信息安全技術在國庫集中支付電子化中的應用

0 引言

隨著國庫集中支付制度改革的深入，納入國庫集中支付的預算單位和財政資金也快速增長，對財政資金支付的安全性及效率要求越來越高。而現有國庫集中支付管理制度和信息化方面存在一些缺陷和不足，主要表現在各級財政、人民銀行、代理銀行及預算單位間的資金支付和賬務處理環節，主要是采用人工每日傳遞紙質憑證和電子文件的管理模式，造成財政資金支付效率較低。同時系統關鍵崗位缺少防抵賴、防泄漏技術等安全措施，給資金支付造成了安全隱患。因此，利用信息安全技術手段，推進財政與銀行、預算單位間支付與信息交換的網絡化、電子化和無紙化管理，成為各級財政信息化建設的當務之急。

1 信息安全技術

1.1 電子憑證庫

電子憑證庫可形象描述為現實中存放文件的“鐵皮柜”，是整個集成框架的核心部分。電子憑證庫功能主要包含憑證版本、分類、收發、作廢及恢復、查詢、憑證打印等管理內容，同時，電子憑證庫還包含相關權限管理、信息審計、差錯處理等基礎性管理功能。

1.2 電子印章系統

電子印章系統可形象描述為現實中存放大紅印章的保險柜。其功能包括公章管理、私章管理及印章備案管理。實現上，.采用電子印章技術，將印章持有人的電子簽名認證證書與其管理的實物印章圖像有效綁定，可支持電子印章的制作、發放、掛失和更換等處理，可按照國家安全部門認可的控制規范進行蓋章、驗章等操作。

1.3 身份認證

身份認證是指在計算機網絡系統中確認操作者身份的過程。其任務是識別網絡信息系統中用戶的合法性和真實性，按授權訪問系統資源，并將非法訪問者拒之門外。常用的認證方法有PKI、靜態口令、動態口令、生物特征等。

1.4 SSL協議

SSL協議是套接層協議，它是為保障在Interact上基于Web通信的安全而提供的協議。它提供加密和認證兩種安全服務。

2 信息安全技術應用

2.1 應用思路

國庫集中支付電子化（以下簡稱支付電子化）管理改革，是利用信息安全技術，取消紙質憑證和單據流轉，在財政、人行、代理銀行三方對等部署電子憑證庫，基于利用國家認可的電子簽名技術，實現國庫資金支付管理全流程的實名認證、不可抵賴、不被篡改以及數據加密傳輸的安全機理，發出電子指令辦理財政資金支付及清算等業務，實現財政、預算單位、人民、代理銀行四方間財政資金安全、高效運行的管理模式。

2.2 總體框架

財政國庫集中支付電子化安全支撐體系總體結構如下：

財政支付電子化安全支撐體系主要由電子憑證庫、安全軟件基礎設施、安全硬件基礎設施、管理制度和業務規范及開發手冊和技術規范等五個部分構成。其中，電子憑證庫是安全支撐體系的核心，系統功能如下：

（1）電子憑證庫。包括電子憑證庫管理、消息中間件、安全支撐接口三大部分。消息中間件支持電子憑證信息的可靠傳輸，與憑證庫憑證收發管理協同，做好電子憑證的發送接收相關工作。安全支撐接口主要包括軟硬件兼容接口及電子憑證庫服務接口，國庫支付系統及銀行系統基于此接口規范進行改造開發，滿足資金安全電子支付的需要。

圖1 財政國庫集中支付電子化安全支撐體系總體結構

（2）安全軟件基礎設施。包括身份認證系統、電子印章系統兩個部分。電子印章系統實現了電子世界的數字簽名和物理世界的印章之間的對應處理。電子憑證庫可通過標準化接口調用電子印章管理相關功能實現對電子憑證的驗章、蓋章等處理。通過與財政部認可的身份認證服務器進行銜接，完成數字證書鑒別的功能。

（3）安全硬件基礎設施。包括簽名服務器、USBKEY等PKI/CA基礎設施。簽名服務器提供在各類服務器上進行高速、并行處理的RSA或ECC加密算法運算以滿足系統證書管理和應用數據的簽名驗證、加密解密的服務要求。通訊加密設備保護內部網絡服務器上的信息。基于SSL安全套接協議，充分支持基于TCP等應用協議和客戶服務軟件，用于預算單位與系統服務器的數據安全傳輸。USBKey用于存放CA數字證書和電子印章等。

2.3 部署架構

支付電子化管理系統部署由于涉及財政、人民、代理銀行三方，因此遵循安全、高效、可靠的原則，要求財政的支付電子化安全體系部署在財政業務專網上，財政與人民、商業銀行進行系統聯接時，遵循對等互聯的原則，即各方都部署相同的陣形，用消息中間件作為先鋒，后接電子憑證庫，電子憑證庫作為樞鈕，其余各設備都與電子憑證庫連接，業務系統居于后方。以消息中間件和電子憑證庫為邊界，責、權、利清晰，便于分清責任，查找問題原因，同時確保效率最高。

支付電子化管理系統部署如下圖：

圖2 支付電子化管理系統部署架構

3 應用成果

支付電子化管理是是信息安全技術在國庫集中支付中應用的產物，其主要價值主要體現在以下幾個方面：首先，提升財政資金安全管理。實行支付電子化，在技術上引入安全支撐控件，從根本上實現數據的唯一性、完整性、防抵賴和防篡改。大量工作由計算機完成，減少人工干預，降低故意違規的風險。第二，提高資金使用效率、厲行節約。支付電子化取消紙質憑證流轉，不再人工跑單；加蓋電子印章，不再人工簽章；實行電子校驗，不再人工核對；通過自動對賬，及時發現問題。在保障安全的同時，大幅提高工作效率和服務能力、降低行政成本，具有明顯的經濟效益和社會效益。第三，深化國庫管理制度改革，提升財政信息化管理水平。支付電子化，最大程度上實現從人工核對到計算機自動控制的轉變；有效消除財政、人行、代理銀行間信息不對稱的現象，加強財政財務監管；從根本上解決基層銀行網點不足、清算時間過早等制約鄉鎮國庫改革的瓶頸。

4 結論

通過以電子憑證庫為核心，建立財政國庫支付電子化安全體系，使用全流程電子憑證單據管理，改變現有紙制憑證單據，實現財政與人民銀行、代理銀行系統間進行電子憑證數據的安全傳輸，從而更好地提升工作效率、減少行政運行成本、提高資金管理安全。