为了正常的体验网站,请在浏览器设置里面开启Javascript功能!
首页 > 证券营业部网络系统方案

证券营业部网络系统方案

2018-03-22 50页 doc 168KB 10阅读

用户头像

is_633808

暂无简介

举报
证券营业部网络系统方案证券营业部网络系统方案 ××证券南宁营业部网络系统方案 地址:×××××××××××× 邮政编码:×××××× 电话:×××××××× 传真:×××××××× 此文档含有专有信息。文中涉及的所有资料必须严格保密。除因需要而得到授权 的××证券有限责任公司和北京××软港科技有限公司有关人员外,一律不得向 他人泄露。 1 ××证券南宁营业部网络系统方案 更改日期 更改说明 更改标志 2001年10月17日 第一版 无 为了方便阅读,特将文中提及的术语及缩写列示如下: 术语或缩写 解释 ××、××证券、南宁××...
证券营业部网络系统方案
证券营业部网络系统 ××证券南宁营业部网络系统方案 地址:×××××××××××× 邮政编码:×××××× 电话:×××××××× 传真:×××××××× 此文档含有专有信息。文中涉及的所有资料必须严格保密。除因需要而得到授权 的××证券有限责任公司和北京××软港科技有限公司有关人员外,一律不得向 他人泄露。 1 ××证券南宁营业部网络系统方案 更改日期 更改说明 更改标志 2001年10月17日 第一版 无 为了方便阅读,特将文中提及的术语及缩写列示如下: 术语或缩写 解释 ××、××证券、南宁××证券 ××证券股份有限公司南宁营业部 ××、××软港、××公司、××科技 北京××软港科技有限公司 2 ××证券南宁营业部网络系统方案 目 录 ............................................................................................................... 3 一、前言 ............................................................................................................... 5 二、需求分析 .............................................................................................. 6 2.1 建设背景 ...................................................................................................... 6 2.2 系统需求 ...................................................................................................... 7 三、网络系统设计 .............................................................................. 7 3.1 系统设计目标.......................................................................................... 7 3.2 系统设计原则.......................................................................................... 8 3.3 系统总体设计.......................................................................................... 8 3.4 网络平台详细设计 ............................................................................. 9 3.5 服务器系统详细设计 ................................................................... 21 3.6 操作系统平台选择 ......................................................................... 29 四、安全体系设计 .......................................................................... 29 4.1 主机安全 .................................................................................................. 30 4.2 数据安全 .................................................................................................. 30 4.3 网络安全 .................................................................................................. 32 五、工程实施 .......................................................................................... 36 5.1 工程实施成功的要素 ................................................................... 36 5.2 工程管理组织...................................................................................... 38 5.3 工程实施步骤...................................................................................... 39 3 ××证券南宁营业部网络系统方案 5.4 工程文档 .................................................................................................. 40 六、技术服务与售后服务 ................................................. 40 6.1××的支持服务体系 ...................................................................... 40 6.2服务内容 ................................................................................................... 40 6.3支持与服务方式 ................................................................................. 42 6.4维护原则 ................................................................................................... 42 七、培训 ........................................................................................................... 42 八、产品清单及报价 ................................................................. 43 附件一:OA系统设计 ............................................................ 44 1、 OA系统应用特点 .......................................................................... 44 2、 OA系统的运行平台 .................................................................... 44 3、 OA系统的技术特色 .................................................................... 44 4、 OA系统功能 ...................................................................................... 45 4 ××证券南宁营业部网络系统方案 随着××证券公司自身业务规模的不断扩大,为了更好的对广大股民提供服 务,××证券对公司南宁营业部新址的证券业务进行重新规划,并在近期建 造一个全新的电脑网络系统。 