銀企直聯
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
銀企直聯是指集團企業在集團內部建立自己的資金管理系統,通過數據介面將內部資金管理系統與商業銀行核心系統、網銀或者現金管理平臺實現聯接。通過銀企直聯繫統企業可實現實時帳戶信息查詢、明細查詢、自動轉帳、交易查詢等功能。並且交易的實時性和方便性得到大幅提高。“銀企直聯”的應用特點是連接手段不限,公網、專線均可。
儘管各家商業銀行都在不斷努力完善、擴充自己網銀系統的功能,但還是無法滿足集團客戶的要求。因為集團企業在推行資金集中過程中無法迴避一個障礙:企業的個性化需求與銀行標準化服務之間幾乎無法調和的矛盾。企業,尤其是大型的集團企業,其自身的管理模式、管理特點,都是由於其歷史沿革、管理現狀、行業特點等原因決定的,所以根本不可能因為銀行提供的現金管理服務模式的制約,就可以改變,反而是必須要求銀行適應企業要求,修改銀行服務系統功能。但銀行系統非常龐大,牽一發而動全身,每一個細小的功能修改,都會涉及到全行網點的系統測試、系統升級、人員培訓,對系統的運行穩定構成威脅。所以銀行根本不可能及時滿足客戶的個性化需求,即使是銀行的大客戶、關鍵客戶,其個性化需求銀行也是無法全部滿足的。正是由於客戶個性化要求與銀行系統穩定運行的保障要求之間的矛盾越來越嚴重,銀行才開始推出“銀企直聯”的新服務,“銀企直聯”的新服務也才被大型集團客戶在搭建內部資金管理系統時廣泛應用。
作為一種全新的現金管理服務,商業銀行專門針對企業資金管理而開發的應用軟體“銀企直聯”系統自2001年推出以來,已成功為國內電力、汽車製造、軍工、鋼鐵冶金、貿易、零售等二十多個行業,多家大型企業提供了“銀企直聯”服務,為集團企業提高資金使用效益、降低財務費用、加強資金管理、控制資金風險提供了強有力的技術支撐。該項目成果得到了國資委、銀監會、財務公司協會、集團企業促進會等相關管理機構、組織的獎勵和肯定。
銀企直聯繫統結構以防火牆為邊界,分為銀行端和企業端兩個層次。
1.企業對接系統(企業端)
企業對接系統主要完成企業ERP資金模塊或獨立資金管理系統與銀行前置機的數據交互功能。這些ERP資金模塊或獨立資金管理系統得到銀行授權,可通過位於對接系統上的專用介面與前置機通訊,即採用介面軟體使ERP伺服器的財務模塊和銀行前置機實現數據交互。
前置機上載入的是銀行部署在企業端運行安全業務處理軟體,他是完成銀行與企業之間主機數據傳輸的電腦終端。採用前置機進行銀企系統對接是目前比較流行的方式,他可以有效的屏蔽雙方主機,並強化通信安全措施。各家銀行在前置機上均部署安裝有專用通訊軟體,通過加密、認證方法以專線網路或Internet與特定銀行業務伺服器實時安全連接。經過數字簽名、身份認證後,前置機向銀行資料庫伺服器發送請求,並接受返回的數據,通過專用介面軟體解密後返回銀企直聯對接系統資料庫。
2.銀行對接系統
銀行對接平臺位於銀行網路內部,設置於對接伺服器之上,完成銀行網上銀行系統(各家銀行提供的與直聯繫統對接的系統,名稱略有不同,但提供了相同或者相近的服務功能。如工行的網上銀行系統(或簡稱網銀)、建行的重要客戶系統(或簡稱重客系統)、農行的現金管理平臺(或簡稱CMP)、招行的電子銀行系統)與企業對接系統前端銀行前置機的連接,完成數據傳遞、加密認證、數據格式轉換、歷史信息採集等功能。
銀企直聯繫統為實現與企業的直聯對接,建設時需特別註意接入方式和連接方式兩方面進行分析考慮。
1.銀企直聯接入方式選擇
銀企直聯繫統一般有兩種接入方式:
(1)嵌入式
嵌入式銀企直聯繫統是指銀行將銀企直聯繫統介面的Win32動態連接庫進行封裝,形成企業ERP系統可直接調用的API函數。這樣,企業ERP系統就不需要知道與銀行端交互的細節,只需調用相關API函數,並將數據按照定義好的參數格式發送給銀企直聯繫統介面,由他完成與銀行端的交互。而銀企直聯介面接收到請求後,首先提取出請求數據,處理組合數據,形成標準格式的請求報文,然後內部調用銀行提供的交互介面將業務請求報文以加密的方式發送到銀行端。銀行處理完後,將加密的處理結果報文返回到銀企直聯介面,數據解密後通過消息返回給企業ERP系統。
