银企直联
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
银企直联是指集团企业在集团内部建立自己的资金管理系统,通过数据接口将内部资金管理系统与商业银行核心系统、网银或者现金管理平台实现联接。通过银企直联系统企业可实现实时帐户信息查询、明细查询、自动转帐、交易查询等功能。并且交易的实时性和方便性得到大幅提高。“银企直联”的应用特点是连接手段不限,公网、专线均可。
尽管各家商业银行都在不断努力完善、扩充自己网银系统的功能,但还是无法满足集团客户的要求。因为集团企业在推行资金集中过程中无法回避一个障碍:企业的个性化需求与银行标准化服务之间几乎无法调和的矛盾。企业,尤其是大型的集团企业,其自身的管理模式、管理特点,都是由于其历史沿革、管理现状、行业特点等原因决定的,所以根本不可能因为银行提供的现金管理服务模式的制约,就可以改变,反而是必须要求银行适应企业要求,修改银行服务系统功能。但银行系统非常庞大,牵一发而动全身,每一个细小的功能修改,都会涉及到全行网点的系统测试、系统升级、人员培训,对系统的运行稳定构成威胁。所以银行根本不可能及时满足客户的个性化需求,即使是银行的大客户、关键客户,其个性化需求银行也是无法全部满足的。正是由于客户个性化要求与银行系统稳定运行的保障要求之间的矛盾越来越严重,银行才开始推出“银企直联”的新服务,“银企直联”的新服务也才被大型集团客户在搭建内部资金管理系统时广泛应用。
作为一种全新的现金管理服务,商业银行专门针对企业资金管理而开发的应用软件“银企直联”系统自2001年推出以来,已成功为国内电力、汽车制造、军工、钢铁冶金、贸易、零售等二十多个行业,多家大型企业提供了“银企直联”服务,为集团企业提高资金使用效益、降低财务费用、加强资金管理、控制资金风险提供了强有力的技术支撑。该项目成果得到了国资委、银监会、财务公司协会、集团企业促进会等相关管理机构、组织的奖励和肯定。
银企直联系统结构以防火墙为边界,分为银行端和企业端两个层次。
1.企业对接系统(企业端)
企业对接系统主要完成企业ERP资金模块或独立资金管理系统与银行前置机的数据交互功能。这些ERP资金模块或独立资金管理系统得到银行授权,可通过位于对接系统上的专用接口与前置机通讯,即采用接口软件使ERP服务器的财务模块和银行前置机实现数据交互。
前置机上加载的是银行部署在企业端运行安全业务处理软件,他是完成银行与企业之间主机数据传输的计算机终端。采用前置机进行银企系统对接是目前比较流行的方式,他可以有效的屏蔽双方主机,并强化通信安全措施。各家银行在前置机上均部署安装有专用通讯软件,通过加密、认证方法以专线网络或Internet与特定银行业务服务器实时安全连接。经过数字签名、身份认证后,前置机向银行数据库服务器发送请求,并接受返回的数据,通过专用接口软件解密后返回银企直联对接系统数据库。
2.银行对接系统
银行对接平台位于银行网络内部,设置于对接服务器之上,完成银行网上银行系统(各家银行提供的与直联系统对接的系统,名称略有不同,但提供了相同或者相近的服务功能。如工行的网上银行系统(或简称网银)、建行的重要客户系统(或简称重客系统)、农行的现金管理平台(或简称CMP)、招行的电子银行系统)与企业对接系统前端银行前置机的连接,完成数据传递、加密认证、数据格式转换、历史信息采集等功能。
银企直联系统为实现与企业的直联对接,建设时需特别注意接入方式和连接方式两方面进行分析考虑。
1.银企直联接入方式选择
银企直联系统一般有两种接入方式:
(1)嵌入式
嵌入式银企直联系统是指银行将银企直联系统接口的Win32动态连接库进行封装,形成企业ERP系统可直接调用的API函数。这样,企业ERP系统就不需要知道与银行端交互的细节,只需调用相关API函数,并将数据按照定义好的参数格式发送给银企直联系统接口,由他完成与银行端的交互。而银企直联接口接收到请求后,首先提取出请求数据,处理组合数据,形成标准格式的请求报文,然后内部调用银行提供的交互接口将业务请求报文以加密的方式发送到银行端。银行处理完后,将加密的处理结果报文返回到银企直联接口,数据解密后通过消息返回给企业ERP系统。
