银行外汇会计网络处理系统项目技术方案措施.doc

外外汇汇会会计计网网络络处处理理系系统统项项目目 技技术术方方案案 中中国国建建设设银银行行信信息息技技术术部部 2002 年年 4 月月 目目 录录 第 1 章总体结构 4 1 1系统体系结构 4 1 2网络架构 5 1 3总体逻辑结构 7 第 2 章系统环境 9 2 1前台软硬件环境 9 2 2后台软硬件环境 10 2 3中间件 13 第 3 章功能模块 18 第 4 章安全保密 19 4 1概述 19 4 2信息传输安全 20 4 3数据存储安全 24 第 5 章异常处理 25 5 1通讯异常处理 25 5 2主机异常及处理 29 5 3数据库异常处理 31 第 6 章数据移植 33 6 1实施原则 33 6 2实现方法 33 6 3移植步骤 34 第 7 章和现有系统的比较 35 第 8 章和相关系统的关系 36 第 9 章可选技术方案 37 第 10 章采用建议系统可能带来的影响 38 10 1对设备的影响 38 10 2对现有软件的影响 38 10 3对用户的影响 38 10 4对系统运行的影响 38 10 5对开发环境的影响 38 10 6对安全保密的影响 39 10 7对经费支出的影响 39 第 11 章实施风险及对策 40 11 1数据移植 40 11 2与周边系统的接口 41 11 3客户化工作 43 11 4总述 43 第第 1 章章 总总体体结结构构 1 1 系系统统体体系系结结构构 系统采用目前主流的 C M S 三层体系架构 使前端业务处理和后端业务 逻辑相互独立 前后端通讯由中间层软件完成 可靠性高 屏蔽前后端通讯实 现的具体细节 编码简单 前端应用对后端完全透明 前端需要增加新的服务 手段或方式时可单独完成 不必修改后端应用程序 只需保持数据接口的一致 性即可 后端的业务逻辑和数据对前端也是完全透明的 后端业务逻辑的变化 或服务器主机增加 减少或变更都不会影响前端的服务 具有很好的可扩展性 同时 这种方式可大量重用应用代码 缩短开发周期 1 2 网网络络架架构构 外汇会计网络系统依托现有的城综网网络架构 可最大限度地利用现有 资源 根据前台应用平台 ACE4 0 Server 的不同设置 网络架构有二层架构 应用服务器 中间件 数据库 中间件 前置机 终端终端 广域网络 和三层架构两种不同的方案 1 2 1二二层层网网络络架架构构 前台网点 PC 上安装业务系统和 ACE Client ACE Server 二级分行无 需安装业务系统 逻辑上网点PC 与一级分行主机直接相连 在实际的物理 联接上 是通过二级分行中心路由与一级分行连接 避免网点PC 直接访问 中心主机 可有效保证网络安全以及减轻主机网络负担 网络结构如图 1 2 2三三层层网网络络架架构构 前台网点 PC 上安装 ACE Client 二级分行配置一台前置机 其上安装 业务系统和 ACE Server 网点 PC 通过二级分行与一级分行主机相连 形成 三层架构 网络结构如图 DDN X 25 主主机机 网网点点P PC C 网网管管工工作作站站 二二级级分分行行路路由由器器 DDN X 25 DDN X 25 DDN X 25 前 前台台 网 网络络 一一级级分分行行主主机机 交交换换机机 路路由由器器 网网点点P PC C 1 2 3两两种种网网络络架架构构比比较较 网络架构优点缺点 二层架构网络结构简单 系统稳定性 安全性好 运行效率高 无需 额外的硬件投资 在前台网点 PC 上需安装应 用系统和 ACE Client ACE Server 系统维护升级复杂 三层架构在前台网点 PC 上只需安装 ACE Client 每个二级分行只需在前 置机上安装一套 ACE Server 和 由于 ACE4 0 的 Client 与 Server 物理分离 Client 与 Server 端之间的通讯跨越广域 DDN X 25 主机 一级分行路由器 交换机 网管工作站 二级分行路由器 DDN X 25 ACE4 0Client端 ACE4 0Server端 业务系统 便于系统维护与版本 升级 网 造成 前台运行效率降低 系统成熟度及稳定性 安全性 有待于进一步论证 二级分行 中心机房需相应配备性能较高 的前置机 增加硬件投资 由于三层网络架构过于依赖ACE4 0 其安全性 效率性 稳定性皆取 决于 ACE4 0 前 后台的实现机制 存在着一定的风险性 且该种网络架构尚 未大规模商业应用 其可行性尚须进一步论证 鉴于此 我们建议不采用此种 网络架构 而使用二层网络架构 1 3 总总体体逻逻辑辑结结构构 应用系统的总体逻辑结构分为三层 外围服务层主要指柜面业务 以及与周边外围系统的接口程序 双箭头 表示可以互为访问 互为访问的接口是实时的 例如 柜面业务 国际结算 B 股资金清算 单箭头表示只能单向访问 单向访问的接口是批量或与文件方 式传送 例如 储蓄通兑文件 MIS 系统 个人实盘外汇买卖 外围服务层 通过规范的交易接口调用应用服务层的各种服务 应用服务层由应用业务品种组成 应用服务层只处理合法性判断 业务 处理逻辑 帐务 凭证 计息 外汇买卖等均通过API 由核心服务层完成 核心服务层是将公用的业务处理抽象成一系列的公函集 如帐务核心 凭证核心 