【5】银企直联系统与银行的网络连接部分。主要是提供各家银行网银服务器与数据库区相应银行前置机的数据交换。与不同银行的连接由不同的接入路由器和外部防火墙实现。
2.入侵检测和漏洞扫描:为弥补防火墙的不足,同时在区域1和区域4部署了入侵检测系统。入侵检测通过监控主机或网络中流动的数据,分析已有的特征码,识别可能的攻击尝试。目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,缩短响应外部网络入侵的时间。
在区域l设置一台网络漏洞扫描器。漏洞扫描【事前的检测系统】也称为安全性评估或脆弱性分析,是对网络设备进行自动的安全漏洞检测和分析,支持基于安全策略的安全风险管理过程。另外,能够执行预定的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。它的作用就是在发生网络攻击事件前,通过对整个网络范围扫描发现网络的漏洞隐患,及时给出修补方案。
3.系统安全控制器:在企业内部系统层面的安全管理由系统安全控制器来实现。系统安全控制器配备了系统安全控制软件,部署在WEB服务器上,用以实现业务用户身份认证、操作权限控制、日志记录、数据备份和数据恢复,是面向企业内部的安全控制系统。
4.身份认证终端:身份认证依靠“PKI公钥密码体制”的加密机制、数字签名机制和用户登录密码等提供多重保证。身份认证由专门的认证机构负责证书或密钥的生成、发放、删除管理。各家银行均有严谨的证书申请流程、CA证书发放系统和安全客户端软件。
在前置机上安装银行各种接口平台、安全客户端软件和读卡器、USB KEY等外接设备,合法生成的证书或者密钥写入专用外接设备,或存放在安全配置文件指定的路径,从而使前置机成为银企直联系统中企业面向银行的身份认证终端。
5.数据加密:数据加密由前置机上安装安全客户端软件,或者采用专门的加密机实现。采用PKI的公钥加密算法,使用的加密密钥和解密密钥不同,而且不可能由加密密钥解出解密密钥。CA管理方把密钥成对发放,一个在信息团体内公开称公钥,一个由用户秘密保存称私钥。信息传递时使用其中一个密钥对信息进行加密,由另一个解密,其优点是便于密钥管理、分发,便于签字、签名。银企之间传递的数据在发送方和接收方经加密、解密后接受。密钥由IC卡或硬件加密机中存储的数据产生,具备较好的保密性;同时利用接入平台软件完成对银行网银系统进行连接。
6.数字签名:数字签名解决了否认、伪造、篡改及冒充等问题。发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。具体做法是前置机向银行提交信息时,会在信息后附加该客户的数字签名,然后使用私钥对完整信息进行加密后发送到银行端,由银行端的接受服务器访问CA服务器,获得客户的公钥后解密,分析交易或查询内容并进行业务处理,同时记录客户的签名,以作日后核对。
银行向前置机反馈信息时,通过向CA服务器提取客户公钥,加上银行的签名,加密发送给客户。客户前置机收到后,安全客户端软件会使用用户私钥解密,然后通过前置机的数据接口发送信息。
7.审计跟踪技术:安全审计评估系统就是指根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。企业财务系统前置设备增加系统参数设置功能,可通过开关此功能达到记录交易日志的目的;网上银行系统中记录每笔交易的经手人信息,以达到对交易审计跟踪目的。
三、银行现金管理平台
随着银行提供的现金管理产品的增多,特别是互联网的普及应用,各类基于互联网的现金管理产品日益出现,这些现金管理产品所管理的信息和数据呈爆炸式增长,银行迫切需要通过整合所有现金管理产品,来达到统一管理的目的,并结合平台优势,不断创新现金管理产品。而企业特别是集团型企业,也因为需要不停地切换系统,才能使用不同的现金管理产品,感觉非常烦琐,因此也希望能通过一个统一的操作平台来使用现金管理产品。在这样的背景下,银行现金管理平台就应运而生了。
【一】单一银行现金管理平台
指由各家商业银行提供,主要针对企业在本银行开设的账户进行现金管理的平台。它将本银行的现金管理产品整合到统一的平台下,使用户只需登录一次,即可操作和使用相关的现金管理产品。
单一银行现金管理平台主要功能有:账户管理、银企直联、支付结算、资金归集、资金调拨、委托贷款、现金池等多项功能。
【二】跨银行现金