外汇会计网络处理系统项目技术方案

1、外汇会计网络处理系统工程技术方案中国建设银行信息技术部2002 年 4 月目录第 1 章总体结构 41.1 系统体系结构 41.2 网络架构 41.3 总体逻辑结构 6第 2 章系统环境 82.1 前台软硬件环境 82.2 后台软硬件环境 92.3 中间件 13第 3 章功能模块 18第 4 章平安保密 194.1 概述 194.2 信息传输平安 204.3 数据存储平安 25第 5 章异常处理 275.1 通讯异常处理 275.2 主机异常及处理 305.3 数据库异常处理 32第 6 章数据移植 356.1 实施原那么 356.2 实现方法 356.3 移植步骤 36第 7 章和现有系统的

2、比拟 38第 8 章和相关系统的关系 39第 9 章可选技术方案 40第 10 章采用建议系统可能带来的影响 4110.1 对设备的影响 4110.2 对现有软件的影响 4110.3 对用户的影响 4110.4 对系统运行的影响 4110.5 对开发环境的影响 4210.6 对平安保密的影响 4210.7 对经费支出的影响 42第 11 章 实施风险及对策 4311.1 数据移植 4311.2 与周边系统的接口 4411.3 客户化工作 4611.4 总述 46第1章总体结构1.1系统体系结构系统采用目前主流的C/M/S 三层体系架构，使前端业务处理和后端业务逻辑相互独立；前后端通讯由中间层软

3、件完成，可靠性高；屏蔽前后端通讯实现的 具体细节，编码简单；前端应用对后端完全透明，前端需要增加新的效劳手段或 方式时可单独完成，不必修改后端应用程序，只需保持数据接口的一致性即可， 后端的业务逻辑和数据对前端也是完全透明的，后端业务逻辑的变化或效劳器主 机增加、减少或变更都不会影响前端的效劳，具有很好的可扩展性；同时，这种 方式可大量重用应用代码，缩短开发周期。1.2 网络架构外汇会计网络系统依托现有的城综网网络架构，可最大限度地利用现有资源。根据前台应用平台ACE4.0 Server的不同设置，网络架构有二层架构和三层架构两种不同的方案。1.2.1 二层网络架构前台网点 PC上安装业务系统

4、和ACE Client 、ACE Server ，二级分行无需安装业务系统，逻辑上网点PC与一级分行主机直接相连，在实际的物理联接上，是通过二级分行中心路由与一级分行连接，防止网点PC直接访问中心主机，可主机一级分行主机交换机路由器二级分行路由器n前台网点PC网点PC网管工作站DDNN2525有效保证网络平安以及减轻主机网络负担。网络结构如图:1.2.2 三层网络架构前台网点 PC上安装 ACE Client ，二级分行配置一台前置机，其上安装业务系统和 ACE Server，网点PC通过二级分行与一级分行主机相连，形成三层架构。网络结构如图:1.2.3 两种网络架构比拟网络架构优点缺点二层架

5、构网络结构简单，系统稳定性、安在前台网点 PC上需安装应用全性好，运行效 率高，无需额外系统和 ACE Clie nt 、ACE的硬件投资。Server，系统维护升级复杂。三层架构在前台网点 PC上只需安装 ACE由于 ACE4.0 的 Client 与 ServerClient ,每个二级分行只需在前置机物理别离，Client与Server端之上安装一套ACEServer和业务系统，间的通讯跨越广域网， 造成：前台便于系统维护与版本升级。运行效率降低；系统成熟度及稳定性、平安性有待于进一步论证；二级分行中心机房需相应配备性能较高的前置机，增加硬件投资。由于三层网络架构过于依赖ACE4.0 ，

6、其平安性、效率性、稳定性皆取决于ACE4.0 前、后台的实现机制，存在着一定的风险性；且该种网络架构尚未大规 模商业应用，其可行性尚须进一步论证。鉴于此，我们建议不采用此种网络架构， 而使用二层网络架构。1.3总体逻辑结构应用系统的总体逻辑结构分为三层：夕卜围效劳层主要指柜面业务，以及与周边外围系统的接口程序。双箭头表示B 股资可以互为访问，互为访问的接口是实时的。例如：柜面业务、国际结算、 金清算；单箭头表示只能单向访问，单向访问的接口是批量或与文件方式传送。 例如：储蓄通兑文件、 MIS 系统、个人实盘外汇买卖；外围效劳层通过标准的交 易接口调用应用效劳层的各种效劳。应用效劳层由应用业务品

7、种组成；应用效劳层只处理合法性判断、业务处理 逻辑；帐务、凭证、计息、外汇买卖等均通过 API 由核心效劳层完成；核心效劳层是将公用的业务处理抽象成一系列的公函集，如帐务核心、凭证 核心、计息核心、外汇买卖核心；具体如下列图所示：第2章系统环境2.1前台软硬件环境2.1.1 简介硬件环境：利用网点现有的FEBS系统或人民币会计系统PC、终端、行打等。软件环境操作系统：SCO Un ix数据库：In formix通讯中间件：TUXEDO Clie nt其它：神州数码ACE4.0 开发平台、中文平台2.1.2 ACE4.0 简述ACE平台是一个针对金融前台系统开发、维护的软件包，它能够实现金融前台

