商業(yè)銀行支付系統(tǒng)技術(shù)總體方案VIP

1 第二代支付系統(tǒng) 技術(shù)總體方案簡介 中國人民銀行清算總中心 張清明 2010年 10月 2 第一代支付系統(tǒng)在技術(shù)上的主要特點（一） 分步建設 先建設了清算賬戶管理系統(tǒng)和大額支付系統(tǒng)，再逐步建設了小額支付系統(tǒng)、支付管理信息系統(tǒng)等應用系統(tǒng)； 作為第二代支付系統(tǒng)應用系統(tǒng)之一，先行建設了 IBPS。 混合結(jié)構(gòu) 賬戶管理系統(tǒng)：核心數(shù)據(jù)和核心應用部署在主機；輔助數(shù)據(jù)和主要業(yè)務邏輯部署在開發(fā)系統(tǒng)； 大額、小額：數(shù)據(jù)和應用部署在開放系統(tǒng)； 管理信息系統(tǒng)：數(shù)據(jù)和應用部署在開放系統(tǒng) 高可靠性保障 主機：冷備份（ Active/Cold Stanby） NPC 開放數(shù)據(jù)庫服務器：群集模式（ Active/Active） NPC/CCPC 開放應用服務器：熱備模式（ Active/Warm Stanby） NPC/CCPC 報文標準 CMT/PKG 3 第一代支付系統(tǒng)在技術(shù)上的主要特點（二） 參與者適當集中接入 參與者主要以省級分行作為直接參與者接入當?shù)爻鞘刑幚碇行模?部分參與者（如國債、銀聯(lián)、 TCBS）通過 NPCFE一點接入 NPC。 一定的備份等級水平 逐步建設完善了應急備份系統(tǒng)，實現(xiàn)了 NPC站點備份； 主要應用系統(tǒng)備份水平達到 Tier 5 （ RPO1分鐘， RTO2小時）； 建設了 XCCPC，能實施對特定 CCPC數(shù)據(jù)實時備份； 部分 CCPC建設了同城備份系統(tǒng)。 一定的監(jiān)控和運維管理水平 在 NPC/CCPC部署了 CA監(jiān)控系統(tǒng)，能監(jiān)控部分系統(tǒng)軟件和硬件。 實現(xiàn)了應用軟件自主開發(fā)，逐步建立了客戶服務和技術(shù)支持體系。 4 第一代支付系統(tǒng)在技術(shù)上存在的主要不足 分布實施，總體架構(gòu)設計不夠； 數(shù)據(jù)及應用在 NPC和 CCPC的分布不盡合理； 應用系統(tǒng)耦合程度較高，不能快速響應業(yè)務需求的變化； 缺少先進完善的災難備份系統(tǒng)； 缺乏應用監(jiān)控手段； 系統(tǒng)接入方式不夠靈活； 報文標準未采用國際標準。 5 信息化技術(shù)發(fā)展趨勢 金融業(yè)務系統(tǒng)發(fā)展趨勢 重視系統(tǒng)架構(gòu)設計，提倡面向服務的系統(tǒng)架構(gòu)； 注重應用系統(tǒng)整合及信息共享； 數(shù)據(jù)及核心應用逐步集中； 加強系統(tǒng)備份能力建設，保障業(yè)務連續(xù)性； 使用開放的國際標準、國內(nèi)標準和行業(yè)標準； 采取縱深防御的策略，按等級保護要求強化信息系統(tǒng)安全； 提升系統(tǒng)的可擴展性和可維護性，改進運維管理； 注重數(shù)據(jù)分析和信息挖掘。 6 第二代支付系統(tǒng)需求概述：總體需求 第二代支付系統(tǒng)應在支持已有業(yè)務類型的同時，主動適應支付業(yè)務的創(chuàng)新和發(fā)展，使系統(tǒng)未來能以較小的代價快速適應業(yè)務需求的變更以及發(fā)展。 