外汇会计网络处理系统项目技术方案

1、外汇会计网络处理系统项目技术方案中国建设银行信息技术部2002 年 4 月目录第 1 章总体结构 51.1 系统体系结构 51.2 网络架构 61.3 总体逻辑结构 8第 2 章系统环境 102.1 前台软硬件环境 102.2 后台软硬件环境 132.3 中间件 18第 3 章功能模块 24第 4 章安全保密 254.1 概述 254.2 信息传输安全 264.3 数据存储安全 32第 5 章 异常处理 345.1 通讯异常处理 345.2 主机异常及处理 385.3 数据库异常处理 40第 6 章 数据移植 446.1 实施原则 446.2 实现方法 446.3 移植步骤 45第 7 章和现

2、有系统的比较 47第 8 章和相关系统的关系 48第 9 章可选技术方案 50第 10 章 采用建议系统可能带来的影响 5210.1 对设备的影响 5210.2 对现有软件的影响 5210.3 对用户的影响 5210.4 对系统运行的影响 5210.5 对开发环境的影响 5310.6 对安全保密的影响 5310.7 对经费支出的影响 53第 11 章 实施风险及对策 5411.1 数据移植 5411.2 与周边系统的接口 5511.3 客户化工作 5711.4 总述 58总体结构1.1 系统体系结构系统采用目前主流的C/M/S三层体系架构，使前端业务处理和后端业务逻辑相互独立；前后端通讯由中间

3、层软件完成，可靠性高；屏 蔽前后端通讯实现的具体细节，编码简单；前端应用对后端完全透明,前端需要增加新的服务手段或方式时可单独完成，不必修改后端应用 程序，只需保持数据接口的一致性即可，后端的业务逻辑和数据对前 端也是完全透明的，后端业务逻辑的变化或服务器主机增加、减少或 变更都不会影响前端的服务，具有很好的可扩展性；同时，这种方式 可大量重用应用代码，缩短幵发周期外汇会计网络系统依托现有的城综网网络架构，可最大限度地利用现有资源。根据前台应用平台ACE4.0 Server的不同设置，网络架构有二层架构和三层架构两种不同的方案。1.2.1 二层网络架构前台网点 PC上安装业务系统和ACE Cl

4、ient 、ACE Server，二级分行无需安装业务系统，逻辑上网点 PC与一级分行主机直接相连，在实际的物理联接上，是通过二级分行中心路由与一级分行连接，避免（一级分行主机）（网络）（前台）主机网管工作站交换机路由器1二级分行路由器网点PCL_ 网点PC252网点PC直接访问中心主机， 可有效保证网络安全以及减轻主机网络负担。网络结构如图:122 三层网络架构前台网点 PC上安装 ACE Client ，二级分行配置一台前置机，其 上安装业务系统和 ACE Server，网点PC通过二级分行与一级分行主 机相连，形成三层架构。网络结构如图：1.2.3两种网络架构比较网络架构优点缺点二层架构

5、网络结构简单，系统稳定性、在前台网点 PC上需安装应安全性好，运行效率咼，无用系统和 ACE Client 、ACE需额外的硬件投资。Server ，系统维护升级复杂。三层架构在前台网点PC上只需安装ACE由于ACE4.0的Client 与Client，每个一级分行只需在Server物理分离，Client与前置机上安装一套 ACE ServerServer端之间的通讯跨越广和业务系统，便于系统维护与域网，造成：前台运行效率版本升级。降低；系统成熟度及稳定性、安全性有待于进步论证；一级分仃中心机房需相应配 备性能较高的前置机，增加 硬件投资。由于三层网络架构过于依赖ACE4.0，其安全性、效率性

6、、稳定性皆取决于ACE4.0前、后台的实现机制，存在着一定的风险性；且该种 网络架构尚未大规模商业应用，其可行性尚须进一步论证。鉴于此， 我们建议不采用此种网络架构，而使用二层网络架构。1.3 总体逻辑结构应用系统的总体逻辑结构分为三层：夕卜围服务层主要指柜面业务，以及与周边外围系统的接口程序。双箭头表示可以互为访问，互为访问的接口是实时的。例如：柜面业 务、国际结算、 B股资金清算；单箭头表示只能单向访问，单向访问 的接口是批量或与文件方式传送。例如：储蓄通兑文件、MIS系统、个人实盘外汇买卖；外围服务层通过规范的交易接口调用应用服务层 的各种服务。应用服务层由应用业务品种组成；应用服务层只