北京××软港致力于证券行业的系统集成及软件开发,多年在广西区内为 各证券营业部实施系统集成工程,具有丰富的证券行业系统集成经验,在区内 拥有百分之六十的市场占有率,声誉卓著。随着国际互联网的发展,北京×× 软港已大踏步地向网络化发展,为券商提供全面的系统集成解决方案。 为了把××证券南宁营业部新址的计算机网络系统建设成为一个可伸缩性 好、安全可靠、稳定先进的网络平台,北京××软港在进行方案设计时充分利用 了××软港在证券行业以及银行交易系统开发和服务方面长期积累的成熟先进 技术资源,在保证系统提供高性能、高可用、安全交易的前提下,保证系统具有 良好的可扩展性。 经过详细的分析,××软港推荐××证券采用××新世纪券商千兆解决方 案。 , , , NHASNovell HA Server NovellNovell7x24 , LifeKeepNCR LifeKeep 7x24 , Intel Pro/100 SDES 下面,我们就对这个解决方案做详尽的阐述。 5 ××证券南宁营业部网络系统方案 中国证券市场正飞速发展,证券公司的规模和需求不断扩大,经营模式也进 行着深刻的变化,即从传统的单一营业部的管理模式转变为面向整个证券公司企 业级的管理。相应于证券公司经营模式的转变,原本建立在营业部单纯交易和简 单管理的信息系统已不能满足于证券公司级管理的需要。目前,绝大多数证券公 司的信息系统是以营业部的柜台交易和清算系统为核心发展起来的,缺乏整体的 规划和严格的技术测试,特别是信息系统体系结构上的不合理已经阻碍了证券公 司的发展。打破证券公司现有的信息系统框架,全面规划、设计、开发适合于大 规模和超大规模证券公司的新一代企业级应用系统已经势在必行。 IT技术在不断发展,电子商务、Web技术、数据仓库技术、数据加密技术等等,技术的发展日新月异,技术的潮流不可阻挡,如何将这些先进的技术应用 到证券信息系统中来,通过技术进步推动业务的发展,也是证券行业面临的现实 课题。 证券公司企业级应用的很多方面已经在实际运作中,如证券公司企业级网络 的建设为企业级应用准备了基础条件,总部监管和法人清算等系统的应用也是企 业级应用的部分体现,而证券柜台集中交易系统、集中式电话委托、集中式银证 转账、集中式网上交易和总部Call-Center系统等概念的不断产生和实践,充分说明企业级应用必然的发展趋势。 证券公司企业级应用不仅仅是一种技术的实现,还应该是公司级管理的具体 体现。在这一应用过程中,既需要证券公司管理机制和模式方面的转变和配合, 同样需要IT技术在证券业的成功应用,而针对IT技术实现企业级应用的关键在于中间件技术的发展和应用。 ××在五年多来的技术实践中,在业界推出了新一代三层结构技术,实现了 股民操作与后台数据库之间的分离,不仅提高了安全性,而且提高了数据库的性 能,扩展了前台的应用。实践证明,老一代的三层结构技术没有对事务处理与通 讯处理进行分离设计,导致无法实现企业级网络体系。 6 ××证券南宁营业部网络系统方案 ××证券公司在近期将南宁营业部搬迁至新址,同时为了满足不断增长的业 务,需要建立一个全新的高效的计算机网络系统,以增强自身的竞争能力。 这个网络系统不仅是为证券交易业务提供一个强大稳定的平台,具备行情发 布和柜台交易功能,而且还能提供办公自动化功能,提高××证券公司的办公效 率。网络系统必须是高效、安全的,还应该具备很好的扩展性。 , 网络主干要求达到千兆位带宽,桌面接入要求达到百兆位带宽; , 网络结构要求做到完全冗余,不存在单点故障,能不间断运作; , 网络系统要求至少提供1000个信息点的接入能力; , 主机系统能够满足目前以及未来的应用需要,具备高可靠性和高扩展性。 1) 为营业部中各个部门的证券交易业务以及办公自动化业务一个安全稳定可靠 的运行控制和集成管理核心网络环境,为所有的信息点提供100M全交换的桌 面接入; 2) 提供丰富的网络服务,实现广泛的软件、硬件资源共享,避免重复投资,发 挥系统最大效益; 3) 主机系统应具有高度的可靠性,能7x24小时不间断工作,并有容错措施;还 应具备很高的安全性,以保证券商网络中机密数据的合法访问;具有广泛的 软件支持,软件兼容性好,并支持多种传输协议; 4) 主机系统应享有较好的性价比和较低的总拥有成本,并具有良好的向后扩展 能力和一定的先进性;考虑到券商技术力量的限制,主机系统应易于使用和 维护; 7 ××证券南宁营业部网络系统方案 本网络系统作为××证券业务的核心基础,应充分利用先进技术,通过组织 和利用系统资源,以合理的代价,为用户提供安全、可靠、有效、充分、友好的 服务。 为了满足××证券的业务对网络系统的要求,针对××证券的具体需求和业 务特点,在网络系统的构架中应遵循以下原则: 整个系统必须具有高度的安全性、可靠性和稳定性, 保证网络系统能高可靠的运作。在万一出现局部故障时应不影响网络其它部分的 运行,并且故障便于诊断和排除。充分体现计算机网络的高可用性; 应采用被实践证明为技术成熟且领先的技术方案,最 大限度地满足现在业务和未来发展的需求; 应考虑未来发展的需要,使系统与未来扩展的设备 具有互联性和互操作性,又便于升级、换代,使整个系统可以随着科学技术的发 展与进步,不断得到充实、完善、改进和提高,并且能很方便地融于全球信息网 络中; 充分考虑系统所涉及的各子系统的集成和信息共享, 保证系统总体上的先进性和合理性,采用集中管理、操作和分散控制的模式; 5系统应具有较高的性能价格比。 要充分考虑到系统既要高起点地满足当前需求,又要满足将来可能的爆炸式 的增长,就必须将系统建立在一个强健的、高度可伸缩的体系结构之上。我们建 议的就是这样一个体系结构。 我们采用分层设计方法来设计××证券网络系统,其中核心网络由主干交换 机组(核心层)和桌面接入交换机群(访问层)、路由器(边缘层)构成。 8 ××证券南宁营业部网络系统方案 系统总体逻辑结构如下: 根据系统设计目标的对系统规模的要求,我们对系统进行了细致的设计和论 证,我们将在下面展开详细阐述。 3.4.1 完全交换式以太网技术,能有效提高整个网络的性能和可靠性,主要表现在: 1、采用完全交换式以太网技术后,任何一个点的突发性事故不会对网络中 其他部分造成影响,系统可以自动的屏蔽该点的故障,切断虚电路。 2、在目前证券行业的计算机网络模式中,利用完全交换式以太网技术,可 以有效的屏蔽广播包,同时可以利用交换机的背板带宽,提高重要工作站 间的数据交换处理能力。 3、采用完全交换式以太网技术,可以利用802.X生成树协议(Spanning 9 ××证券南宁营业部网络系统方案 Tree),对网络进行冗余、均衡配置,提高系统的可用性和安全性。 1、 千兆网络技术已经成熟,千兆产品正在成为市场的主流。 千兆网络可以轻松解决证券公司在行情火爆和交易量大时,出现的网络“瓶 颈”问题。 千兆网络方便以后证券交易网络的升级,可以保护证券公司投资。 核心设备具有更强的处理能力; 可与目前的以太网(10M)、快速以太网(100M)设备无缝连接; 利用现有的以太网知识就可以管理、监视和维护千兆以太网; 千兆以太网技术是组建网络主干的核心技术; 基于RSVP和IEEE802.1Q/p实现CoS,从而提供不同的服务等级。 千兆铜缆技术能在普通双绞线实现千兆速度的数据传输。 千兆铜缆设备可实现百兆和千兆的自适应,实现与原有的快速以太网设备 无缝连接,保护投资。 千兆铜缆设备与千兆光纤设备相比具有更高的性价比。 网络系统的可靠性对于证券公司来说至关重要,甚至高于对性能的要求。网 络可靠性可采用冗余的网络互连结构和故障迅速恢复技术来实现。要实现网络的 可靠性,消除交换机的单点故障,必须采用硬件上的冗余,主要包括主干交换机 冗余、二级交换机上行链路冗余和服务器网卡冗余。 10 ××证券南宁营业部网络系统方案 可采用双主干交换机形式——两台交换机相互冗余形式或一台主交换 机与一台备用交换机相结合形式。通过GEC(Giga Ethernet Channel) 技术还可实现负载均衡。 通过Spanning Tree Protocol生成树协议,可采用光纤或铜缆作 为上行冗余链路。 在服务器上安装两块服务器网卡,分别连接两台主干交换机,形成服 务器与主干交换机之间连接的冗余,实现容错功能。 通过以几方面的论述可以看出:我们的方案能够保证网络的可靠性,做到中 心交换机的故障不会导致整个网络瘫痪,并提供最快速的故障恢复方案,从根本 上消除证券公司面临的风险。 3.4.2 目前能够提供网络产品的厂商很多,Cisco、3Com和Intel等公司都有从路由器到交换机的全线网络产品,用户选择余地较大。然而这些公司的技术、产品、 服务与价格存在一些差异,故网络厂商的选择时,应认真分析这些公司的特点, 并结合所建系统的具体特点。 Cisco在高端产品市场优势明显,但价位较高。但其在网络解决方案方面, 具有较高的领先性和良好的性价比。 3Com在高中低端的网络产品市场,尤其在桌面市场占据一定优势。 Intel公司的近年来在网络方面发展很快,尤其在千兆铜缆产品方面,其 在服务器网卡市场占有绝对的优势。特别是其千兆服务器网卡,目前尚 未有同类产品可以匹敌。 这几个公司各有其特点,根据××证券公司网络系统的具体特征,推荐选用 公司交换机产品、选用公司的网卡来构建网络系统。 11 ××证券南宁营业部网络系统方案 3.4.3 我们在这里为××证券设计的网络方案,其网络拓扑图如下: 3.4.4 网络平台采用两台Cisco 4006 千兆企业级交换机作为网络主干交换机,两台 480T千兆交换机之间采用GEC光纤通道实现互为冗余容错,同时还能实现负载 均衡,从而保证主干网络的可靠性和稳定性以及提高性能,杜绝网络单点故障。 