计息核心 外汇买卖核心 具体如下图所示 存存 款款 业业 务务 贷贷 款款 业业 务务 柜柜 台台 买买 卖卖 业业 务务 资资 金金 业业 务务 往往 来来 业业 务务 日日 终终 日日 始始 帐帐务务核核心心 凭凭证证核核心心 计计息息核核心心 外外汇汇买买卖卖核核心心 API 核核心心服服务务层层 应应用用服服务务层层 查查 询询 业业 务务 客客 户户 信信 息息 管管 理理 公公 共共 交交 易易 前前端端应应用用接接口口 柜柜 面面 业业 务务 国国 际际 结结 算算 国国 际际 收收 支支 B 股股 清清 算算 储储蓄蓄 通通兑兑 文文件件 个个人人 实实盘盘 外外汇汇 买买卖卖 MIS 系系 统统 规规范范交交易易接接口口 外外围围服服务务层层 第第 2 章章 系系统统环环境境 2 1 前前台台软软硬硬件件环环境境 2 1 1简简介介 硬件环境 利用网点现有的 FEBS 系统或人民币会计系统 PC 终端 行打等 软件环境 操作系统 SCO Unix 数据库 Informix 通讯中间件 TUXEDO Client 其它 神州数码 ACE4 0 开发平台 中文平台 2 1 2ACE4 0 简简述述 ACE 平台是一个针对金融前台系统开发 维护的软件包 它能够实现金 融前台系统所需要的人机交互 设备驱动 通讯传输 利用ACE 平台的开 发思想及开发工具可以使开发出来的金融前台系统高效而稳定 2000 年的 ACE4 0 的版本不仅将字符平台和图形平台有机地结合在一起 同时 ACE4 0 具有很高的可扩展性 可以适应多种不同的网络体系结构 ACE 平台已在全国各家银行推广开来 并已在中国建设银行上海分行大 柜面系统投入使用 ACE4 0 主要的技术特点有 4GL 语言 强大的通讯功能 支持不同种类的外设 跨平台授权 文件广播 嵌 SQL 语言 完善的安全措施 丰富的开发维护工具 ACE4 0 的主要性能指标如下 运行速度 以最复杂的打开 运行屏幕这个典型操作进行性能测试 测试环境是 ACE Server 为 Legend 逐日 3000 Intel 赛扬 433MHz ACE Client 为 IBM Pentium MMX 100MHz 通讯速率为 9600bps 测试后得出 打开超大屏幕的时间约为 1600ms 打开屏幕组的时间约为 2600ms 在实际的局域网运行环境中 所用时间将比测试所得数据大大缩短 用户数 在使用 SCO UNIX 操作系统时 每台机器最多支持50 用户 用户数超 过 50 可以通过集群方式支持 通讯包长度 ACE4 0 自身对通讯数据包长度没有限制 可以通过配置实现数据包长度 的改变 但综合考虑各种因素 推荐在每个通讯包的长度控制在2K 4K 之间 2 2 后后台台软软硬硬件件环环境境 2 2 1概概述述 硬件环境 IBM RS6000 系列小型机 软件环境 操作系统 AIX 数据库 Informix Online7 X ESQL C 通讯中间件 TUXEDO Server 2 2 2主主机机性性能能要要求求 外汇会计网络系统后台主机配置 主要从以下四个方面进行考虑 1 CPU 性能 主要以服务器的 TPC C 值作为相对选型参考值 在设计 服务器处理能力时 需要将一些实际经验值和TPC C 值一起综合考 虑 设计 CPU 的使用率在 40 以内 2 内存的大小 内存是所有程序运行的环境 在CPU 和相关系统软 件处理能力的范围内 一般说来 内存空间越大服务器的事务处理性 能越好 但不同的应用对内存的要求不同 所以在外汇会计应用系统 服务器内存设计中 需要从应用要求的角度来考虑 寻找最佳的配置 在外汇会计网络系统中 主要是数据库的应用 根据经验 Sybase 数据库对内存较敏感 ORACLE 和 DB2 其次 Informix 对内存要 求最小 但 Informix 对 CPU 要求更多 3 磁盘 I O 性能 在 CPU 处理能力一定的情况下 磁盘的I O 速度 可使服务器的整体性能相差几倍到几十倍 所以在设计中要特别注意 磁盘 I O 的选型 磁盘 I O 的选择尽量大 同时考虑到单个磁盘的 I O 速度是一定的 需要靠多磁盘的并行读取来提高磁盘I O 性能 4 高可用性 在主机发生一般故障时 能保证业务的正常进行和业务数 据的完整性 在主机发生严重故障时 能保证系统在最短的时间内恢 复运行 丢失最少的交易数据 根据业务量的大小和业务的重要性 同时考虑其成本和效益 维持高可用性的方案可以分为 双机热备份 双机冷备份 单机磁带备份 根据以上论述 下面分别从以上四个方面来分析和设计外汇会计网络系 统服务器的配置要求 2 2 3主主机机配配置置预预估估 1 CPU 处理能力分析 根据经验值 处理能力 6000TPC C 的服务器 接近 100 的使用率 每 分钟可以处理 5000 笔交易 即 6000TPC C 5000 笔笔交交易易 分分钟钟 根据要求 此次配置的外汇会计业务服务器要满足3 5 年 每年 15 的业务增长率的要求 考虑到各地外汇会计目前的业务量不明 参照厦门建行 目前外汇会计的业务量情况 并控制外汇会计业务服务器CPU 的利用率在 40 以内 参照 IBM 各款 RS 6000 服务器在不同配置下的 TPC C 值 初步 