8、系统所需要的人机交互、设备驱动、通讯传输，利用ACE平台的开发思想及开发工具可以使开发出来的金融前台系统高效而稳定2000 年的ACE4.0 的版本不仅将字符平台和图形平台有机地结合在一起，同时ACE4.0 具有很高的可扩展性，可以适应多种不同的网络体系结构ACE平台已在全国各家银行推广开来,并已在中国建设银行上海分行大柜面系统投入使用。ACE4.0主要的技术特点有：4GL语言强大的通讯功能支持不同种类的外设跨平台授权文件播送嵌SQL语言完善的平安措施丰富的开发维护工具ACE4.0的主要性能指标如下：运行速度以最复杂的翻开/运行屏幕这个典型操作进行性能测试，测试环境是：ACE Server 为

9、 Lege nd 逐日 3000/1 ntel 赛扬 433MHz ；ACE Client 为 IBM Pentium MMX 100MHz ；通讯速率为 9600bps。测试后得出：翻开超大屏幕的时间约为1600ms ;翻开屏幕组的时间约为2600ms在实际的局域网运行环境中，所用时间将比测试所得数据大大缩短。用户数在使用SCO UNIX操作系统时，每台机器最多支持 50用户。用户数超过50可以通过集群方 式支持。通讯包长度ACE4.0自身对通讯数据包长度没有限制，可以通过配置实现数据包长度的改变。但综合考 虑各种因素，推荐在每个通讯包的长度控制在2K - 4K之间。2.2后台软硬件环境2.

10、2.1 概述硬件环境：IBM RS6000 系列小型机。软件环境操作系统：AIX数据库：In formix Onlin e7.X、ESQL/C通讯中间件：TUXEDO Server222 主机性能要求外汇会计网络系统后台主机配置，主要从以下四个方面进行考虑：1. CPU性能：主要以效劳器的TPC-C值作为相对选型参考值，在设计服务器处理能力时，需要将一些实际经验值和TPC-C值一起综合考虑，设计CPU的使用率在 40%以内。2. 内存的大小：内存是所有程序运行的环境，在CPU和相关系统软件处理能力的范围内，一般说来，内存空间越大效劳器的事务处理性能越好，但不同的应用对内存的要求不同，所以在外汇

11、会计应用系统效劳器内存 设计中，需要从应用要求的角度来考虑，寻找最正确的配置。在外汇会计 网络系统中，主要是数据库的应用，根据经验，Sybase 数据库对内存较敏感，ORACLE 和DB2其次，Informix 对内存要求最小，但Informix 对CPU要求更多。3. 磁盘I/O 性能：在 CPU处理能力一定的情况下，磁盘的 I/O 速度，可 使效劳器的整体性能相差几倍到几十倍，所以在设计中要特别注意磁盘I/O 的选型，磁盘I/O 的选择尽量大，同时考虑到单个磁盘的I/O 速度是一定的，需要靠多磁盘的并行读取来提高磁盘I/O性能。4. 高可用性：在主机发生一般故障时，能保证业务的正常进行和业

12、务数据的完整性，在主机发生严重故障时，能保证系统在最短的时间内恢复运行，丧失最少的交易数据。根据业务量的大小和业务的重要性，同时考虑其本钱和效益，维持高可用性的方案可以分为：双机热备份、双机冷备份、单机磁带备份。根据以上论述，下面分别从以上四个方面来分析和设计外汇会计网络系统服务器的配置要求。223 主机配置预估1. CPU处理能力分析根据经验值，处理能力6000TPC-C 的效劳器，接近 100%的使用率，每分钟可以处理 5000笔交易，即 6000TPC-C=5000 笔交易/分钟。根据要求，此次配置的外汇会计业务效劳器要满足3-5年、每年15%的业务增长率的要求。考虑到各地外汇会计目前的

13、业务量不明，参照厦门建行目前外汇会计的业务量情况。并控制外汇会计业务效劳器CPU的利用率在 40%以内，参照IBM 各款RS/6000 效劳器在不同配置下的TPC-C 值，初步估算不同省市外汇会计业务效劳器将依其业务量大小配置IBM RS/6000 F85、270系列效劳器，且CPU配置数大约估算如下表：规模配置机型CPU数大IBM RS/6000 H852 路 450MHz小IBM RS/6000 44P 2702 路 375/450MHz2.内存容量分析主机的内存需求包括操作系统本身需要、数据库系统运行需要及数据库用户效劳进程需要等方面。其中操作系统本身需要的内存开销并不大，大局部的内存需

14、求还是来自于数据库系统。在数据库用户效劳进程方面，每个连接到数据库的 用户连接都要占用一定的主机内存资源， 其占用的容量大约为 600KB 。数据库系 统在运行时，需占用更大量的内存，根据数据库系统的运行机制分析及实际使用 数据库系统经验来看，内存越大，数据库系统的性能越好。根据以上的分析，建议主机配置的内存至少应到达 3GB ，考虑 30% 左右的 内存冗余以提供最正确的性能，推荐配置 4GB 内存。对于业务量较小的分行, 可以采用 2GB 内存。3. 硬盘容量分析外汇会计网络系统数据量依据不同省市业务规模差异较大，一般要在几十个GB 以上。 采用双机备份运行模式的分行，建议配置一台 IBM

