银行第二代支付系统概要设计说明书x

引言

编写目的

说明对程序系统的设计考虑， 包括程序系统的基本处理流程， 程序系统的组织结构、 模块划分、功能分配、接口设计、运行设计、数据结构设计和安全性设计等，为程序的详细设

计奠定基础，并使系统参与者对系统有基本的了解。

项目背景

第一代支付系统作为我国资金运动的大动脉， 对加快社会资金周转、 提高支付清算效率、畅通货币政策传导、 促进国民经济健康发展发挥着重要作用。 但随着我国社会经济快速发展， 金融改革继续深入，金融市场日益完善，支付方式不断创新，对中央银行的支付清算

服务提出了许多新的、 更高的要求。

　作为支付体系的核心和枢纽， 中央银行的支付系统能否支持和满足这些需求， 将直接影响支付体系的整体运行效率， 进而影响经济金融的平稳健康发展。

第一代支付系统存在的不足： （ 1）不能满足银行业金融机构灵活接入的需求； （ 2）流动性风险管理尚待进一步完善； （ 3）应对突发事件的能力需要加强； （ 4）业务功能及服务对象有待进一步拓展； （ 5）运行监控范围及功能有待进一步扩展。

针对第一代支付系统存在的不足， 结合当前及未来一段时期社会经济金融发展对中央银 行支付清算服务的新需求， 同时考虑支付系统运行的生命周期以及进一步完善支付系统备份 系统等实际情况， 中国人民银行决定建设第二代支付系统。 有利于更好地满足社会经济金融

发展的客观需要； 有利于更好地满足银行业金融机构改善经营管理的要求； 有利于更好地满足中央银行的履职需要。

定义

1.2.

1.

2.

3.

4.

目标概述总体目标

立足第一代支付系统的成功经验， 引入先进的支付清算管理理念和技术， 进一步丰富系

统功能，提高清算效率，拓宽服务范围，加强运行监控，完善灾备系统，建设符合人行要求的、适应新兴电子支付发展的、功能更完善、架构更合理、技术更先进、管理更简便的新一代支付系统。

