證券公司網(wǎng)絡解決策劃方案

1、 目 錄 TOC o 1-3 h z HYPERLINK l _Toc525927507 第一部分 網(wǎng)絡解決方案 PAGEREF _Toc525927507 h HYPERLINK l _Toc525927508 一、前言 PAGEREF _Toc525927508 h HYPERLINK l _Toc525927509 二、需求分析 PAGEREF _Toc525927509 h HYPERLINK l _Toc525927510 1、建設背景 PAGEREF _Toc525927510 h HYPERLINK l _Toc525927511 2、系統(tǒng)需求 PAGEREF _Toc52592

2、7511 h HYPERLINK l _Toc525927512 三、網(wǎng)絡系統(tǒng)設計 PAGEREF _Toc525927512 h HYPERLINK l _Toc525927513 1、系統(tǒng)設計目標 PAGEREF _Toc525927513 h HYPERLINK l _Toc525927514 2、 系統(tǒng)設計原則 PAGEREF _Toc525927514 h HYPERLINK l _Toc525927515 3、系統(tǒng)總體設計 PAGEREF _Toc525927515 h HYPERLINK l _Toc525927516 4、網(wǎng)絡平臺詳細設計 PAGEREF _Toc5259275

3、16 h HYPERLINK l _Toc525927517 5、服務器系統(tǒng)詳細設計 PAGEREF _Toc525927517 h HYPERLINK l _Toc525927518 6、 操作系統(tǒng)平臺選擇 PAGEREF _Toc525927518 h HYPERLINK l _Toc525927519 四、安全體系設計 PAGEREF _Toc525927519 h HYPERLINK l _Toc525927520 1、主機安全 PAGEREF _Toc525927520 h HYPERLINK l _Toc525927521 2、數(shù)據(jù)安全 PAGEREF _Toc525927521

4、h HYPERLINK l _Toc525927522 3、 網(wǎng)絡安全 PAGEREF _Toc525927522 h HYPERLINK l _Toc525927523 五、工程實施 PAGEREF _Toc525927523 h HYPERLINK l _Toc525927524 1、工程實施成功的要素 PAGEREF _Toc525927524 h HYPERLINK l _Toc525927525 2、工程治理組織 PAGEREF _Toc525927525 h HYPERLINK l _Toc525927526 3、工程實施步驟 PAGEREF _Toc525927526 h HYP

5、ERLINK l _Toc525927527 4、工程文檔 PAGEREF _Toc525927527 h 第一部分 網(wǎng)絡解決方案一、前言隨著證券公司自身業(yè)務規(guī)模的不斷擴大，為了更好的對寬敞股民提供服務，證券打算對公司柳州營業(yè)部新址的證券業(yè)務進行重新規(guī)劃，并在近期建筑一個全新的電腦網(wǎng)絡系統(tǒng)。北京軟港致力于證券行業(yè)的系統(tǒng)集成及軟件開發(fā)，多年在廣西區(qū)內為各證券營業(yè)部實施系統(tǒng)集成工程，具有豐富的證券行業(yè)系統(tǒng)集成經(jīng)驗，在區(qū)內擁有百分之六十的市場占有率，聲譽卓著。隨著國際互聯(lián)網(wǎng)的進展，北京軟港已大踏步地向網(wǎng)絡化進展，為券商提供全面的系統(tǒng)集成解決方案。為了把證券柳州營業(yè)部新址的計算機網(wǎng)絡系統(tǒng)建設成為一個可

6、伸縮性好、安全可靠、穩(wěn)定先進的網(wǎng)絡平臺，北京軟港在進行方案設計時充分利用了軟港在證券行業(yè)以及銀行交易系統(tǒng)開發(fā)和服務方面長期積存的成熟先進技術資源，在保證系統(tǒng)提供高性能、高可用、安全交易的前提下，保證系統(tǒng)具有良好的可擴展性。通過詳細的分析，軟港推舉證券采納新世紀券商千兆解決方案。本方案有如下特點：采納三層硬分離結構，實現(xiàn)內外網(wǎng)完全隔離，網(wǎng)絡千兆主干冗余，百兆上聯(lián)冗余，百兆全交換到桌面，不存在單點故障，保證網(wǎng)絡可不能因為某個設備故障而導致整個網(wǎng)絡崩潰。采納先進NHAS系統(tǒng)（Novell HA Server），通過使用高性能的磁盤陣列柜，提高了Novell行情服務器的可靠性和可用性，保障證券Nove

7、ll服務器能7x24小時不間斷地高速運作。采納先進的LifeKeep技術（NCR LifeKeep），通過使用高性能的磁盤陣列柜，提高了交易服務器的可靠性和可用性，保障證券交易服務器能7x24小時不間斷地高速運作。工作站采納Intel Pro/100 S可治理網(wǎng)卡，硬件級支持DES加密，底層完成愛護在局域網(wǎng)中傳輸?shù)臄?shù)據(jù)，并支持遠程喚醒。下面，我們就對那個解決方案做詳盡的闡述。二、需求分析1、建設背景證券公司在近期將柳州營業(yè)部搬遷至新址，同時為了滿足不斷增長的業(yè)務，需要建立一個全新的高效的計算機網(wǎng)絡系統(tǒng)，以增強自身的競爭能力。那個網(wǎng)絡系統(tǒng)不僅是為證券交易業(yè)務提供一個強大穩(wěn)定的平臺，具備行情公布和

8、柜臺交易功能，而且還能提供辦公自動化功能，提高證券公司的辦公效率。網(wǎng)絡系統(tǒng)必須是高效、安全的，還應該具備專門好的擴展性。2、系統(tǒng)需求網(wǎng)絡主干要求達到千兆位帶寬，桌面接入要求達到百兆位帶寬；網(wǎng)絡結構要求做到完全冗余，不存在單點故障，能不間斷運作；網(wǎng)絡系統(tǒng)要求至少提供1000個信息點的接入能力；主機系統(tǒng)能夠滿足目前以及以后的應用需要，具備高可靠性和高擴展性。三、網(wǎng)絡系統(tǒng)設計1、系統(tǒng)設計目標為營業(yè)部中各個部門的證券交易業(yè)務以及辦公自動化業(yè)務一個安全穩(wěn)定可靠的運行操縱和集成治理核心網(wǎng)絡環(huán)境，為所有的信息點提供100M全交換的桌面接入；提供豐富的網(wǎng)絡服務，實現(xiàn)廣泛的軟件、硬件資源共享，幸免重復投資，發(fā)揮

