第一篇：1 證券解決方案

證券解決方案

證券行業(yè)的網(wǎng)絡(luò)應(yīng)用主要分為兩大方面：營業(yè)部網(wǎng)絡(luò)和證券公司廣域網(wǎng)。前者實現(xiàn)了各營業(yè)部的基本工作職能，側(cè)重于局域網(wǎng)建設(shè)；后者則滿足了大型跨地域證券公司的網(wǎng)絡(luò)互連需求和增值服務(wù)的實現(xiàn)。為此，通威公司針對兩類應(yīng)用的特點分別提出了相應(yīng)的解決方案。

1、營業(yè)部網(wǎng)絡(luò)

營業(yè)部網(wǎng)絡(luò)的功能由以下幾部分組成：

1、交易/行情業(yè)務(wù)處理

這是每一個證券營業(yè)部網(wǎng)絡(luò)所要提供的基本職能。它需要為用戶提供行情公告和委托下單服務(wù)，一般基于Novell網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用程序；同時還要具有交易清算的功能，這一般在Windows NT或UNIX環(huán)境下完成。交易/行情業(yè)務(wù)數(shù)據(jù)以文字為主，僅帶有少量圖形信息，但數(shù)據(jù)量大，更新頻繁，其網(wǎng)絡(luò)傳遞能力代表了證券營業(yè)部的服務(wù)質(zhì)量和市場競爭 力，因此為這項主業(yè)務(wù)作支撐的網(wǎng)絡(luò)要求具有很高的可靠性、數(shù)據(jù)傳輸速率和安全性。根據(jù)各營業(yè)部規(guī)模不同，網(wǎng)絡(luò)環(huán)境大多采用100/1000M交換以太網(wǎng)作主干，10/100M 交換以太網(wǎng)到桌面的連接方式。

2、辦公管理

除業(yè)務(wù)處理外，辦公管理現(xiàn)代化也是行業(yè)發(fā)展的必然趨勢，它可將營業(yè)部的各項管理數(shù)據(jù)作電子存檔，通過網(wǎng)絡(luò)共享，做到準確、及時、方便的信息交流，這部分數(shù)據(jù)以文字和圖形為主，一般采用界面友好的瀏覽器形式操作。相對主業(yè)務(wù)數(shù)據(jù)而言，辦公管理對網(wǎng)絡(luò)實時性要求不高，主要強調(diào)系統(tǒng)的安全可靠、穩(wěn)定和經(jīng)濟性。為此網(wǎng)絡(luò)采用100M交換以太網(wǎng)主干，10M交換到桌面的連接方式就足以滿足需求了。

3、通信服務(wù)

通信服務(wù)的內(nèi)容涉及多個方面。這主要包括：發(fā)展證券公司內(nèi)部Intranet,以WEB、電子郵件等方式加強辦公管理；進一步與當?shù)匦畔⒏邸⒒ヂ?lián)網(wǎng)連通，實現(xiàn)資源共享，同時擴展市場影響力；增加本地撥入服務(wù)，建立遠程大戶室，從而開拓新的業(yè)務(wù)范圍等。這部分功能體現(xiàn)了證券公司的增值能力，其應(yīng)用特點為靈活、多樣，并且往往要借助于廣域網(wǎng)鏈路來實現(xiàn)，要求系統(tǒng)可靠、擴展能力強，廣域網(wǎng)鏈路經(jīng)濟，而互聯(lián)網(wǎng)的接入則對網(wǎng)絡(luò)的安全性提出考驗。為此可采用防火墻和認證軟件來保證系統(tǒng)的安全可靠，采用模塊化設(shè)計的網(wǎng)絡(luò)設(shè)備保證系統(tǒng)的擴充能力，并采用優(yōu)化的帶寬管理、多種鏈路技術(shù)、高速緩存等來保證廣域網(wǎng)鏈路的經(jīng)濟性。

證券營業(yè)部網(wǎng)絡(luò)的各項功能并非是各自獨立的，而是相輔相成，并最終在一個統(tǒng)一的網(wǎng)絡(luò)架構(gòu)中實現(xiàn)。綜上所述，這個網(wǎng)絡(luò)的主體要求是：

? 可靠，不停機－－系統(tǒng)有一定的冗余和備份，故障恢復迅速；

高速－－在用戶數(shù)據(jù)較多、突發(fā)流量大的情況下，不容許出現(xiàn)網(wǎng)絡(luò)瓶頸，阻礙正常交易；

安全－－鑒于網(wǎng)絡(luò)中傳遞的信息就是金錢，一定要保證數(shù)據(jù)安全保密，防止不良分子破壞，尤其在互聯(lián)網(wǎng)接入、危機四伏的情況下，網(wǎng)絡(luò)安全更要引起重視；

可管理性－－為保證系統(tǒng)良好的運行，滿足前述幾項要求，營業(yè)部網(wǎng)絡(luò)也需要實施完善的管理，如精確分析網(wǎng)絡(luò)流量、確定系統(tǒng)運行狀態(tài)，監(jiān)控非法用戶入侵等。? ?

結(jié)合上述網(wǎng)絡(luò)要求，并針對不同的營業(yè)部規(guī)模和各自應(yīng)用特點，通威公司提出了以下多種解決方案。

(1)500節(jié)點以下證券營業(yè)部解決方案

這是針對相對小型的證券營業(yè)部提出的解決方案，方案特點如下。

1.系統(tǒng)全套備份，主干交換機的全冗余配置，每個工作站到每臺服務(wù)器都有多條連接鏈路，并采用快速以太網(wǎng)通道化、快速上聯(lián)恢復和快速端口恢復等技術(shù)充分確保網(wǎng)絡(luò)的可靠性。

2.高性能全交換，利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴展網(wǎng)絡(luò)帶寬，滿足大負荷網(wǎng)絡(luò)運行需求；

3.系統(tǒng)安全，保密性高，交換機端口安全設(shè)置技術(shù)保證了局域網(wǎng)環(huán)境的安全，而IOS操作系統(tǒng)集成防火墻功能構(gòu)成了廣域連接安全屏障；

4.管理簡單，可在用戶熟悉的瀏覽器界面下，對系統(tǒng)的交換機實施配置和監(jiān)控。管理人員也無需專門培訓。

A、百兆主干方案

根據(jù)經(jīng)濟承受能力的不同，對500節(jié)點以下的營業(yè)部解決方案可以有百兆主干和千兆主干兩種方式，百兆主干方案拓撲結(jié)構(gòu)如下

由下圖可看出，該方案網(wǎng)絡(luò)設(shè)備組成為(斜杠表示可互換設(shè)備)

Catalyst 3524/2948G交換機 兩臺

Catalyst 2924/3524/3548交換機 十臺 Cisco 2600路由器 一臺

思科公司的Catalyst 3524或Catalyst 2948G交換機是這一網(wǎng)絡(luò)的核心設(shè)備，Catalyst 3524提供了24個10/100M自適應(yīng)的快速以太網(wǎng)端口和兩上千兆以太網(wǎng)端口，Catalyst 2948G則具有48個10/100M快速以太網(wǎng)端口和兩個千兆以太網(wǎng)端口，可分別用于對工作站數(shù)量有不同要求的應(yīng)用，由圖1可看出，兩臺Catalyst 3524/2948G各自利用兩個百兆端口通過Cisco FEC(快速以太網(wǎng)通道，F(xiàn)ast Ethernet Channel)接成高達400M的無阻塞通道，成為該網(wǎng)絡(luò)的主干；每臺Catalyst 3524/2948G又分別和十臺二級交換機Catalyst 2924/3524/3548級聯(lián)，共可為220-460個10M或100M用戶工作站提供網(wǎng)絡(luò)接 入；同時，為保證交易服務(wù)器和行情服務(wù)器的高數(shù)據(jù)傳輸率，主干交換機Catalyst 3524/2948G又以100M甚至1000M帶寬分別與各臺服務(wù)器相連，使下級工作站的大量訪問數(shù)據(jù)得以暢通無阻。

