集中代收付系統
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
什麼是集中代收付系統[1]
集中代收付系統是指接入小額支付系統集中辦理代收、代付業務的處理系統,是小額支付系統公共清算平臺服務向企事業單位的延伸。集中代收付中心(簡稱代收付中心)指運行和管理代收付系統的清算組織,是小額支付系統的特許參與者。
集中代收付系統開放靈活多變的企業介面,集中受理企事業單位委托業務;集中代收付系統建立統一的合同協議庫,集中對業務合同協議進行核驗。集中代收付系統解決了”一行多企、一企多行” 的問題 極大地方便了廣大繳費人、收付費企事業單位,提高整體金融服務水平。
集中代收付系統遵循小額支付系統制訂的統一標準 避免各地代收付中心和銀行業金融機構的重覆建設、重覆開發實現社會資源共用。
集中代收付系統的安全體繫結構[2]
根據集中代收付系統的現狀,安全防護體繫結構主要考慮安全對象和安全機制。安全對象主要有網路安全、系統安全、資料庫安全、信息安全、設備安全、信息介質安全和電腦病毒防治等。集中代收付系統的安全體繫結構如圖1所示:
集中代收付系統的網路安全防護體系實現[2]
防火牆、PKI(公鑰基礎設施)、VLAN (虛擬區域網)和物理隔離與信息交換系統等構成了網路安全的關鍵技術。
集中代收付系統安全防護體繫結構的建立是通過提出幾個組件以及構建這些組件的技術來完成的。根據OSI(開放系統互聯參考模型)中各層之間的相互依賴性,以及安全的需求的全面性,把安全策略在邏輯上分配到體繫結構的各個層。
1.物理層信息安全體系的建立
主要防止物理通路損壞、物理通路竊聽、對物理通路的攻擊和干擾等。此層的典型設備為網閘,集中代收付系統的部分核心業務系統必須與互聯網隔離,但是部分信息系統又必須通過互聯網保障各級節點的數據信息的交換。基於以上需求,在集中代收付系統的核心區部署了物理隔離網閘系統,它保障內部網路與不可信網路物理隔斷,能夠阻止各種已知和未知的網路層及操作系統層攻擊,提供比防火牆、入侵檢測系統等技術更好的安全性能,既保障了物理的隔離,又實現了線上實時訪問互聯網所必需的數據交換。
2.鏈路層信息安全體系的建立
鏈路層的網路安全需要保障通過網路鏈路傳送的數據不被竊聽,主要採用劃分VLAN、加密通信(遠程網)等手段。這一層的典型設備為交換機, 目前區域網大多採用以交換機為中心,路由器為邊界的網路格局。核心交換機最關鍵的工作是訪問控制功能和三層交換功能(交換機三層功能為網路層功能)。訪問控制即指交換機利用ACL(訪問控制列表)實現按源和目的地址、協議、源和目的埠等不同要求對數據包進行篩選及過濾。VLAN的劃分是集中代收付系統核心交換機在鏈路層的一個重要安全策略部署。
3.網路層信息安全體系的建立
網路層安全需要保障網路只給授權的客戶使用授權的服務,保障網路路由正確,避免被攔截或監聽。這一層的典型設備包括路由器、防火牆、入侵檢測系統等。其中,路由器是架構網路最外層的設備,也是網路黑客的首要攻擊目標,因此集中代收付系統內路由器需安裝必要的過濾規則,濾掉被屏蔽的IP地址和服務。防火牆可防止網路入侵者進入網路的防禦體系,可以控制外網用戶進入內部核心網路,同時過濾掉危及網路的不安全服務,拒絕非法用戶的進入。由於系統採用了互聯網線路接入,利用了其產品的安全機制建立VPN(虛擬專用網),充分保障互聯網接入的安全。入侵檢測系統是對埠進行監測、掃描,能識別防火牆無法識別的攻擊,併在發現入侵企圖之後提供必要的信息,幫助系統安全移植。
4.操作系統信息安全體系的建立
操作系統安全要保障客戶資料、操作系統訪問控制的安全, 同時能夠對該操作系統上的應用進行偵測。保障操作系統的安全包括以下內容:①操作系統的加固。集中代收付系統安裝必要的系統組件,不安裝或刪除不必使用的系統組件。②操作系統服務的加固。關閉所有不使用的服務和埠。③操作系統漏洞控制。一旦發現存在系統漏洞或者安全隱患,立即強制其安裝相應的系統補丁或組件。
5.應用系統層信息安全體系的建立
應用系統完成網路系統的最終目的, 是為用戶服務。應用系統的安全與系統的設計和實現關係密切。實現應用系統安全防護的功能包括以下幾個方面:①應用系統網路訪問漏洞控制。應用系統軟體要求按安全軟體標準開發,在輸入級、對話路徑級和事務處理三級做到無漏洞。集成的系統要具有良好的恢復能力,這樣才能保障內部生產網中的系統避免因受攻擊而導致癱瘓、數據破壞或丟失。② 數字簽名與認證。應用系統須利用數字證書進行應用級的身份認證,對文件和數據進行數字簽名和認證,保障文件和數據的完整性,並防止源發送者抵賴,並且實現對源發送者的追蹤。③數據加密。對重要的數據進行加密存儲保護。④病毒防護。基於網路的查殺病毒軟體可有效地控制病毒的傳播,保障網路的安全穩定。
