业务认证论文(共9篇)
业务认证论文 篇1
一、审计认证业务与传统财务报表审计业务的异同
(一) 两者同属于审计业务范畴
审计认证业务与传统的财务报表审计业务同属于审计业务范畴, 注册会计师都要以独立、客观公正的第三者身份接受委托, 对被审计对象进行专业的鉴证、评价, 并出具审计报告;要经过计划、搜集证据、评价鉴证、出具报告的过程。该过程对注册会计师的独立性和专业胜任能力都有较高的要求, 决定了在审计业务时注册会计师始终都处于风险之中。
(二) 两者的目标差异
审计认证业务与财务报表审计业务的本质目标是一致的。作为同属于审计业务范畴的业务, 其本质目标都是保证受托责任的全面有效履行。但其具体的目标存在差异:财务报表审计旨在评价、鉴定财务报告的真实性、合法性和公允性;而审计认证业务多是在评价、鉴证的基础上对系统的安全性、效率性、效果性等方面是否符合相关标准与规定的要求的认证。
(三) 两者对注册会计师专业知识要求的差异
不论是从事财务报表审计还是审计认证业务, 对注册会计师专业胜任能力都有较高的要求, 但由于认证业务涉及行业的广泛性和认证内容的多样性, 审计认证业务对注册会计师的专业胜任能力要求更高。审计认证业务除了要注册会计师具备传统的会计、审计、管理学等方面的知识外, 对电子信息技术、网络技术、伦理学等方面的知识也要求精通。
(四) 两者理论基础的差异
财务报表审计有较为完善的理论基础, 技术手段也随着科技的进步不断发展。审计认证业务对于注册会计师而言属于新型业务, 虽然审计界不断对注册会计师开展审计认证业务进行探索, 但其理论基础比较薄弱, 特别是审计功能拓展理论中风险理论研究的不足, 不能为注册会计师从事审计认证务时对风险的衡量与控制提供技术手段与理论支持。
(五) 两者报告形式的差异
财务报表审计的审计报告一定是由两名具有签字资格的注册会计师签发的书面形式, 而审计认证报告的形式可以是书面的, 也可以是其他形式的, 具有多样性。且认证并不是每年一次, 具有其持续性。
二、审计认证业务的风险分析
(一) 主体风险
虽然注册会计师具有丰富的认证工作经验和专业知识, 在消费者看来具有超然独立、客观、公正的第三者的职业形象, 但会计师事务所并不是唯一的认证服务机构, 其他的中介机构在认证业务经验上要比注册会计师有优势。同时, 审计认证业务对注册会计师有较高专业素质要求, 注册会计师如果在业务中过分信赖自己的专业经验, 忽视知识的学习更新与结合实际分析认证对象的特殊性, 容易在认证时作出错误的认证, 从而导致风险的发生。
(二) 对象风险
不同的行业具有不同的市场特点, 不同的审计认证对象具有不同的特点, 因此在审计认证中针对不同的对象需要设计不同的认证程序。事务所会针对一个行业设计一种通用的审计认证程序, 具体认证会根据对象的不同属性进行确定具体的认证程序。但认证对象处于不断变化中, 这无疑给事务所带来风险与成本的权衡选择问题。基于成本效益原则, 事务所不会针对每一个认证对象设计专门细化的认证程序, 而是将认证对象属性近似的一类设置相对固定的认证程序。这样事务所会因认证对象承担一定程度的风险, 这一风险是不能忽略的。
(三) 需求者风险
认证信息的使用者往往对涉及的专业知识知之甚少, 也没有机会做实际调查, 所以注册会计师的认证信息对其而言是极具价值的。在认证业务中, 审计期望差的存在使注册会计师易遭受诉讼。有诉讼偏好的认证信息使用者一旦从服务商处得不到满意的产品、服务或者遭受损失, 在对服务商进行索赔同时, 会将认证信息的提供者——注册会计师一并诉讼, 这比传统的财务报表审计遭受的诉讼要频繁的多。
(四) 法律风险
新兴产业在我国市场上缺乏足够的法律规范, 针对新兴产业的法律法规更新的速度是较快的, 一旦有针对性的法律法规的出台与实施, 必然会给注册会计师在目前条件下从事的认证业务带来不利的影响。在我国的法律环境下, 大部分人认为注册会计师从事审计业务的法律风险是较小的, 但随着法律体系的完善, 未来注册会计师面临的将是更加苛刻的法律环境。
(五) 行业风险
认证业务是一种认证对象多样化、属性多样化、信息需求者分布行业广泛、业务发生频繁的一种服务, 其需要的保证程度较传统的财务报表审计相对更高。在目前的非注册会计师认证市场上, 政府规章、统一化标准等对认证的要求非常严格, 注册会计师除了要遵守相关的规章外, 更要注重相关审计准则与法规。审计认证作为一种保证程度更高的审计服务, 其认证内容与具体业务联系更加紧密, 其动态属性带来的是动态的风险。
三、审计认证业务的风险控制
(一) 识别风险控制策略
借鉴风险管理理论的风险评级与排序的2×2矩阵 (图1) 来识别、评级和排序认证风险。常用的策略主要有接受风险、转移风险、控制风险以及消除风险等。针对于A、B、C、D四个不同区域的认证风险采用不同的管理策略: (1) 处于A区间的风险发生的概率高、影响大。当该区域的风险可控性和资源消耗超出事务所的承受范围, 不符合成本效益原则, 事务所可以考虑退出战略以消除业务风险。 (2) 处于B区间的风险发生概率低, 但影响恶劣。注册会计师可以考虑通过购买职业保险或提取风险基金的方式接受或转移风险。 (3) 处于C区间的风险发生概率高, 影响小。频发的此类风险使注册会计师花费大量的精力来应对。因此, 注册会计师在日常的实务中应予以控制此类风险。 (4) 处于D区间的风险发生概率低、影响小。注册会计师在成本效益的原则下, 不会在此类风险的应对上花费太多的审计资源, 但并不意味着此类风险可以忽略。
(二) 选择风险应对措施
主要包括: (1) 谨慎选择审计认证服务对象。除了对专业胜任能力、独立性等应考虑的因素外, 还要充分了解待认证对象的相关信息, 尽量规避信用较差、风险存在重大不确定性的客户。 (2) 提高从业人员的素质。审计认证业务从业人员专业知识的拓展非常重要, 同时注册会计师还应增强风险意识, 做好被诉讼的准备。 (3) 缩小期望差。审计期望差的存在易导致注册会计师遭受诉讼, 注册会计师应合理的提高认证的保证程度, 缩小审计期望差, 降低风险程度。 (4) 提取风险基金, 建立风险应对机制。参与保险成为个人和企业应对风险的重要手段。事务所在开展认证业务时也可以通过保险的形式将业务风险转移, 或者提取风险基金建立风险应对机制。 (5) 制度规范的保障。目前我国的会计、审计法规的制定机构并没有就注册会计师从事认证业务制定相关的规定, 但审计认证业务最终会成为会计师事务所的重要业务之一。法规制定机构应提前制定相关规定, 为注册会计师从事该业务提供法规和标准的指南。
参考文献
[1]蔡春、黄益建:《审计认证论》, 中国时代经济出版社2006年版。
[2][英]比尔.维特, 李正全译:《风险管理与危机解决》, 上海人民出版社2004年版。
[3]刘伟华译:《风险管理 (ACCA) 》, 中信出版社2002年版。
[4]李若山、杜滨、曹利:《二十一世纪审计职业服务范围的变革》, 《审计研究》2001年第2期。
[5]方红星:《注册会计师保证服务的发展与研究》, 《中国注册会计师》2005年第5期。
[6]林启云:《注册会计师非审计业务研究》, 东北财经大学出版社2004年版。
[7]刘明辉:《高级审计理论与实务》, 东北财经大学出版社2006年版。
业务认证论文 篇2
黑龙江省大中专学校学生信息咨询与就业指导中心:
本人()因故不能亲自前来贵中心,特委托()代为办理学历认证业务。
本人声明,()未收取本人任何代理及其它费用,由此委托而产生的一切后果由本人承担。
委托人:
委托人联系电话: 受托人联系电话: 日期:
业务认证论文 篇3
目前实现多业务系统单点登录认证有两种体系结构,一种是采用中心数据库的方式对用户进行认证以实现多业务系统的单点登录认证系统,另一种方式是使用附加的认证消息实现多业务系统的单点登录。
1.1 采用中心用户管理数据库进行的单点登录联合认证系统
图1为使用中心数据库实现单点登录的认证系统体系架构。
该种单点登录的系统是用户在使用分布在不同域内的各种业务之前到中心知识库进行认证获得一个标识然后访问由该中心数据库负责认证的各种业务系统,一旦用户完成了一次认证后,用户在访问这些业务系统时不需要再进行认证。由于在该种结构数据库集中放置,这样造成了系统的安全性和可扩展性很难保证。为此该种单点登录系统架构主要用于单个组织或企业。而不适合在公众Internet上的多业务系统。
1.2 采用单点认证登录各业务系统确认认证结果实现单点登录的系统架构
图2示出了采用单点认证登录各业务系统确认认证结果实现单点登录的系统架构。采用该体系架构的单点登录认证方式是用户在一个域中的认证系统通过认证后,用户通过携带由对其进行认证的系统所提供相应凭证访问其他域的业务系统,其他域中的认证系统通过检查用户所携带的认证通过凭证确定是否为其提供相应的服务和允许用户使用相应的业务。通常情况下,在采用该种系统体系架构的系统正常工作前,不同域中的认证机构之间有通过凭证的相关协议。
采用该体系架构的单点登录认证系统进行认证时,用户在使用业务前首先在其所注册的域中进行认证,若认证后,认证机构发送其相应的认证信息,然后用户携带所获得的认证信息请求使用其他域的业务系统,被访问域的业务系统首先将用户所携带的认证信息转发给该业务系统所在域的认证机构,由该认证机构通过检查用户所携带的认证信息确定允许或拒绝用户的请求,获得允许的用户就可以访问其有权限访问的业务系统。
2 几种单点登录联合认证实现方法的比较
表1给出了单点登录实现方法的比较。
