企业资金支付安全管控体系建设探析——以M集团为例.pdfVIP

企企业业资资金金支支付付安安全全管管控控体体系系建建设设探探析析 ——以以M集集团团为为例例 摘摘要要：：随着网上银行、银企直联等电子支付在企业资金支付中的应用，资金支付存在一系列的 全风险。基于此，本文 以M集团的资金支付 全管理实践为基础，提出企业资金支付 全管控体系建设内容，希望对企业资金支付 全管理有所借 鉴。 关关键键词词：：资金，支付， 全管理 00 引引言言 资金本身具有高价值性、高流动性和高风险性的特征，也是企业生存的基础和最重要的资产。随着企业规模的日益扩大 和大智移云物新技术在企业信息化中的应用越来越多，企业的资金交易量增大，网络、信息 全等因素带来的资金支付 全 风险问题不断暴露，资金支付 全管理成为企业管理的重中之重。如何建立完善的企业资金支付 全管控体系，确保资金 全支付，促进资金支付 全管理的全面性、持续性、先进性，具有重要的现实意义。 11 资资金金支支付付 全全管管控控体体系系概概述述 基于M集团的财务共享中心资金支付 全管控体系建设的实践，提炼总结出企业资金支付 全管控体系建设主要分为人 脸识别、数字签名、内外网隔离、支付网关、支付防重控制。 22 人人脸脸识识别别 目前很多企业应用系统中的身份认证，都还停留在固态密码的验证，面对越来越多的网络威胁，关键系统的身份认真功 能也亟须升级，而人脸识别作为一种生物认证手段，已经被很多产品进行使用。而人脸识别技术作为关键系统的 全门闩， 人脸识别需要同时支持身份比对和活体认证。 考虑到人脸识别对设备的要求，目前M集团的财务共享系统人脸识别主要应用在共享出纳支付，保障支付 全。 1）留底图像的采集。通过权限流程进行规范管控，保证采集的图像人员拥有共享出纳支付权限，且图像采集后需要 （ 作为关键身份认证信息进行落地存储。 （2）通过在出纳办公PC机位置部署人脸识别终端设备，支持离线SDK人脸识别。 （3）出纳在结算支付的时候，系统通过人脸识别终端设备进行人脸识别和活体验证，进行人脸首次验证，通过后，人 脸特征通过CA数字签名与其它关键业务信息一起加密存储。 （4）支付管理服务器在发送支付指令的时候，通过机房特定主机部署离线SDK，服务端校验解密后的图像与当前人员留 底图像保持完全一致，完成二次验证。 33 数数字字签签名名 数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串，作为一种较为 全的身份认证方式，目前被普遍 使用于关键信息化系统，比如银行的支付U盾。 M集团的数字签名也是采用实体U盾，证书存储在U盾硬件中，在共享出纳提交支付的时候完成身份认证，并对关键业务 数据进行签名加密。 （1）系统完成数字签名相关的硬件部署，其中签名验签服务器部署在财务公司网络 （假设财务共享不可信任）。通过 企业内部的U盾申请，完成U盾的采购和CA证书 装，并下放到具体共享出纳手中。 （2）共享出纳在支付的时候，需要通过USB接口插入U盾，通过支付操作输入U盾Pin码，客户端 自动根据U盾中的用户证 书进行签名，系统发送给签名验签服务器，完成对用户身份进行验证。 （3）将带个人签名支付报文由财务共享系统服务器端发送到支付管理服务器端，支付管理服务器再次将个人签名的报 文发送给签名验签服务器完成二次验签，以防财务共享端到支付管理服务器过程中被篡改。 （4）个人签名验签成功后，将支付报文发送到本端NSAE—B设备上请求企业签名，并将带有企业签名的支付报文发送到 财务公司端签名验签服务器进行验签，此步主要 目的验证企业端签名的有效性。 44 内内外外网网隔隔离离 考虑到移动端的便捷性，越来越多的产品都支持手机APP进行业务处理，而企业办公都是在企业内网中进行，而 手机APP是通过互联网进行访问，互联网的介入会到系统的 全带来新的挑战，因此应在架构部署上增加网络 全相关的考 虑，尤其是涉及资金支付、财务管理等关键业务系统。针对这种问题，一般都是通过内外网隔离的手段进行 全加固，避免 互联网访问导致的