内网的主干交换机采用两台Cisco 2948G企业级交换机通过多个百兆端口实 现FEC通道来互为冗余备份,同时还能实现负载均衡。 行情服务器通过安装的两块Intel Pro/1000 Gigabit Server Adapter (千兆光纤网卡)进行AFT容错,实现网卡互为冗余备份,防止因网卡出错而导致系统工 作中断。而且每台服务器都采用冗余光纤链路分别连接到外网的两台4006主干交换机的千兆光纤口上。交易服务器也采用两块Intel Pro/1000 Gigabit Server Adapter (千兆光纤网卡)AFT容错方式,并通过冗余光纤链路分别连接到内网 的两台2948G主交换机的GBIC千兆光纤口上。 12 ××证券南宁营业部网络系统方案 对于桌面接入交换机(二级交换机),我们采用Cisco 2924独立式百兆交换机,为桌面PC提供100M全交换接入。而且每台Cisco 2924都采用百兆冗余铜缆上行链路分别连接到两台4006的百兆铜缆口上。 与国际互联网的连接通过ADSL设备来实现,并且采用防火墙软件抵御外 部网络入侵。 外部网络和内部网络之间采用多台中间件来实现内外网的隔离,保证内部网 络数据的安全性和可靠性,而且还能起到冗余及提高带宽的作用。不至于某台中 间件出现故障后,内外网就无法通信了。 基于中间件技术的中间层体系结构可简单表示如下: DB Ethernet DB EthernetARAS NETWORK ASAR Ethernet CLIENTCLIENTCLIENTCLIENT 其处理过程可简单概括如下: (A)客户端(CLIENT)的请求数据按要求加密打包后,按指定的地址发 往应用路由(AR); (B)应用路由(AR)分析数据包的包头,按要求将数据请求包发往相应的应 用服务器(AS);此时应用服务器(AS)可以是本地也可以是异地的可访问服务 13 ××证券南宁营业部网络系统方案 器; (C)应用服务器(AS)收到服务请求后,通过与其相连的数据库后台(DB),对请求进行处理,将结果返回给应用路由(AR),如果该请求为异地备份所需请 求,则需返回相应命令,以保证备份服务器(BACKUP DB)的数据一致性; (D)应用路由(AR)收到请求后,一方面按原请求路径将结果返回至前台请 求工作站,另一方面还可根据系统设置,确定此请求是否为异地备份所需请求, 如是,则将所返回的结果数据发往与备份数据服务器(BACKUP DB)相连的应用服务器(AS),对备份数据服务器(BACKUP DB)直接执行相应操作,保持 数据的一致性; (E)客户端(CLIENT)应用程序收到应答后,将结果返回显示给操作员,从 而完成一个操作流程。 (1)当多个客户请求时,系统能从容的处理数据。数据库保持常连接,避 免了频繁的与数据库的连接、注销,提高数据处理速度,避免数据库压力。而且, 系统固定了与数据库的连接数,不会出现运行中数据库连接数不断增长的情况。 (2)系统根据请求数据的内容,将请求分优先级别,使系统的实时性体现 得十分完美,而且系统能主动分担数据库的压力。 (1)连接策略:自动请求响应。一般保持连接,以减少频繁连接断开对性 能的影响,但客户端可以完成一个会话后断开。如会话过程中通讯意外断开,客 户端及时重连,仍可成功完成上次操作。 (2)多线程:每个线程都可设置完成什么功能,这样大大提高系统运行的 效率; (3)数据库连接:采用线程池,每个线程使用各自的连接,数据库连接使 用ODBC; (4)业务相关性和扩展性:完成一定的业务逻辑,以减轻后台服务器的压 力,业务逻辑与组件有关,只要更新组件就可完成业务逻辑的改变,极易扩展; (5)多级路由:应用路由可用通过配置通讯路由表,实现多级路由,从而 14 ××证券南宁营业部网络系统方案 可以灵活组网,轻松完成企业级的架构; (6)组件即插即用、热插拔与热修复:所有应用服务器上的组件都可以实 时更换,即使在交易时间内也不会受影响,因为不用把应用服务器停下来,只要 几秒钟即可完成功能的加载或删除。 (7)负载平衡:自动维护与应用服务器的连接,每台应用服务器都有“疲 劳度”,应用路由根据所连应用的“疲劳度”决定请求发往方向,“疲劳度”根据 应用服务器处理功能情况和数据通过量等综合考虑; (8)应用服务器与应用路由可分可合:逻辑上的独立设计,保证了应用服 务器与应用路由的相对独立性,根据实际情况的不同,可自由组合,实现物理上 的合并与分离,适应不同规模不同类型证券公司的应用; (9)同时支持TCP与SPX两种协议; (10)高安全性:采用多级密钥,采取“链路”加密、校验,根据网络环 境和对通讯安全的要求使用不同的算法,密码算法(传统和公钥密码体制)和校 验算法可任意扩充,可使用用户提供的算法,支持多网卡隔离和防火墙。 (11)智能路由,实现数据的地域无关性; (12)多级的数据监管及完善的网络管理:事务监控和网络监控 3.4.5 Cisco Catalyst 4006 Cisco Catalyst 4006能够在一个机箱中满足多达240个快速以太网端口的网络部件连接要求,背板带宽是60Gbps。Catalyst 4006的热插拔模块的即插即用交换解决方案降低了复杂性,可以简单地支持当今网络不断变化的桌面环境。 未来端口接口增强包括无线PC连接、千兆铜缆连接。Catalyst 4006结合了高级工程技术和生产进步,以更加经济有效的价格提供更加强大、更加可靠的企业 交换解决方案。它重新定义了新的性价比值。Catalyst 4006提供的自治愈网络智能,足以快速恢复端口、设备及网络故障,而没有明显的桌面延迟。 主要优点包括: , 性能--提供了先进的交换解决方案,它能随着您端口的添加而增大带宽。 15 ××证券南宁营业部网络系统方案 领先的ASIC技术更是使Catalyst 4000系列解决方案如虎添翼,ASIC技 术提供了线速第2层和第3层 10/100或千兆位交换。其中,第2层交换 由24 Gbps、18 Mpps引擎驱动,第3层交换则由可伸缩的8 Gbps、6 Mpps 引擎驱动。 , 投资保护--灵活的模块化体系结构对配线室中的动态桌面连接提供了经 济高效的管理。Catalyst 4006背板进一步提供了网络保护能力,因为它支 持60 Gbps无阻塞容量,所以这种机箱更能适应未来需要。 , 功能透明板卡--Catalyst 4000的结构优势扩大了Catalyst 4000系列板卡的 部署寿命。只要简单地添加其它引擎模块,如新的第3层服务模块,Catalyst 4000系统就能方便地将所有系统端口升级到更高层的交换功能。不需要 更换现有板卡就能在系统端口上实现高层功能增强,这在常规交换产品中 是很常见的。这样,新的Catalyst 4006端口可以随时用于WAN、IP电话、 第4层到第7层Web交换。 , 模块化监控器引擎保护--Catalyst 4006机箱背板和监控器连接器可以支持 未来的监控器引擎升级。未来改进的可能性包括将可伸缩交换机结构容量 增加到64 Gbps、使用线速第3层和第4层交换和基于未来技术的千兆位 上行链路。 , Cisco IOS网络服务--Catalyst 4000系列交换机提供了成熟的企业第2层和 第3层特性,能够有效地增强公司网络的能力。这些特性满足大中型企业 的高级联网要求,因为它们的推出直接得益于多年的Cisco客户反馈意见。 , 基于硬件的组播--协议独立组播(PIM)密集和稀疏模式、Internet组群组 播协议(IGMP)、以及Cisco组群组播协议(CGMP)支持基于标准的、 Cisco改进的高效多媒体联网。 , 共享内存体系结构,没有线路头阻塞--集中式低等待延迟(1.4微秒)、共 享内存交换结构提供了领先的能力,消除了所有可能的线路头部阻塞。 , 桌面能够使用千兆位能力--Catalyst 4000系列已经提供了丰富的1000 Mbps千兆位和千兆位服务器交换解决方案。Catalyst 4000系统的千兆位 解决方案的使用范围可以方便地扩展到桌面。 , 可管理性--利用每一种Catalyst 4000系列交换解决方案提供的先进的管理 16 ××证券南宁营业部网络系统方案 能力以及每一个端口中内置的基于业界标准的管理功能,Catalyst 4000系 列的控制能力和安全性都得到了加强。您可以灵活地选择是使用基于Web 的图形用户接口(GUI)还是命令行接口(CLI)来完成管理任务,从而 增强了您的网络操作能力。 , 降低网络操作费用--因为Catalyst平台、体系结构和软件之间有更高的一 致性,所以费用得到了很大降低。另外,端到端的Cisco管理和服务也降 低了网络的总拥有成本。 , 保护关键任务应用的性能--集中式企业策略创建加上CiscoAssure支持和 针对第2层CoS和第3层ToS的网络服务质量,这些可共同保证您能够 从边缘到核心得到一致的应用性能。 , 高可用性--Catalyst 4000系列提供了自恢复网络智能,它的速度足以从端 口、设备、链路上发现故障而在桌面上没有明显延迟。 , 面向未来的网络--Cisco的继续开发和投资使Cisco Catalyst 4000系列LAN 解决方案成为一个具有战略意义的配线室和分支机构平台,它经历了多年 的不断改进。Catalyst 4000系列能轻松地应对网络发展,通过简单地添加 更多的端口,您可以有效地提高您网络的带宽。另外,功能上透明的体系 结构优势将扩大每个交换板卡的有效时间,允许您随着您的需求而添加更 高级的功能,而不需要进行彻底升级。 