遠光軟件:資金支付安全保障創新應用實踐
- 時間:2019-01-17
- 來源:遠光軟件
資金是企業運行的血液,能否正常循環流通,決定著企業的生存和發展,提高企業資金結算效率和支付安全保障至關重要。某集團公司建立了嚴格的資金內控機制和完善的資金管理制度,但公司業務鏈條長、管理層級多、支出規模大,部分單位存在制度執行不到位、操作流程不規范、密鑰管理不合規,存在資金安全風險隱患。公司提出“強化系統的靈活配置和資金安全管控,基于財務的控制節點設置流程,可根據不同單位的人員配置情況,靈活設置崗位的職責權限;通過電子簽名、生物識別、密鑰管理等措施,加強資金支付安全管控。”
遠光軟件從實際應用出發,著眼于業務銜接強化,結算審核、銀企通道及縱向管控集中管控能力,通過構建資金收支安全保障體系,全面提高資金管理的安全、效率和效益。
資金收支安全保障體系
建立從業務申請、財務審核到支付通道、縱向管控全面覆蓋,符合國家信息安全等三級要求的多重資金安全保障體系,如圖1所示。
圖1:GTMS系統資金收支安全保障體系
(一)業務銜接安全保障
全部支付申請由業務部門發起,杜絕財務部門手工填報和信息篡改。支付業務相關的前端業務系統/模塊(如ERP、員工報銷等)付款申請審批完成后自動傳入GTMS資金系統付款結算池,加密存儲,付款信息全程不可篡改,確保資金安全。
(二)結算審核安全保障
財務審批過程中可以結合密鑰簽名確保付款信息完整性、不可篡改性(包括收款方信息、付款金額、付款方式、付款賬戶信息、票據信息、付款摘要)。
在兼容電子支付環節密鑰加密外,支持手簽板簽名和生物識別身份認證,進一步加強資金支付安全。在密鑰加密等環節增加手簽板,保留在單據中,用于查詢及打印;在密鑰加密環節增加指紋或人臉識別驗證身份,確保識別信息與預留信息保持一致。手簽板和生物識別驗證通過后,在一定時間內有效,不需每筆簽名時重復識別(見圖2)。
圖2:結算流程資金安全保障示例
(三)銀企通道安全保障
GTMS系統銀企平臺,建立了以密鑰加密體系(支持國內/國際加密算法)、加密安全校驗體系、信道加密體系、端口訪問控制體系、異常處理機制、日志追蹤機制為支撐的資金安全通道。
(四)縱向管控安全保障
系統資金結算功能統一規范,程序統一開發、編譯發布,各級單位直接部署應用;資金業務體系集團統一定義,縱向管控、授權控制。
支付安全技術保障
在整個資金電子支付過程中,從申請人提出付款申請開始,到銀行完成交易的整個過程,銀行保證銀行端的交易安全,而應用軟件則主力承擔并保證企業端的支付安全,并且最大限度降低企業內部的支付風險。遠光軟件在支付過程中主要采用下列安全技術進行支撐。
(一)數字簽名保障
數字簽名是指數據報文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。采用密碼技術的加、解密算法體制來實現對文件的數字簽名,實現交易的不可抵賴性和安全性服務。
關鍵環節控制:支付過程中各個環節進行統一認證和授權;對核心數據進行簽名;多重簽名;個人證書和職工信息綁定;銀行證書和服務器綁定。
在實際應用中,往往采用的是多種電子證書認證體系,滿足靈活使用,實施成本相對較低。
(1)企業內部使用自己建立的內部數字證書認證體系,對申請到支付的企業各個流程環節進行認證和授權。私有獨立,并靈活方便。
(2)銀行提供自己可以驗簽認證的證書給個人或者企業,標準規范。
(3)在支付的時候,需要進行轉換,完成內外兩套體系的對接。
(二)軟件系統安全保障
1.客戶端安全層面
(1)對于外部輸入數據的有效性檢查、對業務權限的判斷檢查均后臺邏輯層進行控制,有效防止因界面漏洞形成的界面爆破。
(2)在數據錄入過程中,進行數據的合法性檢查,不允許非法數據錄入到系統中。
(3)為防止SQL注入攻擊,輸入數據時禁止輸入構成SQL注入攻擊的特定字符。服務端采用JDBC預編譯方式防止SQL注入攻擊漏洞。
(4)大部分功能支持定制界面,可以根據實際需要對重要敏感信息進行區別標記。
2.數據交互安全層面
(1)對于客戶端與服務端的敏感數據傳遞時,均采用動態密鑰算法,例如用戶登陸過程中的用戶名稱/用戶密碼、數據上報與下發等功能中均使用動態密鑰加密數據。
(2)對于敏感數據,采用數字簽名技術,服務端通過驗證客戶端的簽名數據的合法性,判斷在傳輸過程中相關的數據包是否被篡改。
(3)對于其他重要功能,可以選配使用業界成熟的傳輸協議在客戶端和服務端之間傳輸數據包。
3.應用服務安全層面
(1)采用標準的加密算法,滿足國際國內加密要求。服務端通過JAVA JCE接口完成數據的加解密,在實際的運行環境中,可以根據自己的需要選用不同廠商,增強數據安全強度。
(2)提供了統一的用戶身份認證服務和客戶端身份認證組件,用于完成用戶登陸動作。可指定用戶在特定IP登陸,強制密碼修改周期及密碼重復使用次數限制,強制要求密碼字符串的長度及構成要素。
(3)為防止非法客戶端通過窮舉法,連續向服務端發送登陸請求試圖猜測用戶密碼,動鎖定客戶端請求功能。