為實現(xiàn)前文所述的營業(yè)部網(wǎng)絡(luò)的第三項功能－－通信服務(wù)，方案中還引入了思科公司的路由器Cisco 2600，這是一款功能靈活、得以廣泛應(yīng)用的中檔路由器，除了有固定的10M或10/100M局域網(wǎng)端口外，還具備一個NM網(wǎng)絡(luò)插槽和兩個WIC廣域網(wǎng)接口插槽，所選模塊可以有多種組合：如NM-8AM模塊可為遠程大戶同時建立八條115.2K的電話撥號連接；WIC－IT可通過DDN專線或幀中繼接入Internet或公司總部；WIC-IB則可提供一條ISDN撥號鏈路……營業(yè)部可根據(jù)自身需求選擇適合的Cisco 2600型號和相應(yīng)模塊，空余的插槽可為以后網(wǎng)絡(luò)升級留出空間。

除了硬件選配的靈活多樣外，Cisco 2600在操作系統(tǒng)軟件性能上也可以有豐富的功能選擇。圖1中所示的路由器后方帶有一個紅色磚墻標志，它表示該路由器兼任了防火墻－－這是通過操作系統(tǒng)升級而具備的增強功能，它使路由器在承擔遠程連接的同時實施數(shù)據(jù)包檢驗和過濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中。

考慮到遠程大戶室的發(fā)展趨勢，在每套解決方案中都用到了800/1700路由器來引入遠程大戶連接，這套方案中用到了思科公司的低端路由器Cisco 800/1700，它提供了對內(nèi)的10/100M局域網(wǎng)接口和對外的128K的ISDN或?qū)＞€連接，通過專用線路實現(xiàn)遠程交易或瀏覽等應(yīng)用。ISDN是國內(nèi)已廣泛應(yīng)用的一種撥號技術(shù)，按連接時間計費，費用比普通電話線稍高，但帶寬能達到普通電話線的3-4倍，且傳輸穩(wěn)定，連接迅速。

思科公司產(chǎn)品系統(tǒng)的中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在承擔遠程連接的同時實施數(shù)據(jù)包檢驗和過濾，防止非法用戶入侵到內(nèi)部局域網(wǎng)中。對連接到廣域網(wǎng)的用戶來說，安全性是網(wǎng)絡(luò)設(shè)計中不可忽視的一項重要因素。

這種局域網(wǎng)設(shè)計的最大特點是高效率、高可靠性、高安全性和高可管理性；并且成本較低，網(wǎng)絡(luò)結(jié)構(gòu)易于搭建和管理，兼顧了證券營業(yè)部的多方面應(yīng)用。高效率體現(xiàn)在FEC技術(shù)的使用、網(wǎng)絡(luò)的分層結(jié)構(gòu)和帶寬的合理分配上。FEC技術(shù)是鏈路帶寬擴容的一條重要途徑。它可在100M或1000M以太網(wǎng)端口間實現(xiàn)，用于將多條并行鏈路的帶寬疊加起來。這項技術(shù)能夠把2-4組高速端口之間的連接帶寬聚合在一起，在全雙工工作模式下達到400M-800M的帶寬，這樣多條鏈路被用作單條高速數(shù)據(jù)通道，避免了回路的形成。以太網(wǎng)通道技術(shù)也體現(xiàn)了產(chǎn)品的可擴充性能，能充分利用現(xiàn)有設(shè)備實現(xiàn)高速數(shù)據(jù)傳遞。

高可靠性則由兩臺主干交換機的全冗余充分表現(xiàn)出來：從每個工作站到每臺服務(wù)器都有多條連接鏈路，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶覺察不到的極短時間內(nèi)啟用備份恢復數(shù)據(jù)傳遞，從而保證了系統(tǒng)穩(wěn)定可靠的運行。思科交換機所支持的幾種容錯技術(shù)，如FEC、Uplink-Fast(快速上聯(lián)恢復)和Port-Fast(快速端口恢復)技術(shù)能夠充分確保網(wǎng)絡(luò)的可靠性。FEC技術(shù)的引入在實現(xiàn)帶寬擴充的同時，多條鏈路被用作單條高速數(shù)據(jù)通道，避免了回路的形成，另外通道中部分線路的故障不影響其它線路的帶寬聚合，從而也保障了網(wǎng)絡(luò)的可靠性。快速上聯(lián)恢復是用在交換機間級聯(lián)鏈路上的一項技術(shù)。它使備份端口直接由阻塞進入到轉(zhuǎn)發(fā)狀態(tài)，從而使網(wǎng)絡(luò)收斂時間從40秒大大縮短至5秒以內(nèi)。快速端口恢復技術(shù)應(yīng)用在直接連接工作站或服務(wù)器的交換機端口上，它與快速上聯(lián)恢復的工作原理類似，將轉(zhuǎn)換延遲從40秒縮短至2秒以內(nèi)，這樣在交換機上接入新的工作站，或改變某工作站的所接端口時，該站點能很快進入工作狀態(tài)。

系統(tǒng)的安全性包含了局域網(wǎng)的安全性和廣域網(wǎng)的安全性。思科局域網(wǎng)交換機能夠進行端口安全的設(shè)置，交換機端口所連的各個工作站/服務(wù)器都有自己唯一的MAC地址，為此對應(yīng)交換機的每端口都有一下MAC地址表。網(wǎng)絡(luò)管理員可手動地在表中加入特定的MAC和端口的對應(yīng)關(guān)系，將設(shè)備與端口綁定，防止假冒身份的非法用戶通過網(wǎng)絡(luò)中其它交換機接入；此外，端口安全機制還體現(xiàn)在對每端口所支持MAC地址數(shù)的限定上。在廣域網(wǎng)方面，思科公司路由器的操作系統(tǒng)IOS能夠集成防火墻功能。這使路由器在完成路由和遠程連接功能的同時充當安全屏障－－防火墻的角色，對規(guī)模較小的證券營業(yè)部，IOS防火墻不失為一種經(jīng)濟的選擇。

此外，系統(tǒng)的管理相對簡單，可以采用Cisco交換機視像管理器(CVSM)，它是一套基于WEB的免費配置管理軟件，可在用戶熟悉的瀏覽器界面下對思科交換機系列產(chǎn)品實施配置和監(jiān)控。CVSM避免了對交換機操作系統(tǒng)語言的直接介入，而以更為友好的圖形界面取而代之。用戶只需在交換機上只需事先設(shè)定好IP地址，就可以通過CVSM輕松地去訪問和管理它；所有操作一次性完成，不需隨時監(jiān)控。

B、千兆主干方案

在同一網(wǎng)絡(luò)規(guī)模下，若證券公司對網(wǎng)絡(luò)主干有更高的要求，可通過更換前套方案中的主干交換機將其提升為千兆主干網(wǎng)絡(luò)，拓樸結(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成為：[見圖]

