第一篇:1 证券解决方案
证券解决方案
证券行业的网络应用主要分为两大方面:营业部网络和证券公司广域网。前者实现了各营业部的基本工作职能,侧重于局域网建设;后者则满足了大型跨地域证券公司的网络互连需求和增值服务的实现。为此,通威公司针对两类应用的特点分别提出了相应的解决方案。
1、营业部网络
营业部网络的功能由以下几部分组成:
1、交易/行情业务处理
这是每一个证券营业部网络所要提供的基本职能。它需要为用户提供行情公告和委托下单服务,一般基于Novell网络操作系统应用程序;同时还要具有交易清算的功能,这一般在Windows NT或UNIX环境下完成。交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,其网络传递能力代表了证券营业部的服务质量和市场竞争 力,因此为这项主业务作支撑的网络要求具有很高的可靠性、数据传输速率和安全性。根据各营业部规模不同,网络环境大多采用100/1000M交换以太网作主干,10/100M 交换以太网到桌面的连接方式。
2、办公管理
除业务处理外,办公管理现代化也是行业发展的必然趋势,它可将营业部的各项管理数据作电子存档,通过网络共享,做到准确、及时、方便的信息交流,这部分数据以文字和图形为主,一般采用界面友好的浏览器形式操作。相对主业务数据而言,办公管理对网络实时性要求不高,主要强调系统的安全可靠、稳定和经济性。为此网络采用100M交换以太网主干,10M交换到桌面的连接方式就足以满足需求了。
3、通信服务
通信服务的内容涉及多个方面。这主要包括:发展证券公司内部Intranet,以WEB、电子邮件等方式加强办公管理;进一步与当地信息港、互联网连通,实现资源共享,同时扩展市场影响力;增加本地拨入服务,建立远程大户室,从而开拓新的业务范围等。这部分功能体现了证券公司的增值能力,其应用特点为灵活、多样,并且往往要借助于广域网链路来实现,要求系统可靠、扩展能力强,广域网链路经济,而互联网的接入则对网络的安全性提出考验。为此可采用防火墙和认证软件来保证系统的安全可靠,采用模块化设计的网络设备保证系统的扩充能力,并采用优化的带宽管理、多种链路技术、高速缓存等来保证广域网链路的经济性。
证券营业部网络的各项功能并非是各自独立的,而是相辅相成,并最终在一个统一的网络架构中实现。综上所述,这个网络的主体要求是:
可靠,不停机--系统有一定的冗余和备份,故障恢复迅速;
高速--在用户数据较多、突发流量大的情况下,不容许出现网络瓶颈,阻碍正常交易;
安全--鉴于网络中传递的信息就是金钱,一定要保证数据安全保密,防止不良分子破坏,尤其在互联网接入、危机四伏的情况下,网络安全更要引起重视;
可管理性--为保证系统良好的运行,满足前述几项要求,营业部网络也需要实施完善的管理,如精确分析网络流量、确定系统运行状态,监控非法用户入侵等。
结合上述网络要求,并针对不同的营业部规模和各自应用特点,通威公司提出了以下多种解决方案。
(1)500节点以下证券营业部解决方案
这是针对相对小型的证券营业部提出的解决方案,方案特点如下。
1.系统全套备份,主干交换机的全冗余配置,每个工作站到每台服务器都有多条连接链路,并采用快速以太网通道化、快速上联恢复和快速端口恢复等技术充分确保网络的可靠性。
2.高性能全交换,利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽,满足大负荷网络运行需求;
3.系统安全,保密性高,交换机端口安全设置技术保证了局域网环境的安全,而IOS操作系统集成防火墙功能构成了广域连接安全屏障;
4.管理简单,可在用户熟悉的浏览器界面下,对系统的交换机实施配置和监控。管理人员也无需专门培训。
A、百兆主干方案
根据经济承受能力的不同,对500节点以下的营业部解决方案可以有百兆主干和千兆主干两种方式,百兆主干方案拓扑结构如下
由下图可看出,该方案网络设备组成为(斜杠表示可互换设备)
Catalyst 3524/2948G交换机 两台
Catalyst 2924/3524/3548交换机 十台 Cisco 2600路由器 一台
思科公司的Catalyst 3524或Catalyst 2948G交换机是这一网络的核心设备,Catalyst 3524提供了24个10/100M自适应的快速以太网端口和两上千兆以太网端口,Catalyst 2948G则具有48个10/100M快速以太网端口和两个千兆以太网端口,可分别用于对工作站数量有不同要求的应用,由图1可看出,两台Catalyst 3524/2948G各自利用两个百兆端口通过Cisco FEC(快速以太网通道,Fast Ethernet Channel)接成高达400M的无阻塞通道,成为该网络的主干;每台Catalyst 3524/2948G又分别和十台二级交换机Catalyst 2924/3524/3548级联,共可为220-460个10M或100M用户工作站提供网络接 入;同时,为保证交易服务器和行情服务器的高数据传输率,主干交换机Catalyst 3524/2948G又以100M甚至1000M带宽分别与各台服务器相连,使下级工作站的大量访问数据得以畅通无阻。
为实现前文所述的营业部网络的第三项功能--通信服务,方案中还引入了思科公司的路由器Cisco 2600,这是一款功能灵活、得以广泛应用的中档路由器,除了有固定的10M或10/100M局域网端口外,还具备一个NM网络插槽和两个WIC广域网接口插槽,所选模块可以有多种组合:如NM-8AM模块可为远程大户同时建立八条115.2K的电话拨号连接;WIC-IT可通过DDN专线或帧中继接入Internet或公司总部;WIC-IB则可提供一条ISDN拨号链路……营业部可根据自身需求选择适合的Cisco 2600型号和相应模块,空余的插槽可为以后网络升级留出空间。
除了硬件选配的灵活多样外,Cisco 2600在操作系统软件性能上也可以有丰富的功能选择。图1中所示的路由器后方带有一个红色砖墙标志,它表示该路由器兼任了防火墙--这是通过操作系统升级而具备的增强功能,它使路由器在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中。
考虑到远程大户室的发展趋势,在每套解决方案中都用到了800/1700路由器来引入远程大户连接,这套方案中用到了思科公司的低端路由器Cisco 800/1700,它提供了对内的10/100M局域网接口和对外的128K的ISDN或专线连接,通过专用线路实现远程交易或浏览等应用。ISDN是国内已广泛应用的一种拨号技术,按连接时间计费,费用比普通电话线稍高,但带宽能达到普通电话线的3-4倍,且传输稳定,连接迅速。
思科公司产品系统的中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户入侵到内部局域网中。对连接到广域网的用户来说,安全性是网络设计中不可忽视的一项重要因素。
这种局域网设计的最大特点是高效率、高可靠性、高安全性和高可管理性;并且成本较低,网络结构易于搭建和管理,兼顾了证券营业部的多方面应用。高效率体现在FEC技术的使用、网络的分层结构和带宽的合理分配上。FEC技术是链路带宽扩容的一条重要途径。它可在100M或1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这项技术能够把2-4组高速端口之间的连接带宽聚合在一起,在全双工工作模式下达到400M-800M的带宽,这样多条链路被用作单条高速数据通道,避免了回路的形成。以太网通道技术也体现了产品的可扩充性能,能充分利用现有设备实现高速数据传递。
高可靠性则由两台主干交换机的全冗余充分表现出来:从每个工作站到每台服务器都有多条连接链路,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短时间内启用备份恢复数据传递,从而保证了系统稳定可靠的运行。思科交换机所支持的几种容错技术,如FEC、Uplink-Fast(快速上联恢复)和Port-Fast(快速端口恢复)技术能够充分确保网络的可靠性。FEC技术的引入在实现带宽扩充的同时,多条链路被用作单条高速数据通道,避免了回路的形成,另外通道中部分线路的故障不影响其它线路的带宽聚合,从而也保障了网络的可靠性。快速上联恢复是用在交换机间级联链路上的一项技术。它使备份端口直接由阻塞进入到转发状态,从而使网络收敛时间从40秒大大缩短至5秒以内。快速端口恢复技术应用在直接连接工作站或服务器的交换机端口上,它与快速上联恢复的工作原理类似,将转换延迟从40秒缩短至2秒以内,这样在交换机上接入新的工作站,或改变某工作站的所接端口时,该站点能很快进入工作状态。