7、处理合法性判断、业务处理逻辑；帐务、凭证、计息、外汇买卖等均通过API由核心服务层完成；核心服务层是将公用的业务处理抽象成一系列的公函集，如帐务核心、凭证核心、计息核心、外汇买卖核心；具体如下图所示：系统环境2.1 前台软硬件环境2.1.1 简介硬件环境：利用网点现有的 FEBS系统或人民币会计系统PC、终端、行打等。软件环境操作系统：SCO Un ix数据库：In formix通讯中间件：TUXEDO Clie nt其它：神州数码 ACE4.0幵发平台、中文平台2.1.2 ACE4.0 简述ACE平台是一个针对金融前台系统幵发、维护的软件包，它能够实现金融前台系统所需要的人机交互、设备驱动、

8、通讯传输，利用ACE 平台的幵发思想及幵发工具可以使幵发出来的金融前台系统高效而稳 定。2000年的ACE4.0的版本不仅将字符平台和图形平台有机地结合在一起，同时ACE4.0具有很高的可扩展性，可以适应多种不同的网络体系结构。ACE平台已在全国各家银行推广幵来，并已在中国建设银行上海 分行大柜面系统投入使用。ACE4.0主要的技术特点有：4GL语言强大的通讯功能支持不同种类的外设跨平台授权文件广播嵌SQL语言完善的安全措施丰富的幵发维护工具ACE4.0的主要性能指标如下：运行速度以最复杂的打幵/运行屏幕这个典型操作进行性能测试，测试环境是:ACE Server 为 Lege nd 逐日 30

9、00/1 ntel 赛扬 433MHzACE Client 为 IBM Pentium MMX 100MHz;通讯速率为9600bps。测试后得出：打幵超大屏幕的时间约为 1600ms打幵屏幕组的时间约为 2600ms在实际的局域网运行环境中，所用时间将比测试所得数据大大缩短。用户数在使用SCOUNIX操作系统时，每台机器最多支持50用户。用户数超过50可以通过集群方式支持。通讯包长度ACE4.0自身对通讯数据包长度没有限制，可以通过配置实现数据包长度的改变。但综合考虑各种因素，推荐在每个通讯包的长度控制在2K- 4K之间。22 后台软硬件环境2.2.1 概述硬件环境：IBM RS6000系列

10、小型机软件环境操作系统：AIX数据库：In formix On li ne7.X、ESQL/C通讯中间件：TUXEDO Server2.2.2 主机性能要求外汇会计网络系统后台主机配置，主要从以下四个方面进行考虑：1. CPU性能：主要以服务器的TPC-C值作为相对选型参考值，在设计服务器处理能力时，需要将一些实际经验值和TPC-C值一起综合考虑，设计CPU的使用率在 40%以内。2. 内存的大小：内存是所有程序运行的环境，在CPU和相关系统 软件处理能力的范围内，一般说来，内存空间越大服务器的事 务处理性能越好，但不同的应用对内存的要求不同，所以在外 汇会计应用系统服务器内存设计中， 需要从

11、应用要求的角度来 考虑，寻找最佳的配置。在外汇会计网络系统中，主要是数据 库的应用，根据经验， Sybase 数据库对内存较敏感， ORACLE 和 DB2 其次， Informix 对内存要求最小，但 Informix 对 CPU 要求更多。3. 磁盘I/O性能：在 CPU处理能力一定的情况下，磁盘的 I/O速 度，可使服务器的整体性能相差几倍到几十倍，所以在设计中 要特别注意磁盘 I/O 的选型，磁盘 I/O 的选择尽量大，同时考 虑到单个磁盘的 I/O 速度是一定的， 需要靠多磁盘的并行读取 来提高磁盘 I/O 性能。4. 高可用性：在主机发生一般故障时，能保证业务的正常进行和 业务数据

12、的完整性，在主机发生严重故障时，能保证系统在最 短的时间内恢复运行，丢失最少的交易数据。根据业务量的大 小和业务的重要性，同时考虑其成本和效益，维持高可用性的 方案可以分为：双机热备份、双机冷备份、单机磁带备份。根据以上论述，下面分别从以上四个方面来分析和设计外汇会计 网络系统服务器的配置要求2.2.3 主机配置预估1. CPU处理能力分析根据经验值，处理能力6000TPC-C的服务器，接近100%的使用率， 每分钟可以处理5000笔交易，即 6000TPC-C=5000笔交易/分钟。根据要求，此次配置的外汇会计业务服务器要满足3-5年、每年15%的业务增长率的要求。 考虑到各地外汇会计目前的