Catalyst4003交換機 兩臺

Catalyst2924/3524/3548交換機 十臺

Cisco 2600路由器 一臺

該方案與前方案結(jié)構(gòu)大致相同，只是核心交換機由原來的Catalyst 3524/2948G升級為Catalyst 4003,它具備三個接口插槽，可選擇的以太網(wǎng)端口從帶寬上和密度上都比Catalyst 3524/2948G有較大提高。這里共選配了8個千兆端口和32個百兆端口，從而可以將兩臺主干間的百兆FEC通道提升為千兆GEC通道，接成高達4G的主干帶寬；同時也可為更多的行情/交易服務(wù)器或數(shù)據(jù)量較大的二級交換機提供千兆連接。千兆以太網(wǎng)通道化技術(shù)與快速以太網(wǎng)通道化技術(shù)類似，它可將2-4組千兆端口之間的連接帶寬聚合在一起，在全雙工工作模式下達到4-8G的帶寬，這樣多條鏈路被用作單條高速數(shù)據(jù)通道，在提高傳輸效率的同時避免了回路的形成，通道中部分線路的故障不影響其它線路的帶寬聚合，從而也提高了網(wǎng)絡(luò)的可靠性。

(2)500-1000節(jié)點證券營業(yè)部解決方案

能支持500-1000節(jié)點的證券營業(yè)部屬中型規(guī)模，它的網(wǎng)絡(luò)建設(shè)同樣需要滿足營業(yè)部網(wǎng)絡(luò)的特定要求，并且相對500節(jié)點以下的網(wǎng)絡(luò)還應(yīng)具有更高的數(shù)據(jù)吞吐能力，此類系統(tǒng)的主要特點如下：

系統(tǒng)全套備份，穩(wěn)定可靠，獨特的堆疊技術(shù)能夠在網(wǎng)絡(luò)中構(gòu)造冗余，在堆疊之外每個二級網(wǎng)點和服務(wù)器仍同時與兩臺主干交換機作千兆雙鏈路連接，保障系統(tǒng)運行的可靠性；利用HSRP技術(shù)，可以實現(xiàn)兩個主干交換機在第三層上的熱備份功能；

高性能全交換，千兆主干，并采用千兆以太網(wǎng)通道化技術(shù)擴充帶寬，能滿足大負荷網(wǎng)絡(luò)運行需求；第三層交換技術(shù)，能夠使兩個網(wǎng)段在進行數(shù)據(jù)交換時，可以根據(jù)不同的應(yīng)用有選擇的進行，提高了帶寬資源的利用率。VLAN技術(shù)的引入也使得系統(tǒng)資源能夠被更有效地利用，結(jié)合HSRP(熱備份路由協(xié)議)技術(shù)、PVST(每個VLAN單獨計算Spanning Tree)技 術(shù)，使每個二級交換機上的兩條聯(lián)鏈路同時處于傳輸狀態(tài)，各自分擔一部分VLAN的數(shù)據(jù)傳輸，充分利用帶寬。

系統(tǒng)安全，保密性高，采用先進的虛擬局域網(wǎng)技術(shù)，它依靠用戶邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)絡(luò)劃分為多個虛擬網(wǎng)段，同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過第三層交換來完成，從而提高了系統(tǒng)的安全性。

可選用功能相對強大的專業(yè)網(wǎng)管系統(tǒng)，使網(wǎng)絡(luò)管理從單純的配置管理擴展到設(shè)備配置和網(wǎng)絡(luò)健康狀況管理等多個方面，管理界面友好，使用靈活方便。

通威公司針對這種規(guī)模的網(wǎng)絡(luò)提供的方案拓撲結(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成如下圖：

Catalyst 4006/6506交換機 兩臺

Catalyst 2948G/2980G交換機 若干 Catalyst 3524/3548交換機 若干

Cisco 2600路由器 一臺

由圖可看出，這套方案仍為雙主干互備份，級聯(lián)多個二級交換機的結(jié)構(gòu)。但為支持更多用戶數(shù)和更多大的數(shù)據(jù)傳輸量，各級設(shè)備都相應(yīng)升級：主干交換機采用兩臺Catalyst 4006(6個接口插槽，帶第三層交換模塊)或Catalyst 6506(6個接口插槽，帶第三層交換模塊MSFC)，以GEC技術(shù)構(gòu)造8G高速主干，足以負擔沉重的數(shù)據(jù)傳輸量；二級交換機可采用Catalyst 2948G/2980G，同時與兩主干交換機作千兆上聯(lián)，并為工作站提供48/80個 10/100M接入端口；若某些二級網(wǎng)點要求的用戶數(shù)更多，則可采用多臺Catalyst 3524/3548堆疊－－思科公司的Catalyst3500交換機具有獨特的GigaStack堆疊技術(shù)，采用價格低廉的銅纜以菊花鏈方式構(gòu)成1G的堆疊總線，每堆疊最多可支持九臺Catalyst 3524/3548,提供多達300多個10/100M工作站接入端口。

該方案充分考慮到系統(tǒng)的高可靠性、高安全性、高速率和可管理性。

在可靠性方面，思科的GigaStack堆疊技術(shù)，使首尾兩臺交換機的額外連線將整個總線結(jié)成回路，其目的是在堆疊內(nèi)構(gòu)造冗余，這樣即使堆疊中任一連接出現(xiàn)故障，都能繼續(xù)傳遞數(shù)據(jù)；在堆疊之外，每個二級網(wǎng)點和服務(wù)器仍同時與兩臺主干交換機作千兆雙鏈路連接，保障系統(tǒng)運行的可靠性。

該方案采用了虛擬局域網(wǎng)(VLAN)技術(shù)來充分保證系統(tǒng)的安全性。隨著用戶的增多，整個營業(yè)部局域網(wǎng)內(nèi)數(shù)據(jù)流通量增大，并且行情、交易、辦公管理的數(shù)據(jù)混雜，不利于網(wǎng)絡(luò)性能的提高和安全隔離，這使得VLAN的應(yīng)用成為必要。VLAN依靠用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)絡(luò)劃分為多個虛擬網(wǎng)段，劃分的依據(jù)可為設(shè)備所連的端口、用戶節(jié)點的MAC地址等。劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過第三層交換來完成。劃分VLAN具備以下好處：提高安全性、隔離第二層的廣播信息提高帶寬利用率、增強網(wǎng)絡(luò)應(yīng)用靈活性。當然，不同部門(VLAN)之間有時也需要進行數(shù)據(jù)交換，為此需要借助主干交換機第三層交換的功能，這是由交換機的第三層交換模塊來實現(xiàn)。它支持多種路由協(xié)議(如RIP，PIP v2，OSPF，EIGRP等)，也支持訪問控制列表(access list)。

主干交換機采用千兆高速技術(shù)和GEC技術(shù)，足以負擔沉重的數(shù)據(jù)傳輸量；二級交換機的處理能力也非常強大，同時與兩主干交換機作千兆上聯(lián)。思科的HSRP(熱備份路由協(xié)議)技術(shù)，能夠使兩個主干交換機在第三層(即VLAN之間的數(shù)據(jù)傳輸)互為熱備份；同時在二級交換機上，利用PVST技術(shù)針對兩條千兆上聯(lián)鏈路為每個VLAN設(shè)定不同優(yōu)先級，使到兩條千兆上聯(lián)鏈路都負擔部分流量，做到負載分擔，充分利用帶寬資源。