9、系統(tǒng)最大效益；主機系統(tǒng)應具有高度的可靠性，能7x24小時不間斷工作，并有容錯措施；還應具備專門高的安全性，以保證券商網(wǎng)絡中機密數(shù)據(jù)的合法訪問；具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；主機系統(tǒng)應享有較好的性價比和較低的總擁有成本，并具有良好的向后擴展能力和一定的先進性；考慮到券商技術力量的限制，主機系統(tǒng)應易于使用和維護；2、 系統(tǒng)設計原則本網(wǎng)絡系統(tǒng)作為證券業(yè)務的核心基礎，應充分利用先進技術，通過組織和利用系統(tǒng)資源，以合理的代價，為用戶提供安全、可靠、有效、充分、友好的服務。為了滿足證券的業(yè)務對網(wǎng)絡系統(tǒng)的要求，針對證券的具體需求和業(yè)務特點，在網(wǎng)絡系統(tǒng)的構架中應遵循以下原則：1）高安全

10、性和可靠性原則：整個系統(tǒng)必須具有高度的安全性、可靠性和穩(wěn)定性，保證網(wǎng)絡系統(tǒng)能高可靠的運作。在萬一出現(xiàn)局部故障時應不阻礙網(wǎng)絡其它部分的運行，同時故障便于診斷和排除。充分體現(xiàn)計算機網(wǎng)絡的高可用性；2）成熟性和先進性原則：應采納被實踐證明為技術成熟且領先的技術方案，最大限度地滿足現(xiàn)在業(yè)務和以后進展的需求；3）開放性和可擴展性原則：應考慮以后進展的需要，使系統(tǒng)與以后擴展的設備具有互聯(lián)性和互操作性，又便于升級、換代，使整個系統(tǒng)能夠隨著科學技術的進展與進步，不斷得到充實、完善、改進和提高，同時能專門方便地融于全球信息網(wǎng)絡中；4）集成性和可治理性原則：充分考慮系統(tǒng)所涉及的各子系統(tǒng)的集成和信息共享，保證系統(tǒng)總

11、體上的先進性和合理性，采納集中治理、操作和分散操縱的模式；5）經(jīng)濟性原則：系統(tǒng)應具有較高的性能價格比。3、系統(tǒng)總體設計要充分考慮到系統(tǒng)既要高起點地滿足當前需求，又要滿足今后可能的爆炸式的增長，就必須將系統(tǒng)建立在一個強健的、高度可伸縮的體系結構之上。我們建議的確實是如此一個體系結構。我們采納分層設計方法來設計證券網(wǎng)絡系統(tǒng)，其中核心網(wǎng)絡由主干交換機組（核心層）和桌面接入交換機群（訪問層）、路由器（邊緣層）構成。系統(tǒng)總體邏輯結構如下：依照系統(tǒng)設計目標的對系統(tǒng)規(guī)模的要求，我們對系統(tǒng)進行了細致的設計和論證，我們將在下面展開詳細闡述。4、網(wǎng)絡平臺詳細設計1） 網(wǎng)絡技術選擇采納完全交換式以太網(wǎng)技術 完全交換

12、式以太網(wǎng)技術，能有效提高整個網(wǎng)絡的性能和可靠性，要緊表現(xiàn)在：1、采納完全交換式以太網(wǎng)技術后，任何一個點的突發(fā)性事故可不能對網(wǎng)絡中其他部分造成阻礙，系統(tǒng)能夠自動的屏蔽該點的故障，切斷虛電路。2、在目前證券行業(yè)的計算機網(wǎng)絡模式中，利用完全交換式以太網(wǎng)技術，能夠有效的屏蔽廣播包，同時能夠利用交換機的背板帶寬，提高重要工作站間的數(shù)據(jù)交換處理能力。3、采納完全交換式以太網(wǎng)技術，能夠利用802.X生成樹協(xié)議（Spanning Tree），對網(wǎng)絡進行冗余、均衡配置，提高系統(tǒng)的可用性和安全性。采納千兆交換式以太網(wǎng)技術采納千兆以太網(wǎng)技術 千兆網(wǎng)絡技術差不多成熟，千兆產(chǎn)品正在成為市場的主流。千兆網(wǎng)絡能夠輕松解決證

13、券公司在行情火爆和交易量大時，出現(xiàn)的網(wǎng)絡“瓶頸”問題。千兆網(wǎng)絡方便以后證券交易網(wǎng)絡的升級，能夠愛護證券公司投資。千兆以太網(wǎng)技術的優(yōu)勢核心設備具有更強的處理能力；可與目前的以太網(wǎng)（10M）、快速以太網(wǎng)（100M）設備無縫連接；利用現(xiàn)有的以太網(wǎng)知識就能夠治理、監(jiān)視和維護千兆以太網(wǎng)；千兆以太網(wǎng)技術是組建網(wǎng)絡主干的核心技術；基于RSVP和IEEE802.1Q/p標準實現(xiàn)CoS，從而提供不同的服務等級。采納千兆銅纜以太網(wǎng)技術千兆銅纜技術能在一般雙絞線實現(xiàn)千兆速度的數(shù)據(jù)傳輸。千兆銅纜設備可實現(xiàn)百兆和千兆的自適應，實現(xiàn)與原有的快速以太網(wǎng)設備無縫連接，愛護投資。千兆銅纜設備與千兆光纖設備相比具有更高的性價比。

14、網(wǎng)絡設備冗余與容錯 網(wǎng)絡系統(tǒng)的可靠性關于證券公司來講至關重要，甚至高于對性能的要求。網(wǎng)絡可靠性可采納冗余的網(wǎng)絡互連結構和故障迅速恢復技術來實現(xiàn)。要實現(xiàn)網(wǎng)絡的可靠性，消除交換機的單點故障，必須采納硬件上的冗余，要緊包括主干交換機冗余、二級交換機上行鏈路冗余和服務器網(wǎng)卡冗余。主干交換機冗余可采納雙主干交換機形式兩臺交換機相互冗余形式或一臺主交換機與一臺備用交換機相結合形式。通過GEC(Giga Ethernet Channel)技術還可實現(xiàn)負載均衡。二級交換機上行鏈路冗余 通過Spanning Tree Protocol生成樹協(xié)議，可采納光纖或銅纜作為上行冗余鏈路。服務器網(wǎng)卡容錯在服務器上安裝兩塊

15、服務器網(wǎng)卡，分不連接兩臺主干交換機，形成服務器與主干交換機之間連接的冗余，實現(xiàn)容錯功能。 通過以幾方面的論述能夠看出：我們的方案能夠保證網(wǎng)絡的可靠性，做到中心交換機的故障可不能導致整個網(wǎng)絡癱瘓，并提供最快速的故障恢復方案，從全然上消除證券公司面臨的風險。2） 網(wǎng)絡設備廠商選擇目前能夠提供網(wǎng)絡產(chǎn)品的廠商專門多，Cisco、3Com和Intel等公司都有從路由器到交換機的全線網(wǎng)絡產(chǎn)品，用戶選擇余地較大。然而這些公司的技術、產(chǎn)品、服務與價格存在一些差異，故網(wǎng)絡廠商的選擇時，應認真分析這些公司的特點，并結合所建系統(tǒng)的具體特點。Cisco在高端產(chǎn)品市場優(yōu)勢明顯，但價位較高。但其在網(wǎng)絡解決方案方面，具有較

