企业资金支付安全管控体系建设探析
2021-02-04张勇于意陈叶明
张勇 于意 陈叶明
摘 要:随着网上银行、银企直联等电子支付在企业资金支付中的应用,资金支付存在一系列的安全风险。基于此,本文以M集团的资金支付安全管理实践为基础,提出企业资金支付安全管控体系建设内容,希望对企业资金支付安全管理有所借鉴。
关键词:资金;支付;安全管理
中图分类号:F23 文献标识码:Adoi:10.19311/j.cnki.16723198.2021.06.046
0 引言
资金本身具有高价值性、高流动性和高风险性的特征,也是企业生存的基础和最重要的资产。随着企业规模的日益扩大和大智移云物新技术在企业信息化中的应用越来越多,企业的资金交易量增大,网络、信息安全等因素带来的资金支付安全风险问题不断暴露,资金支付安全管理成为企业管理的重中之重。如何建立完善的企业资金支付安全管控体系,确保资金安全支付,促进资金支付安全管理的全面性、持续性、先进性,具有重要的现实意义。
1 资金支付安全管控体系概述
基于M集团的财务共享中心资金支付安全管控体系建设的实践,提炼总结出企业资金支付安全管控体系建设主要分为人脸识别、数字签名、内外网隔离、支付网关、支付防重控制。
2 人脸识别
目前很多企业应用系统中的身份认证,都还停留在固态密码的验证,面对越来越多的网络威胁,关键系统的身份认真功能也亟须升级,而人脸识别作为一种生物认证手段,已经被很多产品进行使用。而人脸识别技术作为关键系统的安全门闩,人脸识别需要同时支持身份比对和活体认证。
考虑到人脸识别对设备的要求,目前M集团的财务共享系统人脸识别主要应用在共享出纳支付,保障支付安全。
(1)留底图像的采集。通过权限流程进行规范管控,保证采集的图像人员拥有共享出纳支付权限,且图像采集后需要作为关键身份认证信息进行落地存储。
(2)通过在出纳办公PC机位置部署人脸识别终端设备,支持离线SDK人脸识别。
(3)出纳在结算支付的时候,系统通过人脸识别终端设备进行人脸识别和活体验证,进行人脸首次验证,通过后,人脸特征通过CA数字签名与其它关键业务信息一起加密存储。
(4)支付管理服务器在发送支付指令的时候,通过机房特定主机部署离线SDK,服务端校验解密后的图像与当前人员留底图像保持完全一致,完成二次验证。
3 数字签名
数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,作为一种较为安全的身份认证方式,目前被普遍使用于关键信息化系统,比如银行的支付U盾。
M集团的数字签名也是采用实体U盾,证书存储在U盾硬件中,在共享出纳提交支付的时候完成身份认证,并对关键业务数据进行签名加密。
(1)系统完成数字签名相关的硬件部署,其中签名验签服务器部署在财务公司网络(假设财务共享不可信任)。通过企业内部的U盾申请,完成U盾的采购和CA证书安装,并下放到具体共享出纳手中。
(2)共享出纳在支付的时候,需要通过USB接口插入U盾,通过支付操作输入U盾Pin码,客户端自动根据U盾中的用户证书进行签名,系统发送给签名验签服务器,完成对用户身份进行验证。
(3)将带个人签名支付报文由财务共享系统服务器端发送到支付管理服务器端,支付管理服务器再次将个人签名的报文发送给签名验签服务器完成二次验签,以防财务共享端到支付管理服务器过程中被篡改。
(4)个人签名验签成功后,将支付报文发送到本端NSAE-B设备上请求企業签名,并将带有企业签名的支付报文发送到财务公司端签名验签服务器进行验签,此步主要目的验证企业端签名的有效性。
4 内外网隔离