13、业务量不明，参照厦门建行目前外汇会计的业务量情况。并控制外汇会计业务服务器CPU的利用率在 40%以内，参照IBM各款RS/6000服务器在不同配置下 的TPC-C值，初步估算不同省市外汇会计业务服务器将依其业务量大 小配置IBM RS/6000 F85、270系列服务器，且CPU配置数大约估算如下表：规模配置机型CPU数大IBM RS/6000 H852 路 450MHz小IBM RS/6000 44P 2702 路 375/450MHz2. 内存容量分析主机的内存需求包括操作系统本身需要、数据库系统运行需要及数据库用户服务进程需要等方面。其中操作系统本身需要的内存开销并不大，大部分的内存需

14、求还是来自于数据库系统。在数据库用户服 务进程方面，每个连接到数据库的用户连接都要占用一定的主机内存 资源，其占用的容量大约为600KB。数据库系统在运行时，需占用更大量的内存，根据数据库系统的运行机制分析及实际使用数据库系统 经验来看，内存越大，数据库系统的性能越好。根据以上的分析，建议主机配置的内存至少应达到3GB,考虑30%左右的内存冗余以提供最佳的性能，推荐配置4GB内存。对于业务量较小的分行,可以采用2GB内存。3. 硬盘容量分析外汇会计网络系统数据量依据不同省市业务规模差异较大，一般要在几十个 GB 以上。采用双机备份运行模式的分行，建议配置一台IBM 7133 磁盘子系统，其他分

15、行可采用服务器自带硬盘，容量应大于 30GB。4高可用性分析由于各分行业务量差别较大， 对于维持高可用性的要求各不相同， 因此建议根据业务量的区别，不同的分行采用不同的配置。双机热备份：对于每天业务量在 5000 笔以上的分行，由于网点众多，由于故障造成的主机停机，会给日常业务造成极大的影响，因此，保证主机无间断的工作是十分重要的，因此，双机热备是一个理想的 选择单机磁带备份：对于每天业务量在3000笔以下的分行来说，由于业务量小，网点少，主机一两个工作日停机对业务造成的影响很小， 采用双机备份对资源是一种浪费，单机磁带备份的方式已经可以满足 业务正常运行的需要。（注：根据对分行业务量的调查，

16、笔数一般分布在5000笔以上和3000笔以下）224配置小结规模配置机型CPU数内存存储运行模式大IBM RS/6000H852 路 450MHz4-8GBIBM 7133双机热备份IBM RS/60002路单机小44P 270375/450MHZ2GB18.2X2磁带备份2.3 中间件近年来，以交易中间件为框架基础的三层客户机/服务器模式已被广泛证实为建立幵放式关键业务应用系统的最佳环境。选择适合的中 间件产品，将对系统产生的重要的影响。本系统就BEA公司的TUXEDO和厦门东南融通公司的Lon gTop-Li nk 作一比较，并选择 TUXEDO乍为中间件。2.3.1 TUXEDO作为交易

17、中间件中的优秀代表，BEA公司的TUXEDO品提供了以下两个主要功能：负责客户机和服务器间的联接和通讯；提供一个三层结构应用幵发和运行的平台。采用TUXEDC交易中间件，能大大提高系统通讯和运行性能。它可以把大量的前端请求汇聚成较少的后端连接并减少数据传送量，应用 系统即使在大量用户同时请求服务的时候也能够保持快速、稳定的工 作状态。其主要优点有：通过数据压缩等手段，降低网络负担 调度服务程序，提高主机处理能力提高数据库效率分布式环境中更高水平的数据完整性具备故障恢复能力，使系统有更高的可用性提供信息加密服务，确保系统安全使系统能灵活扩展另外，由于它提供的三层结构的幵发运行平台，它还能：减轻幵