系统的安全性包含了局域网的安全性和广域网的安全性。思科局域网交换机能够进行端口安全的设置,交换机端口所连的各个工作站/服务器都有自己唯一的MAC地址,为此对应交换机的每端口都有一下MAC地址表。网络管理员可手动地在表中加入特定的MAC和端口的对应关系,将设备与端口绑定,防止假冒身份的非法用户通过网络中其它交换机接入;此外,端口安全机制还体现在对每端口所支持MAC地址数的限定上。在广域网方面,思科公司路由器的操作系统IOS能够集成防火墙功能。这使路由器在完成路由和远程连接功能的同时充当安全屏障--防火墙的角色,对规模较小的证券营业部,IOS防火墙不失为一种经济的选择。
此外,系统的管理相对简单,可以采用Cisco交换机视像管理器(CVSM),它是一套基于WEB的免费配置管理软件,可在用户熟悉的浏览器界面下对思科交换机系列产品实施配置和监控。CVSM避免了对交换机操作系统语言的直接介入,而以更为友好的图形界面取而代之。用户只需在交换机上只需事先设定好IP地址,就可以通过CVSM轻松地去访问和管理它;所有操作一次性完成,不需随时监控。
B、千兆主干方案
在同一网络规模下,若证券公司对网络主干有更高的要求,可通过更换前套方案中的主干交换机将其提升为千兆主干网络,拓朴结构如下:
图中网络设备组成为:[见图]
Catalyst4003交换机 两台
Catalyst2924/3524/3548交换机 十台
Cisco 2600路由器 一台
该方案与前方案结构大致相同,只是核心交换机由原来的Catalyst 3524/2948G升级为Catalyst 4003,它具备三个接口插槽,可选择的以太网端口从带宽上和密度上都比Catalyst 3524/2948G有较大提高。这里共选配了8个千兆端口和32个百兆端口,从而可以将两台主干间的百兆FEC通道提升为千兆GEC通道,接成高达4G的主干带宽;同时也可为更多的行情/交易服务器或数据量较大的二级交换机提供千兆连接。千兆以太网通道化技术与快速以太网通道化技术类似,它可将2-4组千兆端口之间的连接带宽聚合在一起,在全双工工作模式下达到4-8G的带宽,这样多条链路被用作单条高速数据通道,在提高传输效率的同时避免了回路的形成,通道中部分线路的故障不影响其它线路的带宽聚合,从而也提高了网络的可靠性。
(2)500-1000节点证券营业部解决方案
能支持500-1000节点的证券营业部属中型规模,它的网络建设同样需要满足营业部网络的特定要求,并且相对500节点以下的网络还应具有更高的数据吞吐能力,此类系统的主要特点如下:
系统全套备份,稳定可靠,独特的堆叠技术能够在网络中构造冗余,在堆叠之外每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性;利用HSRP技术,可以实现两个主干交换机在第三层上的热备份功能;
高性能全交换,千兆主干,并采用千兆以太网通道化技术扩充带宽,能满足大负荷网络运行需求;第三层交换技术,能够使两个网段在进行数据交换时,可以根据不同的应用有选择的进行,提高了带宽资源的利用率。VLAN技术的引入也使得系统资源能够被更有效地利用,结合HSRP(热备份路由协议)技术、PVST(每个VLAN单独计算Spanning Tree)技 术,使每个二级交换机上的两条联链路同时处于传输状态,各自分担一部分VLAN的数据传输,充分利用带宽。
系统安全,保密性高,采用先进的虚拟局域网技术,它依靠用户逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成,从而提高了系统的安全性。
可选用功能相对强大的专业网管系统,使网络管理从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面,管理界面友好,使用灵活方便。
通威公司针对这种规模的网络提供的方案拓扑结构如下:
图中网络设备组成如下图:
Catalyst 4006/6506交换机 两台
Catalyst 2948G/2980G交换机 若干 Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
由图可看出,这套方案仍为双主干互备份,级联多个二级交换机的结构。但为支持更多用户数和更多大的数据传输量,各级设备都相应升级:主干交换机采用两台Catalyst 4006(6个接口插槽,带第三层交换模块)或Catalyst 6506(6个接口插槽,带第三层交换模块MSFC),以GEC技术构造8G高速主干,足以负担沉重的数据传输量;二级交换机可采用Catalyst 2948G/2980G,同时与两主干交换机作千兆上联,并为工作站提供48/80个 10/100M接入端口;若某些二级网点要求的用户数更多,则可采用多台Catalyst 3524/3548堆叠--思科公司的Catalyst3500交换机具有独特的GigaStack堆叠技术,采用价格低廉的铜缆以菊花链方式构成1G的堆叠总线,每堆叠最多可支持九台Catalyst 3524/3548,提供多达300多个10/100M工作站接入端口。
该方案充分考虑到系统的高可靠性、高安全性、高速率和可管理性。
在可靠性方面,思科的GigaStack堆叠技术,使首尾两台交换机的额外连线将整个总线结成回路,其目的是在堆叠内构造冗余,这样即使堆叠中任一连接出现故障,都能继续传递数据;在堆叠之外,每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性。
该方案采用了虚拟局域网(VLAN)技术来充分保证系统的安全性。随着用户的增多,整个营业部局域网内数据流通量增大,并且行情、交易、办公管理的数据混杂,不利于网络性能的提高和安全隔离,这使得VLAN的应用成为必要。VLAN依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成。划分VLAN具备以下好处:提高安全性、隔离第二层的广播信息提高带宽利用率、增强网络应用灵活性。当然,不同部门(VLAN)之间有时也需要进行数据交换,为此需要借助主干交换机第三层交换的功能,这是由交换机的第三层交换模块来实现。它支持多种路由协议(如RIP,PIP v2,OSPF,EIGRP等),也支持访问控制列表(access list)。
主干交换机采用千兆高速技术和GEC技术,足以负担沉重的数据传输量;二级交换机的处理能力也非常强大,同时与两主干交换机作千兆上联。思科的HSRP(热备份路由协议)技术,能够使两个主干交换机在第三层(即VLAN之间的数据传输)互为热备份;同时在二级交换机上,利用PVST技术针对两条千兆上联链路为每个VLAN设定不同优先级,使到两条千兆上联链路都负担部分流量,做到负载分担,充分利用带宽资源。
该方案可以选用功能相对强大的专业网管系统如Cisco Works Windows。它的功能已从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面:如定性或定量的分析网络各项参数;基于SNMP全面管理网络中多种设备,以照片方式显示设备直观视图;通过简单的点击配置设备端口和各项参数;通过不同色彩和多种图表显示各种工作状态等。这是一套基于Windows的网络管理软件,可安装在Windows 95/98或Windows NT平台上,界面友好,使用灵活方便。
此外,数据处理能力的增强使得证券营业部有可能开展更多的服务项目,如图形信息量较大、对网络带宽和传输质量要求较高的多媒体股评、视频点播等。
(3)1000节点以上证券营业部解决方案
对于更大规模的证券营业部,通威公司又推出第三套建议方案,方案特点如下:
1.系统全套备份,稳定可靠;
2.高性能全交换,千兆主干,满足大负荷网络运行需求;交换机具备极高的交换能力和端口密度,并通过第三层交换提高了系统性能。
