陳玉龍 冷東波

（中國人民銀行長春中心支行，吉林長春 130051）

吉林省支付清算系統(tǒng)參與者數(shù)字證書使用現(xiàn)狀調查與現(xiàn)存問題分析及建議

陳玉龍 冷東波

（中國人民銀行長春中心支行，吉林長春 130051）

目前，基于數(shù)字證書的安全認證體系廣泛應用于全國支票影像交換系統(tǒng)（以下簡稱CIS）、支付管理信息系統(tǒng)（以下簡稱PMIS）、電子商業(yè)匯票系統(tǒng)（以下簡稱ECDS）、網(wǎng)上支付跨行清算系統(tǒng)（以下簡稱IBPS）以及第二代支付系統(tǒng)的支付業(yè)務統(tǒng)計分析系統(tǒng)（以下簡稱PSAS）和行名行號管理系統(tǒng)（以下簡稱BCMS），數(shù)字證書的使用與管理已經(jīng)成為支付清算系統(tǒng)安全穩(wěn)定運行的重要方面。2013年第三季度，中國人民銀行長春中心支行清算中心（以下簡稱長春清算中心）開展了吉林省支付清算系統(tǒng)參與者數(shù)字證書使用情況統(tǒng)計調查，組織數(shù)字證書即將到期的參與者統(tǒng)一完成了換發(fā)工作，針對參與者數(shù)字證書過期、未激活等問題進行了徹底清查和處理，并完成了第二代支付系統(tǒng)參與者數(shù)字證書的申請發(fā)放工作，保障了第二代支付系統(tǒng)順利上線切換和參與者業(yè)務數(shù)據(jù)信息查詢的順利過渡。

一、吉林省支付清算系統(tǒng)參與者數(shù)字證書存量統(tǒng)計

截止2013年9月30日，長春清算中心審核發(fā)放支付清算系統(tǒng)參與者數(shù)字證書共計280個。按系統(tǒng)分類：CIS數(shù)字證書70個，PMIS數(shù)字證書36個、ECDS數(shù)字證書57個、IBPS數(shù)字證書2個、第二代支付系統(tǒng)PSAS和BCMS數(shù)字證書115個；按參與者分類：人民銀行使用數(shù)字證書142個，金融機構使用數(shù)字證書138個；按參與者接入系統(tǒng)方式分類：以直連方式接入的金融機構數(shù)字證書20個，以分散或間連方式接入的金融機構數(shù)字證書260個。

二、數(shù)字證書換發(fā)和第二代支付系統(tǒng)數(shù)字證書申請發(fā)放情況

2013年長春清算中心轄內多家人民銀行和金融機構的支付清算系統(tǒng)數(shù)字證書將在年內陸續(xù)到期，為確保CIS、PMIS、ECDS和IBPS安全穩(wěn)定運行，做好數(shù)字證書到期換發(fā)工作，長春清算中心下發(fā)《中國人民銀行長春中心支行關于換發(fā)、撤銷支付系統(tǒng)數(shù)字證書的通知》（長銀辦發(fā)[2013]87號），組織相關參與者統(tǒng)一完成換發(fā)和過期撤銷工作。本次共計完成數(shù)字證書換發(fā)80個，撤銷過期不用數(shù)字證書12個，協(xié)助、指導5家ECDS和IBPS參與者完成數(shù)字證書解除綁定與重新綁定。第二代支付系統(tǒng)上線切換前，長春清算中心審核發(fā)放第二代支付系統(tǒng)數(shù)字證書共計115個，其中人民銀行個人證書79個，商業(yè)銀行企業(yè)證書36個。確保人民銀行和轄內商業(yè)銀行用戶正常接入第二代支付系統(tǒng)。

三、支付清算系統(tǒng)參與者數(shù)字證書日常使用中存在的問題

（一）數(shù)字證書下載、安裝過程中存在的問題

數(shù)字證書下載、安裝過程中，普遍存在下載超期以及下載、安裝不正確的問題。數(shù)字證書密碼信封中含有下載證書所需要的參考碼和授權碼（以下簡稱兩碼），兩碼自審核打印之日起14天內有效。未在規(guī)定日期內登錄CFCA網(wǎng)站下載證書，將造成兩碼失效，無法下載。需經(jīng)清算中心重發(fā)兩碼后重新下載。支付清算系統(tǒng)參與者證書管理員下載證書時，應按照《人民銀行XX系統(tǒng)用戶證書下載手冊》進行下載，注意區(qū)分文件證書和USBKEY證書的下載方式。個別支付清算系統(tǒng)參與者證書管理員未按要求選擇“制證方式”和“軟件CSP”，導致證書下載出錯或下載到其他地方。遇這種情況，需清算中心補發(fā)后重新下載。

