《B证券公司方案及测试报告.docx》由会员分享,可在线阅读,更多相关《B证券公司方案及测试报告.docx(128页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、附件2B证券公司方案及测试报告中国证券业协会信息技术委员会2021年1月目 录第一部分 实施方案71项目背景81.1项目目标81.2行业监管要求81.3灾备系统建设标准91.4实施模式101.5覆盖范围112总体技术方案122.1基础平台概述122.2灾备云架构和安全132.2.1总体安全机制142.2.2外部接入齐全152.2.3安全体系152.2.4弹性扩容182.2.5服务质量管理182.3总体架构设计192.3.1设计原则192.3.2灾备中心架构202.3.3网络微分段区域(VPC)212.3.4网络微分段的安全设计222.3.5外联机构通信接入222.3.6内部通讯接入232.4项
2、目一期系统及设备配置232.4.1集中交易系统242.4.2融资融券系统252.4.3第三方存管系统262.4.4账户管理系统272.4.5网上交易272.5系统安全策略282.5.1网络安全282.5.2主机安全282.5.3Hypervisor安全282.5.4应用安全292.5.5数据安全292.5.6内网补丁服务器、YUM服务器和NTP302.5.7运维操作安全302.5.8数据级备份312.6数据同步312.7日常运维监控策略312.7.1基础环境的监控及运维322.7.2网络和云资源性能监控322.7.3安全监控322.7.4应用系统监控323灾备中心管理333.1值班管理333.
3、1.1人员与岗位333.1.2值班计划与职责333.1.3现场管理343.1.4安全管理343.2云资源管理353.2.1部署规划353.2.2资源分配363.2.3运行维护363.3测试与升级管理363.3.1测试与升级定义363.3.2升级维护窗口363.3.3升级的提交363.3.4升级的批准373.3.5升级的实施373.3.6升级的确认373.4变更发布管理373.4.1变更的定义373.4.2变更维护窗口373.4.3变更的提交383.4.4变更的批准383.4.5变更的实施383.4.6变更的确认383.5异地灾备系统切换演练与恢复管理383.5.1前期准备393.5.2切换演练
4、393.5.3恢复403.6网络安全管理403.6.1系统安全策略落实403.6.2异地灾备信息系统的等级保护413.6.3异地灾备信息系统的安全检测413.7应急切换管理414异地灾备系统的测试验证434.1测试环境434.1.1灾备云内的系统测试434.1.2周边接入测试434.1.3外部接入测试环境444.2系统功能测试方案444.2.1集中交易系统功能测试方案444.2.2融资融券系统功能测试方案494.2.3账户管理系统功能测试方案534.2.4第三方存管功能测试方案594.3系统性能测试方案614.3.1集中交易性能测试方案614.3.2融资融券性能测试方案644.3.3网上交易系
5、统性能测试方案674.4数据同步校验方案684.4.1集中交易系统数据同步校验方案684.4.2融资融券系统数据同步校验方案704.4.3CIF系统数据同步校验方案704.4.4三方存管系统数据同步校验方案704.5备份系统切换及验证方案715项目实施要点725.1总体进度规划725.1.1总体进度安排725.1.2第一期进度安排725.2需重点关注的问题735.3系统验收746制度与文档766.1管理制度766.2工作文档76第二部分 测试报告781功能测试概述791.1 测试目的791.2 职责分工792功能测试内容802.1 账户业务802.1.1 柜台门户802.1.2 开销户802.