大 額 支 付 系 統(tǒng)清 算 賬 戶 管 理 系 統(tǒng)（ 賬 戶 管 理 、 實 時 清 算 、 凈 額 清 算 ）支 付 管 理 信 息 系 統(tǒng)小 額 支 付 系 統(tǒng)支 票 影 像 交 換 系 統(tǒng)網(wǎng) 上 支 付跨 行 清 算 系 統(tǒng)本次不改造 7 第二代支付系統(tǒng)需求概述：非功能性需求 業(yè)務容量需求 HVPS： 2016年日均 446萬筆，峰值 128萬筆 /小時 BEPS： 2016年日均 1148萬筆，峰值 242萬筆 /小時 約合 328萬包 /日，峰值業(yè)務量為 82萬包 /小時 IBPS： 2011年日均 300萬筆，峰值 75萬筆 /小時 合計的峰值軋差處理需求為 157萬次 /小時 小額按包進行軋差處理、網(wǎng)銀按筆進行軋差處理 可靠性要求 系統(tǒng)的可使用率應保持在總運行時間的 99.9%，故障平均修復時間不超過 20分鐘。 8 第二代支付系統(tǒng)需求概述：運維需求 系統(tǒng)運維需求 建立和應用系統(tǒng)有機整合的運行監(jiān)控系統(tǒng) 建立符合信息化系統(tǒng)管理規(guī)范的運行維護系統(tǒng) 建立先進的客戶服務系統(tǒng) 9 第二代支付系統(tǒng)需求概述：系統(tǒng)切換要求 第二代支付系統(tǒng)采取“支付系統(tǒng)統(tǒng)一切換、各參與者分步切換”的上線方案，系統(tǒng)在功能上可兼容第一代支付系統(tǒng)的報文標準。 在第二代支付系統(tǒng)上線當日，國家處理中心（ NPC）及各 CCPC切換到第二代支付系統(tǒng)，同時停止第一代支付系統(tǒng)的運行。 已完成二代系統(tǒng)接口改造的參與者可通過新版接口接入第二代支付系統(tǒng)； 未完成二代系統(tǒng)接口改造的參與者可通過原接口程序接入第二代支付系統(tǒng)，待完成系統(tǒng)改造后再通過新版接口接入第二代支付系統(tǒng)。 人民銀行根據(jù)管理需要設置統(tǒng)一的切換期。 10 第二代支付系統(tǒng)需求概述：主要變化 與一代系統(tǒng)的主要變化 更全面的流動性風險管理功能 支持新興電子支付 靈活的接入和清算模式 人民幣外幣的 PVP 支持人民幣跨境支付 業(yè)務標準與報文格式 支付信息管理 11 建設目標和原則：總體目標 立足第一代支付系統(tǒng)的成功經(jīng)驗，引入先進的支付清算管理理念和技術(shù)，滿足業(yè)務需求，解決原系統(tǒng)中存在的突出問題，進一步豐富系統(tǒng)功能，加強運行監(jiān)控，完善災備系統(tǒng)，建設適應新興電子支付發(fā)展的、面向參與者管理需要的、功能更完善、架構(gòu)更合理、技術(shù)更先進、管理更簡便，以上海中心建設為起點，以北京中心投產(chǎn)為建成的新一代支付系統(tǒng)。 12 建設目標和原則：基本原則 要有利于高標準履行職責，確保支付系統(tǒng)安全穩(wěn)定運行 建設風險可控：要充分吸收一代支付系統(tǒng)的成功經(jīng)驗；要確保所選擇的技術(shù)必須是成熟可靠且有發(fā)展前景的，并在國內(nèi)外類似的關(guān)鍵業(yè)務系統(tǒng)中得到了成功應用； 體現(xiàn)二代支付系統(tǒng)的先進性：要優(yōu)化系統(tǒng)架構(gòu)，完善系統(tǒng)功能，改進運維管理，方便運行維護，提高處理效率；要結(jié)合未來幾年的技術(shù)業(yè)務發(fā)展趨勢，具有一定的前瞻性，適應未來支付清算業(yè)務發(fā)展和創(chuàng)新需求； 統(tǒng)籌規(guī)劃：要通過借鑒吸收其他系統(tǒng)建設經(jīng)驗，統(tǒng)盤考慮各應用系統(tǒng)的備份系統(tǒng)建設，避免資源浪費。 13 建設目標和原則：方案設計原則 1. 滿足業(yè)務需求 2. 系統(tǒng)平滑過渡 3. 提升系統(tǒng)安全性 4. 