证券公司数据中心解决方案27 证券公司数据中心解决方案○市场需求近两年来，在各行各业的大型企业的IT 规划中，广泛探讨的主题是数据中心大集中。

同样在证券行业，“集中交易”也成为证券公司广泛探讨的一个热门话题。

在证券行业IT 建设的不断发展过程中，为了加快对市场的响应速度，对IT 应用系统开发的速度提出了更快的要求，为适应这种变化，IT 的体系结构从原来单一集中式模式，走向分布式模式，并逐步演变成难以控制的分散式架构。

实践证明，在这种分散式架构给证券行业的业务开展带来了诸多负面效果：●资源利用率不足：设施闲置率高；●建设标准不统一：运维复杂、低效；●抵御风险能力差：信息资源分置，无法形成统一的容灾方案和业务永续计划；●安全策略不一致：安全需要整体部署，单个信息点的安全问题带来的是整网的安全隐患；●灾备复杂且昂贵：在众多的分散中心的条件下，实施相互灾难备份的费用是非常庞大的，其管理及运作是及其艰难的面对这些挑战：●如何更好的支持现有业务的运营以及新业务的开展？●怎样加强对公司众多分支机构、营业网点的管理？●怎样有效快速地分析业务数据？解决之道就是进行数据集中，建立数据中心，数据中心是放置关键业务的服务器资源、存储资源、网络资源的中心位置，实现了对计算、存储和网络资源的可控的、集中化的管理，并提供连续性、安全性和可扩展性保障。

数据集中有利于管理的集约化和精细化，也是证券公司优化业务流程和管理流程的必要手段。

H3C 的数据中心解决方案作为证券公司信息系统平台的重要组成部分，为集中交易系统、监控稽核系统、CRM 系统、资产管理系统等业务系统提供基础的IT 平台。

○解决方案●数据中心之标准化证券数据中心整体的建设包含了网络、安全、存储等一体化基础平台的建设，H3C 可以提供全线产品和一体化的基础平台；而对于证券数据中心的统一管理，H3C 的IMC 的智能管理中心可以实现对基础架构的一体化管理，可以说证券数据中心解决方案是IToIP的最佳实现解决方案。

●数据中心之高可靠随着券商之间竞争的加剧，股民对券商服务的要求越来越高，保证数据中心的高可用性，提供7×24小时网络服务成为券商建网的首要目标，也是数据中心建设关注的第一要素。

导致网络不可用，即网络故障的原因主要有两类：－不可控因素，如自然灾害、战争、大停电、人为破坏等通过建设生产中心、本地备份中心、异地容灾中心，即“两地三中心”模式，通过良好的整体规划设计，保证不可控因素影响下数据中心的高可用性。

－可控因素，如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。

H3C 在相关产品设计上考虑了诸多因素，提供了全系列的解决方案，包括物理设备、链路层、IP 层、传输层和应用层，全方位的提高网络可用性。

◎硬件设备冗余，如设备双主控、单板热插拔、冗余电源、冗余风扇。

◎物理链路冗余，如以太网链路聚合等。

◎环网技术，如：RPR、RRPP等技术。

◎二层路径冗余，如：MSTP、SmartLink。

◎三层路径冗余，如：VRRP、ECMP、动态路由快速收敛。

◎快速故障检测技术，如：BFD 等。

◎不间断转发技术，如GR 等。

除了产品高可用性外，H3C 在证券数据中心整体设计上还提供完整的高可用方案：服务器接入高可用设计，接入层到汇聚的高可用设计，汇聚层的高可用设计。

●数据中心之智能安全在深入分析证券公司IT 安全形势的基础上，H3C 提出基于状态演进的安全模型，把IT 的安全分成：◎单机安全：单机安全强调权限管理、病毒防护、数据备份◎局部安全：局部安全强调远程接入、入侵检测、安全融合、安全协作◎深度安全：深度安全强调容灾备份、深度抵御、安全审计、流量分析◎统一安全：统一安全强调风险管理、企业内控、统一规划、统一管理随着安全状态的演进，安全向着应用智能的安全方向发展。

在任何情况下，信息只存在于三种状态之一：◎计算：计算是信息被创建、修改、删除、查询以及深度处理的过程。

◎通讯：通讯是信息在不同的环境之间以及环境内部传递的过程。

◎存储：信息被以某种形式临时或者永久性保存的过程。

安全的目标就是在保证数据在这三种状态下的安全。

信息的安全状态决定安全的策略。

对于数据中心来讲，信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。

安全策略的基础是基于业务的安全分区，数据中心业务安全分区的优势：◎增加新功能区更容易◎不同区域可实施不同的安全策略◎每个分区按照需求可独立的扩展◎具有发生故障时易定位、易恢复等优点因此，按照分区的思想，数据中心按照业务类型分为不同的逻辑区域，每个分区制定不同的安全策略和信任模型。

从实际部署上看，又分成：◎边界访问控制◎深度智能防御◎智能安全管理边界访问控制H3C SecPath 系列防火墙是H3C 公司面向企业用户开发的新一代专业防火墙设备。

支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN 业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN 等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS 特性，提供流量监管、流量整形及多种队列调度策略。

