用JDBC預(yù)編譯方式防止SQL注入攻擊漏洞。
(4)大部分功能支持定制界面,可以根據(jù)實(shí)際需要對(duì)重要敏感信息進(jìn)行區(qū)別標(biāo)記。
2.數(shù)據(jù)交互安全層面
(1)對(duì)于客戶端與服務(wù)端的敏感數(shù)據(jù)傳遞時(shí),均采用動(dòng)態(tài)密鑰算法,例如用戶登陸過程中的用戶名稱/用戶密碼、數(shù)據(jù)上報(bào)與下發(fā)等功能中均使用動(dòng)態(tài)密鑰加密數(shù)據(jù)。
(2)對(duì)于敏感數(shù)據(jù),采用數(shù)字簽名技術(shù),服務(wù)端通過驗(yàn)證客戶端的簽名數(shù)據(jù)的合法性,判斷在傳輸過程中相關(guān)的數(shù)據(jù)包是否被篡改。
(3)對(duì)于其他重要功能,可以選配使用業(yè)界成熟的傳輸協(xié)議在客戶端和服務(wù)端之間傳輸數(shù)據(jù)包。
3.應(yīng)用服務(wù)安全層面
(1)采用標(biāo)準(zhǔn)的加密算法,滿足國(guó)際國(guó)內(nèi)加密要求。服務(wù)端通過JAVA JCE接口完成數(shù)據(jù)的加解密,在實(shí)際的運(yùn)行環(huán)境中,可以根據(jù)自己的需要選用不同廠商,增強(qiáng)數(shù)據(jù)安全強(qiáng)度。
(2)提供了統(tǒng)一的用戶身份認(rèn)證服務(wù)和客戶端身份認(rèn)證組件,用于完成用戶登陸動(dòng)作??芍付ㄓ脩粼谔囟↖P登陸,強(qiáng)制密碼修改周期及密碼重復(fù)使用次數(shù)限制,強(qiáng)制要求密碼字符串的長(zhǎng)度及構(gòu)成要素。
(3)為防止非法客戶端通過窮舉法,連續(xù)向服務(wù)端發(fā)送登陸請(qǐng)求試圖猜測(cè)用戶密碼,動(dòng)鎖定客戶端請(qǐng)求功能。
(4)為日后數(shù)據(jù)審計(jì)和回溯,對(duì)關(guān)鍵操作記錄操作軌跡,內(nèi)容包括用戶名稱、計(jì)算機(jī)IP地址、登陸時(shí)間、操作日期、操作模塊名稱等。
(三)通道安全保障
(1)傳輸控制。在支付的關(guān)鍵路徑上,比如企業(yè)和銀行前置機(jī)連接鏈路,使用業(yè)務(wù)成熟的技術(shù)傳輸數(shù)據(jù)包,這種做法允許通信兩端之間能通過安全的連接來通訊,它提供加密、來源驗(yàn)證、數(shù)據(jù)完整性等支持,同時(shí)還提供通信雙方之間的身份識(shí)別和通信信道的安全,身份識(shí)別主要靠數(shù)字簽名來實(shí)現(xiàn),通信信道的安全靠數(shù)據(jù)加密實(shí)現(xiàn),以保護(hù)在不安全的公眾網(wǎng)絡(luò)上安全地交換數(shù)據(jù)。
(2)限制關(guān)鍵通道上的使用權(quán)限。通過設(shè)置用戶管理權(quán)限功能,安全級(jí)別較高的崗位,僅開放給針對(duì)性的部分高級(jí)用戶。這些用戶使用時(shí),系統(tǒng)自動(dòng)切換為安全通道進(jìn)行傳輸數(shù)據(jù),在靈活性和安全性上同時(shí)兼顧。
支付安全保障創(chuàng)新應(yīng)用
(一)應(yīng)用收款付款結(jié)算池
