中国银行业监督管理委员会2017年3月发布了《银行业金融机构监管数据标准化规范的通知》，要求所有金融机构加强数据治理，遵循监管数据标准化规范，及时采集数据进行上报，增强金融风险监测识别能力，强化银行保险业金融机构数据治理能力。
        各家金融机构需每月到银保监局现场，将报送数据通过移动硬盘手工导入到银保监局专用数据库中。这种报送方式费时费力，并且存在一定的操作风险与数据安全风险，给各家金融机构带来了不便，也成为监管机构管理上的难题。
如能够建设一个线上的数据采集平台，让各家金融机构能够远程并行报数，则能够很好解决以上问题。
        在此背景下，江苏银保监局经过充分的调研、分析与设计，依据银保监会监管标准化数据标准，研发了高并发监管标准化数据采集系统（以下简称“本系统”），使得各家金融机构能够安全、快速、并行报送数据，降低了监管与被监管机构的协作成本，大大提升了协作效率。
        目前本系统已经顺利投产，采用此系统报送EAST数据的机构数量日益增多，省局领导多次指出，金融数据的安全性问题一定要防患于未然。本系统的安全性问题一直是本系统研发项目组重点攻关的问题，本方案从底层网络、硬件加密、软件层等多方面着手，采用3S安全盾对本系统的安全性进行多层次立体化加固。

        金融机构的机构端部署在连接金融专网的服务器上，监管端（服务端）及交互端部署在局内DMZ区，监管标准化数据库则布内网，两者之间搭建防火墙，保证数据的隐秘性及安全性。

        本系统是基于java开发，封装了数据管理、报送流程、数据标准、金融专网数据传输、金融专网数据加解密、证书登录等核心模块。

底层网络采用金融专网
        硬件加密采用飞天诚信ePass1000ND数字加密证书认证，证书存储在USB-Key中，需要人工按下按钮确认才能触发指定的加密操作，杜绝了恶意程序对证书的指令下发。
        服务器端软件加密算法和机构端硬件加密机制是相互匹配和协调一致的，我们设计了专有的对称秘钥协商机制，对称秘钥的协商基于这三个要素：预先约定的信息、随机信息、证书信息。
        在金融数据安全管控中，一般使用对称加密或者非对称加密来保证数据的机密性。非对称加密秘钥算法强度高，运算耗时长，一般用于对称秘钥的协商。对称加密算法速度快，但是秘钥需要由非对称加密算法来协商生成。
        本项目采用基于非对称加密算法秘钥协商的高速动态加解密算法，既拥有非对称加密算法的保密强度，又拥有对称加密算法的高速特性。
        首先监管端服务器生成各家机构的私钥和公钥，公钥通过线下文件的形式进行安装和设置，监管端也给各家机构分配得到一个机构编号（institutionNumber）以及机构端的登录会话RSA1024位公钥（institutionPKey）、机构端预留机密信息段（institutionSecret）机构端登录口令（institutionPwd），信息段长度为1024bit。
        机构端将当前的时间转换成时间戳（tickNumber），精确到十分钟，时间戳数据类型是32位、有符号的以二进制补码表示的整数，时间戳可以采用自增及重复叠加补齐至某个长度（tickNumber+（tickNumber+1）+（tickNumber+2）……），定义为tickNumber*N
        发起登录之前，先组织机构端登录的一阶段会话（sessionPeriod1），sessionPeriod1=institutionNumber+ institutionSecret⊕（tickNumber*32）+random（32bit）
        运用RSA公钥进行secretPeriod1进行计算，secretPeriod1=RSAByPKey（sessionPeriod1）。调用服务器端接口http://website:8080/wssp/ikl,接口类型：post，传递参数：institutionNumber和secretPeriod1。获取接口返回的数据段secretPeriod2和infoPeriod2,利用客户端公钥对secretPeriod2信息进行解密得到sessionPeriod2，将sessionPeriod2 ⊕institutionPwd + infoPeriod2 ⊕institutionSecret得到sessionPeriod3

        运用RSA公钥进行sessionPeriod3信息的加密，secretPeriod3=RSAByPKey（sessionPeriod3）。
        调用服务器端接口http://website:8080/wssp/ikl,接口类型：post，传递参数：institutionNumber和secretPeriod3。将上述接口返回的class字段的二进制数据作为类动态加载到JVM内存中，调用其中的getKeyEnd方法，传入参数包括institutionNumber 和institutionSecret，返回值为keyEnd(32位)。获取上述接口返回的sKey字段数据，利用institutionPKey进行解密得到keyFront（224位）。将keyFront和keyEnd进行组合，组成AES256位对称秘钥，此对称秘钥可对数据进行AES加密或者速度更快的纯异或加密。
        秘钥的有效时间为：6小时，超过此时间需要重新进行秘钥协商。实测中选择一家农商行的月度数据进行加密，数据量共计10G，加密速度平均达到600MB/s，耗时17秒。

