一文读懂银企直联
从2000年中国本土第一次出现资金管理系统至今,中国企业财资管理已经发展了二十年,这也是中国银企直联服务发展的二十年。作为财资管理的底层技术支撑,银企直联一直是中国财资管理行业发展道路上的基石。银企直联之于财资管理,好比是人的四肢之于人的整体,如果人失去了四肢,则行动能力必然大打折扣,所能做的事情也大大受限。总体而言,若没有银企直联,企业根本无法实现跨银行的全局账户视通,也不能实现足不出户的企业直联支付,更无法实现跨银行的资金自动归集。银企直联之于企业财资管理的重要性不言而喻,然而依然还有很多企业甚至是相关从业人员对其都没有完整的了解,这也是笔者撰写本稿的目的所在。时至今日,很多企业的财资管理系统建设,依然还是围绕着银企直联能实现的能力展开的,将更多的精力投入在银企直联的建设当中。基于此,本文将结合行业发展现状,对银企直联的技术内涵、模式选择、建设路径进行多维度诠释,以期能为企业的银企直联建设提供借鉴参考。中国企业财资管理发展的二十年,也是银企直联发展的二十年。作为财资管理的底层技术支撑,银企直联一直是中国财资管理行业发展道路上的基石。通过银企直联,企业不仅可以实现跨银行的全局账户视通和足不出户的企业直联支付,还能实现跨银行的资金自动归集。然而,银企直联的建设无论是从接入模式还是实现模式来说,企业均面临着如何平衡建设成本与安全的问题,各企业应在充分了解企业自身可承受的成本投入能力及抗风险能力的基础上,选择合适的模式进行银企直联的建设。
全景视图:银企直联的技术内涵
何为银企直联?
所谓银企直联,它是指企业内部ERP系统或者是专业财资管理系统,通过银行开放的数据接口与商业银行业务系统、电子银行系统或者现金管理平台等实现无缝连接。通过银企直联对接,企业可实现账户余额、明细实时查询、实时转账以及电子回单获取,同时一些银行也逐渐在开放电子票据、票据池接口,这也为企业财资管理带来了更多的便利。简言之,企业财务原先需要通过企业网银来操作的业务,现在通过企业内部财资管理系统就能操作,前提就是该系统打通了与银行内部系统的银企直联接口。因此,接入银企直联正越来越成为企业财资管理发展过程中的一种刚需。360°解析银企直联
从技术层面来说,银企直联涵盖的内容甚广,以下从网络接入方式、前置程序、通讯方式、安全认证方式以及证书形式等多个维度来进行全面的详细介绍(图1)。
图1 银企直联介绍
有多少银行可以提供直联?
目前市面上的银行包括大型国有银行、股份制商业银行、城市商业银行、农村商业银行、外资银行、农信社等等,目前据央行发布的最新联行号信息库来看,银行数量虽然是有几千家以上,但是大致分成了300多个类别,比如浙江省很多小的地方行,都归入了浙江农村信用联社这个类别,这些银行在向外提供直联接口服务的时候,一般由省联社这样的组织来统一服务。因此,从目前央行划分的这个角度来看,能提供直联接口服务的银行机构应该不会超过300家,笔者所供职的公司从事银企直联开发已有十余年,目前也只打通不超过200家银企直联。由此也可以看出银企直联的接口开发是一件需要不断投入时间和资源,耗费大量人力、财力的事情,基本不存在一蹴而就的可能性。网络接入方式
目前,各银行主流的接入方式主要有公网接入和专线接入两种。其中,公网接入是指银企直联系统通过互联网的方式来连接银行端系统和企业端系统,这种接入方式成本较低,但网速容易受外部网络环境影响。专线接入是指银企直联系统采用专门的线路来连接银行端系统和企业端系统,这种接入方式需要企业按需求(月、年等)租用线路,成本比较高,但网速稳定,不易受外部网络环境影响。一般来说,银行均支持这两种接入方式,具体以哪种方式接入,最终以银行的要求为准。是否需要前置程序