估算不同省市外汇会计业务服务器将依其业务量大小配置IBM RS 6000 F85 270 系列服务器 且 CPU 配置数大约估算如下表 规模配置机型CPU 数 大IBM RS 6000 H852 路 450MHz 小IBM RS 6000 44P 270 2 路 375 450MHz 2 内存容量分析 主机的内存需求包括操作系统本身需要 数据库系统运行需要及数据库 用户服务进程需要等方面 其中操作系统本身需要的内存开销并不大 大部分 的内存需求还是来自于数据库系统 在数据库用户服务进程方面 每个连接到 数据库的用户连接都要占用一定的主机内存资源 其占用的容量大约为 600KB 数据库系统在运行时 需占用更大量的内存 根据数据库系统的运行 机制分析及实际使用数据库系统经验来看 内存越大 数据库系统的性能越好 根据以上的分析 建议主机配置的内存至少应达到3GB 考虑 30 左 右的内存冗余以提供最佳的性能 推荐配置4GB 内存 对于业务量较小的 分行 可以采用 2GB 内存 3 硬盘容量分析 外汇会计网络系统数据量依据不同省市业务规模差异较大 一般要在几 十个 GB 以上 采用双机备份运行模式的分行 建议配置一台IBM 7133 磁 盘子系统 其他分行可采用服务器自带硬盘 容量应大于30GB 4 高可用性分析 由于各分行业务量差别较大 对于维持高可用性的要求各不相同 因此 建议根据业务量的区别 不同的分行采用不同的配置 双机热备份 对于每天业务量在5000 笔以上的分行 由于网点众多 由于故障造成的主机停机 会给日常业务造成极大的影响 因此 保证主机无 间断的工作是十分重要的 因此 双机热备是一个理想的选择 单机磁带备份 对于每天业务量在3000 笔以下的分行来说 由于业务 量小 网点少 主机一两个工作日停机对业务造成的影响很小 采用双机备份 对资源是一种浪费 单机磁带备份的方式已经可以满足业务正常运行的需要 注 根据对分行业务量的调查 笔数一般分布在5000 笔以上和 3000 笔以下 2 2 4配配置置小小结结 规 模 配置机型CPU 数内存存储运行模式 大 IBM RS 6000 H85 2 路 450MHz4 8GBIBM 7133 双机热备 份 小 IBM RS 6000 44P 270 2 路 375 450MHz 2GB18 2X2 单机 磁带备份 2 3 中中间间件件 近年来 以交易中间件为框架基础的三层客户机 服务器模式已被广泛 证实为建立开放式关键业务应用系统的最佳环境 选择适合的中间件产品 将 对系统产生的重要的影响 本系统就BEA 公司的 TUXEDO 和厦门东南融通公 司的 LongTop Link 作一比较 并选择 TUXEDO 作为中间件 2 3 1TUXEDO 作为交易中间件中的优秀代表 BEA 公司的 TUXEDO 产品提供了以下两 个主要功能 负责客户机和服务器间的联接和通讯 提供一个三层结构应用开发和运行的平台 采用 TUXEDO 交易中间件 能大大提高系统通讯和运行性能 它可以把 大量的前端请求汇聚成较少的后端连接并减少数据传送量 应用系统即使在大 量用户同时请求服务的时候也能够保持快速 稳定的工作状态 其主要优点有 通过数据压缩等手段 降低网络负担 调度服务程序 提高主机处理能力 提高数据库效率 分布式环境中更高水平的数据完整性 具备故障恢复能力 使系统有更高的可用性 提供信息加密服务 确保系统安全 使系统能灵活扩展 另外 由于它提供的三层结构的开发运行平台 它还能 减轻开发人员负担 使系统的安装与升级更容易 减轻系统管理人员负担 2 3 2LongTop Link LongTop Link 是厦门东南融通公司自主开发的一个分布式联机事务处理 系统的中间件 它为分布式环境下联机交易处理应用系统的开发和运行提供灵 活和易用的平台 保证联机交易处理系统运行的高效性和数据的完整性 同时 提供其它辅助功能方便系统开发和使用 LongTop Link 采用三层客户 服务器结构 主要由以下部分组成 1 核心系统 即实际的核心运行系统 包括管理内核 通信内核 2 开发系统 即供用户使用的应用软件接口函数API 3 管理系统 包括交易调度系统和为使用人员提供的监控工具 LongTop Link 提供以下功能 1 网络通信 数据包压缩传输 文件压缩传输 并支持电话拨号备份 2 交易调度 3 交易流量控制 4 实时监控 5 安全性 身份认证和数据加密 6 日志功能 7 交易一致性管理 LongTop Link 具有以下优点 降低网络负担 可以对网络上传递数据进行压缩 进一步减少网上传递数 据量 提高主机处理能力 LongTop Link 调度有限的服务程序为大量并发请求 进行服务 减少网络连接量 内存占用 进程数量 信号量和CPU 时 间片等系统资源 成倍提高主机的处理能力 提高数据库效率 LongTop Link 通过采用长驻服务进程的手段 使得与 数据库的连接被保持和复用 而且有限的服务程序只需与数据库建立有限 的数据库连接 从而减少服务程序与数据库连接的次数和时间 大大提高 了数据库操作的效率 提供文件压缩 断点续传功能 支持电话拨号备份 通过通信日志 便于程序调试 交易跟踪和故障恢复 能进行交易监控 系统监控 系统开销 共享内存 消息队列 信号等 小 价格便宜 