表1给出了两种具有代表性的实现单点等录联合认证的实现方式。第一种方式是在一个中心数据库中维护所有“用户”的认证信息,第二种方式是在每一个域中维护“用户”认证信息。Passport和liberty Alliance是采用中心数据库的单点认证方法。使用由微软公司开发的Passport,用户加入由微软公司管理的Passport服务器并通过提交其标识符进行认证。liberty Alliance的开发目标是根据ID为联合网络ID管理和业务制定标准。而Keberos,WS-security和SAML均是将认证信息附加到Web业务消息中来进行。Keberos是基于ticket来进行的。通过将ticket附加到SOAP消息中,用户的认证信息通过中间物被投递到目的域SAML是由OASIS规定的实现单点等录的标准规范。SAML规定安全令牌的类型并提供使用断言包含令牌的基于Web的单点等录。
3 SAML规定的单点登录联合认证技术
图3给出了SAML规定的单点登录联合认证流程。在SAML中规定了两个重要的角色,业务提供者(SP)和标识提供者(IdP)。在业务提供者中增加对SAML规定的断言进行相关处理的部分功能,在IdP中根据用户提交的相关标识信息等进行单点登录相关的断言的生成。
图4中给出了图3中规定的过程的具体流程表示。其中SAML请求者为业务提供者(SP),SAML响应者为标识提供者IdP。
4 联合认证应用情况和适用的领域
一些业务提供者为其应用提供了单点登录的联合认证。典型的应用和产品情况如下:
(1)分布在不同地点或由多个部门组成的机构所提供的多个不同地点的服务或多个部门的服务之间基于联合认证建立单点登录的业务提供者,如包含有15个学院的Texas大学在其15个学院和大学总部之间建立了基于联合认证的单点登录系统以方便各学院之间资源和应用系统的共享。
(2)由提供公共服务的政府部门,在其所组建的分布在不同地点提供公共服务的业务平台之间建立基于联合认证提供单点登录系统,如瑞典的IT和商务服务公司以及公共医疗咨询服务机构Logica,为使使用BIF(Basic Services for the Provision of Information)系统的各方共享患者的医疗信息组建基于联合Entegrity、Entrust、IBM、Identrus、Intrusic、Netegri-认证的单点登录系统。
(3)Google Apps针对web应用提供基于SAML的单点登录(SSO)服务。其中Google作为业务提供者提供Gmail和PSP(Partner Start Pages)业务。Google的其他合作者作为身份提供者。
(4)一些厂家开发了基于联合认证的身份管理相关的产品,这些厂家包括:
Entegrity、Entrust、IBM、Identrus、Intrusic、Netegrity、Oblix、RSA Security、Sun Microsystems
(5)Internet 2在其网络范围内组建基于联合认证系统以增强高等教育和研究机构之间的资源共享。
(6)英国电信运营商BT目前正在进行联合身份管理的系统试验,该系统将涉及到其所拥有的8百万Internet用户和企业消费者。
摘要:本文介绍IP网络业务单点登录技术、几种联合认证技术的比较以及基于SAML的联合认证技术,最后介绍联合认证技术的主要应用领域。
业务认证论文 篇4
2010年工商银行专业资格认证考试大纲-业务运营序列-单证业务考试大纲
这是为准备2010年工商银行专业资格认证考试岗位序列认证考试的资料!做为2010年工商银行专业资格认证考试大纲-业务运营序列-单证业务考试大纲的参考资料!包含2010年工商银行专业资格认证考试大纲-业务运营序列-单证业务考试大纲。认证类别 认证项目 范围 重点内容 适用认证职务层级参考教材
初级 中级 高级
专业知识 基础理论 金融基础理论 金融市场的构成、功能和基本分类,国际金融市场的构成、特点和作用 了解 熟练运用 融会贯通 《国际金融实用教程》(1-4章)
外汇的概念和条件,汇率的标价方法和分类,传统的外汇交易与常见的三种金融衍生工具 国际收支与国际收支平衡表
外汇管理政策法规 中华人民共和国外汇管理条例 了解 熟练运用 融会贯通 《外汇管理文件汇编》
结汇、售汇及付汇管理规定 反洗钱规定
国际结算知识 国际结算中的票据 了解 熟练运用 融会贯通 《国际结算》 汇款 《国际业务培训手册》 托收 信用证 外汇保函
运输单据、保险单据、发票及其他常见单据 外汇会计科目分类 贸易术语 保险险种
国际银行清算—SWIFT基础内容
法律法规 法律常识 担保法主要概念 了解 熟练运用 《担保法》 物权法主要概念 《物权法》 合同法主要概念 《合同法》
《关于审理信用证纠纷案件若干问题的规定》 专业知识 国际惯例与审核单据
银行业务运营序列专业资格认证考试业务运营序列客观题题库 题号【 28】 题型【判断】 等级【A】
单位银行结算账户的存款人只能在银行开立一个一般存款账户。---题号【 29】 题型【判断】 等级【A】
个体工商户凭营业执照以字号或经营者姓名开立的银行结算账户纳入单位银行结算账户管理。---题号【 30】 题型【判断】 等级【A】
存款人在境内外中国银行开立的人民币银行结算账户都适用《人民币银行结算账户管理办法》。---题号【 31】 题型【判断】 等级【A】
商业承兑汇票可以由付款人签发并承兑,也可以由收款签发并承兑。---题号【 32】 题型【判断】 等级【A】
单位在票据上的签章,只能是该单位的财务专用章加其法定代表人的签名或者盖章。---题号【 33】 题型【判断】 等级【A】
票据和结算凭证上的签章,为签名、盖章或者签名加盖章。---题号【 34】 题型【判断】 等级【A】
委托收款是根据购销合同由收款人发货后委托银行向异地付款人收取款项,由付款人向银行承认付款的结算方式。---题号【 35】 题型【判断】 等级【A】 单位卡一律不得支取现金。---题号【 36】 题型【判断】 等级【A】
票据和结算凭证金额以中文大写和阿拉伯数码同时记载,二者记载不一致时,票据无效。题号【 3】 题型【单选】 等级【A】 答案【C 】 我行个人外汇买卖的名称是()A、即时通 B、稳得利 C、汇市通 D、汇财通---题号【 4】 题型【单选】 等级【A】 答案【A 】
自动柜员机现金应实行定期或不定期检查制度。使用部门的业务主管人员须不定期检查,每月至少()A、一次 B、二次 C、三次 D、四次---题号【 5】 题型【单选】 等级【A】 答案【A 】
临时存款账户应根据有关证明文件确定的期限或存款人的需要确定其有效期限,最长不得超过()A、2年 B、6个月 C、1年 D、1年6个月---题号【 6】 题型【单选】 等级【A】 答案【A 】
银行承兑汇票申请人在汇票到期日未能足额交存票款的,应对出票人尚未支付的汇票金额按照每日()计收利息。A、万分之五 B、千分之五 C、万分之十 D、千分之十
银行专业资格认证考试业务运营序列考试题库-业务序列客观题题库---题号【 2】 题型【判断】 等级【A】---资金清算活动须在规定的营业时间内统一进行。---题号【 5】 题型【判断】 等级【A】---代销、寄销、赊销商品的款项,可以办理托收承付结算。---题号【 6】 题型【判断】 等级【A】---持票人超过规定期限提示付款的,银行汇票、银行本票的出票人、商业汇票的承兑人,在持票人作出说明后,仍应当继续对持票人承担付款责任。---题号【 8】 题型【判断】 等级【A】---金融机构同业拆借、在银行间债券市场进行的债券交易,若符合大额交易标准必须报送大额交易报告。---题号【 10】 题型【判断】 等级【A】---会计科目分为表内科目和表外科目,属于会计要素的核算内容使用表内科目。---题号【 12】 题型【判断】 等级【A】---办理长期现金业务上门服务必须与客户签订“现金业务上门服务协议书”,办理临时现金业务上门服务则不必与客户签订“现金业务上门服务协议书”
业务运营序列运行管理专业技能认证题库 返回首页
• 业务运营序列运行管理专业技能认证题库 序列 业务运营 专业 运行管理
知识点 业务运行管理有关制度规定
业务运营序列运行管理专业资格认证题库 序列 业务运营 专业 运行管理
知识点 业务运行管理有关制度规定
一、计算机操作
二、文字综合
三、案例分析
(注:1-10为难度1;11-17为难度2;18-21为难度3)
1、某分理处主办宋某,利用工作之便,以客户查询账户余额为由,经常使用查询交易查询企业账户余额,掌握一些长期不动用资金的客户账户信息,在查询往来户账户明细时,发现某公司账面有300多万存款,并且公司一年多没有动用过银行账户资金,进而利用工作之便盗取了并伪造了印鉴和结算证,购买了支票,盗用公司存款103万元。
要求:(1)分析案件暴露的主要问题。
(2)结合实际工作简单阐述该案件对日常管理工作的启示。答案:(1)暴露的主要问题 ①印鉴卡片保管不善,给
②
③长期不动户未按规定处理。公司一年多没有动用的账户资金未根据要求通知客户做销户处理或转入待处理久悬未取款项,被犯罪分子利用,造成客户资金损失。(2分)(2)启示
严格制度执行;按照加强营业期间印鉴卡管理和对长期不动户的定期清理。
2、(1)某日,我行一营业网点的受理柜员受理了某人民检察院查询扣划业务。检察院人员持有县级相关的协助查询法律文书和执法人员的身份证,查询被告人的个人储蓄存款。请问你认为该情形下是否可以办理查询业务,并说明理由?