3.系统安全,保密性高,在VLAN、交换机端口安全机制等基础上,高性能的交换机具有对第三层路由模块的支持能力,可以对VLAN间数据交换起到更好的支持作用
4.网络管理采用深入全面的工具,可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数更多,适用于大型网络。
相对中、小规模的证券营业部,大型营业部的业务模式基本没有太多变化,因此网络方案特点同于前方案,但用户数进一步增加对网络容量所带来的更高要求使本方案所用设备再次升级,具体拓扑结构如下:
图中网络设备组成为:
atalyst6509交换机 两台
Catalyst 2948G/2980G交换机
若干 Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
大规模证券营业部所采用的二级交换机仍为Catalyst 2948G/2980G或Catalyst 3524/3548堆叠,每个网点可最多为数百个用户提供连接;但由于二级网点数量的增加,对主干设备性能则提出了更高要求,为此主干交换机升级为两台Catalyst 6509,这是思科公司性能卓越的高端局域网产品之一,具备极高的交换能力和端口密度,有Catalyst 6506/6509两种不同插槽数的型号可供选择,最多可支持上百个千兆以太网端口,能充分满足网络互联的需求。
除端口密度增加外,Catalyst 6500性能的提升还体现在其第三层功能上:首先,Catalyst 6500支持专有的第三层交换模块MSFC(多层交换特性卡),不需借助外接的路由器就可实现路由;其次,MSFC直接附在交换引擎上,无需占用一个槽位;再次MSFC支持多层交换,可以提供。
另外Catalyst 6500支持双交换引擎、双电源冗余备份,体现其极高的可靠性。
Catalyst 6500系列满足了可扩展性和高的性能/价格比的需求,支持宽广的端口密 度、性能及高可用的选择,并提供智能化、服务质量(QoS)和安全的机制。客户可以更加有效的增强网络的客户服务如组播和ERP的应用而不须考虑网络性能的严重衰减。与PFC(策略特性卡,和MSFC一样附在交换引擎上)一起,可基于第二、三、四层的信息如用户、IP地址或不同的应用而实现网络的策略管理,或得很好的服务质量(QoS)。
该方案对于可靠性、运行速度、安全性、可管理性都予以充分的考虑。
整个系统采用的全套备份的体系,具备很高的可靠性,而Catalyst 6500所具备的热备份路由功能(HSRP)更是提高了这一性能。
除了前几种方案所述的VLAN、交换机端口安全机制等技术之外,该方案中Catalyst 6500对第三层路由模块的支持能力,可以对VLAN间数据交流尤其起到了更好的支持,从而提高了系统的安全性。
在网络运行速度方面,这一方案的配置相比而言更为高档,数据处理能力极强。此外,Catalyst 6500既保留了传统的第二层交换在各端口间传递数据时的高线速,又集成了原来在第三层路由中才有的完善的控制功能如路由、审计、广播隔离等,大大提高数据处理能力。
在管理方面,该方案可以选用Cisco Works 2000这类管理深入全面的工具,它可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数也更多,适用于大型网络。
该方案还具有对多媒体信息处理的强大能力,这主要通过增强的数据处理能力、完善的QoS机制和优化的视频数据传输方案IP/TV等来实现的。值得一提的是,QoS不仅能够充分利用带宽资源,更可充分保证关键应用。QoS系统能对网上的数据流应用类别进行判定,并在IP包头其优先级。然后,在应用识别基础上,对数据流量进行调度。思科的加权式公平队列(WFQ)、加权随机早期探测(WRED)等技术,可以精确处理带宽流量,从而使系统资源利用更为有效,保证各类多媒体信息可以流畅地在网络中传送
第二篇:XX证券VPN组网解决方案
XX证券VPN组网解决方案
第一章 前言
以Internet为基础的信息高速公路的迅猛发展,正以前所未有的速度和能力改变着人们的生活和工作方式,我们真正处于一个“信息爆炸”的时代。
一方面,Internet使得人们能够跨越时空的限制,为学习、生活和工作带来空前的便利;许多企事业单位不仅仅充分利用Internet的丰富资源,同时,为了企事业单位内部的资源共享和信息传输,也纷纷建起了企事业单位内部Intranet,达到企事业单位内部资源的高度共享。甚至一些信息化建设程度较高的企事业单位已经建起了Extranet,与其他政府机构、合作伙伴也进行了资源共享。
另一方面,面对信息的汪洋大海,人们往往感到无所适从,出现“信息迷向”的现象。更严重的是Internet是一个无国界的虚拟信息社会,现实社会中的各种问题都会在Internet上通过电子手段予以重现,信息犯罪愈演愈烈。网络的开放性,互连性,共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,信息安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全,还涉及到国家的国防安全、政治安全和文化安全。对于企事业单位的重要信息和资源,也构成了巨大威胁,致使一些企事业单位单位不敢联网,把网络互联的优势完全抛弃,形成了一个一个信息孤岛。
政府信息化的发展已经成为当代信息化的最重要的领域之一。据联合国教科文组织在2000年的调查,89%的国家都在不同程度地推进政府信息化的发展,并将其列为国家级的重要工作。
江泽民总书记明确指出:“四个现代化,那一化也离不开信息化。”我国的政务现代化也离不开信息化。
“两会”前,朱总理提出:“电子政务的发展正在成为当代信息化的最重要的领域之一。为了适应国际形势和我国经济建设与社会发展的需要,我国必须加快电子政务的发展。”在今年的《政府工作报告》中,朱总理更明确指出,要“加快政府管理信息化建设,推广电子政务,提高工作效率和监管有效性。”
如何有效地利用网络互联的优势,提升XX证券系统信息化建设的速度,同时保证网络和信息的安全共享,是摆在我们面前的迫切问题。虚拟私有网络(Virtual Private Network,VPN)的出现,为我们提供了一个安全、经济、快捷、灵活的网络安全互联组网方案。结合的XX证券实际需求和现状网络,通过对必要性和可行性,实施效果、成本和风险,硬件和网络方案等进行了充分的调研和论证,提出了《XX证券VPN组网解决方案》。
根据项目计划,将在XX证券中心机房和全国各营业点部署VPN安全网关,实施安全访问控制和各点之间的加密通信。
第二章 项目情况介绍
2.1 目前网络的现状
目前,XX证券总部在电信申请了2个互联网线路,一条线路用于同其他各营业点(在全国共27个)进行OA系统的信息传输,另外一条线路用户内部员工访问互联网。其他各营业点均在本地电信申请ADSL线路。
目前的网络示意图如下:
图2-1 XX证券网络示意图 2.2 目前网络系统存在的需求
1、应用需求 目前,XX证券全国各营业点需要实时访问XX证券总部(武汉)应用服务器(OA服务器、mail服务器等)。利用传统的公网是无法快捷、安全地访问内部服务器。因为所有数据在传输过程中都是以明文的,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏关键数据,给造成不可估量的损失。针对的相关应用需求,我们建议采用VPN的组网方式,可以安全、方便地在XX证券和全国27各营业点之间的“虚拟专用网络”。
2、安全需求
目前XX证券应用系统和重要数据都以明文在网络进行直接传输,因应用系统的网络传输数据体现了XX证券的重要情况和保密敏感信息,属于高度机密,以明文在公共网络上直接传输存在着很大的隐患,黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获应用系统或重要数据,如果这些数据被公布或透露给外界,对于来说,后果是非常严重的。
另一方面,各营业点网络直接和internet相连,这样就存在极大的安全隐患,外部网络可以随意访问内部网络,甚至控制内部服务器,然后已内部主机作为跳板,转而攻击网络总部的服务器,那么整个系统将无安全性可言。