基于應(yīng)收款項(xiàng)明細(xì)及合同收款條款、訂單等信息,獲取各類預(yù)計(jì)收款信息,按時(shí)間、金額、收款進(jìn)度比例、款項(xiàng)性質(zhì)及收款方式等,預(yù)計(jì)資金收款時(shí)序,形成收款結(jié)算池?;诤贤犊顥l款、預(yù)算申請(qǐng)、業(yè)務(wù)報(bào)銷和付款申請(qǐng)等信息,獲取各類預(yù)計(jì)付款信息,按剛性、月內(nèi)支付、可延緩支付,預(yù)計(jì)資金付款時(shí)序,形成付款結(jié)算池。通過強(qiáng)化應(yīng)收款項(xiàng)和應(yīng)付款項(xiàng)的會(huì)計(jì)監(jiān)督,實(shí)現(xiàn)會(huì)計(jì)確認(rèn)、預(yù)算編制、資金支付強(qiáng)關(guān)聯(lián),建立全業(yè)務(wù)、端到端的業(yè)財(cái)融合方案,所有業(yè)務(wù)事項(xiàng)審核完成后先入池、再排程。
(二)應(yīng)用預(yù)算按日排程
根據(jù)付款結(jié)算池和收款結(jié)算池中的收付款業(yè)務(wù)信息,按預(yù)計(jì)收款時(shí)間(收入按歷史回收情況模擬流入曲線)形成資金收款時(shí)序排程,依據(jù)業(yè)務(wù)特性及合同付款條款要求形成資金支付時(shí)序排程,通過對(duì)業(yè)務(wù)、時(shí)間、金額、款項(xiàng)性質(zhì)等進(jìn)行多維配比,組合資金收支排程信息繪制資金日排程曲線,形成現(xiàn)金流日預(yù)算。按日預(yù)測(cè)未來現(xiàn)金流入、流出及余額,動(dòng)態(tài)跟蹤資金狀況及動(dòng)向,實(shí)時(shí)監(jiān)控資金日排程執(zhí)行過程,科學(xué)安排外部融資和內(nèi)部運(yùn)作,減少融資的頻率和規(guī)模,削峰去谷平滑資金曲線,提高資金的使用效率,提升資金統(tǒng)籌平衡能力。
(三)支付合規(guī)審批應(yīng)用
結(jié)合企業(yè)內(nèi)控合規(guī)管理要求,涉及內(nèi)控合規(guī)審查的崗位,在對(duì)應(yīng)的處理環(huán)節(jié)進(jìn)行業(yè)務(wù)處理時(shí),進(jìn)行內(nèi)控合規(guī)審查確認(rèn),對(duì)業(yè)務(wù)事項(xiàng)根據(jù)合規(guī)內(nèi)容進(jìn)行逐漸檢查,細(xì)化內(nèi)部控制。如強(qiáng)化合同付款條款結(jié)構(gòu)化管理、付款依據(jù)電子化管理,確保資金支付真實(shí)、合規(guī),防范挪用侵占、超前付款、重復(fù)付款等風(fēng)險(xiǎn)。
(四)遠(yuǎn)光軟件認(rèn)證精靈產(chǎn)品
遠(yuǎn)光認(rèn)證精靈,兼容涵蓋USB key、指紋識(shí)別、虹膜識(shí)別、高敏簽字版、RFID讀卡設(shè)備等設(shè)備,可作為企業(yè)支付的安全衛(wèi)士。能保證每個(gè)人身份信息的唯一性,不可能被復(fù)制、冒用、替代,提高員工身份認(rèn)證安全性;在接觸式身份認(rèn)證硬件基礎(chǔ)上,加入非接觸式身份認(rèn)證硬件,虹膜識(shí)別模塊和人臉圖像錄制模塊,體現(xiàn)身份認(rèn)證渠道多樣性;個(gè)人身份認(rèn)證信息不會(huì)因時(shí)間、天氣、環(huán)境等發(fā)生變化,而導(dǎo)致人員認(rèn)證失敗,確保身份認(rèn)證過程穩(wěn)定性;認(rèn)證精靈既能夠?qū)崿F(xiàn)全離線認(rèn)證,也可以配置為網(wǎng)絡(luò)集中管理,實(shí)現(xiàn)一處錄入多處認(rèn)證。
(五)銀企自動(dòng)對(duì)賬應(yīng)用
