ICS 35.240 CCS L 63 DB4403 深 圳 市 地 方 标 准 DB4403/T 128—2020 金融自助终端应用系统技术要求 Technical requirements for financial self-service terminal application system 2020-12-07 发布 深圳市市场监督管理局 2021-01-01 实施 发 布 DB4403/T 128—2020 目 次 前言 ................................................................................ II 引言 ............................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 缩略语 ............................................................................ 1 5 总则 .............................................................................. 2 6 技术架构 .......................................................................... 2 7 应用系统技术要求 .................................................................. 3 7.1 中间件层 ...................................................................... 3 7.2 平台层 ........................................................................ 4 7.3 业务层 ........................................................................ 4 8 应用系统安全性要求 ................................................................ 7 8.1 8.2 8.3 8.4 一般要求 ...................................................................... 设备控制安全 .................................................................. 合法性验证 .................................................................... 密钥安全 ...................................................................... 7 7 7 7 参考文献 ............................................................................. 9 I DB4403/T 128—2020 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由深圳市地方金融监督管理局提出并归口。 本文件起草单位：深圳市金融科技协会、深圳怡化电脑股份有限公司、深圳合众金融设备服务有限 公司。 本文件主要起草人：李绅、贺光容、朱忆军、罗振伟、赵高伦、王庆华、张媛。 II DB4403/T 128—2020 引 言 近年来，随着金融自助设备的飞速增长和金融机构转型创新的不断升级，我国金融自助终端软件的 国产化技术也取得了快速发展，国产化金融自助终端软件系统的市场份额逐渐加大。 当前金融自助终端应用系统产品化存在诸多问题，阻碍了金融机构终端业务快速创新和推广，如： a) 应用系统产品化开发和运维过程复杂、难度大，对开发人员的要求高，需要专业级别的编码人 员； b) 软件更新和版本升级日益加快，导致应用系统代码版本呈几何级数增长，软件升级与运维代码 版本的控制问题难以解决，软件运维代价大； c) 无法平滑过渡到国产操作系统平台，不能满足当前金融软件国产化的发展要求； d) 银行业务数量增加造成平台组件日趋复杂，难以维护，最终导致平台功能退化； e) 不同设备的兼容性问题难以解决。 本文件所规定的应用系统，可基于软件开发平台生成，采用零代码或低代码，以图形化、可视化的 方式，让复杂的应用系统开发简单化，且能控制软件版本数量，方便后期维护。 本文件规定的应用系统，可有效解决当前应用系统产品化存在的问题，提高应用系统的设计质量和 技术水平，节约应用系统的开发设计成本和维护成本，降低应用系统的开发和运维的技术门槛，为金融 自助终端软件的生命周期提供技术保障。 III DB4403/T 128—2020 金融自助终端应用系统技术要求 1 范围 本文件提供了金融自助终端应用系统（以下简称“应用系统”）的总则、技术架构、技术要求及安 全性要求。 本文件适用于金融自助终端应用系统的设计、测试、维护和验收，包括现金交易设备、票据及智能 柜台等非现金设备，其他移动金融自助终端设备可参考使用，如：平板终端（PAD）、销售点终端（POS）、 手机终端等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 18789.1 信息技术 自动柜员机通用规范 第1部分：设备 GB/T 18789.2—2016 信息技术 自动柜员机通用规范 第2部分：安全 GA 1280 自动柜员机安全性要求 JR/T 0002 银行卡自动柜员机（ATM）终端技术规范 JR/T 0120.3 银行卡受理终端安全规范 第3部分：自助终端 3 术语和定义 GB/T 18789.1、JR/T 0002界定的以及下列术语和定义适用于本文件。 3.1 金融自助终端 financial self-service terminal 由用户操作的具有金融业务功能的设备。 3.2 金融自助终端应用系统 financial self-service terminal application system 通过控制管理终端模块、与操作人员人机交互、与业务主机交互协作，完成金融终端业务的应用软 件系统。 4 缩略语 下列缩略语适用于本文件。 HTTP：超文本传输协议（HyperText Transfer Protocol） JSON：JavaScript对象简谱（JavaScript Object Notation） 1 DB4403/T 128—2020 SFTP：安全文件传输协议（Secure File Transfer Protocol） TCP：传输控制协议（Transmission Control Protocol） UDP：用户数据报协议（User Datagram Protocol） XML：可扩展标记语言（Extensible Markup Language） 5 总则 5.1 应用系统的设计应遵循以下原则： a) 安全性原则：系统应保证设备正常工作和信息安全，保障金融机构和用户的财产安全； b) 适应性原则：系统对环境应具有良好的适应性，具有抗干扰、能容错、安全可靠和多渠道灵活 接入的能力； c) 稳定性原则：系统应支持 7×24 小时服务，当设备或网络发生异常时，所有不涉及该设备或网 络操作的业务应不受影响，当设备或网络故障消除时，系统应能自动恢复到正常状态下运行； d) 完整性原则：系统应按序准确完整地执行业务流程的各项功能，出现内部异常或外部干扰时， 应执行规定的异常处理流程； e) 开放性原则：系统应适应业务发展和变化； f) 经济性原则：系统架构和设计应尽可能地降低工程实施和软件运维成本； g) 前瞻性原则：系统设计应充分考虑未来业务发展和管理的变化； h) 可扩展性原则：系统应支持业务和设备的平行扩展。 5.2 应用系统应支持国产操作系统，可在各操作系统之间平滑切换。 5.3 应用系统宜采用平台开发和业务实现分离的设计方案。 5.4 应用系统应支持组件、模板、参数配置等重用和扩展机制。 5.5 应用系统宜实现界面和业务逻辑相分离。 5.6 应用系统应支持对组件的统一管理和调度。 6 技术架构 6.1 应用系统软件架构分为中间件层、平台层和业务层三个层次，各层次描述如下： a) 中间件层：为平台层提供用于业务开发和运行的组件，包括设备功能组件和软件支撑组件； b) 平台层：提供各类金融业务开发和运行环境，包括组件管理、数据管理、流程执行等功能； c) 业务层：根据金融终端业务功能和维护管理需求，为用户提提供设备操作、界面交互和通信交 互等功能，执行业务流程，实现相应的金融终端服务和维护管理服务。 6.2 应用系统、设备驱动与操作系统共同构建成金融自助终端软件架构逻辑模型，参见图 1。 2 DB4403/T 128—2020 外部系统 应用系统 业务层 平台层 中间件层 设备功能组件 软件支撑组件 设备驱动 操作系统 图1 金融自助终端软件架构逻辑模型 6.3 基于实际业务和终端自身需求，前置系统、监控系统等外部系统可通过多渠道方式接入终端应用 系统，共同完成相关业务或服务。 7 应用系统技术要求 7.1 中间件层 7.1.1 一般要求 中间件层包括设备功能组件和软件支撑组件，应满足以下要求： a) 采用跨平台编程语言实