他的特点是,通过这种设计,企业ERP系统只用专注自己的业务处理, 与银行交互的细节就由银企直联系统接口处理。这样以后对与银行交互功能的维护和扩展就不会影响到企业ERP系统,保持了两者系统功能间的松藕合和整体系统的高结合程度。而且与银行端交互的功能统一在银企直联系统接口里面管理,就可以通过多线程调用的方式共享与银行端的连接资源,大大提高了效率。同时ERP系统与直联系统接口间的API调用交互方式极大地简化了企业端访问直联接口部分的编程复杂性,并且提供了ERP系统平台无关性。并且由于可以直接镶嵌在ERP之内,也就保持了系统的安全性。维护和扩展成本低,不需硬件成本,但软件方面需要一定的个性化开发。
(2)代理服务器模式
代理服务器式银企直联系统是指银行提供的银企直联系统接口通过存放在企业的代理服务器,来实现与企业ERP系统间的数据交互。银企直联系统接口的代理服务器只接收符合标准报文格式的指令报文,然后对指令报文进行加密,最后通过交互接口将指令报文发送到银行端。银行处理完后,将加密的处理结果报文返回到银企直联接口,数据解密后形成标准格式的消息返回报文。
它的特点是,在这样的设计下,企业的硬件投入较高,而且由于两者系统功能的紧藕合,导致两者的结合程度不是特别精密。同时,这也增加了企业ERP系统访问直联接口部分的编程复杂性,加大了个性化开发的工作量,另外企业ERP系统还需关注银行交互的细节,所以维护和扩展成本也较高。但由于代理服务器只负责处理通讯加密和安全认证,系统速度较快。
2.银企直联的连接方式选择
银企直联系统一般有两种连接方式:
(1)公网
是指银企直联系统采用Internet形式来物理连接银行端系统和企业端系统。他的特点是成本较低,但带宽窄,并且网速容易受外部网络环境影响。
(2)专线
是指银企直联系统采用专门的线路来物理连接银行端系统和企业端系统。他的特点是企业需要按需求(月、年等)租用线路,成本相对较高,但由于是专用线路,带宽比较大,并且网速不容易受到外部网络环境的影响。
银企直联系统为企业和银行之间建立了安全、高效、可追踪的直接信息交互渠道。在直通渠道的建立过程中,银行和企业之间对彼此身份进行基于数字证书的身份确认,以确保服务双方身份的正确性。另外,对于在对接渠道中交换的应用交易数据,特别是敏感交易数据,银企直联系统服务采用访问控制、数据签名技术、完整性技术以及防抵赖技术加以多重保证。
访问控制:访问控制功能由防火墙实现,对企业内部网之间和内外网络的数据流进行内容审查,只允许合法的数据通过。还可实现用户认证、负载分担等功能。提供网络地址翻译(NAT)服务,对外隐藏网络地址,防止内部地址公开。为保障系统内网络安全并实现与银行网络的安全访问,系统通过2个防火墙将银企直联系统分成5个安全区域。对不同区域设定安全优先级,并根据数据访问流向定义访问控制规则。
5个区域的安全优先级从高到低分为:
(1)银企直联系统数据库服务器和银行的前置机。数据库服务器从银行前置机上获取数据,写人数据库中,提供WEB服务器调用,并与ERP财务模块交换数据。
(2)企业内部网络和ERP服务器财务模块。满足内部网络对WEB服务器的查询需求,以及ERP财务系统与银企直联系统数据库的数据交换。
(3)各家银行驻企业财务中心的营业网点。主要提供对WEB服务器的访问,完成对汇票部分的查询功能。虽然银行网点和企业财务主机物理位置相同,但由于业务功能不同,必须区分在不同网络区域。
(4)银企直联系统WEB发布服务器和财务中心营业前台的业务主机。WEB服务器提供所用查询功能。WEB服务器提供企业内部网络和系统内部WEB访问,财务业务主机所有的查询、转账等业务操作都是通过WEB浏览器完成。