16、高的領先性和良好的性價比。3Com在高中低端的網(wǎng)絡產(chǎn)品市場，尤其在桌面市場占據(jù)一定優(yōu)勢。Intel公司的近年來在網(wǎng)絡方面進展專門快，尤其在千兆銅纜產(chǎn)品方面，其在服務器網(wǎng)卡市場占有絕對的優(yōu)勢。特不是其千兆服務器網(wǎng)卡，目前尚未有同類產(chǎn)品能夠匹敵。這幾個公司各有其特點，依照證券公司網(wǎng)絡系統(tǒng)的具體特征，推舉選用Cisco公司交換機產(chǎn)品、選用Intel公司的網(wǎng)卡來構建網(wǎng)絡系統(tǒng)。3）網(wǎng)絡拓撲結構我們在那個地點為證券設計的網(wǎng)絡方案，其網(wǎng)絡拓撲圖如下：4）網(wǎng)絡平臺設計詳述網(wǎng)絡平臺采納兩臺Cisco 4006 千兆企業(yè)級交換機作為網(wǎng)絡主干交換機，兩臺480T千兆交換機之間采納GEC光纖通道實現(xiàn)互為冗余容錯，同時

17、還能實現(xiàn)負載均衡，從而保證主干網(wǎng)絡的可靠性和穩(wěn)定性以及提高性能，杜絕網(wǎng)絡單點故障。內網(wǎng)的主干交換機采納兩臺Cisco 2948G企業(yè)級交換機通過多個百兆端口實現(xiàn)FEC通道來互為冗余備份，同時還能實現(xiàn)負載均衡。行情服務器通過安裝的兩塊Intel Pro/1000 Gigabit Server Adapter （千兆光纖網(wǎng)卡）進行AFT容錯，實現(xiàn)網(wǎng)卡互為冗余備份，防止因網(wǎng)卡出錯而導致系統(tǒng)工作中斷。而且每臺服務器都采納冗余光纖鏈路分不連接到外網(wǎng)的兩臺4006主干交換機的千兆光纖口上。交易服務器也采納兩塊Intel Pro/1000 Gigabit Server Adapter （千兆光纖網(wǎng)卡）AFT

18、容錯方式，并通過冗余光纖鏈路分不連接到內網(wǎng)的兩臺2948G主交換機的GBIC千兆光纖口上。關于桌面接入交換機（二級交換機），我們采納Cisco 2924獨立式百兆交換機，為桌面PC提供100M全交換接入。而且每臺Cisco 2924都采納百兆冗余銅纜上行鏈路分不連接到兩臺4006的百兆銅纜口上。與國際互聯(lián)網(wǎng)的連接通過ADSL設備來實現(xiàn)，同時采納防火墻軟件抵御外部網(wǎng)絡入侵。外部網(wǎng)絡和內部網(wǎng)絡之間采納中間件來安全隔離，保證內部網(wǎng)絡數(shù)據(jù)的安全性和可靠性。5）網(wǎng)絡設備產(chǎn)品簡介Cisco Catalyst 4006Cisco Catalyst 4006能夠在一個機箱中滿足多達240個快速以太網(wǎng)端口的網(wǎng)絡

19、部件連接要求，背板帶寬是60Gbps。Catalyst 4006的熱插拔模塊的即插即用交換解決方案降低了復雜性，能夠簡單地支持當今網(wǎng)絡不斷變化的桌面環(huán)境。以后端口接口增強包括無線PC連接、千兆銅纜連接。Catalyst 4006結合了高級工程技術和生產(chǎn)進步，以更加經(jīng)濟有效的價格提供更加強大、更加可靠的企業(yè)交換解決方案。它重新定義了新的性價比值。Catalyst 4006提供的自治愈網(wǎng)絡智能，足以快速恢復端口、設備及網(wǎng)絡故障，而沒有明顯的桌面延遲。要緊優(yōu)點包括： 性能-提供了先進的交換解決方案，它能隨著您端口的添加而增大帶寬。領先的ASIC技術更是使Catalyst 4000系列解決方案如虎添翼

20、，ASIC技術提供了線速第2層和第3層 10/100或千兆位交換。其中，第2層交換由24 Gbps、18 Mpps引擎驅動，第3層交換則由可伸縮的8 Gbps、6 Mpps引擎驅動。 投資愛護-靈活的模塊化體系結構對配線室中的動態(tài)桌面連接提供了經(jīng)濟高效的治理。Catalyst 4006背板進一步提供了網(wǎng)絡愛護能力，因為它支持60 Gbps無堵塞容量，因此這種機箱更能適應以后需要。 功能透明板卡-Catalyst 4000的結構優(yōu)勢擴大了Catalyst 4000系列板卡的部署壽命。只要簡單地添加其它引擎模塊，如新的第3層服務模塊，Catalyst 4000系統(tǒng)就能方便地將所有系統(tǒng)端口升級到更高

21、層的交換功能。不需要更換現(xiàn)有板卡就能在系統(tǒng)端口上實現(xiàn)高層功能增強，這在常規(guī)交換產(chǎn)品中是專門常見的。如此，新的Catalyst 4006端口能夠隨時用于WAN、IP電話、第4層到第7層Web交換。 模塊化監(jiān)控器引擎愛護-Catalyst 4006機箱背板和監(jiān)控器連接器能夠支持以后的監(jiān)控器引擎升級。以后改進的可能性包括將可伸縮交換機結構容量增加到64 Gbps、使用線速第3層和第4層交換和基于以后技術的千兆位上行鏈路。 Cisco IOS網(wǎng)絡服務-Catalyst 4000系列交換機提供了成熟的企業(yè)第2層和第3層特性，能夠有效地增強公司網(wǎng)絡的能力。這些特性滿足大中型企業(yè)的高級聯(lián)網(wǎng)要求，因為它們的推

22、出直接得益于多年的Cisco客戶反饋意見。 基于硬件的組播-協(xié)議獨立組播（PIM）密集和稀疏模式、Internet組群組播協(xié)議（IGMP）、以及Cisco組群組播協(xié)議（CGMP）支持基于標準的、Cisco改進的高效多媒體聯(lián)網(wǎng)。 共享內存體系結構，沒有線路頭堵塞-集中式低等待延遲（1.4微秒）、共享內存交換結構提供了領先的能力，消除了所有可能的線路頭部堵塞。 桌面能夠使用千兆位能力-Catalyst 4000系列差不多提供了豐富的1000 Mbps千兆位和千兆位服務器交換解決方案。Catalyst 4000系統(tǒng)的千兆位解決方案的使用范圍能夠方便地擴展到桌面。 可治理性-利用每一種Catalyst