业务目标

立足第一代支付系统的传统支付业务，前瞻性地考虑支付服务现实需求和未来发展，使

系统能够支持网上银行、 电话银行等各类支付工具的使用， 更好地满足社会公众日益多样化的支付需求以及各类支付服务的业务需求。

性能目标

系统建设将坚持安全与效率并重，遵守网络安全、系统安全及数据安全各项要求，在满足银行大数量的业务处理需求的同时提高系统运行效率，提升数据安全。

条件与限制

总体设计

逻辑结构

物理结构

物理结构

行内系统

柜面系统

支付系统

HVPS

贷记卡系统

BEPS

MBFE

客户化部分

人民银行

CCPC

核心业务系统

系统监控

平台管理

其它行内系统

软件结构

客户化部分

大小额业务处理



WE展B 示

MQ MQ



p t

http h

产品部分

导入数据库 读取数据库



前台通讯

人行报文解析 往帐报文打包



定时轮询机制

MQ

前台传入格式转换



前台传出格式转换

接收人行报文



发送人行

MQ MQ

MBFE

运行环境

硬件配置

硬件类型 品牌 / 型号 / 配置 用途 数量

用于部署应用、

应用服务器 IBM 小型机

MQ、数据库及应 2

用

统一支付平台使

数 字签 名 服 务器

复用网上支付跨行清算系统的签名服务器。



用，负责对二代

2

报文进行数字签名和核签。

统一支付平台在

密押服务器 复用原有的一代支付系统密押服务器

人行过渡期内使

2

用，负责对一代报文的核押。

二 代支 付 前 置 SUSE操作系统 2

软件名称

说明

数量

备注

操作系统

IBM AIX

4CPU

小型机服务器自带

数据库

Oracle 11g

4CPU

两台数据库生产机。

通讯中间件

WebSphere MQ For AIX

4CPU

通讯中间件，安装在对外通讯服

WEB中间件

Weblogic 10

4CPU

务器，与人行通讯。

WEB中间件，安装在应用服务器。

机 PMTS软件配置

机 PMTS

软件配置

用户接口

支付平台系统的 WEB图形界面控制台使得用户对前置系统的管理和操作更为直观、 方便。

　而且该层采用 J2EE B/S 模式，方便升级管理。界面设计遵循以下原则：

一级界面上方放置查询条件，中间放置功能按钮，下方放置数据列表；

二级界面上方放置数据详细信息，下方放置功能按钮； 示例如下图：

一级界面

二级界面

本系统包括以下用户接口：

功能分类

功能名称

功能描述

操作员管理

基本操作

操作员的基本操作，如修改密码、切换操作分行、签退等。

管理维护

新建、修改、删除操作员，以及维护操作员的状态，如锁定

与解锁、冻结与解冻、失效与恢复等。

权限管理

角色的创建与维护， 以及操作员授权管理。 操作员的权限包

括界面访问权限、操作金额上限、机构数据访问权限等。

系统管理

查询

日期管理

查询操作员信息，以及操作员操作日志。

维护系统节假日情况。

系统状态管理

CPG系统日期、大小额系统日期手工切换，监控系统状态，

日终批量处理等

黑名单管理

黑名单列表管理维护，以及黑名单交易查询等。

报文管理

报文发送方式配置、 转发规则配置， 发送监控， 以及发送和

接收异常处理等

参数维护

提供系统参数维护等相关功能

大小额业务

基本支付业务

包括普通贷记业务 （客户发起汇兑业务和金融机构发起汇兑

业务）、普通借记业务、定期贷记业务、定期借记业务、实

时贷记业务、 实时借记业务的录入、 复核、修改和审核功能。

对不能自动处理的来账业务提供修改队列， 支持操作员修改后入账。

操作员输入交易关键要素，如业务类型、优先级、金额等，

系统根据费用高低、时效性等自动判断并推荐最优支付渠道。

交易提交时系统自动进行相关业务检查， 如黑名单、 金额上限、业务发起权限等，若检查不通过，则立即提示。

即时转账业务 接收各种即时转账业务报文， 进行账务处理。

　并提供即时转账业务查询功能。

PVP计算业务 提供 PVP结算申请的录入、审核和查询功能。

银行汇票业务 支持城商行银行汇票业务，如汇票签发管理、兑付管理、 退回申请、资金结算状态查询等。

功能分类 功能名称 功能描述

对账管理 提供大额日终汇总对账和明细对账功能， 同时支持对账报文补发及预对账功能。

代收代付业务 与集中代收代付中心相关的业务，包括代收代付合同管理，

批量代收代付业务和实时代收代付业务， 批量客户账户信息查询、主动缴款、发票打印及相关查询功能。

小额票据业务 支持通过小额完成小额本票、 银行汇票等兑付业务， 包括票交回执业务、 银行本票管理、 小额本票兑付、 银行汇票管理、银行汇票兑付、支票圈存业务，以及相关查询功能。