6、1.3 客户管理812.1.3.2 客户信息812.1.4 资金账户842.1.5 股东账户852.1.6 基金账户862.1.7 信用账户862.1.8 期权、场外账户872.1.9 交易管理882.1.10 中登业务892.1.11 查询统计902.1.12 影像管理912.1.13 系统管理932.2 融资融券932.2.1 普通融资融券业务(担保买卖、信用交易、偿还交易)932.2.2 两融非交易业务(担保划转、还券划转、余券划转、直接还款)962.2.3 深圳信用大宗业务972.2.4 新股IPO & 可转债982.2.5 配股缴款992.2.6 密码服务992.2.7 网络投票10
7、02.2.8 基金分拆合并(深圳)1002.3 集中交易1012.3.1 现货业务1022.3.2 债券转股回售1022.3.3 网上发行认购1022.3.4 协议交易1032.3.5 盘后定价交易1042.3.6 资管产品份额转让1042.3.7 股票质押式回购1052.3.8 约定购回1052.3.9 质押式报价回购1062.3.10 质押式回购交易1062.3.11 债券质押式协议回购1062.3.12 ETF申购赎回1072.3.13 开放式基金申购赎回1082.3.14 要约收购1082.3.15 质押式回购质押解押1082.3.16 转托管1092.3.17 投票1092.3.18
8、 行权1092.3.19 分级基金实时分拆合并1102.3.20 港股1102.3.21 股转业务1113性能测试1123.1 集中交易系统1123.2 融资融券系统1133.3 网上交易1164灾备切换演练测试1174.1 参测系统1174.2 演练方式1174.3 切换演练及恢复步骤1184.4 具体切换流程1194.4.1 集中交易1194.4.2 融资融券1214.4.3 账户管理系统1224.4.4 三方存管系统1244.4.5 网上交易/移动APP系统1244.5 切换演练数据1264.6 切换演练结论127第一部分 实施方案1 项目背景1.1 项目目标信息系统是证券公司各类业务运
9、行的重要基础,为防范证券公司的主用数据中心因出现灾难性故障而造成业务中断的风险,证券公司必须做好异地灾备中心的规划及建设工作。B证券异地灾备项目的建设目标,是遵循证券基金经营机构信息技术管理办法(以下简称办法)的要求,以深圳证券通讯有限公司(以下简称“深证通”)提供的灾备云平台为基础,以核心物理主机数据库+灾备云的模式,构建公司的异地灾备数据中心,以有效提升业务连续性的保障水平,降低因发生灾难性故障给公司造成损失和不良影响的风险。1.2 行业监管要求办法要求,证券公司的重要信息系统应当具备灾难及重大灾难应对能力,以确保在发生故障后,有较快的系统恢复能力,并尽量减少丢失数据。证券公司的重要信息系
10、统,按其实时性特征,可简要分类如下:系统分类重要信息系统实时信息系统集中交易系统、第三方存管系统、内存交易系统、QF交易系统、股转做市商系统、期权交易系统、场外市场交易系统、PB业务交易系统、账户管理系统、非现场开户系统、网上业务办理系统、移动终端业务办理系统、投资交易系统、短信系统、网上交易系统、手机证券系统、呼叫中心系统、融资融券系统等非实时信息系统估值核算系统、法人清算系统、财富管理系统、私募基金托管外包系统、私募基金法人清算系统、投行业务管理系统、资管份额登记系统等办法要求实时信息系统的故障应对能力应达到四级,非实时信息系统的故障应对能力应达到二级,所有信息系统的灾难应对能力应达到五级
11、,重大灾难应对能力应达到六级,各级别的技术指标在证券期货经营机构信息系统备份能力标准(以下简称标准)中有详细规定。各级别灾备能力概要能力级别故障应对灾难应对重大灾难应对第二级1、RTO小于1小时;2、RPO小于5分钟;3、备份系统具有满足业务需求的处理能力第四级1、RTO小于5分钟;2、RPO小于30秒;3、备份系统具有满足业务需求的处理能力第五级1、实时信息系统RTO小于5分钟,非实时信息系统RTO小于1小时;2、RPO小于30秒;3、备份系统具有满足业务需求的处理能力。1、RTO小于12小时;2、RPO小于5分钟;3、备份系统具有满足业务需求的处理能力第六级1、实时信息系统RTO小于5分钟
