作为网络银行客户数字证书的载体,USB Key在网络银行中应用非常广泛。通常个人或企业用户在登陆网络银行时,都要求使用基于USB Key的硬件证书进行认证,极大地提高了在线支付的安全性。然而,对于支付宝这样一个第三方支付平台来讲,每天都要应付来自几十家银行的几百个USB K
打造值得信任的资金结算平台——支付宝IT创新的价值
文章源自:《中国信息化》12月5日刊 作者:刘晓芳
作为网络银行客户数字证书的载体,USB Key在网络银行中应用非常广泛。通常个人或企业用户在登陆网络银行时,都要求使用基于USB Key的硬件证书进行认证,极大地提高了在线支付的安全性。然而,对于支付宝这样一个第三方支付平台来讲,每天都要应付来自几十家银行的几百个USB Key操作,却为后台管理工作大大地增加了难度。
惠普CCI(Consolidate Client Infrastructure刀片PC解决方案)创造性地解决了这个问题。
完善资金管理
作为国内领先的独立第三方支付平台,支付宝实际上就是一个结算中转平台,主要为用户提供网上资金转账服务。
通常阿里巴巴或者淘宝网的用户在进行网上交易的时候,支付银行的到账时间会比线上交易确认操作时间滞后,在这中间过程中,实际是由支付宝向网络银行预付款。而负责这种结算的中转和管理便是支付宝资金管理部的工作。
支付宝资金管理部经理Brenda为记者作了更详细的介绍,她表示资金管理部主要承担日常与银行对接的资金管理,负责与银行收、付、退款的网上处理,或者与银行核对用户应收款项的到账情况。在与银行的合作中,资金管理部的操作员主要利用各家银行提供的企业网络银行系统进行交易,而难点也正是出现在这里。
目前支付宝合作的网络银行有70-80家,而每家网银针对不同的交易业务(如人民币交易、外汇交易、企业交易、个人交易、中小企业交易等)设有几十个不同的USB Key用于身份认证,支付宝现在使用到的USB Key数量达到300余个。每位操作人员需要操作不同的网络银行,这意味着每位操作员的电脑上需要安装几十多家银行的USB Key的驱动程序,才能使用各家网银系统进行安全的资金交易。
“由于交易的银行众多,每家银行的网络证书驱动程序对系统的资源占用方法不同,在同一电脑上同时安装会产生必然的系统冲突,这些冲突重则会使网银系统无法工作,则会降低操作员的工作效率”,对此,Brenda深有体会。她说,一旦某一网银出现驱动的冲突,工作就无法进行,于是只好向IT部门求助,请求排错。
此外,如何加强对员工的操作管控,也亟需进一步完善和改进。截至2009年7月,支付宝每日的资金交易额度已经达到人民币7亿元,“如此巨大的资金流需要更好地对员工行为进行规范,防范危险操作行为。我们希望能够对操作员的数据和操作进行集中管理和实时管控”,这也是Brenda在不断优化内部管理和监管工作中的一个重要目标。
针对这样两种需求,在经过资金管理部内部详细商讨之后,大约在今年年初的时候,Brenda把相关信息化建设项目的申请递到了支付宝的IT部门。
桌面后移,集中管理
其实,在与资金管理部日常的运维和合作过程中,支付宝IT部门系统管理专家Hot Xin对于Brenda及其资金管理部同事们的困扰早就感同身受了。他本人也没少充当救火队员为他们做排错的工作。
“各家银行的驱动程序由于没有标准,实现方法各异,经常会相互冲突,比如某两家银行网银驱动程序同时安装在一台电脑,就会导致键盘无法输入密码,或者性能下降到用户无法接受”,Hot Xin也早就认定了这是IT部门重点要解决的问题。
来自资金管理部的申请最先是被递到了IT部门经理Tim的办公桌上,从他的角度看,“安全”正是今年公司的IT工作重点,所以很快启动了该项目方案的建设任务。