18、发人员负担使系统的安装与升级更容易减轻系统管理人员负担2.3.2 Lon gTop-Li nkLon gTop-L ink是厦门东南融通公司自主幵发的一个分布式联机事务处理系统的中间件，它为分布式环境下联机交易处理应用系统的幵 发和运行提供灵活和易用的平台，保证联机交易处理系统运行的高效 性和数据的完整性，同时提供其它辅助功能方便系统幵发和使用。LongTop-Link 采用三层客户/服务器结构。主要由以下部分组成:1. 核心系统：即实际的核心运行系统，包括管理内核、通信内核;2.幵发系统：即供用户使用的应用软件接口函数API ;3.管理系统：包括交易调度系统和为使用人员提供的监控工具。Lon

19、 gTop-L ink 提供以下功能：1. 网络通信：数据包压缩传输、文件压缩传输，并支持电话拨号备份2. 交易调度3. 交易流量控制4. 实时监控5. 安全性：身份认证和数据加密6. 日志功能7. 交易一致性管理Lon gTop-L ink 具有以下优点：降低网络负担：可以对网络上传递数据进行压缩，进一步减少网上传递数据量。提高主机处理能力：Lon gTop-L ink 调度有限的服务程序为大量并发请求进行服务，减少网络连接量、内存占用、进程数量、信号量和CPU时间片等系统资源，成倍提高主机的处理能力提高数据库效率：Lon gTop-L ink通过采用长驻服务进程的手段,使得与数据库的连接被

20、保持和复用，而且有限的服务程序只需与数据库建立有限的数据库连接，从而减少服务程序与数据库连接的次数和时间，大大提高了数据库操作的效率。提供文件压缩、断点续传功能，支持电话拨号备份通过通信日志，便于程序调试、交易跟踪和故障恢复。能进行交易监控、系统监控系统幵销（共享内存、消息队列、信号等）小价格便宜233方案比较将 TUXEDO与 LongTop-Link 比较如下:产品优点缺点TUXEDO市场占有率咼，应用范围广，产品成熟，功能兀善，性能好。系统幵销大，价格贵。Lon gTop-L ink系统幵销小，价格便宜应用范围小，不够成熟， 功能相对较少，性能相对 为低。不支持异构平台的 多种数据库，不

21、支持In ternet 、CORBA 应用以 及XA协议。并且，我行已买断TUXEDO使用权，进一步购买只需付Lice nse费用，且能拿到较低的价格，弥补了TUXEDO介格昂贵的缺点。综合产品的性能与价格，建议选择TUXEDO234系统中的TUXEDO应用方案本系统的数据及应用将集中在一级分行，从逻辑上看，各营业网点前台将通过网络直接挂在一级分行（系统逻辑图见本章第二节网络 架构）。从物理上看，前台的网点PC首先要与二级分行相联，通过二级分行再联到一级分行。从功能上看，二级分行只是起了一个网络路由的 功能。在网点PC上，安装ACE的Client端和Server端，负责客户界面 的输入和输出。

22、另外，网点PC上还安装了 TUXEDO勺Client端，负责与后台的通信及交易请求。采用上述网络架构，整个系统结构非常清晰，有利于系统的建设 及维护。但是，这种网络架构存在一个风险：当营业网点数目较多， 而且大量的营业网点同时做交易时，将造成网络拥挤不堪，影响交易 的正常进行。TUXEDO正好能在这种情况下发挥巨大的功效，有效地避 免网络拥塞。为了避免网络拥塞，在TUXEDO的配置中，对每个二级分行配置一组WSL与其对应，每一组 WSL能控制客户端连接的数量（最大的WSH数量）。这样在客户端请求数量较大时，TUXEDO将让这些请求排队等候处理，从而有效地避免网络拥塞，保证系统正常地运行，而不会

23、因 客户端的请求太多而导致后台系统的崩溃。功能模块总体上可分为七个模块：公用模块、联机交易、前台系统、参数 维护、批量处理、业务管理和周边系统的接口。公用模块不直接运行处理业务，而是为其他模块提供服务，主要包括：帐簿登记、凭证登记、利息计算、币种换算、与周边 系统实时接口。联机交易是日常业务的主要承担者，根据业务类别分为若个子系统：存款、贷款、汇兑、买卖、清算等，是OLTP服务器端的应用服务器。前台系统主要提供服务的接入与输出，是联机交易的外部界面，是OLTP的服务请求端。参数维护主要负责系统运行各类参数的维护，以主机终端方式 交互运行。批处理完成批量业务，以主机终端方式非交互运行。业务管理完

