張勇 于意 陳葉明

摘 要：隨著網(wǎng)上銀行、銀企直聯(lián)等電子支付在企業(yè)資金支付中的應(yīng)用，資金支付存在一系列的安全風(fēng)險(xiǎn)。基于此，本文以M集團(tuán)的資金支付安全管理實(shí)踐為基礎(chǔ)，提出企業(yè)資金支付安全管控體系建設(shè)內(nèi)容，希望對(duì)企業(yè)資金支付安全管理有所借鑒。

關(guān)鍵詞：資金;支付;安全管理

中圖分類(lèi)號(hào)：F23 文獻(xiàn)標(biāo)識(shí)碼：Adoi：10.19311/j.cnki.16723198.2021.06.046

0 引言

資金本身具有高價(jià)值性、高流動(dòng)性和高風(fēng)險(xiǎn)性的特征，也是企業(yè)生存的基礎(chǔ)和最重要的資產(chǎn)。隨著企業(yè)規(guī)模的日益擴(kuò)大和大智移云物新技術(shù)在企業(yè)信息化中的應(yīng)用越來(lái)越多，企業(yè)的資金交易量增大，網(wǎng)絡(luò)、信息安全等因素帶來(lái)的資金支付安全風(fēng)險(xiǎn)問(wèn)題不斷暴露，資金支付安全管理成為企業(yè)管理的重中之重。如何建立完善的企業(yè)資金支付安全管控體系，確保資金安全支付，促進(jìn)資金支付安全管理的全面性、持續(xù)性、先進(jìn)性，具有重要的現(xiàn)實(shí)意義。

1 資金支付安全管控體系概述

基于M集團(tuán)的財(cái)務(wù)共享中心資金支付安全管控體系建設(shè)的實(shí)踐，提煉總結(jié)出企業(yè)資金支付安全管控體系建設(shè)主要分為人臉識(shí)別、數(shù)字簽名、內(nèi)外網(wǎng)隔離、支付網(wǎng)關(guān)、支付防重控制。

2 人臉識(shí)別

目前很多企業(yè)應(yīng)用系統(tǒng)中的身份認(rèn)證，都還停留在固態(tài)密碼的驗(yàn)證，面對(duì)越來(lái)越多的網(wǎng)絡(luò)威脅，關(guān)鍵系統(tǒng)的身份認(rèn)真功能也亟須升級(jí)，而人臉識(shí)別作為一種生物認(rèn)證手段，已經(jīng)被很多產(chǎn)品進(jìn)行使用。而人臉識(shí)別技術(shù)作為關(guān)鍵系統(tǒng)的安全門(mén)閂，人臉識(shí)別需要同時(shí)支持身份比對(duì)和活體認(rèn)證。

考慮到人臉識(shí)別對(duì)設(shè)備的要求，目前M集團(tuán)的財(cái)務(wù)共享系統(tǒng)人臉識(shí)別主要應(yīng)用在共享出納支付，保障支付安全。

（1）留底圖像的采集。通過(guò)權(quán)限流程進(jìn)行規(guī)范管控，保證采集的圖像人員擁有共享出納支付權(quán)限，且圖像采集后需要作為關(guān)鍵身份認(rèn)證信息進(jìn)行落地存儲(chǔ)。

（2）通過(guò)在出納辦公PC機(jī)位置部署人臉識(shí)別終端設(shè)備，支持離線SDK人臉識(shí)別。

（3）出納在結(jié)算支付的時(shí)候，系統(tǒng)通過(guò)人臉識(shí)別終端設(shè)備進(jìn)行人臉識(shí)別和活體驗(yàn)證，進(jìn)行人臉首次驗(yàn)證，通過(guò)后，人臉特征通過(guò)CA數(shù)字簽名與其它關(guān)鍵業(yè)務(wù)信息一起加密存儲(chǔ)。

（4）支付管理服務(wù)器在發(fā)送支付指令的時(shí)候，通過(guò)機(jī)房特定主機(jī)部署離線SDK，服務(wù)端校驗(yàn)解密后的圖像與當(dāng)前人員留底圖像保持完全一致，完成二次驗(yàn)證。

3 數(shù)字簽名

數(shù)字簽名是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，作為一種較為安全的身份認(rèn)證方式，目前被普遍使用于關(guān)鍵信息化系統(tǒng)，比如銀行的支付U盾。

M集團(tuán)的數(shù)字簽名也是采用實(shí)體U盾，證書(shū)存儲(chǔ)在U盾硬件中，在共享出納提交支付的時(shí)候完成身份認(rèn)證，并對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行簽名加密。

