1、28 中华人民共和国邮政行业标准邮政金融计算机网络系统工程设计规范(储蓄部分)YZIT 0115-2005 条文说明2005年北京编制说明邮政金融计算机网络系统工程设计规范(储蓄部分)是根据国家邮政局国邮(2创)4)271号文关于下达国家邮政局24年第一批新技术开发项目计划(邮政标准类)的通知)(本项目计划编号为B2422).对原邮电部于1997年9月发布的邮政金融计算机网络系统工程设计暂行规定)(YD5042-97)的修订。随着邮政储蓄业务的发展以及计算机和通信技术的不断进步,原设计暂行规定已不能指导目前邮政储蓄计算机网络工程的设计。本规范是在参阅了大量的邮政储蓄网络的技术方案、工程设计,总
2、结了多年来邮政储蓄计算机网络的建设经验,结合目前技术进步情况编制的。本规范主要对邮政金融计算机网络系统(储蓄部分)的工程设计进行规范,包括邮政金融计算机网络系统的总体要求、系统建设方案、主机设备配置原则及标准等。主要适用于邮政金融计算机网络系统(储蓄部分)的方案规划、可行性研究及工程设计。中讯邮电咨询设计院于2仅如4年8月中旬接到任务后,立即组成项目组,根据国家邮政局业务主管部门对项目编写范围、深度、格式及时间进度的要求,明确了该规范的范围为:根据全国邮政金融计算机网技术体制和邮政金融计算机网络系统储蓄应用软件统一版本工作技术方案机制定出邮政金融计算机系统(储蓄部分)的设计规范,设计规范包括邮
3、政金融计算机网(储蓄部分)的总体建设方案、网络结构、省中心(全国中心)、汇接点、网点的设备配置及相关技术要求。项目组随后开始收集资料,并对河南、广东等省份的邮政储蓄计算机系统统一版本工程建设情况进行现场调研。至8月底前,项目组多次与国家邮政局、统一版本建设的省局、系统开发商及本项目的归口单位国家邮政局科学研究规划院等就本项目的相关工程技29 术问题进行了交流,得到了上述部门与单位的多方协助,在此基础上,项目组初步完成了文本编制工作,经内部讨论和审核后进一步修改完善,最后形成了本规范的征求意见稿。根据邮政行业标准管理办法的要求,中讯邮电咨询设计院项目组将向国家邮政局计划财务部(科技处、计划处、工
4、程管理处)、信息技术局、科学研究规划院邮政标准化技术归口办公室和拥南、广东、江苏省邮政局以及北京市邮政管理局等单位寄送了征求意见稿。24年12月,国家邮政局和各省邮政局对本规范的意见陆续返回,项目组根据意见对设计规范进行了修改,最终形成邮政金融计算机网格系统工程设计规范)(储蓄部分)的报批稿。本规范与原规范相比修改和增加的内容较多,无法按原规范条文顺序和内容进行解棒和说明,现就修订后内容按新条文顺序作如下说明。30 1 总则1.0.7 在邮政储蓄网的建设中,网络结构、软件设计和数据库设计是以省数据集中的模式进行设计,但应考虑多省集中的模式,为数据大集中奠定基础。目前,邮政金融计算机网(储蓄部分
5、)是以省集中模式建设,但国内外的建设情况表明,金融网的建设最终都是数据大集中的模式,因此邮政金融计算机网在规划、设计时应考虑到以后数据大集中的模式。31 3 系统方案3.3 系统通倍3.3.3 通信带宽测算应按下列方式确定:1 通信带宽的测算主要是计算省中心对汇接点之间的带宽,省中心对全国中心的广域通信主要采用综合网广域网,通信带宽一般采用2Mbitls。2 根据日均交易量计算将依据以下条件:对于省中心业务系统而言,一笔交易由交易请求包和交易响应包两个交易包组成。其中,上传包(交易请求包)一般小于lkbyte;下传包(交易响应包)中,50%小于lkbyle,一般是普通账务类的交易;30%介于l
6、kbyte-1.5kbyte之间,一般是单笔管理交易或普通查询交易;20%大于1.5kbyte,一般为多笔查询、打印类交易,如明细查询、流水查询,或者是报表、批量文件类的交易。综合考虑每日交易发生的频度及峰值情况,取数据包的大小为(l+ 1.5) Kbyte。3 计算事后监督系统所占带宽将依据以下条件:1 )假设全天交易量花6h完成;2)对于事后监督系统而言,一笔交易由2个数据包组成,其中,上传数据包小于lkbyte,下传数据包取其均值为1.5kbyte,即(lk+ 1.5k) byte。32 5 安全保密5.0.3 为确保邮政储蓄计算机网络系统的网络访问安全,系统需要采用的安全手段主要有访问