15、 7133 磁盘子系统， 其他分行可采用效劳器自带硬盘，容量应大于 30GB 。4高可用性分析由于各分行业务量差异较大，对于维持高可用性的要求各不相同，因此建议 根据业务量的区别，不同的分行采用不同的配置。双机热备份：对于每天业务量在 5000 笔以上的分行，由于网点众多，由于 故障造成的主机停机，会给日常业务造成极大的影响，因此，保证主机无间断的 工作是十分重要的，因此，双机热备是一个理想的选择。单机磁带备份： 对于每天业务量在 3000 笔以下的分行来说， 由于业务量小，网点少，主机一两个工作日停机对业务造成的影响很小，采用双机备份对资源是一种浪费，单机磁带备份的方式已经可以满足业务正常运

16、行的需要。注：根据对分行业务量的调查，笔数一般分布在5000笔以上和 3000笔以下224 配置小结规 模配置机型CPU数内存存储运行模式大IBMRS/6000H852 路 450MHz4-8GBIBM 7133双机热备份小IBMRS/600044P 2702路375/450MHz2GB18.2X2单机磁带备份2.3中间件近年来，以交易中间件为框架根底的三层客户机/效劳器模式已被广泛证实为建立开放式关键业务应用系统的最正确环境。选择适合的中间件产品，将对系统产生的重要的影响。本系统就BEA公司的TUXEDO和厦门东南融通公司的Lon gTop-Li nk 作一比拟，并选择TUXEDO作为中间件

17、作为交易中间件中的优秀代表,BEA公司的TUXEDC产品提供了以下两个主要TUXEDO功能:负责客户机和效劳器间的联接和通讯； 提供一个三层结构应用开发和运行的平台。采用 TUXEDO 交易中间件，能大大提高系统通讯和运行性能。它可以把大 量的前端请求会聚成较少的后端连接并减少数据传送量，应用系统即使在大量用 户同时请求效劳的时候也能够保持快速、稳定的工作状态。其主要优点有：通过数据压缩等手段，降低网络负担调度效劳程序，提高主机处理能力提高数据库效率分布式环境中更高水平的数据完整性具备故障恢复能力，使系统有更高的可用性 提供信息加密效劳，确保系统平安 使系统能灵活扩展另外，由于它提供的三层结构

18、的开发运行平台，它还能：减轻开发人员负担使系统的安装与升级更容易减轻系统管理人员负担2.3.2 LongTop-LinkLongTop-Link 是厦门东南融通公司自主开发的一个分布式联机事务处理系统的中间件，它为分布式环境下联机交易处理应用系统的开发和运行提供灵活和 易用的平台，保证联机交易处理系统运行的高效性和数据的完整性，同时提供其 它辅助功能方便系统开发和使用LongTop-Link 采用三层客户 / 效劳器结构。主要由以下局部组成：1. 核心系统：即实际的核心运行系统，包括管理内核、通信内核；2. 开发系统：即供用户使用的应用软件接口函数 API ；3. 管理系统：包括交易调度系统和

19、为使用人员提供的监控工具。LongTop-Link 提供以下功能：1. 网络通信：数据包压缩传输、文件压缩传输，并支持 拨号备份2. 交易调度3. 交易流量控制4. 实时监控5. 平安性：身份认证和数据加密6. 日志功能7. 交易一致性管理LongTop-Link 具有以下优点：降低网络负担：可以对网络上传递数据进行压缩，进一步减少网上传递数据量。提高主机处理能力： LongTop-Link 调度有限的效劳程序为大量并发请求进 行效劳，减少网络连接量、内存占用、进程数量、信号量和 CPU 时间片等系 统资源，成倍提高主机的处理能力。提高数据库效率： LongTop-Link 通过采用长驻效劳进

20、程的手段，使得与数 据库的连接被保持和复用，而且有限的效劳程序只需与数据库建立有限的数 据库连接，从而减少效劳程序与数据库连接的次数和时间，大大提高了数据 库操作的效率。提供文件压缩、断点续传功能，支持 拨号备份通过通信日志，便于程序调试、交易跟踪和故障恢复。能进行交易监控、系统监控系统开销共享内存、消息队列、信号等小价格廉价233方案比拟将 TUXEDO 与 LongTop-Link比拟如下:产口口优点缺点TUXEDO市场占有率咼，应用范围广，产品成熟，功能兀善，性能好。系统开销大，价格贵。Lon gTop-L ink系统开销小，价格廉价应用范围小，不够成熟，功能 相对较少，性能相对为低。不

21、 支持异构平台的多种数据库， 不支持 In ternet 、CORBA 应 用以及XA协议。并且，我行已买断 TUXEDO 使用权，进一步购置只需付Lice nse 费用，且能拿到较低的价格，弥补了 TUXEDO 价格昂贵的缺点。综合产品的性能与价格， 建议选择 TUXEDO 。2.3.4 系统中的 TUXEDO 应用方案本系统的数据及应用将集中在一级分行，从逻辑上看，各营业网点前台将通 过网络直接挂在一级分行系统逻辑图见本章第二节网络架构 。从物理上看，前台的网点 PC 首先要与二级分行相联，通过二级分行再联到 一级分行。从功能上看，二级分行只是起了一个网络路由的功能。在网点 PC 上，安装

