外汇会计网络处理系统项目技术方案

《外汇会计网络处理系统项目技术方案》由会员分享，可在线阅读，更多相关《外汇会计网络处理系统项目技术方案（45页珍藏版）》请在装配图网上搜索。

1、外汇会计网络处理系统项目技术方案中国建设银行信息技术部2002 年 4 月目录第 1 章总体结构 41.1 系统体系结构 41.2 网络架构 41.3 总体逻辑结构 6第 2 章系统环境 82.1 前台软硬件环境 82.2 后台软硬件环境 92.3 中间件 13第 3 章功能模块 18第 4 章安全保密 194.1 概述 194.2 信息传输安全 204.3 数据存储安全 25第 5 章异常处理 275.1 通讯异常处理 275.2 主机异常及处理 305.3 数据库异常处理 32第 6 章数据移植 356.1 实施原则 356.2 实现方法 356.3 移植步骤 36第 7 章和现有系统的比

2、较 38第 8 章和相关系统的关系 39第 9 章可选技术方案 40第 10 章采用建议系统可能带来的影响 4110.1 对设备的影响 4110.2 对现有软件的影响 4110.3 对用户的影响 4110.4 对系统运行的影响 4110.5 对开发环境的影响 4210.6 对安全保密的影响 4210.7 对经费支出的影响 42第 11 章 实施风险及对策 4311.1 数据移植 4311.2 与周边系统的接口 4411.3 客户化工作 4611.4 总述 46第1章总体结构1.1系统体系结构系统采用目前主流的C/M/S 三层体系架构，使前端业务处理和后端业务逻辑相互独立；前后端通讯由中间层软件

3、完成，可靠性高；屏蔽前后端通讯实现的 具体细节，编码简单；前端应用对后端完全透明，前端需要增加新的服务手段或 方式时可单独完成，不必修改后端应用程序，只需保持数据接口的一致性即可， 后端的业务逻辑和数据对前端也是完全透明的，后端业务逻辑的变化或服务器主 机增加、减少或变更都不会影响前端的服务，具有很好的可扩展性；同时，这种 方式可大量重用应用代码，缩短开发周期。1.2 网络架构外汇会计网络系统依托现有的城综网网络架构，可最大限度地利用现有资源。根据前台应用平台ACE4.0 Server的不同设置，网络架构有二层架构和三层架构两种不同的方案。1.2.1 二层网络架构前台网点 PC上安装业务系统和

4、ACE Client 、ACE Server ，二级分行无需安装业务系统，逻辑上网点PC与一级分行主机直接相连，在实际的物理联接上，是通过二级分行中心路由与一级分行连接，避免网点PC直接访问中心主机，可主机（一级分行主机）交换机路由器二级分行路由器n（前台）网点PC网点PC网管工作站DDNN2525有效保证网络安全以及减轻主机网络负担。网络结构如图:1.2.2 三层网络架构前台网点 PC上安装 ACE Client ，二级分行配置一台前置机，其上安装业务系统和 ACE Server，网点PC通过二级分行与一级分行主机相连，形成三层架构。网络结构如图:1.2.3 两种网络架构比较网络架构优点缺点

5、二层架构网络结构简单，系统稳定性、安在前台网点 PC上需安装应用全性好，运行效 率高，无需额外系统和 ACE Clie nt 、ACE的硬件投资。Server，系统维护升级复杂。三层架构在前台网点 PC上只需安装 ACE由于 ACE4.0 的 Client 与 ServerClient ,每个二级分行只需在前置机物理分离，Client与Server端之上安装一套ACEServer和业务系统，间的通讯跨越广域网， 造成：前台便于系统维护与版本升级。运行效率降低；系统成熟度及稳定性、安全性有待于进一步论证；二级分行中心机房需相应配备性能较高的前置机，增加硬件投资。由于三层网络架构过于依赖ACE4.

6、0 ，其安全性、效率性、稳定性皆取决于ACE4.0 前、后台的实现机制，存在着一定的风险性；且该种网络架构尚未大规 模商业应用，其可行性尚须进一步论证。鉴于此，我们建议不采用此种网络架构， 而使用二层网络架构。1.3总体逻辑结构应用系统的总体逻辑结构分为三层：夕卜围服务层主要指柜面业务，以及与周边外围系统的接口程序。双箭头表示B 股资可以互为访问，互为访问的接口是实时的。例如：柜面业务、国际结算、 金清算；单箭头表示只能单向访问，单向访问的接口是批量或与文件方式传送。 例如：储蓄通兑文件、 MIS 系统、个人实盘外汇买卖；外围服务层通过规范的交 易接口调用应用服务层的各种服务。应用服务层由应用

7、业务品种组成；应用服务层只处理合法性判断、业务处理 逻辑；帐务、凭证、计息、外汇买卖等均通过 API 由核心服务层完成；核心服务层是将公用的业务处理抽象成一系列的公函集，如帐务核心、凭证 核心、计息核心、外汇买卖核心；具体如下图所示：第2章系统环境2.1前台软硬件环境2.1.1 简介硬件环境：利用网点现有的FEBS系统或人民币会计系统PC、终端、行打等。软件环境操作系统：SCO Un ix数据库：In formix通讯中间件：TUXEDO Clie nt其它：神州数码ACE4.0 开发平台、中文平台2.1.2 ACE4.0 简述ACE平台是一个针对金融前台系统开发、维护的软件包，它能够实现金融

8、前台系统所需要的人机交互、设备驱动、通讯传输，利用ACE平台的开发思想及开发工具可以使开发出来的金融前台系统高效而稳定2000 年的ACE4.0 的版本不仅将字符平台和图形平台有机地结合在一起，同时ACE4.0 具有很高的可扩展性，可以适应多种不同的网络体系结构ACE平台已在全国各家银行推广开来,并已在中国建设银行上海分行大柜面系统投入使用。ACE4.0主要的技术特点有：4GL语言强大的通讯功能支持不同种类的外设跨平台授权文件广播嵌SQL语言完善的安全措施丰富的开发维护工具ACE4.0的主要性能指标如下：运行速度以最复杂的打开/运行屏幕这个典型操作进行性能测试，测试环境是：ACE Server