提升系統(tǒng)整體可用性 5. 靈活可擴展的應用架構(gòu) 6. 提升系統(tǒng)可維護性 7. 靈活多樣的接入方式 8. 國際化的業(yè)務標準 14 應用系統(tǒng)設計：設計思路 設計思路： 集中化、平臺化、組件化、標準化 以支付報文傳輸系統(tǒng)為支撐，支付業(yè)務處理系統(tǒng)為核心 遵循原則： 采用面向服務的架構(gòu)的理念和技術(shù) 業(yè)務流程化原則 模塊可重用原則 子系統(tǒng)松耦合原則 子系統(tǒng)內(nèi)聚性原則 15 應用系統(tǒng)設計：支付業(yè)務處理 子系統(tǒng)劃分： 綜合安全性、應用組件功能相似性、子系統(tǒng)內(nèi)聚性、獨立性等因素，將應用組件劃分為 10個子系統(tǒng)。 支付業(yè)務處理子系統(tǒng)（大額，小額，網(wǎng)銀）； 支付賬務處理子系統(tǒng)； 公共管理子系統(tǒng)； 計費子系統(tǒng)； 統(tǒng)一用戶認證授權(quán)子系統(tǒng)； 明細查詢與數(shù)據(jù)管理子系統(tǒng)； 監(jiān)控子系統(tǒng)； 統(tǒng)計分析子系統(tǒng)； 行名行號子系統(tǒng)； 參與者業(yè)務管理子系統(tǒng)。 16 應用系統(tǒng)設計：總體結(jié)構(gòu) C N A P S 2A C S商 業(yè) 銀 行T C B S銀 聯(lián)清 算 組 織國 債支 付 報 文 傳 輸 平 臺C F X P SE C D S大 額 支 付 系 統(tǒng)小 額 支 付 系 統(tǒng)網(wǎng) 上 支 付 跨 行 清 算 系 統(tǒng)清 算 賬 戶 管 理 系 統(tǒng)公 共 管 理 系 統(tǒng). . . . . .報文傳輸與業(yè)務處理分離 17 應用系統(tǒng)設計：支付報文傳輸 業(yè)務功能： 傳輸安全 報文校驗 智能路由 主要特性 ： 與業(yè)務系統(tǒng)無關(guān) 兼容多種報文格式 高可用性 18 應用系統(tǒng)設計：支付報文傳輸部署 集中交換網(wǎng)關(guān) 支持水平擴展方式部署，單臺服務器宕機不會影響到報文傳輸平臺的連續(xù)運行 對經(jīng)過的報文同時進行本地和異地集中存儲，確保災難情況下支付報文傳輸平臺業(yè)務數(shù)據(jù)的完整性 區(qū)域接入網(wǎng)關(guān) 區(qū)域匯聚、安全檢查 智能路由和報文轉(zhuǎn)發(fā) 支持水平擴展方式部署 參與者接入端 負責接收商業(yè)銀行行內(nèi)系統(tǒng)向支付報文傳輸平臺提交的各類報文 負責接收區(qū)域接入網(wǎng)關(guān)向本接入點發(fā)送的報文，并轉(zhuǎn)發(fā)至參與者行內(nèi)系統(tǒng) 支持采用水平群集方式部署，同一接入點的報文傳輸平臺接入服務器可并行工作，單臺服務器失效，不影響該接入點其它服務器的繼續(xù)運行 支持 AIX和 Linux操作系統(tǒng)， MQ與 TLQ中間件 19 應用系統(tǒng)設計：應用功能分布 國家處理中心 NPC 支付業(yè)務處理子系統(tǒng)（大額，小額，網(wǎng)銀） 支付賬務處理子系統(tǒng) 公共管理子系統(tǒng) 統(tǒng)一用戶認證授權(quán)子系統(tǒng) 計費子系統(tǒng) 明細查詢與數(shù)據(jù)管理子系統(tǒng) 監(jiān)控子系統(tǒng) 統(tǒng)計分析子系統(tǒng) 行名行號子系統(tǒng) 集中交換網(wǎng)關(guān)子系統(tǒng) 城市處理中心 CCPC 區(qū)域接入網(wǎng)關(guān)子系統(tǒng) 