12、,非实时信息系统RTO小于1小时;2、RPO小于30秒;3、备份系统具有满足业务需求的处理能力。1、RTO小于12小时;2、RPO小于5分钟;3、备份系统具有满足业务需求的处理能力1、RTO小于7天;2、RPO小于12小时;3、备份系统具有满足业务需求的处理能力1.3 灾备系统建设标准办法规定,证券公司的异地备份系统应提供与主用生产系统同等的处理能力,灾备环境应能完全承受生产切换时的所有业务负载,以确保实施灾备切换后,业务能依托异地灾备中心正常运行。同等能力指异地部署的所有备份系统,其性能指标(如TPS、响应时间等)具有与生产环境同等的水平。同等处理能力不要求异地备份系统具备与主用生产系统完全
13、一致的物理设备和系统架构。如果具备弹性条件,异地备份系统可以在日常运行时采用最小资源运行模式,并在实施灾备切换时,在规定的RTO时间内完成资源弹性扩容,达到同等能力处理能力要求。B证券的异地灾备系统,参照标准及信息安全技术信息系统灾难恢复规范GB/T 209882007规划建设。总体建设目标为: 实时信息系统的RTO5分钟,非实时信息系统RTO1小时,所有信息系统的RPO30秒,备份系统具有满足业务需求的处理能力。1.4 实施模式异地灾备系统所依托的异地灾备中心,其建设可以分为自建机房、租用托管机房和租赁可信机构云服务三种模式,本方案采用租赁深证通的物理主机+灾备云服务实施建设的模式。与自建机
14、房、租用专业托管机房相比,租赁深证通的灾备云服务,无需自行建设机房及采购服务器、网络、存储等硬件设备,可直接租赁深证通提供的各类云资源建设灾备系统,后期也无需投入对基础环境与硬件设备的维护费用。建设周期短,前期建设与后期维护投入成本低。可信机构云服务按实际资源使用量付费,可灵活快速扩缩容。当业务负载下降时,可适当降低灾备系统的处理能力,节省成本,当业务快速发展时,可快速提升灾备系统的处理能力,满足业务负载需求,可扩展性强。同时,对最为核心的核心交易数据库主机,采用租赁深证通物理机+存储的方式,在最大程度上保证了整个交易关键点和归结点的性能指标。三种建设模式的简要对比见下表:指标自建机房租用托管
15、机房租赁可信机构云服务初期成本高中低建设周期长中短可扩展性低中高运维成本高中低B证券的主用数据中心位于长三角地区,距离深证通灾备云平台的所在地中国证券期货业南方信息技术中心(以下简称“南方中心”)之间距离超过800km,其无论从地域、环境、生态影响面而言,相互之间的交叉影响概率极低,故完全可作为公司级整体信息系统的异地灾备中心。1.5 覆盖范围B证券的异地灾备中心建设,根据公司的实际业务情况,综合考虑系统重要程度和复杂度,拟分三期实施建设,以确保经纪业务(特别是零售业务)的连续性为一期建设目标,并在实施过程中逐步积累云环境下异地灾备系统的建设和运维经验,不断提高管理水平。分期建设涉及的系统清单
16、如下:批次类别系统实例一期核心实时交易系统(主要针对零售业务)集中交易系统、融资融券系统、网上交易系统、账户管理系统、三方存管系统等二期其他实时交易系统及部分重要非实时系统极速交易系统、PB业务交易系统、投资交易系统、期权交易系统、股转做市商系统等法人清算系统、登记结算系统、财务系统等三期非实时信息系统及周边系统估值系统、托管及外包系统、TA系统等注:每一个交易系统,均包括相应的数据库子系统、中间件子系统、前置接入子系统、行情子系统和报盘子系统等项目实施过程中,将根据对应技术系统的具体特点,制定相关的适应性改造计划。2 总体技术方案2.1 基础平台概述异地灾备中心包含了基础设施建设、IT系统、
