0 引言

隨著國庫集中支付制度改革的深入，納入國庫集中支付的預(yù)算單位和財(cái)政資金也快速增長，對財(cái)政資金支付的安全性及效率要求越來越高。而現(xiàn)有國庫集中支付管理制度和信息化方面存在一些缺陷和不足，主要表現(xiàn)在各級財(cái)政、人民銀行、代理銀行及預(yù)算單位間的資金支付和賬務(wù)處理環(huán)節(jié)，主要是采用人工每日傳遞紙質(zhì)憑證和電子文件的管理模式，造成財(cái)政資金支付效率較低。同時(shí)系統(tǒng)關(guān)鍵崗位缺少防抵賴、防泄漏技術(shù)等安全措施，給資金支付造成了安全隱患。因此，利用信息安全技術(shù)手段，推進(jìn)財(cái)政與銀行、預(yù)算單位間支付與信息交換的網(wǎng)絡(luò)化、電子化和無紙化管理，成為各級財(cái)政信息化建設(shè)的當(dāng)務(wù)之急。

1 信息安全技術(shù)

1.1 電子憑證庫

電子憑證庫可形象描述為現(xiàn)實(shí)中存放文件的“鐵皮柜”，是整個(gè)集成框架的核心部分。電子憑證庫功能主要包含憑證版本、分類、收發(fā)、作廢及恢復(fù)、查詢、憑證打印等管理內(nèi)容，同時(shí)，電子憑證庫還包含相關(guān)權(quán)限管理、信息審計(jì)、差錯(cuò)處理等基礎(chǔ)性管理功能。

1.2 電子印章系統(tǒng)

電子印章系統(tǒng)可形象描述為現(xiàn)實(shí)中存放大紅印章的保險(xiǎn)柜。其功能包括公章管理、私章管理及印章備案管理。實(shí)現(xiàn)上，.采用電子印章技術(shù)，將印章持有人的電子簽名認(rèn)證證書與其管理的實(shí)物印章圖像有效綁定，可支持電子印章的制作、發(fā)放、掛失和更換等處理，可按照國家安全部門認(rèn)可的控制規(guī)范進(jìn)行蓋章、驗(yàn)章等操作。

1.3 身份認(rèn)證

身份認(rèn)證是指在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中確認(rèn)操作者身份的過程。其任務(wù)是識別網(wǎng)絡(luò)信息系統(tǒng)中用戶的合法性和真實(shí)性，按授權(quán)訪問系統(tǒng)資源，并將非法訪問者拒之門外。常用的認(rèn)證方法有PKI、靜態(tài)口令、動(dòng)態(tài)口令、生物特征等。

1.4 SSL協(xié)議

SSL協(xié)議是套接層協(xié)議，它是為保障在Interact上基于Web通信的安全而提供的協(xié)議。它提供加密和認(rèn)證兩種安全服務(wù)。

2 信息安全技術(shù)應(yīng)用

2.1 應(yīng)用思路

國庫集中支付電子化（以下簡稱支付電子化）管理改革，是利用信息安全技術(shù)，取消紙質(zhì)憑證和單據(jù)流轉(zhuǎn)，在財(cái)政、人行、代理銀行三方對等部署電子憑證庫，基于利用國家認(rèn)可的電子簽名技術(shù)，實(shí)現(xiàn)國庫資金支付管理全流程的實(shí)名認(rèn)證、不可抵賴、不被篡改以及數(shù)據(jù)加密傳輸?shù)陌踩珯C(jī)理，發(fā)出電子指令辦理財(cái)政資金支付及清算等業(yè)務(wù)，實(shí)現(xiàn)財(cái)政、預(yù)算單位、人民、代理銀行四方間財(cái)政資金安全、高效運(yùn)行的管理模式。

2.2 總體框架

財(cái)政國庫集中支付電子化安全支撐體系總體結(jié)構(gòu)如下：

財(cái)政支付電子化安全支撐體系主要由電子憑證庫、安全軟件基礎(chǔ)設(shè)施、安全硬件基礎(chǔ)設(shè)施、管理制度和業(yè)務(wù)規(guī)范及開發(fā)手冊和技術(shù)規(guī)范等五個(gè)部分構(gòu)成。其中，電子憑證庫是安全支撐體系的核心，系統(tǒng)功能如下：

（1）電子憑證庫。包括電子憑證庫管理、消息中間件、安全支撐接口三大部分。消息中間件支持電子憑證信息的可靠傳輸，與憑證庫憑證收發(fā)管理協(xié)同，做好電子憑證的發(fā)送接收相關(guān)工作。安全支撐接口主要包括軟硬件兼容接口及電子憑證庫服務(wù)接口，國庫支付系統(tǒng)及銀行系統(tǒng)基于此接口規(guī)范進(jìn)行改造開發(fā)，滿足資金安全電子支付的需要。