參與者業(yè)務管理子系統(tǒng)（根據(jù)實際需要） 支付系統(tǒng)參與者 參與者接入端軟件 參與者業(yè)務管理子系統(tǒng)（間聯(lián)參與者） 20 應用系統(tǒng)設計：與一代支付系統(tǒng)的主要變化 實現(xiàn)報文傳輸和業(yè)務處理分離： 方便參與者的靈活接入； 簡化業(yè)務系統(tǒng)的處理邏輯； 業(yè)務處理劃分為業(yè)務處理子系統(tǒng)（含大額、小額、網(wǎng)銀）和賬務處理子系統(tǒng)： 層次清晰，提高系統(tǒng)整體處理效率； 建立統(tǒng)一的業(yè)務管理和業(yè)務監(jiān)控平臺： 為支付系統(tǒng)的業(yè)務人員提供單一入口，通過用戶身份認證后按各自授權(quán)分別操作、監(jiān)控和管理各業(yè)務系統(tǒng)； 增加應用監(jiān)控子系統(tǒng)： 可隨時了解系統(tǒng)運行情況，提前發(fā)現(xiàn)系統(tǒng)故障或異常，有助于提高運維水平； 改進對參與者的支持： 通過報文傳輸平臺可支持參與者的靈活接入需求，降低前置機復雜度和維護難度； 建設參與者業(yè)務管理系統(tǒng)，支持中小參與者特別是農(nóng)村金融機構(gòu)的低成本接入、業(yè)務收發(fā)和業(yè)務管理。 21 數(shù)據(jù)管理設計：設計思路 按數(shù)據(jù)重要性進行區(qū)別存儲和保護，關(guān)鍵數(shù)據(jù)應集中在 NPC； 滿足業(yè)務處理性能的要求； 注重數(shù)據(jù)的完整性、一致性和可用性，統(tǒng)一數(shù)據(jù)的定義、變更等管理； 建立有效的數(shù)據(jù)備份和歸檔機制。 22 數(shù)據(jù)管理設計：字符集與數(shù)據(jù)編碼 為更好的適應國際標準，并適應第二代支付系統(tǒng)的國際化趨勢，第二代支付系統(tǒng)數(shù)據(jù)交換和存儲格式統(tǒng)一采用 UTF-8編碼集。 UTF-8是 Unicode的一種最常用的變長字符編碼，可以根據(jù)不同的符號自動選擇編碼的長短。在 UTF 8中，字符以 8位序列來編碼，用一個或幾個字節(jié)來表示一個字符。 UTF-8編碼集包含全世界所有國家需要用到的字符，字符集大；同時是國際通行的編碼方式，得到了幾乎所有系統(tǒng)軟件的支持，通用性強。 UTF-8編碼的文字可以在各國支持 UTF8字符集的瀏覽器上顯示，而無需下載IE的中文語言支持包。 23 數(shù)據(jù)管理設計：數(shù)據(jù)交換 查詢庫 聯(lián)機交易數(shù)據(jù)庫的實時數(shù)據(jù)鏡像庫； 方便對在線數(shù)據(jù)實施查詢、統(tǒng)計、分析以及采集、監(jiān)控等功能； 簡化各個子系統(tǒng)之間的數(shù)據(jù)關(guān)系； 減少重要業(yè)務系統(tǒng)對數(shù)據(jù)庫的壓力。 主要的數(shù)據(jù)交換方式： 準實時數(shù)據(jù)復制 準實時數(shù)據(jù)采集 聯(lián)機報文類數(shù)據(jù)交換 批量處理類數(shù)據(jù)交換 參數(shù)數(shù)據(jù)交換 24 數(shù)據(jù)管理設計：數(shù)據(jù)歸檔與檢索 各業(yè)務系統(tǒng)中將超過聯(lián)機數(shù)據(jù)保存期的數(shù)據(jù)按照規(guī)定的接口要求導出為 XML格式的文件，通過網(wǎng)絡將歸檔文件送給歸檔與檢索系統(tǒng)，歸檔系統(tǒng)對歸檔數(shù)據(jù)進行分級存儲，建立索引支持檢索。 