综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。
第三章 设计原则和设计思想
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则: 3.1 安全性原则
在网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在着安全的漏洞,从而影响整个区政府正常办公的大局。
随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。同时,采用国际上最新的主流VPN技术,确保用户能充分利用网络的互通性和易用性,同时可以为用户尽可能地降低系统投入成本,实现高效益。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。3.2 实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
尤其是采用了目前国际上领先的“安全网关”技术,将“Firewall+VPN+IDS”技术的充分糅合,较单纯的Firewall技术具有不可比拟的优势,体现在:不仅具有FireWall的保护内网、提供服务的功能,而且利用VPN技术,可以解决Firewall所不能解决的外网用户的安全接入问题(在本方案中,导致可以直接省略“拨号服务器”),同时可以不受接入数量限制,这使整个网络系统的可用性大幅度提高。利用IDS技术,不仅强化了本身的抗攻击能力,而且可以与IDS系统互动。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
3.3 可靠性原则
这套网络安全系统是网络的门户。它的稳定可靠关系重大,特别是WEB网上服务等具体业务项目,随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响政府的形象,也将给为政府带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。3.4 可扩展性原则
网络安全建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,在实现基本的网络被动防护系统(安装防火墙、VPN安全网关及其管理平台)以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。3.5 易管理性原则
网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。另外,通过网管平台,可以实现远程安全管理和本地管理等多种管理手段。第四章 XX证券VPN组网建设方案
4.1 VPN技术简介
VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。对企业而言,VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的,隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
在众多的VPN解决方案中,IP-VPN脱颖而出,成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题,因此无法为用户解决他们所担心的数据安全保密性。IP-VPN在使用了一些额外的安全技术后,解决了这一难题。
目前,国际主流的大多是基于Ipsec的VPN技术,该技术正在迅速走向成熟,而且它正处于兴盛期。
图4-1 VPN组网示意图
虚拟专网的重点在于建立安全的数据传输通道,构造这条安全通道的协议必须具备以下条件:
保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
虚拟专用网VPN可以使在Internet中的信息交换有安全保障,大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前,VPN技术正在迅速走向成熟,而且它正处于兴盛期。
安达通公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的研究和攻关,提出了国内领先的全动态地址VPN的解决方案。安达通公司的解决方案不但真正解决了全动态VPN的组网问题,还融入了PKI技术,采用基于数字证书的身份认证机制,解决了大规模VPN应用中的设备管理和网络管理的难题。4.2 产品选型
上海安达通信息安全技术有限公司(简称ADT)是一家专业致力于解决企业互联网和内联网的网络信息传输和管理的公司。公司将自己定位为:基于PKI的网络安全传输平台供应商。目前已经拥有“PKI安全网关SGW系列、安全网关客户端软件、PKI网管平台、单/双密钥体系的企业CA系统、数字证书载体SureID系列、证书中间件”等产品。形成了一个以CA为核心,证书为灵魂,网络类安全设备和桌面安全软件/设备相互联动、密切配合的构建在PKI平台上的网络安全系统。
安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备,并且具有和入侵检测系统(IDS)互动的功能;随着系统的升级,ADT安全网关SGW系列产品,还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备,安全网关将具有综合的安全作用,使网络的安全和投入,获得最佳的安全和效益。
另外,安达通公司的“安全网关”具有一个很明显的技术优势――解决了目前国际上的VPN技术的难题――非固定IP间的VPN通讯连接(如:通讯双方均采用ADSL进行连接)。
故此,我们建议目前的各XX证券组网方式改为VPN组网方案。
VPN组网除了以太网络联网方式外,还可以用于专用线路、帧中继/ATM链路或普通的旧式电话网(PSTN)提供的服务:如Modem拨号方式、ISDN、ADSL等。利用专线、帧中继/ATM或以太网方式,从经济上和功能上不太适合的组网需求,利用电话线路的组网方式中,由于Modem拨号方式从技术上、管理上、安全上不太适合目前业务发展的需要。ADSL是电信力推的企事业单位上网模式,不但速度快、性能好、实时性好,针对的应用特点和联网规模,从经济上也是前几种组网方式所不能比拟的。
针对的实际需求和具体应用,我们推荐此方案采用安达通公司的SGW25C、SGW25B、SGW25A等型号的硬件产品。4.3 网络规划与产品部署
1、总部设计方案
考虑到目前总部服务器的高安全性、高载荷和将来的发展,建议在总部业务线路(100M线路上)放置两台安达通SGW25C型VPN安全网关。为了避免出现单点故障,两网关作双机热备。
利用安达通安全网关的VPN技术建立总部和下面各营业点的“安全隧道”,实现总部和营业点之间安全的VPN“虚拟专用通道”。
利用安达通安全网关的防火墙功能实现基本的访问控制和安全隔离。普通数据包通过防火墙模块到达XX证券内部网络,实现包状态检测和访问控制功能。只有需要加密的数据和信息才可以通过安达通VPN网关到总部内部网络,对于非法的数据包则可以利用VPN安全策略将其进行过滤和处理。
另外,作为VPN备份线路,建议在总部的另外一个出口(10M线路,用于内部访问互联网)处步署一台安达通SGW25B安全网关,当业务线路出现故障(如路由器出现故障,被攻击,或者电信部门调整线路)时,下面各营业点可以同该网关(SGW25B)建立VPN通道,从而连接到内部网络。
2、全国各营业点网络设计方案
目前各营业点的使用adsl接入互联网,鉴于其网络流量不是很大的特点,建议在各营业点步署安达通公司SGW25A安全网关,利用其VPN功能,可以通总部建立VPN通道,从而安全的连接到总部内部网络;另外,利用其强大的防火墙功能,可以保护营业点内部网络。VPN组网结构如下: 图4-2 XX证券VPN组网结构示意图
第三篇:51CTO下载-证券行业网络安全解决方案
证券行业网络安全解决方案
第一章 前言