23、 4000系列交換解決方案提供的先進的治理能力以及每一個端口中內置的基于業(yè)界標準的治理功能，Catalyst 4000系列的操縱能力和安全性都得到了加強。您能夠靈活地選擇是使用基于Web的圖形用戶接口（GUI）依舊命令行接口（CLI）來完成治理任務，從而增強了您的網(wǎng)絡操作能力。 降低網(wǎng)絡操作費用-因為Catalyst平臺、體系結構和軟件之間有更高的一致性，因此費用得到了專門大降低。另外，端到端的Cisco治理和服務也降低了網(wǎng)絡的總擁有成本。 愛護關鍵任務應用的性能-集中式企業(yè)策略創(chuàng)建加上CiscoAssure支持和針對第2層CoS和第3層ToS的網(wǎng)絡服務質量，這些可共同保證您能夠從邊緣到核心得

24、到一致的應用性能。 高可用性-Catalyst 4000系列提供了自恢復網(wǎng)絡智能，它的速度足以從端口、設備、鏈路上發(fā)覺故障而在桌面上沒有明顯延遲。 面向以后的網(wǎng)絡-Cisco的接著開發(fā)和投資使Cisco Catalyst 4000系列LAN解決方案成為一個具有戰(zhàn)略意義的配線室和分支機構平臺，它經(jīng)歷了多年的不斷改進。Catalyst 4000系列能輕松地應對網(wǎng)絡進展，通過簡單地添加更多的端口，您能夠有效地提高您網(wǎng)絡的帶寬。另外，功能上透明的體系結構優(yōu)勢將擴大每個交換板卡的有效時刻，同意您隨著您的需求而添加更高級的功能，而不需要進行完全升級。 Cisco Catalyst 2948GCatalys

25、t 2948G為一固定配置的第二層的以太網(wǎng)交換機，提供48個RJ-4510/100M端口和2個千兆以太網(wǎng)上聯(lián)端口，帶有模塊化的千兆以太網(wǎng)轉換器（GBIC）端口。Catalyst 2948G支持Catalyst企業(yè)版的系統(tǒng)軟件。該特點不僅使其與其它Catalyst交換機具有互操作性，依舊供業(yè)界最豐富的第二層的特點。其要緊支持的軟件特點包括： 先進擴展性（如Fast EtherChannel, Dynamic VLAN, 802.1Q trunking） 帶寬治理（QoS，協(xié)議過濾，鏈路負載平衡） 網(wǎng)絡的可靠性（UplingFast, PortFast, Spanning tree） 安全性（每端

26、口的安全，驗證，IP Permit Lists） Catalyst 2948G是企業(yè)級桌面交換機，其專門高的性能，可靠的軟件，高性能非堵塞的結構為證券的內網(wǎng)提供保障。 Catalyst 2948G具有24Gbps的帶寬，能夠同時支持48個10/100和千兆口同時以線速交換。Catalyst 2948G高性能的結構將減少擁塞和提供整個網(wǎng)絡的相應時刻。 Catalyst 2948G支持各種容錯特點，包括一個外置的冗余電源（單獨購買），支持多條負載均衡的中繼（Fast EtherChannel），多個Spanning tree，快速收斂的軟件工具如PortFast和UplinkFast。廣泛的硬件和

27、軟件的容錯工具使Catalyst 2948G能夠提供當今關鍵任務網(wǎng)絡所需要的靈活的平臺和容錯特性。Cisco Catalyst 2924 XLCisco Catalyst 2924 XL交換機擁有24個10Base-T或100Base-TX端口，背板帶寬是3.2Gbps。它還具備以下的杰出優(yōu)點：12或24個10Base-T/100Base-TX自適應端口能夠為要求苛刻的工作組和服務器提供最需要的功能，同時保留了傳統(tǒng)的10Base-T連接（Catalyst 2912 XL和Catalyst 2924 XL）。 24個10Base-T/100Base-TX自適應端口能夠為要求苛刻的工作組和服務器提

28、供最需要的功能，同時保留了傳統(tǒng)的10Base-T連接。3.2-Gbps交換網(wǎng)和3Mpps的傳送速度保證了所有10Base-T/100Base-TX端口具有最佳的性能。 100Base-T端口的全雙工功能使終端、服務器和交換機之間的帶寬能夠達到200Mbps。 4-MB共享內存結構通過去除頭部信息堵塞現(xiàn)象、最大地減少數(shù)據(jù)包丟失以及降低多點傳送和廣播傳輸?shù)膿頂D現(xiàn)象，保證了最高的吞吐量。 快速以太通道技術實現(xiàn)的帶寬集合提高了容錯能力，能夠為交換機、路由器、服務器之間的連接提供高達800Mbps的帶寬。 每個交換機能夠擁有多達12個快速以太通道帶寬集合群，這使每臺Catalyst 2900 XL交換機

29、能夠通過標準的全雙工10/100快速以太通道鏈路將多個網(wǎng)絡設備聚攏在一起。 CGMP使交換機能夠有選擇和動態(tài)地將IP多點傳送信息傳送到目標多媒體終端，因而從整體上減少了網(wǎng)絡流量。 可配置的網(wǎng)絡端口能夠為骨干連接提供不受限制的媒體訪問操縱（MAC）地址支持能力。 Intel Pro/100 S 臺式機網(wǎng)卡英特爾 PRO/100 S 臺式機網(wǎng)卡是專門為服務器優(yōu)化、可信賴、可治理的10/100M網(wǎng)卡。要緊特性 針對電子商業(yè)而優(yōu)化的高性能局域網(wǎng)安全性 先進的特性緩和了服務器的瓶頸問題，同時最大程度地提高工作站的正常運行時刻 英特爾singleDriver 技術降低了網(wǎng)絡復雜程度 支持3DES（168位

30、高強度加密） 新型英特爾 PRO/100 S 網(wǎng)卡利用基于標準的安全性來愛護局域網(wǎng)上的敏感數(shù)據(jù)，同時依舊保持出色性能。英特爾 PRO/100 S 網(wǎng)卡將IPSec加密卸載與英特爾 PRO/100+網(wǎng)卡所具有的先進治理特性完美地結合在了一起。英特爾 82594ED網(wǎng)絡加密協(xié)處理器從臺式機的處理器上卸載加密工作，最大程度地提高網(wǎng)絡性能，節(jié)約系統(tǒng)資源用于其它關鍵服務器任務。智能操縱器英特爾 自適應技術可動態(tài)調整傳輸速率以減少沖突，同時能夠實現(xiàn)網(wǎng)卡微代碼的軟件升級。針對 Windows*2000 進行優(yōu)化英特爾 PRO/100 S 網(wǎng)卡是英特爾與微軟合作開發(fā)的產(chǎn)品，專門針對Windows*2000 進

31、行精心設計,可在您的網(wǎng)絡上實施加密,同時性能絲毫不受阻礙。+ +先進的遠程治理支持WfM1 2.0、SNMP、DMI2.0，通過Wake on LAN和板上英特爾 Boot Agent可實現(xiàn)遠程服務器配置?？蓴U充的吞吐能力和高可用性總帶寬高達800Mbps，使用任何英特爾服務器網(wǎng)卡的組合均可建立自動冗余連接。DES 和 3DES加密算法使用應用最廣泛的最高級不安全性，以愛護局域網(wǎng)上傳輸?shù)臄?shù)據(jù)。Intel Pro/1000 F 千兆光纖服務器網(wǎng)卡高性能千兆位服務器網(wǎng)卡要緊特性 高度集成的英特爾 操縱器提供了業(yè)界領先的性能 通過網(wǎng)卡容錯和PCL熱插拔增強了服務器的可用性 自適應負載平衡和千兆位Et