歸檔數(shù)據(jù)保存期為 15年，歸檔系統(tǒng)應支持數(shù)據(jù)的分級存儲功能， 5年內(nèi)的數(shù)據(jù)保存在聯(lián)機存儲上，超出 5年的數(shù)據(jù)自動遷移到低速率的存儲介質(zhì)上，以降低存儲成本 。 序號 數(shù)據(jù)類型 歸檔需求 備注 1 業(yè)務數(shù)據(jù) 歸檔子系統(tǒng) +數(shù)據(jù)異地存儲 2 報文數(shù)據(jù) 歸檔子系統(tǒng) +數(shù)據(jù)異地存儲 25 數(shù)據(jù)管理設計：與一代支付系統(tǒng)的主要變化 建立查詢庫 減少業(yè)務管理、查詢、監(jiān)測、統(tǒng)計等對交易系統(tǒng)的影響； 建立統(tǒng)一的數(shù)據(jù)歸檔和檢索平臺 為今后支付信息的再加工和再利用提供基礎設施和技術(shù)條件 字符集、數(shù)據(jù)編碼和報文標準 支持國際標準 數(shù)據(jù)集中在 NPC 26 計算機方案：混合平臺方案 基本思路 借鑒一代支付系統(tǒng)的成功經(jīng)驗，根據(jù)應用系統(tǒng)設計和數(shù)據(jù)分布設計的結(jié)果，通過區(qū)分計算資源，將聯(lián)機交易系統(tǒng)的核心處理邏輯（例如軋差、記賬）、關(guān)鍵業(yè)務數(shù)據(jù)（包括清算賬戶信息，參與者交換的報文信息等）部署在主機平臺，而將計算復雜且對 CPU資源消耗過高的處理邏輯，例如 XML報文的解析、業(yè)務流程的控制、業(yè)務數(shù)據(jù)核對等邏輯部署在開放平臺，實現(xiàn)聯(lián)機交易系統(tǒng)數(shù)據(jù)集中、應用分布的混合平臺架構(gòu)。統(tǒng)計分析等子系統(tǒng)的應用和數(shù)據(jù)均部署在開放平臺。 在實現(xiàn)上遵循以下原則： （ 1）聯(lián)機交易系統(tǒng)依賴的業(yè)務數(shù)據(jù)集中存儲在主機平臺。 （ 2）所有對主機平臺數(shù)據(jù)庫的更改操作應通過主機核心應用服務完成，分布式平臺業(yè)務系統(tǒng)通過 SNA或 IPIC以一階段方式訪問主機上對應的子系統(tǒng)核心服務完成數(shù)據(jù)更新操作。 （ 3）開放平臺可通過數(shù)據(jù)庫客戶端訪問主機數(shù)據(jù)，但僅限于只讀操作 。 27 NPC邏輯部署：總體結(jié)構(gòu) 主機平臺核心服務層 主機上的賬務業(yè)務處理子系統(tǒng)和各業(yè)務處理核心服務層均選擇基于成熟的 CICS事務管理器和 DB2 數(shù)據(jù)庫，維護和管理各自的業(yè)務數(shù)據(jù) 主機平臺上存儲 SAPS賬務數(shù)據(jù)、特殊業(yè)務數(shù)據(jù)、小額業(yè)務數(shù)據(jù)、網(wǎng)銀業(yè)務數(shù)據(jù)、大額業(yè)務數(shù)據(jù)、公共管理（含計費）數(shù)據(jù)； 主機上的數(shù)據(jù)采用準實時數(shù)據(jù)復制技術(shù)將數(shù)據(jù)復制到開放系統(tǒng)存儲的查詢庫中，以避免管理客戶端、業(yè)務監(jiān)控、應用監(jiān)控等對主機業(yè)務數(shù)據(jù)查詢帶來的壓力 開發(fā)平臺業(yè)務處理層 訪問主機核心服務 為繼承現(xiàn)有資產(chǎn)，可部署 CICS 事務管理器和 WMQ來保障應用邏輯內(nèi)部數(shù)據(jù)的一致性和完整性。 