1703484240
(1)嵌入式
1703484241
1703484242
嵌入式银企直联系统是指银行将银企直联系统接口的Win32动态连接库进行封装,形成企业ERP系统可直接调用的API函数。这样,企业ERP系统就不需要知道与银行端交互的细节,只需调用相关API函数,并将数据按照定义好的参数格式发送给银企直联系统接口,由它完成与银行端的交互。而银企直联接口接收到请求后,首先提取出请求数据,处理组合数据,形成标准格式的请求报文,然后内部调用银行提供的交互接口将业务请求报文以加密的方式发送到银行端。银行处理完后,将加密的处理结果报文返回到银企直联接口,数据解密后通过消息返回给企业ERP系统。
1703484243
1703484244
通过这种设计,企业ERP系统只用专注自己的业务处理,与银行交互的细节就由银企直联系统接口处理。这样以后对与银行交互功能的维护和扩展就不会影响到企业ERP系统,保持了两者系统功能间的松藕合和整体系统的高结合程度。而且与银行端交互的功能统一在银企直联系统接口里面管理,就可以通过多线程调用的方式共享与银行端的连接资源,大大提高了效率。同时ERP系统与直联系统接口间的API调用交互方式极大地简化了企业端访问直联接口部分的编程复杂性,并且提供了ERP系统平台无关性。由于可以直接镶嵌在ERP之内,也就保持了系统的安全性,维护和扩展成本低,不需硬件成本,但软件方面需要一定的个性化开发。
1703484245
1703484246
(2)代理服务器模式
1703484247
1703484248
代理服务器式银企直联系统是指银行提供的银企直联系统接口通过存放在企业的代理服务器,来实现与企业ERP系统间的数据交互。银企直联系统接口的代理服务器只接收符合标准报文格式的指令报文,然后对指令报文进行加密,最后通过交互接口将指令报文发送到银行端。银行处理完后,将加密的处理结果报文返回到银企直联接口,数据解密后形成标准格式的消息返回报文。
1703484249
1703484250
它的特点是,在这样的设计下,企业的硬件投入较高,而且由于两者系统功能的紧藕合,导致两者的结合程度不是特别精密。同时,这也增加了企业ERP系统访问直联接口部分的编程复杂性,加大了个性化开发的工作量,另外企业ERP系统还需关注银行交互的细节,所以维护和扩展成本也较高。但由于代理服务器只负责处理通讯加密和安全认证,系统速度较快。
1703484251
1703484252
2.银企直联的连接方式选择
1703484253
1703484254
银企直联系统一般有两种连接方式:
1703484255
1703484256
(1)公网
1703484257
1703484258
是指银企直联系统采用互联网形式来物理连接银行端系统和企业端系统。它的特点是成本较低,但带宽窄,并且网速容易受外部网络环境影响。
1703484259
1703484260
(2)专线
1703484261
1703484262
是指银企直联系统采用专门的线路来物理连接银行端系统和企业端系统。它的特点是企业需要按需求(月、年等)租用线路,成本相对较高,但由于是专用线路,带宽比较大,并且网速不容易受到外部网络环境的影响。
1703484263
1703484264
(四)银企直联的系统安全
1703484265
1703484266
银企直联系统为企业和银行之间建立了安全、高效、可追踪的直接信息交互渠道。在直通渠道的建立过程中,银行和企业之间对彼此身份进行基于数字证书的身份确认,以确保服务双方身份的正确性。另外,对于在对接渠道中交换的应用交易数据,特别是敏感交易数据,银企直联系统服务采用访问控制、数据签名技术、完整性技术以及防抵赖技术加以多重保证。
1703484267
1703484268
1.访问控制:访问控制功能由防火墙实现,对企业内部网之间和内外网络的数据流进行内容审查,只允许合法的数据通过。还可实现用户认证、负载分担等功能。提供网络地址翻译(NAT)服务,对外隐藏网络地址,防止内部地址公开。为保障系统内网络安全并实现与银行网络的安全访问,系统通过两个防火墙将银企直联系统分成5个安全区域。对不同区域设定安全优先级,并根据数据访问流向定义访问控制规则。
1703484269
1703484270
5个区域的安全优先级从高到低分为:
1703484271
1703484272
(1)银企直联系统数据库服务器和银行的前置机。数据库服务器从银行前置机上获取数据,写入数据库中,提供WEB服务器调用,并与ERP财务模块交换数据。
1703484273
1703484274
(2)企业内部网络和ERP服务器财务模块。满足内部网络对WEB服务器的查询需求,以及ERP财务系统与银企直联系统数据库的数据交换。
1703484275
1703484276
(3)各家银行驻企业财务中心的营业网点。主要提供对WEB服务器的访问,完成对汇票部分的查询功能。虽然银行网点和企业财务主机物理位置相同,但由于业务功能不同,必须区分在不同网络区域。
1703484277
1703484278
(4)银企直联系统WEB发布服务器和财务中心营业前台的业务主机。WEB服务器提供所用查询功能。WEB服务器提供企业内部网络和系统内部WEB访问,财务业务主机所有的查询、转账等业务操作都是通过WEB浏览器完成。
1703484279
1703484280
(5)银企直联系统与银行的网络连接部分。主要是提供各家银行网银服务器与数据库区相应银行前置机的数据交换。与不同银行的连接由不同的接入路由器和外部防火墙实现。
1703484281
1703484282
2.入侵检测和漏洞扫描:为弥补防火墙的不足,同时在区域1和区域4部署了入侵检测系统。入侵检测通过监控主机或网络中流动的数据,分析已有的特征码,识别可能的攻击尝试。目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,缩短响应外部网络入侵的时间。
1703484283
1703484284
在区域l设置一台网络漏洞扫描器。漏洞扫描(事前的检测系统)也称为安全性评估或脆弱性分析,是对网络设备进行自动的安全漏洞检测和分析,支持基于安全策略的安全风险管理过程。另外,能够执行预定的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。它的作用就是在发生网络攻击事件前,通过对整个网络范围扫描发现网络的漏洞隐患,及时给出修补方案。
1703484285
1703484286
3.系统安全控制器:在企业内部系统层面的安全管理由系统安全控制器来实现。系统安全控制器配备了系统安全控制软件,部署在WEB服务器上,用以实现业务用户身份认证、操作权限控制、日志记录、数据备份和数据恢复,是面向企业内部的安全控制系统。
1703484287
1703484288
4.身份认证终端:身份认证依靠“PKI公钥密码体制”的加密机制、数字签名机制和用户登录密码等提供多重保证。身份认证由专门的认证机构负责证书或密钥的生成、发放、删除管理。各家银行均有严谨的证书申请流程、CA证书发放系统和安全客户端软件。
1703484289
[
上一页 ]
[ :1.70348424e+09 ]
[
下一页 ]