[提要] 资金在企业生产运营中具有重要地位,企业资金管理不善会使企业面临较大的财务风险,严重制约企业发展。中国电财基于电网企业资金管理平台功能定位,积极化解资金管控风险,通过设计实施银财数据接口,应用数字证书等网络安全技术,建成安全的银企数据通道,实现对电力公司在商业银行开立账户资金的全面监控,为电力公司优化资金配置、提高资金管理工作效率和创效能力提供金融科技助力。
关键词:资金监控;商业银行;网络安全;数据接口
中图分类号:F27 文献标识码:A
收录日期:2022年11月7日
引言
当前,地方商业银行在服务地方经济发展、服务民营企业和广大居民用电方面发挥重要作用,大量电力用户通过商业银行缴纳电费。而此类金融机构分布广泛且数字化水平参差不齐,缺乏集中统一、高效安全的资金管理措施,无法形成资金流动相关联的完整信息,导致资金信息传递渠道不畅,既不能为资金管理决策提供有效信息,也不能有效地防范企业资金风险。在“购售同期”约束前提下,电力公司只有实时掌握海量电力用户的电费交纳情况,才能及时向上游电厂和供应商支付购电费和货款,这就要求必须精准、实时掌握公司各账户收支余情况,满足资金灵活调动、最小化融资的需要。资金监控效率同样决定着电力公司是采用资金调拨还是采用融资来保证资金对外支付,进而影响公司的整体经济效益。
为了方便各级电力公司及时掌握外部资金动态,财务公司选取在当地影响力较大的陕西省某商业银行、宁夏某商业银行开展地方银行资金监控试点,实施快速可复制方案,破解资金实时监控难题,满足资金监控、资金灵活调动、最小化融资的需要,进而提升公司的整体经济效益。
一、现状分析
实现地方商业银行资金监控对于提升电网公司服务能力、构建多维精益管理体系至关重要。但实施过程中既包括地方性商业银行分散带来的管理风险,又包括网络结构错综复杂产生的技术难度,还对数据安全性、时效性等有较高要求。
(一)地方商业银行规范化程度低,管理风险大。地方商业银行主要分布在各省,为区域经济发展提供金融服务保障。对于国家电网公司来说,则相对较为分散,缺乏集中统一、高效安全的资金管理手段,无法形成资金流动相关联的完整信息,不能及时有效地对资金流动反馈信息,导致资金信息传递渠道不畅,既不能为资金管理决策提供有效信息,也不能有效地防范企业资金风险。如果不进行集中化资金管理,将可能无法对企业众多银行账户资金进行实质性控制,也将会出现资金调度不畅通、资金使用效率不高等问题,当然也就谈不上进行有效的整体资源整合了。
(二)数据传输距离长,网络结构复杂。地方性商业银行依赖中国电财分支机构当地接入,存在传输距离长、网络结构复杂等问题。此外,地方性商业银行缺乏银企直连经验,尚未形成较为成熟的技术方案。因此,需要中国电财提供专业化、智能化的技术服务支持,满足数据包的完整性要求。地方性商业银行接入网络,衔接银行网络和国家电网公司内网,因此要设计科学的网络结构、清晰的安全边界,以便于后期运行维护。
(三)对数据时效性、准确性、安全性要求高。过去,在未实现网络直联的条件下,需要人工登录银行网银查询账户余额、明细等信息,数据的时效性、准确性难以满足财务需要;而且银行账户数据属于企业商业机密,无论是企业财务决策中产生的财务风险,还是来自资金操作过程中产生的道德风险,都需要数字化手段来加以防范。因此,实现地方商业银行直连,通过数字科学技术,保障数据传输过程中的安全性、一致性和时效性,同时要防范数据泄密风险。
(四)地方商业银行金融数字化水平参差不齐。从当前绝大部分地方商业银行规模、经营范围和技术能力来看,由于服务对象和区域发展水平限制,在数字技术应用的标准化和专业化方面存在较大差异,难以与国有股份制银行相提并论,为资金监控的实施带来一定挑战。
二、研究摸底
通过对电力公司和银行进行调研,摸底业务需求。为了精准实现电力公司资金监控需求,比照银行网银实现功能,进一步明确账户管理和账户收支数据需求。银行账户业务信息主要包括电力公司各单位银行账户的开立、变更、撤销信息以及银行账户基本信息。反映账户收支业务的有账户的余额和交易明细数据,包括账户资金变动信息、账户资金余额、资金流动信息业务。通过线上方式定时获取业务数据,可以满足电力公司银行账户信息集中管理、备案登记和资金监控的基本需求。