清算账户管理

净借记限额管理

净借记限额查询，以及净借记限额圈存资金调整申请功能。

清算账户管理 清算账户维护以及相关查询功能。

资金池 / 自动拆借

清算账户资金池管理、自动拆借协议管理及相关查询功能。

排队管理 包括轧差排队和清算排队管理及相关查询功能。

风险与监控管理

净借记限额和清算账户余额预警值设置，及预警通知查询。

公共控制 信息报文 自由格式报文、查询查复报文、撤销、退回、止付、冲正等

信息报文处理功能。

管理类 登录登出、权限变更等业务管理类报文

参与者管理 包括参与者智能查询、信息维护、证书管理等功能。

查询 CNAPS业务查询

查询 CNAPS支付业务明细，分为汇总查询和明细查询。

待处理业务查询

查询当日未结束业务。

报表 业务明细报表 当日 CNAPS业务明细清单。

外部接口

xx 所提供的支付平台产品，包含一个接口适配器模块，可通过对接口适配器模块的基本配

置，如：通讯协议、双方报文格式和交易流向， 则可完成支付平台与外部系统之间的信息交互。目前已有的外部接口如下：

核心记账系统记账、冲正、账户查询等接口

实现 cnaps 系统与核心系统的记账、冲正、账户查询、 对账、 城商行汇票签发以及城商行汇票复核等功能；

与柜面系统的业务处理接口

实现与客户化前台柜面的业务处理功能；

与贷记卡系统的贷记卡来帐记账、冲正接口

实现贷记卡来帐交易的记账、冲正、对账功能。

内部接口

目前主要的内部接口为报文转换接口， 主要实现将行内系统发送的非二代分行往账交易转发给一代支付系统；接收并处理一代支付系统的一代交易。

数据结构设计物理结构设计

数据结构与程序的关系

客户化数据结构与程序关系.xls

运行设计

运行模块的组合

系统根据不同的功能形成各种不同的模块，具体可分为以下几个模块：

操作员管理模块

系统管理模块

交易管理

大小额支付业务管理

大小额信息业务管理

清算账户管理

公共信息管理

客户化配置模块

客户化业务模块

运行控制

全步骤步骤说明

全步骤

步骤说明

前提步骤

备注

1

数据录入

2

录入记账

1

如 果 需 要 记 录 入 帐 的

话，系统自动发起记账

请求

3

数据复核

2

由不同于录入人员的柜

员复核

4

复核记账

3

如 果 需 要 记 复 核 帐 的

话，系统自动发起记账

请求

5

系统自动组往帐

4

报文发送给人行

6

接受人行处理结

5、6 步骤为异步进程所

果

以两步可以同时进行

来帐交易

全步骤

步骤说明

前提步骤

备注

1

接收人行报文

2

解析报文并入库

1

3

系统自动处理来

帐报文

2

4

前台手工处理来

帐交易

3

如果该笔来帐不能自动

处理，则需要前台手工

干预

5

生成回执文件发

送人行

3、4

如 果 该 笔 来 帐 需 要 回

执，则系统根据处理结

果自动生成回执并发送

给人行

序号

模块名称

运行时间

备注

1

数据维护模块（操作员管理模

块、系统管理模块、客户化配置

交易触发

2

模块、交易管理）

与人行报文处理模块

随进程持续性

3

与核心系统的交互模块

随进程持续性

4

与柜面系统的交互模块

交易触发

运行时间按程序模块功能和重要性划分程序运行时间，

运行时间

按程序模块功能和重要性划分程序运行时间，

分为随系统的持续性、 随进程的持续性、 交易

触发等。

系统可为操作人员定制错误提示信息， 根据配置每个操作人员在登录系统时， 系统都会将错

误信息显示的公告信息栏中。

补救措施

如设置后备、性能降级、恢复及再启动等。

系统级错误

系统运行环境有热备、灾备，如果正式环境崩溃无法运行，其中正式环境的数据库将定时同步到热备环境上，一旦正式环境的系统可实时切换到热备环境上；

业务级错误

发送人行失败、发送人行人行未应答：可以使用人工干预手动再次发送；

发送行内记账系统无应答： 系统自动发送状态查询报文， 如果还是无应答， 则系统在对账时根据对账结果自动处理；

安全设计

安全总体设计

系统安全是整个系统可靠运行和进行安全防范的基石， 在统一设计原则下， 不同的安全层次， 预防、 检测和恢复等各个阶段， 确保系统的持续稳定运行，防止信息的损坏、泄露或被非法

修改，并保证系统平台的安全。一个完整的安全解决方案应涵盖系统中所有的用户、网络、

主机、应用服务器以及应用程序，并建立高效、可靠的安全管理策略。

系统安全级别

在技术层面上的网络层次、系统层次和应用层次等各层次上必须实现高稳定性、高可靠性和高可扩展性；并且要结合信息安全具有层次性，动态性、过程性与生命周期性的特点实现高可管理性。

