吉林省支付清算系統參與者數字證書使用現狀調查與現存問題分析及建議

陳玉龍 冷東波

（中國人民銀行長春中心支行，吉林長春 130051）

吉林省支付清算系統參與者數字證書使用現狀調查與現存問題分析及建議

陳玉龍 冷東波

（中國人民銀行長春中心支行，吉林長春 130051）

目前，基于數字證書的安全認證體系廣泛應用于全國支票影像交換系統（以下簡稱CIS）、支付管理信息系統（以下簡稱PMIS）、電子商業匯票系統（以下簡稱ECDS）、網上支付跨行清算系統（以下簡稱IBPS）以及第二代支付系統的支付業務統計分析系統（以下簡稱PSAS）和行名行號管理系統（以下簡稱BCMS），數字證書的使用與管理已經成為支付清算系統安全穩定運行的重要方面。2013年第三季度，中國人民銀行長春中心支行清算中心（以下簡稱長春清算中心）開展了吉林省支付清算系統參與者數字證書使用情況統計調查，組織數字證書即將到期的參與者統一完成了換發工作，針對參與者數字證書過期、未激活等問題進行了徹底清查和處理，并完成了第二代支付系統參與者數字證書的申請發放工作，保障了第二代支付系統順利上線切換和參與者業務數據信息查詢的順利過渡。

一、吉林省支付清算系統參與者數字證書存量統計

截止2013年9月30日，長春清算中心審核發放支付清算系統參與者數字證書共計280個。按系統分類：CIS數字證書70個，PMIS數字證書36個、ECDS數字證書57個、IBPS數字證書2個、第二代支付系統PSAS和BCMS數字證書115個；按參與者分類：人民銀行使用數字證書142個，金融機構使用數字證書138個；按參與者接入系統方式分類：以直連方式接入的金融機構數字證書20個，以分散或間連方式接入的金融機構數字證書260個。

二、數字證書換發和第二代支付系統數字證書申請發放情況

2013年長春清算中心轄內多家人民銀行和金融機構的支付清算系統數字證書將在年內陸續到期，為確保CIS、PMIS、ECDS和IBPS安全穩定運行，做好數字證書到期換發工作，長春清算中心下發《中國人民銀行長春中心支行關于換發、撤銷支付系統數字證書的通知》（長銀辦發[2013]87號），組織相關參與者統一完成換發和過期撤銷工作。本次共計完成數字證書換發80個，撤銷過期不用數字證書12個，協助、指導5家ECDS和IBPS參與者完成數字證書解除綁定與重新綁定。第二代支付系統上線切換前，長春清算中心審核發放第二代支付系統數字證書共計115個，其中人民銀行個人證書79個，商業銀行企業證書36個。確保人民銀行和轄內商業銀行用戶正常接入第二代支付系統。

三、支付清算系統參與者數字證書日常使用中存在的問題

（一）數字證書下載、安裝過程中存在的問題

數字證書下載、安裝過程中，普遍存在下載超期以及下載、安裝不正確的問題。數字證書密碼信封中含有下載證書所需要的參考碼和授權碼（以下簡稱兩碼），兩碼自審核打印之日起14天內有效。未在規定日期內登錄CFCA網站下載證書，將造成兩碼失效，無法下載。需經清算中心重發兩碼后重新下載。支付清算系統參與者證書管理員下載證書時，應按照《人民銀行XX系統用戶證書下載手冊》進行下載，注意區分文件證書和USBKEY證書的下載方式。個別支付清算系統參與者證書管理員未按要求選擇“制證方式”和“軟件CSP”，導致證書下載出錯或下載到其他地方。遇這種情況，需清算中心補發后重新下載。