Cisco Catalyst 2948G Catalyst 2948G为一固定配置的第二层的以太网交换机,提供48个RJ-4510/100M端口和2个千兆以太网上联端口,带有模块化的千兆以太网转换 器(GBIC)端口。 Catalyst 2948G支持Catalyst企业版的系统软件。该特点不仅使其与其它 Catalyst交换机具有互操作性,还是供业界最丰富的第二层的特点。其主要支持 的软件特点包括: 17 ××证券南宁营业部网络系统方案 , 先进扩展性(如Fast EtherChannel, Dynamic VLAN, 802.1Q trunking) , 带宽管理(QoS,协议过滤,链路负载平衡) , 网络的可靠性(UplingFast, PortFast, Spanning tree) , 安全性(每端口的安全,验证,IP Permit Lists) Catalyst 2948G是企业级桌面交换机,其很高的性能,可靠的软件,高性能非 阻塞的结构为××证券的内网提供保障。 Catalyst 2948G具有24Gbps的带宽,可以同时支持48个10/100和千兆口同时以线速交换。Catalyst 2948G高性能的结构将减少拥塞和提供整个网络的 相应时间。 Catalyst 2948G支持各种容错特点,包括一个外置的冗余电源(单独购买), 支持多条负载均衡的中继(Fast EtherChannel),多个Spanning tree,快速收敛的软件工具如PortFast和UplinkFast。广泛的硬件和软件的容错工具使Catalyst 2948G可以提供当今关键任务网络所需要的灵活的平台和容错特性。 Cisco Catalyst 2924 XL Cisco Catalyst 2924 XL交换机拥有24个10Base-T或100Base-TX端口,背板带宽是3.2Gbps。它还具备以下的杰出优点: , 12或24个10Base-T/100Base-TX自适应端口能够为要求苛刻的工作组和 服务器提供最需要的功能,同时保留了传统的10Base-T连接(Catalyst 2912 XL和Catalyst 2924 XL)。 , 24个10Base-T/100Base-TX自适应端口能够为要求苛刻的工作组和服务 器提供最需要的功能,同时保留了传统的10Base-T连接。 , 3.2-Gbps交换网和3Mpps的传送速度保证了所有10Base-T/100Base-TX端 口具有最佳的性能。 , 100Base-T端口的全双工功能使终端、服务器和交换机之间的带宽可以达 到200Mbps。 , 4-MB共享内存结构通过去除头部信息阻塞现象、最大地减少数据包丢失 18 ××证券南宁营业部网络系统方案 以及降低多点传送和广播传输的拥挤现象,保证了最高的吞吐量。 , 快速以太通道技术实现的带宽集合提高了容错能力,能够为交换机、路由 器、服务器之间的连接提供高达800Mbps的带宽。 , 每个交换机可以拥有多达12个快速以太通道带宽集合群,这使每台 Catalyst 2900 XL交换机能够通过标准的全双工10/100快速以太通道链路 将多个网络设备聚集在一起。 , CGMP使交换机能够有选择和动态地将IP多点传送信息传送到目标多媒 体终端,因而从整体上减少了网络流量。 , 可配置的网络端口能够为骨干连接提供不受限制的媒体访问控制(MAC) 地址支持能力。 Intel Pro/100 S 台式机网卡 ?英特尔 PRO/100 S 台式机网卡是专门为服务器优化、可信赖、可管理的 10/100M网卡。 ? 针对电子商业而优化的高性能局域网安全性 ? 先进的特性缓和了服务器的瓶颈问题,同时最大程 度地提高工作站的正常运行时间 ? 英特尔singleDriver? 技术降低了网络复杂程度 ? 支持3DES(168位高强度加密) ?新型英特尔 PRO/100 S 网卡利用基于标准的安全性来保护局域网上的敏 ?感数据,同时依然保持出色性能。英特尔 PRO/100 S 网卡将IPSec加密卸载与 ?英特尔 PRO/100+网卡所具有的先进管理特性完美地结合在了一起。 ?? 英特尔82594ED网络加密协处理器-从台式机的处理器上卸载加密工作, 最大程度地提高网络性能,节省系统资源用于其它关键服务器任务。 ?? 智能控制器-英特尔自适应技术可动态调整传输速率以减少冲突,并且能 19 ××证券南宁营业部网络系统方案 够实现网卡微代码的软件升级。 ?? 针对 Windows*2000 进行优化-英特尔PRO/100 S 网卡是英特尔与微软合 作开发的产品,专门针对Windows*2000 进行精心设计,可在您的网络上实施 + +加密,同时性能丝毫不受影响。 1? 先进的远程管理-支持WfM 2.0、SNMP、DMI2.0,通过Wake on LAN和板上 ?英特尔 Boot Agent可实现远程服务器配置。 ? 可扩充的吞吐能力和高可用性-总带宽高达800Mbps,使用任何英特尔服务 器网卡的组合均可建立自动冗余连接。 ? DES 和 3DES加密算法-使用应用最广泛的最高级别安全性,以保护局域网 上传输的数据。 Intel Pro/1000 F 千兆光纤服务器网卡 高性能千兆位服务器网卡 ?? 高度集成的英特尔 控制器提供了业界领先的性能 ? 通过网卡容错和PCL热插拔增强了服务器的可用性 ? 自适应负载平衡和千兆位EtherChannel提供了可扩充的吞吐能力,支持 1000BASE-SX的SC光纤连接器 ? 顶级千兆位网卡-“其它没有一款网卡能够提供与之相媲美的1000Mbps吞吐 量。”-引自1998年8月LANQuest实验室报告 ? 可扩充的吞吐能力和高可用性--高达8Gbps的集合带宽,并且可以利用任 ?何英特尔服务器网卡组合建立自动冗余连接。 ? 支持工业标准-- 802.3z千兆位以太网 -用于高级通信管理的802.1QVLAN和802.3x数据流控制。 ? 广泛的互操作性-与WindowsNT*、Novell*、UNIX*和Linux*环境中的工业标 20 ××证券南宁营业部网络系统方案 准交换机兼容。 ? 在线维护能力-PCI热插拔技术补充了网卡容错特性,能够在不中断服务器 运行的情况下更换故障网卡。 ? 通过远程管理降低支持成本-支持联网管理(WfM)2.0、SNMP和DMI2.0。 3.5.1 服务器系统选用先进、实用、稳定、可靠的系统, 具有开放性结构,且服务器系统选型时应要考虑备份机制和容错功能。 建立企业内部访问的安全控制机制,提高服务器 系统数据的安全性和访问的安全性。 服务器系统应采用国际知名品牌产品,具有较高的 性价比,可扩展、易升级,应操作简便、易于管理。 3.5.2 服务器系统设计是系统建设的关键,其直接影响投资规模和系统成败,因此 要认真作好这项工作。服务器系统设计基于以下原则: 由于证券服务器系统可靠性直接关系到证券业务的正常进行,只有可靠 性高的产品才能做到无间断运行。服务器系统必须具有高安全性,能够有效 的防止黑客的入侵。 由于证券业务系统需要高可用性的特点,在设计时需要考虑采用,可利 用双机容错系统提高系统的可用性,减少宕机时间。 21 ××证券南宁营业部网络系统方案 在投资范围内,追求最大的可扩展性,为以后扩展升级打下基础,保护 客户投资。 在有限的预算前提下,选用性能价格比较高的产品,用最少的投资获得 最大的效益。 国际著名服务器厂商的产品无论在质量上、服务上,还是在技术支持上 都有卓著的声誉,产品的持续支持能力也能得到保证。 3.5.3 服务器系统是在整个网络的运行以及各种网络应用服务中是起着关键的作 用。对网络性能的实现和今后网络的升级都十分重要。 目前在证券行业中服务器大都是采用COMPAQ服务器,而且COMPAQ服务器在多年来的证券应用中口碑很好。 3.5.3.1 考虑到有近1000个工作站,而且工作站需要做成无盘WIN98工作站,服务器的负载比较大,因此Novell行情服务器建议采用一台康柏ProLiant 8000做主服务器,用另一台康柏ProLiant 8000做备份服务器。为了提高整个Novell Netware系统可靠性和稳定性,采用NOVELL HA SERVER技术,并为两台服务器配备先 进的DFT-5008磁盘阵列柜系统,保证整个网络的可靠性和稳定性。 Novell HAServer是Novell公司的独立版权产品,它集合了以往StandBy、SFTIII等产品的全部优点,专为目前Client/Server局域网提供的一种通用的高 可用性、高扩充性的解决方案,它使用工业标准化商品部件,通过一条共享SCSI总线或光纤通道,将局域网中的两台Novell服务器连接,从而支持关键业务环 境、支持不断增长的存储需求,最大程度地降低服务器的down 机时间,具备十分优异的容错性能。 客户机在访问所有的群集资源,诸如共享磁盘,文件共享和数据库应用程序 时,都不必知道群集系统中单一服务器的名称。当一台服务器系统发生故障时, 22 ××证券南宁营业部网络系统方案 另一台服务器会立即承担发生故障服务器的工作,将共享卷、NDS权限、Netware用户数和文件共享等进行迁移,从而保证整个群集系统作业运行的连续性。 在NHAS系统中,我们选用DFT-5008U2磁盘阵列柜配备4个18.2Gb Wide Ultra3 SCSI硬盘(COMPAQ 10K),实现RAID 5+1模式。为两台NOVELL服务器提供高性能、不间断的共享磁盘服务。 HA Server , 主从服务器的硬件配置不必完全一致,可充分利用原有设备。 , Novell HA Server提供两种切换机制,失效切换和手工切换。失效 切换确保服务器失效时全自动实施切换,手工切换和系统暂停机 制,方便正常系统维护工作。 , 支持多条冗余的心跳路径以有效避免系统误切换,还可以通过冗余 的数据通道来提供更高水平的可用性。 , 支持工业化标准的互连(ODI、IP compliant)、对称多处理器(SMP)。 , 支持使用共享SCSI 技术或FiberChannel光纤通道技术的磁盘阵 列柜。 , HAServer配置灵活、使用简单、维护方便。 , HAServer支持多台服务器群集,支持分布式应用。 HA Server 使用磁盘阵列柜的Novell HA Server群集系统,一方面能大大提高硬盘的读 写速度,明显改善诸如证券行业中行情分析软件的反应速度,还可以将两套分析 软件分别在两台服务器上运行以有效均衡服务器负载;另一方面,由于使用硬件 实施系统的容错,因此可大大提高这个系统的安全容错级别。 在今天,“”观念已经迅速成为当前IT技术的新潮流。使用磁盘阵列柜的Novell HA Server群集系统为最终用户提供了如下的益处: , Novell HA Server群集系统中某个服务器由于硬件或软件失败而导致崩溃, 群集系统中的备用服务器可以予以接管,以保证处理过程的继续,群集也可以对 某些单独组件,如磁盘或适配器,或是单独的应用程序的失败作出反应,通过隔 离失败节点的错误,其它节点可以继续运行,保证整个群集系统的功能。 23 ××证券南宁营业部网络系统方案 Novell HA Server群集系统中磁盘阵列柜基于80Mbyte/S的Ultra Wide宽带SCSI技术或基于100Mbyte/S的光纤通道技术,并且阵列柜内部配有CPU及大冗量缓存做读写预处理(与以太网络相比,100Base-T以太网只相当于12.5Mbyte/S带宽<计算方法:100Mbit/8bit=12.5Mbyte>)。以上结构使得阵列数据读写速度远高于主机内部硬盘,而且不需主机CPU分时,又进一步提高了 主机系统的处理速度,使得传统的外存I/O瓶颈大改善,这种Novell HA Server群集系统较之早期的纯软件网络备份容错及主机内部加装阵列卡的方式在速度 上有了质的飞跃。 99.99% Novell HA Server群集系统中的磁盘阵列柜配置主要包括:控制器(其上 自带CPU、缓存)、电源、风扇、磁盘存储子系统,其使用全硬件冗余方式保证 数据的安全性,从而消除了Novell HA Server群集系统的单点故障。 , 双通道双路在线控制器 磁盘阵列柜一般可以配置2个控制器,作为冗余,而且每个控制器使用 2个独立的主机通道、2个独立的磁盘通道,除了提升磁盘阵列的I/O 外,也保证了工作控制器或控制器上的某一个通道出现故障时,备用控 制器或控制器通道的在线热切换,加强了系统的高可用性支持。 , 两组热插拔容错电源,双散热风扇 冗余电源保证当一个电源及电源通路出现故障时,RAID Array的可用 性,冗余的风扇功能使得当一个风扇出现故障时RAID Array的散热仍 然得到保障。 , 支持RAID 0,1,0+1,3,5校验,并支持热插拔和热备件的自动故障 恢复工能。 RAID级别保证任意硬盘故障时其上数据不会丢失,而且许可使用一块 硬盘作为阵列上RAID集的备用盘,当RAID集中的任一硬盘出现故障 时,备用硬盘可以自动替换故障硬盘。极大的降低了系统的风险并减轻 维护人员的负担。 , 独立的用于电池或UPS的电源接口。 磁盘阵列柜一般都配有电池,用来保护系统掉电时对磁盘阵列缓存的保 护,以实现数据的完整性,另外,磁盘阵列柜还具有内部UPS接口, 以实现对控制器及缓存的更充分的保护。 Active 24 ××证券南宁营业部网络系统方案 应用软件可与群集软件协同工作以平衡群集系统中各服务器的工作负载。例 如,行情服务器可以并行工作在多个节点上, 同时从共享磁盘中获取数据,从 而充分发挥容错系统中各个结点的资源,实现服务器负载均衡和缓解行情服务器 的网络压力,从而提高客户端的访问速度。 3.5.3.2 行情服务器也建议采用一台康柏ProLiant ML570做主服务器,用另一台康 柏ProLiant ML570做备份服务器。由于交易服务器在整个证券业务中是很重要 的,为了保证交易服务器的可靠性和冗余热备份,我们采用NCR LifeKeep技术,通过心跳线使两台服务器互为冗余备份,保证整个交易系统的可靠性和稳定性。 LifeKeeper For Windows NT 软件是NCR公司推出的全球第一套基于NT操作系统,并支持16台服务器集群的容错软件,也是市场上第一套可提供OSI 七层参考模型的高可用性软件,自九十年代出推出以来,备受用户称誉。 美国NCR LifeKeeper可以广泛应用于证券、金融、政府、交通、邮电、医 院、税收、公安、民航、军工、商业等采用Windows NT Server平台的行业,LifeKeeper能满足这些行业作业系统数据平台高度稳定、安全可靠的应用需求。 , 双(或多)主机通过一条TCP/IP网络线以及一条RS232电缆线相连。 , 双(或多)主机通过一条SCSI电缆线与磁盘阵列柜相连。 , 主服务器故障后,备份服务器自动接管主服务器的作业和数据。 , 备份服务器同时自动接管主服务器的主机名(Host)及网络地址(IP) , 主服务器修复好以后,再将备份服务器上的作业和数据切换到主服务器。 建议主、备份服务器内存大小基本一致。 3.5.3.3 考虑到报盘服务器在证券交易业务中的重要性,我们不推荐采用普通服务器 (例如普通PC机),建议采用康柏ML 530服务器作为报盘服务器,以保证稳定 性,确保报盘工作稳定可靠。 3.5.3.4 由于中间件服务器作为连接外、内网的网关,处于一个非常重要的位置,所 25 ××证券南宁营业部网络系统方案 以我们不推荐采用普通服务器,应该采用专业服务器,确保内外网通讯稳定可靠。 为了保护××证券原有的设备投资,我们建议将××证券原有的康柏Proliant 7000服务器作为中间件服务器,并给其配置双网卡。 3.5.4 Compaq Proliant 8000 , 康柏 ProLiant 8000,具有大量内部存储和容错性能的超大容量8路服务器 , 保持业界领先地位意味着您需要尽可能地实现各种优势,以提高企业的计算 能力并维护您宝贵的IT资源 , 随着新型应用不断出现、对性能的要求日益苛刻、数据和用户越来越多-- 您的IT系统始终压力重重。现在,康柏 ProLiant 8000 服务器将为您提 供取得成功所需的强劲性能 标准配置: 双PIII Xeon 700Mhz CPU(1M二级高速缓存) 1Gb ECC内存(可扩至8Gb) 18.2Gb Wide Ultra2 SCSI硬盘(一万转) 12个1英寸热插拔 Wide Ultra2 SCSI驱动器 集成的双通道Wide-Ultra2 SCSI适配器 内置100M PCI服务器专用网卡 双冗余电源 Compaq Proliant ML570 , ProLiant ML570 基于ProLiant 5500、6000和6500的强大功能而构建, 将最新的性能和高度可用性引入富含功能的四处理器服务器平台中 , Proliant ML570 具有卓越的可靠性和容错能力,提供了企业级系统可用性 和218.4GB 最大内置存储器容量 , 客户们可以依赖这款高度可管理性服务器降低拥有成本,并提供更安全、可 26 ××证券南宁营业部网络系统方案 靠的计算环境 标准配置: 双PIII Xeon 700Mhz CPU(1M二级高速缓存) 512Mb ECC内存(可扩至8Gb) 18.2Gb Wide Ultra2 SCSI硬盘(一万转) 12个1英寸热插拔 Wide Ultra2 SCSI驱动器 集成的双通道Wide-Ultra2 SCSI适配器 内置100M PCI服务器专用网卡 双冗余电源 Compaq Proliant ML530 , ProLiant ML530是新一代ProLiant 3000两路服务器,在两路服务器中 提供了扩展性、可用性和性能的完美组合 , 针对那些要求获得最高的性能、硬盘和内存扩展性来运行需要双路处理支持 应用的公司,这款服务器提供了卓越的价值 标准配置: PIII Xeon 933Mhz CPU(256K二级高速缓存) 512Mb ECC内存(可扩至8Gb) 18.2 Gb Wide Ultra2 SCSI硬盘(一万转) 12个1英寸热插拔 Wide Ultra2 SCSI驱动器 集成的双通道Wide-Ultra2 SCSI适配器 内置100M PCI服务器专用网卡 双冗余电源 DFT-5008U2 磁盘阵列柜 DFT-5008U2: 64位PowerPC RISC CPU, 64位SCSI总线,速率可达80-160MB/SEC, 单机容量可达TBG, 300w*2 冗余双电源,双风扇,塔式/5U标准工业机箱 DFT-5008U2支持并发访问请求,能完成从主机到硬盘的高速并行数据传输。 27 ××证券南宁营业部网络系统方案 为了达到最高的数据吞吐量, 阵列内部所有环节均采用LVD接口,包括并发I/O,命令队列特性等都已在DFT-5008U2控制器内部完成. 控制器采用高性能的64位PowerPC RISC CPU以使I/O任务智能化. 高速缓存可以完成智能的read-ahead 和 write-back. 有了高性能的设计, DFT-5008U2提供了一个基于SCSI计算机的广泛存储方案,以应用单用户工作站、高端PC服务器、UNIX中央主机等环境当中。 