22、 ACE 的 Client 端和 Server 端，负责客户界面的输入 和输出。另外，网点 PC 上还安装了 TUXEDO 的 Client 端，负责与后台的通信 及交易请求。采用上述网络架构，整个系统结构非常清晰，有利于系统的建设及维护。但 是，这种网络架构存在一个风险：当营业网点数目较多，而且大量的营业网点同 时做交易时，将造成网络拥挤不堪，影响交易的正常进行。 TUXEDO 正好能在 这种情况下发挥巨大的成效，有效地防止网络拥塞。为了防止网络拥塞，在 TUXEDO 的配置中，对每个二级分行配置一组 WSL 与其对应，每一组 WSL 能控制客户端连接的数量最大的 WSH 数量。这样在 客户

23、端请求数量较大时， TUXEDO 将让这些请求排队等候处理，从而有效地避 免网络拥塞，保证系统正常地运行，而不会因客户端的请求太多而导致后台系统 的崩溃第3章功能模块总体上可分为七个模块：公用模块、联机交易、前台系统、参数维护、批量 处理、业务管理和周边系统的接口。公用模块不直接运行处理业务，而是为其他模块提供效劳，主要包括：帐 簿登记、凭证登记、利息计算、币种换算、与周边系统实时接口。联机交易是日常业务的主要承当者，根据业务类别分为假设个子系统：存款、贷款、汇兑、买卖、清算等，是OLTP效劳器端的应用效劳器。前台系统主要提供效劳的接入与输出，是联机交易的外部界面，是OLTP的效劳请求端。参数

24、维护主要负责系统运行各类参数的维护，以主机终端方式交互运行。批处理完成批量业务，以主机终端方式非交互运行。业务管理完成非营业性管理、查询、统计、报表等处理。与周边系统的接口完成与国际结算、国际收支申报、B股资金清算、个人实盘外汇买卖系统、储蓄通兑文件等接口。第4章平安保密4.1概述外汇会计网络系统的交易信息需要通过广域网传输，业务数据集中存放在一级分行主机。因此，外汇会计网络系统的平安要求包括如下两方面：信息传输平安：即保证数据从网点、二级分行以及一级分行的传输过程中的平安性，防止数据被伪造、篡改和冒充；数据存储平安，即保证一级分行中心数据的完整性，只有得到允许的人才能修改数据，并且能够判别出

25、数据是否已被篡改。由于系统的网络连接将借助于各分行城综网，而城综网一般以DDN等专线方式连接，再加上分行现有的硬件平安设施，因此，网络的物理平安性较高。同 时，为减少投资费用，本方案主要考虑以软件方式提高系统的平安性，因此还要求：软件算法应有较高的平安性，能满足应用系统平安的需要；软件算法应有较高的效率，对主机的系统资源占用少，不影响整个应用系统的性能。为实现以上平安方面的要求，除制定严格的业务操作管理制度，加强操作系 统的用户平安管理外，系统将采取以下措施: 在业务应用系统中实现完备的用户权限管理；为满足信息传输平安要求，除利用 TUXEDO 中间件的加密功能外，还 采取通讯加密和密钥管理等

26、方法实现平安的网络数据传输机制； 为满足数据存储平安要求，除利用数据库的用户权限等平安机制外，还 采取对重要数据表进行加密的方法来实现数据存储平安。4.2 信息传输平安为确保数据在广域网上进行传输时的平安， 防止数据被窃取和篡改， 除利用 中间件产品的平安机制外，还需在应用系统中实现较高的平安性。为此，系统将 采取如下措施：采用 DES 算法对数据加密以保证数据不被非法窃取；对数据包 产生消息鉴别码 MAC 字段( Message Authentication Code)防止数据被非法修改，其中 MAC 算法可采用 DES 、 CRC32 或 MD5 ；在登录系统时进行用户 / 口令认证，并对

27、口令加密传输；建立完备的密钥管理体系经。下面就数据加密技 术、数据完整性技术、身份认证技术及密钥管理方案作详述，并将讨论网络架构 对信息传输平安的影响。4.2.1 数据加密技术数据加密技术按密码体制可分为对称密钥密码技术和非对称密钥密码技术。对称密钥密码技术要求加密解密双方拥有相同的密钥， 需要用户之间传递密 钥，平安保密性较差，但加解密速度快，强度高，在军事、外交以及商业应用中 越来越普遍， DES 密码算法就是有名的对称密钥加密算法。非对称密钥密码技术是加密解密双方拥有不同的密钥， 要求密钥成对出现， 一个用于加密，一个用于解密。它的特点是各用户拥有自己的解密密钥即私有密 钥，而加密密钥即

28、公开密钥那么可以公开放置，用户之间不必传递密钥，平安保密 性就比拟好，但是多数公开密钥算法需要进行大量的代数运算，速度很慢，不能 用于快速加密数据，而且需要建立认证中心。目前典型的公开密钥密码算法包括 RSA 算法、 Diffie Hellman 密钥交换协议和 DSA 美国数字签名算法等。根据上面所述加密技术的特点， 本系统对传输数据采用 DES 算法进行加密， 辅之以身份认证手段，从而在加密速度和系统平安性两方面均到达较好的效果。4.2.2 数据完整性技术加密只能防止数据不被监听，为防止数据在传输过程中被非法修改，通常采 用以下方法：校验和即接收方计算出接收到的数据的校验和并与数据包中的值