2 3 3方方案案比比较较 将 TUXEDO 与 LongTop Link 比较如下 产品优点缺点 TUXEDO市场占有率高 应用范围广 产品成熟 功能完善 性能 好 系统开销大 价格贵 LongTop Link系统开销小 价格便宜应用范围小 不够成熟 功 能相对较少 性能相对为低 不支持异构平台的多种数据 库 不支持 Internet CORBA 应用以及 XA 协议 并且 我行已买断 TUXEDO 使用权 进一步购买只需付License 费用 且能拿到较低的价格 弥补了TUXEDO 价格昂贵的缺点 综合产品的性能 与价格 建议选择 TUXEDO 2 3 4系系统统中中的的 TUXEDO 应应用用方方案案 本系统的数据及应用将集中在一级分行 从逻辑上看 各营业网点前台 将通过网络直接挂在一级分行 系统逻辑图见本章第二节网络架构 从物理上看 前台的网点 PC 首先要与二级分行相联 通过二级分行再 联到一级分行 从功能上看 二级分行只是起了一个网络路由的功能 在网点 PC 上 安装 ACE 的 Client 端和 Server 端 负责客户界面的输 入和输出 另外 网点 PC 上还安装了 TUXEDO 的 Client 端 负责与后台 的通信及交易请求 采用上述网络架构 整个系统结构非常清晰 有利于系统的建设及维护 但是 这种网络架构存在一个风险 当营业网点数目较多 而且大量的营业网 点同时做交易时 将造成网络拥挤不堪 影响交易的正常进行 TUXEDO 正好能在这种情况下发挥巨大的功效 有效地避免网络拥塞 为了避免网络拥塞 在 TUXEDO 的配置中 对每个二级分行配置一组 WSL 与其对应 每一组 WSL 能控制客户端连接的数量 最大的WSH 数量 这样在客户端请求数量较大时 TUXEDO 将让这些请求排队等候处理 从而有效地避免网络拥塞 保证系统正常地运行 而不会因客户端的请求太多 而导致后台系统的崩溃 第第 3 章章 功功能能模模块块 总体上可分为七个模块 公用模块 联机交易 前台系统 参数维护 批量处理 业务管理和周边系统的接口 公用模块不直接运行处理业务 而是为其他模块提供服务 主要包括 帐簿登记 凭证登记 利息计算 币种换算 与周边系统实时接口 联机交易是日常业务的主要承担者 根据业务类别分为若个子系统 存款 贷款 汇兑 买卖 清算等 是OLTP 服务器端的应用服务 器 前台系统主要提供服务的接入与输出 是联机交易的外部界面 是 OLTP 的服务请求端 参数维护主要负责系统运行各类参数的维护 以主机终端方式交互运 行 批处理完成批量业务 以主机终端方式非交互运行 业务管理完成非营业性管理 查询 统计 报表等处理 与周边系统的接口完成与国际结算 国际收支申报 B 股资金清算 个人实盘外汇买卖系统 储蓄通兑文件等接口 第第 4 章章 安安全全保保密密 4 1 概概述述 外汇会计网络系统的交易信息需要通过广域网传输 业务数据集中存放 在一级分行主机 因此 外汇会计网络系统的安全要求包括如下两方面 信息传输安全 即保证数据从网点 二级分行以及一级分行的传输 过程中的安全性 防止数据被伪造 篡改和冒充 数据存储安全 即保证一级分行中心数据的完整性 只有得到允许 的人才能修改数据 并且能够判别出数据是否已被篡改 由于系统的网络连接将借助于各分行城综网 而城综网一般以DDN 等专线方式连接 再加上分行现有的硬件安全设施 因此 网络的物理安全 性较高 同时 为减少投资费用 本方案主要考虑以软件方式提高系统的安 全性 因此还要求 软件算法应有较高的安全性 能满足应用系统安全的需要 软件算法应有较高的效率 对主机的系统资源占用少 不影响整个 应用系统的性能 为实现以上安全方面的要求 除制定严格的业务操作管理制度 加强操 作系统的用户安全管理外 系统将采取以下措施 在业务应用系统中实现完备的用户权限管理 为满足信息传输安全要求 除利用TUXEDO 中间件的加密功能外 还采取通讯加密和密钥管理等方法实现安全的网络数据传输机制 为满足数据存储安全要求 除利用数据库的用户权限等安全机制外 还采取对重要数据表进行加密的方法来实现数据存储安全 4 2 信信息息传传输输安安全全 为确保数据在广域网上进行传输时的安全 防止数据被窃取和篡改 除 利用中间件产品的安全机制外 还需在应用系统中实现较高的安全性 为此 系统将采取如下措施 采用DES 算法对数据加密以保证数据不被非法窃取 对数据包产生消息鉴别码 MAC 字段 Message Authentication Code 防止 数据被非法修改 其中 MAC 算法可采用 DES CRC32 或 MD5 在登录 系统时进行用户 口令认证 并对口令加密传输 建立完备的密钥管理体系 经 下面就数据加密技术 数据完整性技术 身份认证技术及密钥管理方案 作详述 并将讨论网络架构对信息传输安全的影响 4 2 1数数据据加加密密技技术术 数据加密技术按密码体制可分为对称密钥密码技术和非对称密钥密码技 术 对称密钥密码技术要求加密解密双方拥有相同的密钥 需要用户之间传 递密钥 安全保密性较差 但加解密速度快 强度高 在军事 外交以及商 业应用中越来越普遍 DES 密码算法就是有名的对称密钥加密算法 非对称密钥密码技术是加密解密双方拥有不同的密钥 要求密钥成对 出现 一个用于加密 