• 银行业务处理序列运行管理专业资格认证考试题库
银行业务处理序列运行管理专业资格认证考试题库(附答案)
这是银行业务处理序列运行管理专业资格认证考试题库(附答案)的资料。做为银行业务处理序列运行管理专业资格认证考试题库参考资料!包含银行业务处理序列运行管理专业资格认证考试题库!大量题库,客观题型,推荐资料!
题号【
4】 题型【单选】 等级【A】 答案【
】
办理银行承兑汇票必须以商品交易为基础,严禁办理无真实()的银行承兑汇票。
A 贸易背景
B 交易合同
C 增值税发票
D 商品发运
-----------题号【
5】 题型【单选】 等级【A】 答案【
】
支票的有效期为10天,某支票3月5日签发,到期日正常为()。
A 3月14日
B 3月15日
C 3月16日D 3月17日
-----------题号【
6】 题型【单选】 等级【A】 答案【
】 批量汇划报文暂挂于收报处理行待()自动转出处理。
A 当日日终 B 次日C 次日日终
D 隔日
-----------题号【
7】 题型【单选】 等级【A】 答案【
】
柜员在日终轧平现金账务时,使用()交易检查自已保管的机器钱箱内的现金,并与现金实物进行金额券别双核对,以确保二者金额券别完全一致。
A 1141 B 1131 C 1135 D 1136
-----------题号【
8】 题型【单选】 等级【A】 答案【
】 在填写票据出票日期时,10月30日规范的填写是()A 拾月叁拾日 B 零拾月零叁拾日
C 壹拾月叁拾日
D 零壹拾月零叁拾日
-----------题号【
9】 题型【单选】 等级【A】 答案【
】 《中华人民共和国票据法》所指的票据包括()。
A、汇票、支票
B、汇票、本票和支票 C、汇票、本票
D、汇票、本票和存单
-----------题号【
10】 题型【单选】 等级【A】 答案【
】
下列()不属于《中华人民共和国票据法》中所指的票据。A、支票 B、信用证 C、汇票 D、本票
-----------题号【
11】 题型【单选】 等级【A】 答案【
】
单位、个人和银行签发票据、填写结算凭证,单位和银行的名称应当记载全称或者(A、单位名称 B、简称
C、单位预留印鉴 D、规范化简称
-----------题号【
12】 题型【单选】 等级【A】 答案【
】
背书是指在票据背面或者()上记载有关事项并签章的票据行为。
A、凭证 B、进账单 C、粘单 D、票据
-----------题号【
13】 题型【单选】 等级【A】 答案【
】
票据背书转让时,由背书人在票据背面签章、记载()和背书日期。
A、被背书人名称。)B、被书原因 C、背书有效期 D、背书人名称
-----------题号【
14】 题型【单选】 等级【A】 答案【
】 第一次背书转让的背书人是票据上记载的()A、付款人 B、出票人 C、被背书人 D、收款人
-----------题号【
15】 题型【单选】 等级【A】 答案【
】 票据要素填写出现()的银行不予受理。
A、日期小写
B、大写金额角后面未写“整”
C、日期为壹月的未写成规范的零壹月 D、大写金额用繁体字书写
-----------题号【
16】 题型【单选】 等级【A】 答案【
】
银行汇票上出票人的签章,为该银行的()加其法定代表人或者其授权代理人的签名或者盖章。
A、业务公章
B、结算专用章 C、辖内往来专用章 D、汇票专用章
-----------题号【
17】 题型【单选】 等级【A】 答案【
】 在填写票据出票日期时,10月30日应填写成()A、拾月叁拾日 B、零拾月零叁拾日 C、壹拾月叁拾日
D、零壹拾月零叁拾日
题号【
43】 题型【单选】 等级【A】 答案【
】
支票的出票人和商业承兑汇票的承兑人在票据上的签章,应为()
A、公章加法人私章 B、财务公章加法人私章 C、其预留银行的签章
D、合同专用章加授权经办私章
-----------题号【
44】 题型【单选】 等级【A】 答案【
】 下列行为中,()是非票据债务人对出票等行为所产生的债务予以保证的法律行为。
A、背书 B、承兑 C、保证 D、贴现
-----------题号【
45】 题型【单选】 等级【A】 答案【
】
办理汇划查询、查复业务时,应根据()填写和录入查询查复书,经业务主管人员授权方可发出。
A、原始凭证
B、记账凭证 C、一般凭证 D、特殊凭证
-----------题号【
46】 题型【单选】 等级【A】 答案【
】
承兑银行在为承兑申请人办理银行承兑汇票时,应按承兑金额的()收取承兑手续费。
A、千分之五B、千分之十C、万分之五D、万分之十-----------题号【
47】 题型【单选】 等级【A】 答案【
】 银行承兑汇票的签发人是()
A、承兑申请人 B、承兑人 C、收款人
D、付款人-----------题号【
48】 题型【单选】 等级【A】 答案【
】 委托收款结算每笔的金额起点为()A、无起点 B、1000元 C、5000元 D、10000元
-----------题号【
49】 题型【单选】 等级【A】 答案【
】 办理托收承付结算的款项是指()A、代销的款项 B、寄销的款项 C、赊销商品的款项
D、商品交易或属因商品交易而产生的劳务供应的款项-----------题号【
50】 题型【单选】 等级【A】 答案【
】 日间库存现金的真实性由网点()负责。
A业务主办 B业务主管 C总会计 D会计监管员
-----------题号【
52】 题型【单选】 等级【A】 答案【
】
柜员之间因交接班或确属业务临时需要,往出、往入空白重要凭证的应经()授权后办理往入、往出业务。
A、业务主办 B、业务主管
C、主管行长
D、会计监管员
-----------题号【
54】 题型【单选】 等级【A】 答案【
】 柜员钱箱次日由本人继续使用的应在日终坚持()
A、双人结账 B、柜员自己结账 C、核对即可
D、不需要结账-----------题号【
55】 题型【单选】 等级【A】 答案【
】
临柜柜员发现假币应立即向交款人声明,并报告()进一步鉴定。A、管库员
B、结算员 C、业务主办
D、业务主管
• 银行业务运营序列运行管理专业资格认证考试题库
银行业务运营序列运行管理专业资格认证考试题库(附答案)
这是银行业务运营序列运行管理专业资格认证考试题库(附答案)的资料。做为银行业务运营序列运行管理专业资格认证考试题库参考资料!包含银行业务运营序列运行管理专业资格认证考试题库!大量题库,DOC文档196页!客观题型,推荐资料!