24、成非营业性管理、查询、统计、报表等处理。与周边系统的接口完成与国际结算、国际收支申报、B股资金清算、个人实盘外汇买卖系统、储蓄通兑文件等接口。安全保密4.1 概述外汇会计网络系统的交易信息需要通过广域网传输，业务数据集 中存放在一级分行主机。因此，外汇会计网络系统的安全要求包括如 下两方面：信息传输安全：即保证数据从网点、二级分行以及一级分行 的传输过程中的安全性，防止数据被伪造、篡改和冒充；数据存储安全，即保证一级分行中心数据的完整性，只有得 到允许的人才能修改数据，并且能够判别出数据是否已被篡 改。由于系统的网络连接将借助于各分行城综网，而城综网一般以 DDN等专线方式连接，再加上分行现有

25、的硬件安全设施，因此，网络 的物理安全性较高。同时，为减少投资费用，本方案主要考虑以软件 方式提高系统的安全性，因此还要求：软件算法应有较高的安全性，能满足应用系统安全的需要；软件算法应有较高的效率，对主机的系统资源占用少，不影 响整个应用系统的性能为实现以上安全方面的要求，除制定严格的业务操作管理制度，加强操作系统的用户安全管理外，系统将采取以下措施：在业务应用系统中实现完备的用户权限管理；为满足信息传输安全要求，除利用TUXEDOS间件的加密功能夕卜，还采取通讯加密和密钥管理等方法实现安全的网络数据 传输机制；为满足数据存储安全要求，除利用数据库的用户权限等安全 机制外，还采取对重要数据表

26、进行加密的方法来实现数据存 储安全。4.2 信息传输安全为确保数据在广域网上进行传输时的安全，防止数据被窃取和篡 改，除利用中间件产品的安全机制外，还需在应用系统中实现较高的 安全性。为此，系统将采取如下措施：采用DES算法对数据加密以保证数据不被非法窃取；对数据包产生消息鉴别码MAC字段(MessageAuthe ntication Code)防止数据被非法修改，其中MAC算法可采用DES CRC32或MD5在登录系统时进行用户/ 口令认证，并对口令加密传输；建立完备的密钥管理体系经。下面就数据加密技术、数据完 整性技术、身份认证技术及密钥管理方案作详述，并将讨论网络架构对信息传输安全的影响

27、4.2.1 数据加密技术数据加密技术按密码体制可分为对称密钥密码技术和非对称密 钥密码技术。对称密钥密码技术要求加密解密双方拥有相同的密钥，需要用户 之间传递密钥，安全保密性较差，但加解密速度快，强度高， 在军事、 外交以及商业应用中越来越普遍，DES密码算法就是有名的对称密钥加密算法。非对称密钥密码技术是加密解密双方拥有不同的密钥，要求密 钥成对出现，一个用于加密，一个用于解密。它的特点是各用户拥有 自己的解密密钥即私有密钥，而加密密钥即公开密钥则可以公开放 置，用户之间不必传递密钥，安全保密性就比较好，但是多数公开密 钥算法需要进行大量的代数运算， 速度很慢， 不能用于快速加密数据， 而且

28、需要建立认证中心。目前典型的公幵密钥密码算法包括RSA算法、Diffie Hellman密钥交换协议和 DSA美国数字签名算法等。根据上面所述加密技术的特点，本系统对传输数据采用DES算法进行加密，辅之以身份认证手段，从而在加密速度和系统安全性两方 面均达到较好的效果。4.2.2 数据完整性技术加密只能防止数据不被监听，为防止数据在传输过程中被非法修改，通常采用以下方法：校验和即接收方计算出接收到的数据的校验和并与数据包中的值比较。若相等，说明数据没有改变；若不等，则说明数据在传输中出现错误或被修改了。循环冗余校验CRC(Cyclic Redu nda ncy Check/Code)对一个传送

29、数据块进行校验，是一种高效的差错控制方法。摘要另一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。摘要有这样一个性质， 如果改变了输入消息中的任何东西，甚至只有一位,输出的摘要将会发生不可预测的改变，也就是说输入消息的每一位对输出摘要都有影响。现在流行的摘要算法有有MD4和MD5系统中将采用一定的数据完整性技术确保数据安全，具体为何种算法在系统设计时确定。4.2.3 认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可，主要有用户名 / 口令认证以及数字签名技术。用户 / 口令认证为传统的认证方式，简单而易于实现。若对认证过程中的

