物理隔离网络中的金融POS支付服务

　　一、常见网络隔离方式。

　　开发金融服务与电子政务共同相关的民生结算服务，必须安全、科学地利用网络隔离环境，并解决隔离环境中的金融服务问题。网络隔离属于网络安全问题，分别在网络的不同功能层或协议层上实现。常见的网络隔离方法有逻辑隔离、物理隔离和协议隔离等。本文主要介绍在物理隔离网络中的金融POS支付服务。

　　二、出入境申办服务压力。

　　国以民为本，民以生为先。宁夏银行长期以来关注民生需求，助推民生建设，采取多种措施开创金融服务深入民生服务，在支持重点民生建设、服务小微、促进就业创业、助推教育事业等领域不断投入资金，提供多方位金融服务。近期宁夏银行成功实现了内外网物理隔离环境中的金融POS支付服务功能，解决了困扰公安厅、财政厅受理居民申办出入境证照的财政收费管理的难题，进一步拓展完善了金融服务民生内容。

　　在公安厅出入境电子政务系统未与金融POS支付系统对接前存在以下困难：

　　（一）公安机关、财政业务系统各自分离，无法实时传递出入境申办信息，收费核查审计、管理统计困难。

　　（二）居民申办出入境时，需在公安、财政、银行之间数次往返奔波、排队等候，办证手续和模式冗长、繁琐低效。

　　（三）出入境申办手续费由多家银行代理收费，然后再向财政归集，归集周期长，人工对帐困难，不便于统一管理。

　　近年来随着宁夏中阿经贸论坛深入开展，宁夏区内的出入境申办人数不断增加，办理困难的问题也更加突出。

　　在充分了解这些困难后，宁夏银行结合银行卡渠道服务和财政收费结算的快捷高效特点，确定了实现银行服务、财政收费、公安受理业务无缝联结，达到“一站式”的便民服务目标。

　　三、网络隔离导致系统建设困难。

　　系统建设调研中发现公安厅出入境电子政务系统采用了严格的网络物理隔离，使用了专用隔离器，是一种数据信息安全交换软硬件系统平台。在内外网之间安装一个专用服务器，称之为“边界服务器”.为保证信息安全，内外网不能直接交换数据，但可以通过一个独特的设计，在某一时刻该服务器只能与一个网络连通，保证内外网数据在同一时刻的单向流动，黑客即使侵入其中一个网络也无法越过物理屏障进入另一个网络。受此限制金融POS支付系统无法直接接入。

　　四、巧用系统功能结构化解支付难题。

　　金融POS支付系统与公安厅出入境电子政务系统如要对接，只能在严格遵守公安厅内外网分离的安全要求的基础上进行。最终通充分发挥金融POS支付系统服务通讯功能的灵活性，围绕专用隔离器，即边界服务器，在公安厅出入境电子政务系统的内网和外网分别部署了金融POS支付服务器，分别担负内外网的金融POS支付系统功能需要。内网金融POS支付系统保留较完整的银行卡交易管理、对帐查询、交易转发通讯等功能，保障公安厅出入境管理局的银行结算及统计等管理需要，外网金融POS支付系统仅保留银行卡交易转发通讯功能。系统建设围绕如下几点展开：

　　（一）在公安厅内网部署金融POS支付服务器，并将银行POS收单系统嵌入至公安出入境电子政务系统中，完成银行收单结算与财政代收费系统信息交互。

　　（二）严格遵守公安厅内外网分离的安全要求，同样在公安厅外网部署金融POS支付服务器，由边界服务器通过隔离扫描转发方式，打通银行卡交易和电子对账通道。

　　（三）在财政厅、公安厅出入境管理局、银行之间实现全程自动化电子三方对账，实现零差错帐的资金清算模式。

　　（四）实现按照各级非税执收单位的权限进行的银行卡交易报表打印和分级统计功能。

　　（五）改变公安证照系统办证的模式，突出高效、安全、资金归集便捷目标，提供“一站式服务”,促进社会民生服务变革进步。

　　五、安全的网络对接与系统信息流。

　　根据公安厅出入境电子政务系统与金融POS支付系统对接受理银行卡的模式，公安厅出入境管理局与宁夏银行之间采用专线的形式进行相联，通过通讯路由设备接入宁夏银行，实现银行卡的受理。通过将银行POS收单系统嵌入集成到公安厅出入境电子政务收费系统，实现收费证照信息、收费流水信息同步传递，改善业务申办和用卡服务。