9、 为 Lege nd 逐日 3000/1 ntel 赛扬 433MHz ；ACE Client 为 IBM Pentium MMX 100MHz ；通讯速率为 9600bps。测试后得出：打开超大屏幕的时间约为1600ms ;打开屏幕组的时间约为2600ms在实际的局域网运行环境中，所用时间将比测试所得数据大大缩短。用户数在使用SCO UNIX操作系统时，每台机器最多支持 50用户。用户数超过50可以通过集群方 式支持。通讯包长度ACE4.0自身对通讯数据包长度没有限制，可以通过配置实现数据包长度的改变。但综合考 虑各种因素，推荐在每个通讯包的长度控制在2K - 4K之间。2.2后台软硬件环境

10、2.2.1 概述硬件环境：IBM RS6000 系列小型机。软件环境操作系统：AIX数据库：In formix Onlin e7.X、ESQL/C通讯中间件：TUXEDO Server222 主机性能要求外汇会计网络系统后台主机配置，主要从以下四个方面进行考虑：1. CPU性能：主要以服务器的TPC-C值作为相对选型参考值，在设计服务器处理能力时，需要将一些实际经验值和TPC-C值一起综合考虑，设计CPU的使用率在 40%以内。2. 内存的大小：内存是所有程序运行的环境，在CPU和相关系统软件处理能力的范围内，一般说来，内存空间越大服务器的事务处理性能越好，但不同的应用对内存的要求不同，所以在

11、外汇会计应用系统服务器内存 设计中，需要从应用要求的角度来考虑，寻找最佳的配置。在外汇会计 网络系统中，主要是数据库的应用，根据经验，Sybase 数据库对内存较敏感，ORACLE 和DB2其次，Informix 对内存要求最小，但Informix 对CPU要求更多。3. 磁盘I/O 性能：在 CPU处理能力一定的情况下，磁盘的 I/O 速度，可 使服务器的整体性能相差几倍到几十倍，所以在设计中要特别注意磁盘I/O 的选型，磁盘I/O 的选择尽量大，同时考虑到单个磁盘的I/O 速度是一定的，需要靠多磁盘的并行读取来提高磁盘I/O性能。4. 高可用性：在主机发生一般故障时，能保证业务的正常进行和

12、业务数据的完整性，在主机发生严重故障时，能保证系统在最短的时间内恢复运行，丢失最少的交易数据。根据业务量的大小和业务的重要性，同时考虑其成本和效益，维持高可用性的方案可以分为：双机热备份、双机冷备份、单机磁带备份。根据以上论述，下面分别从以上四个方面来分析和设计外汇会计网络系统服务器的配置要求。223 主机配置预估1. CPU处理能力分析根据经验值，处理能力6000TPC-C 的服务器，接近 100%的使用率，每分钟可以处理 5000笔交易，即 6000TPC-C=5000 笔交易/分钟。根据要求，此次配置的外汇会计业务服务器要满足3-5年、每年15%的业务增长率的要求。考虑到各地外汇会计目前

13、的业务量不明，参照厦门建行目前外汇会计的业务量情况。并控制外汇会计业务服务器CPU的利用率在 40%以内，参照IBM 各款RS/6000 服务器在不同配置下的TPC-C 值，初步估算不同省市外汇会计业务服务器将依其业务量大小配置IBM RS/6000 F85、270系列服务器，且CPU配置数大约估算如下表：规模配置机型CPU数大IBM RS/6000 H852 路 450MHz小IBM RS/6000 44P 2702 路 375/450MHz2.内存容量分析主机的内存需求包括操作系统本身需要、数据库系统运行需要及数据库用户服务进程需要等方面。其中操作系统本身需要的内存开销并不大，大部分的内存

14、需求还是来自于数据库系统。在数据库用户服务进程方面，每个连接到数据库的 用户连接都要占用一定的主机内存资源， 其占用的容量大约为 600KB 。数据库系 统在运行时，需占用更大量的内存，根据数据库系统的运行机制分析及实际使用 数据库系统经验来看，内存越大，数据库系统的性能越好。根据以上的分析，建议主机配置的内存至少应达到 3GB ，考虑 30% 左右的 内存冗余以提供最佳的性能，推荐配置 4GB 内存。对于业务量较小的分行, 可以采用 2GB 内存。3. 硬盘容量分析外汇会计网络系统数据量依据不同省市业务规模差异较大，一般要在几十个GB 以上。 采用双机备份运行模式的分行，建议配置一台 IBM

15、 7133 磁盘子系统， 其他分行可采用服务器自带硬盘，容量应大于 30GB 。4高可用性分析由于各分行业务量差别较大，对于维持高可用性的要求各不相同，因此建议 根据业务量的区别，不同的分行采用不同的配置。双机热备份：对于每天业务量在 5000 笔以上的分行，由于网点众多，由于 故障造成的主机停机，会给日常业务造成极大的影响，因此，保证主机无间断的 工作是十分重要的，因此，双机热备是一个理想的选择。单机磁带备份： 对于每天业务量在 3000 笔以下的分行来说， 由于业务量小，网点少，主机一两个工作日停机对业务造成的影响很小，采用双机备份对资源是一种浪费，单机磁带备份的方式已经可以满足业务正常运