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如政府部门业务系统、金融业务系统、教育科研系统等。与此同时,这股强劲的Internet旋风也以惊人的速度渗透到证券行业的各个方面。证券公司上网,开展网上的交易委托业务,同时宣传自身的服务,吸引更多的客户;证交所上网,发布实时的行情信息,提供专家股评,向用户提供上市公司信息;Internet进入证券领域,为广大的证券从业人员提供了更为广泛的信息来源空间,提供了更为广阔的施展才能的舞台;同时,也为股民提供了一种更为灵活的获取市场信息和进行股票交易的方式.伴随网络的普及,安全日益成为影响网络效能的瓶颈,而证券行业的网络安全存在漏洞的状况也是众所周知的,多位信息安全领域的专家也对证券行业网络的安全问题提出了尖锐的批评,证券行业网络的安全现状已不能适应证券业迅速发展的状况。近几年,不断有证券行业网络被“黑客”入侵,造成重大经济损失和恶劣影响的消息见诸报段.证券行业的网络安全已经成为摆在所有证券机构和人员所要考虑的事情之一。FortiNet公司是一家从事网络信息安全研究、产品开发的高科技术企业之一。是一家致力于国际信息安全产业发展的专业安全公司。FortiNet公司已成功开发出具有自主版权的安全产品:FortiGate系列防火墙。该产品是基于ASIC芯片的硬件防火墙,集成了网关级病毒检测和内容过滤功能。该安全产品已获得公安部许可,同时获得了ICSA的AntiVirus、IPSec和FireWall认证。目前,这些安全产品都已广泛应用于金融、电信、教育等行业。并赢得用户的广泛赞誉。
第二章 网络安全风险和应对策略
2.1 安全风险
证券网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。
2.1.1物理安全风险
由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞
人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断
电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作或外界诱发下发生故障
2.1.2 系统安全风险
系统风险在三个方面:网络系统、操作系统和应用系统
网络系统在设计实施不够完善,例如缺乏正确路由、网络的容量、带宽估计不足、对证券系统局域网没做划分隔离以及关键网络设备没有冗余设计,一旦发生故障,将直接影响网络系统安全。
网络系统缺乏安全可靠的网络通信协议和网络安全设备,使网络黑客容易利用网络设计和协议漏洞进行网络攻击和信息窃取,例如未经授权非法访问证券系统内部网络、对电话网进行监听、对系统的安全漏洞进行探测扫描、远程登陆交易、行情服务器并对数据进行篡改、对通信线路、服务器实施洪流攻击造成线路涌塞和系统瘫痪等。
网络操作系统,无论是windowsunixnetware各种商用操作系统,其国外开发商都留有后门(back door),目前每种操作系统都发现有安全漏洞,一旦被人发现利用将对整个证券网络系统造成不可估量的损失。
OA应用系统的风险主要是涉及不同地区、不同部门的资源有限共享时被内部人员不安全使用造成口令失窃、文电丢失泄密,以及在与外界进行邮件往来时带来病毒和黑客进入的隐患。
针对业务系统(包括业务管理系统、业务服务系统)的威胁主要来自于内、外界对业务系统非授权访问、系统管理权限丧失(由于用户名、口令、IC卡等身份标志泄漏)、使用不当或外界攻击引起系统崩溃、网络病毒的传播或其他原因造成系统损坏、系统开发遗留的安全漏洞等。
2.1.3 网上交易的安全风险
因特网是全球性公共网络,并不由任何一个机构所控制。数据在因特网上传输的途径是不完全确定的。因特网本身并不是一个完全安全可靠的网络环境。
在因特网上可能有人采用相似的名称和外观仿冒证券网站和服务器,用于骗取投资者的数据资料。
如果用于证实投资者身份的数字证书和口令被窃取,他人有可能仿冒投资者身份进行交易委托和查询。
在网上传输的指令、数据有可能被某些个人、团体或机构通过某种渠道截取、篡改、重发。但他们并不一定能够了解该数据的真实内容。
由于网络交易的非接触性,交易双方可能对交易结果进行抵赖
在网上的数据传输可能因通信繁忙出现延迟,或因其它原因出现中断、停顿或数据错误,从而使得网上交易出现延迟、停顿或中断。
网上发布的证券交易行情信息可能滞后,与真实情况不完全一致。
2.1.4 数据的安全风险
因内、外因素造成数据库系统管理失控或破坏使用户的个人资料和业务数据遭到偷窃、复制、泄密、丢失,并且无法得到恢复
网络病毒的传播或其他原因造成存储数据的丢失和损坏
网站发布的信息数据(包括分析、预测性资料)有可能被更改、删除,给证券公司带来损失。
2.2 安全策略
传统的安全策略停留在局部、静态的层面上,仅仅依靠几项安全技术和手段达到整个系统的安全目的,现代的安全策略应当紧跟安全行业的发展趋势,在进行安全方案设计、规划时,遵循以下原则:
(1)体系性:制定完整的安全体系,应包括安全管理体系、安全技术体系和安全保障体系。
(2)系统性:安全模块和设的引入应该体现其系统统一到运行和管理的特性,以确保安全策略配置、实施的正确性和一致性。应该避免安全设备各自独立配置和管理 的工作方式。
(3)层次性安全设计应该按照相关应用安全需求,在各个层次上采用的安全机制来实现所需的安全服务,从而达到网络信息安全的目的。
(4)综合性:网络信息安全 的设计包括从完备性(并有一定冗余)、先进性和可扩展性方面的技术方案,以及根据技术管理、业务管理和行政管理要求相应的安全管理方案,形成网络安全工程设计整体方案,供工程分阶段实施和安全系统运行作为指导。(5)动态性:由于网络信息系统的建设和发展是逐步进行的,而安全技术和产品也不断更新和完善,因此,安全设计应该在保护现有资源的基础上,体现最新、最成熟的安全技术和产品,以满足网络安全系统安全目标。
2.3 常用安全防范技术
网络隔离技术
访问控制技术
加密技术
鉴别技术
数字签名技术
入侵监测技术
信息审计技术
安全评估技术
病毒防治技术
备份与恢复技术
第三章 证券网络整体解决方案
3.1 安全体系
按照安全策略的要求及风险分析的结果,整个证券网络安全措施应根据证券网络的行业特点,按照网络安全的整体构想来建立,具体的安全控制系统由以下几方面组成:
3.2 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)。
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
3.3 系统安全
系统安全主要关注网络系统、操作系统和应用系统三个层次。
系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
3.3.1 网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全成为首要问题,解决网络安全主要方式有:
网络冗余 解决网络系统单点故障的重要措施,对关键性的网络线路、设备我们通常采用双备或多备份的方式,网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离 分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。针对证券网络系统特点一般把证券交易的业务系统网络与内部办公网络进行严格的物理隔离,存储媒介则根据重要程度严格区分并只能通过第三方进行交换;对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制 对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计告警等功能,高级防火墙还可实现基于用户的细粒度的访问控制。证券系统的防火墙配置在证券公司交易系统与公网的交界处(包括INTERNET、系统内部广域网、相关业务网络)和公司重要的子网出口。
身份鉴别 是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等,在证券网络系统中,前两种方式运用较多。
加密 为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,他对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报。