系統(tǒng)自動(dòng)生成唯一對(duì)賬標(biāo)識(shí),建立財(cái)務(wù)、銀行數(shù)據(jù)關(guān)聯(lián)關(guān)系,貫通資金流轉(zhuǎn)全過程,提高自動(dòng)對(duì)賬頻率,提升資金安全監(jiān)控手段。對(duì)賬規(guī)則:系統(tǒng)采用“金額+對(duì)賬碼”方式進(jìn)行自動(dòng)匹配,首先按照單筆金額和對(duì)賬碼完全相符的銀行流水和賬簿明細(xì)進(jìn)行一一自動(dòng)勾對(duì);再按照對(duì)賬碼相同的多筆銀行流水或賬簿明細(xì)匯總后進(jìn)行自動(dòng)勾對(duì);再系統(tǒng)按照賬簿明細(xì)有對(duì)賬碼,金額相同且唯一的銀行流水和賬簿明細(xì)進(jìn)行自動(dòng)勾對(duì);系統(tǒng)按金額相同且唯一銀行流水和賬簿明細(xì)進(jìn)行自動(dòng)勾對(duì);對(duì)剩余仍未勾對(duì)的銀行流水和賬簿明細(xì)進(jìn)行逐筆核對(duì),確認(rèn)未達(dá)賬項(xiàng)并自動(dòng)生成余額調(diào)整表。
(六)銀行回單管理機(jī)器人
利用RPA機(jī)器人,快速實(shí)現(xiàn)各商業(yè)銀行的電子回單打印,并實(shí)現(xiàn)回單與支付單據(jù)、賬務(wù)憑證掛接和自動(dòng)歸檔。機(jī)器人自動(dòng)登錄網(wǎng)銀系統(tǒng)獲取回單信息;機(jī)器人通過提取對(duì)賬碼,獲取付款憑證與資金支付申請(qǐng)單據(jù)、銀行回單的對(duì)應(yīng)關(guān)系,按對(duì)賬標(biāo)記自動(dòng)執(zhí)行匹配,在資金系統(tǒng)同步打印并完成付款憑證的自動(dòng)歸檔。RPA機(jī)器人將財(cái)務(wù)人員從簡(jiǎn)單重復(fù)的“苦力勞動(dòng)”中解放出來,大大減少財(cái)務(wù)人員分揀回單,核對(duì)回單與付款憑證匹配等的工作量,極大提升工作效率和數(shù)據(jù)準(zhǔn)確性。
典型案例:
某大型電力央企,自2010年開始使用資金系統(tǒng),資金支付采用密鑰作為支付安全保障方式,但在密鑰保管和使用過程中,仍存在“一人代辦多崗位職能”“密鑰借用”等影響企業(yè)資金安全的情況。為了持續(xù)深化資金安全管控,2014年開始探索開展采用指紋認(rèn)證,進(jìn)一步提高資金支付安全級(jí)別。近年來,隨著生物識(shí)別技術(shù)興起,該公司開展資金支付領(lǐng)域的創(chuàng)新應(yīng)用探索,成功在資金支付業(yè)務(wù)關(guān)鍵環(huán)節(jié)中引入“人臉+密鑰”雙重安全防控體系,以期借力新技術(shù)、新方法強(qiáng)化資金安全管控。同時(shí),通過深化業(yè)財(cái)融合,集中管理資金往來款項(xiàng),所有業(yè)務(wù)事項(xiàng)審核完成后先入池、后排程、再支付,將會(huì)計(jì)確認(rèn)、預(yù)算編制、資金收付、回單智能掛接、銀企自動(dòng)對(duì)賬等緊密銜接在一起,實(shí)現(xiàn)信息在資金系統(tǒng)中從前到后自動(dòng)貫通,提升業(yè)財(cái)協(xié)同管控能力,全面提高資金管理的安全、效率和效益。2016年數(shù)據(jù)統(tǒng)計(jì),公司主業(yè)、產(chǎn)業(yè)、金融單位(上千家會(huì)計(jì)主體)共使用資金系統(tǒng)完成在線支付近四百萬筆數(shù)萬億資金。