該方案可以選用功能相對強大的專業(yè)網(wǎng)管系統(tǒng)如Cisco Works Windows。它的功能已從單純的配置管理擴展到設(shè)備配置和網(wǎng)絡(luò)健康狀況管理等多個方面：如定性或定量的分析網(wǎng)絡(luò)各項參數(shù)；基于SNMP全面管理網(wǎng)絡(luò)中多種設(shè)備，以照片方式顯示設(shè)備直觀視圖；通過簡單的點擊配置設(shè)備端口和各項參數(shù)；通過不同色彩和多種圖表顯示各種工作狀態(tài)等。這是一套基于Windows的網(wǎng)絡(luò)管理軟件，可安裝在Windows 95/98或Windows NT平臺上，界面友好，使用靈活方便。

此外，數(shù)據(jù)處理能力的增強使得證券營業(yè)部有可能開展更多的服務(wù)項目，如圖形信息量較大、對網(wǎng)絡(luò)帶寬和傳輸質(zhì)量要求較高的多媒體股評、視頻點播等。

(3)1000節(jié)點以上證券營業(yè)部解決方案

對于更大規(guī)模的證券營業(yè)部，通威公司又推出第三套建議方案，方案特點如下：

1.系統(tǒng)全套備份，穩(wěn)定可靠；

2.高性能全交換，千兆主干，滿足大負荷網(wǎng)絡(luò)運行需求；交換機具備極高的交換能力和端口密度，并通過第三層交換提高了系統(tǒng)性能。

3.系統(tǒng)安全，保密性高，在VLAN、交換機端口安全機制等基礎(chǔ)上，高性能的交換機具有對第三層路由模塊的支持能力，可以對VLAN間數(shù)據(jù)交換起到更好的支持作用

4.網(wǎng)絡(luò)管理采用深入全面的工具，可運行于Windows NT或多種UNIX平臺，功能十分強大，可對VLAN和ATM實施管理，支持的用戶數(shù)更多，適用于大型網(wǎng)絡(luò)。

相對中、小規(guī)模的證券營業(yè)部，大型營業(yè)部的業(yè)務(wù)模式基本沒有太多變化，因此網(wǎng)絡(luò)方案特點同于前方案，但用戶數(shù)進一步增加對網(wǎng)絡(luò)容量所帶來的更高要求使本方案所用設(shè)備再次升級，具體拓撲結(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成為:

atalyst6509交換機 兩臺

Catalyst 2948G/2980G交換機

若干 Catalyst 3524/3548交換機 若干

Cisco 2600路由器 一臺

大規(guī)模證券營業(yè)部所采用的二級交換機仍為Catalyst 2948G/2980G或Catalyst 3524/3548堆疊，每個網(wǎng)點可最多為數(shù)百個用戶提供連接；但由于二級網(wǎng)點數(shù)量的增加，對主干設(shè)備性能則提出了更高要求，為此主干交換機升級為兩臺Catalyst 6509，這是思科公司性能卓越的高端局域網(wǎng)產(chǎn)品之一，具備極高的交換能力和端口密度，有Catalyst 6506/6509兩種不同插槽數(shù)的型號可供選擇，最多可支持上百個千兆以太網(wǎng)端口，能充分滿足網(wǎng)絡(luò)互聯(lián)的需求。

除端口密度增加外，Catalyst 6500性能的提升還體現(xiàn)在其第三層功能上：首先，Catalyst 6500支持專有的第三層交換模塊MSFC(多層交換特性卡)，不需借助外接的路由器就可實現(xiàn)路由；其次，MSFC直接附在交換引擎上，無需占用一個槽位；再次MSFC支持多層交換，可以提供。

另外Catalyst 6500支持雙交換引擎、雙電源冗余備份，體現(xiàn)其極高的可靠性。

Catalyst 6500系列滿足了可擴展性和高的性能/價格比的需求，支持寬廣的端口密 度、性能及高可用的選擇，并提供智能化、服務(wù)質(zhì)量(QoS)和安全的機制。客戶可以更加有效的增強網(wǎng)絡(luò)的客戶服務(wù)如組播和ERP的應(yīng)用而不須考慮網(wǎng)絡(luò)性能的嚴重衰減。與PFC(策略特性卡，和MSFC一樣附在交換引擎上)一起，可基于第二、三、四層的信息如用戶、IP地址或不同的應(yīng)用而實現(xiàn)網(wǎng)絡(luò)的策略管理，或得很好的服務(wù)質(zhì)量(QoS)。

該方案對于可靠性、運行速度、安全性、可管理性都予以充分的考慮。

整個系統(tǒng)采用的全套備份的體系，具備很高的可靠性，而Catalyst 6500所具備的熱備份路由功能(HSRP)更是提高了這一性能。

除了前幾種方案所述的VLAN、交換機端口安全機制等技術(shù)之外，該方案中Catalyst 6500對第三層路由模塊的支持能力，可以對VLAN間數(shù)據(jù)交流尤其起到了更好的支持，從而提高了系統(tǒng)的安全性。

在網(wǎng)絡(luò)運行速度方面，這一方案的配置相比而言更為高檔，數(shù)據(jù)處理能力極強。此外，Catalyst 6500既保留了傳統(tǒng)的第二層交換在各端口間傳遞數(shù)據(jù)時的高線速，又集成了原來在第三層路由中才有的完善的控制功能如路由、審計、廣播隔離等，大大提高數(shù)據(jù)處理能力。

在管理方面，該方案可以選用Cisco Works 2000這類管理深入全面的工具，它可運行于Windows NT或多種UNIX平臺，功能十分強大，可對VLAN和ATM實施管理，支持的用戶數(shù)也更多，適用于大型網(wǎng)絡(luò)。

該方案還具有對多媒體信息處理的強大能力，這主要通過增強的數(shù)據(jù)處理能力、完善的QoS機制和優(yōu)化的視頻數(shù)據(jù)傳輸方案IP/TV等來實現(xiàn)的。值得一提的是，QoS不僅能夠充分利用帶寬資源，更可充分保證關(guān)鍵應(yīng)用。QoS系統(tǒng)能對網(wǎng)上的數(shù)據(jù)流應(yīng)用類別進行判定，并在IP包頭其優(yōu)先級。然后，在應(yīng)用識別基礎(chǔ)上，對數(shù)據(jù)流量進行調(diào)度。思科的加權(quán)式公平隊列(WFQ)、加權(quán)隨機早期探測(WRED)等技術(shù)，可以精確處理帶寬流量，從而使系統(tǒng)資源利用更為有效，保證各類多媒體信息可以流暢地在網(wǎng)絡(luò)中傳送

第二篇：XX證券VPN組網(wǎng)解決方案

XX證券VPN組網(wǎng)解決方案

第一章 前言

以Internet為基礎(chǔ)的信息高速公路的迅猛發(fā)展，正以前所未有的速度和能力改變著人們的生活和工作方式，我們真正處于一個“信息爆炸”的時代。

一方面，Internet使得人們能夠跨越時空的限制，為學習、生活和工作帶來空前的便利；許多企事業(yè)單位不僅僅充分利用Internet的豐富資源，同時，為了企事業(yè)單位內(nèi)部的資源共享和信息傳輸，也紛紛建起了企事業(yè)單位內(nèi)部Intranet，達到企事業(yè)單位內(nèi)部資源的高度共享。甚至一些信息化建設(shè)程度較高的企事業(yè)單位已經(jīng)建起了Extranet，與其他政府機構(gòu)、合作伙伴也進行了資源共享。

