远光软件:资金支付安全保障创新应用实践

资金是企业运行的血液,能否正常循环流通,决定着企业的生存和发展,提高企业资金结算效率和支付安全保障至关重要。某集团公司建立了严格的资金内控机制和完善的资金管理制度,但公司业务链条长、管理层级多、支出规模大,部分单位存在制度执行不到位、操作流程不规范、密钥管理不合规,存在资金安全风险隐患。公司提出“强化系统的灵活配置和资金安全管控,基于财务的控制节点设置流程,可根据不同单位的人员配置情况,灵活设置岗位的职责权限;通过电子签名、生物识别、密钥管理等措施,加强资金支付安全管控。”

远光软件从实际应用出发,着眼于业务衔接强化,结算审核、银企通道及纵向管控集中管控能力,通过构建资金收支安全保障体系,全面提高资金管理的安全、效率和效益。

资金收支安全保障体系

建立从业务申请、财务审核到支付通道、纵向管控全面覆盖,符合国家信息安全等三级要求的多重资金安全保障体系,如图1所示。

(一)业务衔接安全保障

全部支付申请由业务部门发起,杜绝财务部门手工填报和信息篡改。支付业务相关的前端业务系统/模块(如ERP、员工报销等)付款申请审批完成后自动传入GTMS资金系统付款结算池,加密存储,付款信息全程不可篡改,确保资金安全。

(二)结算审核安全保障

财务审批过程中可以结合密钥签名确保付款信息完整性、不可篡改性(包括收款方信息、付款金额、付款方式、付款账户信息、票据信息、付款摘要)。

在兼容电子支付环节密钥加密外,支持手签板签名和生物识别身份认证,进一步加强资金支付安全。在密钥加密等环节增加手签板,保留在单据中,用于查询及打印;在密钥加密环节增加指纹或人脸识别验证身份,确保识别信息与预留信息保持一致。手签板和生物识别验证通过后,在一定时间内有效,不需每笔签名时重复识别(见图2)。

(三)银企通道安全保障

GTMS系统银企平台,建立了以密钥加密体系(支持国内/国际加密算法)、加密安全校验体系、信道加密体系、端口访问控制体系、异常处理机制、日志追踪机制为支撑的资金安全通道。

(四)纵向管控安全保障

系统资金结算功能统一规范,程序统一开发、编译发布,各级单位直接部署应用;资金业务体系集团统一定义,纵向管控、授权控制。

支付安全技术保障

在整个资金电子支付过程中,从申请人提出付款申请开始,到银行完成交易的整个过程,银行保证银行端的交易安全,而应用软件则主力承担并保证企业端的支付安全,并且最大限度降低企业内部的支付风险。远光软件在支付过程中主要采用下列安全技术进行支撑。

(一)数字签名保障

数字签名是指数据报文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。采用密码技术的加、解密算法体制来实现对文件的数字签名,实现交易的不可抵赖性和安全性服务。

关键环节控制:支付过程中各个环节进行统一认证和授权;对核心数据进行签名;多重签名;个人证书和职工信息绑定;银行证书和服务器绑定。

在实际应用中,往往采用的是多种电子证书认证体系,满足灵活使用,实施成本相对较低。

(1)企业内部使用自己建立的内部数字证书认证体系,对申请到支付的企业各个流程环节进行认证和授权。私有独立,并灵活方便。

(2)银行提供自己可以验签认证的证书给个人或者企业,标准规范。

(3)在支付的时候,需要进行转换,完成内外两套体系的对接。

(二)软件系统安全保障

1.客户端安全层面

(1)对于外部输入数据的有效性检查、对业务权限的判断检查均后台逻辑层进行控制,有效防止因界面漏洞形成的界面爆破。

(2)在数据录入过程中,进行数据的合法性检查,不允许非法数据录入到系统中。

(3)为防止SQL注入攻击,输入数据时禁止输入构成SQL注入攻击的特定字符。服务端采用JDBC预编译方式防止SQL注入攻击漏洞。

(4)大部分功能支持定制界面,可以根据实际需要对重要敏感信息进行区别标记。

2.数据交互安全层面

(1)对于客户端与服务端的敏感数据传递时,均采用动态密钥算法,例如用户登陆过程中的用户名称/用户密码、数据上报与下发等功能中均使用动态密钥加密数据。

(2)对于敏感数据,采用数字签名技术,服务端通过验证客户端的签名数据的合法性,判断在传输过程中相关的数据包是否被篡改。

(3)对于其他重要功能,可以选配使用业界成熟的传输协议在客户端和服务端之间传输数据包。

3.应用服务安全层面

(1)采用标准的加密算法,满足国际国内加密要求。服务端通过JAVA JCE接口完成数据的加解密,在实际的运行环境中,可以根据自己的需要选用不同厂商,增强数据安全强度。