他的特點是,通過這種設計,企業ERP系統只用專註自己的業務處理, 與銀行交互的細節就由銀企直聯繫統介面處理。這樣以後對與銀行交互功能的維護和擴展就不會影響到企業ERP系統,保持了兩者系統功能間的松藕合和整體系統的高結合程度。而且與銀行端交互的功能統一在銀企直聯繫統介面裡面管理,就可以通過多線程調用的方式共用與銀行端的連接資源,大大提高了效率。同時ERP系統與直聯繫統介面間的API調用交互方式極大地簡化了企業端訪問直聯介面部分的編程複雜性,並且提供了ERP系統平臺無關性。並且由於可以直接鑲嵌在ERP之內,也就保持了系統的安全性。維護和擴展成本低,不需硬體成本,但軟體方面需要一定的個性化開發。
(2)代理伺服器模式
代理伺服器式銀企直聯繫統是指銀行提供的銀企直聯繫統介面通過存放在企業的代理伺服器,來實現與企業ERP系統間的數據交互。銀企直聯繫統介面的代理伺服器只接收符合標準報文格式的指令報文,然後對指令報文進行加密,最後通過交互介面將指令報文發送到銀行端。銀行處理完後,將加密的處理結果報文返回到銀企直聯介面,數據解密後形成標準格式的消息返回報文。
它的特點是,在這樣的設計下,企業的硬體投入較高,而且由於兩者系統功能的緊藕合,導致兩者的結合程度不是特別精密。同時,這也增加了企業ERP系統訪問直聯介面部分的編程複雜性,加大了個性化開發的工作量,另外企業ERP系統還需關註銀行交互的細節,所以維護和擴展成本也較高。但由於代理伺服器只負責處理通訊加密和安全認證,系統速度較快。
2.銀企直聯的連接方式選擇
銀企直聯繫統一般有兩種連接方式:
(1)公網
是指銀企直聯繫統採用Internet形式來物理連接銀行端系統和企業端系統。他的特點是成本較低,但帶寬窄,並且網速容易受外部網路環境影響。
(2)專線
是指銀企直聯繫統採用專門的線路來物理連接銀行端系統和企業端系統。他的特點是企業需要按需求(月、年等)租用線路,成本相對較高,但由於是專用線路,帶寬比較大,並且網速不容易受到外部網路環境的影響。
銀企直聯繫統為企業和銀行之間建立了安全、高效、可追蹤的直接信息交互渠道。在直通渠道的建立過程中,銀行和企業之間對彼此身份進行基於數字證書的身份確認,以確保服務雙方身份的正確性。另外,對於在對接渠道中交換的應用交易數據,特別是敏感交易數據,銀企直聯繫統服務採用訪問控制、數據簽名技術、完整性技術以及防抵賴技術加以多重保證。
訪問控制:訪問控制功能由防火牆實現,對企業內部網之間和內外網路的數據流進行內容審查,只允許合法的數據通過。還可實現用戶認證、負載分擔等功能。提供網路地址翻譯(NAT)服務,對外隱藏網路地址,防止內部地址公開。為保障系統內網路安全並實現與銀行網路的安全訪問,系統通過2個防火牆將銀企直聯繫統分成5個安全區域。對不同區域設定安全優先順序,並根據數據訪問流向定義訪問控制規則。
5個區域的安全優先順序從高到低分為:
(1)銀企直聯繫統資料庫伺服器和銀行的前置機。資料庫伺服器從銀行前置機上獲取數據,寫人資料庫中,提供WEB服務器調用,並與ERP財務模塊交換數據。
(2)企業內部網路和ERP伺服器財務模塊。滿足內部網路對WEB伺服器的查詢需求,以及ERP財務系統與銀企直聯繫統資料庫的數據交換。
(3)各家銀行駐企業財務中心的營業網點。主要提供對WEB伺服器的訪問,完成對匯票部分的查詢功能。雖然銀行網點和企業財務主機物理位置相同,但由於業務功能不同,必須區分在不同網路區域。
(4)銀企直聯繫統WEB發佈伺服器和財務中心營業前臺的業務主機。WEB伺服器提供所用查詢功能。WEB伺服器提供企業內部網路和系統內部WEB訪問,財務業務主機所有的查詢、轉賬等業務操作都是通過WEB瀏覽器完成。
(5)銀企直聯繫統與銀行的網路連接部分。主要是提供各家銀行網銀伺服器與資料庫區相應銀行前置機的數據交換。與不同銀行的連接由不同的接人路由器和外部防火牆實現。