17、业务系统、技术保障、财务分析、人员管理、灾备中心运营管理、安全管理等方面,是一个涉及到多专业、多学科的综合性系统工程。正因为灾难备份系统建设的综合性、复杂性,所以灾难备份系统的建设也存在诸多难点。证券公司通过云灾备中心模式,可快速实现异地灾备建设。下图给出了异地灾备模式(两地两中心)的券商系统架构:深证通灾备云(以下简称灾备云)是深证通面向证券、基金等金融机构推出的云计算服务,在技术上采用OpenStack架构,建设于南方中心。涵盖计算、存储、网络、安全及增值等五大类产品,满足行业客户生产、灾备、办公等系统随时接入、弹性扩展、按需付费、数据安全的上云需求,为金融机构统一提供技术领先、稳定可靠、
18、安全合规的云上服务。B证券经过不断地研究论证,在深证通配合下进行多轮功能性测试、性能压力测试、灾备切换测试等,确认深证通灾备云完全能够满足B证券异地灾备核心交易应用需求。B证券采用灾备云的核心数据库物理机+云主机模式的异地灾备中心建设方案,主要基于如下考虑:1此方案券商无需在异地自行建设机房,也无需采购服务器、网络、存储等硬件设备,直接以租赁的方式使用深证通灾备云提供的计算、存储、网络和安全等资源,建设筹备时间短,随时申请使用,资源可弹性扩展。2总体成本较低,异地灾备中心按年付费,并可根据实际业务量随时调整;业务上线可远程部署,灵活方便;无需考虑机房及硬件维护;交易所及银行专线可直接租赁灾备云
19、的资源。3.极少数核心关键数据库租赁深证通物理服务器+专业存储资源,能在最大程度上保证整个交易系统关键点及归结点的性能指标,并具备独立的持续稳定性。4建设标准符合监管要求。在运维方面,本方案为灾备云模式,物理服务器、存储、网络设备等传统硬件及云平台本身,均由深证通提供监控、维护以及快速修复服务;业务系统以及数据库维护、系统上云部署按我司实际工作环境自行部署。2.2 灾备云架构和安全灾备云,为深证通基于OpenStack自研发布的行业灾备云,对客户而言,既满足云上快速部署、动态分布,又支持特定环境、性能要求的物理机+专业存储的发布,使得用户的选择灵活性、多样性。2.2.1 总体安全机制深证通金融
20、云通过以下机制分散用户集中风险,提升平台安全性和可靠性。2.2.1.1 风险分散机制深证云数据中心是两地三中心布局,包括:南方中心,深圳观澜机房(新建)和北京亦庄机房。通过不同的数据中心承载不同区域经营机构的灾备上云需求,分散平台的风险。深证云灾备服务推荐混合部署方案,物理机和虚拟机结合,应用和数据分离。核心数据库部署在物理机和专业存储之上,进一步提升数据安全。混合部署方案保障即使云平台出现异常的情况下也不影响数据安全。应用系统部署在虚拟机和分布式存储之上,虚拟机数据采用三副本机制,保障数据的完整性和一致性。2.2.1.2 平台容量管理深证云平台的自动化监控系统对云平台网络设备、服务器、数据库
21、、应用集群以及核心业务进行全面实时监控。监控系统广泛使用仪表盘展示深证云关键运营指标,并可配置告警阈值,当关键运营指标超过设置的告警阈值时,自动通知运维和管理人员,并启动相关流程,保障了深证云租户的资源需求和安全性。深证云通过以下措施进一进步提升平台容量管理能力,满足平台租户集中的资源扩容需求,同时降低集中扩容引发的风险: 深证云每年根据市场需求,提前扩容。 实时监控,及时扩容。比如当内存、硬盘使用率达到60%时,启动扩容流程。 通过灾备方案降低租户资源集中升级风险,缩短大规模资源升级时间,满足RTO要求。深证云建议重要信息系统灾备虚拟机数量同生产服务器数量一致,核心模块虚拟机的性能满足当前业
22、务处理能力,非核心模块如中间件的虚拟机性能可低于生产性能。在灾备切换时,将性能升级到生产性能。 深证云将进一步向租户收集资源扩容需求,了解租户发生灾备切换时可能需要的资源扩容规模,做好容量管理,保证租户的资源扩容需求。2.2.2 外部接入齐全灾备云提供IT系统基础资源服务:依托行业优势,灾备云面向云租户提供了沪深交易所报盘、沪深交易所行情、证联网及互联网线路,满足异地灾备数据中心所需的各种接入服务。详见下表:核心机构接入列表接入方式深交所深交所L1行情局域网,集中接入,主备用深交所L2行情局域网,集中接入,主备用深交所交易结算局域网,集中接入,主备用深交所测试局域网,集中接入,主备用上交所上交