16、行的需要。（注：根据对分行业务量的调查，笔数一般分布在5000笔以上和 3000笔以下）224 配置小结规 模配置机型CPU数内存存储运行模式大IBMRS/6000H852 路 450MHz4-8GBIBM 7133双机热备份小IBMRS/600044P 2702路375/450MHz2GB18.2X2单机磁带备份2.3中间件近年来，以交易中间件为框架基础的三层客户机/服务器模式已被广泛证实为建立开放式关键业务应用系统的最佳环境。选择适合的中间件产品，将对系统产生的重要的影响。本系统就BEA公司的TUXEDO和厦门东南融通公司的Lon gTop-Li nk 作一比较，并选择TUXEDO作为中间

17、件作为交易中间件中的优秀代表,BEA公司的TUXEDC产品提供了以下两个主要2.3.1TUXEDO功能:负责客户机和服务器间的联接和通讯； 提供一个三层结构应用开发和运行的平台。采用 TUXEDO 交易中间件，能大大提高系统通讯和运行性能。它可以把大 量的前端请求汇聚成较少的后端连接并减少数据传送量，应用系统即使在大量用 户同时请求服务的时候也能够保持快速、稳定的工作状态。其主要优点有：通过数据压缩等手段，降低网络负担调度服务程序，提高主机处理能力提高数据库效率分布式环境中更高水平的数据完整性具备故障恢复能力，使系统有更高的可用性 提供信息加密服务，确保系统安全 使系统能灵活扩展另外，由于它提

18、供的三层结构的开发运行平台，它还能：减轻开发人员负担使系统的安装与升级更容易减轻系统管理人员负担2.3.2 LongTop-LinkLongTop-Link 是厦门东南融通公司自主开发的一个分布式联机事务处理系统的中间件，它为分布式环境下联机交易处理应用系统的开发和运行提供灵活和 易用的平台，保证联机交易处理系统运行的高效性和数据的完整性，同时提供其 它辅助功能方便系统开发和使用LongTop-Link 采用三层客户 / 服务器结构。主要由以下部分组成：1. 核心系统：即实际的核心运行系统，包括管理内核、通信内核；2. 开发系统：即供用户使用的应用软件接口函数 API ；3. 管理系统：包括交

19、易调度系统和为使用人员提供的监控工具。LongTop-Link 提供以下功能：1. 网络通信：数据包压缩传输、文件压缩传输，并支持电话拨号备份2. 交易调度3. 交易流量控制4. 实时监控5. 安全性：身份认证和数据加密6. 日志功能7. 交易一致性管理LongTop-Link 具有以下优点：降低网络负担：可以对网络上传递数据进行压缩，进一步减少网上传递数据量。提高主机处理能力： LongTop-Link 调度有限的服务程序为大量并发请求进 行服务，减少网络连接量、内存占用、进程数量、信号量和 CPU 时间片等系 统资源，成倍提高主机的处理能力。提高数据库效率： LongTop-Link 通过

20、采用长驻服务进程的手段，使得与数 据库的连接被保持和复用，而且有限的服务程序只需与数据库建立有限的数 据库连接，从而减少服务程序与数据库连接的次数和时间，大大提高了数据 库操作的效率。提供文件压缩、断点续传功能，支持电话拨号备份通过通信日志，便于程序调试、交易跟踪和故障恢复。能进行交易监控、系统监控系统开销（共享内存、消息队列、信号等）小价格便宜233方案比较将 TUXEDO 与 LongTop-Link比较如下:产口口优点缺点TUXEDO市场占有率咼，应用范围广，产品成熟，功能兀善，性能好。系统开销大，价格贵。Lon gTop-L ink系统开销小，价格便宜应用范围小，不够成熟，功能 相对较

21、少，性能相对为低。不 支持异构平台的多种数据库， 不支持 In ternet 、CORBA 应 用以及XA协议。并且，我行已买断 TUXEDO 使用权，进一步购买只需付Lice nse 费用，且能拿到较低的价格，弥补了 TUXEDO 价格昂贵的缺点。综合产品的性能与价格， 建议选择 TUXEDO 。2.3.4 系统中的 TUXEDO 应用方案本系统的数据及应用将集中在一级分行，从逻辑上看，各营业网点前台将通 过网络直接挂在一级分行（系统逻辑图见本章第二节网络架构） 。从物理上看，前台的网点 PC 首先要与二级分行相联，通过二级分行再联到 一级分行。从功能上看，二级分行只是起了一个网络路由的功能

22、。在网点 PC 上，安装 ACE 的 Client 端和 Server 端，负责客户界面的输入 和输出。另外，网点 PC 上还安装了 TUXEDO 的 Client 端，负责与后台的通信 及交易请求。采用上述网络架构，整个系统结构非常清晰，有利于系统的建设及维护。但 是，这种网络架构存在一个风险：当营业网点数目较多，而且大量的营业网点同 时做交易时，将造成网络拥挤不堪，影响交易的正常进行。 TUXEDO 正好能在 这种情况下发挥巨大的功效，有效地避免网络拥塞。为了避免网络拥塞，在 TUXEDO 的配置中，对每个二级分行配置一组 WSL 与其对应，每一组 WSL 能控制客户端连接的数量（最大的

23、WSH 数量）。这样在 客户端请求数量较大时， TUXEDO 将让这些请求排队等候处理，从而有效地避 免网络拥塞，保证系统正常地运行，而不会因客户端的请求太多而导致后台系统 的崩溃第3章功能模块总体上可分为七个模块：公用模块、联机交易、前台系统、参数维护、批量 处理、业务管理和周边系统的接口。公用模块不直接运行处理业务，而是为其他模块提供服务，主要包括：帐 簿登记、凭证登记、利息计算、币种换算、与周边系统实时接口。联机交易是日常业务的主要承担者，根据业务类别分为若个子系统：存款、贷款、汇兑、买卖、清算等，是OLTP服务器端的应用服务器。前台系统主要提供服务的接入与输出，是联机交易的外部界面，是