安全监测 采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。
网络扫描 针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
3.3.2 操作系统
操作系统是管理计算机资源的核心系统负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全 面向应用选择可靠的操作系统并按正确的操作流程使用计算机系统,杜绝使用来历不明的软件,安装操作系统保护与恢复软件并作相应的备份。
系统扫描 基于主机的安全评估系统是在严格的基础上对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
3.3.3 应用系统
证券行业应用系统大体分为办公系统、业务管理系统、业务服务系统,证券应用系统安全除采用通用的安全手段外主要根据企业自身经营及管理需求来开发。
办公系统 文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA 安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIA PC 卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统 主要面向业务管理和信息服务的安全需求,例如在证券交易管理中采取集中统一的监管系统,对业务流实时进行监控、统计、分析、查询,防止违规操作,化解安全风险;对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
3.4 交易安全
目前证券交易方式主要分为营业部柜台交易、电话交易、网上交易,前两种交易方式安全系数较高,而网上交易主要通过公网完成交易的全过程,由于公网的开放性和复杂性,使网上交易风险大大高于前者。几乎所有参加网上证券交易的证券公司采用的是TCP/IP标准协议,应用系统都是基于C/S或B/S(浏览器/服务器)结构,由于交易发生在两地,双方缺乏可靠的安全机制保证各自的利益,针对网上证券交易的风险和特点,保障交易安全通常采用授权、身份鉴别、信息加密、完整性校验、信息审计、防重发、防抵赖等安全机制,具体实现主要依靠基于PKI(公开密钥密码设施)体系现代密码技术及在此基础上开发应用的电子商务认证加密系统(CA)。
交易安全标准 目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准,也是证券网上交易的标准安全协议。
交易安全基础体系 交易安全基础在于现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。在证券交易中通常把两者结合使用,达到高效安全的目的。
交易安全的实现 完成证券交易需解决的安全问题主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖。具体途径为建立自己的CA认证中心或采用权威的CA中心,通过颁发相应的数字证书给与交易各方相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
3.5 数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全 证券公司的数据库一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,鉴于数据库的重要性,还应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全 指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统如行情备份系统,对股民的个人资料和交易数据按安全等级划分存储,某些重要数据甚至可以采取加密保护。
3.6 安全管理
面对网络安全的脆弱性,除了运用先进的网络安全技术和安全系统外,完善的网络安全管理将是信息系统建设重要组成部分,许多不安全的因素恰恰反映在组织资源管理上,安全管理应该贯穿在安全的各个层次上。
安全管理三原则:
·多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
·任期有限原则
一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
·职责分离原则
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
信息系统安全管理的实现
·安全制度管理
根据证监会《证券经营机构营业部信息系统管理规范》、《网上证券委托暂行管理办法》等有关法规的要求,建立本行业的管理制度,包括机房管理、网络管理、数据管理、设备管理、应急处理、人员管理、技术资料管理等有关信息系统建设的规范。
·安全目标管理
1.按照技术管理目标,展开对最新网络安全技术的跟踪研究,并就证券行业信息系统的安全技术进行交流、探讨,从而提出本公司的网络安全技术和管理策略。
2.按照资源管理目标,对证券行业网络系统的物理资源、网络资源、信息资源实现统一的资源分配设置,根据资源的重要程度确定安全等级,从而确立安全管理范围。
3.按照客户管理目标,根据统一标准划分用户角色,对不同的用户在交易中风险的高低及可能带来的损失采取安全防范措施,例如对经常进行网上交易的重要客户或大客户设置虚拟大客户室,由证券公司给与必要的技术支援和培训。
3.7 安全服务
建立网络安全保障体系不能仅仅依靠现有的安全机制和设备,更重要的是提供全方位的安全服务。网络安全不是几种安全产品的集合,它作为一项系统工程已经形成了自己的专业体系,没有先进科学的知识结构很难对此进行全面细致的把握;网络安全系统存在固有弱点,即使最微小的安全漏洞都可能引发整个网络系统的崩溃;同时网络安全处在信息产业飞速发展的大环境下,现有的系统安全只是暂时的、静态的,所有这些问题都必须通过持续全面的安全服务来解决。完善的安全服务应包括全方位的安全咨询,整体系 统安全的策划、设计,优质的工程实施、细致及时的售后服务和技术培训。除此之外,定期的网络安全风险评估,帮助客户制定特别事件应急响应方案扩充了安全服务的内涵。
3.8 安全目标
通过规划建立证券系统安全体系,综合运用各种安全技术和手段,我们要达到的安全目标为:
静态安全目标 包括整个证券信息系统的物理环境、系统硬、软件结构和可用的信息资源,保证证券交易系统实体平台安全。
动态安全目标 提升证券信息系统的安全软环境,包括安全管理、安全服务、安全思想意识和人员的安全专业素质。
第四章 典型应用案例(总部模式)
说明:
防火墙作为基础安全设备设立在公司总部及营业部入口,通过访问控制可防止非法入侵并能做内部的安全代理。
通过IP层加密构建证券公司虚拟专用网(VPN),保证证券公司总部与各营业部之间信息传输的机密性。
安全控制中心主要用作证券公司网络监控预警系统,具有主动、实时的特性。它是由入侵监测系统、网络扫描系统、系统扫描系统、网络防病毒系统、信息审计系统等构成的综合安全体系。
证券公司的WEB服务器、邮件服务器等应用系统的保护由页面保护系统、安全邮件系统完成。
基于SSL协议的应用加密系统保证股民交易安全。
建立公司的数字证书中心(CA),向股民发放相应的数字证书。
交易、行情服务器采用负载均衡和容错备份系统。
数据库采用相应安全控件组成安全数据库,定期进行数据库漏洞扫描和数据备份。
卫星加密系统用于证券公司与深、沪两市数据安全交换。
文电办公加密系统用于办公文件(邮件)加密传输、存储。
第五章 网络安全发展趋势
未来网络安全发展的趋势是在现有网络安全体系性下从广度和深度做进一步的扩展,在遵循原有网络安全体系性、系统性、层次性、综合性、动态性的原则基础上,以客户的具体需求为中心,按客户网络的实际运用状况度身定制网络安全的整体规划设计,包括完整的安全解决方案,基于应用的安全产品的二次开发,特色的安全服务项目等。具体表现为