考虑到移动端的便捷性,越来越多的产品都支持手机APP进行业务处理,而企业办公都是在企业内网中进行,而手机APP是通过互联网进行访问,互联网的介入会到系统的安全带来新的挑战,因此应在架构部署上增加网络安全相关的考虑,尤其是涉及资金支付、财务管理等关键业务系统。针对这种问题,一般都是通过内外网隔离的手段进行安全加固,避免互联网访问导致的安全问题。
下面是M集团财务共享系统内外网隔离方案介绍。
(1)DMZ:全称Demilitarized Zone,译名为“非军事区”,又名“边界网络”,为一种网络架构的布置方案,常用的架设方案是在不信任的外部网络和可信任的内部网络外,创建一个面向外部网络的物理或逻辑子网,该子网能设置用于对外部网络的服务器主机。
(2)反向代理服务器,根据客户端的请求,从一组或多组后端服务器(如Web服务器)上获取资源,然后再将这些资源返回给客户端,客户端只会得知反向代理的IP地址,而不知道在代理服务器后面的服务器簇的存在,除了可以防止外网对内网服务器的恶性攻击、缓存以减少服务器的压力和访问安全控制之外,还可以进行负载均衡。
(3)兼顾内外网访问,重点防御外部用户访问带来的网络攻击风险,通过https协议对外网提供服务,由DMZ+反向代理+外部web层实现对核心数据的多层防护,提高安全防护级别。
5 支付网关
支付网关是直接对接业务系统的接口,确保交易在前端业务系统和后端支付产品之间进行安全无缝对接。通过支付网关可以将非业务功能提取出来统一管控处理,比如通信、协议转换、数据交换、数据加密/验签等,基于安全考虑也可以在支付网关中加入支付防重、数据合法性校验等。
基于支付网关,可以对业务系统和支付产品进行网络和功能的隔离,也保障了支付产品无需考虑与支付功能以外的其他处理。
下面是M集团支付网关的方案介绍。
(1)银企直联系统分为支付网关、支付服务、银行前置三个微服务组成,与业务系统之间和与银行外网接口之间通过防火墙进行安全隔离。
(2)上游涉及支付指令发送的业务系统,通过银企直联系统支付网关提供的接口,进行支付指令的传递。
(3)支付网关接收到上游数据后,首先进行加密验签,再通过防重判断、合法性校验等处理,保证支付指令的数据质量,并隔离了业务系统与支付服务微服务联系。
6 支付防重控制
作为支付管理,支付防重作为一种关键风险防范手段,需要从业务角度和IT角度同时考虑进行防重控制,避免数据异常或被攻击,导致的重复支付风险。
下面是M集团财务共享系统的支付防重方案介绍。
(1)财务共享,在支付之前,收到上游系统或应用的支付指令,同时进行IT防重和业务防重处理,只有同时满足才允许直接走到资金管理进行支付。
(2)IT防重,支付数据初次进入财务共享,先登记支付表。每次接收数据后通过数据ID在支付表进行判断,如果存在且有效,则说明数据重复(支付失败后失效支付表状态),主要是避免支付指令重复发放或被重放攻击。
(3)业务防重,通过业务防重规则的设置,财务共享每次接收数据后,调用业务防重规则进行判断,主要是避免业务重复操作导致的重复支付风险。
7 总结
上述安全方案仅浅谈了针对资金支付相关的部分安全管控措施。企业不能研发出绝对安全的应用系统,但是需要构建健壮的系统安全体系,这样才能更好的保证产品的稳定和信息资产的安全。在产品研发和实施的时候尽早的意识到安全架构体系的重要性,既可以保证提升产品的安全性,也可以让后续产品优化事半功倍。
企业应用安全体系需要从数据安全、服务器安全、功能应用安全、网络安全、运维实施安全、审计安全等多方位进行考量,安全体系需要贯彻产品生命周期的始末。
参考文献
[1]远光软件:资金支付安全保障创新应用实践[J].中国总会计师,2018,(12).
[2]陈旭,李井娟.企业集团资金管理模式分析[J].现代商贸工业,2011,(15).