圖1 財(cái)政國庫集中支付電子化安全支撐體系總體結(jié)構(gòu)

（2）安全軟件基礎(chǔ)設(shè)施。包括身份認(rèn)證系統(tǒng)、電子印章系統(tǒng)兩個(gè)部分。電子印章系統(tǒng)實(shí)現(xiàn)了電子世界的數(shù)字簽名和物理世界的印章之間的對應(yīng)處理。電子憑證庫可通過標(biāo)準(zhǔn)化接口調(diào)用電子印章管理相關(guān)功能實(shí)現(xiàn)對電子憑證的驗(yàn)章、蓋章等處理。通過與財(cái)政部認(rèn)可的身份認(rèn)證服務(wù)器進(jìn)行銜接，完成數(shù)字證書鑒別的功能。

（3）安全硬件基礎(chǔ)設(shè)施。包括簽名服務(wù)器、USBKEY等PKI/CA基礎(chǔ)設(shè)施。簽名服務(wù)器提供在各類服務(wù)器上進(jìn)行高速、并行處理的RSA或ECC加密算法運(yùn)算以滿足系統(tǒng)證書管理和應(yīng)用數(shù)據(jù)的簽名驗(yàn)證、加密解密的服務(wù)要求。通訊加密設(shè)備保護(hù)內(nèi)部網(wǎng)絡(luò)服務(wù)器上的信息?；赟SL安全套接協(xié)議，充分支持基于TCP等應(yīng)用協(xié)議和客戶服務(wù)軟件，用于預(yù)算單位與系統(tǒng)服務(wù)器的數(shù)據(jù)安全傳輸。USBKey用于存放CA數(shù)字證書和電子印章等。

2.3 部署架構(gòu)

支付電子化管理系統(tǒng)部署由于涉及財(cái)政、人民、代理銀行三方，因此遵循安全、高效、可靠的原則，要求財(cái)政的支付電子化安全體系部署在財(cái)政業(yè)務(wù)專網(wǎng)上，財(cái)政與人民、商業(yè)銀行進(jìn)行系統(tǒng)聯(lián)接時(shí)，遵循對等互聯(lián)的原則，即各方都部署相同的陣形，用消息中間件作為先鋒，后接電子憑證庫，電子憑證庫作為樞鈕，其余各設(shè)備都與電子憑證庫連接，業(yè)務(wù)系統(tǒng)居于后方。以消息中間件和電子憑證庫為邊界，責(zé)、權(quán)、利清晰，便于分清責(zé)任，查找問題原因，同時(shí)確保效率最高。

支付電子化管理系統(tǒng)部署如下圖：

圖2 支付電子化管理系統(tǒng)部署架構(gòu)

3 應(yīng)用成果

支付電子化管理是是信息安全技術(shù)在國庫集中支付中應(yīng)用的產(chǎn)物，其主要價(jià)值主要體現(xiàn)在以下幾個(gè)方面：首先，提升財(cái)政資金安全管理。實(shí)行支付電子化，在技術(shù)上引入安全支撐控件，從根本上實(shí)現(xiàn)數(shù)據(jù)的唯一性、完整性、防抵賴和防篡改。大量工作由計(jì)算機(jī)完成，減少人工干預(yù)，降低故意違規(guī)的風(fēng)險(xiǎn)。第二，提高資金使用效率、厲行節(jié)約。支付電子化取消紙質(zhì)憑證流轉(zhuǎn)，不再人工跑單；加蓋電子印章，不再人工簽章；實(shí)行電子校驗(yàn)，不再人工核對；通過自動(dòng)對賬，及時(shí)發(fā)現(xiàn)問題。在保障安全的同時(shí)，大幅提高工作效率和服務(wù)能力、降低行政成本，具有明顯的經(jīng)濟(jì)效益和社會(huì)效益。第三，深化國庫管理制度改革，提升財(cái)政信息化管理水平。支付電子化，最大程度上實(shí)現(xiàn)從人工核對到計(jì)算機(jī)自動(dòng)控制的轉(zhuǎn)變；有效消除財(cái)政、人行、代理銀行間信息不對稱的現(xiàn)象，加強(qiáng)財(cái)政財(cái)務(wù)監(jiān)管；從根本上解決基層銀行網(wǎng)點(diǎn)不足、清算時(shí)間過早等制約鄉(xiāng)鎮(zhèn)國庫改革的瓶頸。

4 結(jié)論

通過以電子憑證庫為核心，建立財(cái)政國庫支付電子化安全體系，使用全流程電子憑證單據(jù)管理，改變現(xiàn)有紙制憑證單據(jù)，實(shí)現(xiàn)財(cái)政與人民銀行、代理銀行系統(tǒng)間進(jìn)行電子憑證數(shù)據(jù)的安全傳輸，從而更好地提升工作效率、減少行政運(yùn)行成本、提高資金管理安全。