另一方面，面對信息的汪洋大海，人們往往感到無所適從，出現(xiàn)“信息迷向”的現(xiàn)象。更嚴重的是Internet是一個無國界的虛擬信息社會，現(xiàn)實社會中的各種問題都會在Internet上通過電子手段予以重現(xiàn)，信息犯罪愈演愈烈。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴大，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大，信息安全問題變得越來越重要。信息安全問題不僅僅涉及到國家的經(jīng)濟安全、金融安全，還涉及到國家的國防安全、政治安全和文化安全。對于企事業(yè)單位的重要信息和資源，也構(gòu)成了巨大威脅，致使一些企事業(yè)單位單位不敢聯(lián)網(wǎng)，把網(wǎng)絡(luò)互聯(lián)的優(yōu)勢完全拋棄，形成了一個一個信息孤島。

政府信息化的發(fā)展已經(jīng)成為當代信息化的最重要的領(lǐng)域之一。據(jù)聯(lián)合國教科文組織在2000年的調(diào)查，89%的國家都在不同程度地推進政府信息化的發(fā)展，并將其列為國家級的重要工作。

江澤民總書記明確指出：“四個現(xiàn)代化，那一化也離不開信息化。”我國的政務(wù)現(xiàn)代化也離不開信息化。

“兩會”前，朱總理提出：“電子政務(wù)的發(fā)展正在成為當代信息化的最重要的領(lǐng)域之一。為了適應(yīng)國際形勢和我國經(jīng)濟建設(shè)與社會發(fā)展的需要，我國必須加快電子政務(wù)的發(fā)展。”在今年的《政府工作報告》中，朱總理更明確指出，要“加快政府管理信息化建設(shè)，推廣電子政務(wù)，提高工作效率和監(jiān)管有效性。”

如何有效地利用網(wǎng)絡(luò)互聯(lián)的優(yōu)勢，提升XX證券系統(tǒng)信息化建設(shè)的速度,同時保證網(wǎng)絡(luò)和信息的安全共享，是擺在我們面前的迫切問題。虛擬私有網(wǎng)絡(luò)(Virtual Private Network,VPN)的出現(xiàn)，為我們提供了一個安全、經(jīng)濟、快捷、靈活的網(wǎng)絡(luò)安全互聯(lián)組網(wǎng)方案。結(jié)合的XX證券實際需求和現(xiàn)狀網(wǎng)絡(luò)，通過對必要性和可行性，實施效果、成本和風險，硬件和網(wǎng)絡(luò)方案等進行了充分的調(diào)研和論證，提出了《XX證券VPN組網(wǎng)解決方案》。

根據(jù)項目計劃，將在XX證券中心機房和全國各營業(yè)點部署VPN安全網(wǎng)關(guān)，實施安全訪問控制和各點之間的加密通信。

第二章 項目情況介紹

2.1 目前網(wǎng)絡(luò)的現(xiàn)狀

目前，XX證券總部在電信申請了2個互聯(lián)網(wǎng)線路，一條線路用于同其他各營業(yè)點（在全國共27個）進行OA系統(tǒng)的信息傳輸，另外一條線路用戶內(nèi)部員工訪問互聯(lián)網(wǎng)。其他各營業(yè)點均在本地電信申請ADSL線路。

目前的網(wǎng)絡(luò)示意圖如下：

圖2-1 XX證券網(wǎng)絡(luò)示意圖 2.2 目前網(wǎng)絡(luò)系統(tǒng)存在的需求

1、應(yīng)用需求 目前，XX證券全國各營業(yè)點需要實時訪問XX證券總部（武漢）應(yīng)用服務(wù)器（OA服務(wù)器、mail服務(wù)器等）。利用傳統(tǒng)的公網(wǎng)是無法快捷、安全地訪問內(nèi)部服務(wù)器。因為所有數(shù)據(jù)在傳輸過程中都是以明文的，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞關(guān)鍵數(shù)據(jù)，給造成不可估量的損失。針對的相關(guān)應(yīng)用需求，我們建議采用VPN的組網(wǎng)方式，可以安全、方便地在XX證券和全國27各營業(yè)點之間的“虛擬專用網(wǎng)絡(luò)”。

2、安全需求

目前XX證券應(yīng)用系統(tǒng)和重要數(shù)據(jù)都以明文在網(wǎng)絡(luò)進行直接傳輸，因應(yīng)用系統(tǒng)的網(wǎng)絡(luò)傳輸數(shù)據(jù)體現(xiàn)了XX證券的重要情況和保密敏感信息，屬于高度機密，以明文在公共網(wǎng)絡(luò)上直接傳輸存在著很大的隱患，黑客或網(wǎng)絡(luò)運營商中的某些有不良居心的人員可以利用專用軟件在網(wǎng)絡(luò)結(jié)點設(shè)備或線路上截獲應(yīng)用系統(tǒng)或重要數(shù)據(jù)，如果這些數(shù)據(jù)被公布或透露給外界，對于來說，后果是非常嚴重的。

另一方面，各營業(yè)點網(wǎng)絡(luò)直接和internet相連，這樣就存在極大的安全隱患，外部網(wǎng)絡(luò)可以隨意訪問內(nèi)部網(wǎng)絡(luò)，甚至控制內(nèi)部服務(wù)器，然后已內(nèi)部主機作為跳板，轉(zhuǎn)而攻擊網(wǎng)絡(luò)總部的服務(wù)器，那么整個系統(tǒng)將無安全性可言。

綜上所述，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論要解決的問題。使整個網(wǎng)絡(luò)的安全達到一個全面加強，使網(wǎng)絡(luò)系統(tǒng)的每個部分都不會成為“木桶的最短一塊木板”是本系統(tǒng)方案要實現(xiàn)的目標。

第三章 設(shè)計原則和設(shè)計思想

系統(tǒng)的總體設(shè)計思想是要體現(xiàn)技術(shù)的先進性和決策的前瞻性，著力于“實用性、高起點、前瞻性、擴展性”。具體的我們遵循了以下原則： 3.1 安全性原則

在網(wǎng)絡(luò)運行的各個環(huán)節(jié)中，都應(yīng)該嚴格注意安全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個區(qū)政府正常辦公的大局。

隨著計算機網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范，在該方案中，安達通公司時刻強調(diào)高度的安全性。我們在進行系統(tǒng)設(shè)計時將提供多種手段保障系統(tǒng)的安全，對相關(guān)的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用數(shù)據(jù)庫提供嚴密的保護。同時，采用國際上最新的主流VPN技術(shù)，確保用戶能充分利用網(wǎng)絡(luò)的互通性和易用性，同時可以為用戶盡可能地降低系統(tǒng)投入成本，實現(xiàn)高效益。網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品，好的安全策略；另一方面，更為重要的是要有完善的安全管理制度。3.2 實用性原則

系統(tǒng)在設(shè)計上一方面將滿足雙向的數(shù)據(jù)傳送、實時處理的要求；另一方面，又采用國際上最先進的技術(shù)，使系統(tǒng)完成后，保持一定時期的領(lǐng)先地位。

尤其是采用了目前國際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的Firewall技術(shù)具有不可比擬的優(yōu)勢，體現(xiàn)在：不僅具有FireWall的保護內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用VPN技術(shù)，可以解決Firewall所不能解決的外網(wǎng)用戶的安全接入問題（在本方案中，導致可以直接省略“撥號服務(wù)器”），同時可以不受接入數(shù)量限制，這使整個網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。利用IDS技術(shù)，不僅強化了本身的抗攻擊能力，而且可以與IDS系統(tǒng)互動。