24、OLTP的服务请求端。参数维护主要负责系统运行各类参数的维护，以主机终端方式交互运行。批处理完成批量业务，以主机终端方式非交互运行。业务管理完成非营业性管理、查询、统计、报表等处理。与周边系统的接口完成与国际结算、国际收支申报、B股资金清算、个人实盘外汇买卖系统、储蓄通兑文件等接口。第4章安全保密4.1概述外汇会计网络系统的交易信息需要通过广域网传输，业务数据集中存放在一级分行主机。因此，外汇会计网络系统的安全要求包括如下两方面：信息传输安全：即保证数据从网点、二级分行以及一级分行的传输过程中的安全性，防止数据被伪造、篡改和冒充；数据存储安全，即保证一级分行中心数据的完整性，只有得到允许的人才

25、能修改数据，并且能够判别出数据是否已被篡改。由于系统的网络连接将借助于各分行城综网，而城综网一般以DDN等专线方式连接，再加上分行现有的硬件安全设施，因此，网络的物理安全性较高。同 时，为减少投资费用，本方案主要考虑以软件方式提高系统的安全性，因此还要求：软件算法应有较高的安全性，能满足应用系统安全的需要；软件算法应有较高的效率，对主机的系统资源占用少，不影响整个应用系统的性能。为实现以上安全方面的要求，除制定严格的业务操作管理制度，加强操作系 统的用户安全管理外，系统将采取以下措施: 在业务应用系统中实现完备的用户权限管理；为满足信息传输安全要求，除利用 TUXEDO 中间件的加密功能外，还

26、 采取通讯加密和密钥管理等方法实现安全的网络数据传输机制； 为满足数据存储安全要求，除利用数据库的用户权限等安全机制外，还 采取对重要数据表进行加密的方法来实现数据存储安全。4.2 信息传输安全为确保数据在广域网上进行传输时的安全， 防止数据被窃取和篡改， 除利用 中间件产品的安全机制外，还需在应用系统中实现较高的安全性。为此，系统将 采取如下措施：采用 DES 算法对数据加密以保证数据不被非法窃取；对数据包 产生消息鉴别码 MAC 字段( Message Authentication Code)防止数据被非法修改，其中 MAC 算法可采用 DES 、 CRC32 或 MD5 ；在登录系统时进

27、行用户 / 口令认证，并对口令加密传输；建立完备的密钥管理体系经。下面就数据加密技 术、数据完整性技术、身份认证技术及密钥管理方案作详述，并将讨论网络架构 对信息传输安全的影响。4.2.1 数据加密技术数据加密技术按密码体制可分为对称密钥密码技术和非对称密钥密码技术。对称密钥密码技术要求加密解密双方拥有相同的密钥， 需要用户之间传递密 钥，安全保密性较差，但加解密速度快，强度高，在军事、外交以及商业应用中 越来越普遍， DES 密码算法就是有名的对称密钥加密算法。非对称密钥密码技术是加密解密双方拥有不同的密钥， 要求密钥成对出现， 一个用于加密，一个用于解密。它的特点是各用户拥有自己的解密密钥

28、即私有密 钥，而加密密钥即公开密钥则可以公开放置，用户之间不必传递密钥，安全保密 性就比较好，但是多数公开密钥算法需要进行大量的代数运算，速度很慢，不能 用于快速加密数据，而且需要建立认证中心。目前典型的公开密钥密码算法包括 RSA 算法、 Diffie Hellman 密钥交换协议和 DSA 美国数字签名算法等。根据上面所述加密技术的特点， 本系统对传输数据采用 DES 算法进行加密， 辅之以身份认证手段，从而在加密速度和系统安全性两方面均达到较好的效果。4.2.2 数据完整性技术加密只能防止数据不被监听，为防止数据在传输过程中被非法修改，通常采 用以下方法：校验和即接收方计算出接收到的数据

29、的校验和并与数据包中的值比较。若相等，说 明数据没有改变；若不等，则说明数据在传输中出现错误或被修改了。循环冗余 校验 CRC(Cyclic Redundancy Check/Code) 是对一个传送数据块进行校验， 是一种高效的差错控制方法。摘要另一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以 是任意大小的消息，而输出是一个固定长度的摘要。摘要有这样一个性质，如果 改变了输入消息中的任何东西，甚至只有一位，输出的摘要将会发生不可预测的 改变，也就是说输入消息的每一位对输出摘要都有影响。现在流行的摘要算法有 有 MD4 和 MD5 。系统中将采用一定的数据完整性技术确保数据安

30、全，具体为何种算法在系统 设计时确定。4.2.3 认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可，主要有用户名 / 口 令认证以及数字签名技术。用户 / 口令认证为传统的认证方式，简单而易于实现。若对认证过程中的口 令传输进行加密，将大大提高安全性。数字签名作为验证发送者身份和消息完整性的根据， 可用于通信过程中的不 可抵赖要求的实现。数字签名基于私有 / 公共密钥对，数据源使用其私有密钥对 数据的摘要或其它数据内容进行加密，而数据接收方则用相应的公用密钥解密， 以验证签名的真实性。由于数字签名需采用 CA 验证密钥，投资较大，在本方案中建议采用用户名/ 口令认证方式，其中口令采用D

31、ES 算法加密传输424密钥管理由于DES算法的密钥需要双方共同保密，任何一方的失误都会导致机密的泄露。而且密钥发布中，还需要的防止任何人发现或偷听密钥。因此密钥管理对 系统的安全至关重要。在本方案中，建议采用三层密钥结构：1. 本地主密钥：本地存储，存放在程序中，用以加密区域主密钥；2. 区域主密钥：用本地主密钥加密后存储在文件或数据库中，用以加密工 作密钥；3. 工作密钥：用区域主密钥加密后存储在内存中，用以加密数据。其中区域主密钥存放在网点和一级分行的计算机中，可定期自动或手工更换，工作密钥可采用如下实现方式：1. 静态方式即网点开机时， 首先执行系统签到操作，一级分行将经区域主密钥加密