32、herChannel提供了可擴充的吞吐能力，支持1000BASE-SX的SC光纖連接器頂級千兆位網(wǎng)卡“其它沒有一款網(wǎng)卡能夠提供與之相媲美的1000Mbps吞吐量?！?引自1998年8月LANQuest實驗室報告可擴充的吞吐能力和高可用性高達8Gbps的集合帶寬，同時能夠利用任何英特爾 服務器網(wǎng)卡組合建立自動冗余連接。支持工業(yè)標準- 802.3z千兆位以太網(wǎng)-用于高級通信治理的802.1QVLAN和802.3x數(shù)據(jù)流操縱。廣泛的互操作性與WindowsNT*、Novell*、UNIX*和Linux*環(huán)境中的工業(yè)標準交換機兼容。在線維護能力PCI熱插拔技術補充了網(wǎng)卡容錯特性，能夠在不中斷服務器運行

33、的情況下更換故障網(wǎng)卡。通過遠程治理降低支持成本支持聯(lián)網(wǎng)治理（WfM）2.0、SNMP和DMI2.0。5、服務器系統(tǒng)詳細設計1）服務器系統(tǒng)要求1、服務器系統(tǒng)技術要求 服務器系統(tǒng)選用先進、有用、穩(wěn)定、可靠的系統(tǒng)，具有開放性結構，且服務器系統(tǒng)選型時應要考慮備份機制和容錯功能。2、服務器系統(tǒng)安全性要求 建立企業(yè)內部訪問的安全操縱機制，提高服務器系統(tǒng)數(shù)據(jù)的安全性和訪問的安全性。3、服務器系統(tǒng)設備要求 服務器系統(tǒng)應采納國際知名品牌產(chǎn)品，具有較高的性價比，可擴展、易升級，應操作簡便、易于治理。2）服務器系統(tǒng)設計原則服務器系統(tǒng)設計是系統(tǒng)建設的關鍵，其直接阻礙投資規(guī)模和系統(tǒng)成敗，因此要認真作好這項工作。服務器系

34、統(tǒng)設計基于以下原則：一、高可靠性由于證券服務器系統(tǒng)可靠性直接關系到證券業(yè)務的正常進行，只有可靠性高的產(chǎn)品才能做到無間斷運行。服務器系統(tǒng)必須具有高安全性，能夠有效的防止黑客的入侵。二、高可用性由于證券業(yè)務系統(tǒng)需要高可用性的特點，在設計時需要考慮采納，可利用雙機容錯系統(tǒng)提高系統(tǒng)的可用性，減少宕機時刻。三、高擴展性在投資范圍內，追求最大的可擴展性，為以后擴展升級打下基礎，愛護客戶投資。四、高性價比在有限的預算前提下，選用性能價格比較高的產(chǎn)品，用最少的投資獲得最大的效益。五、高質量和高效的售后服務國際聞名服務器廠商的產(chǎn)品不管在質量上、服務上，依舊在技術支持上都有卓著的聲譽，產(chǎn)品的持續(xù)支持能力也能得到保

35、證。3）服務器系統(tǒng)設計服務器系統(tǒng)是在整個網(wǎng)絡的運行以及各種網(wǎng)絡應用服務中是起著關鍵的作用。對網(wǎng)絡性能的實現(xiàn)和今后網(wǎng)絡的升級都十分重要。目前在證券行業(yè)中服務器大差不多上采納COMPAQ服務器，而且COMPAQ服務器在多年來的證券應用中口碑專門好。（1）行情服務器設計考慮到有近1000個工作站，而且工作站需要做成無盤WIN98工作站，服務器的負載比較大，因此Novell行情服務器建議采納一臺康柏ProLiant 8000做主服務器，用另一臺康柏ProLiant 8000做備份服務器。為了提高整個Novell Netware系統(tǒng)可靠性和穩(wěn)定性，采納NOVELL HA SERVER技術，并為兩臺服務器

36、配備先進的DFT-5008磁盤陣列柜系統(tǒng)，保證整個網(wǎng)絡的可靠性和穩(wěn)定性。Novell HAServer是Novell公司的獨立版權產(chǎn)品，它集合了以往StandBy、SFTIII等產(chǎn)品的全部優(yōu)點，專為目前Client/Server局域網(wǎng)提供的一種通用的高可用性、高擴充性的解決方案，它使用工業(yè)標準化商品部件，通過一條共享SCSI總線或光纖通道，將局域網(wǎng)中的兩臺Novell服務器連接，從而支持關鍵業(yè)務環(huán)境、支持不斷增長的存儲需求，最大程度地降低服務器的down 機時刻，具備十分優(yōu)異的容錯性能?？蛻魴C在訪問所有的群集資源，諸如共享磁盤，文件共享和數(shù)據(jù)庫應用程序時，都不必明白群集系統(tǒng)中單一服務器的名稱。

37、當一臺服務器系統(tǒng)發(fā)生故障時，另一臺服務器會立即承擔發(fā)生故障服務器的工作，將共享卷、NDS權限、Netware用戶數(shù)和文件共享等進行遷移，從而保證整個群集系統(tǒng)作業(yè)運行的連續(xù)性。在NHAS系統(tǒng)中，我們選用DFT-5008U2磁盤陣列柜配備4個18.2Gb Wide Ultra3 SCSI硬盤（COMPAQ 10K），實現(xiàn)RAID 5+1模式。為兩臺NOVELL服務器提供高性能、不間斷的共享磁盤服務。HA Server的技術要點主從服務器的硬件配置不必完全一致，可充分利用原有設備。Novell HA Server提供兩種切換機制，失效切換和手工切換。失效切換確保服務器失效時全自動實施切換，手工切換和

38、系統(tǒng)暫停機制，方便正常系統(tǒng)維護工作。支持多條冗余的心跳路徑以有效幸免系統(tǒng)誤切換，還能夠通過冗余的數(shù)據(jù)通道來提供更高水平的可用性。支持工業(yè)化標準的互連（ODI、IP compliant）、對稱多處理器（SMP）。支持使用共享SCSI 技術或FiberChannel光纖通道技術的磁盤陣列柜。HAServer配置靈活、使用簡單、維護方便。HAServer支持多臺服務器群集，支持分布式應用。HA Server所帶來的好處使用磁盤陣列柜的Novell HA Server群集系統(tǒng)，一方面能大大提高硬盤的讀寫速度，明顯改善諸如證券行業(yè)中行情分析軟件的反應速度，還能夠將兩套分析軟件分不在兩臺服務器上運行以有效