DFT-5008U2 提供 RAID 0, 1(0+1), 3 , 5,3+spare,5+spare 可供选择. 这些RAID 功能给用户数据的高可靠性提供了保证。例如自动侦测失效盘, 热备用硬盘, 坏盘数据重建, 在线更换硬盘, 后台自动重建等 利用扩展模块,DFT-5008U2可获得更多的SCSI通道。最多可达8个SCSI 通道。DFT-5008U2支持8个逻辑硬盘,每个逻辑硬盘支持8个分区。每个SCSI通道,可定义主机或设备通道,实现多主机连接。当读写硬盘的时候,DFT-5008U2能够校验处理坏扇区,从同一逻辑盘中的其他硬盘获的坏盘数据,并对坏扇区重 置。所有这些对主机来说,都是透明的 DFT-5000控制器 主机/硬盘接口 2个主机通道,2个磁盘通道(可扩充为6个) RAID Level 0,1(0+1),3,5,30,50,JBOD 基本的SCSI通道 2-8个 Ultra2 Wide or Ultra3 Wide SCSI 通道 硬盘位 6,8,12,16四种标准配置 高速缓存 32M to 1Gbytes,标准配置64M 后备电池 可选,DFT-9070c 电源 300W*2 /400W*2(可选) 容错总线(falut bus) 支持(DFT 专有) 国际认证 FCC,CE,Y2K MTBF 500000 17.5"(H) x 8.75" (W) x 21.5"(D) 尺寸 26.75"(H) x 9.75" (W) x 25.5" (D) 28 ××证券南宁营业部网络系统方案 网络操作系统是网络软件系统的核心。因此选择网络操作系统成为组网过程 中十分重要的一步。在选择好主机系统硬件之后,还必须选择能充分发挥网络整 体性能的操作系统。 目前在证券行业中被广泛采用的操作系统主要有两种:NOVELL公司的NETWARE操作系统和Microsoft公司WINDOWS NT操作系统。不同的网络操 作系统建立在不同的网络体系基础之上的,WINDOWS NT 网络操作系统是建立在TCP/IP网络体系之上的,而NETWARE网络操作系统则主要是以NOVELL IPX/SPX为基础。 目前在证券行业中的行情服务器大都是采用NETWARE 操作系统,它采用的一系列先进技术以保证操作系统的整体性能具有较高的水平,并且可靠性和安 全性都比较不错。因此我们采用NETWARE 4.11作为行情服务器的网络操作系 统。 而WINDOWS NT 操作系统是一种纯32位的网络操作操作系统,它是一种 面向分布式图形应用程序的操作平台,主要是作为数据库以及交易系统的底层平 台。因此在交易服务器中选用的是Microsoft的WINDOWS NT SERVER 网络操作系统。 新世纪的商务运作与电脑网络息息相关,成功的商业机构必须有快速可靠 的网络。对证券行业而言,计算机网络业已成为证券营业部业务运作不可缺少 29 ××证券南宁营业部网络系统方案 的工具。与此同时,网络安全也成为刻不容缓急待解决的问题。 可以说,我们今天所面对的安全问题已不再局限于系统本身。对外,我们 将面对一群具有高知慧、高能力、高手段而且对网络系统和编程语言都有着深 刻了解的“黑客”,他们无时无刻不在窥探着你的网络,你却没有丝毫的觉察。 他们能在你的眼皮底下偷走或修改你的数据,能让你在正常操作中丢失你的管 理员密码,能删掉你的重要数据,更能让你的服务器在开市时宕机……;对内, 系统则会时刻受到在你身边而不为你察觉的内网用户的攻击威胁。 面对这些乍听起来让人觉得很“遥远”但的确在悄悄发生的事实,您 安全是在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从三 个方面来讨论保障网络安全的若干措施。 采用网段分离技术,把网络上相互间没有直接关系的系统主机分布在不同的 网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。网段分 离可以采用物理方式以及逻辑方式来实现。在物理上,我们将网络分为行情发布 子网(外网)和交易处理子网(内网)两网段;在逻辑上运用虚拟专用网技术 (VLAN),将应用服务器和工作站根据具体情况分别放在不同的网段和虚拟子网 上。 另外,在安全方面有一个最基本的原则:系统的安全性与它被暴露的程度成 反比。因此,建议将行情发布的服务器与交易处理服务器隔离,由于将数据库和 交易处理主机封闭在系统内部,增加了系统的安全性。同时使用中间件技术,不 允许直接访问业务主机,所有的应用连接都通过代理来完成,这不仅仅增强了业 务主机的隐蔽性,也提高了业务处理效率。 在网络上运行的软件需要通过网络收发数据,要确保数据安全就必须采用一 些安全保障方式。 30 ××证券南宁营业部网络系统方案 网络内部人员的安全破坏行为超过了网络外部入侵者(两者的比例分别为55:30)。 像防火墙这样的传统局域网安全保护措施可以保护网络的“前门”。但是,根据FBI的调查,大多数安全破坏行为发生在局域网内部,未经授权的访问、欺诈、窃取和其它违反使 ?用规章的行为。英特尔 PRO/100 S 网卡通过提供IPSec(互联网协议安全)加密能力,可 帮助保护局域网上的敏感数据。IPSec是一种能够运行于任何TCP/IP网络(包括企业级局域网)之上的工业标准。IPSec具有以下能力: ? 对用户进行身份验证,帮助防止未经授权的数据访问。 ? 防止恶意的攻击和篡改,有助于保持传输过程的数据完整性。 ? 对数据包进行加密,有助于确保数据的机密性。 但是,加密和解密数据的过程会降低服务器的运行速度,这就需要平衡安全性和运行速 度。英特尔与微软合作,开发了一款能够同时为您带来安全性和高性能的解决方案:即Intel Pro/100 S安全网卡,它可以将加密解密过程卸载至网卡板上的英特尔? 82594ED网络加密 协处理器,从而将CPU从这项工作中解脱出来,并最终达到最佳的运行速度。IPSec基于标 ?准的安全性与英特尔 服务器网卡业界领先的高性能相结合,是创建可信赖的安全工作组的 关键。 目前,绝大多数应用仍采用口令来确保安全,口令需要通过网络传输,并且 作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输,一旦 被读取或窃听,入侵者将能以合法的身份进行非法操作,绝大多数的安全防范措 施将会失效。所以用户口令需要采取加密方式存储和传输。 分设操作员的方式在许多单机系统中早已使用。在网络系统中,应增加管理 员、一般使用员等多种操作员类型,以便对用户的网络行为进行限制。 完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正 确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。对日志的分 析还可用于预防入侵,提高网络安全。例如,如果分析结果表明某用户某日失败 注册次数高达20次,就可能是入侵者正在尝试该用户的口令。 31 ××证券南宁营业部网络系统方案 在内部网络设计中主要考虑的是网络的可靠性和性能,而如何确保网络安全 也是一个不容忽视的问题。 为进一步保证系统安全,还要在网络中对入侵防范等方面做特殊考虑。 NetCop---网警入侵检测系统是北京中洲基业软件技术有限公司作为Novell公司Netware 平台、NDS目录服务平台应用产品研发中心开发出的国内第一套 成熟的证券网络安全防护系统。该软件已获得Novell公司认证并已通过公安部 安全产品检验中心检验。 NetCop系统拥有设备指纹验证、网络登录规则审查、关键数据保护三层安 全防护功能,弥补了诸如网络地址假冒、超级用户特权利用、隐藏用户或隐藏权 限、自带PC机上网等证券网络安全应用方面的主要不足,为网络入侵设置了多 重屏障。同时系统的图形操作界面可以实时监控网络连接与登录的全过程、实时 处理网络入侵、实时监控对关键数据修改、实时报告工作站设备联机状况,大大 提高了对网络安全管理的易操作性,有助于建立正确的安全服务理念,从而在整 体上加强网络安全建设的质量。 4.3.1 计算机网络安全涉及许多方面,对网络的入侵也是形形色色,手段更是多 种多样。从入侵者身份来区分,可以把对证券营业部计算机网络的入侵分为两类: 外部人员入侵和内部人员入侵。 外部人员入侵指由非营业部工作人员发起的入侵,其入侵方式主要有: 1)自带笔记本计算机自行接入营业部网络或篡改网络布线系统接入网络。 2)利用营业部的无盘站,非法加入硬盘或软驱,获取对网络的自由访问。 3)直接利用营业部的无盘站,中断批处理,夺取对网络的自由访问能力。 4)利用系统和应用程序的漏洞获取对网络的自由访问等。 从入侵手段上看,可能会 1)窃取管理员的口令 2)利用无口令用户 3)假冒网卡MAC地址 32 ××证券南宁营业部网络系统方案 4)利用隐藏目标或隐藏权限躲避网络管理员的检查等 外部入侵所能产生的危害程度可轻可重:有的无关痛痒,有的干扰网络的 正常运行,严重的会更改或删除系统/应用关键数据,甚至使整个系统瘫痪。外 部入侵者一般掌握较高级的网络安全技术,一旦他们突破了营业部的安全防线, 会留下安全后门,为以后的入侵做好准备。外部人员的入侵过程一般不易一次完 成,通常需要多次试探,逐步深入,最后达到入侵的目的。 另外一种方式是内部人员入侵。内部人员入侵指营业部内部工作人员发起 的网络入侵,其侵入的方式有:利用工作之便,修改应用程序和数据、利用超级 用户权限,非法修改系统数据和应用数据、改变系统配置和权限配置,为外部人 员入侵创造条件等等。对内部人员的入侵防范应侧重于对员工教育和有效的安全 规章制度。 