#引言1.1编写目的说明对程序系统的设计考虑，包括程序系统的基本处理流程，程序系统的组织结构、模块划分、功能分配、接口设计、运行设计、数据结构设计和安全性设计等，为程序的详细设计奠定基础，并使系统参与者对系统有基本的了解。

1.2项目背景第一代支付系统作为我国资金运动的大动脉，对加快社会资金周转、提高支付清算效率、畅通货币政策传导、促进国民经济健康发展发挥着重要作用。

但随着我国社会经济快速发展，金融改革继续深入，金融市场日益完善，支付方式不断创新，对中央银行的支付清算服务提出了许多新的、更高的要求。

作为支付体系的核心和枢纽，中央银行的支付系统能否支持和满足这些需求，将直接影响支付体系的整体运行效率，进而影响经济金融的平稳健康发展。

第一代支付系统存在的不足：（1）不能满足银行业金融机构灵活接入的需求；（2）流动性风险管理尚待进一步完善；（3）应对突发事件的能力需要加强；（4）业务功能及服务对象有待进一步拓展；（5）运行监控范围及功能有待进一步扩展。

针对第一代支付系统存在的不足，结合当前及未来一段时期社会经济金融发展对中央银行支付清算服务的新需求，同时考虑支付系统运行的生命周期以及进一步完善支付系统备份系统等实际情况，中国人民银行决定建设第二代支付系统。

有利于更好地满足社会经济金融发展的客观需要；有利于更好地满足银行业金融机构改善经营管理的要求；有利于更好地满足中央银行的履职需要。

1.3:1.4定义1.5参考资料目标概述总体目标立足第一代支付系统的成功经验，引入先进的支付清算管理理念和技术，进一步丰富系统功能，提高清算效率，拓宽服务范围，加强运行监控，完善灾备系统，建设符合人行要求的、适应新兴电子支付发展的、功能更完善、架构更合理、技术更先进、管理更简便的新一代支付系统。

"业务目标立足第一代支付系统的传统支付业务，前瞻性地考虑支付服务现实需求和未来发展，使系统能够支持网上银行、电话银行等各类支付工具的使用，更好地满足社会公众日益多样化的支付需求以及各类支付服务的业务需求。

性能目标系统建设将坚持安全与效率并重，遵守网络安全、系统安全及数据安全各项要求，在满足银行大数量的业务处理需求的同时提高系统运行效率，提升数据安全。

条件与限制总体设计逻辑结构?软件结构运行环境硬件配置软件配置数据和功能分布接口设计用户接口支付平台系统的WEB图形界面控制台使得用户对前置系统的管理和操作更为直观、方便。

而且该层采用J2EE B/S模式，方便升级管理。

界面设计遵循以下原则：1.一级界面上方放置查询条件，中间放置功能按钮，下方放置数据列表；2.—3.二级界面上方放置数据详细信息，下方放置功能按钮；示例如下图：一级界面二级界面本系统包括以下用户接口：功能描述功能分类！功能名称操作员管理基本操作操作员的基本操作，如修改密码、切换操作分行、签退等。

管理维护新建、修改、删除操作员，以及维护操作员的状态，如锁定与解锁、冻结与解冻、失效与恢复等。

权限管理角色的创建与维护，以及操作员授权管理。

操作员的权限包括界面访问权限、操作金额上限、机构数据访问权限等。

查询查询操作员信息，以及操作员操作日志。

系统管理日期管理{维护系统节假日情况。

系统状态管理CPG系统日期、大小额系统日期手工切换，监控系统状态，日终批量处理等黑名单管理黑名单列表管理维护，以及黑名单交易查询等。

?报文发送方式配置、转发规则配置，发送监控，以及发送和外部接口xx所提供的支付平台产品，包含一个接口适配器模块，可通过对接口适配器模块的基本配置，如：通讯协议、双方报文格式和交易流向，则可完成支付平台与外部系统之间的信息交互。

目前已有的外部接口如下：1.!2.核心记账系统记账、冲正、账户查询等接口实现cnaps系统与核心系统的记账、冲正、账户查询、对账、城商行汇票签发以及城商行汇票复核等功能；3.与柜面系统的业务处理接口实现与客户化前台柜面的业务处理功能；4.与贷记卡系统的贷记卡来帐记账、冲正接口实现贷记卡来帐交易的记账、冲正、对账功能。

内部接口目前主要的内部接口为报文转换接口，主要实现将行内系统发送的非二代分行往账交易转发给一代支付系统；接收并处理一代支付系统的一代交易。

`数据结构设计物理结构设计数据结构与程序的关系客户化数据结构与程序关系.xls运行设计运行模块的组合系统根据不同的功能形成各种不同的模块，具体可分为以下几个模块：1.操作员管理模块2.·3.系统管理模块4.交易管理5.大小额支付业务管理6.大小额信息业务管理7.清算账户管理8.公共信息管理9.客户化配置模块10.客户化业务模块—运行控制往帐交易全步骤步骤说明前提步骤备注1数据录入)2录入记账1如果需要记录入帐的话，系统自动发起记账请求3数据复核;2由不同于录入人员的柜员复核4复核记账3如果需要记复核帐的话，系统自动发起记账请求5系统自动组往帐报文发送给人行# 46接受人行处理结果5、6步骤为异步进程所以两步可以同时进行来帐交易（运行时间按程序模块功能和重要性划分程序运行时间，分为随系统的持续性、随进程的持续性、交易触发等。