實用性原則既要做到先進技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實用性相結(jié)合。

3.3 可靠性原則

這套網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)的門戶。它的穩(wěn)定可靠關(guān)系重大，特別是WEB網(wǎng)上服務(wù)等具體業(yè)務(wù)項目，隨著使用的普及，信息平臺的運行不穩(wěn)定甚至癱瘓將嚴重影響政府的形象，也將給為政府帶來不便和不可低估的損失。因此可靠性是平臺運行的首要保證。

我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性，采用負載均衡技術(shù)、備份技術(shù)就是其中的重要策略。3.4 可擴展性原則

網(wǎng)絡(luò)安全建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實施、逐步完善的的過程。我公司在該方案的設(shè)計中充分考慮它的可擴展性，在實現(xiàn)基本的網(wǎng)絡(luò)被動防護系統(tǒng)（安裝防火墻、VPN安全網(wǎng)關(guān)及其管理平臺）以及信息傳輸加密的前提下，為以后進一步實現(xiàn)網(wǎng)絡(luò)的主動防護系統(tǒng)，主要包括IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應(yīng)的接口，便于以后的擴展以及與IDS等設(shè)備實現(xiàn)互動。3.5 易管理性原則

網(wǎng)絡(luò)系統(tǒng)的管理和維護工作也是至關(guān)重要的。在系統(tǒng)設(shè)計時既要充分考慮平臺的易管理性，為平臺維護者提供方便的管理工具；同時又要設(shè)計規(guī)范但不失靈活的工作流程。另外，通過網(wǎng)管平臺，可以實現(xiàn)遠程安全管理和本地管理等多種管理手段。第四章 XX證券VPN組網(wǎng)建設(shè)方案

4.1 VPN技術(shù)簡介

VPN（虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道），將遠程的分支機構(gòu)、商業(yè)伙伴、移動辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。在該網(wǎng)中的主機將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機都處于一個網(wǎng)絡(luò)之中。對企業(yè)而言，VPN可以替代傳統(tǒng)租用線來連接計算機或局域網(wǎng)等。而任何VPN業(yè)務(wù)都是基于隧道技術(shù)實現(xiàn)的，隧道機制是VPN實施的關(guān)鍵。數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機構(gòu)就可以互相傳遞信息；同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以連接進入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

在眾多的VPN解決方案中，IP-VPN脫穎而出，成為眾多企業(yè)組建VPN的首選方案。IP-VPN是指在運行IP協(xié)議的網(wǎng)絡(luò)上實現(xiàn)的VPN。世界上最大的IP網(wǎng)絡(luò)就是Internet。由于Internet正在使用的IPv4協(xié)議在設(shè)計初期并沒有過多地考慮安全問題，因此無法為用戶解決他們所擔心的數(shù)據(jù)安全保密性。IP-VPN在使用了一些額外的安全技術(shù)后，解決了這一難題。

目前，國際主流的大多是基于Ipsec的VPN技術(shù)，該技術(shù)正在迅速走向成熟，而且它正處于興盛期。

圖4-1 VPN組網(wǎng)示意圖

虛擬專網(wǎng)的重點在于建立安全的數(shù)據(jù)傳輸通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：

保證數(shù)據(jù)的真實性：通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認（IP Spoofing）的能力。

保證數(shù)據(jù)的完整性:接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。

保證通道的機密性:提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。

提供動態(tài)密匙交換功能:提供密匙中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。

提供安全防護措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制（Access Control）。

虛擬專用網(wǎng)VPN可以使在Internet中的信息交換有安全保障，大多數(shù)的VPN產(chǎn)品支持IPSec。最初VPN技術(shù)被設(shè)想為Intenet節(jié)點的連接方式，后來它很快被公認為是一種遠端的接入技術(shù)，例如在一個遠程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術(shù)正在迅速走向成熟，而且它正處于興盛期。

安達通公司作為國內(nèi)領(lǐng)先的專業(yè)VPN廠商，投入了很大的人力、財力，經(jīng)過一段時間的研究和攻關(guān)，提出了國內(nèi)領(lǐng)先的全動態(tài)地址VPN的解決方案。安達通公司的解決方案不但真正解決了全動態(tài)VPN的組網(wǎng)問題，還融入了PKI技術(shù)，采用基于數(shù)字證書的身份認證機制，解決了大規(guī)模VPN應(yīng)用中的設(shè)備管理和網(wǎng)絡(luò)管理的難題。4.2 產(chǎn)品選型

上海安達通信息安全技術(shù)有限公司（簡稱ADT）是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的公司。公司將自己定位為：基于PKI的網(wǎng)絡(luò)安全傳輸平臺供應(yīng)商。目前已經(jīng)擁有“PKI安全網(wǎng)關(guān)SGW系列、安全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載體SureID系列、證書中間件”等產(chǎn)品。形成了一個以CA為核心，證書為靈魂，網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件/設(shè)備相互聯(lián)動、密切配合的構(gòu)建在PKI平臺上的網(wǎng)絡(luò)安全系統(tǒng)。

安全網(wǎng)關(guān)是一種結(jié)合防火墻、VPN技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且具有和入侵檢測系統(tǒng)（IDS）互動的功能；隨著系統(tǒng)的升級，ADT安全網(wǎng)關(guān)SGW系列產(chǎn)品，還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測功能來增強“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。

另外，安達通公司的“安全網(wǎng)關(guān)”具有一個很明顯的技術(shù)優(yōu)勢――解決了目前國際上的VPN技術(shù)的難題――非固定IP間的VPN通訊連接（如：通訊雙方均采用ADSL進行連接）。

故此，我們建議目前的各XX證券組網(wǎng)方式改為VPN組網(wǎng)方案。

VPN組網(wǎng)除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外，還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(wǎng)（PSTN）提供的服務(wù)：如Modem撥號方式、ISDN、ADSL等。利用專線、幀中繼/ATM或以太網(wǎng)方式，從經(jīng)濟上和功能上不太適合的組網(wǎng)需求，利用電話線路的組網(wǎng)方式中，由于Modem撥號方式從技術(shù)上、管理上、安全上不太適合目前業(yè)務(wù)發(fā)展的需要。ADSL是電信力推的企事業(yè)單位上網(wǎng)模式，不但速度快、性能好、實時性好，針對的應(yīng)用特點和聯(lián)網(wǎng)規(guī)模，從經(jīng)濟上也是前幾種組網(wǎng)方式所不能比擬的。

針對的實際需求和具體應(yīng)用，我們推薦此方案采用安達通公司的SGW25C、SGW25B、SGW25A等型號的硬件產(chǎn)品。4.3 網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署

1、總部設(shè)計方案

考慮到目前總部服務(wù)器的高安全性、高載荷和將來的發(fā)展，建議在總部業(yè)務(wù)線路（100M線路上）放置兩臺安達通SGW25C型VPN安全網(wǎng)關(guān)。為了避免出現(xiàn)單點故障，兩網(wǎng)關(guān)作雙機熱備。

利用安達通安全網(wǎng)關(guān)的VPN技術(shù)建立總部和下面各營業(yè)點的“安全隧道”，實現(xiàn)總部和營業(yè)點之間安全的VPN“虛擬專用通道”。