目前,大部分银行都提供前置程序,企业对接该前置程序启动的服务,前置程序再与银行服务通讯,一般前置程序会负责签名验签以及与银行服务建立安全通讯通道,企业端通过银行提供的jar包或dll(嵌入式)进行调用。还有部分银行提供无前置方式,企业端直接与银行服务进行通讯,无前置方式根据银行是否公开通讯安全算法分为两类:一类是银行不公开安全算法,银行提供给企业jar包或dll,由企业的系统引入,企业只能通过银行提供的jar包或dll来调用银行的银企直联服务;另一类是银行公开安全算法,一般也会提供调用的demo,demo中会有可直接引用的jar包或者dll,企业端的系统可按照银行提供的说明自行实现或者参考demo实现调用银行的直联服务。通讯方式
在通讯方式上,银企直联一般可以分为三类:一是采用socket、http/https、webservice等方式实现信息传输;二是采用报文传输方式,其中以xml格式居多,也有json或者约定格式的文本(定长或者用分隔符分开);三是采用文件传输方式,一般是报文中会指定文件路径,有前置机本地目录、ftp/sftp、wtp等传输方式,这种文件传输方式主要针对数据量大的内容传输,应用于账户明细数据、代收付明细数据、交易对账单、回单文件等常见场景。安全认证方式
银企直联的安全认证方式主要分五种:一是企业端与银行端的交互,一般采用https或者类ssl的通讯协议;二是给每个企业发证书,采用证书进行通讯内容的签名验签;三是来源企业ip白名单方式;四是给企业分配唯一的客户号方式;五是部分银行有会话管理,如果有前置程序,会话登录一般由前置程序完成。证书形式
银企直联的证书形式可以分为三种:一是硬证书,即采用U盾形式,包括普通U盾和高速U盾;二是软证书,即以文件形式;三是加密机,也就是证书存储在加密机中,前置程序也安装在加密机中。各类证书形式的介质安全性、加密解密速度、稳定性、所需费用以及维护难易度各不相同,具体如表1。表1 三种证书形式的对比情况
最佳实践:成本与安全的平衡术
由于上述技术细节的不同,以及企业实际业务需求的差异性,银企直联的技术实现方式也各有不同,而企业采用哪种接入模式,市场上有很多不同的声音,给企业模式选择带来很多困惑,企业如何基于建设成本与系统安全之间作出平衡,笔者列举出几种市场主流模式加以分析。直联接入模式的利弊权衡
根据企业接入直联是否需要前置机、使用何种证书形式等方面来区分,目前国内银企直联的接入方式可以组合出常用模式、高频模式和无前置模式三种不同的接入模式(图2)。图2 银企直联接入模式
常用模式
前置程序+U盾(硬证书),这是很多银行提供的接入方案。其优点是企业的系统与银行前置程序交互,银行前置程序将直联服务封装得比较友好,一般是明文通讯,与银行端复杂的通讯逻辑由前置程序负责,前置程序调用U盾进行签名验签;缺点是这种方式的并发性能低,一般通过扩展前置机来提升性能,即申请多个U盾,部署多个前置程序进行负载均衡,另外就是U盾使用寿命短,一般1-2年就要进行更换。这种常见模式一般适用的企业对于直联证书保存安全性要求高,可以承担银企直联的一定建设及维护成本。高频模式
上述常用模式的升级版,采用加密机替代前置程序和U盾,即同时实现了前置程序和U盾的功能,性能提升10倍以上,加解密/签名验签速度能达到几十个U盾的速度,劣势是加密机成本比较高。高频模式适用的企业一般具有高频直联结算或者查询需求(例如超大型集团与互联网企业),且能承担较高的银企直联建设成本。无前置模式