a)安全技术体系:更强调整体性、融合性、开放性,随着安全技术的演进,综合运用多种安全技术的安全产品将在市场上大行其是,而功能单一的安全产品将逐步消亡,但不排除基于客户特殊应用的二次开发的安全产品。安全技术及产品的行业标准在一定范围内逐步统一,同时与网络的开放性趋于一致。
b)安全管理体系:不同行业的安全管理将更加制度化、规范化,信息系统的安全管理将从其他管理体系中独立出来,与安全技术体系紧密结合,成为非技术的重要安全因素。
c)安全保障体系:安全保障最终落实在安全服务上,因为它是动态的、持久的、专业的。如同安全产品一样,安全服务将独立体现自己本身的价值。有特色安全服务越来越成为网络安全公司品牌的一部分。
第四篇:证券行业客户关系管理系统解决方案
证券行业客户关系管理系统解决方案
解决方案全称:证券行业客户关系管理系统解决方案
开发商:
一、开发背景
在高速发展的中国证券业环境中,竞争日趋激烈。对于证券公司各级管理者来说,如何对公司及下属营业部的经营状况有充分、及时、准确的了解,进而制定公司各方面的发展计划;如何为客户提供更高水准的服务及更专业的投资建议,以进一步巩固和发展长久的客户关系,都是至关重要的。下面的一些问题是证券公司普遍关心的。
1、公司目前的经营状况、经营风险,利润来源及变化趋势如何。
2、哪些客户对公司来说是最重要的,如何更好的服务于他们;哪些客户正在流失,原因在何处。
3、哪些客户的投资收益最大,哪些客户的投资亏损最多,如何从中推广经验及吸取教训。
4、应如何根据客户的具体交易情况,提出投资建议。
上述问题来自于公司不同职能部门的管理者,其中包括经纪业务总部、投资银行部、财务部、电脑部等,他们需要对不同的方面作决策,所需的信息来源各有不同。如何对这些问题作及时、详尽、准确的回答,证券公司总部目前的信息系统很难实现。首先,数据分散在各个营业部及不同的应用系统中,且各个系统都是相互独立的;其次,没有好的系统帮助决策者揭示业务的关键因素,再有没有一个灵活的工具帮助使用者方便地对客户地行为进行分析。因此,建立证券的客户关系管理系统(数据仓库系统,决策支持系统,客户关系管理子系统),显得十分重要。金仕达公司集多年的证券业服务经验,以及对数据仓库技术的深入理解,推出的金仕达客户关系管理系统将为解决上述问题提供完整的方案
二、方案详细介绍
方案目标
1、建造一个管理公司内部各种有效数据,组织这些数据,提供多种角度分析数据以提供决策支持活动
2、把营业部的历史数据更有效的聚集起来,节省磁盘空间.3、提供一个新的分析问题的手段和方法.在查询大数据量时提高查询速度.4、解决原有交易系统统计分析功能薄弱的问题
5、提供一个高效的灵活报表工具
6、它以时间为基础来管理数据,允许用户回顾并了解公司的过去与现在.7、以时间为基础来跟踪,分析和预测公司的交易情况,佣金收入,客户的动态
8、用户可以通过固定报表,灵活报表、多维分析,对比分析,向下钻取,向上钻取,交叉钻取,旋转,切片等多种形式实现多个层面的数据访问.业务功能
1、交易分析:证券交易,新股交易,成交委托比,证券委托,换手率,证券流量,现金流量,资金交易
2、客户情况:客户流动,客户分布,客户活动
3、资产分析:资金余额,证券余额,盈亏分析,套牢程度,资产,利润,持仓率
4、排行榜:成交金额,委托方式,托管市值,资金交易,资金余额,资产情况,佣金情况,贡献率,热门股等等排行
5、客户分析:客户资料查询,客户证券交易,客户资金存取,客户相对收益,客户对帐单,客户中意的证券,客户喜欢的交易方式、客户盈亏情况、客户交易费用、客户套牢程度、客户贡献率
6、每日提醒
7、资讯主动通知服务
8、每日工作
实现技术、平台、开发工具
●操作系统平台:WINDOWS2000 ADVANCE SERVER
●软件开发平台:IIS,SQL Server2000,Analysis Services,Office2000,IE
●相关开发工具:VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0
●客户端平台:Windows98(NT,2000),Ie5.0
市场销售及竞争情况
客户关系管理系统v1.0是证券行业最早推出的解决方案,先后在10多家营业部进行了试用;今年与某证券公司合作开发客户关系管理系统v2.0是目前证券行业真正投入使用的第一套系统,目前公司正与两家证券公司进行合作。目前开发该系统的主要有:美国艾克国际公司、创智公司、普元公司,这三家公司都不是长期从事证券行业的公司,对证券行业的了解不是十分深入,且目前都没有成功案例。
成功案例介绍
用户单位名称:广东证券
背景情况
广东证券股份有限公司的分支机构----广东证券顺德管理总部成立于1992年11月,是顺德市最早成立的证券公司。经过几年的发展,现已成为顺德市规模最大,实力最雄厚的证券经营机构,拥有绝对的市场份额。广东证券顺德管理总部建设CRM系统的设想是基于当前经纪业务面临的挑战和未来发展的方向而提出的。从顺德管理总部在顺德市证券市场的地位来看,广证占有绝对的市场份额,如果进行价格战,对广证顺德管理总部来说是得不偿失的。只有在服务上下功夫,提高服务的质量和特色,才能在市场竞争中赢得胜利,所以坚定不移地走服务的道路、走信息化服务、个性化服务的道路才是广证顺德的长久发展之道。
在市场方面,广证顺德在顺德市的证券市场中拥有绝对的客户份额。由于成立时间比较早,加上脚踏实地的经营,在广证顺德积累了一大批优质的客户,他们是广证顺德利润来源的主要贡献者。但是,随着证券市场竞争加剧,在短短时间内顺德地区新增加了多家证券公司的服务机构,由原来的三四家,增加到现在的11家;佣金自由化政策的出台,对广证顺德客户份额造成了猛烈的冲击,特别对于优质客户的流失,对广证顺德利润保证构成了严重的威胁。在这种情况下,广证顺德采取了一系列的措施,加大IT投入、加强服务质量,在传统的经纪业务领域和对手展开竞争,但这种竞争由于具有同质、无个性化特点等特征,更多地受到价格因素的影响,所以广证顺德处在被动防守的境地。这时候,研究开发个性化的服务,进行全面的业务创新和服务创新成了广证顺德必然选择。而实施客户关系管理,虽然不能直接产生业务创新和服务创新,但它能帮助公司领导、营业部经理、客户经理发现真正有价值的客户,找到这些客户的迫切需求,从而进行针对的业务创新和服务创新,实现经纪业务更高层次的服务,在竞争中赢得主动。
在客户服务方面,广证顺德一开始就在不断尝试不同的服务手段和方式,比如,广证顺德开始阶段采用客户经理和信息研发人员合作服务的方式,一个客户经理配备一个信息研发人员,在对客户服务过程中,两个人相互配合,一个负责客户的跟踪服务,一个负责信息收集整理研究,从而希望能给客户提供一些专业和周到的服务。但是,在这种方式下,由于研发人员的力量、精力有限,只能向客户提供别人的研究成果,对于信息的准确性和针对性没有任何体现,所以对客户的服务也是比较肤浅,实际的效果是没有对客户产生积极的影响。广证顺德在发现这个问题之后,积极地调整了组织结构,把素质良好、具有较强分析研究能力的信息人员集中到了区域管理总部,专门成立了相应的研究后台部门,在这个部门里,所有的研究人员根据市场的特点,专门进行金融品种、行业、热点、市场动态、大盘走势的研究,并根据对信息地掌握,产生自己的投资组合,并在资产管理和客户进行应用。而这个部门最大的功能还在于对广证顺德所有的客户经理提供资讯信息服务,使得这种服务更加专业化、更加具有权威性、更加准确,客户经理在整个服务过程中更有信心,服务质量和效率能得到明显提高。但是,在这个过程中,广证顺德决策者们也意识到下面一些问题:
●后台研究部门的研究内容和客户的需求存在脱节,研究成果存在浪费;
●后台研究部门的研究方向没有针对性,研究人员对广证的客户群体缺乏清楚地认识;
●后台的研究部门和前台的服务部门没有建立信息通道,双方的信息不能实现共享;
●客户经理的服务缺乏目的性,不能针对不同的客户选择不同的研发成果;
●后台研究部门和前台服务部门不能形成一定的监督制约机制,无法形成互相促进提高的反馈循环。
广证顺德的管理者们清楚地认识到,这些问题的解决只有依靠建立客户关系管理系统。一方面改造业务流程,提高后台研究部门和前台服务部门的联络、沟通、监督;另一方面全面整合客户资料和数据,为研究人员、客户经理提供全面真实的客户信息,从而进行针对性地研究和服务;最后是实现后台和前台的信息共享。
