企業資金支付安全管控體系建設探析

張勇 于意 陳葉明

摘 要：隨著網上銀行、銀企直聯等電子支付在企業資金支付中的應用，資金支付存在一系列的安全風險?；诖耍疚囊訫集團的資金支付安全管理實踐為基礎，提出企業資金支付安全管控體系建設內容，希望對企業資金支付安全管理有所借鑒。

關鍵詞：資金;支付;安全管理

中圖分類號：F23 文獻標識碼：Adoi：10.19311/j.cnki.16723198.2021.06.046

0 引言

資金本身具有高價值性、高流動性和高風險性的特征，也是企業生存的基礎和最重要的資產。隨著企業規模的日益擴大和大智移云物新技術在企業信息化中的應用越來越多，企業的資金交易量增大，網絡、信息安全等因素帶來的資金支付安全風險問題不斷暴露，資金支付安全管理成為企業管理的重中之重。如何建立完善的企業資金支付安全管控體系，確保資金安全支付，促進資金支付安全管理的全面性、持續性、先進性，具有重要的現實意義。

1 資金支付安全管控體系概述

基于M集團的財務共享中心資金支付安全管控體系建設的實踐，提煉總結出企業資金支付安全管控體系建設主要分為人臉識別、數字簽名、內外網隔離、支付網關、支付防重控制。

2 人臉識別

目前很多企業應用系統中的身份認證，都還停留在固態密碼的驗證，面對越來越多的網絡威脅，關鍵系統的身份認真功能也亟須升級，而人臉識別作為一種生物認證手段，已經被很多產品進行使用。而人臉識別技術作為關鍵系統的安全門閂，人臉識別需要同時支持身份比對和活體認證。

考慮到人臉識別對設備的要求，目前M集團的財務共享系統人臉識別主要應用在共享出納支付，保障支付安全。

（1）留底圖像的采集。通過權限流程進行規范管控，保證采集的圖像人員擁有共享出納支付權限，且圖像采集后需要作為關鍵身份認證信息進行落地存儲。

（2）通過在出納辦公PC機位置部署人臉識別終端設備，支持離線SDK人臉識別。

（3）出納在結算支付的時候，系統通過人臉識別終端設備進行人臉識別和活體驗證，進行人臉首次驗證，通過后，人臉特征通過CA數字簽名與其它關鍵業務信息一起加密存儲。

（4）支付管理服務器在發送支付指令的時候，通過機房特定主機部署離線SDK，服務端校驗解密后的圖像與當前人員留底圖像保持完全一致，完成二次驗證。

3 數字簽名

數字簽名是只有信息的發送者才能產生的別人無法偽造的一段數字串，作為一種較為安全的身份認證方式，目前被普遍使用于關鍵信息化系統，比如銀行的支付U盾。

M集團的數字簽名也是采用實體U盾，證書存儲在U盾硬件中，在共享出納提交支付的時候完成身份認證，并對關鍵業務數據進行簽名加密。

（1）系統完成數字簽名相關的硬件部署，其中簽名驗簽服務器部署在財務公司網絡（假設財務共享不可信任）。通過企業內部的U盾申請，完成U盾的采購和CA證書安裝，并下放到具體共享出納手中。

（2）共享出納在支付的時候，需要通過USB接口插入U盾，通過支付操作輸入U盾Pin碼，客戶端自動根據U盾中的用戶證書進行簽名，系統發送給簽名驗簽服務器，完成對用戶身份進行驗證。

（3）將帶個人簽名支付報文由財務共享系統服務器端發送到支付管理服務器端，支付管理服務器再次將個人簽名的報文發送給簽名驗簽服務器完成二次驗簽，以防財務共享端到支付管理服務器過程中被篡改。

（4）個人簽名驗簽成功后，將支付報文發送到本端NSAE-B設備上請求企業簽名，并將帶有企業簽名的支付報文發送到財務公司端簽名驗簽服務器進行驗簽，此步主要目的驗證企業端簽名的有效性。