29、比拟。假设相等，说 明数据没有改变；假设不等，那么说明数据在传输中出现错误或被修改了。循环冗余 校验 CRC(Cyclic Redundancy Check/Code) 是对一个传送数据块进行校验， 是一种高效的过失控制方法。摘要另一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以 是任意大小的消息，而输出是一个固定长度的摘要。摘要有这样一个性质，如果 改变了输入消息中的任何东西，甚至只有一位，输出的摘要将会发生不可预测的 改变，也就是说输入消息的每一位对输出摘要都有影响。现在流行的摘要算法有 有 MD4 和 MD5 。系统中将采用一定的数据完整性技术确保数据平安，具体为何种算法

30、在系统 设计时确定。4.2.3 认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可，主要有用户名 / 口 令认证以及数字签名技术。用户 / 口令认证为传统的认证方式，简单而易于实现。假设对认证过程中的口 令传输进行加密，将大大提高平安性。数字签名作为验证发送者身份和消息完整性的根据， 可用于通信过程中的不 可抵赖要求的实现。数字签名基于私有 / 公共密钥对，数据源使用其私有密钥对 数据的摘要或其它数据内容进行加密，而数据接收方那么用相应的公用密钥解密， 以验证签名的真实性。由于数字签名需采用 CA 验证密钥，投资较大，在本方案中建议采用用户名424密钥管理由于DES算法的密钥需要双方共同

31、保密，任何一方的失误都会导致机密的泄露。而且密钥发布中，还需要的防止任何人发现或偷听密钥。因此密钥管理对 系统的平安至关重要。在本方案中，建议采用三层密钥结构：1. 本地主密钥：本地存储，存放在程序中，用以加密区域主密钥；2. 区域主密钥：用本地主密钥加密后存储在文件或数据库中，用以加密工 作密钥；3. 工作密钥：用区域主密钥加密后存储在内存中，用以加密数据。其中区域主密钥存放在网点和一级分行的计算机中，可定期自动或手工更换，工作密钥可采用如下实现方式：1. 静态方式即网点开机时， 首先执行系统签到操作，一级分行将经区域主密钥加密后的工作密钥传输给网点，随后的所有交易均采用该工作密钥加密数据。

32、加密后的通信包格式如下列图所示，其中MAC由加密后的数据生成。数据用工作密钥加密的数据MAC校验静态工作密钥方式2. 动态方式该方式在每次发送交易信息时，由发送方动态产生工作密钥，将经区域主密钥加密后的工作密钥以及用工作密钥加密的数据发送给接收方。加密后的通信包格式如下列图所示，其中MAC由加密后的工作密钥和数据生成。数据用区域主密钥加密的工作密钥用工作密钥加密的数据MAC校验动态工作密钥方式由于动态工作密钥方式每次数据传输的工作密钥均不一样，因而具有更高的平安性。建议在数据加密后，采用动态Huffma n算法对整个通信包进行压缩，以保 证网络的传输效率和提高平安性425系统网络架构对传输平安

33、的影响如前所述，在本方案中，整个应用系统的网络架构主要有两种：二层结构和三层结构。在两层结构中， 只需在网点和一级分行间考虑传输平安，二级分行只起路由中转作用。ACE平台实现。这在三层结构中，而二级分行与一级分行的传输平安实现方法同上，具有较高 的平安性；而网点和二级分行间的传输平安由神州数码公司的方式有以下缺点：ACE的平安性能不确定，可能会降低整个系统的平安性；数据要经过两次加解密，对应用系统的性能会造成影响； 整个系统需维护网点和二级分行、二级分行与一级分行两套密钥，管理比 较复杂。4.3 数据存储平安为防止对数据库的非法修改，建议对数据库的关键数据表设立数据鉴别码DAC (Data A

34、uthentication Code)字段，该字段内容由数据库表中的关键字段生成确定。DAC 算法可采用与 MAC 相同的 DES 、 CRC32 或 MD5 算法，由于 DAC 校验会影响数据库操作的性能，因而为保证应用系统存取数据库的高效性，建议 如下：只对关键数据库表设置 DAC 字段，该字段内容取决于关键字段，如帐 号、金额、利息积数、利率等；仅对数据库的 Insert 、 Update 操作进行 DAC 校验以防止对数据库的 非法修改，对查询操作不作校验。同时，为了方便数据库后台维护，系统提供重置DAC 功能，具体如下：对关键数据库表的操作按数据库管理员和平安管理员划分不同的权限，

35、数据库管理员可修改数据库但无重置DAC 的权限，平安管理员无修改数据库的权限但可重置 DAC ； 假设需对关键数据库表操作，首先由管理员执行数据库的插入或修改操作；平安管理员再执行重置 DAC 操作，使数据库管理员对关键数据库表的 操作生效。第5章异常处理系统在运行中将出现各种异常情况，在方案设计时就应充分考虑，并制订相应的对策。在本章中，从网络通讯、主机运行、数据库等三个方面来进行异常处理设计。5.1 通讯异常处理本系统采用客户 /效劳器结构，客户端通过广域网与效劳端通讯。由于网络存在不可靠因素，有时会出现传输过程中交易数据丧失的情况，造成客户端与服务端的交易不完整或数据不一致，从而导致银行

