一、方案背景

为贯彻落实党中央、国务院有关决策部署，从2011年开始，财政部在政府融资和债务管理方面先后建成“地方政府性债务管理系统（以下简称地债系统）” 和“隐性债务监测系统”，以支撑地方政府债务管理和监测；2019年为满足地方政府债务风险防化的业务要求，在债务及融资管理系统的统一规划下，陆续组织开发“中央政府债务管理系统”、“全国政府债预警分析中心”利用“3+1”的三位一体化系统和智能化的运维服务体系来解决政府融资、债务管理、风险防控等多方面要求并根据实际政策的需要对系统建设不断细化和改进。

最高检12309中国检察网是向社会公众提供“一站式”综合性服务的互联网平台,结合债务风险防化的管理现状，总结以下几点启示。

一是“外网受理、内网办理、外网答复”的工作思路。

为建立起全口径的债务管理监测平台，目前围绕风险防化的应用既有外网也有内网，尤其为了便于广大债务单位和债权单位登录使用，越来越多应用入口也都在互联网上，监测平台在最初的规划和设计是也确定了“外网填报、内网甄别”的总体架构，基于12309工作思路启示，债务及融资类系统在充分考虑安全方案的前提下，可以考虑加入“外网反馈”环节，进一步优化内外网应用的业务流和数据流。

二是通过系统集成方式统一对外服务入口。

最高检全面整合检察机关现有的对外服务窗口,通过系统集成设计的方式对不同功能进行集中展示,并新建、升级部分检察服务功能,统一的检察服务入口可以为人民群众提供更加便捷、更加直观、更加全面的检察服务。债务及融资类系统因为多方面原因，相关子系统短时间内难以完全部署在一起，但一些用户确实需要登录访问两个以上的系统，比如部分债务单位既要登录地债系统也要登录监测平台，基于最高检的启示，站在方便债务单位的角度，是否可以在保留业务应用独立性的同时，通过系统集成的方式，采用实名制认证等方式，将常用功能进行集成，为债务单位提供统一服务入口。

三是主动运用互联网、大数据、人工智能等科学技术。

最高检提出构建“网上检察院、掌上检察院、实体检察院” 三位一体的新模式，重视移动端掌上应用，在监测平台二期的规划中，在确保安全的前提下也在尝试，允许债务单位通过手机端实现无债务申报，通过12309的启示，债务及融资类应用在移动端的步伐可迈大一些，将高频的业务应用逐步搬到移动端，在互联网舆情、智能风险预警等应用上可更加主动探索和应用新技术。

二、方案遵循原则

地债系统和监测平台上线以来，经过多轮优化升级，初步建成贯穿研发、运维和服务的全国大集中在线运营服务体系，随着融资平台公司债务监测要求的不断深化，债务风险防化软件可持续发展更加重要,在扩展架构和升级功能之前需要针对关键方案进行评估，方案要遵循以下原则。

1．总体架构简约原则

在债务及融资类系统改造升级的过程中，因为业务的需要，系统复杂度在持续上升，具体体现在内外网数据上报一致性、支出事项剔除债务余额计算等。

为确保系统核心逻辑在可控范围内，需要坚持架构设计简约，有效控制系统复杂度。在架构扩展方面，尽可能不采用叠加规则方式，而是采用扩展组件模式，保持核心逻辑的稳定性和一致性，比如为了实现债务数据修正需求，不能破坏现有的债务结构和债务余额计算逻辑；在功能升级方面，尽可能不要改动原有的功能来兼容，而是通过新开发功能来实现特殊业务，比如剔除债务数据补认定功能单独开发，避免影响按月债务认定功能。

2．在线平滑升级原则

隐性债务管理系统目前已有70多万用户，地债系统目前已有10多万用户，即使是低峰期每天都有几千人登录操作，所有功能设计开发过程中就需要考虑功能启用的平滑性，既不能要求长时间停机维护，也不能因为功能升级导致大量业务操作不能顺利进行。

为确保升级的平滑,需要采用多种模式保障,一是降低新功能之间的耦合程度，尽可能保证升级模块的独立性，支持新升级模块的分批上线和意外情况的下线，比如代码中心校核接口模块的独立上线；二是支持功能先试点后推广的模式，通过数据层面的标志位，支持分区域开放功能使用，比如债权人确认模块的分批启动；三是允许后台统一干预业务规则校验的松紧度，为试点工作推动和后台运维留有灵活的空间，尽可能将超长的业务流程按照业务特点切分成通过数据衔接的小流程,比如金融机构在线数据校核，能够将数据及时推送到债权人。

3．安全可控原则

每周来源于互联网有记录的应用攻击都有几万次，随着债务数据共享和债务信息公开工作的推进，按照规划将有金融机构、社会公众等政府以外用户需要登录，软件面临的安全环境更加复杂，在新功能设计和开发层面坚守安全底线。在安全功能设计方面，架构上要内外有别，针对部门共享相关功能和接口，逻辑上设计专门的数据交换区，部署上启用专门的前置交换服务器，确保部门共享相关功能即使出现问题也限定在交换功能范围内；在安全功能开发层面，继续贯彻分层安全校验理念，在后端服务入口、用户分类鉴别、数据权限限定等关键点上设置多道安全防护墙。

4．性能达标原则

债务及融资类系统在上线之初，性能一直是高并发场景下系统可用性重要因素，要求一般的业务操作响应时间不能超过1秒，复杂的查询操作不能超过3秒，需要通过具体措施来保障，一是业务功能尽可能简化，只做简单的数据表插入、删除操作和简单的加总运算，复杂的逻辑计算和统计查询都通过异步存储过程或SQL语句来实现，这样即使出现问题，数据库层面留有优化的空间；二是空间换时间，针对复杂的查询计算，必要时通过数据库存储上的冗余，减少查询功能占用数据库的CPU资源；三是SQL语句测试和检测，新功能上线前测试SQL语句的性能，频繁操作的业务类SQL语句原则上不能超过0.01秒，操作频率比较低的复杂功能不能超过0.5秒。