(4)為日后數據審計和回溯,對關鍵操作記錄操作軌跡,內容包括用戶名稱、計算機IP地址、登陸時間、操作日期、操作模塊名稱等。
(三)通道安全保障
(1)傳輸控制。在支付的關鍵路徑上,比如企業和銀行前置機連接鏈路,使用業務成熟的技術傳輸數據包,這種做法允許通信兩端之間能通過安全的連接來通訊,它提供加密、來源驗證、數據完整性等支持,同時還提供通信雙方之間的身份識別和通信信道的安全,身份識別主要靠數字簽名來實現,通信信道的安全靠數據加密實現,以保護在不安全的公眾網絡上安全地交換數據。
(2)限制關鍵通道上的使用權限。通過設置用戶管理權限功能,安全級別較高的崗位,僅開放給針對性的部分高級用戶。這些用戶使用時,系統自動切換為安全通道進行傳輸數據,在靈活性和安全性上同時兼顧。
支付安全保障創新應用
(一)應用收款付款結算池
基于應收款項明細及合同收款條款、訂單等信息,獲取各類預計收款信息,按時間、金額、收款進度比例、款項性質及收款方式等,預計資金收款時序,形成收款結算池。基于合同付款條款、預算申請、業務報銷和付款申請等信息,獲取各類預計付款信息,按剛性、月內支付、可延緩支付,預計資金付款時序,形成付款結算池。通過強化應收款項和應付款項的會計監督,實現會計確認、預算編制、資金支付強關聯,建立全業務、端到端的業財融合方案,所有業務事項審核完成后先入池、再排程。
(二)應用預算按日排程
根據付款結算池和收款結算池中的收付款業務信息,按預計收款時間(收入按歷史回收情況模擬流入曲線)形成資金收款時序排程,依據業務特性及合同付款條款要求形成資金支付時序排程,通過對業務、時間、金額、款項性質等進行多維配比,組合資金收支排程信息繪制資金日排程曲線,形成現金流日預算。按日預測未來現金流入、流出及余額,動態跟蹤資金狀況及動向,實時監控資金日排程執行過程,科學安排外部融資和內部運作,減少融資的頻率和規模,削峰去谷平滑資金曲線,提高資金的使用效率,提升資金統籌平衡能力。
(三)支付合規審批應用
結合企業內控合規管理要求,涉及內控合規審查的崗位,在對應的處理環節進行業務處理時,進行內控合規審查確認,對業務事項根據合規內容進行逐漸檢查,細化內部控制。如強化合同付款條款結構化管理、付款依據電子化管理,確保資金支付真實、合規,防范挪用侵占、超前付款、重復付款等風險。
(四)遠光軟件認證精靈產品
遠光認證精靈,兼容涵蓋USB key、指紋識別、虹膜識別、高敏簽字版、RFID讀卡設備等設備,可作為企業支付的安全衛士。能保證每個人身份信息的唯一性,不可能被復制、冒用、替代,提高員工身份認證安全性;在接觸式身份認證硬件基礎上,加入非接觸式身份認證硬件,虹膜識別模塊和人臉圖像錄制模塊,體現身份認證渠道多樣性;個人身份認證信息不會因時間、天氣、環境等發生變化,而導致人員認證失敗,確保身份認證過程穩定性;認證精靈既能夠實現全離線認證,也可以配置為網絡集中管理,實現一處錄入多處認證。
(五)銀企自動對賬應用
系統自動生成唯一對賬標識,建立財務、銀行數據關聯關系,貫通資金流轉全過程,提高自動對賬頻率,提升資金安全監控手段。對賬規則:系統采用“金額+對賬碼”方式進行自動匹配,首先按照單筆金額和對賬碼完全相符的銀行流水和賬簿明細進行一一自動勾對;再按照對賬碼相同的多筆銀行流水或賬簿明細匯總后進行自動勾對;再系統按照賬簿明細有對賬碼,金額相同且唯一的銀行流水和賬簿明細進行自動勾對;系統按金額相同且唯一銀行流水和賬簿明細進行自動勾對;對剩余仍未勾對的銀行流水和賬簿明細進行逐筆核對,確認未達賬項并自動生成余額調整表。
(六)銀行回單管理機器人
利用RPA機器人,快速實現各商業銀行的電子回單打印,并實現回單與支付單據、賬務憑證掛接和自動歸檔。機器人自動登錄網銀系統獲取回單信息;機器人通過提取對賬碼,獲取付款憑證與資金支付申請單據、銀行回單的對應關系,按對賬標記自動執行匹配,在資金系統同步打印并完成付款憑證的自動歸檔。RPA機器人將財務人員從簡單重復的“苦力勞動”中解放出來,大大減少財務人員分揀回單,核對回單與付款憑證匹配等的工作量,極大提升工作效率和數據準確性。
典型案例
某大型電力央企,自2010年開始使用資金系統,資金支付采用密鑰作為支付安全保障方式,但在密鑰保管和使用過程中,仍存在“一人代辦多崗位職能”“密鑰借用”等影響企業資金安全的情況。為了持續深化資金安全管控,2014年開始探索開展采用指紋認證,進一步提高資金支付安全級別。近年來,隨著生物識別技術興起,該公司開展資金支付領域的創新應用探索,成功在資金支付業務關鍵環節中引入“人臉+密鑰”雙重安全防控體系,以期借力新技術、新方法強化資金安全管控。同時,通過深化業財融合,集中管理資金往來款項,所有業務事項審核完成后先入池、后排程、再支付,將會計確認、預算編制、資金收付、回單智能掛接、銀企自動對賬等緊密銜接在一起,實現信息在資金系統中從前到后自動貫通,提升業財協同管控能力,全面提高資金管理的安全、效率和效益。2016年數據統計,公司主業、產業、金融單位(上千家會計主體)共使用資金系統完成在線支付近四百萬筆數萬億資金。
文章轉自:《中國總會計師》雜志