集中代收付系统
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
什么是集中代收付系统[1]
集中代收付系统是指接入小额支付系统集中办理代收、代付业务的处理系统,是小额支付系统公共清算平台服务向企事业单位的延伸。集中代收付中心(简称代收付中心)指运行和管理代收付系统的清算组织,是小额支付系统的特许参与者。
集中代收付系统开放灵活多变的企业接口,集中受理企事业单位委托业务;集中代收付系统建立统一的合同协议库,集中对业务合同协议进行核验。集中代收付系统解决了”一行多企、一企多行” 的问题 极大地方便了广大缴费人、收付费企事业单位,提高整体金融服务水平。
集中代收付系统遵循小额支付系统制订的统一标准 避免各地代收付中心和银行业金融机构的重复建设、重复开发实现社会资源共享。
集中代收付系统的安全体系结构[2]
根据集中代收付系统的现状,安全防护体系结构主要考虑安全对象和安全机制。安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。集中代收付系统的安全体系结构如图1所示:
集中代收付系统的网络安全防护体系实现[2]
防火墙、PKI(公钥基础设施)、VLAN (虚拟局域网)和物理隔离与信息交换系统等构成了网络安全的关键技术。
集中代收付系统安全防护体系结构的建立是通过提出几个组件以及构建这些组件的技术来完成的。根据OSI(开放系统互联参考模型)中各层之间的相互依赖性,以及安全的需求的全面性,把安全策略在逻辑上分配到体系结构的各个层。
1.物理层信息安全体系的建立
主要防止物理通路损坏、物理通路窃听、对物理通路的攻击和干扰等。此层的典型设备为网闸,集中代收付系统的部分核心业务系统必须与互联网隔离,但是部分信息系统又必须通过互联网保障各级节点的数据信息的交换。基于以上需求,在集中代收付系统的核心区部署了物理隔离网闸系统,它保障内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层及操作系统层攻击,提供比防火墙、入侵检测系统等技术更好的安全性能,既保障了物理的隔离,又实现了在线实时访问互联网所必需的数据交换。
2.链路层信息安全体系的建立
链路层的网络安全需要保障通过网络链路传送的数据不被窃听,主要采用划分VLAN、加密通信(远程网)等手段。这一层的典型设备为交换机, 目前局域网大多采用以交换机为中心,路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能(交换机三层功能为网络层功能)。访问控制即指交换机利用ACL(访问控制列表)实现按源和目的地址、协议、源和目的端口等不同要求对数据包进行筛选及过滤。VLAN的划分是集中代收付系统核心交换机在链路层的一个重要安全策略部署。
3.网络层信息安全体系的建立
网络层安全需要保障网络只给授权的客户使用授权的服务,保障网络路由正确,避免被拦截或监听。这一层的典型设备包括路由器、防火墙、入侵检测系统等。其中,路由器是架构网络最外层的设备,也是网络黑客的首要攻击目标,因此集中代收付系统内路由器需安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。防火墙可防止网络入侵者进入网络的防御体系,可以控制外网用户进入内部核心网络,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。由于系统采用了互联网线路接入,利用了其产品的安全机制建立VPN(虚拟专用网),充分保障互联网接入的安全。入侵检测系统是对端口进行监测、扫描,能识别防火墙无法识别的攻击,并在发现入侵企图之后提供必要的信息,帮助系统安全移植。
4.操作系统信息安全体系的建立
操作系统安全要保障客户资料、操作系统访问控制的安全, 同时能够对该操作系统上的应用进行侦测。保障操作系统的安全包括以下内容:①操作系统的加固。集中代收付系统安装必要的系统组件,不安装或删除不必使用的系统组件。②操作系统服务的加固。关闭所有不使用的服务和端口。③操作系统漏洞控制。一旦发现存在系统漏洞或者安全隐患,立即强制其安装相应的系统补丁或组件。
5.应用系统层信息安全体系的建立
应用系统完成网络系统的最终目的, 是为用户服务。应用系统的安全与系统的设计和实现关系密切。实现应用系统安全防护的功能包括以下几个方面:①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发,在输入级、对话路径级和事务处理三级做到无漏洞。集成的系统要具有良好的恢复能力,这样才能保障内部生产网中的系统避免因受攻击而导致瘫痪、数据破坏或丢失。② 数字签名与认证。应用系统须利用数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保障文件和数据的完整性,并防止源发送者抵赖,并且实现对源发送者的追踪。③数据加密。对重要的数据进行加密存储保护。④病毒防护。基于网络的查杀病毒软件可有效地控制病毒的传播,保障网络的安全稳定。