　　系统由公安厅出入境营业厅的柜面交易子系统、自助终端交易子系统、柜面银行卡交易管理WEB子系统、银行卡交易自动对账子系统组成。部署的网络拓扑图如图1所示：

　　如图1所示：嵌入式银行POS收单系统利用公安厅出入境管理局的硬件资源及内部网络，采用Cient/Server方式，将所有出入境申办业务受理终端的银行卡支付电子数据传送至金融POS支付系统服务器，再由边界服务器采用数据库或报文文件方式，在内外网金融POS支付系统服务器之间扫描传递银行卡交易数据，然后由外网金融POS支付系统服务器通过数据专线发送到银行卡中心或转发银联进行电子交易。嵌入式银行POS收单系统在公安厅出入境管理局的前端系统中，完成银行卡支付的操作界面和支付电子数据的采集，而所有交易数据则存贮于金融POS支付系统服务器中，保证联网交易的安全、高效、准确。

　　六、多重策略确保金融POS支付安全。

　　在公安厅出入境管理局业务服务器与内网金融POS支付系统服务器之间、外网金融POS支付系统服务器与银行网络之间分别通过严密的安全机制来保证数据传输、存储的安全性。特别在出公安厅入境管理局业务服务器与内网金融POS支付系统服务器之间，银行POS收单系统采用了数据包完整硬件加密的高等级安全策略来进行数据传输。系统在客户端、服务器端、网络传输中分别采用不同的安全策略。

　　（一）系统客户端安全策略。

　　1、配置有硬件加密设备-金融密码键盘。银行POS收单系统使用金融密码键盘，直接采集加密银行卡交易所需要的磁条/芯片卡信息、密码等信息，再传到收费终端。不再使用收费终端刷卡器，严格分离收费终端系统的数据流和银行卡交易数据流，提高了银行卡交易的安全性。

　　2、支付过程独立于收费终端系统。银行POS收单系统从收费终端系统得到交易数据后，接管收费终端控制权，交易过程独立于收费终端系统，直到完成后返回交易结果，交还控制权；仅把成功与否及卡号和金额信息交给收费终端系统。

　　3、传输过程中所有敏感数据均为密文形式。敏感数据包括有密码、用来加密的工作密钥、持卡人的磁道信息、交易的金额流水号等，这些数据在传输过程中使用密文格式，而且使用MAC验证制度，保证交易前后的数据不会有所丢失或者被更改。

　　4、交易数据整包加密、并采用单笔交易密钥交换。银行POS收单系统在收费终端中将交易数据完整加密后与金融POS支付服务器进行交易数据传送。发起支付交易之前，首先发起签到交易进行单笔交易密钥交换，加/解密都通过硬件加密设备。

　　6、银行POS收单系统端不保留任何交易数据信息。公安厅出入境管理局所有的收费终端发生的银行卡支付交易的数据被统一存储在金融POS支付服务器中，银行POS收单系统不需保存交易的数据信息。

　　7、缴费签单采用屏蔽卡号打印。在收费终端上，银行卡片交易屏蔽打印卡号，只打印卡号的前6位和最后4位，其余位用*代替。

　　（二）系统服务端安全策略。

　　1、敏感信息存放。卡号采用加密存放；卡磁道、个人密码信息不存放在系统中；交易金额明文存放；系统日志记录交易报文信息加密存放。

　　2、分级权限管理机制。金融POS支付系统的管理功能有严格的分级权限管理机制，将操作者分为收银员、收银主管、系统管理员、财务主管等多种角色，并赋予相应的权限，限制各类角色操作人员可以访问的信息。

　　（三）系统网络安全策略。

　　公安厅出入境管理局以内外网物理隔离策略保障信息安全，银行网络采用专线网络配置防火墙策略，限定端口访问、通讯访问方式，只允许联网交易通讯，对交易数据加密传输，并进行MAC校验，以保障交易安全。