32、后的工作密钥传输给网点，随后的所有交易均采用该工作密钥加密数据。加密后的通信包格式如下图所示，其中MAC由加密后的数据生成。数据用工作密钥加密的数据MAC校验静态工作密钥方式2. 动态方式该方式在每次发送交易信息时，由发送方动态产生工作密钥，将经区域主密钥加密后的工作密钥以及用工作密钥加密的数据发送给接收方。加密后的通信包格式如下图所示，其中MAC由加密后的工作密钥和数据生成。数据用区域主密钥加密的工作密钥用工作密钥加密的数据MAC校验动态工作密钥方式由于动态工作密钥方式每次数据传输的工作密钥均不一样，因而具有更高的安全性。建议在数据加密后，采用动态Huffma n算法对整个通信包进行压缩，以

33、保 证网络的传输效率和提高安全性425系统网络架构对传输安全的影响如前所述，在本方案中，整个应用系统的网络架构主要有两种：二层结构和三层结构。在两层结构中， 只需在网点和一级分行间考虑传输安全，二级分行只起路由中转作用。ACE平台实现。这在三层结构中，而二级分行与一级分行的传输安全实现方法同上，具有较高 的安全性；而网点和二级分行间的传输安全由神州数码公司的方式有以下缺点：ACE的安全性能不确定，可能会降低整个系统的安全性；数据要经过两次加解密，对应用系统的性能会造成影响； 整个系统需维护网点和二级分行、二级分行与一级分行两套密钥，管理比 较复杂。4.3 数据存储安全为防止对数据库的非法修改，

34、建议对数据库的关键数据表设立数据鉴别码DAC (Data Authentication Code)字段，该字段内容由数据库表中的关键字段生成确定。DAC 算法可采用与 MAC 相同的 DES 、 CRC32 或 MD5 算法，由于 DAC 校验会影响数据库操作的性能，因而为保证应用系统存取数据库的高效性，建议 如下：只对关键数据库表设置 DAC 字段，该字段内容取决于关键字段，如帐 号、金额、利息积数、利率等；仅对数据库的 Insert 、 Update 操作进行 DAC 校验以防止对数据库的 非法修改，对查询操作不作校验。同时，为了方便数据库后台维护，系统提供重置DAC 功能，具体如下：对关

35、键数据库表的操作按数据库管理员和安全管理员划分不同的权限， 数据库管理员可修改数据库但无重置DAC 的权限，安全管理员无修改数据库的权限但可重置 DAC ； 若需对关键数据库表操作，首先由管理员执行数据库的插入或修改操作；安全管理员再执行重置 DAC 操作，使数据库管理员对关键数据库表的 操作生效。第5章异常处理系统在运行中将出现各种异常情况，在方案设计时就应充分考虑，并制订相应的对策。在本章中，从网络通讯、主机运行、数据库等三个方面来进行异常处理设计。5.1 通讯异常处理本系统采用客户 /服务器结构，客户端通过广域网与服务端通讯。由于网络存在不可靠因素，有时会出现传输过程中交易数据丢失的情况

36、，造成客户端与服务端的交易不完整或数据不一致，从而导致银行的资金风险和信誉风险。因此，如何确保数据一致性是通讯异常处理的主要内容。首先，中间件产品能在一定程度上保证交易的一致性。Tuxedo中间件支持现有的 X/Open DTPXA标准，可与任何支持此标准的关系型数据库，如DB2、Informix、Oracle、Sybase进行两阶段提交，实现交易中数据的一致性。可以考虑将系统的事务前提到网点，运用TUXEDO的二阶段提交方式来保证前后台帐务的一致性。为进一步确保交易数据一致，系统还将通过增强应用软件功能，来避免前后台交易的不一致。以下将详述应用系统中的通讯异常处理方法。5.1.1 产生原因在

37、客户/服务器结构的联机交易处理系统中，一笔交易至少包含如下图所示的四个过程：请求传输过程；服务端交易处理过程；应答传输过程；客 户端处理应答过程由于网络传输的不可靠性，必然有“应答传输过程”失败的情况。在这种情况下，就产生了服务端与客户端交易状态的不一致性问题：在服务端，该笔 交易已处理或完成；在客户端，由于没有收到应答，该笔交易是失败的。这种客户端及服务端的不一致，会给银行造成资金损失或信誉损失。5.1.2 处理方式1. 方式一：采用冲正方式 即当网点收不到主机的应答时，向主机发冲正交易。其处理流程如下： 该方式处理简单， 缺点是若该网点的网络一直不正常，冲正交易发送不成功，用户到别的网点办

38、理业务时，银行仍存在资金风险或信誉风险。2. 方式二：交易锁和冲正相结合方式该方式在后台数据库中设置一个“交易锁”，其业务流程如下：帐务主机在收到前台的交易请求后，将交易帐号设置“交易锁”状态； 被设置“交易锁”的帐号不可以再发生存、取款交易； 主机收到网点的“交易确认”后，解开帐户的“交易锁”，即执行“解挂起”交易；当网点收不到主机的交易应答，则向主机发“冲正交易”；主机收到网点的冲正交易后，取消原交易，并解开帐户的“交易锁”。采用该方式下，若该网点的网络不正常，冲正交易发送不成功时，帐务主机 的交易帐号处于“交易锁”状态，银行不存在资金风险或信誉风险。具体分析如下：当第一步通信发送失败时，

39、此时帐务主机未收到网点交易请求，主机不将保证进行任何处理，同时网点报错；交易重做，对系统没有任何影响。 当第二步主机事务处理失败时，当事务处理失败时， INFORMIX 事务的完整性，主机不修改任何数据库表；同时主机向网点发交易失败 应答；网点取消交易并重做。当第三步网点接收失败时，当主机完成交易处理，但网点未收到“交易应答”时，此时主机已成功记帐，同时主机也为此交易帐号设置了“交易锁”。网点在接收应答超时后，会向主机发冲正交易，同时取消交易。在主机在未收到“冲正交易”之前，交易帐号处于“交易锁”状态，不 可发生存、取款交易，此时的帐户处于安全状态；当第四步主机收不到网点的“确认交易”时，主机