23、所L1行情长途专线,集中接入,主备用上交所交易报盘长途专线,集中接入,主备用上海结算长途专线,集中接入,主备用中登开放式基金平台局域网,集中接入,主备用CDP/FISP局域网,集中接入,主备用新三板行情/交易/结算长途专线,集中接入,主备用期指市场中金所L2行情长途专线,集中接入,主备用证联网测试网局域网,集中接入,主备用业务网局域网,集中接入,主备用2.2.3 安全体系深证通灾备云的安全体系,可以从物理平台安全、虚拟数据中心安全、内部网络隔离安全、边际网络安全以及运维安全这五方面进行阐述。2.2.3.1 物理平台安全深证通灾备云,位于南方中心的T3+级别数据中心内,物理数据中心的高可用性能在
24、最大程度上得以保障。在数据中心的出入管理、值班制度、监控管理、入侵监测等方面,均有着严格的控制。开源三副本Ceph、专业SAN存储、顶级专业存储双活,对于系统、数据的运营有多种灵活方案供客户选择。99.9999%的数据可用性,可以满足最苛刻用户的业务需求。数据的私密性、数据的可销毁性、数据的知情权以及数据的可审查特性,保障了客户的商业隐私。2.2.3.2 虚拟数据中心安全深证通基础设施平台支持虚拟数据中心(VDC),租户可自定义网络资源。VDC支持服务链(ServiceChain)技术,支持租户部署第三方安全设施,并将流量导向安全设施。租户可在其虚拟网络之间,虚拟网络与外部网络之间部署堡垒机、
25、软件防火墙、IPS、WAF等安全设施,且相关设施租户自主控制。深证云支持专有网络(VPC),租户可以完全掌控自己的虚拟网络,包括选择自有 IP 地址范围、划分网段、配置路由表和网关等。虚拟化服务器内部,vRouter采用VRF隔离租户虚拟网络。基础设施平台内部各节点间使用MPLS/GRE,MPLS/UDP,VXLAN封装隔离虚拟网络流量。基础设施互联网络部署MPLS BGP VPN,使用MPLS隧道隔离网络流量。云平台与外部网络之间部署防火墙/IPS等安全设备。2.2.3.3 内部网络隔离安全虚拟化服务器内部,vRouter采用VRF隔离租户虚拟网络。基础设施平台内部各节点间使用MPLS/GR
26、E,MPLS/UDP,VXLAN封装隔离虚拟网络流量。基础设施互联网络部署MPLS BGP VPN,使用MPLS隧道隔离网络流量。云平台与外部网络之间部署防火墙/IPS等安全设备。2.2.3.4 边际网络防护安全虚拟数据中心与租户数据中心之间部署防火墙/IPS,实现区域间安全隔离。基础设施平台互联网出口部署流量清洗平台、防火墙/IPS、WAF,提供互联网防DDOS攻击服务、安全防护和WEB应用防护。基础设施平台提供SSL VPN服务,SSL VPN采用帐号密码+动态电子密钥双因子认证。2.2.3.5 运维安全2.2.4 弹性扩容灾备云以客户需求为基础,完全可实现在线动态横向扩展,实时完成虚拟化
27、资源的扩容。即使扩容至一万台以上的虚拟机规模,最快亦可在一天内完成,完全满足客户中长期发展的需要。电信、联通、移动三大运营商在南方中心均有大带宽出口,能快速响应互联网带宽扩容需求。2.2.5 服务质量管理灾备云基础设施资源服务平台同城容灾指标总体上核心业务上满足国家信息系统灾难恢复规范(GB/T20988-2007)所描述的第6级同城容灾下平台可用性指标深证通基础设施资源服务平台,虚拟资源服务水平SLA:99.9%序号灾备云服务产品总SLA1VPC99.9%2虚拟云主机99.9%3分布式存储99.9%4对象存储99.9%5负载均衡-SDN-Haproxy99.9%6负载均衡-虚机LVS99.9
28、%7数据库99.9%8DNS99.9%总体:云平台内单机故障,RTO1分钟,RPO=0;证通本地生产云本身具备高可用,设计上无单点故障。因此本地生产云完全具备单主机、单网络设备的故障容错能力,单机故障不需要进行机房级的容灾切换。2.3 总体架构设计作为一个完全的、新建的、全功能、异地云模式的灾备中心,无论从底层基础架构、运维模式或网络通讯接入上,均与传统的数据中心有着截然不同的理念。VPC的引入,将原有的物理隔离转变为逻辑分割,大大节约了硬件投资成本,并且使得区域通讯更灵活方便。安全组、防火墙、负载均衡的挂接,使得整个虚拟数据中心的功能模块得以完善。2.3.1 设计原则作为公司数据中心建设的重