計算機方案：混合平臺方案 28 計算機方案：混合平臺方案 MBFE物理部署 ： 直連參與者 參 與 者業(yè) 務 系 統(tǒng) 2報 文 傳 輸參 與 者 接 入 端服 務 器 B報 文 傳 輸參 與 者 接 入 端服 務 器 A管 理 客 戶 端L A N查 詢 客 戶 端參 與 者業(yè) 務 系 統(tǒng) N參 與 者業(yè) 務 系 統(tǒng) 1密 押 服 務 器簽 名 服 務 器29 計算機方案：混合平臺方案 MBFE物理部署 ： 間連參與者 間 連 M B F E數(shù) 據(jù) 庫 服 務 器支 付 報 文 傳 輸 平 臺參 與 者 接 入 端 服 務 器管 理 客 戶 端L A N查 詢 客 戶 端間 連 M B F E應 用 服 務 器可 合 并 部 署密 押 服 務 器簽 名 服 務 器30 選擇混合結(jié)構(gòu)的考慮 充分利用大型主機的高安全性，將關(guān)鍵業(yè)務邏輯部署在主機平臺，只有經(jīng)過主機應用才能修改（增刪改）關(guān)鍵業(yè)務數(shù)據(jù)； 充分利用 IBM大型主機的成熟技術(shù)，盡最大限度提高支付系統(tǒng)核心業(yè)務系統(tǒng)的高可用性。基于大型主機實施的GDPS/Hyperswap等技術(shù)使系統(tǒng)可用性可達到 99.999%以上，保證無論是單臺主機還是單臺存儲出現(xiàn)故障時，業(yè)務連續(xù)性均可以得到很好的保證。目前全球各大銀行的關(guān)鍵業(yè)務系統(tǒng)大多數(shù)都運行在主機平臺；國內(nèi)四大商業(yè)銀行目前都已采用該技術(shù)保障其核心系統(tǒng)的高可用性。 一代支付系統(tǒng)就是采用的混合結(jié)構(gòu)，積累了相應的軟件開發(fā)、工程實施以及運行維護的經(jīng)驗；二代支付系統(tǒng)繼續(xù)沿用這一結(jié)構(gòu)（在細節(jié)方面加以優(yōu)化），風險相對可控。 與在主機上部署全部應用功能相比，采用混合結(jié)構(gòu)能較大程度降低建設運維成本和軟件開發(fā)難度。 31 計算機方案：與一代支付系統(tǒng)的主要變化 總體技術(shù)路線和一代支付系統(tǒng)基本一致： 關(guān)鍵業(yè)務系統(tǒng)擬繼續(xù)采用主機 /開發(fā)系統(tǒng)的混合結(jié)構(gòu) 輔助信息系統(tǒng)全部使用開發(fā)系統(tǒng) 繼續(xù)采用一代中表現(xiàn)穩(wěn)定并積累了豐富開發(fā)運行管理經(jīng)驗的相關(guān)技術(shù)和軟硬件產(chǎn)品。 調(diào)整數(shù)據(jù)分布和應用分布： 關(guān)鍵業(yè)務數(shù)據(jù)全部存放在主機 只允許主機應用訪問這些數(shù)據(jù) 改進數(shù)據(jù)交換方式： 通過交易數(shù)據(jù)鏡像庫簡化子系統(tǒng)之間的數(shù)據(jù)交互 32 計算機方案：與一代支付系統(tǒng)的主要變化 全面增強系統(tǒng)的可用性： 主要通過采取群集負載均衡，盡量少采用主備模式； 具體包括主機上采用并行耦合技術(shù) 報文傳輸平臺自行研發(fā)雙機 /多機并行技術(shù)并實現(xiàn)自動選擇傳輸路徑等 改進系統(tǒng)的可擴展性： 縱向可擴展和水平可擴展； 通過群集技術(shù)可以方便的增加服務器來提升系統(tǒng)的處理能力； 提升系統(tǒng)的可維護性： 建立集中監(jiān)控系統(tǒng)，快速發(fā)現(xiàn)和定位問題； 提供應用監(jiān)測手段并與運維管理系統(tǒng)集成；提供系統(tǒng)的維護窗口和維護手段等 33 網(wǎng)絡方案：與一代支付系統(tǒng)的主要變化 按照信息安全等級保護的相關(guān)要求，采用安全域的概念，按照不同的功能分區(qū)劃分安全域，不同的安全域采用不同等級的防護策略； 支持多中心同時在線，多中心之間建立高速通道，支持互相訪問； 提供多種網(wǎng)絡管理手段。 