30、口令传输进行加密，将大大提高安全性。数字签名作为验证发送者身份和消息完整性的根据，可用于通信 过程中的不可抵赖要求的实现。数字签名基于私有 / 公共密钥对，数 据源使用其私有密钥对数据的摘要或其它数据内容进行加密， 而数据 接收方则用相应的公用密钥解密，以验证签名的真实性。由于数字签名需采用 CA 验证密钥，投资较大，在本方案中建议采用用户名/ 口令认证方式，其中口令采用DES算法加密传输。4.2.4 密钥管理由于DES算法的密钥需要双方共同保密，任何一方的失误都会导致机密的泄露。而且密钥发布中，还需要的防止任何人发现或偷听密 钥。因此密钥管理对系统的安全至关重要。在本方案中，建议采用三层密钥

31、结构：1. 本地主密钥：本地存储，存放在程序中，用以加密区域主密钥;2. 区域主密钥：用本地主密钥加密后存储在文件或数据库中， 用以加密工作密钥；3. 工作密钥：用区域主密钥加密后存储在内存中，用以加密数 据。其中区域主密钥存放在网点和一级分行的计算机中，可定期自动 或手工更换，工作密钥可采用如下实现方式：1. 静态方式即网点幵机时，首先执行系统签到操作，一级分行将经区域主密 钥加密后的工作密钥传输给网点，随后的所有交易均采用该工作密钥加密数据。加密后的通信包格式如下图所示，其中MAC由加密后的数据生成数据用工作密钥加密的数据MAC校验静态工作密钥方式2. 动态方式该方式在每次发送交易信息时，

32、由发送方动态产生工作密钥，将经区域主密钥加密后的工作密钥以及用工作密钥加密的数据发送给接收方。加密后的通信包格式如下图所示，其中MAC由加密后的工作密钥数据用区域主密钥加密的工作密钥用工作密钥加密的数据MAC校验动态工作密钥方式和数据生成由于动态工作密钥方式每次数据传输的工作密钥均不一样，因而 具有更高的安全性。建议在数据加密后，采用动态Huffman算法对整个通信包进行压缩，以保证网络的传输效率和提高安全性。425系统网络架构对传输安全的影响如前所述，在本方案中，整个应用系统的网络架构主要有两种： 二层结构和三层结构。在两层结构中，只需在网点和一级分行间考虑传输安全，二级分 行只起路由中转作

33、用在三层结构中，而二级分行与一级分行的传输安全实现方法同 上，具有较高的安全性；而网点和二级分行间的传输安全由神州数码公司的ACE平台实现。这一方式有以下缺点：ACE的安全性能不确定，可能会降低整个系统的安全性；数据要经过两次加解密，对应用系统的性能会造成影响；整个系统需维护网点和二级分行、二级分行与一级分行两套密钥，管理比较复杂。4.3数据存储安全为防止对数据库的非法修改，建议对数据库的关键数据表设立数据鉴别码 DAC( Data Authentication Code)字段，该字段内容由数据库表中的关键字段生成确定。DACDAC算法可采用与 MAC相同的DES CRC32或 MD5算法，由

34、于校验会影响数据库操作的性能，因而为保证应用系统存取数据库的高效性，建议如下：只对关键数据库表设置DAC字段，该字段内容取决于关键字段，如帐号、金额、利息积数、利率等； 仅对数据库的Insert 、Update操作进行 DAC校验以防止对数据库的非法修改，对查询操作不作校验同时，为了方便数据库后台维护，系统提供重置DAC功能，具体如下：对关键数据库表的操作按数据库管理员和安全管理员划分不同的权限，数据库管理员可修改数据库但无重置DAC的权限,安全管理员无修改数据库的权限但可重置DAC若需对关键数据库表操作，首先由管理员执行数据库的插入或修改操作；安全管理员再执行重置DAC操作，使数据库管理员对

35、关键数据库表的操作生效。异常处理系统在运行中将出现各种异常情况，在方案设计时就应充分考虑，并制订相应的对策。在本章中，从网络通讯、主机运行、数据库等三 个方面来进行异常处理设计。5.1 通讯异常处理本系统采用客户/服务器结构，客户端通过广域网与服务端通讯。由于网络存在不可靠因素，有时会出现传输过程中交易数据丢失的情况，造成客户端与服务端的交易不完整或数据不一致，从而导致银行 的资金风险和信誉风险。因此，如何确保数据一致性是通讯异常处理 的主要内容。首先，中间件产品能在一定程度上保证交易的一致性。Tuxedo中间件支持现有的X/Open DTP XA标准，可与任何支持此标准的关系型数据库， 如D