一、单项选择题(下列各题的答案中,只有一个是正确的,错选、漏选、多选均无效,每题2分)
(注:1-150为难度1;151-278为难度2;279-334为难度3)
1、会计档案的查询、调阅和保管应严格执行()。会计档案一律不准外借。
A、登记制度
B、查询制度 C、调阅制度
D、安全和保密制度 选项个数:4 标准答案:
2、交接不清而出现问题的,除追究交接双方人员责任外,()(属于流程管理)员应承担连带责任。
A、管理人
B、负责人
C、监交人
D、主管人 选项个数:4 标准答案:
3、业务公章按营业机构配备,由()保管使用。
A、业务主管
B、总会计
C、经办人员
D、网点负责人 选项个数:4 标准答案:
4、存单(折)专用章通过编列印章序号进行区分,由()人员保管使用。
A业务主管
B经办人员
C网点负责人
D总会计 选项个数:4 标准答案:
5、中国工商银行股份有限公司的会计核算划分(),分期结算账目和编制财务会计报告。
A、会计期间 B、会计中期 C、会计期末 D、会计末期 选项个数:4 标准答案:
6、以下不属于会计期末的是()A、日末 B、月末 C、季末 D、年末 选项个数:4 标准答案:
7、有价证券的销毁工作比照人民币销毁办法按照()的原则办理。
A、谁保管、谁销毁 B、谁兑付、谁销毁 C、谁发行、谁销毁 D、谁印制、谁销毁 选项个数:4 标准答案:
8、柜员轧账时必须按外币分账制的原则,分()进行轧账。A、币种 B、网点 C、柜员 D、柜组 选项个数:4 标准答案:
10、隔日或以后发现的错账,应填制错账冲正凭证,经()审查签批后办理。
A、业务主办 B、业务主管 C、主管行长 D、运行督导员 选项个数:4 标准答案:
11、所有空白重要凭证纳入表外科目核算,以()为记账单位。
A、一份一元 B、一本一元 C、一个单位一元 D、一个种类一元 选项个数:4 标准答案:
98、上门收款人员须持统一制作的()和本人工作证办理现金上门服务。A、上门服务核对卡。
B、居民身份证。C、假币收缴资格证。D、上门服务证。选项个数:4 标准答案:
99、临时存款账户有效期限最长不超过()。A、1年
B、3年
C、2年
D、5年 选项个数:4 标准答案: 100、开户行为单位客户开立一般存款账户应于开户之日起()个工作日内向中国人民银行当地分支行报备。A、2 B、3 C、5 D、10 选项个数:4 标准答案:
101、单位客户日常经营活动的资金收付及其工资、奖金和现金的支取,应通过()办理。
A、临时存款账户
B、一般存款账户
C、专用存款账户
D、基本存款账户 选项个数:4 标准答案:
102、除银行与客户另有约定外,对日均余额在()元(不含)以下的存款账户可不再进行余额对账。
A、10万
B、5万
C、1万
D、2万 选项个数:4 标准答案: 103、()和结算凭证是办理支付结算的工具。A、现金
B、票据
C、现金和票据
D、银行系统 选项个数:4 标准答案:
183、只可以发送汇划贷报的业务种类有()。
A、信用卡 B、银行汇票 C、资金调拨 D、汇兑 选项个数:4 标准答案:
184、即时通付款凭证的付款期自签发之日起()内有效。
A、30日 B、15日 C、10日 D、7日
选项个数:4 标准答案:
185、以下说法错误的是:()。
A、经办行办理实时清算业务时应坚持事权划分原则
B、对于金额在5万元以上(含)的批量资金汇划业务需经业务主管授权 C、办理查询查复需经业务主管授权
D、办理汇票签发业务时必须坚持“印、押、证”分管分用原则 选项个数:4 标准答案:
186、特大额发报授权额度()。
A、100,000(含)元; B、10亿元; C、5,000,000(含)元; D、1,000,000(含)元; 选项个数:4 标准答案:
187、下列属于交易授权的业务是()
A、资金汇划业务
B、银行汇票
C、应解汇款
D、现金调拨及出、入库 选项个数:4 标准答案:D 189、岗位轮换必须在监交人员监督下办理交接手续。监交人员对交接工作负全面责任,如事后发现交接不清追究交接双方人员责任外,监交人员应负()。
A、全面责任
B、连带责任
C、直接责任
D、间接责任 选项个数:4 标准答案:
190、涉及数据变更和参数调整的电子档案保管期限为()。
A、5年
B、10年
C、15年
D、永久保管
业务认证论文 篇5
随着人们生活水平的提高与个体差异带来的观视体验的不同。使得人们对电视的观看由直播向点播转变, 由被动接收改为主动查找方式的变化。这给广电运营带来了新的挑战、新的机遇, 新的业务增长点。目前重庆有线的机顶盒类型多, 版本多, 且后期还有新的终端设备接入现网, 如家庭网关、智能终端、手机、平板、电脑等。而目前的认证平台已无法支撑后续灵活业务部署。在这样的背景下, 就需要一个具有支持多个不同类型, 多种类型的终端接入认证平台, 点播业务认证, 授权平台来支持后续的业务发展。
由此需要替换目前的机顶盒认证系统, 更换具有更强认证功能的系统来支持不同的终端接入。加入互动认证的模块, 支持互动业务的开展。
1系统介绍
新业务认证系统, 应保证目前现网所有的终端的开机流程不做改变的情况下能够正常认证, 除此之外还要支持新的终端。如:家庭网关、智能终端、手机、平板等。且接入的接口应尽可能的统一或限定在有限的个数。具备互动业务的认证、鉴权、询价、点播确认等功能支持点播业务的开展。同时支持为促使用户点播、满足市场的推广策略系统应具备一些优惠策略。如时段优惠、片源优惠、订购优惠。
1.1系统范围
SSO (单点登录认证) 认证服务是互动业务认证系统的子系统, 位于用户 (STB/PC) 和双向互动服务簇之间。担负终端用户身份认证、请求接入、业务路由等功能。也为后台管理系统提供管理员登入的身份认证。为信息认证系统提供终端认证凭证的管理和校验, 代理服务凭证的发放和校验。如图1所示。
本系统不参与处理信息系统的具体业务, 也不负责数据的维护。本系统不侵入其他系统的代码中, 只是负责过滤和检测。
1.2总体介绍
互动业务认证系统主要完成互动业务的验证、授权和记账。其主要功能用于管理何种用户可以访问何种对应服务设备的权限, 具有访问权的用户可以获得对应服务为那些。如何对正在使用的系统资源的用户所使用的资源数量进行记录。具体为:
1.验证:完成对用户身份的确认, 确认用户是否可以获得对应服务的访问权限。
2.授权:定义用户可以使用哪些指定资源的存取权。
3.记账:记录用户对各种网络服务的用量, 并提供给计费系统。
首先, 认证部分提供了对用户的身份的确认。整个认证环节是采用在终端输入用户名与密码的方式来进行用户身份的权限审核。认证的原理是每个用户都有一个唯一的权限标识。由业务认证服务器将用户的唯一标识同后台数据库中所有用户的标识进行逐一比对。如果符合, 则返回认证通过。如果不符合, 则拒绝对用户提供后续业务连接。
接下来, 用户需要通过获取响应授权来获得对应服务的权限。比如, 登陆系统后, 用户可能会执行查询来进行自身相关信息的查询, 授权会在这一过程中检测当前用户是否拥有执行这些命令的权限。授权过程是一系列控制策略的组合, 主要用于确定服务的种类或质量分别为那些, 用户所被允许使用的服务有哪些。一旦用户通过了认证, 他们也就被授予了相应的权限。
最后一步是记账, 这一过程将会计算用户在使用服务过程中消耗的资源数量。
验证授权和账户同样由业务认证服务器来提供。业务认证服务器是一个能够提供这三项服务的程序。
2系统架构方案
2.1系统运行环境
依赖本认证系统的应用是各种应用的增值系统, 所以本系统也发布为Tomcat下的http/https服务与后台服务的web service服务两种方式, 方便与其他系统的灵活集成与接入。
2.2系统部署架构
如图2所示。
2.2.1系统服务网络
负载均衡器:负载均衡器能够支持各种各样的负载均衡策略。大大提高各节点网络的性能和可靠性。
防火墙:防火墙对系统的后台服务器进行保护, 其防范对象是来自公共网上的对后台系统安全的威胁;
局域网交换机:实现对认证系统的服务器、BOSS系统、VOD平台等的互连, 可以在此划分VLAN。
2.2.2应用系统主机和存储系统
统一认证服务器:存储用户认证信息, 并提供目录服务;完成所有地区的用户使用互动业务、增值业务及未来其他业务的统一认证和授权处理, 配置4台服务器, 通过负载均衡服务器实现负载。
SSO管理服务器:负责同终端接口进行对接, 保证现网终端版本无需升级;配置2台服务器, 考虑负载均衡。
开发测试服务器:用于软件版本上线前的现场的开发、测试。
3系统总体设计
3.1业务功能
如图3所示, 业务认证系统会对接很多的外围系统, 包括企业内部的运营支持系统、BOSS、客服、网管、支付。对外的增值系统, 信息平台, 游戏平台, IMS系统等。
业务认证系统包括如下几个模块:系统管理, 统一会员管理、业务认证、用户管理、合作伙伴管理、业务管理、产品管理、订购管理、统计分析, 外围接口。
该方案可将不同系统的不同账号通过统一会员管理将账号统一, 避免由于系统过多导至用户需要记住大量的账号与密码的问题。进行模块化划分与开发, 各个模块的边界与功能进行清楚的界定, 有助于各小组专注于本模块的功能、性能开发。
针对业务我们根据功能与职能不同分别设计了三个模块。SDP (业务分发平台) 、SSO (单点登录认证) 、AAA (认证平台)
SDP:提供外围系统的接入能力, 并进行用户管理, 订购管理等, 采用java开发, B/S模式。
SSO:提供终端的开机认证能力, 包括登录, 开始登录。采用C++开发, 只提供后台服务。
AAA:提供包括点播在内互动业务内证的认证、授权、计账。包括优惠策略的计算。采用C++开发。提供后台的认证服务。
3.2总体架构
系统内部架构如图4所示。
统一业务认证的建设目标是为互动业务平台、相关增值业务系统提供可扩展的、稳定的、高效的认证、授权和记账服务。