（1）系統(tǒng)完成數(shù)字簽名相關(guān)的硬件部署，其中簽名驗(yàn)簽服務(wù)器部署在財(cái)務(wù)公司網(wǎng)絡(luò)（假設(shè)財(cái)務(wù)共享不可信任）。通過(guò)企業(yè)內(nèi)部的U盾申請(qǐng)，完成U盾的采購(gòu)和CA證書(shū)安裝，并下放到具體共享出納手中。

（2）共享出納在支付的時(shí)候，需要通過(guò)USB接口插入U(xiǎn)盾，通過(guò)支付操作輸入U(xiǎn)盾Pin碼，客戶(hù)端自動(dòng)根據(jù)U盾中的用戶(hù)證書(shū)進(jìn)行簽名，系統(tǒng)發(fā)送給簽名驗(yàn)簽服務(wù)器，完成對(duì)用戶(hù)身份進(jìn)行驗(yàn)證。

（3）將帶個(gè)人簽名支付報(bào)文由財(cái)務(wù)共享系統(tǒng)服務(wù)器端發(fā)送到支付管理服務(wù)器端，支付管理服務(wù)器再次將個(gè)人簽名的報(bào)文發(fā)送給簽名驗(yàn)簽服務(wù)器完成二次驗(yàn)簽，以防財(cái)務(wù)共享端到支付管理服務(wù)器過(guò)程中被篡改。

（4）個(gè)人簽名驗(yàn)簽成功后，將支付報(bào)文發(fā)送到本端NSAE-B設(shè)備上請(qǐng)求企業(yè)簽名，并將帶有企業(yè)簽名的支付報(bào)文發(fā)送到財(cái)務(wù)公司端簽名驗(yàn)簽服務(wù)器進(jìn)行驗(yàn)簽，此步主要目的驗(yàn)證企業(yè)端簽名的有效性。

4 內(nèi)外網(wǎng)隔離

考慮到移動(dòng)端的便捷性，越來(lái)越多的產(chǎn)品都支持手機(jī)APP進(jìn)行業(yè)務(wù)處理，而企業(yè)辦公都是在企業(yè)內(nèi)網(wǎng)中進(jìn)行，而手機(jī)APP是通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)，互聯(lián)網(wǎng)的介入會(huì)到系統(tǒng)的安全帶來(lái)新的挑戰(zhàn)，因此應(yīng)在架構(gòu)部署上增加網(wǎng)絡(luò)安全相關(guān)的考慮，尤其是涉及資金支付、財(cái)務(wù)管理等關(guān)鍵業(yè)務(wù)系統(tǒng)。針對(duì)這種問(wèn)題，一般都是通過(guò)內(nèi)外網(wǎng)隔離的手段進(jìn)行安全加固，避免互聯(lián)網(wǎng)訪問(wèn)導(dǎo)致的安全問(wèn)題。

下面是M集團(tuán)財(cái)務(wù)共享系統(tǒng)內(nèi)外網(wǎng)隔離方案介紹。

（1）DMZ：全稱(chēng)Demilitarized Zone，譯名為“非軍事區(qū)”，又名“邊界網(wǎng)絡(luò)”，為一種網(wǎng)絡(luò)架構(gòu)的布置方案，常用的架設(shè)方案是在不信任的外部網(wǎng)絡(luò)和可信任的內(nèi)部網(wǎng)絡(luò)外，創(chuàng)建一個(gè)面向外部網(wǎng)絡(luò)的物理或邏輯子網(wǎng)，該子網(wǎng)能設(shè)置用于對(duì)外部網(wǎng)絡(luò)的服務(wù)器主機(jī)。

（2）反向代理服務(wù)器，根據(jù)客戶(hù)端的請(qǐng)求，從一組或多組后端服務(wù)器（如Web服務(wù)器）上獲取資源，然后再將這些資源返回給客戶(hù)端，客戶(hù)端只會(huì)得知反向代理的IP地址，而不知道在代理服務(wù)器后面的服務(wù)器簇的存在，除了可以防止外網(wǎng)對(duì)內(nèi)網(wǎng)服務(wù)器的惡性攻擊、緩存以減少服務(wù)器的壓力和訪問(wèn)安全控制之外，還可以進(jìn)行負(fù)載均衡。

（3）兼顧內(nèi)外網(wǎng)訪問(wèn)，重點(diǎn)防御外部用戶(hù)訪問(wèn)帶來(lái)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，通過(guò)https協(xié)議對(duì)外網(wǎng)提供服務(wù)，由DMZ+反向代理+外部web層實(shí)現(xiàn)對(duì)核心數(shù)據(jù)的多層防護(hù)，提高安全防護(hù)級(jí)別。

5 支付網(wǎng)關(guān)