29、要组成部分,异地灾备中心系统架构设计遵循以下基本原则:安全性原则安全,始终是数据中心建设过程中的重中之重。数据中心的基础设施、基础架构的设计、建造,均须符合安全为先的原则。由底而上,环控安全、主机安全、IaaS安全、网络安全、应用安全、数据安全等。可用性原则系统的可用性是通过冗余、高可用集群等特性来体现,从基础架构层的集群冗余出发,到网络冗余、链路冗余,进而发展为应用冗余(或负载均衡),从而实现由下而上的全方位高可用。可扩展性原则支撑云灾备中心的资源需要根据业务应用工作负荷需求进行弹性伸缩,IT基础架构应与业务系统松耦合,这样,在业务系统进行容量扩展时,只需增加相应数量的IT资源,即可实现系统
30、的灵活扩展。合规性原则云灾备中心建设需符合金融行业相关政策法规,遵循金融行业安全、网络规范。2.3.2 灾备中心架构参照主生产中心规划设计标准,灾备中心的整体网络严格按功能区块进行划分。各功能区块之间,透过防火墙进行安全访问。灾备中心与主生产中心之间,铺设专线进行内部直连。互联网边际,严格安全防护。与各外联机构,按照安全等级及业务需要,分为内层互联与互联网互联两种模式。2.3.3 网络微分段区域(VPC)将整个灾备中心网络的骨干核心进行了优化设计。保留核心交换区最关键的功能集中交换和集中路由,将访问控制、路由过滤等网络功能从核心交换区剥离,分散至各个网络功能分区,简化核心交换区,构建高性能和可
31、扩展的网络核心。VPC1运维管理区:将全部管理职能集中到该VPC区域,使得运维与业务分离、管理与生产分离、运维人员非特殊情形,严禁直接登入生产区域进行各项作业。实现权限管控、操作监控、事后审计。VPC2核心业务区:将最为核心的集中交易系统、融资融券系统、三方存管系统等布置于上,以相对高效独立的方式保障其业务连续性。VPC3非核心业务区:将去除核心业务以外的其他业务系统布置于上,保证核心业务的独立安全性。VPC4外围接入区:与交易所、中登、证联网等机构的专用接入区域VPC5 DMZ区:将直接面向互联网的业务前置机、网上交易、手机委托等应用,在此区域分别部署。一方面通过内层防火墙/安全组与内部网络
32、安全隔离;另一方面通过前置的防火墙、ADS、IPS、WAF等设备进行互联网安全防护,并向互联网发布业务。2.3.4 网络微分段的安全设计安全组:保护功能区内部的服务资源,设置访问控制。安全组为逻辑安全防护,为服务器提供安全防护。设计考虑集中交易区、综合业务区、接入中间件区与IPSEC-VPN接入全部进行安全隔离。防火墙:分为内侧防火墙(以下简称内墙)与互联网边际防火墙(以下简称外墙)。内墙负责实现内部VPC之间的安全访问控制,外墙按照传统定义,对互联网边际进行安全防护。区域接入控制:与主数据中心通过专线及互联网技术接入,为控制业务风险,主数据中心网络核心单独设立通讯区,用物理防火墙隔离异地灾备
33、中心接入,双向访问进行严格的规则控制;分支机构提供IPSEC-VPN接入,设计考虑采用各分支机构现有的业务网备份VPN线路防火墙承载。2.3.5 外联机构通信接入1线路申请主要外联机构见下表所示。深证通云平台已具备与表中机构通信的网络资源,由B证券负责申请接入。核心机构接入列表接入方式深交所深交所L1行情局域网,集中接入,主备用深交所L2行情局域网,集中接入,主备用深交所交易结算局域网,集中接入,主备用深交所测试局域网,集中接入,主备用上交所上交所L1行情长途专线,集中接入,主备用上交所交易报盘长途专线,集中接入,主备用上海结算长途专线,集中接入,主备用中登开放式基金平台局域网,集中接入,主备
34、用CDP/FISP局域网,集中接入,主备用新三板行情/交易/结算长途专线,集中接入,主备用期指市场中金所L2行情长途专线,集中接入,主备用证联网测试网局域网,集中接入,主备用业务网局域网,集中接入,主备用2接入方式深证通负责外联机构内部线路接入及与云平台并网,共享网络设备资源,由深证通负责网络变更及维护。3链路切换交易所链路切换:当故障或灾难/重大灾难发生时,灾备业务系统可直接与外联机构(除证联网外)进行业务交互。证联网链路切换:在灾难发生时,由B证券向证联网申请,由证联网取消公司在主中心的路由发布,然后在灾备机房发布原业务地址路由。2.3.6 内部通讯接入1主/备中心数据通讯为保障主/备中心