新功能上线过程中跟踪SQL语句执行时间，设定预警的阀值，针对可能导致数据库性能的SQL语句第一时间调优或给出应急方案。

三、总体方案

债务及融资类系统总体方案参见下图。

在外部衔接落实四项措施。一是支持多终端入口。以互联网安全电脑端和安全移动端为统一服务入口。其中安全电脑端以安可项目要求的终端配置为基线，确保债务相关数据在终端环境下的安全；安全移动端支持微信和APP等多种方式，以实名制为基础通过引入专有的公钥密码体制，确保相关操作满足债务风险防化的要求。二是贯彻落实财政部统一的信息化规划，在业务上和技术上遵循财政业务一体化相关规范，确保与财政核心一体化系统无缝衔接。三是建立安全保障体系，通过引入先进安全机制进一步加固外网信息安全，按照安可项目统一推进，有计划地启动安全终端适配和服务端改造迁移。四是统一内外部交换。在互联网上与发改委、银保监会、人民银行等监管机构建立安全可靠的数据共享比对通道，在业务专网，按照统一的债务接口规范，借助财政核心一体化系统实现债券资金管理和跟踪。

在内部应用上细化内外网协同。一是在外网建立统一服务入口。将债务风险防化的相关功能按照集成的要求统一封装，为多终端提供无差别服务的同时，无缝对接现有系统功能模块。二是合理规划内网和外网部署的子系统。目前，地债系统和隐性债务管理系统在内外网都需要部署，全国债务风险预警分析中心只需要在内网部署，立足现在面向未来，统一梳理债务管理的控制流、业务流和数据流，进一步规范债务基础要素，深化统一社会信用代码的基础性作用，研究和逐步实现各子系统之间的业务无缝对接，比如：内网地债系统的项目库基于规范的信息公开口径自动推送到外网债务信息平台上。三是探索建立“外网-内网-外网”的应用架构。一方面在现有系统的基础上，进一步扩大外网数据流入内网的范围，增加电子附件和互联网数据的流入；另一方面，在安全统一原则下，研究内网数据经过脱敏后进入互联网方案，打通互联网应用的最后一公里，实现为债务单位、债权单位、社会公众提供更加便捷、更加直观、更加全面的债务及融资类应用服务。  

四、关键方案

（一） 移动端方案

为进一步落实债务风险防化一网通办的思路,统一的移动端服务应作为重要的抓手,移动端方案参见下图。

在已有的债务及融资类应用中，移动端服务已经有初步的实践，智能服务系统已经通过微信服务号提供操作手册下载、在线培训视频和智能机器人客服。下一步在以下几个方面逐步形成移动端完整的框架。

1.统一服务入口。为不同终端提供无差别的服务，需要将基础性的服务进行封装。一是用户实名认证。为便于用户享受快捷安全服务，相关应用系统提供基于唯一身份标识在线授权绑定机制，实现“一次绑定授权、后台自动认证”，唯一身份标识可由身份证号、手机号、微信号等信息组成。二是数据加密解密。作为过渡性方案，可以在移动端服务器与应用服务器之间使用线下分发私钥的方式，对通过互联网进行传输的数据进行加密，确保传输安全；在条件具备情况下，统一引入先进的移动端公钥密码体制，将手机作为特殊的UKey，为更大范围的移动应用提供支撑。三是安全服务封装。引入服务总线机制，将应用服务器对移动端或外部系统提供的服务进行统一管理，整体提升服务的安全性和高效性。

2.支持债务信息公开。目前财政部拥有统一债务信息披露平台作为地方政府债务相关信息发布的权威网站，为便于社会公众和投资机构访问，可考虑提供移动端的服务。一是通过移动端可以及时访问相关公告。二是可以查询分析结构化数据，如限额、余额、债券发行等信息。

3．研究支持项目进展在线填报。为更好地对债券资金支持项目的跟踪和监督，需要项目单位及时通过互联网填报项目执行信息，包括项目资金使用进度、项目建设进度、项目收入信息等。

（二） 数据交换方案

数据交换共享是债务风险防化的最重要内容，数据交换架构见下图。

1．通过外网前置机统一对接。大部分部门系统都部署在互联网，包括发改委项目库系统和代码中心系统等，前置机通过接口、FTP等方式实时或定时调用互联网系统接口，同时前置交换服务器按照技术对接方案提供数据接口服务供部门系统调用。 

2．外网前置服务器只能访问外网交换数据库。为保障生产数据库的安全，从部门获得的数据或者提供给部门的数据，都需要在交换数据区进行落地；外网前置服务器不能访问生产数据区，但生产系统在线应用服务器可以直接访问交换数据区。

3．外网前置机代理在线校验接口。为确保生产系统应用服务的稳定性和安全性，如需在线调用部门系统的接口，也要在前置服务进行统一封装，比如针对项目管理过程中要在线校验发改委项目代码和名称时，需要调用前置服务器校验代理接口，由校验代理接口维护发改委接口的可用状态，在发改委接口可用时嵌套远程调用发改委接口。

    4．内网共享数据需要同步到外网。内网交换框架与外网交换框架类似，需要沿用一期外网数据网闸同步规则，生产数据和共享数据都需要基于数据库表级从外网同步到内网，针对外网单位用户对数据利用的需要，需要将部分内网共享的非敏感数据或敏感数据脱敏后同步到外网，比如中债登提供的企业债券发行数据。