34 第二代支付系統(tǒng)信息安全保障體系 35 安全方案：與一代支付系統(tǒng)的主要變化 強化數(shù)據(jù)傳輸安全，在傳輸平臺中實現(xiàn)對數(shù)據(jù)完整性的檢查； 用戶集中管理，建設統(tǒng)一的用戶認證和授權(quán)子系統(tǒng)，實現(xiàn)用戶身份認證、訪問控制以及用戶操作的安全審計； 建立網(wǎng)絡安全體系，建設安全域邊界、網(wǎng)絡邊界；重點保護 CCPC與參與者之間的邊界，對接入支付系統(tǒng)進行更為嚴格的控制，確保支付系統(tǒng)邊界的完整性； 注重安全管理，安全審計等，搭建相應的平臺。 36 運維管理 ：設計思路 多中心一體化”的運維管理 一體化的監(jiān)控 一體化的運行 一體化的維護管理 一體化的服務支持 運維監(jiān)控中心與數(shù)據(jù)中心分離 數(shù)據(jù)集中與分級管理相適應 具備良好的可擴展性和可用性 37 運維管理：與一代支付系統(tǒng)的主要變化 運維管理 從未來將形成多中心的格局和提高運維管理和業(yè)務連續(xù)性管理水平的角度考慮，運維監(jiān)控系統(tǒng)的建設依照“多中心一體化（多個物理中心協(xié)同形成一個大的邏輯中心）”的思路進行設計，支持一體化的監(jiān)控、運行、維護等； 支持運維中心和數(shù)據(jù)中心分離；嚴格數(shù)據(jù)中心的管理，只允許系統(tǒng)維護人員進入核心運行區(qū)，運維監(jiān)控的支持、管理和操作人員通過遠程、甚至異地訪問和監(jiān)控系統(tǒng)運行，并執(zhí)行運維管理流程的各項工作支持分級運維； 增加應用監(jiān)控等運維功能，提供客戶服務、技術(shù)論壇及服務支持網(wǎng)站等，改進對清算中心和參與者的技術(shù)支持 38 第二代支付系統(tǒng)備份系統(tǒng)建設路徑 上海中心投產(chǎn)時的備份系統(tǒng)建設 第二代支付系統(tǒng)在上海中心投產(chǎn)時，支付系統(tǒng)北京中心尚未建成，為確保支付系統(tǒng)的備份能力，應以上海中心作為生產(chǎn)中心，無錫主站作為應急備份中心。 北 京 中 心（ 建 設 中 . . .）北 京 主 站（ 改 造 中 . . .）無 錫 主 站應 急 備 份 中 心異 步 傳 輸上 海 中 心生 產(chǎn) 中 心39 第二代支付系統(tǒng)備份系統(tǒng)建設路徑 北京中心建成后的備份系統(tǒng)建設目標 將生產(chǎn)中心從上海中心切換到北京中心，從而形成北京中心作為生產(chǎn)中心、北京主站作為同城備份中心和上海中心作為遠程備份中心的“兩地三中心”最終格局。 北 京 中 心生 產(chǎn) 中 心北 京 主 站同 城 備 份 中 心同 步 傳 輸異 步 傳 輸上 海 中 心遠 程 備 份 中 心40 備份系統(tǒng)建設方案 兩地三中心方案 主機平臺數(shù)據(jù)備份方案 同 步 P P R CF I C O N 交換 機業(yè) 務 處 理 子 系 統(tǒng) x n賬 務 處 理 子 系統(tǒng) x 2主 磁 盤陣 列磁 盤 陣列F I C O N交 換 機S A 交 換機S A N 交 換機 生 產(chǎn) 中 心 同 城 備 份 中 心公 共 管 理 子 系 統(tǒng) x n以 太 網(wǎng) 交換 機業(yè) 務 處 理 子 系 統(tǒng) x n賬 務 處 理 子 系統(tǒng) x 2公 共 管 理 子 系 統(tǒng) x n以 太 網(wǎng) 交換 機磁 盤 陣列F I C O N交 換 機S A N 交 換機 遠 程 備 份 中 心業(yè) 務 處 理 子 系 統(tǒng) x n賬 務 處 理 子 系統(tǒng) x 2公 