39、均衡服務器負載；另一方面，由于使用硬件實施系統(tǒng)的容錯，因此可大大提高那個系統(tǒng)的安全容錯級不。在今天，“數(shù)據(jù)與主機電氣分離”觀念差不多迅速成為當前IT技術的新潮流。使用磁盤陣列柜的Novell HA Server群集系統(tǒng)為最終用戶提供了如下的益處：高度可用性,確保作業(yè)的連續(xù)性 Novell HA Server群集系統(tǒng)中某個服務器由于硬件或軟件失敗而導致崩潰，群集系統(tǒng)中的備用服務器能夠予以接管，以保證處理過程的接著，群集也能夠對某些單獨組件，如磁盤或適配器，或是單獨的應用程序的失敗作出反應，通過隔離失敗節(jié)點的錯誤，其它節(jié)點能夠接著運行，保證整個群集系統(tǒng)的功能。速度上的明顯提升Novell HA S

40、erver群集系統(tǒng)中磁盤陣列柜基于80Mbyte/S的Ultra Wide寬帶SCSI技術或基于100Mbyte/S的光纖通道技術，同時陣列柜內部配有CPU及大冗量緩存做讀寫預處理（與以太網(wǎng)絡相比，100Base-T以太網(wǎng)只相當于12.5Mbyte/S帶寬）。以上結構使得陣列數(shù)據(jù)讀寫速度遠高于主機內部硬盤，而且不需主機CPU分時，又進一步提高了主機系統(tǒng)的處理速度，使得傳統(tǒng)的外存I/O瓶頸大改善，這種Novell HA Server群集系統(tǒng)較之早期的純軟件網(wǎng)絡備份容錯及主機內部加裝陣列卡的方式在速度上有了質的飛躍。提升數(shù)據(jù)的安全容錯級不至99.99%Novell HA Server群集系統(tǒng)中的磁

41、盤陣列柜配置要緊包括：操縱器（其上自帶CPU、緩存）、電源、風扇、磁盤存儲子系統(tǒng)，其使用全硬件冗余方式保證數(shù)據(jù)的安全性，從而消除了Novell HA Server群集系統(tǒng)的單點故障。雙通道雙路在線操縱器磁盤陣列柜一般能夠配置2個操縱器，作為冗余，而且每個操縱器使用2個獨立的主機通道、2個獨立的磁盤通道，除了提升磁盤陣列的I/O外，也保證了工作操縱器或操縱器上的某一個通道出現(xiàn)故障時，備用操縱器或操縱器通道的在線熱切換，加強了系統(tǒng)的高可用性支持。兩組熱插拔容錯電源，雙散熱風扇冗余電源保證當一個電源及電源通路出現(xiàn)故障時，RAID Array的可用性，冗余的風扇功能使得當一個風扇出現(xiàn)故障時RAID A

42、rray的散熱仍然得到保障。支持RAID 0，1，0+1，3，5校驗，并支持熱插拔和熱備件的自動故障恢復工能。RAID級不保證任意硬盤故障時其上數(shù)據(jù)可不能丟失，而且許可使用一塊硬盤作為陣列上RAID集的備用盤，當RAID集中的任一硬盤出現(xiàn)故障時，備用硬盤能夠自動替換故障硬盤。極大的降低了系統(tǒng)的風險并減輕維護人員的負擔。獨立的用于電池或UPS的電源接口。磁盤陣列柜一般都配有電池，用來愛護系統(tǒng)掉電時對磁盤陣列緩存的愛護，以實現(xiàn)數(shù)據(jù)的完整性，另外，磁盤陣列柜還具有內部UPS接口，以實現(xiàn)對操縱器及緩存的更充分的愛護。雙Active，服務器負載均衡 應用軟件可與群集軟件協(xié)同工作以平衡群集系統(tǒng)中各服務器的

43、工作負載。例如，行情服務器能夠并行工作在多個節(jié)點上， 同時從共享磁盤中獵取數(shù)據(jù)，從而充分發(fā)揮容錯系統(tǒng)中各個結點的資源，實現(xiàn)服務器負載均衡和緩解行情服務器的網(wǎng)絡壓力，從而提高客戶端的訪問速度。（2）交易服務器設計行情服務器也建議采納一臺康柏ProLiant ML570做主服務器，用另一臺康柏ProLiant ML570做備份服務器。由于交易服務器在整個證券業(yè)務中是專門重要的，為了保證交易服務器的可靠性和冗余熱備份，我們采納NCR LifeKeep技術，通過心跳線使兩臺服務器互為冗余備份，保證整個交易系統(tǒng)的可靠性和穩(wěn)定性。LifeKeeper For Windows NT 軟件是NCR公司推出的全

44、球第一套基于NT操作系統(tǒng)，并支持16臺服務器集群的容錯軟件，也是市場上第一套可提供OSI 七層參考模型的高可用性軟件，自九十年代出推出以來，備受用戶稱譽。美國NCR LifeKeeper能夠廣泛應用于證券、金融、政府、交通、郵電、醫(yī)院、稅收、公安、民航、軍工、商業(yè)等采納Windows NT Server平臺的行業(yè)，LifeKeeper能滿足這些行業(yè)作業(yè)系統(tǒng)數(shù)據(jù)平臺高度穩(wěn)定、安全可靠的應用需求。規(guī)劃講明：雙（或多）主機通過一條TCP/IP網(wǎng)絡線以及一條RS232電纜線相連。雙（或多）主機通過一條SCSI電纜線與磁盤陣列柜相連。主服務器故障后，備份服務器自動接管主服務器的作業(yè)和數(shù)據(jù)。備份服務器同時

45、自動接管主服務器的主機名（Host）及網(wǎng)絡地址（IP）主服務器修復好以后，再將備份服務器上的作業(yè)和數(shù)據(jù)切換到主服務器。建議主、備份服務器內存大小差不多一致。（3）報盤服務器設計 考慮到報盤服務器在證券交易業(yè)務中的重要性，我們不推舉采納一般服務器（例如一般PC機），建議采納康柏ML 530服務器作為報盤服務器，以保證穩(wěn)定性，確保報盤工作穩(wěn)定可靠。（4）中間件服務器設計由于中間件服務器作為連接外、內網(wǎng)的網(wǎng)關，處于一個特不重要的位置，因此我們不推舉采納一般服務器，應該采納專業(yè)服務器，確保內外網(wǎng)通訊穩(wěn)定可靠。為了愛護證券原有的設備投資，我們建議將證券原有的康柏Proliant 7000服務器作為中間件