40、收不到网点的“确认 交易”时，交易帐户一直处于“交易锁”状态，不可发生存、取款交易， 帐户处于安全状态当第五步网点向主机发“冲正交易”失败时，主机收不到网点的“冲正 交易”时，交易帐户一直处于“交易锁”状态，不可发生存、取款交易， 帐户处于安全状态当第六步主机执行“解挂起”交易失败时，如果主机在执行“解挂起” 交易时失败， INFORMIX 可以保证交易事务的完整性，保证交易帐户 仍然处于“交易锁”状态。从以上分析可以看出，不论交易过程的任何步骤出现故障，交易帐户都将处 于安全状态，保证银行的利益不受损失；但是，以上的处理流程仍然会出现前台 交易失败，主机交易成功的情况（尽管交易帐户处于安全状

41、态） 。对此，我们在网 点“试轧帐” 、“轧帐”等交易时自动核对前、后台交易并自动冲正。3 、两种方式比较方式一优点是简单，易实现。若考虑增加当后台交易完成后向前台发送不成 功或超时，后台自动将该笔交易插入到待冲正流水表中，由后台冲正服务进行冲 正处理。这样可以增强第一种方式的性能，保证资金的安全。方式二优点是安全性较高，但可能给客户造成不便，并且将干扰系统的正常运行，例如一些内部账号如果被加上交易锁的话会影响其他交易的进行。同时， 应用程序改动较大，实现难度较高。并且如果增加交易锁表的会在该表中产生瓶 颈作用，影响系统性能。因此，建议采用方式一。5.2 主机异常及处理1. 主机硬件故障主机硬

42、件部件（包括本地硬盘）发生故障时，若故障为符合 HACMP 定义的能导致发生双机切换的故障条件，则会 导致双机切换，应用 切换至另一台主机控制和伺服，继续提供应用服务； 主机硬件部件（包括本地硬盘）发生故障时，若故障不足以导致 HACMP 发生双机切换，或不影响应用服务，但为进行故障排除等 操作，可人工控制 HACMP 进行双机切换，将应用切换至另一主机 控制及服务；2. 操作系统故障 系统出现突发的运行效率低下或报错时，可由客户作简单的基本检 查，利用 ps 、 vmstat 、 iostat 、 errpt 等操作系统命令检查系统是 否出现死进程、 I/O 瓶颈、内存不足等问题并进行初步排

43、查，若短 期不能解决时可人工控制 HACMP 进行双机切换，将应用切换至另 一主机控制及服务，继续提供应用服务； 出现死机等操作系统关键性故障时， 会导致 HACMP 发生双机切换， 应用切换至另一台主机控制和伺服，继续提供应用服务；3. 主机网络故障主机网卡故障时， 由 HACMP 将服务 IP 地址切换至本机另一块网卡， 继续提供 IP 的可用性；连接网卡的线路发生故障时，该网卡配置的 IP 不通，则由 HACMP 将服务 IP 地址切换至本机另一块网卡，继续提供 IP 的可用性； 主机操作系统发生 TCP/IP 等网络相关软件故障导致主机的网络不 可用时， 可人工控制 HACMP 将应用

44、切换至另一台主机控制和伺服， 继续提供应用服务；4. 共享硬盘柜故障共享硬盘柜的 SSA 线路部件发生故障时，由于 SSA 体系本身的环 路结构，避免了单点故障，共享硬盘上的数据仍可访问。此时共享硬盘 I/O 速率会降低； 共享硬盘柜的硬盘发生故障时，由于采用了硬盘镜像策略，避免了单点故障，共享硬盘上的数据仍可访问。此时共享硬盘 I/O 速率基 本不受影响；5补充说明采用单机磁带备份的分行，在主机发生故障，不能正常工作时，可 以手工记帐，待主机正常工作之后，把发生故障之后的交易补入到主机 中。5.3 数据库异常处理系统采用 Informix 数据库，主要故障情况及处理方式如下：1. 数据库应作

45、好完善的数据备份，通常可采用：on tape- s数据库数据系统备份on tape- a|c数据库逻辑日志备份dbexport数据库数据文本备份2. 数据库发生突发的访问效率低下检查是否为突发性的业务高峰导致响应速度降低； 检查操作系统是否存在异常（参考主机异常处理小节中的操作系统 故障部分） ，并在操作系统级采取必要的处理措施；使用 on stat -m 、on stat - d、on stat - p、on stat- k 等命令查不足、找是否存在出错信息 、僵死的 session 、 VirtualMemoryChunk 的 I/O 瓶颈等异常情况， 经过慎重考虑及充分的技术咨询后 决定

46、是否及时采取杀僵死 Session 、调整 VirtualMemory 段、重启 数据库服务器等必要措施；3. 逻辑日志未备份导致的业务停止在参数配置合理时，若数据库的逻辑日志未及时备份，则在只剩一个未用逻辑日志文件时数据库会暂时停止所有交易。通过查看系统 consol 信息可判断该情况。对逻辑日志备份后，数据库继续伺服交 易请求；4. 数据库报错使用on stat- m等命令查看出错信息、系统运行状况，经过慎重考虑及充分的技术咨询后决定是否及时采取必要措施；5. 数据库僵死数据库僵死时，经过慎重考虑及充分的技术咨询后实施杀数据库进 程、清理 Semaphores 等内存资源等必要步骤，重新启

