《最新XX证券信息系统建设规划方案》由会员分享,可在线阅读,更多相关《最新XX证券信息系统建设规划方案(109页珍藏版)》请在金锄头文库上搜索。
1、最新XX证券信息系统建设规划方案XX证券北京营业部网络信息系统建设规划方案目录第一章 概 述31.1 系统设计需求31.2 营业部网络系统结构特点3第二章 交易网络系统设计方案52.1 网络系统整体设计52.2 方案特点6第三章 网络设备选型及容错方案73.1 效劳器系统概述73.2 效劳器选型说明73.3 效劳器容错设计说明83.4 效劳器网卡容错设计说明103.5 交换机选型说明113.6 网络容错的技术实现12第四章 网络平安设计方案154.1 通过物理网段划分加强网络平安154.2 通过交换机设置限制站点对网络系统的访问154.3 通过网络操作系统的平安管理加强网络平安154.4 通过
2、应用软件加强网络平安15第五章 非现场交易网设计方案175.1 非现场交易网系统功能总体介绍175.2非现场交易网网络说明185.3网上交易系统组成195.4 32位WINDOWS版 信息系统21第六章 网络管理及平安体系说明276.1 CiscoWorks2000系统说明276.2 熊猫卫士网络病毒防御系统说明316.3 SonicWall PRO防火墙系统说明39附:系统建设费用预算表41第一章 概 述1.1 系统设计需求随着佣金制度的改革和证券市场竞争的加剧,北京营业部在北京的市场竞争中将面临较为严峻的经营局面,要想在竞争中取得有利地位,北京营业部必须制订符合市场竞争规那么的开展策略,提
3、供符合市场开展策略的功能效劳。经过市场分析,北京营业部将在以后的市场中将主要面对两类客户,即做现场交易的机构大户和做非现场交易的中小散户,如何为这两类客户提供效劳,如何设计信息技术效劳平台,至少应该遵守以下三条原那么:1、尽量采取稳定、成熟的技术,确保信息技术系统的平安、可靠和稳定。2、符合信息技术的开展方向,系统设计有一定的前瞻性。3、所设计的系统平台必须具有良好的可扩展性,能满足营业部业务开展和功能扩充的需要。北京营业部的信息技术系统将从物理上划分为三个网络,即交易内网、行情外网和非现场交易网。非现场交易网是扩充性网络,将分步实施。在本设计方案中,将主要陈述营业部网络系统的建设方案,主要内
4、容包括网络系统结构的设计,系统容错和平安性设计,效劳器、交换机等设备的配置方案,非现场交易网的结构设计。在网络系统的设备选型方面,效劳器选择康柏系列效劳器。网络设备选择Cisco系列产品,建设千兆主干、百兆交换到桌面的网络结构。对于网络系统的设计思路主要表达在以下几个方面:1. 网络结构采用证监会“标准中的“三层结构,实现内、外网别离; 2. 内网中行情及交易系统实现实时容错,保证营业部中心环节实现不间断工作;3. 外网行情效劳器选用性能较好的效劳器,并实施实时备份手段;4. 外网行情效劳器两台同时向用户提供行情效劳,实现负载平衡。5. 中间件各环节均不存在单故障点,保证内、外网的实时不间断通
5、讯;6. 外网中心交换机采用性能较好的交换机,并实现双机容错,工作组交换机为工作站提供百兆交换到桌面;7. 非机房工作站采用有效手段屏蔽F4、F8、CTRL-C,CTRL-BREAK等功能健,并采用统一、平安、美观的用户登录界面。1.2 营业部网络系统结构特点为了加强北京证券营业部计算机系统的平安管理,网络结构的规划将严格按照中国证监会“三个别离的原那么进行。对证券网络建设来说,网络与数据的别离对于系统平安尤其显得重要。根据营业部各种应用系统的分类,可以将营业部电脑应用系统分为三部份,即证券资金交易数据库、交易所通信接口数据库和行情分析自助系统。这三类应用分别运行在一台WINDOWS NT效劳