(2)提供了统一的用户身份认证服务和客户端身份认证组件,用于完成用户登陆动作。可指定用户在特定IP登陆,强制密码修改周期及密码重复使用次数限制,强制要求密码字符串的长度及构成要素。

(3)为防止非法客户端通过穷举法,连续向服务端发送登陆请求试图猜测用户密码,动锁定客户端请求功能。

(4)为日后数据审计和回溯,对关键操作记录操作轨迹,内容包括用户名称、计算机IP地址、登陆时间、操作日期、操作模块名称等。

(三)通道安全保障

(1)传输控制。在支付的关键路径上,比如企业和银行前置机连接链路,使用业务成熟的技术传输数据包,这种做法允许通信两端之间能通过安全的连接来通讯,它提供加密、来源验证、数据完整性等支持,同时还提供通信双方之间的身份识别和通信信道的安全,身份识别主要靠数字签名来实现,通信信道的安全靠数据加密实现,以保护在不安全的公众网络上安全地交换数据。

(2)限制关键通道上的使用权限。通过设置用户管理权限功能,安全级别较高的岗位,仅开放给针对性的部分高级用户。这些用户使用时,系统自动切换为安全通道进行传输数据,在灵活性和安全性上同时兼顾。

支付安全保障创新应用

(一)应用收款付款结算池

基于应收款项明细及合同收款条款、订单等信息,获取各类预计收款信息,按时间、金额、收款进度比例、款项性质及收款方式等,预计资金收款时序,形成收款结算池。基于合同付款条款、预算申请、业务报销和付款申请等信息,获取各类预计付款信息,按刚性、月内支付、可延缓支付,预计资金付款时序,形成付款结算池。通过强化应收款项和应付款项的会计监督,实现会计确认、预算编制、资金支付强关联,建立全业务、端到端的业财融合方案,所有业务事项审核完成后先入池、再排程。

(二)应用预算按日排程

根据付款结算池和收款结算池中的收付款业务信息,按预计收款时间(收入按历史回收情况模拟流入曲线)形成资金收款时序排程,依据业务特性及合同付款条款要求形成资金支付时序排程,通过对业务、时间、金额、款项性质等进行多维配比,组合资金收支排程信息绘制资金日排程曲线,形成现金流日预算。按日预测未来现金流入、流出及余额,动态跟踪资金状况及动向,实时监控资金日排程执行过程,科学安排外部融资和内部运作,减少融资的频率和规模,削峰去谷平滑资金曲线,提高资金的使用效率,提升资金统筹平衡能力。

(三)支付合规审批应用

结合企业内控合规管理要求,涉及内控合规审查的岗位,在对应的处理环节进行业务处理时,进行内控合规审查确认,对业务事项根据合规内容进行逐渐检查,细化内部控制。如强化合同付款条款结构化管理、付款依据电子化管理,确保资金支付真实、合规,防范挪用侵占、超前付款、重复付款等风险。

(四)远光软件认证精灵产品

远光认证精灵,兼容涵盖USB key、指纹识别、虹膜识别、高敏签字版、RFID读卡设备等设备,可作为企业支付的安全卫士。能保证每个人身份信息的唯一性,不可能被复制、冒用、替代,提高员工身份认证安全性;在接触式身份认证硬件基础上,加入非接触式身份认证硬件,虹膜识别模块和人脸图像录制模块,体现身份认证渠道多样性;个人身份认证信息不会因时间、天气、环境等发生变化,而导致人员认证失败,确保身份认证过程稳定性;认证精灵既能够实现全离线认证,也可以配置为网络集中管理,实现一处录入多处认证。

(五)银企自动对账应用

系统自动生成唯一对账标识,建立财务、银行数据关联关系,贯通资金流转全过程,提高自动对账频率,提升资金安全监控手段。对账规则:系统采用“金额+对账码”方式进行自动匹配,首先按照单笔金额和对账码完全相符的银行流水和账簿明细进行一一自动勾对;再按照对账码相同的多笔银行流水或账簿明细汇总后进行自动勾对;再系统按照账簿明细有对账码,金额相同且唯一的银行流水和账簿明细进行自动勾对;系统按金额相同且唯一银行流水和账簿明细进行自动勾对;对剩余仍未勾对的银行流水和账簿明细进行逐笔核对,确认未达账项并自动生成余额调整表。