通讯协议处理部分功能:该模块用于接收第三方系统认证通信请求, 并将经过认证系统处理后的认证结果返回给第三方系统, 需支持WebS ervice、TCP/IP、UDP等不同种类通讯协议。
格式解析处理部分功能:用于第三方系统发送过来的认证请求数据包根据接口协议进行内容解析, 其中包括对第三方数据来源校验、属性解析等部分;对认证完成后的数据按照同第三方系统约定的格式进行封装。
认证授权记帐处理池:对已经通过解析处理模块后的认证请求进行具体的业务或服务的认证、授权、记帐处理。该部分涉及到大量的策略计算、数据查询修改等操作, 是认证业务最核心部分, 在该阶段采用多线程并行处理机制。
公用功能:分为系统日志、配置功能界面、注册重载几个功能。
数据存储MyS QL:用于存储认证运行中的临时数据, 包括用户token, 用户基本信息、用户订购信息、产品信息、资费信息、服务信息、服务供应商等信息。
3.3业务流程设计
开机业务流程如图5所示。
说明如下:
1.终端通过携带智能卡号询问登录;
2.SSO生成随机token返回给终端;
3.终端将密码与和token进行组合加密发回至SSO进行密码验证;
4.SSO验证通过, 返回给终端访问首页。
首页分发业务流程如图6所示。
4技术要点
4.1设计思想
在设计时参考已有的成熟的开源软件, 吸收其成熟的架构。同时, 充分利用原有系统的工作成果, 在原有系统的基础上, 融入先进的解决方案。基于以上的改进和扩展, 划分出终端认证管理、门户负载调度、启动以及SOAP认证服务/客户端等模块, 与SSO核心模块共同构成SSO认证服务。
系统前期开发, 负载均衡采用较简单的平均分配原则。认为所有portal服务器的配置相同, 负载能力相同。在请求到来时, 转发分配给用户一个指定好的某IP段的portal服务器。
点播业务的量与频率会非常高, 需充分考虑到程序的处理能力可使用C++语言进行程序编写进行细粒度的控制, 提高程序执行效率。
4.2关键技术介绍
4.2.1 Web Service技术
Web Service是一种新的web应用程序分支, 通过Web通讯协议及资料格式的开放式标准 (例如HTTP、XML及SOAP等) 来为其他的应用程序提供服务。部署Web Service以后, 其他Web Service应用程序可以自动发现并调用其提供的对应服务。Web Service的主要体现的便利性为跨操作系统和业务平台的互操作性。因此, Web Service完全基于XML (可扩展标记语言) 、XSD (XMLSchema) 等并独立于操作系统平台和独立于软件规范标准的新平台。
Web Service通过wsdl格式文件来定义同不同服务之间通讯所使用到的接口名称、动作、传输的数据类型。服务端和客户端可以依据定义好格式的wsdl文件来用工具依据协议规范独立的生成代码框架。
4.2.2 Memcached技术
Memcached是一个高性能的分布式内存对象缓存系统, 主要用于动态网页应用, 以减轻核心后台数据库负载。它通过在内存中缓存数据和对象来减少读取核心后台数据库的次数, 从而提高用户访问网站的响应速度。其客户端可以用任何语言来编写, 并通过memcached协议与守护进程通信。
系统中用到的基础数据配置、用户登录token都存储在memcached中, 这样大大提高了开机认证的过程的响应时间, 提升用户体验。
4.2.3 Hibernate技术
Hibernate是一个开放源代码的对象关系映射框架, 它对JDBC (Java Database Connectivity Java数据库连接) 进行了非常轻量级的对象封装, 使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。Hibernate不仅负责从Java类到数据库表的映射 (还包括从Java数据类型到SQL数据类型的映射) , 还提供了面向对象的数据查询检索机制, 从而极大地缩短的手动处理SQL和JDBC上的开发时间。同时Hibernate可以在应用EJB的J2EE架构中取代CMP, 完成数据持久化的重任。
使用Hibernate来管理对象和关系数据库的映射, 使得开发人员在开发中不用去考虑数据的检索和修改SQL, 而由Hibernate来做中间的转换。
4.3技术架构特点
4.3.1灵活接入多业务
随着广电行业的发展, 在业务上也呈现出业务的多样性。直播业务, 互动业务, 游戏业务、开机能力业务等等。而这些业务的认证、鉴权没有一个统一的平台进行管理、某些甚至是空白。从目前与今后的发展来看, 业务会不断增多、接入终端也有很多种。
系统正是基于这样的背景而设计开发的。业务认证平台支持不同业务的接入, 如:机顶盒开机业务, 点播业务, 游戏业务等。系统的认证、鉴权都是基于标准的WebS ervice协议的。只要终端可以过通接口调用服务就可以进行业务的认证、鉴权。而不关心具体的终端。终端可以是手机, 电脑, 智能机顶盒, PAD等等。
4.3.2不同业务认证模式灵活
认证模式灵活是指对于开机的机顶盒是否是广电设备进行认证的不同模式。一种是严格检查模式确认已有终端的存在关系, 只有现网的, 并存在于系统中的终端才能允许接入。而非广电系统中的终端不允许接入。另一种是免认让模式, 只要是来询问的设备都认为是合法设备可以接入广电网络。
4.3.3支持OTT类业务
OTT是“Over The Top”的缩写, 是指通过互联网向用户提供各种应用服务。这种应用和目前运营商所提供的通信业务不同, 它仅利用运营商的网络, 而服务由运营商之外的第三方提供。OTT同时也是国际互联网运营商对互联网电视机顶盒业务的“昵称”, 其本质是利用统一的内容管理与分发平台, 通过开放的互联网, 向智能机顶盒提供高清的视频、游戏和应用, 是全球性的“云电视”技术系统架构, 例如将通过互联网传输的视频节目传输到TV上, 终端可以是电视机、电脑、机顶盒、PAD、智能手机等等。
4.3.4认证系统进程的单点故障防范
在业务认证系统中, A1主机和A2主机上各起一个实时计费进程, 两个实时认证进程均能独立实在业务认证系统中, A1主机和A2主机上各起一个实时计费进程, 两个实时认证进程均能独立实现实时认证的功能。
认证进程配置两个实时认证进程对应的地址和端口, 在发送请求时采用随机均衡发送。
当有某个进程连接异常时, 将该连接标志为异常, 所有请求均从另一个连接发送。同时间歇探测异常连接是否可重新使用。
5业务认证平台发展方向
5.1广电业务互联网化
目前认证提供的客户群体主要是广电在网终端用户, 受众群体存在一定的局限性。互联网化是将更多的客户引入到系统中来, 而非局限在广电网络内的客户。通过会员注册的方式, 将大量游离客户纳入到系统管理, 通过广电特有的一些服务将客户吸引进来。后续可推出大量的增值业务, 系统加入多样的第三方支付, 来方便客户的支付。业务认证平台可对接各式各样的外围系统, 可收集各系统对业务认证平台的修改意见与想法, 持续的改进系统, 向着互联网化越走越远。
移动化、娱乐化的互联网业务作为广电业务的发展方向, 在各大运营商都积极介入和发展自身的大众互联网服务, 也同其他互联网业务公司合作, 为广电的客户、互联网用户带来更好的体验, 业务认证系统为多类型的互联网用户接入提供接口, 各类互联网用户通过该平台接入系统, 享受广电的视频、娱乐、游戏等业务。
5.2多维度认证
增值业务平台为互联网用户提供各类认证模式, 不管是匿名用户还是通过账号登录, 以及广电自有用户可以通过客户信息直接进行业务登录, 认证系统为用户提供多维度, 多类型的接入方式, 满足不同渠道的用户登录需求。
5.3互联网支付
互联网用户在享受广电提供的各类增值服务中, 会涉及到费用支付, 特别是对于互联网匿名用户支付业务, 具有偶发性、匿名性、快速性等特点, 这类用户要求支付体验必须便捷、快速、安全等需求, 因此对互联网用户可以采用目前比较流行的第三方支付来保障支付的安全可靠。
同时为了便于支付的统一管理, 在增值业务管理平台对所有的支付进行分类汇总, 如果支付宝支付的账单模式, 可以提供给用户等相关的查询和对账, 账务统一也便于与财务收入的对接和分类汇总, 也为收入和市场提供很好的数据支持。
5.4增值业务接入
除了运营商自身的增值业务, 与运营商合作的第三方增值业务提供方就像增值业务超市一样, 可以为用户提供各类丰富的体验, 在与第三方合作过程中, 双方会在用户数据、业务数据上进行共享和交互, 增值业务平台需要将用户信息, 订购行为通过接口同步到第三方平台用户, 广电用户就可以享受第三方提供的各类增值服务, 通过收入结算方式将合作费用结算给第三方。
5.5与运营商传统核心业务计费系统对接
5.5.1订购同步
广电用户在第三方业务平台注册并订购业务后, 由第三方平台将用户的订购行为同步到增值业务平台, 增值业务平台记录后同步到计费系统, 计费系统按照订购时间、产品等要素进行计费。
广电用户在订购了第三方业务之后, 同步到增值业务平台, 平台记录该订购信息后将其同步给第三方平台进行业务开通激活, 为用户提供实时的服务。
当以上业务在任何一个平台发起退订或者注销后, 都同步到增值业务平台, 由增值业务平台记录后同步给对应的系统, 保障业务和计费数据的一致性。
5.5.2计费话单
第三方系统的计费话单生成之后, 可以直接同步给核心计费系统供各渠道查询, 业务可以经过增值业务平台进行二次的加工处理, 增加必要的要素有同步给计费系统, 对于部分增值业务平台够识别的完整计费要求, 可以直接进行话单的生成和处理。
6结束语
随着互联网化的发展和移动业务的日益月新, 如何为客户提供多样性的增值服务, 提高客户的粘稠度, 就必然需要给客户提供新颖性、趣味性、便捷性的增值服务或第三方服务, 如果进行这些增值业务的统一管理和运营, 就是业务认证系统下一步需要进行的系统性规划建设。
参考文献
[1]李昌金, 陈锦宇.电信企业信息系统统一身份认证平台[J].信息与电脑:理论版.2011 (05) .