36、B2、Informix、Oracle、Sybase进行两阶段提交，实现交易中数据的 一致性。可以考虑将系统的事务前提到网点，运用TUXED啲二阶段提交方式来保证前后台帐务的一致性。为进一步确保交易数据一致，系统还将通过增强应用软件功能，来避免前后台交易的不一致。以下将详述应用系统中的通讯异常处理 方法。5.1.1 产生原因在客户 / 服务器结构的联机交易处理系统中，一笔交易至少包含如下图所示的四个过程：请求传输过程；服务端交易处理过程；应答传输过程；客户端处理应答过程。由于网络传输的不可靠性，必然有“应答传输过程”失败的情况。在这种情况下，就产生了服务端与客户端交易状态的不一致性问题：在服务端

37、，该笔交易已处理或完成；在客户端，由于没有收到应 答，该笔交易是失败的。这种客户端及服务端的不一致，会给银行造成资金损失或信誉损失。5.1.2 处理方式1. 方式一：采用冲正方式即当网点收不到主机的应答时， 向主机发冲正交易。 其处理流程如 下：该方式处理简单，缺点是若该网点的网络一直不正常，冲正交易 发送不成功，用户到别的网点办理业务时，银行仍存在资金风险或信 誉风险。2. 方式二：交易锁和冲正相结合方式该方式在后台数据库中设置一个“交易锁”，其业务流程如下:帐务主机在收到前台的交易请求后，将交易帐号设置“交易锁”状态；被设置“交易锁”的帐号不可以再发生存、取款交易；主机收到网点的“交易确认

38、”后，解幵帐户的“交易锁”，即执行“解挂起”交易；当网点收不到主机的交易应答，则向主机发“冲正交易”；主机收到网点的冲正交易后，取消原交易，并解幵帐户的“交易锁” 0采用该方式下，若该网点的网络不正常，冲正交易发送不成功时，帐务主机的交易帐号处于“交易锁”状态，银行不存在资金风险或信誉风险。具体分析如下：当第一步通信发送失败时，此时帐务主机未收到网点交易请求，主机不进行任何处理，同时网点报错；交易重做，对系统没有任何影响。当第二步主机事务处理失败时，当事务处理失败时，INFORMIX将保证事务的完整性，主机不修改任何数据库表；同时主机向网点发交易失败应答；网点取消交易并重做。当第三步网点接收失

39、败时，当主机完成交易处理，但网点未收 到“交易应答”时，此时主机已成功记帐，同时主机也为此交易帐号设置了“交易锁”。网点在接收应答超时后，会向主机发冲正交易，同时取消交易。在主机在未收到“冲正交易”之 前，交易帐号处于“交易锁”状态，不可发生存、取款交易， 此时的帐户处于安全状态；当第四步主机收不到网点的“确认交易”时，主机收不到网点 的“确认交易”时，交易帐户一直处于“交易锁”状态，不可 发生存、取款交易，帐户处于安全状态当第五步网点向主机发“冲正交易”失败时，主机收不到网点 的“冲正交易”时，交易帐户一直处于“交易锁”状态，不可 发生存、取款交易，帐户处于安全状态当第六步主机执行“解挂起”

40、交易失败时，如果主机在执行“解 挂起”交易时失败，INFORMIX可以保证交易事务的完整性，保证交易帐户仍然处于“交易锁”状态。从以上分析可以看出，不论交易过程的任何步骤出现故障，交易帐户都将处于安全状态，保证银行的利益不受损失；但是，以上的处理流程仍然会出现前台交易失败，主机交易成功的情况（尽管交易帐户处于安全状态）。对此，我们在网点“试轧帐”、“轧帐”等交易时自 动核对前、后台交易并自动冲正3、两种方式比较方式一优点是简单，易实现。若考虑增加当后台交易完成后向前 台发送不成功或超时，后台自动将该笔交易插入到待冲正流水表中， 由后台冲正服务进行冲正处理。这样可以增强第一种方式的性能，保 证资