(六)银行回单管理机器人

利用RPA机器人,快速实现各商业银行的电子回单打印,并实现回单与支付单据、账务凭证挂接和自动归档。机器人自动登录网银系统获取回单信息;机器人通过提取对账码,获取付款凭证与资金支付申请单据、银行回单的对应关系,按对账标记自动执行匹配,在资金系统同步打印并完成付款凭证的自动归档。RPA机器人将财务人员从简单重复的“苦力劳动”中解放出来,大大减少财务人员分拣回单,核对回单与付款凭证匹配等的工作量,极大提升工作效率和数据准确性。

典型案例:

某大型电力央企,自2010年开始使用资金系统,资金支付采用密钥作为支付安全保障方式,但在密钥保管和使用过程中,仍存在“一人代办多岗位职能”“密钥借用”等影响企业资金安全的情况。为了持续深化资金安全管控,2014年开始探索开展采用指纹认证,进一步提高资金支付安全级别。近年来,随着生物识别技术兴起,该公司开展资金支付领域的创新应用探索,成功在资金支付业务关键环节中引入“人脸+密钥”双重安全防控体系,以期借力新技术、新方法强化资金安全管控。同时,通过深化业财融合,集中管理资金往来款项,所有业务事项审核完成后先入池、后排程、再支付,将会计确认、预算编制、资金收付、回单智能挂接、银企自动对账等紧密衔接在一起,实现信息在资金系统中从前到后自动贯通,提升业财协同管控能力,全面提高资金管理的安全、效率和效益。2016年数据统计,公司主业、产业、金融单位(上千家会计主体)共使用资金系统完成在线支付近四百万笔数万亿资金。

关键词: 区块链, 远光软件

主办单位:亚新综合体育·(中国)官方网站  网站运营:北京中电创智科技有限公司    国网信通亿力科技有限责任公司  销售热线:400-007-1585
项目合作:400-007-1585 投稿:63413737 传真:010-58689040 投稿邮箱:yaoguisheng@chinapower.com.cn
《 中华人民共和国电信与信息服务业务经营许可证 》编号:京ICP证140522号 京ICP备14013100号 京公安备11010602010147号

远光软件:资金支付安全保障创新应用实践

发布时间:2019-01-24   来源:中国电力网

资金是企业运行的血液,能否正常循环流通,决定着企业的生存和发展,提高企业资金结算效率和支付安全保障至关重要。某集团公司建立了严格的资金内控机制和完善的资金管理制度,但公司业务链条长、管理层级多、支出规模大,部分单位存在制度执行不到位、操作流程不规范、密钥管理不合规,存在资金安全风险隐患。公司提出“强化系统的灵活配置和资金安全管控,基于财务的控制节点设置流程,可根据不同单位的人员配置情况,灵活设置岗位的职责权限;通过电子签名、生物识别、密钥管理等措施,加强资金支付安全管控。”

远光软件从实际应用出发,着眼于业务衔接强化,结算审核、银企通道及纵向管控集中管控能力,通过构建资金收支安全保障体系,全面提高资金管理的安全、效率和效益。

资金收支安全保障体系

建立从业务申请、财务审核到支付通道、纵向管控全面覆盖,符合国家信息安全等三级要求的多重资金安全保障体系,如图1所示。

(一)业务衔接安全保障

全部支付申请由业务部门发起,杜绝财务部门手工填报和信息篡改。支付业务相关的前端业务系统/模块(如ERP、员工报销等)付款申请审批完成后自动传入GTMS资金系统付款结算池,加密存储,付款信息全程不可篡改,确保资金安全。

(二)结算审核安全保障

财务审批过程中可以结合密钥签名确保付款信息完整性、不可篡改性(包括收款方信息、付款金额、付款方式、付款账户信息、票据信息、付款摘要)。

在兼容电子支付环节密钥加密外,支持手签板签名和生物识别身份认证,进一步加强资金支付安全。在密钥加密等环节增加手签板,保留在单据中,用于查询及打印;在密钥加密环节增加指纹或人脸识别验证身份,确保识别信息与预留信息保持一致。手签板和生物识别验证通过后,在一定时间内有效,不需每笔签名时重复识别(见图2)。

(三)银企通道安全保障

GTMS系统银企平台,建立了以密钥加密体系(支持国内/国际加密算法)、加密安全校验体系、信道加密体系、端口访问控制体系、异常处理机制、日志追踪机制为支撑的资金安全通道。