业务认证论文 篇6
日前, 建设银行顺利通过国家信息安全测评并正式取得了安全测评证书。
根据中国银行业监督管理委员会《电子银行安全评估指引》 (银监发[2006]9号) 的相关要求, 建设银行于2010年正式启动了电子银行业务安全评估工作, 聘请中国信息安全测评中心对建行个人网上银行业务、企业网上银行业务、国际互联网网站查询业务进行全面的安全评估。
业务认证论文 篇7
建立联网收费系统, 尤其是电子不停车收费系统 (electronic toll collection, ETC) 是提高收费车道通行能力、缓解收费拥堵的一种有效手段, 而保证交易数据的安全传输和完整性、交易行为的不可抵赖性、以及对人员身份和权限的管理是ETC系统安全运行的关键[1]。通过建立联网收费证书认证系统, 可以实现对人员身份、权限的管理, 保证收费原始交易记录的保密性、完整性、真实性和不可抵赖性[2]。
对人员身份和权限的管理是保证信息系统安全的重要措施, 必须保证只有合法的、经过认证的人员才能访问信息系统, 同时所有访问人员也只能进行被授权的操作。利用CA认证系统对收费系统的所有使用人员进行认证, 并将签发的数字证书存储在USBKEY中由各人员自己保管, 通过证书—人员身份—角色—权限的对应关系实现对系统使用者的身份认证和权限管理, 保证对收费系统访问的合法性和安全性。ETC车道是ETC收费交易的直接执行者, 完成ETC收费交易后交易数据将存储在车道的收费主机内, 并上传至收费站、省拆分结算中心;车载设备单元 (on board unit, OBU) 和IC卡发行充值点是发行和维护OBU、非现金支付卡充值和维护的直接执行者, 它们都需要向拆分结算中心上传交易数据, 因为所传数据均涉及交易金额, 必须保证数据传输的保密性、完整性和不可抵赖性。这些安全要求可以通过为ETC车道、客户服务点和结算中心的读写设备签发安全证书, 利用公/私钥对交易数据进行数字信封封包来实现。
另外, 省收费中心还需要与委托银行相互认证, 交换交易结算数据, 也要求收费中心与委托银行通过证书进行身份认证以及保证数据的保密性、完整性和不可抵赖性。
1 证书认证系统的总体架构
1.1证书认证系统逻辑架构
收费系统的证书认证系统在逻辑上分为核心层、管理层和服务层。其中, 核心层由密钥管理中心 (key management center, KMC) 、证书/CRL签发系统和证书/CRL存储发布系统组成;管理层由证书管理系统和安全管理系统组成;服务层由用户注册管理系统和证书/证书状态查询系统组成[3]。证书认证系统逻辑架构如图1所示。
1.2证书认证系统网络架构
根据省联网收费系统的省收费中心、路段分中心、收费站和车道4级体系, 证书认证系统由3级体系组成, 如图2所示。在省收费中心建立CA中心, 部署证书和CRL签发服务器、密钥服务器和目录服务器, 负责为收费系统内的工作人员和读写机具签发证书及CRL、生成加密密钥和实施密钥托管、以及发布证书和撤销列表 (certificate revocation list, CRL) 。另外, 省收费中心的签发服务器还需要与委托银行的签发服务器进行交叉认证, 建立相互间的信任关系。各路段分中心建立RA服务器, 负责该路段的人员和读写机具合法性的审查、以及个人和设备信息的收集, 向CA提交证书签发申请, 从CA接收签发的证书和加密密钥, 并将其存储到USBKey或PSAM卡中。各级服务器和主机组成认证系统的第3级, 它们通过验证人员的证书确定其身份的合法性并授予相应的操作权限, 另外, 需要上传交易数据的主机还需要利用公/私钥对交易数据进行封装。
2 证书认证系统的主要功能
认证系统的主要功能包括证书管理、CRL管理、密钥管理、策略管理、日志与审计等。
2.1证书管理
包括证书申请、签发、注册、更新、撤销、下载及证书状态查询等功能[4]。
1) 证书的申请与签发。
PSAM卡或USBKey在启用时, 向所在路段分中心的RA申请证书。RA验证PSAM卡或人员身份的合法性后登记设备或人员信息, 并将申请信息提交CA中心。证书申请与签发的流程为:
(1) 在PSAM卡或USBKey内生成公/私钥对, 保存在设备的安全存储区内, 私钥只能使用不能读出, 公钥可读出。
(2) 读出公钥, 将公钥连同PSAM卡及对应机具的个人化数据或系统人员的身份信息上传RA, RA验证信息的合法性后将其提交CA中心。
(3) CA中心生成证书。具体过程为:CA解析PKCS证书请求, 获取用户信息和公钥, 判断证书通用名CN是否已经存在, 若不存在则读取证书策略 (包括有效期、密钥用法等) , 然后将这些信息传给KMC。如果申请设备证书, 则KMC生成1个加密密钥对。KMC调用CA证书的私钥分别对加密和签名公钥签名, 并将加密密钥对和签名结果返回CA, CA将签名、公钥、用户信息、有效期等内容组成X.509 V3格式的证书。然后, CA将证书、加密密钥对返回给RA。另外, CA还需要将证书保存到证书库中。
(4) 由RA将加密密钥对和证书下载到PSAM卡或USBKey中安全存储, 并将PSAM卡或USBKEY发放给证书申请者。
2) 证书注册。
由于签名密钥是在USBKey或PSAM卡内生成的, 签名证书申请成功后, 需要进行设备入网注册。只有通过身份注册的签名证书才能在联网收费系统中正常使用。签名证书的注册流程如图3所示:
3) 证书更新。
当出现如下3种情况时, 安全证书应该被更新:
(1) 加密公钥或签名私钥的使用期限已经过期;
(2) 加密或签名密钥对的私钥已经或怀疑泄密, 该密钥对被撤销;
(3) 读写机具的甄别名称变更, 或系统人员身份信息变更, 如职务变更、单位变更。
CA中心在进行必要的审核后向证书持有者发放新证书或将证书的有效时间延长。证书的更新包括证书的更换和证书的延期2种情况, 证书的更换其实是重新颁发证书, 因此证书更换的过程和证书的申请流程基本一致;证书的延期只是将证书的有效期延长, 其用于签名和加密的密钥对不变。
4) 证书撤销。
根据不同的原因, 撤销可能由RA管理员根据CA系统策略强制执行, 也可能由用户自己提出撤销申请。当用户申请撤销证书时, 向RA提交撤销申请, 其中撤销申请包含待撤销证书的信息和用户身份验证信息, 如撤销授权码, RA验证申请的合法性后将请求提交给CA中心, CA中心撤销证书、更新证书库中的证书状态、更新和发布CRL到LDAP目录服务器。
需要注意的是, 如果撤销人员的身份证书, 撤销申请人 (证书所有者或系统管理人员) 应该首先通知身份认证服务器管理员删除人员信息数据库中待撤销证书与人员身份的映射关系, 即删除存储该证书的USBKey对收费系统的访问权限, 防止攻击者在得到他人USBKey后在证书撤销期间利用该USBKey假冒他人身份登录收费系统进行违规操作, 如修改收费数据。
5) 证书状态查询。
通过LDAP服务器发布CRL来实现对证书状态信息的查询。
6) 证书下载。
LDAP服务器负责发布系统内所有人员和读写机具的证书及CRL, 任何可以访问目录服务器的实体都可以下载自己或他人的安全证书。
2.2CRL管理
包括CRL签发、CRL发布、CRL更新等。
2.3密钥管理
因为签名密钥对在PSAM卡中生成, 私钥不可导出, 所以密钥管理主要包括CA根密钥管理、服务器密钥管理、各级管理员和操作员密钥的管理、以及加密密钥管理。
2.4策略管理
包括管理员策略、CRL策略、证书策略等。
管理员策略指定各级管理员的信息, 在管理员登录时用于身份认证。该策略应该由授权系统管理员制定且不能被一般管理员访问或修改, 同时还应该设置每个管理员在CA认证系统中的权限。
CRL策略指定了CRL刷新时间、刷新周期等。
证书策略实现高度灵活和可扩展地配置CA所签发证书的主题、有效期、扩展、版本、密钥长度、类型等。
2.5日志与审计
CA系统应该具有完善的日志与审计功能, 如统计各CA、RA的证书颁发情况、记录RA与CA的操作日志、对所有操作人员的行为进行审计等。通过日志, CA可以在系统产生故障时根据日志记录对系统进行恢复, 并对操作行为进行追踪。
3 ETC系统中证书的应用模式
3.1系统人员身份认证
收费系统中设置身份认证服务器负责管理人员身份和操作权限, 它维护一个人员身份信息数据库, 负责存储所有系统人员的身份信息, 并建立人员身份和证书、身份和角色、以及角色和权限的映射关系。身份认证服务器应该由专人管理, 并实施严格的安全管理和防护策略, 以保证人员身份信息的安全[5]。
当系统管理员或操作员登录收费系统时, 需要插入USBKey并输入口令。收费系统读取USBKEY中的证书, 并组织人员身份认证请求 (包含所读取的证书及其它认证协议需要的信息) 发送给身份认证服务器。认证服务器收到请求后对请求信息进行解析和认证处理。首先, 它利用证书签发者的公钥验证证书的签名是否正确, 并确认证书在有效期内;其次, 认证服务器查询LDAP服务器下载最新的CRL, 检查证书是否被撤销;再次, 认证服务器生成一个随机数nonce并发送给收费系统, 要求USBKey利用私钥对nonce值签名, 并将签名结果返回。认证服务器验证对nonce的签名, 验证通过则表示该USBKey拥有证书对应的私钥, 能合法地代表人员身份。最后, 如果所有验证都获得成功, 则认证服务器从数据库中获取人员的身份信息, 并将允许登录通知和身份信息一起发送回收费系统, 收费系统根据收到的消息允许该人员登录并做好人员登录的日志记录和操作授权;当任何一步验证未通过时, 认证服务器返回认证失败消息, 收费系统将拒绝人员登录。系统人员身份认证过程如图4所示。
3.2收费数据的安全处理
数据从读写机具到拆分结算中心的交换过程中, 严格按照X.509标准的数字信封封包流程进行。通过运用信息摘要并采用私钥进行签名来保证信息的完整性和抗抵赖性;通过对信息的对称加密来保证信息的机密性和处理速度;采用对方的公钥对对称密钥进行加密处理形成数字信封, 从而保证只有对方私钥才能解封, 因此保证对称密钥在网络传输的安全性。交易数据的数字信封封/解包操作如图5所示。
1) 将要传输的信息经hash运算后, 得到1个数据摘要MD, MD=hash (信息) 。
2) 机具方用PSAM卡的签名私钥对数据摘要MD进行加密, 得到数字签名。
3) 机具方用PSAM卡生成临时对称密钥。
4) 机具方用临时对称密钥对信息明文、数字签名和PSAM的公钥进行对称加密, 得到密文。
5) 机具方从管理结算中心的证书中提取公钥, 用公钥对临时对称密钥加密, 形成数字信封。
6) 将密文和数字信封连接起来, 形成信息交互内容, 发送到管理结算中心。
7) 管理结算中心用自己的私钥对数字信封进行解密, 得到临时对称密钥。
8) 管理结算中心用临时对称密钥将密文还原成信息明文、数字签名和PSAM的公钥。
9) 管理结算中心对信息明文, 用同样的hash算法计算出新的数据摘要MD’。
10) 管理结算中心用PSAM卡的公钥解密数字签名, 得到数据摘要MD。
11) 比较还原的数据摘要MD和新计算得到的MD’, 如果一致则验签成功, 进行后续的交易数据处理流程。
4 结束语
分析了高速公路联网电子不停车收费系统中建立证书认证系统的必要性, 指出建立证书认证系统是实现系统人员登录控制和权限管理、以及交易数据安全处理的关键。介绍了证书认证系统的逻辑和网络架构, 对认证系统的主要功能进行了全面的分析, 设计了ETC系统中安全证书的应用模式, 实现对系统人员的登录控制和交易数据的安全处理。
参考文献
[1]金凌, 钱钢.高速公路联网收费系统的信息安全[J].计算机工程, 2003, 29 (10) :124-126.