（二）數(shù)字證書日常使用和管理中存在的問題

目前，長春清算中心轄內采用分散接入或間連接入模式的參與者較多，占比92.86%。以CIS業(yè)務為例：2012年吉林省CIS提入提出業(yè)務總量327筆，其中人民銀行46家票據(jù)交換所共辦理CIS業(yè)務26筆，占比僅為7.95%；9家直連商業(yè)銀行虛擬票交所辦理CIS業(yè)務301筆，占比92.05%。分散和間連參與者業(yè)務量較小，數(shù)字證書使用率和日常維護工作較少，容易造成業(yè)務不熟練和疏忽大意。多數(shù)商業(yè)銀行的支付清算系統(tǒng)數(shù)字證書由業(yè)務人員負責申請和使用，由科技人員負責下載和安裝。由于時間跨度長、涉及部門多、業(yè)務量小和日常維護少等原因，個別支付清算系統(tǒng)參與者在發(fā)生人員變動、輪崗等情況時交接不規(guī)范，疏忽了對數(shù)字證書相關工作的交接管理，造成繼任人員不熟悉，甚至不知道數(shù)字證書相關工作事項，給日后的業(yè)務運行和異常處理造成風險隱患。

（三）數(shù)字證書到期換發(fā)期間存在的問題

一是數(shù)字證書到期未及時申請換發(fā)。支付清算系統(tǒng)數(shù)字證書的有效期為3年，為不影響正常業(yè)務，支付清算系統(tǒng)參與者證書管理員應在證書到期日前及時申請換發(fā)。二是到期不再使用或由于機構撤并原因不再使用的數(shù)字證書未及時申請撤銷。三是IBPS和ECDS數(shù)字證書換發(fā)后需要解除舊證書綁定，重新綁定新證書。在解除舊證書綁定時，由于證書換發(fā)操作使得舊證書失效，因此解除綁定失敗，新證書的重新綁定也無法完成。

（四）關于數(shù)字證書的業(yè)務咨詢和技術支持問題

目前，清算中心和支付清算系統(tǒng)參與者數(shù)字證書使用中遇到問題主要咨詢清算總中心有關部門和中金金融認證中心有限公司（以下簡稱CFCA）。CFCA技術支持采用熱線電話接線員記錄問題并發(fā)給CFCA工程師，數(shù)字證書使用者反應問題后只能被動等待CFCA工程師的電話，使得處理問題的效率不高。再者CFCA技術支持人員對支付系統(tǒng)的了解程度不夠，造成某些問題不能給出有效處理辦法。

四、加強數(shù)字證書使用與管理的具體措施及建議

1.支付清算系統(tǒng)參與者相關部門應充分認識數(shù)字證書在支付清算系統(tǒng)中的作用，高度重視數(shù)字證書的日常使用管理，建立健全并嚴格落實有關數(shù)字證書的規(guī)章制度，加強內部協(xié)調與內控管理，明確崗位職責，強化崗位人員培訓，熟悉數(shù)字證書申請、下載、安裝、使用和管理的相關流程，加強崗位人員變動時的工作交接管理。

2.人民銀行應加強對支付清算系統(tǒng)數(shù)字證書使用者的管理，明確管理部門、監(jiān)督職責和處罰依據(jù)。目前，人民銀行審核發(fā)放數(shù)字證書后，對參與者數(shù)字證書的使用情況不能有效監(jiān)督，隨著數(shù)字證書使用者和數(shù)字證書存量的增多，對數(shù)字證書管理的有效手段不足。清算中心應定期組織對轄內參與者數(shù)字證書使用情況進行檢查，加強數(shù)字證書發(fā)放后的管理工作，對數(shù)字證書即將到期的參與者做好到期提示，對較長時間未使用數(shù)字證書的參與者做好風險提醒。

3.對于IBPS和ECDS換發(fā)證書后舊證書失效無法解綁的問題，可以適當延長舊證書的有效時間，換發(fā)后舊證書不立即失效，給參與者留有足夠的解綁舊證書的操作時間。清算總中心也可以根據(jù)屬地管理的原則，考慮下放數(shù)字證書解除綁定的權限到CCPC業(yè)務主管，以便及時處理參與者數(shù)字證書解綁與重新綁定期間出現(xiàn)的問題。

4.對于分散接入或間連接入?yún)⑴c者出現(xiàn)的數(shù)字證書丟失、口令忘記、到期未及時申請換發(fā)等問題，人民銀行應該以業(yè)務量增長促進參與者數(shù)字證書的使用，大力宣傳支付系統(tǒng)業(yè)務，從根本上解決參與者數(shù)字證書長期閑置不用的狀況。

總之，從保障支付清算系統(tǒng)數(shù)據(jù)傳輸和交換過程中的不可抵賴性和完整性到進行用戶身份認證、取代實體簽章，數(shù)字證書在支付清算系統(tǒng)中起到越來越重要的作用，各支付清算系統(tǒng)參與者應加強自身數(shù)字證書日常使用管理，人民銀行相關部門應嚴格審批，加強監(jiān)管，確保數(shù)字證書使用和管理安全。■

（責任編輯：何昆燁）

陳玉龍，男，漢族，本科，中國人民銀行長春中心支行，工程師。冷東波，男，漢族，本科，中國人民銀行長春中心支行，工程師。