(四)纵向管控安全保障

系统资金结算功能统一规范,程序统一开发、编译发布,各级单位直接部署应用;资金业务体系集团统一定义,纵向管控、授权控制。

支付安全技术保障

在整个资金电子支付过程中,从申请人提出付款申请开始,到银行完成交易的整个过程,银行保证银行端的交易安全,而应用软件则主力承担并保证企业端的支付安全,并且最大限度降低企业内部的支付风险。远光软件在支付过程中主要采用下列安全技术进行支撑。

(一)数字签名保障

数字签名是指数据报文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。采用密码技术的加、解密算法体制来实现对文件的数字签名,实现交易的不可抵赖性和安全性服务。

关键环节控制:支付过程中各个环节进行统一认证和授权;对核心数据进行签名;多重签名;个人证书和职工信息绑定;银行证书和服务器绑定。

在实际应用中,往往采用的是多种电子证书认证体系,满足灵活使用,实施成本相对较低。

(1)企业内部使用自己建立的内部数字证书认证体系,对申请到支付的企业各个流程环节进行认证和授权。私有独立,并灵活方便。

(2)银行提供自己可以验签认证的证书给个人或者企业,标准规范。

(3)在支付的时候,需要进行转换,完成内外两套体系的对接。

(二)软件系统安全保障

1.客户端安全层面

(1)对于外部输入数据的有效性检查、对业务权限的判断检查均后台逻辑层进行控制,有效防止因界面漏洞形成的界面爆破。

(2)在数据录入过程中,进行数据的合法性检查,不允许非法数据录入到系统中。

(3)为防止SQL注入攻击,输入数据时禁止输入构成SQL注入攻击的特定字符。服务端采用JDBC预编译方式防止SQL注入攻击漏洞。

(4)大部分功能支持定制界面,可以根据实际需要对重要敏感信息进行区别标记。

2.数据交互安全层面

(1)对于客户端与服务端的敏感数据传递时,均采用动态密钥算法,例如用户登陆过程中的用户名称/用户密码、数据上报与下发等功能中均使用动态密钥加密数据。

(2)对于敏感数据,采用数字签名技术,服务端通过验证客户端的签名数据的合法性,判断在传输过程中相关的数据包是否被篡改。

(3)对于其他重要功能,可以选配使用业界成熟的传输协议在客户端和服务端之间传输数据包。

3.应用服务安全层面

(1)采用标准的加密算法,满足国际国内加密要求。服务端通过JAVA JCE接口完成数据的加解密,在实际的运行环境中,可以根据自己的需要选用不同厂商,增强数据安全强度。

(2)提供了统一的用户身份认证服务和客户端身份认证组件,用于完成用户登陆动作。可指定用户在特定IP登陆,强制密码修改周期及密码重复使用次数限制,强制要求密码字符串的长度及构成要素。

(3)为防止非法客户端通过穷举法,连续向服务端发送登陆请求试图猜测用户密码,动锁定客户端请求功能。

(4)为日后数据审计和回溯,对关键操作记录操作轨迹,内容包括用户名称、计算机IP地址、登陆时间、操作日期、操作模块名称等。

(三)通道安全保障

(1)传输控制。在支付的关键路径上,比如企业和银行前置机连接链路,使用业务成熟的技术传输数据包,这种做法允许通信两端之间能通过安全的连接来通讯,它提供加密、来源验证、数据完整性等支持,同时还提供通信双方之间的身份识别和通信信道的安全,身份识别主要靠数字签名来实现,通信信道的安全靠数据加密实现,以保护在不安全的公众网络上安全地交换数据。

(2)限制关键通道上的使用权限。通过设置用户管理权限功能,安全级别较高的岗位,仅开放给针对性的部分高级用户。这些用户使用时,系统自动切换为安全通道进行传输数据,在灵活性和安全性上同时兼顾。

支付安全保障创新应用

(一)应用收款付款结算池

基于应收款项明细及合同收款条款、订单等信息,获取各类预计收款信息,按时间、金额、收款进度比例、款项性质及收款方式等,预计资金收款时序,形成收款结算池。基于合同付款条款、预算申请、业务报销和付款申请等信息,获取各类预计付款信息,按刚性、月内支付、可延缓支付,预计资金付款时序,形成付款结算池。通过强化应收款项和应付款项的会计监督,实现会计确认、预算编制、资金支付强关联,建立全业务、端到端的业财融合方案,所有业务事项审核完成后先入池、再排程。

