1703484260
(2)专线
1703484261
1703484262
是指银企直联系统采用专门的线路来物理连接银行端系统和企业端系统。它的特点是企业需要按需求(月、年等)租用线路,成本相对较高,但由于是专用线路,带宽比较大,并且网速不容易受到外部网络环境的影响。
1703484263
1703484264
(四)银企直联的系统安全
1703484265
1703484266
银企直联系统为企业和银行之间建立了安全、高效、可追踪的直接信息交互渠道。在直通渠道的建立过程中,银行和企业之间对彼此身份进行基于数字证书的身份确认,以确保服务双方身份的正确性。另外,对于在对接渠道中交换的应用交易数据,特别是敏感交易数据,银企直联系统服务采用访问控制、数据签名技术、完整性技术以及防抵赖技术加以多重保证。
1703484267
1703484268
1.访问控制:访问控制功能由防火墙实现,对企业内部网之间和内外网络的数据流进行内容审查,只允许合法的数据通过。还可实现用户认证、负载分担等功能。提供网络地址翻译(NAT)服务,对外隐藏网络地址,防止内部地址公开。为保障系统内网络安全并实现与银行网络的安全访问,系统通过两个防火墙将银企直联系统分成5个安全区域。对不同区域设定安全优先级,并根据数据访问流向定义访问控制规则。
1703484269
1703484270
5个区域的安全优先级从高到低分为:
1703484271
1703484272
(1)银企直联系统数据库服务器和银行的前置机。数据库服务器从银行前置机上获取数据,写入数据库中,提供WEB服务器调用,并与ERP财务模块交换数据。
1703484273
1703484274
(2)企业内部网络和ERP服务器财务模块。满足内部网络对WEB服务器的查询需求,以及ERP财务系统与银企直联系统数据库的数据交换。
1703484275
1703484276
(3)各家银行驻企业财务中心的营业网点。主要提供对WEB服务器的访问,完成对汇票部分的查询功能。虽然银行网点和企业财务主机物理位置相同,但由于业务功能不同,必须区分在不同网络区域。
1703484277
1703484278
(4)银企直联系统WEB发布服务器和财务中心营业前台的业务主机。WEB服务器提供所用查询功能。WEB服务器提供企业内部网络和系统内部WEB访问,财务业务主机所有的查询、转账等业务操作都是通过WEB浏览器完成。
1703484279
1703484280
(5)银企直联系统与银行的网络连接部分。主要是提供各家银行网银服务器与数据库区相应银行前置机的数据交换。与不同银行的连接由不同的接入路由器和外部防火墙实现。
1703484281
1703484282
2.入侵检测和漏洞扫描:为弥补防火墙的不足,同时在区域1和区域4部署了入侵检测系统。入侵检测通过监控主机或网络中流动的数据,分析已有的特征码,识别可能的攻击尝试。目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,缩短响应外部网络入侵的时间。
1703484283
1703484284
在区域l设置一台网络漏洞扫描器。漏洞扫描(事前的检测系统)也称为安全性评估或脆弱性分析,是对网络设备进行自动的安全漏洞检测和分析,支持基于安全策略的安全风险管理过程。另外,能够执行预定的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。它的作用就是在发生网络攻击事件前,通过对整个网络范围扫描发现网络的漏洞隐患,及时给出修补方案。
1703484285
1703484286
3.系统安全控制器:在企业内部系统层面的安全管理由系统安全控制器来实现。系统安全控制器配备了系统安全控制软件,部署在WEB服务器上,用以实现业务用户身份认证、操作权限控制、日志记录、数据备份和数据恢复,是面向企业内部的安全控制系统。
1703484287
1703484288
4.身份认证终端:身份认证依靠“PKI公钥密码体制”的加密机制、数字签名机制和用户登录密码等提供多重保证。身份认证由专门的认证机构负责证书或密钥的生成、发放、删除管理。各家银行均有严谨的证书申请流程、CA证书发放系统和安全客户端软件。
1703484289
1703484290
在前置机上安装银行各种接口平台、安全客户端软件和读卡器、USB KEY等外接设备,合法生成的证书或者密钥写入专用外接设备,或存放在安全配置文件指定的路径,从而使前置机成为银企直联系统中企业面向银行的身份认证终端。
1703484291
1703484292
5.数据加密:数据加密由前置机上安装安全客户端软件,或者采用专门的加密机实现。采用PKI的公钥加密算法,使用的加密密钥和解密密钥不同,而且不可能由加密密钥解出解密密钥。CA管理方把密钥成对发放,一个在信息团体内公开称公钥,一个由用户秘密保存称私钥。信息传递时使用其中一个密钥对信息进行加密,由另一个解密,其优点是便于密钥管理、分发,便于签字、签名。银企之间传递的数据在发送方和接收方经加密、解密后接受。密钥由IC卡或硬件加密机中存储的数据产生,具备较好的保密性;同时利用接入平台软件完成对银行网银系统进行连接。
1703484293
1703484294
6.数字签名:数字签名解决了否认、伪造、篡改及冒充等问题。发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。具体做法是前置机向银行提交信息时,会在信息后附加该客户的数字签名,然后使用私钥对完整信息进行加密后发送到银行端,由银行端的接受服务器访问CA服务器,获得客户的公钥后解密,分析交易或查询内容并进行业务处理,同时记录客户的签名,以作日后核对。
1703484295
1703484296
银行向前置机反馈信息时,通过向CA服务器提取客户公钥,加上银行的签名,加密发送给客户。客户前置机收到后,安全客户端软件会使用用户私钥解密,然后通过前置机的数据接口发送信息。
1703484297
1703484298
7.审计跟踪技术:安全审计评估系统就是指根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。企业财务系统前置设备增加系统参数设置功能,可通过开关此功能达到记录交易日志的目的;网上银行系统中记录每笔交易的经手人信息,以达到对交易审计跟踪目的。
1703484299
1703484300
1703484301
1703484302
1703484304
现金管理:数字时代的网络金融服务 三、银行现金管理平台
1703484305
1703484306
随着银行提供的现金管理产品的增多,特别是互联网的普及应用,各类基于互联网的现金管理产品日益出现,这些现金管理产品所管理的信息和数据呈爆炸式增长,银行迫切需要通过整合所有现金管理产品,来达到统一管理的目的,并结合平台优势,不断创新现金管理产品。而企业特别是集团型企业,也因为需要不停地切换系统,才能使用不同的现金管理产品,感觉非常烦琐,因此也希望能通过一个统一的操作平台来使用现金管理产品。在这样的背景下,银行现金管理平台就应运而生了。
1703484307
1703484308
(一)单一银行现金管理平台
1703484309
[
上一页 ]
[ :1.70348426e+09 ]
[
下一页 ]