35、数据备份系统和备份处理系统的工作以及能够进行同步数据的更新,满足灾难场景下的业务连续性要求,需提供主/备中心间完备的网络通讯保障。链路选择:本次异地灾备通讯方案采用20M+100M两条专线复用的方案,铺设主备数据中心之间的通讯链路。后续,还将考虑引入SD-WAN技术,采用专线+互联网线路的模式,实现高性价比的链路带宽。2 分支机构接入虚拟专用网(VPN)是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到公司内部网的安全、稳定的通信隧道。虚拟专用网可以使公司分支机构同灾备中心的内部网建立可信的安全连接,并保证数据的安全传输。2.4 项目一期系统及设备配置根据项目覆盖范围的规划,一期
36、以经纪交易及相关系统为主,主要包括集中交易、融资融券、三方存管、账户管理、网上交易等系统。系统部署需具备有效可行的操作预案,对整个异地灾备环境的部署、测试及应急启动的管理制度和操作流程。一期资源总览表2.4.1 集中交易系统1集中交易系统架构图2集中交易系统程序清单:程序配置清单1)XDL_消息中心:文件服务、消息队列等2)Mcenter:提供消息同步服务3)FOS-BLS:业务中间件4)XDL_LS:报表、历史库中间件5)XDL_RS:提供外部系统接入服务6)XDL_NDS:提供业务路由选择服务7)上交所、深交所、股转、B2H、基金报盘:提供各交易所,基金等报盘程序8)行情:提供个市场行情服
37、务9)XDL_QSR:清算操作机2.4.2 融资融券系统1融资融券系统架构图2融资融券系统程序清单:程序配置清单1)消息中心、文件服务器:消息同步、文件下载等2)FOS-BLS、FOS-BLS_LS:业务中间件、历史中间件3)风控中间件:风控服务4)RS中间件:提供外部接入服务5)上海报盘:上海报盘相关程序6)深圳报盘:深圳报盘相关程序7)行情中间件:提供沪深行情服务8)清算机:清算操作机2.4.3 第三方存管系统1第三方存管系统架构图2第三方存管系统程序清单:程序配置清单1)业务中间件配置:业务逻辑处理2.4.4 账户管理系统1账户管理系统架构图2.4.5 网上交易2.5 系统安全策略灾备云
38、平台目前可以提供的安全防护措施有流量安全监控、DDoS攻击检测/防御、Web应用防火墙(WAF)、互联网防火墙、IPS入侵防御以及安全组策略。其他的安全控制措施如主机入侵检测、账户安全、安全日志审计、安全基线核查、数据库安全审计、态势感知、主机防病毒、漏洞扫描、系统补丁更新和代码安全等由券商租户可以根据自己的实际情况进行建设。2.5.1 网络安全按要求做好异地灾备云平台中网络安全区域的隔离,每个区域制定不同的安全策略和信任模型。做好边界访问控制、内部精细访问控制的安全管控,遵循“先申请审核、后精细实施”的管理要求,严格遵守网络安全管理的“最小化原则”和“安全隔离原则”,使用VPC内的安全组来实
39、现虚拟机的东西向安全访问控制,使用内侧防火墙来实现南北向安全访问控制。2.5.2 主机安全在主机安全方面,主要通过设置系统安全基线,搭建内网系统补丁服务器,并通过给虚拟机镜像设置统一的内网补丁服务器升级策略、统一安装主机防病毒软件和漏洞扫描、日志收集agent等方式来实现。在云平台的运维管理区部署防病毒管理中心和安全侦测平台,分别实现虚拟机主机防病毒软件的集中管理,以及实时漏洞扫描、收集虚拟主机及网络安全设备的安全日志并进行集中的安全日志关联分析和威胁检测,帮忙快速发现安全威胁并进行威胁溯源,为安全应急响应提供有力手段。2.5.3 Hypervisor安全深证云在云环境中提供Hyperviso