36、的资金风险和信誉风险。因此，如何确保数据一致性是通讯异常处理的主要内容。首先，中间件产品能在一定程度上保证交易的一致性。Tuxedo中间件支持现有的 X/Open DTPXA标准，可与任何支持此标准的关系型数据库，如DB2、Informix、Oracle、Sybase进行两阶段提交，实现交易中数据的一致性。可以考虑将系统的事务前提到网点，运用TUXEDO的二阶段提交方式来保证前后台帐务的一致性。为进一步确保交易数据一致，系统还将通过增强应用软件功能，来防止前后台交易的不一致。以下将详述应用系统中的通讯异常处理方法。5.1.1 产生原因在客户/效劳器结构的联机交易处理系统中，一笔交易至少包含如下

37、列图所示的四个过程：请求传输过程；效劳端交易处理过程；应答传输过程；客 户端处理应答过程由于网络传输的不可靠性，必然有“应答传输过程失败的情况。在这种情况下，就产生了效劳端与客户端交易状态的不一致性问题：在效劳端，该笔 交易已处理或完成；在客户端，由于没有收到应答，该笔交易是失败的。这种客户端及效劳端的不一致，会给银行造成资金损失或信誉损失。5.1.2 处理方式1. 方式一：采用冲正方式 即当网点收不到主机的应答时，向主机发冲正交易。其处理流程如下： 该方式处理简单， 缺点是假设该网点的网络一直不正常，冲正交易发送不成功，用户到别的网点办理业务时，银行仍存在资金风险或信誉风险。2. 方式二：交

38、易锁和冲正相结合方式该方式在后台数据库中设置一个“交易锁，其业务流程如下：帐务主机在收到前台的交易请求后，将交易帐号设置“交易锁状态； 被设置“交易锁的帐号不可以再发生存、取款交易； 主机收到网点的“交易确认后，解开帐户的“交易锁，即执行“解挂起交易；当网点收不到主机的交易应答，那么向主机发“冲正交易；主机收到网点的冲正交易后，取消原交易，并解开帐户的“交易锁。采用该方式下，假设该网点的网络不正常，冲正交易发送不成功时，帐务主机 的交易帐号处于“交易锁状态，银行不存在资金风险或信誉风险。具体分析如下：当第一步通信发送失败时，此时帐务主机未收到网点交易请求，主机不将保证进行任何处理，同时网点报错

39、；交易重做，对系统没有任何影响。 当第二步主机事务处理失败时，当事务处理失败时， INFORMIX 事务的完整性，主机不修改任何数据库表；同时主机向网点发交易失败 应答；网点取消交易并重做。当第三步网点接收失败时，当主机完成交易处理，但网点未收到“交易应答时，此时主机已成功记帐，同时主机也为此交易帐号设置了“交易锁。网点在接收应答超时后，会向主机发冲正交易，同时取消交易。在主机在未收到“冲正交易之前，交易帐号处于“交易锁状态，不 可发生存、取款交易，此时的帐户处于平安状态；当第四步主机收不到网点的“确认交易时，主机收不到网点的“确认 交易时，交易帐户一直处于“交易锁状态，不可发生存、取款交易，

40、 帐户处于平安状态当第五步网点向主机发“冲正交易失败时，主机收不到网点的“冲正 交易时，交易帐户一直处于“交易锁状态，不可发生存、取款交易， 帐户处于平安状态当第六步主机执行“解挂起交易失败时，如果主机在执行“解挂起 交易时失败， INFORMIX 可以保证交易事务的完整性，保证交易帐户 仍然处于“交易锁状态。从以上分析可以看出，不管交易过程的任何步骤出现故障，交易帐户都将处 于平安状态，保证银行的利益不受损失；但是，以上的处理流程仍然会出现前台 交易失败，主机交易成功的情况尽管交易帐户处于平安状态 。对此，我们在网 点“试轧帐 、“轧帐等交易时自动核对前、后台交易并自动冲正。3 、两种方式比

41、拟方式一优点是简单，易实现。假设考虑增加当后台交易完成后向前台发送不成 功或超时，后台自动将该笔交易插入到待冲正流水表中，由后台冲正效劳进行冲 正处理。这样可以增强第一种方式的性能，保证资金的平安。方式二优点是平安性较高，但可能给客户造成不便，并且将干扰系统的正常运行，例如一些内部账号如果被加上交易锁的话会影响其他交易的进行。同时， 应用程序改动较大，实现难度较高。并且如果增加交易锁表的会在该表中产生瓶 颈作用，影响系统性能。因此，建议采用方式一。5.2 主机异常及处理1. 主机硬件故障主机硬件部件包括本地硬盘发生故障时，假设故障为符合 HACMP 定义的能导致发生双机切换的故障条件，那么会