利用安達通安全網(wǎng)關(guān)的防火墻功能實現(xiàn)基本的訪問控制和安全隔離。普通數(shù)據(jù)包通過防火墻模塊到達XX證券內(nèi)部網(wǎng)絡(luò)，實現(xiàn)包狀態(tài)檢測和訪問控制功能。只有需要加密的數(shù)據(jù)和信息才可以通過安達通VPN網(wǎng)關(guān)到總部內(nèi)部網(wǎng)絡(luò)，對于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進行過濾和處理。

另外，作為VPN備份線路，建議在總部的另外一個出口（10M線路，用于內(nèi)部訪問互聯(lián)網(wǎng)）處步署一臺安達通SGW25B安全網(wǎng)關(guān)，當業(yè)務(wù)線路出現(xiàn)故障（如路由器出現(xiàn)故障，被攻擊，或者電信部門調(diào)整線路）時，下面各營業(yè)點可以同該網(wǎng)關(guān)（SGW25B）建立VPN通道，從而連接到內(nèi)部網(wǎng)絡(luò)。

2、全國各營業(yè)點網(wǎng)絡(luò)設(shè)計方案

目前各營業(yè)點的使用adsl接入互聯(lián)網(wǎng)，鑒于其網(wǎng)絡(luò)流量不是很大的特點，建議在各營業(yè)點步署安達通公司SGW25A安全網(wǎng)關(guān)，利用其VPN功能，可以通總部建立VPN通道，從而安全的連接到總部內(nèi)部網(wǎng)絡(luò)；另外，利用其強大的防火墻功能，可以保護營業(yè)點內(nèi)部網(wǎng)絡(luò)。VPN組網(wǎng)結(jié)構(gòu)如下： 圖4-2 XX證券VPN組網(wǎng)結(jié)構(gòu)示意圖

第三篇：51CTO下載-證券行業(yè)網(wǎng)絡(luò)安全解決方案

證券行業(yè)網(wǎng)絡(luò)安全解決方案

第一章 前言

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的如政府部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、教育科研系統(tǒng)等。與此同時,這股強勁的Internet旋風也以驚人的速度滲透到證券行業(yè)的各個方面。證券公司上網(wǎng),開展網(wǎng)上的交易委托業(yè)務(wù),同時宣傳自身的服務(wù),吸引更多的客戶;證交所上網(wǎng),發(fā)布實時的行情信息,提供專家股評,向用戶提供上市公司信息;Internet進入證券領(lǐng)域,為廣大的證券從業(yè)人員提供了更為廣泛的信息來源空間,提供了更為廣闊的施展才能的舞臺;同時,也為股民提供了一種更為靈活的獲取市場信息和進行股票交易的方式.伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的瓶頸，而證券行業(yè)的網(wǎng)絡(luò)安全存在漏洞的狀況也是眾所周知的，多位信息安全領(lǐng)域的專家也對證券行業(yè)網(wǎng)絡(luò)的安全問題提出了尖銳的批評，證券行業(yè)網(wǎng)絡(luò)的安全現(xiàn)狀已不能適應(yīng)證券業(yè)迅速發(fā)展的狀況。近幾年,不斷有證券行業(yè)網(wǎng)絡(luò)被“黑客”入侵,造成重大經(jīng)濟損失和惡劣影響的消息見諸報段.證券行業(yè)的網(wǎng)絡(luò)安全已經(jīng)成為擺在所有證券機構(gòu)和人員所要考慮的事情之一。FortiNet公司是一家從事網(wǎng)絡(luò)信息安全研究、產(chǎn)品開發(fā)的高科技術(shù)企業(yè)之一。是一家致力于國際信息安全產(chǎn)業(yè)發(fā)展的專業(yè)安全公司。FortiNet公司已成功開發(fā)出具有自主版權(quán)的安全產(chǎn)品：FortiGate系列防火墻。該產(chǎn)品是基于ASIC芯片的硬件防火墻，集成了網(wǎng)關(guān)級病毒檢測和內(nèi)容過濾功能。該安全產(chǎn)品已獲得公安部許可，同時獲得了ICSA的AntiVirus、IPSec和FireWall認證。目前，這些安全產(chǎn)品都已廣泛應(yīng)用于金融、電信、教育等行業(yè)。并贏得用戶的廣泛贊譽。

第二章 網(wǎng)絡(luò)安全風險和應(yīng)對策略

2.1 安全風險

證券網(wǎng)絡(luò)系統(tǒng)的安全風險主要來自網(wǎng)絡(luò)設(shè)施物理特性的安全、網(wǎng)絡(luò)系統(tǒng)平臺的安全、網(wǎng)上交易的安全、數(shù)據(jù)存儲的安全。

2.1.1物理安全風險

? ? ? 由于水災(zāi)、火災(zāi)、雷擊、粉塵、靜電等突發(fā)性事故和環(huán)境污染造成網(wǎng)絡(luò)設(shè)施工作停滯

人為引起設(shè)備被盜、被毀或外界的電磁干擾使通信線路中斷

電子、電力設(shè)備本身固有缺陷和弱點及所處環(huán)境容易在人員誤操作或外界誘發(fā)下發(fā)生故障

2.1.2 系統(tǒng)安全風險

系統(tǒng)風險在三個方面：網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)

? ? 網(wǎng)絡(luò)系統(tǒng)在設(shè)計實施不夠完善，例如缺乏正確路由、網(wǎng)絡(luò)的容量、帶寬估計不足、對證券系統(tǒng)局域網(wǎng)沒做劃分隔離以及關(guān)鍵網(wǎng)絡(luò)設(shè)備沒有冗余設(shè)計，一旦發(fā)生故障，將直接影響網(wǎng)絡(luò)系統(tǒng)安全。

網(wǎng)絡(luò)系統(tǒng)缺乏安全可靠的網(wǎng)絡(luò)通信協(xié)議和網(wǎng)絡(luò)安全設(shè)備，使網(wǎng)絡(luò)黑客容易利用網(wǎng)絡(luò)設(shè)計和協(xié)議漏洞進行網(wǎng)絡(luò)攻擊和信息竊取，例如未經(jīng)授權(quán)非法訪問證券系統(tǒng)內(nèi)部網(wǎng)絡(luò)、對電話網(wǎng)進行監(jiān)聽、對系統(tǒng)的安全漏洞進行探測掃描、遠程登陸交易、行情服務(wù)器并對數(shù)據(jù)進行篡改、對通信線路、服務(wù)器實施洪流攻擊造成線路涌塞和系統(tǒng)癱瘓等。

? 網(wǎng)絡(luò)操作系統(tǒng)，無論是windowsunixnetware各種商用操作系統(tǒng)，其國外開發(fā)商都留有后門（back door），目前每種操作系統(tǒng)都發(fā)現(xiàn)有安全漏洞，一旦被人發(fā)現(xiàn)利用將對整個證券網(wǎng)絡(luò)系統(tǒng)造成不可估量的損失。

? ? OA應(yīng)用系統(tǒng)的風險主要是涉及不同地區(qū)、不同部門的資源有限共享時被內(nèi)部人員不安全使用造成口令失竊、文電丟失泄密，以及在與外界進行郵件往來時帶來病毒和黑客進入的隱患。