（二）數字證書日常使用和管理中存在的問題

目前，長春清算中心轄內采用分散接入或間連接入模式的參與者較多，占比92.86%。以CIS業務為例：2012年吉林省CIS提入提出業務總量327筆，其中人民銀行46家票據交換所共辦理CIS業務26筆，占比僅為7.95%；9家直連商業銀行虛擬票交所辦理CIS業務301筆，占比92.05%。分散和間連參與者業務量較小，數字證書使用率和日常維護工作較少，容易造成業務不熟練和疏忽大意。多數商業銀行的支付清算系統數字證書由業務人員負責申請和使用，由科技人員負責下載和安裝。由于時間跨度長、涉及部門多、業務量小和日常維護少等原因，個別支付清算系統參與者在發生人員變動、輪崗等情況時交接不規范，疏忽了對數字證書相關工作的交接管理，造成繼任人員不熟悉，甚至不知道數字證書相關工作事項，給日后的業務運行和異常處理造成風險隱患。

（三）數字證書到期換發期間存在的問題

一是數字證書到期未及時申請換發。支付清算系統數字證書的有效期為3年，為不影響正常業務，支付清算系統參與者證書管理員應在證書到期日前及時申請換發。二是到期不再使用或由于機構撤并原因不再使用的數字證書未及時申請撤銷。三是IBPS和ECDS數字證書換發后需要解除舊證書綁定，重新綁定新證書。在解除舊證書綁定時，由于證書換發操作使得舊證書失效，因此解除綁定失敗，新證書的重新綁定也無法完成。

（四）關于數字證書的業務咨詢和技術支持問題

目前，清算中心和支付清算系統參與者數字證書使用中遇到問題主要咨詢清算總中心有關部門和中金金融認證中心有限公司（以下簡稱CFCA）。CFCA技術支持采用熱線電話接線員記錄問題并發給CFCA工程師，數字證書使用者反應問題后只能被動等待CFCA工程師的電話，使得處理問題的效率不高。再者CFCA技術支持人員對支付系統的了解程度不夠，造成某些問題不能給出有效處理辦法。

四、加強數字證書使用與管理的具體措施及建議

1.支付清算系統參與者相關部門應充分認識數字證書在支付清算系統中的作用，高度重視數字證書的日常使用管理，建立健全并嚴格落實有關數字證書的規章制度，加強內部協調與內控管理，明確崗位職責，強化崗位人員培訓，熟悉數字證書申請、下載、安裝、使用和管理的相關流程，加強崗位人員變動時的工作交接管理。

2.人民銀行應加強對支付清算系統數字證書使用者的管理，明確管理部門、監督職責和處罰依據。目前，人民銀行審核發放數字證書后，對參與者數字證書的使用情況不能有效監督，隨著數字證書使用者和數字證書存量的增多，對數字證書管理的有效手段不足。清算中心應定期組織對轄內參與者數字證書使用情況進行檢查，加強數字證書發放后的管理工作，對數字證書即將到期的參與者做好到期提示，對較長時間未使用數字證書的參與者做好風險提醒。

3.對于IBPS和ECDS換發證書后舊證書失效無法解綁的問題，可以適當延長舊證書的有效時間，換發后舊證書不立即失效，給參與者留有足夠的解綁舊證書的操作時間。清算總中心也可以根據屬地管理的原則，考慮下放數字證書解除綁定的權限到CCPC業務主管，以便及時處理參與者數字證書解綁與重新綁定期間出現的問題。

4.對于分散接入或間連接入參與者出現的數字證書丟失、口令忘記、到期未及時申請換發等問題，人民銀行應該以業務量增長促進參與者數字證書的使用，大力宣傳支付系統業務，從根本上解決參與者數字證書長期閑置不用的狀況。

總之，從保障支付清算系統數據傳輸和交換過程中的不可抵賴性和完整性到進行用戶身份認證、取代實體簽章，數字證書在支付清算系統中起到越來越重要的作用，各支付清算系統參與者應加強自身數字證書日常使用管理，人民銀行相關部門應嚴格審批，加強監管，確保數字證書使用和管理安全?！?/p>

（責任編輯：何昆燁）

陳玉龍，男，漢族，本科，中國人民銀行長春中心支行，工程師。冷東波，男，漢族，本科，中國人民銀行長春中心支行，工程師。