证券公司数据中心解决方案27.doc
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
证券公司数据中心解决方案27 证券公司数据中心解决方案
○市场需求
近两年来,在各行各业的大型企业的IT 规划中,广泛探讨的主题是数据中心大集中。同样在证券行业,“集中交易”也成为证券公司广泛探讨的一个热门话题。在证券行业IT 建设的不断发展过程中,为了加快对市场的响应速度,对IT 应用系统开发的速度提出了更快的要求,为适应这种变化,IT 的体系结构从原来单一集中式模式,走向分布式模式,并逐步演变成难以控制的分散式架构。实践证明,在这种分散式架构给证券行业的业务开展带来了诸多负面效果:
●资源利用率不足:设施闲置率高;●建设标准不统一:运维复杂、低效;
●抵御风险能力差:信息资源分置,无法形成统一的容灾方
案和业务永续计划;
●安全策略不一致:安全需要整体部署,单个信息点的安全
问题带来的是整网的安全隐患;
●灾备复杂且昂贵:在众多的分散中心的条件下,实施相
互灾难备份的费用是非常庞大的,其管理及运作是及其艰难
的
面对这些挑战:
●如何更好的支持现有业务的运营以及新业务的开展?●怎样加强对公司众多分支机构、营业网点的管理?●怎样有效快速地分析业务数据?
解决之道就是进行数据集中,建立数据中心,数据中心是放置关键业务的服务器资源、存储资源、
网络资源的中心位置,
实现了对计算、存储和网络资源的可控的、集中化的管理,并提供连续性、安全性和可扩展性保障。数据集中有利于管理的集约化和精细化,也是证券公司优化业务流程和管理流程的必要手段。
H3C 的数据中心解决方案作为证券公司信息系统平台的重要组成部分,为集中交易系统、监控稽核系统、CRM 系统、资产管理系统等业务系统提供基础的IT 平台。
○解决方案
●
数据中心之标准化
证券数据中心整体的建设包含了网络、安全、存储等一体化基础平台的建设,H3C 可以提供全线产品和一体化的基础平台;而对于证券数据中心的统一管理,H3C 的IMC 的智
能管理中心可以实现对基础架构的一体化管理,可以说证券数据中心解决方案是IToIP
的最佳实现解决方案。
●
数据中心之高可靠
随着券商之间竞争的加剧,股民对券商服务的要求越来越高,保证数据中心的高可用性,提供7×24小时网络服务成为券商建网的首要目标,也是数据中心建设关注的第一要素。
导致网络不可用,即网络故障的原因主要有两类:-不可控因素,如自然灾害、战争、大停电、人为破坏等通过建设生产中心、本地备份中心、异地容灾中心,即“两地三中心”模式,通过良好的整体规划设计,保证不可控因素影响下数据中心的高可用性。
-可控因素,如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。
H3C 在相关产品设计上考虑了诸多因素,提供了全系列的解决方案,包括物理设备、链路层、IP 层、传输层和应用层,全方位的提高网络可用性。
◎硬件设备冗余,如设备双主控、单板热插拔、冗余电源、
冗余风扇。
◎物理链路冗余,如以太网链路聚合等。◎环网技术,如:
RPR、RRPP
等技术。
◎二层路径冗余,如:MSTP、SmartLink。
◎三层路径冗余,如:VRRP、ECMP、动态路由快速收敛。◎快速故障检测技术,如:BFD 等。
◎不间断转发技术,如
GR 等。
除了产品高可用性外,H3C 在证券数据中心整体设计上还提供完整的高可用方案:服务器接入高可用设计,接入层到汇聚的高可用设计,汇聚层的高可用设计。
●
数据中心之智能安全
在深入分析证券公司IT 安全形势的基础上,H3C 提出基于状态演进的安全模型,把IT 的安全分成:
◎单机安全:单机安全强调权限管理、病毒防护、数据备份
◎局部安全:局部安全强调远程接入、入侵检测、安全融合、
安全协作
◎深度安全:深度安全强调容灾备份、深度抵御、安全审计、
流量分析
◎统一安全:统一安全强调风险管理、企业内控、统一规划、
统一管理
随着安全状态的演进,安全向着应用智能的安全方向发展。
在任何情况下,信息只存在于三种状态之一:
◎计算:计算是信息被创建、修改、删除、查询以及深度处
理的过程。
◎通讯:通讯是信息在不同的环境之间以及环境内部传递的
过程。
◎存储:信息被以某种形式临时或者永久性保存的过程。
安全的目标就是在保证数据在这三种状态下的安全。
信息的安全状态决定安全的策略。对于数据中心来讲,信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管
理策略。
安全策略的基础是基于业务的安全分区,数据中心业务安全分区的优势:
◎增加新功能区更容易
◎不同区域可实施不同的安全策略◎每个分区按照需求可独立的扩展◎具有发生故障时易定位、易恢复等优点
因此,按照分区的思想,数据中心按照业务类型分为不同的逻辑区域,每个分区制定不同的安全策略和信任模型。
从实际部署上看,又分成:
◎边界访问控制◎深度智能防御◎智能安全管理
边界访问控制H3C SecPath 系列防火墙是H3C 公司面向企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN 业务,如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN 等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS 特性,提供流量监管、流量整形及多种队列调度策略。从形态上看:
防火墙可以是一台独立的盒式设备,如SECPATH F1800/