一个用于解密 它的特点是各用户拥有自己的解密密 钥即私有密钥 而加密密钥即公开密钥则可以公开放置 用户之间不必传递 密钥 安全保密性就比较好 但是多数公开密钥算法需要进行大量的代数运 算 速度很慢 不能用于快速加密数据 而且需要建立认证中心 目前典型 的公开密钥密码算法包括 RSA 算法 Diffie Hellman 密钥交换协议和 DSA 美国数字签名算法等 根据上面所述加密技术的特点 本系统对传输数据采用DES 算法进 行加密 辅之以身份认证手段 从而在加密速度和系统安全性两方面均达到 较好的效果 4 2 2数数据据完完整整性性技技术术 加密只能防止数据不被监听 为防止数据在传输过程中被非法修改 通 常采用以下方法 校验和 即接收方计算出接收到的数据的校验和并与数据包中的值比较 若相等 说明数据没有改变 若不等 则说明数据在传输中出现错误或被修改了 循 环冗余校验 CRC Cyclic Redundancy Check Code 是对一个传送数据块进行 校验 是一种高效的差错控制方法 摘要 另一种防止改动的方法 其中用到的函数叫摘要函数 这些函数的输入 可以是任意大小的消息 而输出是一个固定长度的摘要 摘要有这样一个性 质 如果改变了输入消息中的任何东西 甚至只有一位 输出的摘要将会发 生不可预测的改变 也就是说输入消息的每一位对输出摘要都有影响 现在 流行的摘要算法有有 MD4 和 MD5 系统中将采用一定的数据完整性技术确保数据安全 具体为何种算法在 系统设计时确定 4 2 3认认证证技技术术 认证技术主要解决网络通讯过程中通讯双方的身份认可 主要有用户名 口令认证以及数字签名技术 用户 口令认证为传统的认证方式 简单而易于实现 若对认证过程中 的口令传输进行加密 将大大提高安全性 数字签名作为验证发送者身份和消息完整性的根据 可用于通信过程中 的不可抵赖要求的实现 数字签名基于私有 公共密钥对 数据源使用其私 有密钥对数据的摘要或其它数据内容进行加密 而数据接收方则用相应的公 用密钥解密 以验证签名的真实性 由于数字签名需采用 CA 验证密钥 投资较大 在本方案中建议采用用 户名 口令认证方式 其中口令采用DES 算法加密传输 4 2 4密密钥钥管管理理 由于 DES 算法的密钥需要双方共同保密 任何一方的失误都会导致机 密的泄露 而且密钥发布中 还需要的防止任何人发现或偷听密钥 因此密 钥管理对系统的安全至关重要 在本方案中 建议采用三层密钥结构 1 本地主密钥 本地存储 存放在程序中 用以加密区域主密钥 2 区域主密钥 用本地主密钥加密后存储在文件或数据库中 用以加 密工作密钥 3 工作密钥 用区域主密钥加密后存储在内存中 用以加密数据 其中区域主密钥存放在网点和一级分行的计算机中 可定期自动或手工 更换 工作密钥可采用如下实现方式 1 静态方式 即网点开机时 首先执行系统签到操作 一级分行将经区域主密钥加密 后的工作密钥传输给网点 随后的所有交易均采用该工作密钥加密数据 加密后的通信包格式如下图所示 其中MAC 由加密后的数据生成 2 动态方式 该方式在每次发送交易信息时 由发送方动态产生工作密钥 将经区域 主密钥加密后的工作密钥以及用工作密钥加密的数据发送给接收方 加密后的通信包格式如下图所示 其中MAC 由加密后的工作密钥和 数据生成 由于动态工作密钥方式每次数据传输的工作密钥均不一样 因而具有更 高的安全性 数据 用工作密钥加密的数据 MAC校验用工作密钥加密的数据 MAC校验 静静态态工工作作密密钥钥方方式式 用区域主密钥加密的工作密钥 用工作密钥加密的数据 MAC校验用区域主密钥加密的工作密钥 用工作密钥加密的数据 MAC校验 动动态态工工作作密密钥钥方方式式 数据 建议在数据加密后 采用动态Huffman 算法对整个通信包进行压缩 以保证网络的传输效率和提高安全性 4 2 5系系统统网网络络架架构构对对传传输输安安全全的的影影响响 如前所述 在本方案中 整个应用系统的网络架构主要有两种 二层 结构和三层结构 在两层结构中 只需在网点和一级分行间考虑传输安全 二级分行只 起路由中转作用 在三层结构中 而二级分行与一级分行的传输安全实现方法同上 具有 较高的安全性 而 网点和二级分行间的传输安全由神州数码公司的ACE 平 台实现 这一方式有以下缺点 ACE 的安全性能不确定 可能会降低整个系统的安全性 数据要经过两次加解密 对应用系统的性能会造成影响 整个系统需维护网点和二级分行 二级分行与一级分行两套密钥 管 理比较复杂 4 3 数数据据存存储储安安全全 为防止对数据库的非法修改 建议对数据库的关键数据表设立数据鉴别 码 DAC Data Authentication Code 字段 该字段内容由数据库表中的关 键字段生成确定 DAC 算法可采用与 MAC 相同的 DES CRC32 或 MD5 算法 由于 DAC 校验会影响数据库操作的性能 因而为保证应用系统存取数据库的高 效性 建议如下 只对关键数据库表设置 DAC 字段 该字段内容取决于关键字段 如帐号 金额 利息积数 利率等 仅对数据库的 Insert Update 操作进行 DAC 校验以防止对数据库 的非法修改 对查询操作不作校验 同时 为了方便数据库后台维护 系统提供重置DAC 功能 