47、动数据库， 并按照银行业务要求的验证措施追查、核对交易；6. 数据库无法启动检查数据库软件及设置检查操作系统环境及设置 检查是否数据库空间故障， 考虑从 ontape 系统备份及逻辑日志备份恢复数据 若系统在业务运行中死机导致数据库无法启动， 则在从 ontape 系统备份及逻辑日志备份恢复数据后，还应作追帐处理；7. 数据无法从 ontape 备份恢复重新初始化数据库空间， 使用 dbimport 工具从 dbexport 制作的文本备份恢复数据；必要时作追帐处理。8数据库备份与恢复数据库备份：依应用实际情况设定几个备份时间段，如日间交易处理 结束后、日终交易处理结束后、上午及下午高峰交易时

48、段后、等等， 进行数据库联机备份。逻辑日志备份：日间交易处理时做持续日志备份。 利用数据库备份磁带和逻辑日志备份磁带恢复数据到故障点之前的 状态，也即 online 的最后一个检查点，此时可能会丢失几个交易， 再利用记录的系统或网络流水进行补帐。利用应用系统提供的交易重入程序类似于数据库的逻辑日志恢复机制，只不过是通过编制的特定的应用程序，对记录的系统或网络流水进行交易的再现工作第6章数据移植本章将简要描述数据移植的方案，详细的情况参见外汇会计网络系统数据 移植方案。6.1实施原则为保证旧系统的平稳过渡，必须遵循以下原则：准确性原则准确性原则是数据移植必备原则，也是降低实施风险的最有效办法。全

49、面性原则由于新、旧系统存在着相当大的差异，必须保证移植数据的全面性，旧系统 无法提供的数据应该采取手工补录的办法。一致性原则移植过程中即要保证帐户信息的一致性，也要最大限度保证非帐务信息的一 致性。6.2实现方法根据目前FEBS在各分行使用的情况，有两种实现方法。程序移植+手工补录FEBS 的版本已使用FEBS系统的分行可以采取这种方法，但要注意区分 号，不同版本的 FEBS ，移植程序不同。手工移植未使用 FEBS 系统的分行，由于没有电子数据，只能进行手工移植。系统提 供手工移植画面，由柜员根据手工帐务信息输入。6.3 移植步骤FEBS 系统数据整理对 FEBS 系统的数据进行整理，尤其针

50、对客户信息。 移植程序下发与培训 将移植程序下发到各移植网点，并对柜员进行移植程序操作培训。数据补录 操作员对客户存贷款帐户信息进行数据补录（根据新旧帐户信息内容差 异和新旧系统数据库差异决定补录的内容） ，原则上： 旧系统已有的信息， 且与新系统的信息分类要求相符合， 能够自动转换的， 由系统自动转换； 除此之外，由操作员人工补录。需要补录的内容例如：客户号编码、帐 户性质、企业性质、核算科目等。数据转换 根据移植程序以及补录数据进行数据移植。移植数据确认 对移植后的数据按新科目设置进行日终处理，产生新科目报表与旧系统核对。同时打印余额、积数单等各种帐户信息进行逐笔勾对。第7章和现有系统的比

51、较外汇会计网络系统与原有系统的比较，集中在以下八个方面：实现以“一级分行”为单位的外汇会计数据大集中。实现以“交易驱动为主，分录驱动为辅”的业务处理模式。 实现资金处理自动化实现部分内控风险点系统自动控制实现参数化设置，根据业务和管理需要灵活进行调整。实现外汇会计业务柜员制，为本外币综合柜员制创造条件。实现“以客户为中心”的信息管理机制，满足各种统计需要，为业务决策分析提供数 据。实现国际结算系统等周边系统的接口。第8章和相关系统的关系与国际结算系统的关系实现与国际结算系统的双向信息传递接口，实现国际结算业务相关帐务实时入帐，并自动打印凭证。与个人实盘外汇买卖系统的关系提供与个人实盘外汇买卖系

52、统的标准数据接口，实现帐务数据批量入帐。与国际收支申报系统的关系增加国际收支申报系统数据补录功能，按照国际收支申报要求生成标准格式的文本文件，通过网络传送或磁盘拷贝的方式由国际收支申报系统接收。与外汇帐户管理系统的关系满足外汇帐户管理系统数据采集需要，按照接口规范提供标准格式文本，通过网络传送或磁盘拷贝的方式由外汇帐户管理系统接收。与B股清算系统的关系由B股清算系统负责 SWIFT系统报文的分解和生成工作。外汇会计网络系统与B股清算系统建立接口关系，利用B股清算系统分解的报文进行业务处理；提供B股清算系统接口要求的数据格式，由B股系统进行生成报文，并对外发送。与MIS总帐系统的关系满足 MIS

53、总帐系统数据采集需要，按照接口规范提供标准格式文本，通过网络传送或磁盘拷贝的方式由外汇帐户管理系统接收。与储蓄通兑文件的关系提供与储蓄通兑文件的标准数据接口，实现帐务数据批量入帐第9章可选技术方案在本方案书中，对系统的多个关键环节列出了可选方案，并对这些可选方案进行了比较选择。详细的内容在以上章节中已经描述，在此对之作一汇总以供参考:比较项目内容所在章节网络架构二层/三层1.2.3, 4.2.5中间件TUXEDO/Lo ngTop-Li nk2.3.3信息传输安全加密技术对称/非对称4.2.1元整性技术校验和/摘要4.2.2认证技术用户口令/数字签名4.2.3密钥管理静态/动态4.2.4通讯异

54、常处理冲正/交易锁和冲正结合5.1.2另外，在224中还对后台硬件环境作了配置小结第10章 米用建议系统可能带来的影响采用本方案建议系统，将使业务处理从现有单机处理模式转变为网络联机处理模 式，将极大地促进我行外汇业务的发展，对现有系统带来多方面的影响。10.1对设备的影响可充分利用目前使用的FEBS 的现有设备，前台网点无需购置设备。一级分行需要RS6000 主机，若分行有该类型主机并允许复用，也无需购置设备。因此，只有不能 复用的一级分行需要购置RS6000 主机。10.2对现有软件的影响现有业务系统为 FEBS，将被本系统替换。其它软件，如：操作系统、数据库等软 件将继续使用。另外，还需