…出错处理设计出错信息系统可为操作人员定制错误提示信息，根据配置每个操作人员在登录系统时，系统都会将错误信息显示的公告信息栏中。

补救措施如设置后备、性能降级、恢复及再启动等。

1.系统级错误系统运行环境有热备、灾备，如果正式环境崩溃无法运行，其中正式环境的数据库将定时同步到热备环境上，一旦正式环境的系统可实时切换到热备环境上；2.业务级错误@发送人行失败、发送人行人行未应答：可以使用人工干预手动再次发送；发送行内记账系统无应答：系统自动发送状态查询报文，如果还是无应答，则系统在对账时根据对账结果自动处理；安全设计安全总体设计系统安全是整个系统可靠运行和进行安全防范的基石，在统一设计原则下，不同的安全层次，预防、检测和恢复等各个阶段，确保系统的持续稳定运行，防止信息的损坏、泄露或被非法修改，并保证系统平台的安全。

一个完整的安全解决方案应涵盖系统中所有的用户、网络、主机、应用服务器以及应用程序，并建立高效、可靠的安全管理策略。

系统安全级别在技术层面上的网络层次、系统层次和应用层次等各层次上必须实现高稳定性、高可靠性和高可扩展性；并且要结合信息安全具有层次性，动态性、过程性与生命周期性的特点实现高可管理性。

@系统的软硬件有备份并有完备的恢复机制。

对于业务和系统数据有健全的备份机制。

系统须严格对入网资格、操作权限进行控制。

同时还要求具有防止网络入侵和病毒防范的功能。

系统设计考虑对于数据传输有严格的安全措施，确保交易敏感信息在网络传输、信息处理和数据存储过程中不出现明文。

确保文件和交易数据的完整性和来源的确认性第三方信息系统与支付平台系统连接，通讯和数据传输都经过规范的签名和验签，确保交易和文件不可否认。

用户信息的集中管理与用户身份的统一认证。

采用强口令策略，要求复杂口令，并根据口令产生密钥，并定期强制修改，限制对口令密文的访问完整的安全审计日志和方法，对于所有送到支付系统的交易请求，都应记入交易日志。

加密方式和加密算法为了保证在通讯中数据的安全性，在不同机器之间的通讯时，系统采用SSL，3DES等加密措施。

对于加密方式，系统提供开放式接口，可以对加密方式进行方便的替换和变更，以适应银行的具体需要。

密钥管理机制数据安全设计数据库安全设计用户标识和鉴定通过数据库系统的用户账号与口令鉴定用户的身份，这是系统提供的最外层安全保护措施，也是最常用的措施。

存取控制要合理设置数据库对象的授权粒度，认真研究并大力推行角色/权限管理机制，建议使用具有口令保护的角色，通过应用系统级的身份认证连接数据库，通过应用程序进行角色的口令输入、打开角色并激活角色开关，以避免用户绕过应用程序而直接调用SQL语句访问数据库资源。

视图机制为不同用户定义不同的视图，通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据进行保护。

审计建议打开数据库系统的审计功能，以监视不合法行为。

客户密码安全设计操作员密码安全设计加大用户口令的复杂程度，禁止用户不设口令或使用过于简单的口令；设置口令的失效期，以强制用户定期修改口令；必要时可按登录时间、登录机器的IP地址、MAC地址等因素限制用户的访问请求；可设置用户登录多次输入错误密码时锁定该用户。

磁道信息安全设计通讯安全设计数据传输的安全设计为了保证在通讯中数据的安全性，在不同机器之间的通讯时，系统采用SSL，3DES等加密措施。

对于加密方式，系统提供开放式接口，可以对加密方式进行方便的替换和变更，以适应银行的具体需要。

数据传输的完整性设计通过数据传输过程中的不可干预性以及传输过程的持续性来保证数据的完整性。

交易安全设计交易一致性设计同一条交易在入库时采用同一个接口，以此来保证一条记录在多张表中的一致性。

系统抗抵赖性设计CNAPS2使用数字签名保证业务数据的可靠性和防抵赖性。

数字签名由业务发起方编制，CNAPS2-NPC和业务接收方核验。

运行设计数据迁移日常管理备份与恢复数据库采用定期备份机制，一旦数据库出现问题可以保证数据的可恢复性。

维护设计第二代支付系统全部功能投产上线后开始进入维护期，维护期至本项目全部功能投产上线连续正常稳定运行30天起5年，采购人签署《维护服务验收报告》为止。

服务完成后，xx将完整的所提供服务有关的技术资料，包括但不限于：系统维护纪录、系统变更记录、完整的源程序代码等装订成册提交给银行系统管理部门。

xx公司为**银行提供本系统每季度一次的现场巡检服务，进行保养性维护。

xx公司提供的巡检服务内容包括本系统的性能检查、系统保养和日常维护等，要求包括：对应用系统所涉及的硬件性能及使用情况、操作系统相关配置、数据库相关设置及性能的检查；对应用系统的参数配置、应用系统日志、功能及性能情况进行全面检查，评估应用系统运行过程中可能存在的风险，提出合理使用及优化的建议等。

每次巡检完成后，xx公司在5个工作日内向**银行提交《巡检服务报告》，内容包括：巡检人员、巡检日期、巡检内容、系统运行概况、优化调整建议等内容。