系统的软硬件有备份并有完备的恢复机制。对于业务和系统数据有健全的备份机制。

系统须严格对入网资格、操作权限进行控制。同时还要求具有防止网络入侵和病毒防范的功能。

系统设计考虑对于数据传输有严格的安全措施，确保交易敏感信息在网络传输、信息处理和数据存储过程中不出现明文。确保文件和交易数据的完整性和来源的

确认性

第三方信息系统与支付平台系统连接， 通讯和数据传输都经过规范的签名和验签， 确保交易和文件不可否认。

用户信息的集中管理与用户身份的统一认证。

采用强口令策略，要求复杂口令，并根据口令产生密钥，并定期强制修改，限制对口令密文的访问

完整的安全审计日志和方法，对于所有送到支付系统的交易请求，都应记入交易日志。

加密方式和加密算法

为了保证在通讯中数据的安全性， 在不同机器之间的通讯时， 系统采用 SSL，3DES等加密措施。对于加密方式， 系统提供开放式接口，可以对加密方式进行方便的替换和变更，以适应

银行的具体需要。

密钥管理机制 数据安全设计 数据库安全设计

用户标识和鉴定

通过数据库系统的用户账号与口令鉴定用户的身份， 这是系统提供的最外层安全保护措施，也是最常用的措施。

存取控制

要合理设置数据库对象的授权粒度，认真研究并大力推行角色 / 权限管理机制，建议使用具有口令保护的角色， 通过应用系统级的身份认证连接数据库， 通过应用程序进行角色的口令输入、 打开角色并激活角色开关， 以避免用户绕过应用程序而直 接调用 SQL语句访问数据库资源。

视图机制

为不同用户定义不同的视图， 通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据进行保护。

审计

建议打开数据库系统的审计功能，以监视不合法行为。

客户密码安全设计 操作员密码安全设计

加大用户口令的复杂程度，禁止用户不设口令或使用过于简单的口令； 设置口令的失效期，以强制用户定期修改口令；

必要时可按登录时间、 登录机器的 IP 地址、MAC地址等因素限制用户的访问请求； 可设置用户登录多次输入错误密码时锁定该用户。

磁道信息安全设计通讯安全设计

数据传输的安全设计

为了保证在通讯中数据的安全性， 在不同机器之间的通讯时， 系统采用 SSL，3DES等加密措施。对于加密方式， 系统提供开放式接口，可以对加密方式进行方便的替换和变更，以适应

银行的具体需要。

数据传输的完整性设计

通过数据传输过程中的不可干预性以及传输过程的持续性来保证数据的完整性。

交易安全设计 交易一致性设计

同一条交易在入库时采用同一个接口，以此来保证一条记录在多张表中的一致性。

系统抗抵赖性设计

CNAPS2使用数字签名保证业务数据的可靠性和防抵赖性。数字签名由业务发起方编制， CNAPS2-NPC和业务接收方核验。

运行设计

数据迁移 日常管理 备份与恢复

数据库采用定期备份机制，一旦数据库出现问题可以保证数据的可恢复性。

维护设计

第二代支付系统全部功能投产上线后开始进入维护期， 维护期至本项目全部功能投产上线连续正常稳定运行 30 天起 5 年，采购人签署《维护服务验收报告》为止。服务完成后， xx 将完整的所提供服务有关的技术资料，包括但不限于：系统维护纪录、系统变更记录、

完整的源程序代码等装订成册提交给银行系统管理部门。

xx 公司为 ** 银行提供本系统 每季度一次 的现场巡检服务，进行保养性维护。 xx 公司提供的巡检服务内容包括本系统的性能检查、系统保养和日常维护等，要求包括：

对应用系统所涉及的硬件性能及使用情况、操作系统相关配置、数据库相关设置及性能的检查；

对应用系统的参数配置、应用系统日志、功能及性能情况进行全面检查，评估应用系统运行过程中可能存在的风险，提出合理使用及优化的建议等。

每次巡检完成后， xx 公司在 5 个工作日内向 ** 银行提交《巡检服务报告》 ，内容包括： 巡检人员、巡检日期、巡检内容、系统运行概况、优化调整建议等内容。

推荐访问:说明书 概要 说明书 支付系统 银行第二代支付系统概要设计说明书x