证券公司数据中心解决方案27.doc

证券公司数据中心解决方案27 证券公司数据中心解决方案

○市场需求

近两年来，在各行各业的大型企业的IT 规划中，广泛探讨的主题是数据中心大集中。同样在证券行业，“集中交易”也成为证券公司广泛探讨的一个热门话题。在证券行业IT 建设的不断发展过程中，为了加快对市场的响应速度，对IT 应用系统开发的速度提出了更快的要求，为适应这种变化，IT 的体系结构从原来单一集中式模式，走向分布式模式，并逐步演变成难以控制的分散式架构。实践证明，在这种分散式架构给证券行业的业务开展带来了诸多负面效果：

●资源利用率不足：设施闲置率高；●建设标准不统一：运维复杂、低效；

●抵御风险能力差：信息资源分置，无法形成统一的容灾方

案和业务永续计划；

●安全策略不一致：安全需要整体部署，单个信息点的安全

问题带来的是整网的安全隐患；

●灾备复杂且昂贵：在众多的分散中心的条件下，实施相

互灾难备份的费用是非常庞大的，其管理及运作是及其艰难

的

面对这些挑战：

●如何更好的支持现有业务的运营以及新业务的开展？●怎样加强对公司众多分支机构、营业网点的管理？●怎样有效快速地分析业务数据？

解决之道就是进行数据集中，建立数据中心，数据中心是放置关键业务的服务器资源、存储资源、

网络资源的中心位置，

实现了对计算、存储和网络资源的可控的、集中化的管理，并提供连续性、安全性和可扩展性保障。数据集中有利于管理的集约化和精细化，也是证券公司优化业务流程和管理流程的必要手段。

H3C 的数据中心解决方案作为证券公司信息系统平台的重要组成部分，为集中交易系统、监控稽核系统、CRM 系统、资产管理系统等业务系统提供基础的IT 平台。

○解决方案

●

数据中心之标准化

证券数据中心整体的建设包含了网络、安全、存储等一体化基础平台的建设，H3C 可以提供全线产品和一体化的基础平台；而对于证券数据中心的统一管理，H3C 的IMC 的智

能管理中心可以实现对基础架构的一体化管理，可以说证券数据中心解决方案是IToIP

的最佳实现解决方案。

●

数据中心之高可靠

随着券商之间竞争的加剧，股民对券商服务的要求越来越高，保证数据中心的高可用性，提供7×24小时网络服务成为券商建网的首要目标，也是数据中心建设关注的第一要素。

导致网络不可用，即网络故障的原因主要有两类：－不可控因素，如自然灾害、战争、大停电、人为破坏等通过建设生产中心、本地备份中心、异地容灾中心，即“两地三中心”模式，通过良好的整体规划设计，保证不可控因素影响下数据中心的高可用性。

－可控因素，如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。

H3C 在相关产品设计上考虑了诸多因素，提供了全系列的解决方案，包括物理设备、链路层、IP 层、传输层和应用层，全方位的提高网络可用性。

◎硬件设备冗余，如设备双主控、单板热插拔、冗余电源、

冗余风扇。

◎物理链路冗余，如以太网链路聚合等。◎环网技术，如：

RPR、RRPP

等技术。

◎二层路径冗余，如：MSTP、SmartLink。

◎三层路径冗余，如：VRRP、ECMP、动态路由快速收敛。◎快速故障检测技术，如：BFD 等。

◎不间断转发技术，如

GR 等。

除了产品高可用性外，H3C 在证券数据中心整体设计上还提供完整的高可用方案：服务器接入高可用设计，接入层到汇聚的高可用设计，汇聚层的高可用设计。

●

数据中心之智能安全

在深入分析证券公司IT 安全形势的基础上，H3C 提出基于状态演进的安全模型，把IT 的安全分成：

◎单机安全：单机安全强调权限管理、病毒防护、数据备份

◎局部安全：局部安全强调远程接入、入侵检测、安全融合、

安全协作

◎深度安全：深度安全强调容灾备份、深度抵御、安全审计、

流量分析

◎统一安全：统一安全强调风险管理、企业内控、统一规划、

统一管理

随着安全状态的演进，安全向着应用智能的安全方向发展。

在任何情况下，信息只存在于三种状态之一：

◎计算：计算是信息被创建、修改、删除、查询以及深度处

理的过程。

◎通讯：通讯是信息在不同的环境之间以及环境内部传递的

过程。

◎存储：信息被以某种形式临时或者永久性保存的过程。

安全的目标就是在保证数据在这三种状态下的安全。

信息的安全状态决定安全的策略。对于数据中心来讲，信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管

理策略。

安全策略的基础是基于业务的安全分区，数据中心业务安全分区的优势：

◎增加新功能区更容易

◎不同区域可实施不同的安全策略◎每个分区按照需求可独立的扩展◎具有发生故障时易定位、易恢复等优点

因此，按照分区的思想，数据中心按照业务类型分为不同的逻辑区域，每个分区制定不同的安全策略和信任模型。

从实际部署上看，又分成：

◎边界访问控制◎深度智能防御◎智能安全管理

边界访问控制H3C SecPath 系列防火墙是H3C 公司面向企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN 业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN 等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS 特性，提供流量监管、流量整形及多种队列调度策略。从形态上看：

防火墙可以是一台独立的盒式设备，如SECPATH F1800/