7、控制(含VLAN)、防火墙、线路备份、人侵检测及安全审计等。1 访问控制:用于对邮政储蓄计算机网络系统资源的访问,防止未经授权而利用网络访问系统资源,利用已得到鉴别的身份或利用有关的信息,按事先确定的规则实施访问权的控制。2 防火墙:一组计算机硬件和软,件的结合体,在外部网与邮政储蓄计算机网络系统之间建立起一个安全网关,从而保护内部系统免受非法用户的侵害,同时具有IP地址转换功能,以便对外有效屏蔽网络内部IP地址,提高网络的安全性。3 入侵检测:在网络安全管理中,除使用一般的网管软件和系统监控管理软件外,还应使用网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、
8、报警和阻断,从而防止针对网络的攻击与犯罪行为。4 安全审计:在邮政储蓄计算机网络系统中,需设置对信息包及信息包内容监管的系统和设备,用以探测信息包的异常来源和去向,对信息包的内容进行检查。5.0.5 数据安全主要包括数据加密和数据存放、备份等方面。3 密钥的管理:邮政储蓄全国中心与各省中心的密钥分为三层,第一层为主密钥,第二层为次主密钥,第三层为数据密钥。其中数据密钥主要用于对数据进行加密和解密,它受次主密钥的保护,而次主密钥受主密钥的保护。数据密钥有MAC密钥、敏感数据密钥和关键数据密钥等。1 )全国中心的密钥管理:全国中心主密钥由全国中心负责产生、保存和载入。全国中心到各省中心的次主密钥在
9、全国中心产生,并由全国中心向各省中心分发。全国中心负责与其直接相连接的省中心间的数据密钥的产生和分发。全国中心将根据需要定期或不定期地向省中心发送重置数据密钥的交易,并传送所产生的密钥;也可根据省中心发来的申请重置数据密钥的请求产生新密钥,并分发给省中心。2)省中心的密钥管理z省中心的主密钥在各省中心产生,次主密钥由全国中心分发。省中心负责与其相连接的地市、市县局和网点的数据密钥的产生和分发。省中心将根据需要定期或不定期地向地市、市县局和网点发送重量数据密钥的消息,并传送所产生的密钥。34 6 设备配置及技术要求6.2 设备配置6.2.1 处理中心核心业务主机配置应符合下列要求:3 主机处理能
10、力(TPMC)按下列公式计算:mj一一预测近期年的日均交易量,日均交易量应包括核心业务的账户业务和非账户业务、中间业务以及不成功的请求。K1一一平均交易复杂度,取值为8-10,根据各地的实际情况可做适度调整。6.2.4 处理中心存储系统的配置应符合下列要求。5 核心业务所需的磁盘容量按下列公式计算:S,一一数据库应用表空间(含分户账、客户资料、交易日志), 单位为千兆字节,计算方法为:(储户数xlK+储户数xO.8x1K+日均交易量对Kx保存天数x1.2)x 1.5/(1024xlO24 ) 其中1.5表示除数据表空间外,还需索引等空间,故乘1.5的系数。6.2.12 网点服务器可以放置在网点
11、,也可放置在地县汇接点,根据各省的具体情况而定。对于网点服务器一般建议采用PC服务器。6.3 设备技术要求6.3.3 处理中心存储设备技术指标应符合下列要求。存储设备:在全国中心或省中心配置的应采用SAN存储区域网,光纤交换机应配置2台,连接磁盘阵列。核心业务系统、事后监督系统、信息管理系统、代理保险系统、电子汇兑系统(7个一级中心局所在的城市除外)共用SAN存储系统。35 中华人民共和国邮政行业标准邮政金融计算机网络系统工程设计规范储曹部分YZr 0115-2005 * 人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:1(削61电话:68372878 煤炭工业出版社印刷厂印刷版权所有不得翻印* 开本:850x1168 1/32 印张;1.5 2005年8月第1版组lO5年8月北京自1次印刷j字数:32千字ISBN 7-115斗104/05-78定价:15元本书如有印装质量问题,请与本社联系电话:(010)臼372878