(一)设计和部署银行间数据接口,实现银行账户集中管理需求和交易数据查询业务需求。基于对单位时间内系统间数据交换次数和流量控制的考虑,设计实施异步处理机制,实现通过数据接口访问商业银行企业网银系统,获取账户基本信息和交易数据信息。
(二)设计指令打包调度机制,科学分配接口资源。基于电力公司查询业务的并发需求,设计指令汇总、分配和执行等基本服务,分别实现指令整理打包和标记、指令执行控制和银行接口通讯,保证信息查询的实效性、准确性。
(三)实施账户分级配置策略,有效提升查询应用命中率。围绕业务功能需求,将账户划分为一般账户、高优先级账户和重要账户三类,基于账户重要性和活跃度分类,结合业务变动情况提升或降低查询优先级和频率,实现账户分级管理,有效提升查询应用命中率。
(四)设计更安全的网络安全技术框架。设计安全接入区域,配置网络隔离和访问控制策略,建立结构清晰的网络边界,搭建起财务公司分支机构与地方商业银行之间互联互通的安全网络结构。在数据传输方面综合应用国密非对称数据加密算法,实现网络专线通道加解密、身份认证、数字签名唯一性、合法性和安全性。
三、实施策略
(一)数据接口处理过程说明。财务公司与商业银行协调制定数据传输格式,统一数据交互规范,目前数据格式主要采用XML封装,通过http或socket通信传输数据,请求方式分别通过HttpClient及Scoket客户端类。对于查询业务请求,数据接口使用批量更新机制,一次对全量账户的余额、明细生成查询指令,银行逐笔返回结果,接口将结果信息更新进账户余额表及账户明细表。设计任务调度机制,任务创建模块负责创建账户查询相关任务,将指令表的指令整理打包成任务,分配任务ID,任务执行模块采用短线程模式,给每个任务创建一个线程并执行此任务。
通过银行执行类获取系统内存储的银行IP地址、端口信息,如果使用http方式,则将访问URL定义为http://ip:port/server,如果使用socket方式,则记录此时的IP地址及端口。
通过银行工具类封装需要向银行发送的请求数据,数据组装格式为XML。
根据银行IP地址、端口建立连接,如果使用http方式,则使用HttpClient方式建立连接,并完成握手操作,如果使用socket方式,则使用new Socket(IP,PORT)方式建立socket连接。向银行发送数据,如果使用http方式,则直接通过POST方式直接将XML数据串发送至银行,如果使用socket方式,则将XML数据串转换为输出流后发送至银行。等待银行响应,银行返回响应信息后,将响应信息存储至系统内存中。解析银行响应数据并判断数据是否正确,对包状态进行判断。如果包状态异常,则自动进行原包重发,如果超过自动重发次数,则认为此次交易请求失败,交易结果不可知。如果包状态正常,则进行业务状态判断,根据业务状态值确定交易执行结果,并结束交易流程。(图1)
(二)任务处理机制实现过程说明。按银行在线程池定义查询业务的线程。根据已定义的活动定时轮询指令表,对新接入的指令生成唯一的任务ID写入指令记录的指定列,每完成一次轮询操作休眠1秒钟,之后往复轮询活动。
任务调度与安全网关逻辑分组一一对应,在相应字段写进时间戳。任务回收由时间控制,当安全网关产生队列超过任务等待时间时,任务分配服务负责将任务从执行队列中回收,重新写入队列,变更时间戳记录。
任务中心定时抓取一定数量的指令,更新指令状态,同时标记为待执行的任务,交由任务服务器从数据库中遍历等待执行的任务。任务执行服务根据任务ID将指令从指令表中取出,根据银行接口报文格式,封装报文并提交加密机进一步处理。
(三)满足数据传输安全性需求的接入区域设计。规划第三方专线接入,满足与地方商业银行连通要求。在防火墙上划分信任区域与安全服务器连接,划分非信任区域与边界路由器连接,划分DMZ区域连接安全服务器接入交换机,在防火墙上配置网络隔离和访问控制策略。