41、金的安全。方式二优点是安全性较高，但可能给客户造成不便，并且将干扰 系统的正常运行，例如一些内部账号如果被加上交易锁的话会影响其 他交易的进行。同时，应用程序改动较大，实现难度较高。并且如果 增加交易锁表的会在该表中产生瓶颈作用，影响系统性能。因此，建议采用方式一。5.2 主机异常及处理1. 主机硬件故障主机硬件部件（包括本地硬盘）发生故障时，若故障为符 合HACMP定义的能导致发生双机切换的故障条件，贝V会导 致双机切换，应用切换至另一台主机控制和伺服，继续提 供应用服务；主机硬件部件（包括本地硬盘）发生故障时，若故障不足 以导致HACMP发生双机切换，或不影响应用服务，但为进行故障排除等操

42、作，可人工控制HACMP进行双机切换，将应用切换至另一主机控制及服务；2. 操作系统故障系统出现突发的运行效率低下或报错时，可由客户作简单的基本检查，利用ps、vmstat、iostat 、errpt 等操作系统命令检查系统是否出现死进程、I/O瓶颈、内存不足等问题并进行初步排查，若短期不能解决时可人工控制HACMP进行双机切换，将应用切换至另一主机控制及服务，继续提供应用服务；出现死机等操作系统关键性故障时，会导致HACMP发生双机切换，应用切换至另一台主机控制和伺服，继续提供应用服务；3. 主机网络故障主机网卡故障时， 由HACMP各服务IP地址切换至本机另一块网卡，继续提供 IP的可用性

43、；连接网卡的线路发生故障时，该网卡配置的IP不通，则由HACMP各服务IP地址切换至本机另一块网卡，继续提供IP的可用性；主机操作系统发生TCP/IP等网络相关软件故障导致主机的网络不可用时，可人工控制HACMP将应用切换至另一台主机控制和伺服，继续提供应用服务；4. 共享硬盘柜故障共享硬盘柜的 SSA线路部件发生故障时，由于SSA体系本身的环路结构，避免了单点故障，共享硬盘上的数据仍可访问。此时共享硬盘I/O速率会降低；共享硬盘柜的硬盘发生故障时，由于采用了硬盘镜像策略，避免了单点故障，共享硬盘上的数据仍可访问。此时共享硬盘I/O速率基本不受影响；5. 补充说明采用单机磁带备份的分行，在主机

44、发生故障，不能正常 工作时，可以手工记帐，待主机正常工作之后，把发生故障之 后的交易补入到主机中。5.3 数据库异常处理系统采用In formix 数据库，主要故障情况及处理方式如下：1. 数据库应作好完善的数据备份，通常可采用:on tape- s数据库数据系统备份on tape - a|c数据库逻辑日志备份dbexport数据库数据文本备份2. 数据库发生突发的访问效率低下检查是否为突发性的业务高峰导致响应速度降低； 检查操作系统是否存在异常（参考主机异常处理小节中的操作系统故障部分），并在操作系统级采取必要的处理措施；使用 on stat -m 、on stat - d、on stat-

45、 p、on stat- k等命令查找是否存在出错信息、僵死的session 、VirtualMemory 不足、Chunk的I/O瓶颈等异常情况，经过慎重考虑及充分的技术咨询后决定是否及时采取杀僵死Session、调整VirtualMemory段、重启数据库服务器等必要措施；3. 逻辑日志未备份导致的业务停止在参数配置合理时，若数据库的逻辑日志未及时备份，则在只剩一个未用逻辑日志文件时数据库会暂时停止所有交易。通过查看系统con sol信息可判断该情况。对逻辑日志备份后，数据库继续伺服交易请求;4. 数据库报错使用on stat - m等命令查看出错信息、系统运行状况，经 过慎重考虑及充分的技

46、术咨询后决定是否及时采取必要措 施；5. 数据库僵死数据库僵死时，经过慎重考虑及充分的技术咨询后实施杀 数据库进程、清理Semaphores等内存资源等必要步骤，重新启动数据库，并按照银行业务要求的验证措施追查、核 对交易；6. 数据库无法启动检查数据库软件及设置检查操作系统环境及设置检查是否数据库空间故障，考虑从on tape系统备份及逻辑日志备份恢复数据若系统在业务运行中死机导致数据库无法启动，则在从 on tape系统备份及逻辑日志备份恢复数据后，还应作追帐处理;7. 数据无法从on tape备份恢复重新初始化数据库空间，使用dbimport工具从dbexport制作的文本备份恢复数据；必要时作追帐处理。