第1页共50页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共50页支付服务业务系统基本信息材料1.公司基本情况1.1填表人基本信息单位名称联系人联系方式传真E-MAIL地址1.2检测申请机构信息机构性质法人机构所在地境内分支机构数量及地点清算账户开户地或开户行知识产权(支付系统)保密级别1.3本次检测项目参与人员名单序号人员名称所属部门职务/职称负责范围联系方法123456第2页共50页第1页共50页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共50页2.网络环境2.1网络拓扑图第3页共50页第2页共50页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共50页第4页共50页第3页共50页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共50页2.2网络拓扑图结构说明如上图所示,整个系统平台由通讯网络、前置代理系统及业务处理系统几个部分组成。系统运行平台如下:操作系统:数据库:中间件:主机服务器:磁盘阵列:Neoceanix1540防火墙:CiscoASA5510,H3CSecPathF1000A网络设备:Cisco3845,各主要部分说明:通讯网络通过2M数字电路与各外联机构系统相连中心机房通过电信10M光线专线宽带连接Internet网,通过10M光纤出口与分支点相连各分支点终端通过电信2MADSL宽带接入Internet网,使之能与中心点相连通为保证营业数据传输的稳定性、持续性、安全性考虑:1、申请其他(非电信)运营商宽带接入一条,作为传输线路的冗余备份;2、采用中国电信e-VPN业务,对业务传输信道进行加密,保证数据的安全性业务处理系统(内部局域网)内部局域网是整个平台系统的核心部分,提供各种应用服务以及内部人员和客户的身份认证,由位于防火墙之内的应用服务器、数据库服务器、数据加密系统等构成。同时在这里可以对内部运维操作等行为进行有效的管理和审计。业务处理系统的总体技术路线:2.2.1采用开放的、多层的分布式体系架构2.2.2采用面向对象和组件化的设计理念2.2.3采用WebService的框架2.2.4基于软件代理的技术第5页共50页第4页共50页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共50页前置代理系统为保证外联终端和公司系统平台之间的连接安全和系统独立性,平台通过公司端的前置服务器完成与外联终端业务系统的连接。作为应用代理,它直接实现对终端的应用支持,即接收来自终端的业务应用请求,依据本地数据库进行业务逻辑处理,并对终端的业务应用请求做出响应。这一功能所支持的是请求/响应方式的应用。同时前置代理还支持向终端发送主动消息,如报告有通知到达等消息。这一功能所支持的是异步消息功能。终端与前置代理以C/S方式运作,因此,终端所支持的所有应用所需的服务及提供这些服务所需要的数据均在前置代理体现,它应能基本独立于内网应用向终端提供服务。因此前置代理上部署着所有的终端应用服务软件。用户认证、权限管理和访问控制也是前置代理需要支持的一项功能。前置代理需要对接入的终端用户的身份进行认证,支持与内网系统一致的授权和访问控制管理,以保证只有合法的用户能进行合法的操作。用户认证、权限管理和访问控制采用PKI(以CA的形式)和PMI机制,访问控制基于RBAC(基于角色的访问控制)模型实现。前置代理还需要对终端应用进行连接和会话(以及事务)管理。前置代理对外所面对的是以VPN方式接入的终端用户,其连接管理和会话管理有其特殊性。在终端接入后,正在进行某个会话以完成某个事务的过程中,若出现连接断开的情形。如果是偶然性短暂断开,则系统能够在再次连接后,保持当前会话,以完成整个事务。如果断开的时间较长,则系统会撤销当前会话,回滚当前事务。另外,前置代理对终端的连接管理中一对多的,为提高系统响应性能,采用线程池技术。应用层加密和数据压缩功能。虽然终端通过VPN方式接入,在底层进行了加密处理,但仍需要应用层考虑加密和签名支持。且要考虑防篡改和防抵赖,所以还需要进行数字签名。另外,在前置代理上需对传输的数据进行压缩处理,以节省流量、费用,充分利用有限的带宽。通信流量统计功能...