6、器和两台NETWARE效劳器上。前两种应用属于后台系统内网,第三种应用属于前台系统外网。为实现网络与数据别离,必须从网络结构和配置着手,对网络通信包的传输进行控制,防止非法人员通过网络对交易数据库中的数据进行操作。采用“三层结构平安网络和交易系统能够使证券营业部计算机系统有效抵御黑客的侵袭,提高网络的平安性。“三层网络结构即把一个营业部的局域网分为内网和外网两局部,内、外网通过中间件相连。中间层负责把前台客户的诸如下单、查询等应用请求发送给后台的交易效劳器,并把交易效劳器的回馈信息传送给前台客户。实现三层结构可分为两种方式:VLAN实现方式和纯硬件实现方式。它们是通过网络结构的实现方式不同而划
7、分的,两种不同实现方式,都具有自己的优点和缺乏,经仔细分析,我们将采用后者进行实现。第二章 交易网络系统设计方案2.1 网络系统整体设计网络系统设计的详细配置请参见以下网络拓扑图及平面示意图: 网络采用“三层结构,实现营业部内、外网的别离,同时,中间件应尽量保证至少两台以上同时工作。 外网行情效劳器选用一台Compaq PL8000和一台Compaq ML570,均配置双千兆网卡Intel8490,双网卡利用AFT冗余技术,实现冗余链路,保证其中一块网卡损坏后,另一网卡可迅速接替工作。二台效劳器同时工作,分担用户请求的网络负载。 内网主资金效劳器选用两台Compaq ML570,均配置双网卡,
8、利用AFT冗余技术,实现冗余链路,保证其中一块网卡损坏后,另一网卡可迅速接替工作。 效劳器配置RAID5的硬盘容错模式。效劳器任何一块硬盘出现故障时,不影响效劳器的运作。外网中心:采用两台Cisco Catalyst4006-S2千兆交换机互为备份的冗余结构,和外网二台行情效劳器采用千兆冗余相连,同时使用Spanning-Tree技术提供交换网络形成冗余连接。中心交换机之间采用两对千兆光纤捆绑连接,使GEC到达4G。中心交换机千兆连接到行情及其备份效劳器。每台Catalyst 4006-S2配置2块GBIC千兆模块,及48口的固定百兆端口,为证券业务提供健壮的网络主干。同时,Catalyst
9、4006-S2可支持多种技术,可以满足营业部的未来需求。内网中心:采用两台Catalyst2950G-48作为内网中心交换机。当任何一台Catalyst2950G-48出现故障时,网络系统均能保持正常工作。采用Cisco Catalyst 2950-24作为营业部机房工作站和营业部全部工作站的工作组交换机。Catalyst 2950-24包含24个10M/100M端口,采用百兆向上的冗余连接,即:其中两个百兆端口分别上连到两个Catalyst 4006-S2的百兆端口。交换机两条上连链路中只有一条被激活,为工作链路,另一链路为备份链路,当交换机工作链路出现故障后,Cisco的Uplink Fa
10、st技术使备份链路在一秒钟内被迅速激活而成为工作链路实现一秒钟故障切换,从而保证了工作组交换机向上的冗余连接。 交换机连接效劳器和工作站的端口设置Portfast技术,保证效劳器和工作站能够快速上网。 通过更改二级交换机的上联端口的Spanning-tree Port Cost,使二级2950交换机分别以不同的中心4006-S2交换机为主交换机。两台中心交换机同时工作,且相互备份。 通过外网行情效劳器网卡的AFT配置,使两台行情效劳器的主网卡分别连接到不同的中心交换机,使网络流量均衡在两台中心交换机。 通过在客户端配置配置优先效劳器,使工作站缺省连接到不同的行情效劳器,使两台行情效劳器同时工作