46、服務器，并給其配置雙網(wǎng)卡。4） 主機系統(tǒng)產(chǎn)品簡介Compaq Proliant 8000康柏 ProLiant 8000,具有大量內部存儲和容錯性能的超大容量8路服務器保持業(yè)界領先地位意味著您需要盡可能地實現(xiàn)各種優(yōu)勢，以提高企業(yè)的計算能力并維護您寶貴的IT資源隨著新型應用不斷出現(xiàn)、對性能的要求日益苛刻、數(shù)據(jù)和用戶越來越多您的IT系統(tǒng)始終壓力重重。現(xiàn)在，康柏 ProLiant 8000 服務器將為您提供取得成功所需的強勁性能標準配置：雙PIII Xeon 700Mhz CPU（1M二級高速緩存）1Gb ECC內存（可擴至8Gb）18.2Gb Wide Ultra2 SCSI硬盤（一萬轉）12個1

47、英寸熱插拔 Wide Ultra2 SCSI驅動器集成的雙通道Wide-Ultra2 SCSI適配器內置100M PCI服務器專用網(wǎng)卡雙冗余電源Compaq Proliant ML570ProLiant ML570 基于ProLiant 5500、6000和6500的強大功能而構建，將最新的性能和高度可用性引入富含功能的四處理器服務器平臺中Proliant ML570 具有卓越的可靠性和容錯能力，提供了企業(yè)級系統(tǒng)可用性和218.4GB 最大內置存儲器容量客戶們能夠依靠這款高度可治理性服務器降低擁有成本，并提供更安全、可靠的計算環(huán)境標準配置：雙PIII Xeon 700Mhz CPU（1M二級高

48、速緩存）512Mb ECC內存（可擴至8Gb）18.2Gb Wide Ultra2 SCSI硬盤（一萬轉）12個1英寸熱插拔 Wide Ultra2 SCSI驅動器集成的雙通道Wide-Ultra2 SCSI適配器內置100M PCI服務器專用網(wǎng)卡雙冗余電源Compaq Proliant ML530ProLiant ML530是新一代ProLiant 3000兩路服務器，在兩路服務器中提供了擴展性、可用性和性能的完美組合針對那些要求獲得最高的性能、硬盤和內存擴展性來運行需要雙路處理支持應用的公司，這款服務器提供了卓越的價值標準配置：PIII Xeon 933Mhz CPU（256K二級高速緩存

49、）512Mb ECC內存（可擴至8Gb）18.2 Gb Wide Ultra2 SCSI硬盤（一萬轉）12個1英寸熱插拔 Wide Ultra2 SCSI驅動器集成的雙通道Wide-Ultra2 SCSI適配器內置100M PCI服務器專用網(wǎng)卡雙冗余電源DFT-5008U2 磁盤陣列柜DFT-5008U2: 64位PowerPC RISC CPU, 64位SCSI總線,速率可達80-160MB/SEC,單機容量可達TBG, 300w*2 冗余雙電源,雙風扇,塔式/5U標準工業(yè)機箱，它擁有以下特性：高數(shù)據(jù)傳輸性能DFT-5008U2支持并發(fā)訪問請求，能完成從主機到硬盤的高速并行數(shù)據(jù)傳輸。為了達到

50、最高的數(shù)據(jù)吞吐量, 陣列內部所有環(huán)節(jié)均采納LVD接口,包括并發(fā)I/O，命令隊列特性等都已在DFT-5008U2操縱器內部完成. 操縱器采納高性能的64位PowerPC RISC CPU以使I/O任務智能化. 高速緩存能夠完成智能的read-ahead 和 write-back. 有了高性能的設計, DFT-5008U2提供了一個基于SCSI計算機的廣泛存儲方案，以應用單用戶工作站、高端PC服務器、UNIX中央主機等環(huán)境當中。 高數(shù)據(jù)容錯能力DFT-5008U2 提供 RAID 0、1(0+1), 3、5,3+spare、5+spare 可供選擇. 這些RAID 功能給用戶數(shù)據(jù)的高可靠性提供了保

51、證。例如自動偵測失效盤, 熱備用硬盤, 壞盤數(shù)據(jù)重建, 在線更換硬盤, 后臺自動重建等高擴充性和靈活性利用擴展模塊，DFT-5008U2可獲得更多的SCSI通道。最多可達8個SCSI 通道。DFT-5008U2支持8個邏輯硬盤，每個邏輯硬盤支持8個分區(qū)。每個SCSI通道，可定義主機或設備通道，實現(xiàn)多主機連接。當讀寫硬盤的時候，DFT-5008U2能夠校驗處理壞扇區(qū)，從同一邏輯盤中的其他硬盤獲的壞盤數(shù)據(jù)，并對壞扇區(qū)重置。所有這些對主機來講，差不多上透明的DFT-5000操縱器主機/硬盤接口2個主機通道，2個磁盤通道（可擴充為6個）RAID Level0,1(0+1),3,5,30,50,JBOD

52、差不多的SCSI通道2-8個 Ultra2 Wide or Ultra3 Wide SCSI 通道硬盤位6,8,12,16四種標準配置高速緩存32M to 1Gbytes，標準配置64M后備電池可選,DFT-9070c電源300W*2 /400W*2（可選）容錯總線（falut bus）支持(DFT 專有)國際認證FCC,CE,Y2KMTBF500000尺寸17.5(H) x 8.75 (W) x 21.5(D) 26.75(H) x 9.75 (W) x 25.5 (D)6、 操作系統(tǒng)平臺選擇網(wǎng)絡操作系統(tǒng)是網(wǎng)絡軟件系統(tǒng)的核心。因此選擇網(wǎng)絡操作系統(tǒng)成為組網(wǎng)過程中十分重要的一步。在選擇好主機系統(tǒng)

53、硬件之后，還必須選擇能充分發(fā)揮網(wǎng)絡整體性能的操作系統(tǒng)。目前在證券行業(yè)中被廣泛采納的操作系統(tǒng)要緊有兩種：NOVELL公司的NETWARE操作系統(tǒng)和Microsoft公司W(wǎng)INDOWS NT操作系統(tǒng)。不同的網(wǎng)絡操作系統(tǒng)建立在不同的網(wǎng)絡體系基礎之上的，WINDOWS NT 網(wǎng)絡操作系統(tǒng)是建立在TCP/IP網(wǎng)絡體系之上的，而NETWARE網(wǎng)絡操作系統(tǒng)則要緊是以NOVELL IPX/SPX為基礎。目前在證券行業(yè)中的行情服務器大差不多上采納NETWARE 操作系統(tǒng)，它采納的一系列先進技術以保證操作系統(tǒng)的整體性能具有較高的水平，同時可靠性和安全性都比較不錯。因此我們采納NETWARE 4.11作為行情服務器

54、的網(wǎng)絡操作系統(tǒng)。而WINDOWS NT 操作系統(tǒng)是一種純32位的網(wǎng)絡操作操作系統(tǒng)，它是一種面向分布式圖形應用程序的操作平臺，要緊是作為數(shù)據(jù)庫以及交易系統(tǒng)的底層平臺。因此在交易服務器中選用的是Microsoft的WINDOWS NT SERVER 網(wǎng)絡操作系統(tǒng)。四、安全體系設計新世紀的商務運作與電腦網(wǎng)絡息息相關，成功的商業(yè)機構必須有快速可靠的網(wǎng)絡。對證券行業(yè)而言，計算機網(wǎng)絡業(yè)已成為證券營業(yè)部業(yè)務運作不可缺少的工具。與此同時，網(wǎng)絡安全也成為刻不容緩急待解決的問題。能夠講，我們今天所面對的安全問題已不再局限于系統(tǒng)本身。對外，我們將面對一群具有高知慧、高能力、高手段而且對網(wǎng)絡系統(tǒng)和編程語言都有著深刻了