40、r的安全防护,保证宿主机的安全性。Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(Virtual Machine Monitor)。Hypervisor是所有虚拟化技术的核心。通过Hypervisor的监控,解决虚拟资源层对Hypersvisor的非法访问,实现虚拟主机和宿主机的访问安全隔离2.5.4 应用安全在应用安全方面,通过仅使用经过安全评估的且被检测为安全稳定的少量几个版本,并按照中间件的安全基线要求对应用软件和中间件等进行逐项安全基线设置,并在正式上线前
41、进行应用系统的性能测试、漏洞扫描和渗透测试,全面评估信息系统的应用安全风险。2.5.5 数据安全深证云数据安全体系从数据安全生命周期角度出发,采取管理和技术两方面的手段进行全面、系统的建设。通过对数据生命周期(数据生产、数据存储、数据使用、数据传输、数据传播、数据销毁)各环节进行数据安全管理管控,实现数据安全目标。 (1)数据库部署将数据库独立放置于核心业务区的独立VLAN内,不对DMZ以及互联网开放访问。所有对于数据库的业务访问,必须透过部署于核心业务区、非核心业务区的中间件进行跳转。同时,对数据库的操作实行最小访问原则,禁止特权账号登陆、实时审计等安全措施亦同步跟上。(2)数据所有权 运行
42、在深证云计算平台上的开发者、公司、政府、金融机构、社会机构的数据,所有权绝对属于租户。深证云计算平台不得访问、拷贝、删除租户数据。深证云有责任和义务,帮助租户保障其数据的私密性、完整性和可用性。(3)多副本冗余深证云支持对租户数据进行多副本冗余存储,租户可将副本数据进行异地保存。(4)数据传输加密 深证云平台提供标准的加密传输协议,保证租户数据传输安全。(5)数据清除 深证云租户下线时,在得到租户授权后,深证云将清除租户数据。深证云更换和淘汰的任何设备,都将统一执行消磁处理并且在物理销毁后才能运出数据中心。 (6)运维数据安全 深证云运维人员未经租户许可,不得以任意方式访问租户未经公开的数据内
43、容。 深证云遵循生产数据不出生产集群的原则,从技术上控制了生产数据流出生产集群的通道,防止运维人员从生产系统拷贝数据。2.5.6 内网补丁服务器、YUM服务器和NTP为了配合云平台内网机器的系统补丁统一升级需要,在灾备云内网使用一台云主机搭建windows补丁服务器部署WSUS服务,并部署在DMZ区,确保该台服务器可与互联网通讯并设置定时下载内网windows服务器所有需要的windows安全更新包。同样对于Linux服务器,需要在在灾备云内网使用一台云主机使用Linux搭建一台本地YUM源服务器,为内网Linux服务器统一提供Linux开源软件和补丁的YUM更新服务。此外,对于服务器的时间同
44、步,将采购专业的NTP对时设备,以交易所为第一时钟源,对内为各服务器提供时钟同步服务。2.5.7 运维操作安全在灾备云端部署专业堡垒机,为系统运维人员提供统一的运维安全管理。系统运维人员日常通过总部的堡垒机集群统一入口,透过专线动态指向灾备云内的堡垒机进行登录访问,精细化控制运维管理人员对各业务组件的安全访问,并对整个运维过程进行日志记录和安全审计。同时,透过堡垒机的账户审计系统,一方面对云主机内的账户密码自动设密,满足等保三级的密码管理要求,并定期自动批量改密;同时,对于云主机内出现的异常账户及时进行排查。对于在出现专线中断或者其他极端情况下,使用互联网VPN方式接入灾备云端堡垒机进行应急操作。2.5.8 数据级备份深证云租户可通过深证通数据存管云实现异地数据级备份。比如南方中心的灾备客户,可以定期将数据(镜像或数据库文件)保存至北京亦庄机房。北京机房的灾备客户可以在南方中心建立异地数据级灾备。2.6 数据同步项目一期所涉及到的数据库系统,均将采用迪思杰公司的RealSync产品,进行数据库层面的数据同步。对于影像系统文件,将采用英方的I2coopy产品进行数据文件的同步。所有同步策略,均为实时同步。目前集中交易、融资融券、账户管理系统、三方存管系统均采用迪思杰数据库同步软件,综合考虑系统稳定性及运维习惯,不进行同步工具更换;其它系统根据
黑公网安备:91230400333293403D