具体如 下 对关键数据库表的操作按数据库管理员和安全管理员划分不同的权 限 数据库管理员可修改数据库但无重置DAC 的权限 安全管理 员无修改数据库的权限但可重置DAC 若需对关键数据库表操作 首先由管理员执行数据库的插入或修改 操作 安全管理员再执行重置 DAC 操作 使数据库管理员对关键数据库 表的操作生效 第第 5 章章 异异常常处处理理 系统在运行中将出现各种异常情况 在方案设计时就应充分考虑 并制 订相应的对策 在本章中 从网络通讯 主机运行 数据库等三个方面来进行 异常处理设计 5 1 通通讯讯异异常常处处理理 本系统采用客户 服务器结构 客户端通过广域网与服务端通讯 由于网 络存在不可靠因素 有时会出现传输过程中交易数据丢失的情况 造成客户端 与服务端的交易不完整或数据不一致 从而导致银行的资金风险和信誉风险 因此 如何确保数据一致性是通讯异常处理的主要内容 首先 中间件产品能在一定程度上保证交易的一致性 Tuxedo 中间件 支持现有的 X Open DTP XA 标准 可与任何支持此标准的关系型数据库 如 DB2 Informix Oracle Sybase 进行两阶段提交 实现交易中数据的一致性 可以考虑将系统的事务前提到网点 运用TUXEDO 的二阶段提交方式来保 证前后台帐务的一致性 为进一步确保交易数据一致 系统还将通过增强应用软件功能 来避免 前后台交易的不一致 以下将详述应用系统中的通讯异常处理方法 5 1 1产产生生原原因因 在客户 服务器结构的联机交易处理系统中 一笔交易至少包含如下图 所示的四个过程 请求传输过程 服务端交易处理过程 应答传输过 程 客户端处理应答过程 由于网络传输的不可靠性 必然有 应答传输过程 失败的情况 在这种情况下 就产生了服务端与客户端交易状态的不一致性问题 在服务端 该笔交易已处理或完成 在客户端 由于没有收到应答 该笔交易是失败的 这种客户端及服务端的不一致 会给银行造成资金损失或信誉损失 5 1 2处处理理方方式式 1 方式一 采用冲正方式 即当网点收不到主机的应答时 向主机发冲正交易 其处理流程如下 应答传输过程 请求传输过程 服务端交 易处理过程 客户 端应答 处理过 程 时间 客户端服务端网络 t0 t1 t2 t3 该方式处理简单 缺点是若该网点的网络一直不正常 冲正交易发送不 成功 用户到别的网点办理业务时 银行仍存在资金风险或信誉风险 2 方式二 交易锁和冲正相结合方式 该方式在后台数据库中设置一个 交易锁 其业务流程如下 帐务主机在收到前台的交易请求后 将交易帐号设置 交易锁 状 态 被设置 交易锁 的帐号不可以再发生存 取款交易 主机收到网点的 交易确认 后 解开帐户的 交易锁 即执行 解挂起 交易 当网点收不到主机的交易应答 则向主机发 冲正交易 主机收到网点的冲正交易后 取消原交易 并解开帐户的 交易锁 网点 交易请求 接收应答 交易确认 冲正 帐务主机 接收请求 记分户帐等 事务处理1 发送应答 接收请求 采用该方式下 若该网点的网络不正常 冲正交易发送不成功时 帐务 主机的交易帐号处于 交易锁 状态 银行不存在资金风险或信誉风险 具 体分析如下 当第一步通信发送失败时 此时帐务主机未收到网点交易请求 主机 不进行任何处理 同时网点报错 交易重做 对系统没有任何影响 当第二步主机事务处理失败时 当事务处理失败时 INFORMIX 将 保证事务的完整性 主机不修改任何数据库表 同时主机向网点发交 易失败应答 网点取消交易并重做 当第三步网点接收失败时 当主机完成交易处理 但网点未收到 交易应答 时 此时主机已成功记帐 同时主机也为此交易帐号设 置了 交易锁 网点在接收应答超时后 会向主机发冲正交易 同 时取消交易 在主机在未收到 冲正交易 之前 交易帐号处于 交易锁 状态 不可发生存 取款交易 此时的帐户处于安全状态 当第四步主机收不到网点的 确认交易 时 主机收不到网点的 网点 交易请求 接收应答 交易确认 帐务主机 接收请求 挂起帐户 记分户帐等 事务处理1 发送应答 接收请求 解挂起帐户 事务处理2 交易冲正 t0 t1 t2 1 2 3 4 5 6 确认交易 时 交易帐户一直处于 交易锁 状态 不可发生存 取款交易 帐户处于安全状态 当第五步网点向主机发 冲正交易 失败时 主机收不到网点的 冲正交易 时 交易帐户一直处于 交易锁 状态 不可发生存 取款交易 帐户处于安全状态 当第六步主机执行 解挂起 交易失败时 如果主机在执行 解挂 起 交易时失败 INFORMIX 可以保证交易事务的完整性 保证交 易帐户仍然处于 交易锁 状态 从以上分析可以看出 不论交易过程的任何步骤出现故障 交易帐户都 将处于安全状态 保证银行的利益不受损失 但是 以上的处理流程仍然会出 现前台交易失败 主机交易成功的情况 尽管交易帐户处于安全状态 对 此 我们在网点 试轧帐 轧帐 等交易时自动核对前 后台交易并自动 冲正 3 两种方式比较 方式一优点是简单 易实现 若考虑增加当后台交易完成后向前台发送 不成功或超时 后台自动将该笔交易插入到待冲正流水表中 由后台冲正服务 进行冲正处理 这样可以增强第一种方式的性能 保证资金的安全 方式二优点是安全性较高 但可能给客户造成不便 并且将干扰系统的 正常运行 