55、解的“黑客”，他們無時無刻不在窺探著你的網(wǎng)絡，你卻沒有絲毫的覺察。他們能在你的眼皮底下偷走或修改你的數(shù)據(jù)，能讓你在正常操作中丟失你的治理員密碼，能刪掉你的重要數(shù)據(jù)，更能讓你的服務器在開市時宕機;對內，系統(tǒng)則會時刻受到在你周圍而不為你察覺的內網(wǎng)用戶的攻擊威脅。面對這些乍聽起來讓人覺得專門“遙遠”但的確在悄悄發(fā)生的事實，您是否已做好預備了呢？安全是在網(wǎng)絡建設中需要認真分析、綜合考慮的關鍵問題。下面我們將從三個方面來討論保障網(wǎng)絡安全的若干措施。1、主機安全采納網(wǎng)段分離技術，把網(wǎng)絡上相互間沒有直接關系的系統(tǒng)主機分布在不同的網(wǎng)段，由于各網(wǎng)段間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機會。網(wǎng)段分離能夠采納

56、物理方式以及邏輯方式來實現(xiàn)。在物理上，我們將網(wǎng)絡分為行情公布子網(wǎng)（外網(wǎng)）和交易處理子網(wǎng)（內網(wǎng)）兩網(wǎng)段；在邏輯上運用虛擬專用網(wǎng)技術（VLAN），將應用服務器和工作站依照具體情況分不放在不同的網(wǎng)段和虛擬子網(wǎng)上。另外，在安全方面有一個最差不多的原則：系統(tǒng)的安全性與它被暴露的程度成反比。因此，建議將行情公布的服務器與交易處理服務器隔離，由于將數(shù)據(jù)庫和交易處理主機封閉在系統(tǒng)內部，增加了系統(tǒng)的安全性。同時使用中間件技術，不同意直接訪問業(yè)務主機，所有的應用連接都通過代理來完成，這不僅僅增強了業(yè)務主機的隱蔽性，也提高了業(yè)務處理效率。2、數(shù)據(jù)安全在網(wǎng)絡上運行的軟件需要通過網(wǎng)絡收發(fā)數(shù)據(jù)，要確保數(shù)據(jù)安全就必須采納一

57、些安全保障方式。1)在工作站上采納支持IPSec加密能力的網(wǎng)卡網(wǎng)絡內部人員的安全破壞行為超過了網(wǎng)絡外部入侵者（兩者的比例分不為55：30）。像防火墻如此的傳統(tǒng)局域網(wǎng)安全愛護措施能夠愛護網(wǎng)絡的“前門”。然而，依照FBI的調查，大多數(shù)安全破壞行為發(fā)生在局域網(wǎng)內部，未經(jīng)授權的訪問、欺詐、竊取和其它違反使用規(guī)章的行為。英特爾 PRO/100 S 網(wǎng)卡通過提供IPSec（互聯(lián)網(wǎng)協(xié)議安全）加密能力，可關心愛護局域網(wǎng)上的敏感數(shù)據(jù)。IPSec是一種能夠運行于任何TCP/IP網(wǎng)絡（包括企業(yè)級局域網(wǎng)）之上的工業(yè)標準。IPSec具有以下能力： 對用戶進行身份驗證，關心防止未經(jīng)授權的數(shù)據(jù)訪問。 防止惡意的攻擊和篡改，

58、有助于保持傳輸過程的數(shù)據(jù)完整性。 對數(shù)據(jù)包進行加密，有助于確保數(shù)據(jù)的機密性。然而，加密和解密數(shù)據(jù)的過程會降低服務器的運行速度，這就需要平衡安全性和運行速度。英特爾與微軟合作，開發(fā)了一款能夠同時為您帶來安全性和高性能的解決方案：即Intel Pro/100 S安全網(wǎng)卡，它能夠將加密解密過程卸載至網(wǎng)卡板上的英特爾 82594ED網(wǎng)絡加密協(xié)處理器，從而將CPU從這項工作中解脫出來，并最終達到最佳的運行速度。IPSec基于標準的安全性與英特爾 服務器網(wǎng)卡業(yè)界領先的高性能相結合,是創(chuàng)建可信賴的安全工作組的關鍵。2)用戶口令加密存儲和傳輸目前，絕大多數(shù)應用仍采納口令來確保安全，口令需要通過網(wǎng)絡傳輸，同時作

59、為數(shù)據(jù)存儲在計算機硬盤中。假如用戶口令仍以原碼的形式存儲和傳輸，一旦被讀取或竊聽，入侵者將能以合法的身份進行非法操作，絕大多數(shù)的安全防范措施將會失效。因此用戶口令需要采取加密方式存儲和傳輸。3)分設操作員分設操作員的方式在許多單機系統(tǒng)中早已使用。在網(wǎng)絡系統(tǒng)中，應增加治理員、一般使用員等多種操作員類型，以便對用戶的網(wǎng)絡行為進行限制。4）日志記錄和分析完整的日志不僅要包括用戶的各項操作，而且還要包括網(wǎng)絡中數(shù)據(jù)接收的正確性、有效性及合法性的檢查結果，為日后網(wǎng)絡安全分析提供依據(jù)。對日志的分析還可用于預防入侵，提高網(wǎng)絡安全。例如，假如分析結果表明某用戶某日失敗注冊次數(shù)高達20次，就可能是入侵者正在嘗試該

60、用戶的口令。3、 網(wǎng)絡安全在內部網(wǎng)絡設計中要緊考慮的是網(wǎng)絡的可靠性和性能，而如何確保網(wǎng)絡安全也是一個不容忽視的問題。為進一步保證系統(tǒng)安全，還要在網(wǎng)絡中對入侵防范等方面做專門考慮。NetCop網(wǎng)警入侵檢測系統(tǒng)是北京中洲基業(yè)軟件技術有限公司作為Novell公司Netware 平臺、NDS目錄服務平臺應用產(chǎn)品研發(fā)中心開發(fā)出的國內第一套成熟的證券網(wǎng)絡安全防護系統(tǒng)。該軟件已獲得Novell公司認證并已通過公安部安全產(chǎn)品檢驗中心檢驗。NetCop系統(tǒng)擁有設備指紋驗證、網(wǎng)絡登錄規(guī)則審查、關鍵數(shù)據(jù)愛護三層安全防護功能，彌補了諸如網(wǎng)絡地址假冒、超級用戶特權利用、隱藏用戶或隱藏權限、自帶PC機上網(wǎng)等證券網(wǎng)絡安全應