外币清算系统设计研究

摘要：原有的江苏省外币清算系统均为单机版系统，系统功能和安全性已不能满足近年来业务发展的需要。作者所在的单位将对系统进行升级改造，根据系统需求在子系统划分、软件分层、网络、信息安全等方面进行了设计和研究。

关键词：外币清算；清算系统；设计

1原有系统概况

原有的江苏省外币清算系统包括外币同城清算系统、外币会计核算系统，分别为人民银行南京分行营业管理部、人民银行江苏省各地市中心支行的同城外币票据交换业务、外币会计核算业务提供服务。其中外币同城清算系统是在UCDOS环境下，使用FoxPro开发的单机版系统，已使用十多年，功能单一，无任何安全访问控制；外币会计核算系统是使用PowerBuilder开发的单机版系统，自动化处理能力较低，许多功能需人工干预完成，已不能满足外币清算业务对系统的安全性和风险防范要求的需要。此外，人民银行南京分行营业管理部与人民银行江苏省各地市中心支行之间的外币资金调拨及汇入、汇出业务目前通过人工编核押并传真的方式实现，自动化程度不高，效率比较低下。人民银行南京分行营业管理部与南京地区各外币清算银行、人民银行江苏省各地市中心支行之间的对账目前只能通过纸质对账方式，每月进行一次，实时性和准确性不能得到保障，存在一定的风险。

2系统需求和子系统划分

2.1总体需求

人民银行南京分行营业管理部将对原有的单机版外币同城清算系统和外币会计核算系统进行升级改造，并利用现有网络实现与南京地区各外币清算银行、人民银行江苏省各地市中心支行之间的信息交互，完成同城清算和异地汇划业务的电子化，并实现每日对账。系统还将在数据传输安全性、风险防范以及可靠性方面进一步提升，并具有通用性和可扩展性。

2.2子系统划分

江苏省外币清算系统根据业务需求可划分为余额监控、同城清算、异地汇划、会计核算、对账、单点登录六个子系统。其中同城清算子系统可在南京同城电子清算系统开通外币清算业务即可，其余五个子系统则需要新建。（1）余额监控子系统由于外币清算账户一旦出现透支很难在短时间内补足头寸，余额监控子系统在系统每日初始化时自动获取南京地区各外币清算银行、人民银行江苏省各地市中心支行的清算账户余额，并向同城清算、异地汇划、会计核算三个子系统提供清算账户余额查询、冻结、更新等管理功能，以保证清算账户不透支。（2）同城清算子系统同城清算子系统负责南京地区各外币清算银行之间的资金汇划，人民银行南京分行营业管理部根据清算差额在会计核算子系统中进行记账。可在南京同城电子清算系统中开通外币清算业务，不需要新建。（3）异地汇划子系统异地汇划子系统负责人民银行南京分行营业管理部与人民银行江苏省各地市中心支行之间的资金汇划。人民银行江苏省各地市中心支行汇往省外或境外的资金，必须先通过异地汇划子系统将资金汇划到人民银行南京分行营业管理部，由人民银行南京分行营业管理部负责汇往省外或境外。异地汇划子系统主要提供异地资金汇划的往账、来账处理功能。发起往账业务时系统自动生成数字证书，收到来账业务时系统自动核验数字证书。（4）会计核算子系统会计核算子系统主要提供日间业务记账、当日业务注销、隔日业务冲正、账务补记、报表打印、计息处理、月终年终处理等功能。（5）对账子系统对账子系统向南京地区各外币清算银行、人民银行江苏省各地市中心支行提供网上对账、回单打印以及历史交易信息查询等功能。对账数据以人民银行南京分行营业管理部为准。如有不符，各单位找出不符的原因，确认后调整各自的账务或登记余额调节表。（6）单点登录子系统通过单点登录子系统对其他相关业务子系统的用户进行统一管理和授权，同时采用数字证书和UKEY进行双重身份验证，以简化用户管理工作，从而大幅度降低操作风险。

3系统设计

3.1软件分层

系统基于MVC体系进行总体设计，并在每一层依据本系统的特点进行扩展和优化。各层的具体分工如下：安全控制层：主要实现系统登录认证的安全处理，通过前端的安全认证，确保进入系统的访问均是安全可靠的。表示层：主要负责将系统的数据以友好的方式展现给操作用户，为用户提供方便交互的系统使用界面。控制层：用户的各类交易请求通过表示层进入控制层，控制层分发客户请求，再根据客户的不同交易类型调用不同的业务组件，最后根据交易结果动态生成页面返回给用户。控制层还负责读取系统的状态信息，实时检测系统运行状态。业务处理层：主要负责系统业务逻辑数据的处理，完成业务流程所实现的功能，并将处理输出的数据传递给数据层，归档到数据库。其中的通信服务层主要负责不同子系统之间的信息交互。数据层：数据处理层是系统业务处理结果的持久化，负责与数据库进行交互通信，实现系统内所有业务数据的维护工作。

3.2网络

江苏省外币清算系统对外的网络连接包含两个部分：一是人民银行南京分行营业管理部与南京地区各外币清算银行之间的网络连接，可使用南京金融同城网；二是人民银行南京分行营业管理部与人民银行江苏省各地市中心支行之间的网络连接，可使用人民银行内网。

3.3信息安全

江苏省外币清算系统涉及大金额的外币资金，因此信息安全是本项目的重点，应采取多种手段进行全面控制。

（1）系统安全

可在虚拟化集群中为每个子系统建立虚拟机，利用虚拟化集群实现系统的高可用性。子系统之间使用CFCA的数字证书进行身份认证。

（2）网络安全

人民银行南京分行营业管理部与南京地区各外币清算银行之间通过南京金融同城网进行连接，同城清算、对账子系统的前台应用放在防火墙DMZ区供各银行访问，同城清算、对账子系统的后台数据库放在防火墙IN区仅供对应的前台应用访问。应在防火墙上设置IP地址、端口级别的相关访问控制规则，数据加密和身份认证可通过通信中间件以及密押机进行实现。人民银行南京分行营业管理部与人民银行江苏省各地市中心支行之间通过人民银行内网进行连接，异地汇划、会计核算、对账子系统开放给人民银行江苏省各地市中心支行访问。应在交换机上设置VLAN及访问控制规则，使用CFCA的数字证书进行数据加密与身份认证。

（3）PC客户端安全

人民银行南京分行营业管理部和人民银行江苏省各地市中心支行均设有接入人民银行内网的PC客户端，所有PC客户端均安装防病毒、漏洞扫描等安全软件。操作员访问系统时，要求在PC客户端上安装浏览器数字证书，同时插入个人UKEY后方可登录系统，可大幅度降低非法访问的风险。

作者:邱明明 单位:中国人民银行南京分行营业管理部