共 管 理 子 系 統(tǒng) x n以 太 網(wǎng) 交換 機異 步 P P R C41 備份系統(tǒng)建設方案 兩地三中心方案 開放平臺數(shù)據(jù)備份方案 磁 盤 陣 列同 步 P P R C其 他 子 系 統(tǒng) x n統(tǒng) 計 分 析 子 系 統(tǒng) x 2統(tǒng) 計 分 析 子 系 統(tǒng) x 2 其 他 子 系 統(tǒng) x n生 產(chǎn) 中 心同 城 備 份 中 心磁 盤 陣 列統(tǒng) 計 分 析 子 系 統(tǒng) x 2其 他 子 系 統(tǒng) x n遠 程 備 份 中 心異 步 P P R C磁 盤 陣 列S A N 交 換 機S A N 交 換 機S A N 交 換 機42 備份系統(tǒng)建設方案： CCPC備份 系統(tǒng)備份 M B F E 接 入 端 A區(qū) 域 網(wǎng) 關(guān) A故 障區(qū) 域 網(wǎng) 關(guān) B故 障C C P C 1接 入 服 務 器 A 接 入 服 務 器 BN P C故 障故 障M B F E 接 入 端 B區(qū) 域 網(wǎng) 關(guān) A 區(qū) 域 網(wǎng) 關(guān) BC C P C 2參 與 者43 備份系統(tǒng)建設方案： CCPC備份 數(shù)據(jù)備份 為實現(xiàn) CCPC集中備份系統(tǒng)， CCPC日常需將支付報文傳輸平臺 CCPC區(qū)域網(wǎng)關(guān)處理軟件與轄內(nèi)參與者接入端軟件之間配置信息定時（例如每日日終后）通過報文傳遞至 NPC， NPC集中存儲各 CCPC與轄內(nèi)參與者中間件連接方式等系統(tǒng)配置信息，在 CCPC發(fā)生災難時導入 CCPC集中備份系統(tǒng)，保證參與者正常接入。 44 備份系統(tǒng)建設方案： MBFE備份 二代支付系統(tǒng)直連參與者 MBFE僅部署支付報文傳輸平臺接入端軟件 支持水平擴展方式部署，參與者可通過多臺 MBFE同時向支付系統(tǒng)發(fā)送業(yè)務 一臺 MBFE的故障不會影響到參與者的業(yè)務連續(xù)運行 MBFE備份 主用 MBFE與備用 MBFE 為防范單個 NPC/CCPC故障導致從其接入的 MBFE業(yè)務受到影響， 參與者 可 選擇主備 MBFE分別接入主備 NPC/CCPC的模式 ； 主用 MBFE（可以多臺）與主用 NPC/CCPC接入，正常情況下所有業(yè)務從該組 MBFE進行收發(fā)； 備用 MBFE與備用 NPC/CCPC建立連接，在主用 NPC/CCPC出現(xiàn)故障時，改從備用 MBFE進行報文收發(fā)。 45 備份系統(tǒng)建設方案： MBFE備份 MBFE備份 一般而言，主用線路接入 NPC的參與者，備用線路宜選擇接入備用 NPC； 對于主用線路從 CCPC接入的全國性商業(yè)銀行，則可選擇從其備用數(shù)據(jù)中心所在地 CCPC作為備用接入； 對于區(qū)域性的城市商業(yè)銀行或農(nóng)村信用社，也可以根據(jù)自身實際情況來選擇是否建立備用接入線路，確有需要的，可以選擇從人民銀行當?shù)氐耐寝D(zhuǎn)接中心建立備用接入線路 46 備份系統(tǒng)：與一代支付系統(tǒng)的主要變化 業(yè)務連續(xù)性 NPC數(shù)據(jù)備份需求簡單，相關(guān)業(yè)務數(shù)據(jù)全部位于主機平臺，所采用的備份技術(shù)相對單一，降低了系統(tǒng)復雜度； 通過應用方式在異地備份了全部報文數(shù)據(jù)，實現(xiàn)了報文數(shù)據(jù)零丟失，方便非計劃切換情況下的數(shù)據(jù)查找和恢