A.报送时序图

B.导入数据时序图

一.系统登录

        输入用户名密码登陆系统,系统登录成功后进入大屏展示页，此页面统计汇总了每期数据的机构报送情况：

二.数据导入

此模块主要对机构上报任务进行管理，查看任务的处理情况。

1.数据导入（DB2）

        在数据导入（DB2）页面可以新增导入DB2数据库的任务，并能对任务进行重报、删除，并查看任务的执行进度，可手动发起对执行任务导入的请求。点击执行导入按钮，进入指定机构的任务导入界面查看详细情况。

2.数据导入（Hive）

        在数据导入（Hive）页面可以新增导入Hive数据库的任务，并能对任务进行重报、删除，并查看任务的执行进度，可手动发起对执行任务导入的请求。点击执行导入按钮，进入指定机构的任务导入界面查看详细情况。

3.理财数据导入

        页面可以对人行分发的理财数据文件进行解压、生成任务并入库。

4.临时任务查看

        此页面可以新增临时任务，并能对任务进行删除，并查看任务的报送进度。

三.数据查询

        此模块用于汇总并查看机构上报的信息

1.日期导入数量查看

       此页面用于查看指定日期下各机构的各个表导入的数据量。

2.机构导入数量查看

       此页面用于查看指定机构下每月各个表导入的数据量。

3.报送情况查询

       此页面用于查看机构报送阶段。

4.报数登记查询

       查看机构报送时的登记的人员信息。

5.盖章文件记录

       查看机构上报的报送清单和检核结果文件，PDF可以在线查看。

6.数据量下载

       按时间统计各机构的数据文件大小。

7.领导信息

       查看机构报备的报数人员信息。

8.机构端版本查询

       查看机构当前的机构端版本。

9.申请事项查询

       查看机构通过机构端提交的申请事项。

10.数据条数查询

       查看Hive库中各表以SJFQ、SJFQ+CJRQ为条件查询的数据量。

四.信息配置

       此模块用于配置任务报送、导入时所需的基本信息。

1.数据借口配置

       此页面用于维护数据文件与数据库表的对应关系。

2.建表语句查询

       此页面用于维护初始化中间库、机构库、汇总库语句的创建信息。

3.FTP参数配置

此页面用于维护FTP信息，以及导入时所需的限制条件。

4.HDFS参数配置

       此页面用于维护HDFS的基础信息。

5.机构信息配置

       此页面用于维护机构基础信息，例如：金融许可证、文件存放地址、报送方式等等信息。

6.机构信息配置（Hive）

        此页面用于配置机构与数据库对应关系，并可对未创建数据库的机构初始化对应的中间库及机构库，可测试数据库的连通情况。

7.汇总库信息配置（Hive）

       此页面用于配置机构与汇总库对应关系，可测试汇总库的连通情况。

8.加密解密配置

       此页面用配置机构对应公钥、私钥信息。

9.节假日配置

       此页面用于维护节假日信息，用于限定机构可登录的时间段。

一.证书登录

       系统支持软证书登录或者飞天诚信ePass1000ND数字加密证书认证登录，支持重要信息非对称加密传输，避免用户身份被盗用。

二.报送参数配置

       系统需要对报送的人员的信息、领导的信息、资产规模以及本地文件的存放路径等进行配置。当机构初次使用本系统时，可以直接填报人员信息，之后人员有修改时需要向系统管理员申请权限，待管理员同意后方可修改。

三.数据报送

       监管标准化数据报送分为两个部分：第一部分用于报送清单、检核结果的上报；第二部分用于EAST数据文件的上报。页面如下图：

       报送清单上报时会读取文件中的一些数据信息入库，例如表中的数据条数等，并展示在页面上（清单值）。
       第二部分展示的是需要上报的任务信息，例如EAST数据的TXT文件存不存在、当前的进度等等。预计导入（行）是指LOG文件中记录的数据量，实际导入（行）是指入库时的导入数据条数，当这两个值不一致时会以蓝色进行醒目标注。
       EAST数据文件上报完成后，可以点击下载日志包，可以用来检查数据文件入库异常的问题，例如字段截断等。

四.临时任务报送

       临时任务报送页面主要用来处理管理员新下发的临时上报EAST数据文件任务，独立于数据报送功能。该页面会显示上报机构要处理的临时任务，上报任务为管理员新增，上报人员无法创建任务。

五.申请事项

       申请事项是机构向管理员提交申请的功能，需要填写事项内容及盖章的电子扫描件，支持在线查看扫描件内容。

服务器数量：1台。
服务器硬件配置：16G内存、2T磁盘、8核心处理器，虚拟机或者物理服务器。
服务器操作系统：Windows 64位。

       苏州银丰睿哲信息科技有限公司提供“监管标准化数据采集系统软件”的安装、部署、测试、技术支持服务。
       公司联系电话：0512-87818837转808。