例如一些内部账号如果被加上交易锁的话会影响其他交易的进行 同时 应用程序改动较大 实现难度较高 并且如果增加交易锁表的会在该表 中产生瓶颈作用 影响系统性能 因此 建议采用方式一 5 2 主主机机异异常常及及处处理理 1 主机硬件故障 主机硬件部件 包括本地硬盘 发生故障时 若故障为符合 HACMP 定义的能导致发生双机切换的故障条件 则会导致双机 切换 应用切换至另一台主机控制和伺服 继续提供应用服务 主机硬件部件 包括本地硬盘 发生故障时 若故障不足以导致 HACMP 发生双机切换 或不影响应用服务 但为进行故障排除 等操作 可人工控制 HACMP 进行双机切换 将应用切换至另一 主机控制及服务 2 操作系统故障 系统出现突发的运行效率低下或报错时 可由客户作简单的基本 检查 利用 ps vmstat iostat errpt 等操作系统命令检查系统 是否出现死进程 I O 瓶颈 内存不足等问题并进行初步排查 若短期不能解决时可人工控制HACMP 进行双机切换 将应用 切换至另一主机控制及服务 继续提供应用服务 出现死机等操作系统关键性故障时 会导致HACMP 发生双机 切换 应用切换至另一台主机控制和伺服 继续提供应用服务 3 主机网络故障 主机网卡故障时 由 HACMP 将服务 IP 地址切换至本机另一块 网卡 继续提供 IP 的可用性 连接网卡的线路发生故障时 该网卡配置的IP 不通 则由 HACMP 将服务 IP 地址切换至本机另一块网卡 继续提供IP 的 可用性 主机操作系统发生 TCP IP 等网络相关软件故障导致主机的网络 不可用时 可人工控制 HACMP 将应用切换至另一台主机控制和 伺服 继续提供应用服务 4 共享硬盘柜故障 共享硬盘柜的 SSA 线路部件发生故障时 由于SSA 体系本身的 环路结构 避免了单点故障 共享硬盘上的数据仍可访问 此时 共享硬盘 I O 速率会降低 共享硬盘柜的硬盘发生故障时 由于采用了硬盘镜像策略 避免 了单点故障 共享硬盘上的数据仍可访问 此时共享硬盘I O 速率基本不受影响 5 补充说明 采用单机磁带备份的分行 在主机发生故障 不能正常工作时 可以手工记帐 待主机正常工作之后 把发生故障之后的交易补入到 主机中 5 3 数数据据库库异异常常处处理理 系统采用 Informix 数据库 主要故障情况及处理方式如下 1 数据库应作好完善的数据备份 通常可采用 ontape s数据库数据系统备份 ontape a c 数据库逻辑日志备份 dbexport数据库数据文本备份 2 数据库发生突发的访问效率低下 检查是否为突发性的业务高峰导致响应速度降低 检查操作系统是否存在异常 参考主机异常处理小节中的操作系 统故障部分 并在操作系统级采取必要的处理措施 使用 onstat m onstat d onstat p onstat k 等命令查找是否 存在出错信息 僵死的 session VirtualMemory 不足 Chunk 的 I O 瓶颈等异常情况 经过慎重考虑及充分的技术咨询后决定 是否及时采取杀僵死 Session 调整 VirtualMemory 段 重启数 据库服务器等必要措施 3 逻辑日志未备份导致的业务停止 在参数配置合理时 若数据库的逻辑日志未及时备份 则在只剩 一个未用逻辑日志文件时数据库会暂时停止所有交易 通过查看 系统 consol 信息可判断该情况 对逻辑日志备份后 数据库继续 伺服交易请求 4 数据库报错 使用 onstat m 等命令查看出错信息 系统运行状况 经过慎重 考虑及充分的技术咨询后决定是否及时采取必要措施 5 数据库僵死 数据库僵死时 经过慎重考虑及充分的技术咨询后实施杀数据库 进程 清理 Semaphores 等内存资源等必要步骤 重新启动数据 库 并按照银行业务要求的验证措施追查 核对交易 6 数据库无法启动 检查数据库软件及设置 检查操作系统环境及设置 检查是否数据库空间故障 考虑从ontape 系统备份及逻辑日志 备份恢复数据 若系统在业务运行中死机导致数据库无法启动 则在从ontape 系统备份及逻辑日志备份恢复数据后 还应作追帐处理 7 数据无法从 ontape 备份恢复 重新初始化数据库空间 使用dbimport 工具从 dbexport 制作的 文本备份恢复数据 必要时作追帐处理 8 数据库备份与恢复 数据库备份 依应用实际情况设定几个备份时间段 如日间交易 处理结束后 日终交易处理结束后 上午及下午高峰交易时段后 等等 进行数据库联机备份 逻辑日志备份 日间交易处理时做持续日志备份 利用数据库备份磁带和逻辑日志备份磁带恢复数据到故障点之前 的状态 也即 online 的最后一个检查点 此时可能会丢失几个交 易 再利用记录的系统或网络流水进行补帐 利用应用系统提供的交易重入程序类似于数据库的逻辑日志恢复 机制 只不过是通过编制的特定的应用程序 对记录的系统或网 络流水进行交易的再现工作 第第 6 章章 数数据据移移植植 本章将简要描述数据移植的方案 详细的情况参见 外汇会计网络系统 数据移植方案 6 1 实实施施原原则则 为保证旧系统的平稳过渡 必须遵循以下原则 准确性原则 准确性原则是数据移植必备原则 也是降低实施风险的最有效办法 全面性原则 由于新 旧系统存在着相当大的差异 必须保证移植数据的全面性 