从形态上看：防火墙可以是一台独立的盒式设备，如SECPATH F1800/F1000/ F100。

也可以是一块网络插卡，内置在网络设备中，成为多业务融合智能网络设备，如H3C SecBlade I/II。

深度智能防御H3C IPS 系列产品是业界领先的IPS 产品。

产品以在线或者旁路的方式部署在客户网络的关键路径上（可以实现在线防御，也可以配置Layer2-back，即二层回退），通过对流经该关键路径上的网络数据流进行2到7层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，从而可为客户网络提供三大保护功能：保护网络应用、保护网络基础设施、保护网络性能。

同时，H3C IPS 系列产品还具有强大、实用的带宽管理和URL 过滤功能，可为客户带来IPS 之外的更高附加价值。

智能安全管理H3C 安全管理中心SecCenter 可以即时收集安全事件、网络事件、系统事件、应用事件，并把原始数据转换为智能、安全、有效信息，是数据中心安全管理的有效工具。

SecCenter 可管理近100家主流厂商的安全与网络产品、1000余种报表的自动或手工生成、流量与攻击的实时监控、海量事件关联和威胁分析、安全审计分析与追踪溯源。

总之，H3C 通讯安全目标是提供面向业务的端到端的安全保障，覆盖客户端、网络和数据中心的服务器和存储系统。

●数据中心之应用智能优化随着证券业务的快速发展，数据中心的性能瓶颈日趋凸现，为了解决诸如此类的性能问题，出现了流量管理产品，比如能够深度识别和管理P2P 流量的路由器，产品工作在网络层以解决数据传输中的应用优化问题；负载均衡设备，产品的目标是解决服务器访问的瓶颈问题。

但是这些产品不足以解决数据中心应用层的性能问题，因此H3C 应用优化设备应运而生，它采用先进的连接管理技术进行TCP 卸载和传输层端到端优化，考虑到SSL、压缩、加密等更多并发处理，极大的提高了数据中心的数据访问性能。

SecPath ASE 系列是H3C 公司推出的一款面向Web 应用和数据中心的高性能应用加速硬件产品，它将web 加速、SSL 卸载和加速、压缩、TCP 优化、负载均衡、防DDos 攻击等技术集成在一个硬件平台上，并且每个功能模块都是由专有的硬件芯片运行。

利用全硬件加速处理技术来帮助企业提高应用性能，最大可使Web 服务器的性能提升10倍。

同时，SecPath ASE 还可以提供高可用性负载均衡、快速与超智能的第4-7层交换、精细的互动控制以及其它诸多特性，为数据中心网络提供最好的保护。

产品主要功能：◎TCP连接优化ASE 采用TCP 连接终结技术，将所有客户端的TCP 连接转移至ASE，实现硬件加速；ASE 与服务器之间仅需要建立少量的、持续的TCP 连接。

ASE 使服务器从处理大量的并发TCP 请求和TCP 连接建立/卸载的负担中解脱出来，服务器的大量CPU 资源被释放；同时，ASE 与服务器之间以局域网的速度通讯，大大提高了传输效率。

◎负载均衡ASE 提供了完全的第4〜7层服务器负载均衡功能，可在单一设备上支持多个应用和服务器集群的部署。

ASE 可以根据各种算法和要求分配用户请求，大大提高整个系统的运行效率和可靠性，降低维护成本。

◎SSL 卸载与加速所有SSL 连接被ASE 终结，ASE 处理所有的SSL 连接建立、握手、加密和解密工作,以高于明文的速度提供安全内容。

SSL 事务处理和管理的卸载，可以为服务器释放昂贵的CPU 周期，极大降低系统开销，把服务器处理需求减少多达40%，从而实现应用资源的整合，提供立竿见影的投资回报。

◎内容压缩ASE 根据需要压缩返回用户的数据，可以将带宽占用降低60%，用户得到更快的响应，同时消除服务器处理压缩的开销。

压缩功能由专门的硬件模块来完成，不占用系统资源，不影响其它功能。

同时，与传统的软件压缩相比，ASE 数据压缩的吞吐量和压缩速度大大提高。

◎安全防护ASE 集成的DDoS 防护功能，能够抵御SYN，Land，Teardrop，ICMP 等多种DDoS 攻击。

其独特的设计和结构仅允许合法的用户请求传送到服务器，并在识别攻击的同时继续向合法用户提供服务，从而为用户应用提供一道安全层。

◎高峰负荷保护ASE 连接和请求处理机制及其强大的处理能力能够保护服务器免于超载，使得服务器可以充分发挥其潜力，而由ASE 处理高峰负荷。

SecPath ASE 的单臂部署方案采用单臂模式，可以将ASE 旁路部署在网络内部，不需要改变网络原有部署。

访问Web 服务器资源的用户首先要被牵引到应用加速设备ASE 上，连接终结后，ASE 再与后台服务器进行服务请求。

由于单臂模式无需改变网络环境，因此在大大提高应用运行速度的同时，也保证了应用的可靠性，减少网络维护工作量和日常运营成本。

SecPath ASE 的在线部署方案将ASE 部署在服务器群前端，串行接入网络，为用户提供应用加速和负载均衡功能，实现对网络应用的性能提升。