(二)应用预算按日排程

根据付款结算池和收款结算池中的收付款业务信息,按预计收款时间(收入按历史回收情况模拟流入曲线)形成资金收款时序排程,依据业务特性及合同付款条款要求形成资金支付时序排程,通过对业务、时间、金额、款项性质等进行多维配比,组合资金收支排程信息绘制资金日排程曲线,形成现金流日预算。按日预测未来现金流入、流出及余额,动态跟踪资金状况及动向,实时监控资金日排程执行过程,科学安排外部融资和内部运作,减少融资的频率和规模,削峰去谷平滑资金曲线,提高资金的使用效率,提升资金统筹平衡能力。

(三)支付合规审批应用

结合企业内控合规管理要求,涉及内控合规审查的岗位,在对应的处理环节进行业务处理时,进行内控合规审查确认,对业务事项根据合规内容进行逐渐检查,细化内部控制。如强化合同付款条款结构化管理、付款依据电子化管理,确保资金支付真实、合规,防范挪用侵占、超前付款、重复付款等风险。

(四)远光软件认证精灵产品

远光认证精灵,兼容涵盖USB key、指纹识别、虹膜识别、高敏签字版、RFID读卡设备等设备,可作为企业支付的安全卫士。能保证每个人身份信息的唯一性,不可能被复制、冒用、替代,提高员工身份认证安全性;在接触式身份认证硬件基础上,加入非接触式身份认证硬件,虹膜识别模块和人脸图像录制模块,体现身份认证渠道多样性;个人身份认证信息不会因时间、天气、环境等发生变化,而导致人员认证失败,确保身份认证过程稳定性;认证精灵既能够实现全离线认证,也可以配置为网络集中管理,实现一处录入多处认证。

(五)银企自动对账应用

系统自动生成唯一对账标识,建立财务、银行数据关联关系,贯通资金流转全过程,提高自动对账频率,提升资金安全监控手段。对账规则:系统采用“金额+对账码”方式进行自动匹配,首先按照单笔金额和对账码完全相符的银行流水和账簿明细进行一一自动勾对;再按照对账码相同的多笔银行流水或账簿明细汇总后进行自动勾对;再系统按照账簿明细有对账码,金额相同且唯一的银行流水和账簿明细进行自动勾对;系统按金额相同且唯一银行流水和账簿明细进行自动勾对;对剩余仍未勾对的银行流水和账簿明细进行逐笔核对,确认未达账项并自动生成余额调整表。

(六)银行回单管理机器人

利用RPA机器人,快速实现各商业银行的电子回单打印,并实现回单与支付单据、账务凭证挂接和自动归档。机器人自动登录网银系统获取回单信息;机器人通过提取对账码,获取付款凭证与资金支付申请单据、银行回单的对应关系,按对账标记自动执行匹配,在资金系统同步打印并完成付款凭证的自动归档。RPA机器人将财务人员从简单重复的“苦力劳动”中解放出来,大大减少财务人员分拣回单,核对回单与付款凭证匹配等的工作量,极大提升工作效率和数据准确性。

典型案例:

某大型电力央企,自2010年开始使用资金系统,资金支付采用密钥作为支付安全保障方式,但在密钥保管和使用过程中,仍存在“一人代办多岗位职能”“密钥借用”等影响企业资金安全的情况。为了持续深化资金安全管控,2014年开始探索开展采用指纹认证,进一步提高资金支付安全级别。近年来,随着生物识别技术兴起,该公司开展资金支付领域的创新应用探索,成功在资金支付业务关键环节中引入“人脸+密钥”双重安全防控体系,以期借力新技术、新方法强化资金安全管控。同时,通过深化业财融合,集中管理资金往来款项,所有业务事项审核完成后先入池、后排程、再支付,将会计确认、预算编制、资金收付、回单智能挂接、银企自动对账等紧密衔接在一起,实现信息在资金系统中从前到后自动贯通,提升业财协同管控能力,全面提高资金管理的安全、效率和效益。2016年数据统计,公司主业、产业、金融单位(上千家会计主体)共使用资金系统完成在线支付近四百万笔数万亿资金。

      关键词:电力, 远光软件


稿件媒体合作

  • 我们竭诚为您服务!
  • 我们竭诚为您服务!
  • 电话:010-63413737

广告项目咨询

  • 我们竭诚为您服务!
  • 我们竭诚为您服务!
  • 电话:010-63415404

投诉监管

  • 我们竭诚为您服务!
  • 电话:010-58689065