42、导致双机切换，应用 切换至另一台主机控制和伺服，继续提供给用效劳； 主机硬件部件包括本地硬盘发生故障时，假设故障缺乏以导致 HACMP 发生双机切换，或不影响应用效劳，但为进行故障排除等 操作，可人工控制 HACMP 进行双机切换，将应用切换至另一主机 控制及效劳；2. 操作系统故障 系统出现突发的运行效率低下或报错时，可由客户作简单的根本检 查，利用 ps 、 vmstat 、 iostat 、 errpt 等操作系统命令检查系统是 否出现死进程、 I/O 瓶颈、内存缺乏等问题并进行初步排查，假设短 期不能解决时可人工控制 HACMP 进行双机切换，将应用切换至另 一主机控制及效劳，继续提供

43、给用效劳； 出现死机等操作系统关键性故障时， 会导致 HACMP 发生双机切换， 应用切换至另一台主机控制和伺服，继续提供给用效劳；3. 主机网络故障主机网卡故障时， 由 HACMP 将效劳 IP 地址切换至本机另一块网卡， 继续提供 IP 的可用性；连接网卡的线路发生故障时，该网卡配置的 IP 不通，那么由 HACMP 将效劳 IP 地址切换至本机另一块网卡，继续提供 IP 的可用性； 主机操作系统发生 TCP/IP 等网络相关软件故障导致主机的网络不 可用时， 可人工控制 HACMP 将应用切换至另一台主机控制和伺服， 继续提供给用效劳；4. 共享硬盘柜故障共享硬盘柜的 SSA 线路部件发

44、生故障时，由于 SSA 体系本身的环 路结构，防止了单点故障，共享硬盘上的数据仍可访问。此时共享硬盘 I/O 速率会降低； 共享硬盘柜的硬盘发生故障时，由于采用了硬盘镜像策略，防止了单点故障，共享硬盘上的数据仍可访问。此时共享硬盘 I/O 速率基 本不受影响；5补充说明采用单机磁带备份的分行，在主机发生故障，不能正常工作时，可 以手工记帐，待主机正常工作之后，把发生故障之后的交易补入到主机 中。5.3 数据库异常处理系统采用 Informix 数据库，主要故障情况及处理方式如下：1. 数据库应作好完善的数据备份，通常可采用：on tape- s数据库数据系统备份on tape- a|c数据库逻

45、辑日志备份dbexport数据库数据文本备份2. 数据库发生突发的访问效率低下检查是否为突发性的业务顶峰导致响应速度降低； 检查操作系统是否存在异常参考主机异常处理小节中的操作系统 故障局部 ，并在操作系统级采取必要的处理措施；使用 on stat -m 、on stat - d、on stat - p、on stat- k 等命令查缺乏、找是否存在出错信息 、僵死的 session 、 VirtualMemoryChunk 的 I/O 瓶颈等异常情况， 经过慎重考虑及充分的技术咨询后 决定是否及时采取杀僵死 Session 、调整 VirtualMemory 段、重启 数据库效劳器等必要措施

46、；3. 逻辑日志未备份导致的业务停止在参数配置合理时，假设数据库的逻辑日志未及时备份，那么在只剩一个未用逻辑日志文件时数据库会暂时停止所有交易。通过查看系统 consol 信息可判断该情况。对逻辑日志备份后，数据库继续伺服交 易请求；4. 数据库报错使用on stat- m等命令查看出错信息、系统运行状况，经过慎重考虑及充分的技术咨询后决定是否及时采取必要措施；5. 数据库僵死数据库僵死时，经过慎重考虑及充分的技术咨询后实施杀数据库进 程、清理 Semaphores 等内存资源等必要步骤，重新启动数据库， 并按照银行业务要求的验证措施追查、核对交易；6. 数据库无法启动检查数据库软件及设置检查

47、操作系统环境及设置 检查是否数据库空间故障， 考虑从 ontape 系统备份及逻辑日志备份恢复数据 假设系统在业务运行中死机导致数据库无法启动， 那么在从 ontape 系统备份及逻辑日志备份恢复数据后，还应作追帐处理；7. 数据无法从 ontape 备份恢复重新初始化数据库空间， 使用 dbimport 工具从 dbexport 制作的文本备份恢复数据；必要时作追帐处理。8数据库备份与恢复数据库备份：依应用实际情况设定几个备份时间段，如日间交易处理 结束后、日终交易处理结束后、上午及下午顶峰交易时段后、等等， 进行数据库联机备份。逻辑日志备份：日间交易处理时做持续日志备份。 利用数据库备份磁

48、带和逻辑日志备份磁带恢复数据到故障点之前的 状态，也即 online 的最后一个检查点，此时可能会丧失几个交易， 再利用记录的系统或网络流水进行补帐。利用应用系统提供的交易重入程序类似于数据库的逻辑日志恢复机制，只不过是通过编制的特定的应用程序，对记录的系统或网络流水进行交易的再现工作第6章数据移植本章将简要描述数据移植的方案，详细的情况参见?外汇会计网络系统数据 移植方案?。6.1实施原那么为保证旧系统的平稳过渡，必须遵循以下原那么：准确性原那么准确性原那么是数据移植必备原那么，也是降低实施风险的最有效方法。全面性原那么由于新、旧系统存在着相当大的差异，必须保证移植数据的全面性，旧系统 无法