4.3.2 ”网警”入侵检测系统V2.1是在“网络巡警” V1.1的基础之上开发和设计的网络安全产品。针对证券营业部目前在计算机网络安全方面存在的问题,它能够解 决对机器身份的真伪识别(防止地址假冒、自带PC机上网、对现有的无盘站进行改动等),同时提供更加有效的网络登录安全检查和对关键数据的保护(防超 级用户特权利用、防隐藏用户或隐藏权限等),是一种有效的帮助用户对营业部 内部的设备使用进行规范化管理、制定合理的安全防范制度的网络安全管理解决 方案。形象地说,网警系统象是一名真正的网络警察,它对任何网络的连接和登 录请求进行附加的登录安全规则检查,并加以记录,备案待查。 同时,它也是一名“数据警察”,它查看任何对关键数据的写操作的初始请求,并根据数据安 全规则允许或拒绝该操作(即使是超级用户)。 4.3.3 4.3.3.1 “网警入侵检测系统”是基于原有NetWare NDS目录服务的安全基础,以外挂式的形式对网络的登录和数据访问进行附加的安全处理。 使用”网警入侵检测系统”时,网络安全防范分成几个层次: 1)原有NetWare系统的登录管理,口令管理,文件权限管理。 2)由”网警入侵检测系统”进行登录合法性的附加管理,对客户机设备的真伪 进行识别。 3)由”网警入侵检测系统”实施对服务器网络数据的附加权限管理。 33 ××证券南宁营业部网络系统方案 4.3.3.2 要使用”网警入侵检测系统”,首先要对网络系统的合法设备(主要是工作站)进行注册。所有的连网客户机只有在注册后才被认可为合法的设备。经注册的设 备会在NDS库中以”Computer”类的目标实体方式保存一份唯一标识其身份的验 证指纹,这样,合法的工作站设备每次在连接Server时,NDS库中的验证指纹会对其身份的合法性进行“设备验证”。 登录规则的制定是指在设备验证的基础之上再行规划每台NetWare服务器的登录细则。管理员可以按照位置(此位置可以包含多台设备)或某具体设备的名称、登录的用户或组织、登录的时间、登录网段等多方面因素的组合来设定具体 的登录检查规则。”网警入侵检测系统”在服务器将对登录进行规则匹配,并按规 则实施行动(禁止或允许登录)。 --- 由于证券营业部对系统性能的要求较高,因此只制定一些简单的规则,否 则会影响系统的整体性能。在关键数据写规则的判定中,如果有同一网卡地址多 次登录服务器,则只许第一个登录的客户机连接进行写操作。在实际应用中,可 以用此手段保护营业部向上交所和深交所提交的交易数据(报盘数据)。 例如:将文件卷指定为报盘数据所在的卷,将目录名分别指定为与上交所和深交所交换 的.DBF文件所在的目录,将网卡地址指定为专用报盘机的MAC地址。这样,系统能保证只有专用报盘机才可以写这些数据,而其它机器则不能写报盘数据, 即使是超级用户。 4.3.4 1、 “网警入侵检测系统”按照以下机制运行: 1)所有的客户机在使用前必须预先注册到系统中。 2)所有的客户机按照登录规则以合法的用户在合法的时间和网段上登 录。 3)如果要求进行设备真伪验证,每个客户机要在网络登录前运行设备验 证程序,标明设备的身份。 4)任何违反登录规则的网络登录将被视为网络入侵,服务器将产生报警 信息。根据服务器的清除模式,决定是否真的清除这个非法连接/登 34 ××证券南宁营业部网络系统方案 录。服务器每次事件(合法/非法)处理的记录以日志文件的形式保存 在服务器上。 5)任何对关键数据写操作的初始请求(例如创建,打开写,改名等)都应 该是从合法的机器上发出的,否则该操作将被视为非法操作,并加 以记录。 6)如果有监视台与服务器连接,服务器向监视台传送实时日志信息。监 视台显示所连接服务器上发生的事件(连接/登录时间、设备维护时 间、服务器管理事件,关键文件违规写事件)信息,并对网络入侵事 件进行声音报警。 7)控制台上可以了解更多的信息。例如服务器所有在线登录工作站的情 况,所有注册设备的使用历史情况。控制台还能做所有的管理工作。 8)一台服务器可连接多个监视台;一个监视台可监视多个服务器。 由于服务器记录信息或监控信息较多,可以有选择地进行记录和监视。 服务器有灵活的选项,以满足不同用户对软件功能的定制。 2 当网络发生非法登录事件时,系统将产生报警信息,管理员收到报警后可 以进行如下响应: 1)了解非法登录的设备信息和服务器连接信息。 2)了解和推断事件的原因。 3)依据日志和在线信息调查过去的相关历史情况。 4)定位非法工作站(已注册者直接定位,未注册者定位至网段)。 当出现关键数据有非法写请求时,系统将否定该请求,产生报警信息。 管理员可以进行如下响应: 1)了解非法请求的操作类型,发出请求的连接,机器名称以及登录的用户名。 2)迅速定位非法请求的工作站,查明具体操作原因。 4.3.5 “” “网警入侵检测系统”最大的技术特点就是弥补了既有网络安全技术尤其是 在证券网络安全方面应用的主要不足(例如防止地址假冒、超级用户特权利用、 自带PC机上网、隐藏用户或隐藏权限等等);同时提高了对网络安全管理的易 操作性。 有了”网警入侵检测系统”这些弥补性的功能后,在对付外来网络入侵 的手段方面,只要网络环境配置得当,网络安全的技术保障基本上能满足网络安 35 ××证券南宁营业部网络系统方案 全的需要。 从实践上来看,安全事故一旦出现,需要对事故的原因进行分析。 而分析的信息除了人的活动线索以外,还要有数据的线索。”网警入侵检测系统”能够提供有用的系统活动记录。”网警入侵检测系统”对关键数据的访问记录可以帮助了 解破坏数据的现场情况。 “网警入侵检测系统”不仅是一个有用的工具,它还特别有助于打好网络安全 的基础。”网警入侵检测系统”将网络中的设备注册信息按照层次型的结构存放在 目录服务数据库(NDS)中,无形地为今后其它对网络设备的管理(不仅仅是安全方面)建立了数据库基础,并且开拓了思路。”网警入侵检测系统”严格的登录审查和数据审查使得内部人员操作更易实现规范化。 “网警入侵检测系统”的安全基础是Netware目录服务(NDS)。 目录服务在安全性,高效性及可靠性等诸方面拥有巨大优势,是今后网络管理的发展方向。 良好的基础使”网警入侵检测系统”具有可靠、持久的发展潜力。 在未来多方位网络运算的环境下,网络安全所涉及方面将越来越广泛。”网警入侵检测系统”将有助于建立正确的安全服务理念,增强网络安全意识,促进 安全操作规范的形成;从而在整体上加强网络建设的质量,提供更完善,更安全 的服务。 总结我们多年的工程实施经验,我们认为以下几点在工程实施的过程中起着 重要的作用: 1.各级领导的支持与用户的参与 各级领导的支持与最终用户的参与是工程实施成功的首要条件。在工程实施 的过程中,领导的支持与协调起着关键的作用,是工程得以顺利实施的重要保障, 特别是在大型信息管理网络工程的实施中,这一点显得尤为重要。使用者的积极 配合能够使我们对用户需求得以更确切的理解,使我们与用户的不同意见能够得 以迅速地沟通,从而保证系统能够满足用户的实际业务需求。另外,用户的参与 36 ××证券南宁营业部网络系统方案 和配合也是一个接受培训的过程,这对整个系统能够顺利投入运行起着重要的作 用。 2.厂商的经验与能力 证券交易业务复杂程度高,流程要求严,网络覆盖面大,特种业务多,要求 网络系统不仅要满足现有的一切业务要求,而且要具有一定的灵活性与适用性, 以便于能够应付国内证券交易业务的不断变化和发展。 ××多年来一直致力于系统集成和应用软件系统的设计、开发与实施,产品 应用于证券、银行、社保等多个重要行业。在多年应用软件系统的设计、开发和 具体的工程实施过程中,积累了丰富的经验,并具有雄厚的技术实力。 3.严格的工程化实施管理办法 工程化的管理要求在工程实施以前制定出详细的工程实施计划与步骤,对系 统硬件、网络、系统软件等的安装测试,业务应用软件的开发与测试、系统集成、 培训等各项工作做出合理的安排,并成立工程实施领导小组,有效地把握与控制 工程实施的进度。 4.人员的保障 在工程量大、环节多、时间紧迫的情况下,人力资源将变得非常重要,针对 ××证券南宁营业部网络工程,我们将成立若干任务小组,明确各个小组的任务 与职责,以保证工程实施的各个环节得以顺利进行。 5.强有力的后续支持与服务 一个网络系统的生命周期不仅依赖于它对用户现在需求的适用性,而且依赖 于它对用户将来不断变化和发展的适用性。随着中国证券体制的不断改革与深 化,证券业务的需求也不会一成不变,这就要求厂商具有强有力的后续支持与服 务能力。 ××公司集多年的开发管理与工程实施经验,对业务的发展有着充分的了 解,在后续支持与服务方面有多年的经验和熟练的技术队伍,我们有信心把×× 证券网络系统建设成最好的计算机网络系统。 37 ××证券南宁营业部网络系统方案 ××公司不只是在系统集成上,而且在工程管理方面同样具有显著的优势。 多年来,我们一直致力于各行业应用软件的设计、开发与系统集成的实施,形成 了从产品的设计/开发、生产,到安装及售后服务的工程化管理体制,建立起了 一套完善的质量控制体系。以下将介绍我们针对××网络系统工程实施的管理思 想,所有这些思想都是以保持双方长期合作关系为出发点的。我们建议该项工程 的管理组织机构如下图所示: 工程领导小组 项目经理 技术工 硬件工 质量控 后勤组 程 组 程 组培训组 制 组 各小组具体职责如下所述: ? 工程领导小组 由双方高层领导人员组成,主要负责重大决策、组织、协调工作,并对工程 项目建设过程中的进度、计划和质量进行监督。 ? 项目经理 项目经理是全部项目管理的核心,将负责整个项目全过程的所有管理职责, 制订项目计划,保证各小组的工程保持技术上的一致性,定基检查项目计划的完 成情况和质量,并向工程领导小组汇报。 