4 內外網隔離

考慮到移動端的便捷性，越來越多的產品都支持手機APP進行業務處理，而企業辦公都是在企業內網中進行，而手機APP是通過互聯網進行訪問，互聯網的介入會到系統的安全帶來新的挑戰，因此應在架構部署上增加網絡安全相關的考慮，尤其是涉及資金支付、財務管理等關鍵業務系統。針對這種問題，一般都是通過內外網隔離的手段進行安全加固，避免互聯網訪問導致的安全問題。

下面是M集團財務共享系統內外網隔離方案介紹。

（1）DMZ：全稱Demilitarized Zone，譯名為“非軍事區”，又名“邊界網絡”，為一種網絡架構的布置方案，常用的架設方案是在不信任的外部網絡和可信任的內部網絡外，創建一個面向外部網絡的物理或邏輯子網，該子網能設置用于對外部網絡的服務器主機。

（2）反向代理服務器，根據客戶端的請求，從一組或多組后端服務器（如Web服務器）上獲取資源，然后再將這些資源返回給客戶端，客戶端只會得知反向代理的IP地址，而不知道在代理服務器后面的服務器簇的存在，除了可以防止外網對內網服務器的惡性攻擊、緩存以減少服務器的壓力和訪問安全控制之外，還可以進行負載均衡。

（3）兼顧內外網訪問，重點防御外部用戶訪問帶來的網絡攻擊風險，通過https協議對外網提供服務，由DMZ+反向代理+外部web層實現對核心數據的多層防護，提高安全防護級別。

5 支付網關

支付網關是直接對接業務系統的接口，確保交易在前端業務系統和后端支付產品之間進行安全無縫對接。通過支付網關可以將非業務功能提取出來統一管控處理，比如通信、協議轉換、數據交換、數據加密/驗簽等，基于安全考慮也可以在支付網關中加入支付防重、數據合法性校驗等。

基于支付網關，可以對業務系統和支付產品進行網絡和功能的隔離，也保障了支付產品無需考慮與支付功能以外的其他處理。

下面是M集團支付網關的方案介紹。

（1）銀企直聯系統分為支付網關、支付服務、銀行前置三個微服務組成，與業務系統之間和與銀行外網接口之間通過防火墻進行安全隔離。

（2）上游涉及支付指令發送的業務系統，通過銀企直聯系統支付網關提供的接口，進行支付指令的傳遞。

（3）支付網關接收到上游數據后，首先進行加密驗簽，再通過防重判斷、合法性校驗等處理，保證支付指令的數據質量，并隔離了業務系統與支付服務微服務聯系。

6 支付防重控制

作為支付管理，支付防重作為一種關鍵風險防范手段，需要從業務角度和IT角度同時考慮進行防重控制，避免數據異?；虮还?，導致的重復支付風險。

下面是M集團財務共享系統的支付防重方案介紹。

（1）財務共享，在支付之前，收到上游系統或應用的支付指令，同時進行IT防重和業務防重處理，只有同時滿足才允許直接走到資金管理進行支付。

（2）IT防重，支付數據初次進入財務共享，先登記支付表。每次接收數據后通過數據ID在支付表進行判斷，如果存在且有效，則說明數據重復（支付失敗后失效支付表狀態），主要是避免支付指令重復發放或被重放攻擊。

（3）業務防重，通過業務防重規則的設置，財務共享每次接收數據后，調用業務防重規則進行判斷，主要是避免業務重復操作導致的重復支付風險。

7 總結

上述安全方案僅淺談了針對資金支付相關的部分安全管控措施。企業不能研發出絕對安全的應用系統，但是需要構建健壯的系統安全體系，這樣才能更好的保證產品的穩定和信息資產的安全。在產品研發和實施的時候盡早的意識到安全架構體系的重要性，既可以保證提升產品的安全性，也可以讓后續產品優化事半功倍。

企業應用安全體系需要從數據安全、服務器安全、功能應用安全、網絡安全、運維實施安全、審計安全等多方位進行考量，安全體系需要貫徹產品生命周期的始末。

參考文獻

[1]遠光軟件：資金支付安全保障創新應用實踐[J].中國總會計師，2018，（12）.

[2]陳旭，李井娟.企業集團資金管理模式分析[J].現代商貿工業，2011，（15）.