55、购置TUXEDO 、ACE平台等软件。10.3对用户的影响用户需要从 FEBS转换到本系统，应接受相应的业务和操作培训。10.4对系统运行的影响系统升级为网络系统后，采用了RS6000 主机。因此，应对主机进行专门的运行 维护。另外，网络环境将对系统运行造成影响10.5 对开发环境的影响前台网点采用了 ACE4.0 平台，前台系统开发更为便捷。 RS6000 主机为 AIX 操 作系统， ESQL/C 语言，与原系统略有不同，差异不大。10.6 对安全保密的影响 升级为网络系统后，网络数据传输的安全保密极为重要。同时对集中到主机的数据 的安全性也提出了更高的要求。10.7 对经费支出的影响有如

56、下经费支出：购置 RS6000 主机及其它配套设备（可复用的除外） ； 业务系统的版权费、开发实施费、支持服务费等； 购置 TUXEDO 、 ACE 等软件；等等。第11章实施风险及对策分析可能带来的实施风险有以下方面：数据移植、与周边系统接口、各分行客户化 工作。11.1数据移植11.1.1风险数据移植涉及到新、旧系统数据的转换，由于新、旧系统的差异以及旧系统不 同的版本号都会导致系统的上线存在着一定的风险性，体现在：新、旧系统库表结构差异、数据字典定义差异；旧系统版本不一致；旧系统数据不完整性；11.1.2措施只有制定严格、细致的移植计划，才能够将数据移植带来的风险降到最小 限度。针对以上

57、风险，相应采取以下措施：新、旧系统库表结构差异、数据字典定义差异。移植前对新、旧系统库表结构差异、数据字典定义差异进行分析：库表差 异主要体现在：库表结构不同、表名、字段名称不同、定义不同；常量定义不 同；这些差异哪一些可以通过自动转换解决，哪一些必须通过手工调整都必须列出，以便为数据移植程序的编写提供依据。旧系统版本上的不一致。版本不一致必然带来移植程序的不一致，因此必须对各分行使用 FEBS 情 况做全面调查，在此基础上规范各分行使用的旧系统的版本，该升级必须升级， 保证在移植前，各分行使用的 FEBS 版本一致。同时移植程序必须做到参数化 管理，以便兼容旧系统版本不同带来的差异。旧系统数

58、据的不完整性。采用自动移植与手工补录相结合的方法。必须遵循： FEBS 系统已有的信 息，且与本系统的信息分类要求相符合，能够自动转换的，由系统自动转换； 除此之外，一律由操作员人工补录。为保证数据移植的准确性，必须采用试移植与模拟测试相结合的方法，反 复多次的试移植、测试，才有可能保证数据移植的准确性。11.2 与周边系统的接口11.2.1 风险由于各分行周边系统尚没有统一， 由此增大外汇会计网络系统与周边系统的接口规范化的难度，由此带来工期延长等实施风险，导致工期延长风险的因素有：各分行接口需求的多样性； 周边系统技术平台的多样性；11.2.2 措施各分行接口需求的多样性。采取措施有：明确

59、外汇会计网络系统与周边系统之间的功能分工。必须明确外汇会计网络系统是一个核心会计系统， 其基本功能是帐务处理，其他非帐务信息的处理应该在周边系统中实现，从而使外汇会计网络系 统与周边系统接口需求清晰化，为统一各分行的接口需求打下基础。明确外汇会计网络系统与各种周边系统的接口所要达到的目标和需求。哪一些接口只是为了解决二次录入所带来的重复劳动； 哪一些是为了提高资金运行的安全性、流通性。如果是前者，只须采用文件批量生成、批量传送、接收，实现方法简单、可靠，周期短；后者则须采用实时、双向访问的机制，实现起来难度大、工期长。目标的对正确估算接口所需的工作量起着重要作用。根据目标统一接口业务需求，是此

60、次外汇会计网络系统优化阶段的重要内容。周边系统技术平台的多样性。周边系统技术平台的多样性必然导致数据接口、通讯机制的多样性，这是不可避免的。分析周边系统目前使用情况，有以下三种：总行统一版本，并已推广使用。例如国际结算系统、 B 股清算系统。总行未统一版本，各分行自行开发。例如人民币城综网系统。建行外围系统， 主要指人民银行国际收支申报系统、 外汇帐户监管系统。对于第一、三种情况，由于版本统一，数据接口、通讯机制的规范比较容易实现，可以在系统优化阶段制定出统一的接口规范、通讯机制。难点在第二种情况，由于版本未统一，导致数据接口、通讯机制存在许多不确定因素，如果要实现实时、双向访问的接口机制，是

61、不大现实的，也存在着相当大的风险。为此，我们建议：对未统一的外围系统，采取数据批 量接收、传送的接口方式。11.3 客户化工作11.3.1 风险由于各分行外汇业务操作规程尚未完全规范， 在实施过程中可能出现二次 客户化的工作，由此带来的版本控制以及工期延长等实施风险。11.3.2 措施只有尽量减少甚至完全规避二次客户化工作，才有可能减少实施风险。因此，在系统优化阶段必须做到：严格执行建总行制定的“五统一”技术规范。这是减少二次客户化工作的必要条件。做好试点行选择工作。要选择技术、业务有代表性的分行做为试点行、以点代面。11.4 总述外汇会计网络系统已经在厦门建行投入使用，并已通过年终结算；在此原型基础上进行重新规范和优化，一方面将降低工作量，另一方面由于有成功的实例可供借鉴，而 且，合作公司在金融业的十多年开发和集成经验，具有较强的业务和技术实力，因此实 施中的风险也必将降低到最小的程度。