[2]潘勇.高速公路联网电子不停车收费系统安全体系的设计和实现[D].上海:上海交通大学, 2007.
[3]吴嘎.基于PKI的证书认证系统设计与实现[D].长沙:长沙理工大学, 2007.
[4]黄海, 白树仁.遵循X.509标准的CA认证中心设计与实现[J].计算技术与自动化, 2008, 27 (1) :96-99.
业务认证论文 篇8
国家电网公司(以下简称国网公司)在“十一五”信息发展规划中明确提出以实现信息化促进公司集团化运作、集约化发展、精益化管理和标准化建设的目标。面向“十二五”,面对国网公司深入推进“两个转变”、“三集五大”的管理要求,对信息化建设提出了更高的要求。鉴于此,在国网公司SG-ERP信息化建设总体规划指导下,在总部信息化工作部统一组织领导下,对各业务系统从管理需求、用户规模、软硬件资源等方面综合考虑,统筹规划,启动了对具备条件的业务系统开展一级部署改造工作。
纪检监察、国际合作等业务系统作为第一批试点项目开展一级部署改造工作,这些业务系统在两级部署模式下已投运多年,已完成与各网省企业门户和目录服务的集成,用户可通过门户系统以单点登录方式访问这些业务系统。如何有效保证一级部署改造后,各级用户在两级目录服务间的身份认证,并确保用户系统使用体验不发生变化,是一级部署改造工作成功与否的关键因素之一。为此,引入了反向级联认证技术,有效地解决了业务系统进行一级部署改造以后总部、网省、地市三级用户对业务系统的访问方式不变,实现了用户平滑访问的目标,保证了业务系统一级改造工作顺利完成。
1 一级部署
“十一五”期间,国网公司已建成“两级部署、三层应用”的企业级信息管理体系,但是随着企业的发展,对信息化建设提出了更高的要求,通过分析发现一部分业务系统的用户规模不大,业务需求也不十分复杂,完全可以在总部进行集中部署,即一级部署。对业务系统进行一级部署改造,既可构建一套能满足相应业务部门的业务需求、又能稳定运行并提升业务部门管理水平的一体化综合管理平台,除此之外,也为系统建设及后期运维节约了大量的人力物力。一级部署业务系统总体功能架构如图1所示。
1)加强总部管控。采用一级部署模式,业务部门进一步规范相应业务流程,并在公司内统一执行,进而提升其标准化、集约化水平,加强总部管控。
2)增强数据可靠性。采用一级部署模式,总部及网省数据直接保存在总部数据库中,统一进行数据库备份与容灾,从而保证了数据的可靠性。
3)节约投资成本。采用一级部署模式,将缩减网省公司的服务器使用数量、软件使用许可及机房建设费用,节约了投资成本。
4)降低运维工作量。采用一级部署模式,运行监控、定期巡检、故障处理、应急处理、数据备份、容灾处理等工作仅在国网公司总部进行,降低了网省公司系统运维工作量。
由于国网公司在运的系统比较多,同时也为了规避风险,不可能将所有在运的系统同时进行一级部署改造,因此挑选一部分业务系统先进行一级部署改造是必然的选择,这样就形成了业务系统一级部署和两级部署2种方式并存的局面。由于目录和门户的建设仍是总部、网省两级部署,而对于一级部署业务系统来说,仅在总部部署一套业务系统。为保证用户的系统使用体验不发生变化,确保总部、网省、地市三级用户对一级部署业务系统的访问方式不变,引入了反向级联认证,实现用户平滑访问的目标。
2 反向级联认证
2.1 身份认证系统
身份认证系统由访问网关和身份认证管理服务器构成,是公司范围内集成的应用系统的统一访问入口,提供了对用户身份的集中认证,对企业门户和应用系统安全访问,身份认证系统总体架构如图2所示,访问网关基于反向代理技术,利用身份注入机制实现对企业门户和应用系统的单点登录。公司各级用户通过认证系统构成一个安全域,用户在所属的安全域认证成功后,可以通过单点登录实现对企业门户及不同应用系统的自由访问。
2.2 反向级联认证
一级部署的业务系统由于只在公司总部部署,加之信息系统安全设计上的考虑,网省用户无法通过网省门户系统对总部一级部署业务系统进行访问。为解决这一问题,利用两级身份认证系统,可实现网省用户向上访问公司总部的一级部署业务系统,这种认证方式称之为反向级联认证。反向级联认证实现原理如图3所示,反向级联认证的实现主要包括以下4个方面:两级时间服务同步机制,两级DNS服务数据同步机制,两级身份目录同步机制以及身份匹配策略。
2.2.1 两级时间服务同步机制
在反向级联认证过程中,用户身份信息的传递需要精确的时间间隔,如果时间相差太大,将导致用户信息传递不同步甚至导致用户认证失败。
为确保网省的身份认证服务器、访问网关与总部身份认证服务器和访问网关之间的时间同步,结合各地实际情况,分别采用了以下2种方式中的一种来建立时间服务同步:(1)在网省公司自建二级时间服务器,并通过一台专门的时间服务器与总部的时间服务器进行时间同步;(2)将总部目录服务器作为二级时间服务器,网省公司直接与总部的二级时间服务器进行时间同步。
不论通过哪种方式,均有效保障了用户信息传递的可靠性以及保证身份级联认证的稳定性。
2.2.2 两级DNS域名数据同步机制
在反向级联身份认证中,需要保证两级DNS系统中相关服务器的域名一致,确保用户信息的正确识别和认证的正常执行。两级DNS系统域名数据的同步可通过DNS直接查询、DNS托管和DNS转发3种方式来实现,或者当在总部与网省DNS完全不互通的情况下,可考虑采取手动方式进行同步。
2.2.3 两级用户身份同步机制
总部、网省目录系统间的用户身份同步是进行反向级联认证的必备条件。两级用户身份在同步时遵循的规则如下。
1)明确两级目录系统间的用户身份同步必须使用完全一致的数据结构。
2)两级身份目录数据的同步是双向的。在用户同步后,两级用户身份信息均需要确保相关用户中邮箱属性为非空且无重复。
3)由于两级身份目录数据的同步是双向的,通过对同步用户的“用户名”(或叫“通用名”)属性值增加前缀的方式来避免同步后重名情况的出现,前缀采用用户所属地的汉语拼音大写首字母的缩写。
4)确保用户的密码在用户身份同步时也进行同步,以避免出现由于密码不同步而造成的认证失败。
2.2.4 身份匹配策略
反向级联认证过程中的身份匹配策略如下。
1)采用用户名和密码作为匹配条件。
2)采用用户邮件属性作为匹配条件。当用户在进行反向级联认证中,网省与总部用户间的用户名和密码能够一一对应,并且邮箱能够对应时,该用户将通过级联认证。
3 系统中的应用
反向级联认证技术在一级部署业务系统中所起到的关键作用主要体现在全网用户身份信息的统一和同步,以及跨域的反向单点登录。跨域的反向单点登录,有效解决了网省用户获得所请求的总部一级部署业务系统资源,来访问相应系统,实现了用户平滑访问的目的。网省用户通过反向级联认证平滑访问总部一级部署业务系统的过程如图4所示。
1)网省用户向网省身份认证服务请求级联访问总部一级部署业务系统。
2)网省身份认证服务将用户重定向到总部身份认证服务。
3)总部身份认证服务向网省身份认证服务请求该反向级联访问的用户身份。
4)网省身份认证服务接收总部反向级联认证请求,检测当前该用户是否已在网省认证登录,如果未登录,则对用户进行认证登录,如果已经登录,则返回网省用户登录已成功及相关身份信息。
5)总部身份认证服务获取网省身份认证服务返回的反向级联认证结果,并通过属性映射规则在总部认证目录匹配该用户身份。
6)如果在总部认证目录中查找到的匹配用户身份不存在或者多于一个,则提示认证失败,反之,则认证成功。
7)认证成功后,返回网省用户所请求的总部一级部署业务系统资源。
8)总部认证管理服务与网省认证管理服务之间是通过Liberty协议,建立互信关联,实现平滑访问。
4 结语