入侵檢測和漏洞掃描:為彌補防火牆的不足,同時在區域1和區域4部署了入侵檢測系統。入侵檢測通過監控主機或網路中流動的數據,分析已有的特征碼,識別可能的攻擊嘗試。目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連接等,縮短響應外部網路入侵的時間。
在區域l設置一臺網路漏洞掃描器。漏洞掃描(事前的檢測系統),也稱為安全性評估或脆弱性分析,是對網路設備進行自動的安全漏洞檢測和分析,支持基於安全策略的安全風險管理過程。另外,能夠執行預定的網路探測,包括對網路通信服務、操作系統、路由器、電子郵件、WEB伺服器、防火牆和應用程式的檢測,從而識別能被入侵者利用來非法進入網路的漏洞。他的作用就是在發生網路攻擊事件前,通過對整個網路範圍掃描發現網路的漏洞隱患,及時給出修補方案。
系統安全控制器:在企業內部系統層面的安全管理由系統安全控制器來實現。系統安全控制器配備了系統安全控制軟體,部署在WEB伺服器上,用以實現業務用戶身份認證、操作許可權控制、日誌記錄、數據備份和數據恢復,是面向企業內部的安全控制系統。
身份認證終端:身份認證依靠“PKI公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼等提供多重保證。身份認證由專門的認證機構負責證書或密鑰的生成、發放、刪除管理。各家銀行均有嚴謹的證書申請流程、CA證書發放系統和安全客戶端軟體。CA,即認證中心,是PKI的核心機構,他的主要任務是受理數字證書的申請、簽發和管理。CA證書發放系統保留了客戶的信息數據,承擔證書管理工作,並與安全傳輸平臺連接,對通過網路傳輸的用戶證書進行身份認證。
在前置機上安裝銀行各種介面平臺、安全客戶端軟體和讀卡器、USB KEY等外接設備。合法生成的證書或者密鑰寫入專用外接設備,或存放在安全配置文件指定的路徑。從而使前置機成為銀企直聯繫統中企業面向銀行的身份認證終端。
數據加密:數據加密由前置機上安裝安全客戶端軟體,或者採用專門的加密機實現。採用PKI的公鑰加密演算法,使用的加密密鑰和解密密鑰不同,而且不可能由加密密鑰解出解密密鑰。CA管理方把密鑰成對發放,一個在信息團體內公開稱公鑰,一個由用戶秘密保存稱私鑰。信息傳遞時使用其中一個密鑰對信息進行加密,由另一個解密,其優點是便於密鑰管理、分發、便於簽字簽名。銀企之間傳遞的數據在發送方和接收方經加密、解密後接受。密鑰由Ic卡或硬體加密機中存儲的數據產生,具備較好的保密性;同時利用接入平臺軟體完成對銀行網銀系統進行連接。
數字簽名:數字簽名解決了否認、偽造、篡改及冒充等問題。發送者事後不能否認發送的報文簽名、接收者能夠核實發送者發送的報文簽名、接收者不能偽造發送者的報文簽名、接收者不能對發送者的報文進行部分篡改、網路中的某一用戶不能冒充另一用戶作為發送者或接收者。具體做法是前置機向銀行提交信息時,會在信息後附加該客戶的數字簽名,然後使用私鑰對完整信息進行加密後發送到銀行端,由銀行端的接受伺服器訪問CA伺服器,獲得客戶的公鑰後解密,分析交易或查詢內容併進行業務處理,同時記錄客戶的簽名,以作日後核對。
銀行向前置機反饋信息時,通過向CA伺服器提取客戶公鑰,加上銀行的簽名,加密發送給客戶。客戶前置機收到後,安全客戶端軟體會使用用戶私鑰解密,然後通過前置機的數據介面發送信息。審計跟蹤技術:安全審計評估系統就是指根據一定的安全策略記錄和分析歷史操作事件及數據,發現能夠改進系統性能和系統安全的地方。企業財務系統前置設備增加系統參數設置功能,可通過開關此功能達到記錄交易日誌的目的;網上銀行系統中記錄每筆交易的經手人信息,以達到對交易審計跟蹤目的。其他安全控制措施:在系統內部建立網路防病毒系統,實現病毒引擎和代碼自動升級更新、防病毒策略統一部署等,防止病毒、木馬等惡意程式對系統內部的攻擊,同時防止病毒向銀行內部網路傳播。建立嚴格的內部控制制度,從管理層面上加強IC卡、USB key等硬體設施管理,加強對密鑰、證書的管理,防止非系統管理員操作等。
收益 初步接觸銀企直聯