旧 系统无法提供的数据应该采取手工补录的办法 一致性原则 移植过程中即要保证帐户信息的一致性 也要最大限度保证非帐务信息 的一致性 6 2 实实现现方方法法 根据目前 FEBS 在各分行使用的情况 有两种实现方法 程序移植 手工补录 已使用 FEBS 系统的分行可以采取这种方法 但要注意区分FEBS 的版 本号 不同版本的 FEBS 移植程序不同 手工移植 未使用 FEBS 系统的分行 由于没有电子数据 只能进行手工移植 系 统提供手工移植画面 由柜员根据手工帐务信息输入 6 3 移移植植步步骤骤 FEBS 系统数据整理 对 FEBS 系统的数据进行整理 尤其针对客户信息 移植程序下发与培训 将移植程序下发到各移植网点 并对柜员进行移植程序操作培训 数据补录 操作员对客户存贷款帐户信息进行数据补录 根据新旧帐户信息内容 差异和新旧系统数据库差异决定补录的内容 原则上 旧系统已 有的信息 且与新系统的信息分类要求相符合 能够自动转换的 由 系统自动转换 除此之外 由操作员人工补录 需要补录的内容例如 客户号编码 帐户性质 企业性质 核算科目等 数据转换 根据移植程序以及补录数据进行数据移植 移植数据确认 对移植后的数据按新科目设置进行日终处理 产生新科目报表与旧系 统核对 同时打印余额 积数单等各种帐户信息进行逐笔勾对 第第 7 章章 和和现现有有系系统统的的比比较较 外汇会计网络系统与原有系统的比较 集中在以下八个方面 实现以 一级分行 为单位的外汇会计数据大集中 实现以 交易驱动为主 分录驱动为辅 的业务处理模式 实现资金处理自动化 实现部分内控风险点系统自动控制 实现参数化设置 根据业务和管理需要灵活进行调整 实现外汇会计业务柜员制 为本外币综合柜员制创造条件 实现 以客户为中心 的信息管理机制 满足各种统计需要 为业 务决策分析提供数据 实现国际结算系统等周边系统的接口 第第 8 章章 和和相相关关系系统统的的关关系系 与国际结算系统的关系 实现与国际结算系统的双向信息传递接口 实现国际结算业务相关帐务实时 入帐 并自动打印凭证 与个人实盘外汇买卖系统的关系 提供与个人实盘外汇买卖系统的标准数据接口 实现帐务数据批量入 帐 与国际收支申报系统的关系 增加国际收支申报系统数据补录功能 按照国际收支申报要求生成标准 格式的文本文件 通过网络传送或磁盘拷贝的方式由国际收支申报系统接收 与外汇帐户管理系统的关系 满足外汇帐户管理系统数据采集需要 按照接口规范提供标准格式文本 通过网络传送或磁盘拷贝的方式由外汇帐户管理系统接收 与 B 股清算系统的关系 由 B 股清算系统负责 SWIFT 系统报文的分解和生成工作 外汇会计网 络系统与 B 股清算系统建立接口关系 利用B 股清算系统分解的报文进行 业务处理 提供 B 股清算系统接口要求的数据格式 由B 股系统进行生成 报文 并对外发送 与 MIS 总帐系统的关系 满足 MIS 总帐系统数据采集需要 按照接口规范提供标准格式文本 通过网络传送或磁盘拷贝的方式由外汇帐户管理系统接收 与储蓄通兑文件的关系 提供与储蓄通兑文件的标准数据接口 实现帐务数据批量入帐 第第 9 章章 可可选选技技术术方方案案 在本方案书中 对系统的多个关键环节列出了可选方案 并对这些可选方案进 行了比较选择 详细的内容在以上章节中已经描述 在此对之作一汇总以供参考 比比较较项项目目内内容容所所在在章章节节 网络架构二层 三层1 2 3 4 2 5 中间件TUXEDO LongTop Link2 3 3 加密技术对称 非对称4 2 1 完整性技术校验和 摘要4 2 2 认证技术用户口令 数字签名4 2 3 信息 传输 安全 密钥管理静态 动态4 2 4 通讯异常处理冲正 交易锁和冲正结合5 1 2 另外 在 2 2 4 中还对后台硬件环境作了配置小结 第第 10 章章 采采用用建建议议系系统统可可能能带带来来的的影影响响 采用本方案建议系统 将使业务处理从现有单机处理模式转变为网络联机处理 模式 将极大地促进我行外汇业务的发展 对现有系统带来多方面的影响 10 1 对对设设备备的的影影响响 可充分利用目前使用的 FEBS 的现有设备 前台网点无需购置设备 一级分 行需要 RS6000 主机 若分行有该类型主机并允许复用 也无需购置设备 因此 只有不能复用的一级分行需要购置RS6000 主机 10 2 对对现现有有软软件件的的影影响响 现有业务系统为 FEBS 将被本系统替换 其它软件 如 操作系统 数据库 等软件将继续使用 另外 还需购置TUXEDO ACE 平台等软件 10 3 对对用用户户的的影影响响 用户需要从 FEBS 转换到本系统 应接受相应的业务和操作培训 10 4 对对系系统统运运行行的的影影响响 系统升级为网络系统后 采用了RS6000 主机 因此 应对主机进行专门的 运行维护 另外 网络环境将对系统运行造成影响 10 5 对对开开发发环环境境的的影影响响 前台网点采用了 ACE4 0 平台 前台系统开发更为便捷 RS6000 主机为 AIX 操作系统 ESQL C 语言 与原系统略有不同 差异不大 10 6 对对安安全全保保密密的的影影响响 升级为网络系统后 网络数据传输的安全保密极为重要 同时对集中到主机的 数据的安全性也提出了更高的要求