49、提供的数据应该采取手工补录的方法。一致性原那么移植过程中即要保证帐户信息的一致性，也要最大限度保证非帐务信息的一 致性。6.2实现方法根据目前FEBS在各分行使用的情况，有两种实现方法。程序移植+手工补录FEBS 的版本已使用FEBS系统的分行可以采取这种方法，但要注意区分 号，不同版本的 FEBS ，移植程序不同。手工移植未使用 FEBS 系统的分行，由于没有电子数据，只能进行手工移植。系统提 供手工移植画面，由柜员根据手工帐务信息输入。6.3 移植步骤FEBS 系统数据整理对 FEBS 系统的数据进行整理，尤其针对客户信息。 移植程序下发与培训 将移植程序下发到各移植网点，并对柜员进行移植

50、程序操作培训。数据补录 操作员对客户存贷款帐户信息进行数据补录根据新旧帐户信息内容差 异和新旧系统数据库差异决定补录的内容 ，原那么上： 旧系统已有的信息， 且与新系统的信息分类要求相符合， 能够自动转换的， 由系统自动转换； 除此之外，由操作员人工补录。需要补录的内容例如：客户号编码、帐 户性质、企业性质、核算科目等。数据转换 根据移植程序以及补录数据进行数据移植。移植数据确认 对移植后的数据按新科目设置进行日终处理，产生新科目报表与旧系统核对。同时打印余额、积数单等各种帐户信息进行逐笔勾对。第7章和现有系统的比拟外汇会计网络系统与原有系统的比拟，集中在以下八个方面：实现以“一级分行为单位的

51、外汇会计数据大集中。实现以“交易驱动为主，分录驱动为辅的业务处理模式。 实现资金处理自动化实现局部内控风险点系统自动控制实现参数化设置，根据业务和管理需要灵活进行调整。实现外汇会计业务柜员制，为本外币综合柜员制创造条件。实现“以客户为中心的信息管理机制，满足各种统计需要，为业务决策分析提供数 据。实现国际结算系统等周边系统的接口。第8章和相关系统的关系与国际结算系统的关系实现与国际结算系统的双向信息传递接口，实现国际结算业务相关帐务实时入帐，并自动打印凭证。与个人实盘外汇买卖系统的关系提供与个人实盘外汇买卖系统的标准数据接口，实现帐务数据批量入帐。与国际收支申报系统的关系增加国际收支申报系统数

52、据补录功能，按照国际收支申报要求生成标准格式的文本文件，通过网络传送或磁盘拷贝的方式由国际收支申报系统接收。与外汇帐户管理系统的关系满足外汇帐户管理系统数据采集需要，按照接口标准提供标准格式文本，通过网络传送或磁盘拷贝的方式由外汇帐户管理系统接收。与B股清算系统的关系由B股清算系统负责 SWIFT系统报文的分解和生成工作。外汇会计网络系统与B股清算系统建立接口关系，利用B股清算系统分解的报文进行业务处理；提供B股清算系统接口要求的数据格式，由B股系统进行生成报文，并对外发送。与MIS总帐系统的关系满足 MIS总帐系统数据采集需要，按照接口标准提供标准格式文本，通过网络传送或磁盘拷贝的方式由外汇

53、帐户管理系统接收。与储蓄通兑文件的关系提供与储蓄通兑文件的标准数据接口，实现帐务数据批量入帐第9章可选技术方案在本方案书中，对系统的多个关键环节列出了可选方案，并对这些可选方案进行了比拟选择。详细的内容在以上章节中已经描述，在此对之作一汇总以供参考:比拟工程内容所在章节网络架构二层/三层中间件TUXEDO/Lo ngTop-Li nk信息传输平安加密技术对称/非对称元整性技术校验和/摘要认证技术用户口令/数字签名密钥管理静态/动态通讯异常处理冲正/交易锁和冲正结合另外，在224中还对后台硬件环境作了配置小结第10章 米用建议系统可能带来的影响采用本方案建议系统，将使业务处理从现有单机处理模式转

54、变为网络联机处理模 式，将极大地促进我行外汇业务的开展，对现有系统带来多方面的影响。10.1对设备的影响可充分利用目前使用的FEBS 的现有设备，前台网点无需购置设备。一级分行需要RS6000 主机，假设分行有该类型主机并允许复用，也无需购置设备。因此，只有不能 复用的一级分行需要购置RS6000 主机。10.2对现有软件的影响现有业务系统为 FEBS，将被本系统替换。其它软件，如：操作系统、数据库等软 件将继续使用。另外，还需购置TUXEDO 、ACE平台等软件。10.3对用户的影响用户需要从 FEBS转换到本系统，应接受相应的业务和操作培训。10.4对系统运行的影响系统升级为网络系统后，采用了RS6000 主机。因此，应对主机进行专门的运行 维护。另外，网络环境将对系统运行造成影响10.5 对开发环境的影响前台网点采用了 ACE4.0 平台，前台系统开发更为便捷。 RS6000 主机为 AIX 操 作系统， ESQL/C 语言，与原系统略有不同，差异不大。10.6 对平安保密的影响 升级为网络系统后，网络数据传输的平安保密极为重要。同时对集中到主机的数据 的平安性也提出了更高的要求。10.7 对经费支出的影响有如下经费支出：购置 RS6000 主机及其它配套设备可复用的除外 ； 业务系统的版权费、开发实施费、支持效劳费等；