11、,相互备份。 在全部Cisco交换机上,可对各端口允许访问的MAC地址进行设置,限制外来网卡对营业部网络进行访问。这样能有效防止不良分子用自带笔记本电脑对营业部网络系统进行攻击。 同时对所有交换机设置与营业部PC不同的网段地址,并按证监会要求设置管理密码,防止用户篡改配置。 行情系统采用顶点的证券行情备份系统Novmate2000,交易备份系统采用柜台软件提供的数据库备份系统。 对于证券营业部的局部工作站,为了满足其对互联网访问需求,建议采用恒生VDS无盘上网方式。2.2 方案特点本方案充分考虑了证券网络系统建设的实际需求和千兆容错网络在已有证券营业部建设中的成功应用,保证网络系统的高速和可靠
12、,它具有以下特点:l 采用三层结构充分保证了营业部交易数据的平安;l 行情及交易效劳器、中间件、外网中心交换机等环节均采用有效的容错手段和备份技术,最大限度地消除了网络系统的单点故障;l 全部工作站采用百兆交换到桌面,保证了营业部工作站的高速运行;l 无盘工作站菜单程序、Cisco交换机端口访问限制功能的使用防止了大、中户室客户对工作站在DOS下的直接操作和个别操作者对外部行情效劳器的恶意攻击,最大程度地保护了营业部网络系统的平安;l 网络效劳器、交换机的选型具有很高的性能价格比,在技术上为领先产品,保证营业部未来的应用。以上是对于本方案的总体设计说明,后面的章节里,将详细介绍本方案设计中采用
13、的技术和实现手段。第三章 网络设备选型及容错方案3.1 效劳器系统概述证券营业部对计算机网络系统的要求非常高,而证券效劳器系统是证券网络的中心环节。保持业务系统持续运行,保证证券业务效劳质量和保障业务系统不停机的运行,已经成为行业关注的焦点之一。根据网络系统“三层结构的特点配置内、外网效劳器,考虑到证券营业部高可靠性的业务需求,效劳器均采取双机热备份的容错方式。在效劳器平台的设计过程中,将努力遵循以下几项设计原那么:1完善的容错能力:在电源、硬盘、阵列卡、内存保护、CPU电源模块、PCI总线上实现在线冗余,最大程度降低单点故障;2带电热插拔技术:保证易损部件的更换与维护不影响系统的运行;3智能
14、I/O技术:对重负荷的I/O卡,如配置1000M网卡,高速硬盘,采用按最新标准设计的智能通道卡,减轻主CPU的压力,优化总线传输,增加I/O吞吐能力;4良好的扩充性:保证在应用增加时只需扩充效劳器计算能力与存储能力便可保证应用的升级。在所选的康柏效劳器中,对于效劳器的配置,充分考虑到系统的容错性能设计,在Compaq ML570/ML530效劳器上除了自身的系统冗余设计之上,在每台效劳器上均配双网卡利用AFT冗余技术,实现冗余链路保证其中一块网卡损坏后,另一网卡可迅速接替工作。并且采用RAID的硬盘容错模式,即每台效劳器配置块硬盘,当RAID中的任一块硬盘出现故障,均可恢复效劳器RAID的硬盘
15、容错结构。同时,对于外网行情效劳器采用双行情系统负载均衡,内网交易效劳器均采用双机热备份的容错方式,进一步确保效劳器系统平安、可靠,最大可能的防止单点故障。3.2 效劳器选型说明随着快速以太网技术、交换式以太网技术的广泛采用,制约系统性能的网络带宽瓶颈已不复存在,而且高速的网络通道允许所有的请求操作能同时到达效劳器网卡,因此真正的网络瓶颈集中在网络效劳器的网卡接口上,这样也造成了效劳器的I/O通道面临着更大的压力。因此在大规模证券网络中,效劳器的通道处理性能是决定整个系统性能的关键。系统建设的主要目标是如何选择可靠、高性能的效劳器来承当如此关键与重负荷的任务。对选择证券网络中的效劳器应基于以下几个方面考虑:可靠性:衡量效劳器的可靠性主要依据效劳器所采用的技术,并且最关键的要素是此效劳器是否在实际网络环境中得到过考验。冗余技术:对效劳器作冗余是消除效劳器系统单故障点的重要手段,PC效劳器的冗余主要包括以下的部件:A.电源:冗余电源的设计对处在执行