无前置程序+软证书,这种方式性能高,省去了前置程序和前置机,可以降低企业和银行双方的部署运维成本,且对云平台的接入比较友好。这种模式适用于对银企直联建设成本承受能力较低、对性能要求高、对证书保存的安全性要求不高的企业。其实目前一些银行也开始推出开放银行的服务,理论上来说这是无前置模式的进一步延伸,API开放平台旨在将银行服务以API的方式向外界开放,打造一个开放共享、快速交付、面向服务封装的应用开发平台,将银行行内零散、线下、不统一的对外开放服务,汇聚为轻量化对接、标准化展示、集约化的服务。目前比如工行、招行等一些银行已经逐步开始提供开放平台的服务,这也是未来的一个发展方向。但是,笔者从技术实践出发,需要指出企业运转往往与多家银行合作,包括国有行、股份制银行与地方性商业银行,个别银行先行实践的优秀产品模式,绝大部分其他银行需要一年或者数年才能跟上;企业内部各类模式混合组建底层直联基础设施带来的运维管理压力是巨大的,资金管理的特殊性往往不允许企业追求新潮。当然,只跟一两个银行合作的企业不在讨论范围之列。直联上云的模式差异对比
当前,越来越多的中小企业开始对银企直联提出使用需求,但这些企业对系统实现成本又相对比较敏感,因此云模式对这部分客户来说是一个不错的选择。对于银企直联上云,目前市场上不同技术厂商实现的方式也各有不同,常见的有以下三种解决方案(图3)。
图3 银企直联上云解决方案
完全托管模式
完全托管模式又可以细分为两个分支:第一个分支是证书托管,这种分支模式下企业与银行间的银企直联协议仍需要照常签署,企业端不需要部署前置机,前置程序部署在云端(无前置模式除外),软证书或者前置机U盾也完全托管给云平台供应商。这种模式下,虽然云平台一般会在关键操作时需用户通过输入密码等方式进行鉴权,但理论上云平台提供者具有企业开通的该证书下的所有直联服务权限。举一个类比的例子,股票和期货交易资金全部是受银行监管的特殊账户内由用户自行操作交易完成,但证券公司和期货公司都不曾获得客户的账户全部权限,因此企业直接转移集团名下全部账户权限(载体为软证书或者U盾等物理介质)交给第三方在合规性上会有较大的争议。第二个分支是账户托管,所谓的账户托管就是由云服务商代表企业统一与银行签署并开通银企直联,企业则将本公司账户做直联子账户授权给云服务商名下母账户,即实现所谓“一点接入,无需直联”的方案。这种方案从合规性角度来说,更加具有争议,大部分的银行一般也不允许企业以这种方式来接入,因此账户托管模式只有理论上的可行性,并不具备多少实操的意义。
半托管模式
半托管模式下,企业与银行正常签署直联协议,前置程序部署在云端,仅证书在企业端,通过网络来远程调用证书相关的操作。这种模式的优势是结合了其他模式的一些优势,既考虑了企业尽可能避开自行管理前置机的技术短板,但又保留了证书的所有权。然而,这种模式在实现上技术难度较高,且若是使用硬证书的话,会需要使用一些USB管理专业设备,设备的投入成本与本地部署前置机的费用相差不大,但是安装部署以及后续维护相较于本地部署前置机还是会更为简单。这种模式目前来说并不常见,适用于企业自身IT运维力量不太充足,但是又比较关注安全性,且在一定程度上愿意接受使用新技术以及愿意进行一定程度的成本投入的企业。非托管模式
非托管模式下,企业与银行正常签署银企直联协议,前置机(前置程序、key)部署在企业端,并在企业端部署一个代理服务与云端通讯。与全托管相比,非托管模式尽可能地考虑了安全性的问题,前置机及证书都保留在企业端,云平台向银行发送直联请求时,都需要企业端的前置机及证书的配合,但是企业需要适当投入前置机的配置及维护成本。适用这种模式的企业一般希望在尽可能保护企业银行账户安全性的前提下,愿意投入少量资金进行银企直联的建设。综合以上三种云模式的解决方案来看:非托管模式的技术更为成熟,是当前绝大部分企业的首选,自银企直联诞生之日起,该模式一直被市场验证为安全可靠的,对企业来说是一种较为合理的选择。