(5)银企直联系统与银行的网络连接部分。主要是提供各家银行网银服务器与数据库区相应银行前置机的数据交换。与不同银行的连接由不同的接人路由器和外部防火墙实现。
入侵检测和漏洞扫描:为弥补防火墙的不足,同时在区域1和区域4部署了入侵检测系统。入侵检测通过监控主机或网络中流动的数据,分析已有的特征码,识别可能的攻击尝试。目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,缩短响应外部网络入侵的时间。
在区域l设置一台网络漏洞扫描器。漏洞扫描(事前的检测系统),也称为安全性评估或脆弱性分析,是对网络设备进行自动的安全漏洞检测和分析,支持基于安全策略的安全风险管理过程。另外,能够执行预定的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。他的作用就是在发生网络攻击事件前,通过对整个网络范围扫描发现网络的漏洞隐患,及时给出修补方案。
系统安全控制器:在企业内部系统层面的安全管理由系统安全控制器来实现。系统安全控制器配备了系统安全控制软件,部署在WEB服务器上,用以实现业务用户身份认证、操作权限控制、日志记录、数据备份和数据恢复,是面向企业内部的安全控制系统。
身份认证终端:身份认证依靠“PKI公钥密码体制”的加密机制、数字签名机制和用户登录密码等提供多重保证。身份认证由专门的认证机构负责证书或密钥的生成、发放、删除管理。各家银行均有严谨的证书申请流程、CA证书发放系统和安全客户端软件。CA,即认证中心,是PKI的核心机构,他的主要任务是受理数字证书的申请、签发和管理。CA证书发放系统保留了客户的信息数据,承担证书管理工作,并与安全传输平台连接,对通过网络传输的用户证书进行身份认证。
在前置机上安装银行各种接口平台、安全客户端软件和读卡器、USB KEY等外接设备。合法生成的证书或者密钥写入专用外接设备,或存放在安全配置文件指定的路径。从而使前置机成为银企直联系统中企业面向银行的身份认证终端。
数据加密:数据加密由前置机上安装安全客户端软件,或者采用专门的加密机实现。采用PKI的公钥加密算法,使用的加密密钥和解密密钥不同,而且不可能由加密密钥解出解密密钥。CA管理方把密钥成对发放,一个在信息团体内公开称公钥,一个由用户秘密保存称私钥。信息传递时使用其中一个密钥对信息进行加密,由另一个解密,其优点是便于密钥管理、分发、便于签字签名。银企之间传递的数据在发送方和接收方经加密、解密后接受。密钥由Ic卡或硬件加密机中存储的数据产生,具备较好的保密性;同时利用接入平台软件完成对银行网银系统进行连接。
数字签名:数字签名解决了否认、伪造、篡改及冒充等问题。发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。具体做法是前置机向银行提交信息时,会在信息后附加该客户的数字签名,然后使用私钥对完整信息进行加密后发送到银行端,由银行端的接受服务器访问CA服务器,获得客户的公钥后解密,分析交易或查询内容并进行业务处理,同时记录客户的签名,以作日后核对。
银行向前置机反馈信息时,通过向CA服务器提取客户公钥,加上银行的签名,加密发送给客户。客户前置机收到后,安全客户端软件会使用用户私钥解密,然后通过前置机的数据接口发送信息。审计跟踪技术:安全审计评估系统就是指根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。企业财务系统前置设备增加系统参数设置功能,可通过开关此功能达到记录交易日志的目的;网上银行系统中记录每笔交易的经手人信息,以达到对交易审计跟踪目的。其他安全控制措施:在系统内部建立网络防病毒系统,实现病毒引擎和代码自动升级更新、防病毒策略统一部署等,防止病毒、木马等恶意程序对系统内部的攻击,同时防止病毒向银行内部网络传播。建立严格的内部控制制度,从管理层面上加强IC卡、USB key等硬件设施管理,加强对密钥、证书的管理,防止非系统管理员操作等。
收益 初步接触银企直联