38 ××证券南宁营业部网络系统方案 ? 硬件工程组 负责机房及设施布置规划 硬件设备的安装、测试及维护工作 网络规划及网络设备的安装与测试 ? 技术支持组 负责数据的移植工作 在系统试运行阶段,确保整个系统全天正常运行 ? 培训组 制定培训计划,准备各种培训教材 承担对软件开发人员、操作员、系统管理维护员的培训工作 ? 质量控制组 制定质量保证计划,对工程实施各阶段的质量进行监督 拟定测试计划 设计测试方案与程序 执行测试任务 ? 后勤组 负责整个项目执行过程中文件资料打印、管理及后勤工作,辅助茂目的顺利 实施。 在整个工程的实施过程中,各小组负责人定期召开会议,交流情况,并向双 方领导汇报,以便于双方领导及时了解情况,有效地控制工程实施的进度。 ××公司建议××证券的网络系统建设分两个阶段进行。 第一个阶段先按本方案的建议进行综合布线以及中心机房装修工作,为网络 系统构建一个良好的物理线路基础。 在完成第一阶段工作并上线成功后,开始第二个阶段的网络系统建设工作, 39 ××证券南宁营业部网络系统方案 将××证券的网络系统建设成为一个强健的、能够同时处理大量并发访问的、高 可用的、稳定的证券公司网络系统。 本项目将按照GB8567-88的要求提供各类开发文档,包括: 系统方案设计 测试报告 维护手册 使用手册 系统手册等 经过多年的不断总结和完善,××已拥有一套完整的支持计划,通过××, 用户可得到的反应迅速、精密准确的解决方案。 ××与其合作伙伴,如IBM公司、HP公司、CISCO公司等,也保持着紧密的技术和商务联系,可保证对用户提供及时周到的技术支持与服务。 1. ? 向用户提供机房场地标准 ? 根据场地标准对主机房各指标进行检测 ? 提供主机房场地的系统布线建议 ? 在当地电信部门的配合下,调试各通讯线路 ? 测试通讯线路的稳定性 ? 负责主机、网络设备与通讯线路的联接与调试 40 ××证券南宁营业部网络系统方案 ? 主机房硬件设备的安装 ? 网点硬件设备的安装 ? 操作系统及数据库的安装 ? 双机切换软件的安装 ? 通讯软件的安装 ? 应用软件的安装 ? 协助用户将原系统的数据移植到新系统上来 ? 在必要的情况下帮助用户编写数据转移程序 ? 提供系统运行过程中的技术咨询 ? 协助用户进行软硬件故障排除、必要时到场服务 ? 新旧系统并行阶段提供现场服务 ?帮助用户设计新的扩充方案并加以实施,如:增加新业务、扩充新业务、 增加新设备、主机容量扩充等。 ? 对用户操作员、维护人员、管理人员进行培训 ? 向用户提供操作手册及关技术文档 ? 提供足够的备品、备件、易耗品等 ? ××的合作伙伴IBM公司在国内建有保税仓库,可对用户主机系统提 供现场维修服务和技术支持。 41 ××证券南宁营业部网络系统方案 ××向用户提供下列服务方式: ? 电话咨询 ? 远程维护,在用户允许并登记在册的情况下,通过网络登录用户主机, 排除软件故障 ? 对系统发生故障的维修、技术支援的相应时间不超过1小时;需提供现场服务的,不超过6小时 ? 保证在系统验收后的一年保修 ? 操作系统及其它系统软件在系统验收后的一年之内如发布新版本,免 费为用户更换或升升级; ? 保修期满后三年内,以优惠条件提供系统技术支持。 ? 为用户培训技术人员 依照机器性能,作业状况及经验积累,排定周全的故障预防计划。 定期性实施预防性的维护工作,其中包括:机器的调整、配件的检查或更新、 机件的润滑、环境的检查工作。 对系统故障的维修、技术支持的有响应时间不超过1小时,复杂问题的现场维护响应时间不超过24小时;节假日休息时间现场维护时间不超过28小时。 为使设备尽快恢复作业能力,维修时采用准确的更换相应板卡的方式,以缩 短维修时间,避免影响作业。 根据项目的建设时间要求,将在网络系统建设好之后对××的从业人员进行 专业培训和指导,使从业人员能够对常见的小问题进行独立解决,保证系统日常 42 ××证券南宁营业部网络系统方案 的正常运行。 对于技术人员的培训主要针对系统的软硬件配置、常见的网络故障、系统各 个子模块的性能指标等技术环节进行指导,使其可以对一些常见的问题可以独立 解决,保障系统的运行。 详见附件二。 43 ××证券南宁营业部网络系统方案 OA 目前各证券公司证券业务系统初具规模,但普遍缺乏有效的办公和信息管 理工具,行业业务系统主要是证券交易中心系统,信托投资业务管理系统等,利 用优秀的办公自动化系统(OA SYSTEM)提高工作效率、增强协作,并结合各种 业务系统和信息系统,提高信息利用率,实现应用的集成,已成为一种必然趋势。 在对市场上流行的多种邮件处理及群件产品平台进行反复的比较和考察 后,最终选择了具有的强大功能、开放性、跨平台性、易用性、可伸缩性和安全 性的Lotus Domino/Notes平台。 系统采用最优秀的Lotus Domino/Notes作为××证券办公自动化系统集成 平台,紧密结合Lotus Domino/Notes群件的几项关键技术(邮件、工作流、文档库等),利用Lotus Domino/Notes对多协议、多平台的支持和良好的可伸缩性等 特点构建以总部为中心、辐射到各营业网点的办公自动化系统,集成各种应用在 同一平台内,充分体现了交流、协调、合作和信息共享的特点。 44 ××证券南宁营业部网络系统方案 宏源证券办公自动化系统 个人秘书 人事管理 办公环境 公共信息系统 决策系统 工作管理系统 公告栏 日程管理 待办事宜 行政报表 电子邮件 考勤管理 任务管理 报告审批 人事档案 业务报表 问题建议 个人文档 管理 日周月报管理 会议管理 弹出通知 财务报表 通讯录 BBS 公文管理 记事本 网上调查 约会提醒 个人秘书是为个人用户提供的数字助理功能。进入本系统后,用户可以在一 个统一的浏览器界面下完成电子邮件的处理、建立并维护各类通讯录、记录个人 重要记事、约会提醒等基本任务。电子邮件(E-mail)实现各类信息(信件、文档、报表等)在各部门及员工之间快速、高效的传递,同时还可以实现与外界Notes及非Notes邮件系统进行通讯。个人文档管理系统提供一个个人文件库,起到一 个个人文件夹的作用。在本系统中,用户可以利用文字、表格、图形处理工具套 件,如MS OFFICE或Lotus SMARTSUITE(集成在Notes中)处理文件,而且文件也不局限于类型,可以是文字、表格、图形等等。可将已处理的文件放入Notes进行传送。电子通讯录记录单位和个人的通讯地址。记事本可以记录发生的重要 事件备忘。约会提醒可以用电子文档方式提醒有可能忘记的重要约会。 45 ××证券南宁营业部网络系统方案 公告栏系统为用户建立一个电子公告栏。使用户可以通过公告栏发布通知、 通告和消息。所有用户都可随时浏览公告栏。问题与建议问题与建议系统为公司 领导和群众提供了一个相互交流的纽带。所有用户可在此向上级提出合理化建议 和个人意见。领导可针对这些建议和意见进行答复。 提建议或意见者可以以签名或匿名方式提出建议和意见,个人仅能看到自己的建议或意见。网上调查完成 单位内部民意调查,通过图形化的调查结果可以让领导层作出符合民意的决策。 BBS实现与单位员工之间的交流、协作和共享信息。弹出式通知可以让所有员工 一进入系统就看到一个弹出窗口的通知,确保让公司重要通知传达到每个员工。 工作管理系统是用户对各种任务执行(进展)全过程进行监控和管理的辅助工具,包括任务管理、日程管理二个子系统。任务管理: 包括任务的创建、任务分配、下达、调整、任务终结、任务转交、工作情况汇报、查询、汇总等功能。 日程管理可以用于个人时间计划,是个人工作台历,用于安排个人的工作、活动、 计划等事项。完成单位人员的一天/周/月的及所遇到的困难和解决方 法。 人事管理系统该系统主要实现公司人事基本信息的维护和统计管理,实现人 员考勤信息采集、统计存档管理。提供从公司领导、部门领导到公司员工的多种 级别的查询能力。人事信息管理员工考勤管理。 办公环境是行政办公系统中最主要的功能和界面,提供部门协作及个人办公 中的工作、计划、安排、实施、协调、考核等管理功能。主要包括如下功能: 待 办事宜是用户开始每日办公工作首先要知道的信息。系统将所有需要用户办理的 事务汇集到待办事宜系统中,实现了在统一界面下完成所有工作。是用户日常办 公的统一入口和有力工具。报告审批功能能够让报告起草人起草的报告按照一定 的审批顺序让审批人审批,并且在报告处理过程中当前审批人能够看到前面所有 审批人批改的结果。当前审批人可以对以后的审批程序进行修改或选择下一审批 46 ××证券南宁营业部网络系统方案 部门、人员。只有相关人员、当前审批人和以前所有审批人对此文件有阅读权限; 只有当前审批人可对文件进行修改、指示、同意或拒绝;其他人无法在视图中看 到文件。在文件的审批过程中,以前的审批人能够看到此人以后的审批人对此文 的批阅状态和审批指示。会议管理该系统实现会议管理自动化。该系统使会议资 源统一管理、网络预定; 会议通知自动化; 《会议纪要》管理电子化。公文管理 系统实现企业集团公文管理电子化,由电子行文方式代替手工行文方式,解决了 公文传递慢、信息不及时、不同步、不易保存、不易管理等问题。 领导可以方便地通过办公平台查看行政报表、业务报表、财务报表,大 大方便了领导对业务进展情况的掌握,提高了决策效率。 4.7 提供OA系统管理员分配用户帐号、权限功能及用户更改密码功能。 47
/
本文档为【证券营业部网络系统方案】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索