半托管模式作为一种云化更深入的模式,虽然目前技术成熟度稍微弱一些,但是对于那些乐于尝试新技术,对于saas服务接受度更高的企业来说,半托管模式也是一个不错的选择。
全托管模式笔者建议企业从安全性及合规性角度出发,慎重选择。
路径策略:银企直联的构建要点
基于对银企直联全方位的了解之后,下一步便是企业根据自身情况考虑如何接入的问题。以当前的常用模式为例,银企直联的接入流程一般会经历以下六大步骤。- 第一步:找到企业想开通银企直联的银行,与银行完成商务洽谈,并与银行签订银企直联服务;
- 第二步:向银行获取相关开发文档,并申请测试环境;
- 第三步:财资管理系统实施方针对银行提供的技术文档进行银企直联接口开发与测试,并按照银行要求提交测试报告;
- 第四步:安装银企直联前置机前置程序;
- 第五步:申请开通银企直联生产环境,进行参数配置以及直联账户权限维护;开通完成后,在生产环境进行连通性测试;
- 第六步:正式上线使用。
在银企直联接入的这六个步骤中,企业一般会产生诸多疑惑,可从以下五点加以把握。
第一,企业在进行银企直联接入的洽谈时,通常是找当地支行即可,可以找当地开户行的客户经理提出银企直联对接请求。
第二,作为一家集团型企业,在总部集团下有多家控股子公司,在开通银企直联时,一般由集团统一牵头去办理银企直联,下属控股子公司统一授权给集团总部即可(假如不能授权的需单独开通,如子公司已上市)。
第三,企业与银行在洽谈银企直联的过程中,主要和银行沟通两方面内容:一是技术支持,需银行提供直联接口技术文档、测试环境说明以及向银行确认具体的银行方技术支持人员,以便后期接口开发调试、前置程序安装过程中遇到问题可及时进行沟通确认;二是相关费用的洽谈,银企直联在接入使用中一般涉及到开通费(一次性)、使用费(按年收取)、结算手续费以及其他一些银行提供的相关服务产生的费用。
第四,在银企直联协议签署过程中,银行的直联协议一般是总行统一的模板,若要修改其中的条款,难度非常大,因此不建议企业对协议进行条款上的修改。此外,企业还需要关注三个要点:一是明确直联协议及其附属协议(分子公司授权总部操作其账户)的具体签署流程,以及大致的周期情况(这个将直接影响直联上线进度);二是如果企业方对接银企直联接口是由第三方技术服务商来实现,则需明确该银企直联协议是否需要签三方协议,因为两方协议和三方协议签署的周期和过程都会有所不同;三是明确企业方本次银企直联对接需要开通的服务内容,比如余额查询、明细查询、转账支付、电子回单、电子票据等业务,企业在本次直联开通过程中需要开通哪些可根据企业本身的业务使用情况来判断。
第五,企业需和银行确认本次直联的接入是采用专线还是公网的接入方式,如果要使用专线,还需留出1个月左右的时间去进行线路的申请。
综上所述,企业接入银企直联,理论上有技术能力就可以开发,看似简单,然而这却是一个十分复杂的系统性工程。由于直联接口开发过程中接口相对比较复杂,不稳定或者不成熟的接口,可能会直接导致支付事故;同时,银行直联接口会不定期的进行升级,因此开发完成后,还需要专门配置技术人员来跟进银行接口的及时升级以保证企业端的银企直联接口是最新的,否则也可能会产生支付事故,因此,想要安全快速的实现银行接入是不可能绕开相关专业壁垒和技术专家资源投入的。基于此,笔者建议各企业在充分了解企业自身可承受的成本投入能力及抗风险能力的基础上,来选择合适的模式合适的厂商来进行银企直联的建设。当然,随着银行以及技术厂商技术能力的不断提升和突破,相信未来企业在接入银企直联这件事情上,道路将会越来越平坦。