规划第三方专线区,为了保证信息传送的安全性,和银行网银系统互联的通讯网络边界处处加载防火墙和用于数据加密和身份认证的安全网关设备,在银行系统的入口处同样加载防火墙和用于数据加密的安全网关设备,以保证只有财务公司才能向银行系统发起相关业务的通讯请求,并保证传送的数据不被窃取。
加密网关启用国密数字加密技术,SM2是非对称加密算法,是一种椭圆曲线算法,在我国商用密码体系中被用来替换RSA算法。提供数字证书加签、解签服务,利用非对称密码算法,实现身份的唯一性、合法性和网络专线通道加密等功能。
(四)实施横向到边、纵向到点的安全策略。路由器NAT地址映射。在财务公司分支机构网络边界路由器上做NAT地址转换,通过地址映射,隐藏真实IP地址,防止服务器端口对外暴露,增强第三方边界网络安全。
服务器和终端装防病毒软件,重点阻断病毒木马传播。依据“最小特权”的原则对系统管理员的特权进行分化。定期进行设备巡检,检测安全健康状态,监测资源消耗情况。设置安全事件审计,记录系统和用户活动信息,及时发现异常行为和攻击。
四、测试工作
通过对性能和功能性进行测试,检验数据接口的健壮性和设计符合度。整个测试工作包括四个阶段:第一阶段制定测试方案、规范,并实施评审;第二阶段搭建测试环境实施测试;第三阶段对测试结果进行评估,存在偏差部分进行重新测试,测试结果认定无误后,形成缺陷报告;第四阶段项目组根据缺陷报告进行整改,完成后组织复测。
功能测试围绕账户业务、查询业务制作典型用例,测试接口功能是否达到设计要求、数据传输中是否存在丢失或损坏情况、特殊字符处理及其他异常处理机制有效性等内容。功能测试采取黑盒测试法,考虑到数据接口的特征,选取边界值分析法针对设计的输出结果进行测试。测试范围覆盖包括账户业务、查询业务。测试循序典型性原则和全面性原则。
性能测试主要关注业务剧烈变化对系统后台的影响,针对查询业务制定一定业务规模的测试脚本实施压力测试,通过运行脚本观察各应用服务器和数据库服务器的响应时间变化、CPU占用等。进一步,对系统进行较长时间的高负荷测试,观察记录WEB服务垃圾回收、数据库服务器I/O及事物锁对平台运行的影响。
五、应用实践
公司于2021年下半年启动陕西某商业银行直连实施工作,2022年3月份按照网络安全工作标准完成接入实施工作,实现陕西电力公司对某商业银行账户的实时监控,满足资金管理工作需要;于2021年上半年启动宁夏某银行直连实施工作,于2021年12月份完成接入实施工作,实现宁夏电力公司对某商业银行账户的实时监控,增强对银行账户资金的管理力度。
从今后的发展来看,系统设计还存在改进、完善之处,一是批量机制存在单笔指令异常迟滞和整包指令处理效率的风险,需要进一步研究完善;二是异步机制的相关策略应合理控制,提高接口整体时效性;三是任务执行技术方案应根据实际需要持续精简优化。进一步,当系统负载逐步提高时,可采用“读写分离”
“缓存数据库”等技术手段,提高数据接口的并发处理能力。总之,建设和完善系统需要不断与时俱进、开拓创新,实现业务应用的最大效能。
综上,财务公司服务集团开展外部资金监控的研究实践工作,以数字化手段为用电企业、商业银行、电力公司建起高效、畅通、安全的服务桥梁,既能满足电力公司对商业银行账户的实时监控,又能帮助电力公司实现电费智能回收,在功能性、技术性、安全性方面均能满足用户需求,形成了快速可复制的推广应用范式,支持各地区借鉴应用,为电力公司优化资金配置、支持实体经济发展提供坚实的金融科技服务保障。
(作者单位:1.中国电力财务有限公司西北分公司;2.国网汇通金财(北京)信息科技有限公司)
主要参考文献:
[1]王晓雨.计算机与网络的信息安全技术分析[J].集成电路应用,2022(03).
[2]董广民.信息加密技术在计算机网络安全中的应用[J].科技创新与应用,2019(32).
[3]王昕平,赵姝,张凤林.人民银行网络安全框架构建研究[J].华北金融,2020(09).
[4]朱琳.企业集团财务公司流动性风险管理探究[J].科技经济市场,2022(01).
[5]刘盛,刘韵强,邓祖群.电网企业资金集约化管控[J].中国电力企业管理,2013(07).
|