目前,包括纪检监察业务系统在内的国际合作、科技管理、审计管理、企业协会等综合管理类业务系统均已完成一级部署改造,并利用反向级联认证技术有效实现了总部、网省、地市三级用户均可通过本地门户系统以单点登录方式平滑访问一级部署业务系统,反向级联认证技术在一级部署业务系统中的成功应用,为其他业务系统进行一级部署改造进行了有益的探索、积累了经验,也充分证明了一部分业务系统率先进行一级部署改造是切实可行的,在一定程度上避免了投资风险,具有良好的示范效果。
摘要:为解决一级部署业务系统各级用户的平滑访问,引入了反向级联认证技术。反向级联认证是在充分考虑信息安全原则的前提下,利用总部和网省两级身份认证系统,实现网省用户访问总部一级部署业务系统的身份认证方式。反向级联认证在一级部署业务系统中的成功应用,为其他业务系统进行一级部署改造进行了有益的探索、积累了经验,也充分证明了一部分业务系统率先进行一级部署改造是切实可行的,在一定程度上避免了投资风险,具有良好的示范效果。
业务认证论文 篇9
关键词:网上公积金系统,CA认证系统
0 引言
利用CA电子认证系统是目前比较成熟先进的方式,在很多政府及行业上已大量采用。公积金中心可部署集成的CA系统,通过CA为系统用户发放数字证书、使用数字证书,并结合加密技术,来保障公积金网上业务系统的信息安全。下面我就某市公积金中心如何应用CA电子认证系统进行论述。
1 CA认证系统规划图
考虑到某市公积金中心系统平台目前的实际应用需求和以后长远的发展,某市公积金中心宜采用托管建设型的CA建设模式。CA认证系统规划图如图1。
托管建设型是指中心配置一个集成的PKI平台,依靠第三方认证中心提供的托管建设服务联合共建PKI/CA系统。利用第三方认证中心建设的高可靠性、高稳定性和高安全性的认证中心,将PKI/CA系统的核心后台———认证中心(CA)托管建设在第三方认证中心,在中心本地建设面向最终用户提供证书管理服务的PKI前置平台———注册中心(RA)和对PKI平台进行全权管理的CA管理端。
2 CA系统建设方案
为了解决中心公积金应用系统平台的安全需求,本方案利用PKI技术,采用天威诚信托管型CA建设服务,为中心提供一套完善的安全解决方案,方案的总体设计思想如图2所示。
采用天威诚信托管型CA建设服务,为中心建设一套托管型CA系统,CA系统建设在天威诚信认证中心,由中心自己管理,制定CA管理策略,为用户提供数字证书服务;依据天威诚信的丰富的运营和管理经验,由天威诚信为中心提供CA的运营和管理咨询服务;依托天威诚信第三方机构的合法身份和天威诚信丰富的鉴证经验,由天威诚信为某市公积金中心设计鉴证流程和方法,并委托中心完成对某市公积金中心所有用户的身份鉴证工作,为用户签发证书。保证了某市公积金中心CA的所颁发的证书过程的安全性和证书的法律效力。
某市公积金中心系统平台集成数字证书应用的安全功能,对于用户来说,必须使用数字证书才能登录系统,系统通过验证提交的数字证书,来验证某市公积金中心用户的身份,实现身份认证和访问控制;在发生网上业务时,需要采用证书进行交易签名以完成交易;登录某市公积金中心的用户发送电子文件时,使用数字证书对电子文件进行数字签名,并通过加密通道进行传输,来保证电子文件的机密性、完整性和抗抵赖性,同时,将签名证据保存起来,在出现法律纠纷时,可以提取签名证据作为法律依据。
为了保证用户的企业证书及其私钥的安全,采用USB Token来保存用户的证书和私钥。USB Token是一种安全的证书存储介质,可以保证保存在USB Token上的证书私钥不能够被导出,保证证书的安全,并且方便用户移动使用。
3 某市公积金中心CA认证流程设计
3.1 证书鉴证流程设计
设计的鉴证流程如下:(1)由某市公积金中心专职部门、个人负责鉴证用户的合法性,包括用户的真实身份、所属单位、是否申请真书等等信息;(2)鉴证通过后,由公积金中心的相关管理人员登录到证书申请系统,为合法用户填写相关的证书申请资料,并向系统提交。
系统管理员收到提交的证书申请信息后,因为用户已经经过了中心管理人员的认证,认为此用户已经是合法用户,已经通过了鉴证,故直接为用户签发证书即可。
3.2 证书注册模式设计
管理员直接访问证书申请页面,填写用户的所有注册信息,为用户申请证书,这种模式下,需要管理员将所有需要的信息全部的录入到证书注册系统中。
3.3 证书管理流程设计
3.3.1 证书发放流程
某市公积金CA认证系统的证书发放采取集中发证的模式,让管理员把证书集中申请下来,保存到USB KEY中,然后发放给用户使用。图3是证书发放的具体流程图。(1)管理员通过浏览器对某市公积金中心的CA认证系统进行访问,在证书申请页面中填写最终用户的相关信息,然后将申请要求提交给某市公积金中心的CA认证系统。在本地产生证书公私钥对,然后向CA认证系统提交公钥以及用户信息;(2)CA认证系统根据管理员提交的证书申请要求用户证书予以批准或签发,同时在数据库中上传用户证书,然后将证书反馈给管理员,并在USB KEY中保存;(3)管理员将申请好证书的USB KEY发放给最终用户。
3.3.2 证书吊销流程
在用户证书的私钥受到威胁、或者用户私钥丢失时,需要吊销用户的证书,根据某市公积金中心信息系统的应用情况,本方案建议证书吊销由管理员进行,其工作流程如下:(1)管理员在发现用户违反使用规定,或者用户自己向管理员发送邮件,请求吊销自己的证书时,管理员访问CA认证系统管理员模块,进行用户证书吊销用户;(2)管理员通过证书管理功能页面,查询到需要吊销的用户证书;(3)管理员选择吊销操作,选择吊销用户证书的原因,向CA认证系统发送证书吊销请求;(4)CA认证系统根据管理员的证书吊销请求,自动的吊销用户的证书,并将吊销的用户证书发布到证书吊销列表中,同时对数据库中保存的用户证书的最新状态进行更新;(5)CA认证系统给管理员返回证书吊销成功信息,同时给用户发送电子邮件,告诉用户证书已经被吊销,不能再使用自己的证书。
3.3.3 证书更新流程
最终用户在其证书即将过期之前,需要访问CA认证系统,更新自己的证书,其流程为:(1)最终用户在证书即将过期前(一般为一个月),访问某市公积金中心CA认证系统,登录用户服务页面,点击“证书更新”选项;(2)系统自动识别用户是否具有某市公积金中心CA认证系统颁发的数字证书,并且判断是否过期,如果即将过期,便提示进行更新;(3)用户选择需要更新的证书,点击提交,向CA认证系统提交证书更新请求。在提交证书更新请求时,在USB KEY中,重新产生更新证书的公私钥对,将公钥和即将过期的证书一起,作为证书更新请求,提交给CA认证系统。
用户证书的更新由CA认证系统自动完成,并将新证书传输至目录服务器,并将其反馈给用户,并在USB KEY中完成保存。
3.4 公积金应用系统身份认证流程
基于B/S架构的某市网上公积金应用系统集成安全功能后,图4为系统登录过程。
3.5 身份认证和访问控制流程图
用户将带有证书的USB KEY通过插入计算机系统,通过安全连接方式(HTTPs方式)进入信息系统开始系统操作;
信息系统Web服务器发出响应,并出示服务器证书,将Web服务器的真实身份现实出来,用户在此时将证书提交给系统;
服务器证书的验证由用户浏览器来完成,即对系统的登录信息是否真实进行验证;
用户在USB KEY中完成证书保存的操作,并及时提交给系统;然后由信息系统Web服务器多用户身份的真实性进行验证;
确定用户身份真实以后,由Web服务器通过对用户证书的解析,来获取用户信息,并参照用户信息对信息系统的访问控制列表(ACL)进行查询,进而为用户取得系统的访问权限;
使用户浏览器与信息系统服务器实现SSL连接,用户可访问到请求的资源,完成访问控制流程以及身份认证,用户成功登录系统。
我们已在某市的公积金中心成功实践了这套方案,并取得了较好的效果,既保证了系统操作的安全性,同时也满足了用户的使用需求。
参考文献
[1]李鹏,滕桂法.CA认证市场扫描[J].网络安全技术与应用,2004,(07).
[2]周诚,刘电霆.基于EJBCA的CA系统的研究与实现[J].广西轻工业,2009,(12).