在管理方面,广证顺德沿袭的是证券营业部经营的一贯体制,即总部到营业部,营业部到客户经理的三级管理模式。虽然在这种模式下,广证顺德实行了成本、收入按营业部单独核算,人员的编制、薪酬有营业部决定的方法,去进一步提高客户服务竞争力,但是,随着证券市场竞争模式和方向的转变,建立强大的营销体制,更多地争夺客户,成为任何一个证券公司考虑的大事,建立一个完善的经纪人体制已经成为证券经纪营销的基础。在这方面,只有将客户和客户经理或者经纪人,经纪人和营业部或者营销部门建立有机的联系,才能在市场的竞争中形成一个强有力的团队,才能在客户拓展和服务上不断进步。建立客户关系管理系统不但能在客户分析和服务业务流程上发挥积极的贡献,而且对建立一个良好的经纪人管理体制起到不可忽视的作用,随着该系统的不断完善,以此为基础的经纪人工作平台和管理平台的建立,必然为广证顺德实现从传统经纪业务到当前经纪营销业务的转型打下坚实的基础。
业务实施过程
广证顺德CRM系统建设从广证顺德和金仕达签订合同开始,上线运行,经历了下面三个阶段:需求调研、设计开发、调试培训。在需求调研阶段深入到顺德管理总部的各个部门以及下辖营业部进行针对性的调查和座谈,了解他们的基本思路和设想,业务流程、急需解决的问题等等,双方抱着求实、创新的态度,认真考虑解决问题的途径和办法,总结出了广证顺德基本需求。设计开发严格遵从ISO9001规范进行开发,通过现场的安装使用、培训,逐步将广证顺德的管理体系按照以客户为中心的理顺,从而真正发挥系统的效果。广东证券顺德管理总部CRM系统基于柜台系统历史数据以及其他相关数据源,构建数据仓库系统,以数据仓库系统为核心提供区域总部各类人员使用的相关业务系统,可以分为经理管理系统、客户经理系统、分析师系统、维护管理系统。经理管理系统、客户经理系统、分析师系统主要完成数据展示、业务报表和信息查询功能,提供给CRM业务人员使用。维护管理系统主要提供给证券公司信息技术人员使用,是CRM系统的基础和支持平台,主要用于从柜台系统(生产系统)和其它数据接口(如客户背景资料、证券市场资料等人工录入管理库表)采集抽取、清洗整理、格式转换、加载入库,以及整个CRM系统的日常管理和维护。系统的使用者以及数据流如下图所示:
.系统提供的主要业务功能包括
●交易分析:证券交易,新股交易,成交委托比,证券委托,换手率,证券流量,现金流量,资金交易
●资产分析:资金余额,证券余额,盈亏分析,套牢程度,资产,利润,持仓率
●排行榜:成交金额,委托方式,托管市值,资金交易,资金余额,资产情况,佣金情况,贡献率,热门股等等排行
●客户分析:客户资料查询,客户证券交易,客户资金存取,客户相对收益,客户对帐单,客户中意的证券,客户喜欢的交易方式、客户盈亏情况、客户交易费用、客户套牢程度、客●户贡献率
●每日提醒
●资讯主动通知服务
●每日工作
系统开发采用的实现技术、平台、开发工具如下:
●操作系统平台:WINDOWS2000 ADVANCE SERVER
●软件开发平台:IIS,SQL Server2000,Analysis Services,Office2000,IE
●相关开发工具:VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0
●客户端平台:Windows98(NT,2000),Ie5.0
效果与反馈
系统实施成功已经两个多月了,广证顺德利用该系统成功的改变了传统的经营思路和管理模式,真正走向了以经纪人为核心,以客户服务为基础的管理新路。系统的成功使用,极大的提高了广证顺德的管理服务水平,得到了用户的极大好评。
其他具体描述
客户关系管理系统永远不会是一种成型的产品,它将会根据不同用户的管理模式而变。因此系统的投入是十分巨大的,由于短期内系统带来的效益不是十分明显,每个公司都会是采取分阶段实施的方式进行。
由于这是一套管理系统,又采用了数据仓库技术,因此实际运行时系统的软硬件投资会超过一百万,对于管理人员的培训也是十分重要的,投入也会十分巨大。
第五篇:揭秘券商佣金乱象,川财证券的解决方案详解
揭秘券商佣金乱象,川财证券的解决方案详解
为了能在股市捞金,你可能勤于研判、日夜盯盘,可是你注意过你交的佣金吗?你知道券商给你定的佣金率是多少吗?你知道交易佣金是怎么构成和计算的吗?
佣金对于多数股民而言,算得上是一笔糊涂账,收费高昂暂且不论,而且同样的服务,佣金不透明,收费不统一,佣金最高可达千3,最低可至万3以下,相差10几倍,这显然是不合理的,对股民是不公平的。
针对当前券商佣金市场的乱象,川财证券最新推出“明佣宝”APP,实时公开标明每位客户的实收佣金费率,成为行业内首家实现交易佣金“明码标价”的券商。川财证券总裁特别助理周蔚表示,明佣宝立志于解决困扰股民多年的佣金不透明、不公开、不公平问题,先成就客户,再成就自己,让股民享受统一实价,保障投资者权益,成就川财证券的品牌优势!
券商佣金不透明、不公开、不统一
今年年初A股走出了一波非常强势的上涨行情,小张的交易金额和频率也跟着高了起来,与此同时,小张注意到自己的佣金有些高。在网友的提点下,小张算了下自己的佣金率。不算不知道,一算吓一跳,此前一直以为自己的佣金率是万3,没想到一算居然是万5。再问好友,有万8的,也有万3的,还有万2.5的。还真是一笔糊涂账,小张后悔没早注意到,导致这些年多支付不少。
之所以会出现这样的情况,主要是因为券商佣金不透明、不统一,投资者的佣金水平很大程度上取决于自身的议价能力,而且为了抢到更多的客户,券商往往会给新客户一些“甜头”,也就是更低的佣金,对此很多老客户并不知情,还在一如既往地支付高昂的佣金。
记者了解到,由于监管单位只规定了佣金最高上限,具体佣金比例有很大的弹性空间,不同券商根据自身的行业定位,会收取不同的佣金率;同一券商在不同地区,针对不同客户,也会制定差异化的佣金标准,而且这种差异化的佣金标准是不对外公开的。
然而,近年以互联网为代表的信息技术日新月异,整个证券市场信息几近透明。券商若继续走原先佣金不透明、不公开、不统一的老路,无视互联网浪潮下公开透明定价趋势,在不久的将来很有可能会被投资者抛弃。
川财证券率先推出佣金明码实价
投资股票毕竟不是逛菜市场,讨价还价实在麻烦!新锐互联网券商川财证券在行业内率先推出“明码实价”佣金模式。股民通过其旗下明佣宝开户炒股,不论资金大小,都按照佣金万2.5、融资利率6.8%的标准收费。
明佣宝是一款集资讯、行情、开户、网厅、交易、理财等多功能于一体的综合理财APP,它最大的特色就是佣金费率的“明码实价”,“明码实价,全民平佣”是它的运营理念。值得注意的是,它直接把佣金费率展示在APP的首页,“实收费率”也直接标明在每一位客户的账户,每一位投资者都能清楚看到自己实际支付的佣金率。
事实上,这几年佣金的不透明问题已经引发多起投资者投诉,监管单位也十分重视,2017年年底证监会发布的《证券公司经纪业务管理办法(征求意见稿)》要求券商在公司网站、营业场所、客户端公示佣金费用收取标准,更好地维护投资者信息知情权和选择权。
《证券公司经纪业务管理办法(征求意见稿)》节选
川财证券明佣宝直接将佣金明码标价公开展示,除了迎合股民需求外,也是顺应时势、主动落实监管要求,积极保障投资者权益的表现。川财证券“明码实价”一经推出,股民一片叫好,一些老股民也被唤醒,纷纷计算起自己的佣金率。
“你的佣金是多少?到底应该咋算?”
佣金算起来其实不算麻烦,找到一张交割单,记下它的佣金金额和交易金额,前者除以后者,佣金率就出来了!举个例子,假如你的成交金额为15万元,佣金为75元,那么佣金率就是75÷150000=0.0005,也就是万5。需要特别注意的是,这张交割单的佣金金额必须大于5元,等于5元的可能算不准,因为单笔交易佣金不足5元的,都是按5元/笔记扣的。
既然算起来那么简单,但为什么还有很多人弄不清自己的佣金率呢?主要还是因为每次的金额不高,少则几元,多则几十元,达到几百元的甚少,压根没引起大家的注意。
但是,千万别小看了这笔费用,散户喜欢利用短期波段赚差价,实收佣金率哪怕只是相差几个点,一年下来可能就是成千上万的金额差。假如你的股市资金可能只有十几万,但一年交易几十甚至上百次,年交易量保守估计,也能达到千万级别以上。按1000万的年交易量测算,佣金万8要比万2.5,一年多交佣金5500元。
很多股民资金量很大,年交易量远远超出这个数,缴纳佣金之高可见一斑。
点击咨询 