陈玉龙 冷东波

（中国人民银行长春中心支行，吉林长春 130051）

吉林省支付清算系统参与者数字证书使用现状调查与现存问题分析及建议

陈玉龙 冷东波

（中国人民银行长春中心支行，吉林长春 130051）

目前，基于数字证书的安全认证体系广泛应用于全国支票影像交换系统（以下简称CIS）、支付管理信息系统（以下简称PMIS）、电子商业汇票系统（以下简称ECDS）、网上支付跨行清算系统（以下简称IBPS）以及第二代支付系统的支付业务统计分析系统（以下简称PSAS）和行名行号管理系统（以下简称BCMS），数字证书的使用与管理已经成为支付清算系统安全稳定运行的重要方面。2013年第三季度，中国人民银行长春中心支行清算中心（以下简称长春清算中心）开展了吉林省支付清算系统参与者数字证书使用情况统计调查，组织数字证书即将到期的参与者统一完成了换发工作，针对参与者数字证书过期、未激活等问题进行了彻底清查和处理，并完成了第二代支付系统参与者数字证书的申请发放工作，保障了第二代支付系统顺利上线切换和参与者业务数据信息查询的顺利过渡。

一、吉林省支付清算系统参与者数字证书存量统计

截止2013年9月30日，长春清算中心审核发放支付清算系统参与者数字证书共计280个。按系统分类：CIS数字证书70个，PMIS数字证书36个、ECDS数字证书57个、IBPS数字证书2个、第二代支付系统PSAS和BCMS数字证书115个；按参与者分类：人民银行使用数字证书142个，金融机构使用数字证书138个；按参与者接入系统方式分类：以直连方式接入的金融机构数字证书20个，以分散或间连方式接入的金融机构数字证书260个。

二、数字证书换发和第二代支付系统数字证书申请发放情况

2013年长春清算中心辖内多家人民银行和金融机构的支付清算系统数字证书将在年内陆续到期，为确保CIS、PMIS、ECDS和IBPS安全稳定运行，做好数字证书到期换发工作，长春清算中心下发《中国人民银行长春中心支行关于换发、撤销支付系统数字证书的通知》（长银办发[2013]87号），组织相关参与者统一完成换发和过期撤销工作。本次共计完成数字证书换发80个，撤销过期不用数字证书12个，协助、指导5家ECDS和IBPS参与者完成数字证书解除绑定与重新绑定。第二代支付系统上线切换前，长春清算中心审核发放第二代支付系统数字证书共计115个，其中人民银行个人证书79个，商业银行企业证书36个。确保人民银行和辖内商业银行用户正常接入第二代支付系统。

三、支付清算系统参与者数字证书日常使用中存在的问题

（一）数字证书下载、安装过程中存在的问题

数字证书下载、安装过程中，普遍存在下载超期以及下载、安装不正确的问题。数字证书密码信封中含有下载证书所需要的参考码和授权码（以下简称两码），两码自审核打印之日起14天内有效。未在规定日期内登录CFCA网站下载证书，将造成两码失效，无法下载。需经清算中心重发两码后重新下载。支付清算系统参与者证书管理员下载证书时，应按照《人民银行XX系统用户证书下载手册》进行下载，注意区分文件证书和USBKEY证书的下载方式。个别支付清算系统参与者证书管理员未按要求选择“制证方式”和“软件CSP”，导致证书下载出错或下载到其他地方。遇这种情况，需清算中心补发后重新下载。

（二）数字证书日常使用和管理中存在的问题

目前，长春清算中心辖内采用分散接入或间连接入模式的参与者较多，占比92.86%。以CIS业务为例：2012年吉林省CIS提入提出业务总量327笔，其中人民银行46家票据交换所共办理CIS业务26笔，占比仅为7.95%；9家直连商业银行虚拟票交所办理CIS业务301笔，占比92.05%。分散和间连参与者业务量较小，数字证书使用率和日常维护工作较少，容易造成业务不熟练和疏忽大意。多数商业银行的支付清算系统数字证书由业务人员负责申请和使用，由科技人员负责下载和安装。由于时间跨度长、涉及部门多、业务量小和日常维护少等原因，个别支付清算系统参与者在发生人员变动、轮岗等情况时交接不规范，疏忽了对数字证书相关工作的交接管理，造成继任人员不熟悉，甚至不知道数字证书相关工作事项，给日后的业务运行和异常处理造成风险隐患。

（三）数字证书到期换发期间存在的问题

一是数字证书到期未及时申请换发。支付清算系统数字证书的有效期为3年，为不影响正常业务，支付清算系统参与者证书管理员应在证书到期日前及时申请换发。二是到期不再使用或由于机构撤并原因不再使用的数字证书未及时申请撤销。三是IBPS和ECDS数字证书换发后需要解除旧证书绑定，重新绑定新证书。在解除旧证书绑定时，由于证书换发操作使得旧证书失效，因此解除绑定失败，新证书的重新绑定也无法完成。

（四）关于数字证书的业务咨询和技术支持问题

目前，清算中心和支付清算系统参与者数字证书使用中遇到问题主要咨询清算总中心有关部门和中金金融认证中心有限公司（以下简称CFCA）。CFCA技术支持采用热线电话接线员记录问题并发给CFCA工程师，数字证书使用者反应问题后只能被动等待CFCA工程师的电话，使得处理问题的效率不高。再者CFCA技术支持人员对支付系统的了解程度不够，造成某些问题不能给出有效处理办法。

四、加强数字证书使用与管理的具体措施及建议

1.支付清算系统参与者相关部门应充分认识数字证书在支付清算系统中的作用，高度重视数字证书的日常使用管理，建立健全并严格落实有关数字证书的规章制度，加强内部协调与内控管理，明确岗位职责，强化岗位人员培训，熟悉数字证书申请、下载、安装、使用和管理的相关流程，加强岗位人员变动时的工作交接管理。

2.人民银行应加强对支付清算系统数字证书使用者的管理，明确管理部门、监督职责和处罚依据。目前，人民银行审核发放数字证书后，对参与者数字证书的使用情况不能有效监督，随着数字证书使用者和数字证书存量的增多，对数字证书管理的有效手段不足。清算中心应定期组织对辖内参与者数字证书使用情况进行检查，加强数字证书发放后的管理工作，对数字证书即将到期的参与者做好到期提示，对较长时间未使用数字证书的参与者做好风险提醒。

3.对于IBPS和ECDS换发证书后旧证书失效无法解绑的问题，可以适当延长旧证书的有效时间，换发后旧证书不立即失效，给参与者留有足够的解绑旧证书的操作时间。清算总中心也可以根据属地管理的原则，考虑下放数字证书解除绑定的权限到CCPC业务主管，以便及时处理参与者数字证书解绑与重新绑定期间出现的问题。

4.对于分散接入或间连接入参与者出现的数字证书丢失、口令忘记、到期未及时申请换发等问题，人民银行应该以业务量增长促进参与者数字证书的使用，大力宣传支付系统业务，从根本上解决参与者数字证书长期闲置不用的状况。

总之，从保障支付清算系统数据传输和交换过程中的不可抵赖性和完整性到进行用户身份认证、取代实体签章，数字证书在支付清算系统中起到越来越重要的作用，各支付清算系统参与者应加强自身数字证书日常使用管理，人民银行相关部门应严格审批，加强监管，确保数字证书使用和管理安全。■

（责任编辑：何昆烨）

陈玉龙，男，汉族，本科，中国人民银行长春中心支行，工程师。冷东波，男，汉族，本科，中国人民银行长春中心支行，工程师。