经过多方调研与商讨,最后,Tim带领的IT部门对资金管理部需求进行了总结,得出三大建设目标:改变资金部门之前操作电脑分散管理模式,转变为集中管理和集中交易,保证交易的安全性和高效;通过对网络操作实施监控和录制,加强对资金管理操作的监控;进一步完善网银密钥管理。
在确定了对USB Key驱动程序集中管理的思路后,支付宝IT部门就开始和多家服务供应商接触。在选择供应商的过程中,最核心的环节是必须解决USB Key远程计算模式的应用问题——USB Key需要映射到刀片PC而不是本机,否则USB Key在操作员插入接口后无法被识别。
经过大约三个月的考察,IT部决定采用惠普CCI解决方案,并特别选用方案中的RGS(Remote Graphics Software远程图控软件)用于远程计算——相比其他的远程计算解决方案,RGS在解决基于网银的USB Key由客户端向刀片PC的映射问题中,优势明显。
据Hot Xin介绍,RGS是惠普自主研发的远程计算软件,采用远程虚拟显卡的技术实现远程桌面的操作。市面上流行的RDP、ICA等远程计算软件,目前都无法实现基于网银结构的USB Key的远程映射,而RGS可以顺利实现这一点。
更为关键的是,惠普CCI方案由于其三层网络架构的特殊架构,具有很高的安全性,并可实现集中管理。三层网络架构包括:访问层,员工可以通过该层PC进行数据的输入和输出;计算层,数据的计算统一在这一层的刀片PC上进行;资源应用层,业务资料统一存储在后端服务器上,用户通过密码才能访问业务数据,可以有效防止数据通过访问端泄露。支付宝采用惠普CCI方案组建了资金管理部的业务网络,与普通员工的办公网络隔离,交易数据只在业务网络中流动,有效防止资料被外网窃取的风险。同时,通过CCI解决方案中的强大的Symantec Altiris管理软件,可以实现集中的部署、集中优化、集中控制,提升了IT管理效率。
最终,IT部门把整个方案(包括建议、预算、计划等)提交到了公司决策层,经讨论通过后,资金管理部的惠普CCI方案被列为今年年度重点工程之一。
风险控制,业务延续
管理集中在带来管理效率的提升的同时也可能带来风险集中的问题。
为了防范风险,在惠普的帮助下,支付宝IT部门还制定了业务持续进行计划(Business Consistent Plan)和严密的风险控制流程。首先,从业务操作上对相关的操作设置权限,防止误操作的发生。比如,对外邮件和交易操作都更受到更加严密的监管;电脑的操作权限也更明确,再如内部访问地址分为“黑名单”(禁止访问有安全风险的网站)、“白名单”(安全的内部网络、业务处理网络银行等),可有效防范信息泄密和病毒风险等。
Tim表示,IT部门与第三方安全软件公司基于惠普的CCI方案中的远程计算软件——RGS和RDP(Remote Desktop Protocol远程桌面协议)开发一套强大的行为审计系统。无须安装任何客户端软件,审计人员就能通过管理台进行实时录屏监控,且历史录屏资料也自动按时间和用户分类,便于风险预警和后期查找。
通过近半年的考察和研究,支付宝通过惠普的CCI方案解决了资金管理部提出的安全、业务连续、网银效率和风险防控的问题。资金管理部的Brenda称这一次改造“非常成功,很好地解决了资金管理的问题,降低了管理的压力,提升了客户体验,也让部门员工的工作效率得到了提升。”从用户的角度来看,支付宝通过IT创新实践真正履行了“让信任简单起来”的用户承诺,以更安全有效的技术保障信息安全,使用户成为支付宝IT再造的最终获益者。
关于惠普
惠普公司(HP)致力于激发科技的无限潜能,为个人、企业及社会创造积极影响。作为全球最大的信息技术公司之一,惠普产品涵盖了打印成像、个人计算、软件、服务和IT基础设施等领域,并以全面的产品组合更有效地服务客户。关于惠普 (HP, NYSE: HPQ) 的更多信息,请访问http://www.hp.com.cn。
网友评论