支付網(wǎng)關(guān)是直接對(duì)接業(yè)務(wù)系統(tǒng)的接口，確保交易在前端業(yè)務(wù)系統(tǒng)和后端支付產(chǎn)品之間進(jìn)行安全無(wú)縫對(duì)接。通過(guò)支付網(wǎng)關(guān)可以將非業(yè)務(wù)功能提取出來(lái)統(tǒng)一管控處理，比如通信、協(xié)議轉(zhuǎn)換、數(shù)據(jù)交換、數(shù)據(jù)加密/驗(yàn)簽等，基于安全考慮也可以在支付網(wǎng)關(guān)中加入支付防重、數(shù)據(jù)合法性校驗(yàn)等。

基于支付網(wǎng)關(guān)，可以對(duì)業(yè)務(wù)系統(tǒng)和支付產(chǎn)品進(jìn)行網(wǎng)絡(luò)和功能的隔離，也保障了支付產(chǎn)品無(wú)需考慮與支付功能以外的其他處理。

下面是M集團(tuán)支付網(wǎng)關(guān)的方案介紹。

（1）銀企直聯(lián)系統(tǒng)分為支付網(wǎng)關(guān)、支付服務(wù)、銀行前置三個(gè)微服務(wù)組成，與業(yè)務(wù)系統(tǒng)之間和與銀行外網(wǎng)接口之間通過(guò)防火墻進(jìn)行安全隔離。

（2）上游涉及支付指令發(fā)送的業(yè)務(wù)系統(tǒng)，通過(guò)銀企直聯(lián)系統(tǒng)支付網(wǎng)關(guān)提供的接口，進(jìn)行支付指令的傳遞。

（3）支付網(wǎng)關(guān)接收到上游數(shù)據(jù)后，首先進(jìn)行加密驗(yàn)簽，再通過(guò)防重判斷、合法性校驗(yàn)等處理，保證支付指令的數(shù)據(jù)質(zhì)量，并隔離了業(yè)務(wù)系統(tǒng)與支付服務(wù)微服務(wù)聯(lián)系。

6 支付防重控制

作為支付管理，支付防重作為一種關(guān)鍵風(fēng)險(xiǎn)防范手段，需要從業(yè)務(wù)角度和IT角度同時(shí)考慮進(jìn)行防重控制，避免數(shù)據(jù)異常或被攻擊，導(dǎo)致的重復(fù)支付風(fēng)險(xiǎn)。

下面是M集團(tuán)財(cái)務(wù)共享系統(tǒng)的支付防重方案介紹。

（1）財(cái)務(wù)共享，在支付之前，收到上游系統(tǒng)或應(yīng)用的支付指令，同時(shí)進(jìn)行IT防重和業(yè)務(wù)防重處理，只有同時(shí)滿足才允許直接走到資金管理進(jìn)行支付。

（2）IT防重，支付數(shù)據(jù)初次進(jìn)入財(cái)務(wù)共享，先登記支付表。每次接收數(shù)據(jù)后通過(guò)數(shù)據(jù)ID在支付表進(jìn)行判斷，如果存在且有效，則說(shuō)明數(shù)據(jù)重復(fù)（支付失敗后失效支付表狀態(tài)），主要是避免支付指令重復(fù)發(fā)放或被重放攻擊。

（3）業(yè)務(wù)防重，通過(guò)業(yè)務(wù)防重規(guī)則的設(shè)置，財(cái)務(wù)共享每次接收數(shù)據(jù)后，調(diào)用業(yè)務(wù)防重規(guī)則進(jìn)行判斷，主要是避免業(yè)務(wù)重復(fù)操作導(dǎo)致的重復(fù)支付風(fēng)險(xiǎn)。

7 總結(jié)

上述安全方案僅淺談了針對(duì)資金支付相關(guān)的部分安全管控措施。企業(yè)不能研發(fā)出絕對(duì)安全的應(yīng)用系統(tǒng)，但是需要構(gòu)建健壯的系統(tǒng)安全體系，這樣才能更好的保證產(chǎn)品的穩(wěn)定和信息資產(chǎn)的安全。在產(chǎn)品研發(fā)和實(shí)施的時(shí)候盡早的意識(shí)到安全架構(gòu)體系的重要性，既可以保證提升產(chǎn)品的安全性，也可以讓后續(xù)產(chǎn)品優(yōu)化事半功倍。

企業(yè)應(yīng)用安全體系需要從數(shù)據(jù)安全、服務(wù)器安全、功能應(yīng)用安全、網(wǎng)絡(luò)安全、運(yùn)維實(shí)施安全、審計(jì)安全等多方位進(jìn)行考量，安全體系需要貫徹產(chǎn)品生命周期的始末。

參考文獻(xiàn)

[1]遠(yuǎn)光軟件：資金支付安全保障創(chuàng)新應(yīng)用實(shí)踐[J].中國(guó)總會(huì)計(jì)師，2018，（12）.

[2]陳旭，李井娟.企業(yè)集團(tuán)資金管理模式分析[J].現(xiàn)代商貿(mào)工業(yè)，2011，（15）.