針對業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)）的威脅主要來自于內(nèi)、外界對業(yè)務(wù)系統(tǒng)非授權(quán)訪問、系統(tǒng)管理權(quán)限喪失（由于用戶名、口令、IC卡等身份標志泄漏）、使用不當或外界攻擊引起系統(tǒng)崩潰、網(wǎng)絡(luò)病毒的傳播或其他原因造成系統(tǒng)損壞、系統(tǒng)開發(fā)遺留的安全漏洞等。

2.1.3 網(wǎng)上交易的安全風險

? ? ? ? ? ? ? 因特網(wǎng)是全球性公共網(wǎng)絡(luò)，并不由任何一個機構(gòu)所控制。數(shù)據(jù)在因特網(wǎng)上傳輸?shù)耐緩绞遣煌耆_定的。因特網(wǎng)本身并不是一個完全安全可靠的網(wǎng)絡(luò)環(huán)境。

在因特網(wǎng)上可能有人采用相似的名稱和外觀仿冒證券網(wǎng)站和服務(wù)器，用于騙取投資者的數(shù)據(jù)資料。

如果用于證實投資者身份的數(shù)字證書和口令被竊取，他人有可能仿冒投資者身份進行交易委托和查詢。

在網(wǎng)上傳輸?shù)闹噶睢?shù)據(jù)有可能被某些個人、團體或機構(gòu)通過某種渠道截取、篡改、重發(fā)。但他們并不一定能夠了解該數(shù)據(jù)的真實內(nèi)容。

由于網(wǎng)絡(luò)交易的非接觸性，交易雙方可能對交易結(jié)果進行抵賴

在網(wǎng)上的數(shù)據(jù)傳輸可能因通信繁忙出現(xiàn)延遲，或因其它原因出現(xiàn)中斷、停頓或數(shù)據(jù)錯誤，從而使得網(wǎng)上交易出現(xiàn)延遲、停頓或中斷。

網(wǎng)上發(fā)布的證券交易行情信息可能滯后，與真實情況不完全一致。

2.1.4 數(shù)據(jù)的安全風險

? ? ? 因內(nèi)、外因素造成數(shù)據(jù)庫系統(tǒng)管理失控或破壞使用戶的個人資料和業(yè)務(wù)數(shù)據(jù)遭到偷竊、復制、泄密、丟失，并且無法得到恢復

網(wǎng)絡(luò)病毒的傳播或其他原因造成存儲數(shù)據(jù)的丟失和損壞

網(wǎng)站發(fā)布的信息數(shù)據(jù)（包括分析、預測性資料）有可能被更改、刪除，給證券公司帶來損失。

2.2 安全策略

傳統(tǒng)的安全策略停留在局部、靜態(tài)的層面上，僅僅依靠幾項安全技術(shù)和手段達到整個系統(tǒng)的安全目的，現(xiàn)代的安全策略應(yīng)當緊跟安全行業(yè)的發(fā)展趨勢，在進行安全方案設(shè)計、規(guī)劃時，遵循以下原則：

（1）體系性：制定完整的安全體系，應(yīng)包括安全管理體系、安全技術(shù)體系和安全保障體系。

（2）系統(tǒng)性：安全模塊和設(shè)的引入應(yīng)該體現(xiàn)其系統(tǒng)統(tǒng)一到運行和管理的特性，以確保安全策略配置、實施的正確性和一致性。應(yīng)該避免安全設(shè)備各自獨立配置和管理 的工作方式。

（3）層次性安全設(shè)計應(yīng)該按照相關(guān)應(yīng)用安全需求，在各個層次上采用的安全機制來實現(xiàn)所需的安全服務(wù)，從而達到網(wǎng)絡(luò)信息安全的目的。

（4）綜合性：網(wǎng)絡(luò)信息安全 的設(shè)計包括從完備性（并有一定冗余）、先進性和可擴展性方面的技術(shù)方案，以及根據(jù)技術(shù)管理、業(yè)務(wù)管理和行政管理要求相應(yīng)的安全管理方案，形成網(wǎng)絡(luò)安全工程設(shè)計整體方案，供工程分階段實施和安全系統(tǒng)運行作為指導。（5）動態(tài)性：由于網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和發(fā)展是逐步進行的，而安全技術(shù)和產(chǎn)品也不斷更新和完善，因此，安全設(shè)計應(yīng)該在保護現(xiàn)有資源的基礎(chǔ)上，體現(xiàn)最新、最成熟的安全技術(shù)和產(chǎn)品，以滿足網(wǎng)絡(luò)安全系統(tǒng)安全目標。

2.3 常用安全防范技術(shù)

? ? ? ? ? ? ? ? ? ? 網(wǎng)絡(luò)隔離技術(shù)

訪問控制技術(shù)

加密技術(shù)

鑒別技術(shù)

數(shù)字簽名技術(shù)

入侵監(jiān)測技術(shù)

信息審計技術(shù)

安全評估技術(shù)

病毒防治技術(shù)

備份與恢復技術(shù)

第三章 證券網(wǎng)絡(luò)整體解決方案

3.1 安全體系

按照安全策略的要求及風險分析的結(jié)果，整個證券網(wǎng)絡(luò)安全措施應(yīng)根據(jù)證券網(wǎng)絡(luò)的行業(yè)特點，按照網(wǎng)絡(luò)安全的整體構(gòu)想來建立，具體的安全控制系統(tǒng)由以下幾方面組成：

3.2 物理安全

保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提。

物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：

環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護；（參見國家標準GB50173－93《電子計算機機房設(shè)計規(guī)范》、國標GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》）。

設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；

媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。

3.3 系統(tǒng)安全

系統(tǒng)安全主要關(guān)注網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)三個層次。

系統(tǒng)安全采用的技術(shù)和手段有冗余技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、訪問控制技術(shù)、身份鑒別技術(shù)、加密技術(shù)、監(jiān)控審計技術(shù)、安全評估技術(shù)等。

3.3.1 網(wǎng)絡(luò)系統(tǒng)

網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)的開放性、無邊界性、自由性造成，安全解決關(guān)鍵是把被保護的網(wǎng)絡(luò)從開放、無邊界、自由的環(huán)境中獨立出來，使網(wǎng)絡(luò)成為可控制、管理的內(nèi)部系統(tǒng)，由于網(wǎng)絡(luò)系統(tǒng)是應(yīng)用系統(tǒng)的基礎(chǔ)，網(wǎng)絡(luò)安全成為首要問題，解決網(wǎng)絡(luò)安全主要方式有:

網(wǎng)絡(luò)冗余 解決網(wǎng)絡(luò)系統(tǒng)單點故障的重要措施，對關(guān)鍵性的網(wǎng)絡(luò)線路、設(shè)備我們通常采用雙備或多備份的方式，網(wǎng)絡(luò)運行時雙方對運營狀態(tài)相互實時監(jiān)控并自動調(diào)整，當網(wǎng)絡(luò)的一段或一點發(fā)生故障或網(wǎng)絡(luò)信息流量突變時能在有效時間內(nèi)進行切換分配，保證網(wǎng)絡(luò)正常的運行。

系統(tǒng)隔離 分為物理隔離和邏輯隔離，主要從網(wǎng)絡(luò)安全等級考慮劃分合理的網(wǎng)絡(luò)安全邊界，使不同安全級別的網(wǎng)絡(luò)或信息媒介不能相互訪問，從而達到安全目的。針對證券網(wǎng)絡(luò)系統(tǒng)特點一般把證券交易的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與內(nèi)部辦公網(wǎng)絡(luò)進行嚴格的物理隔離，存儲媒介則根據(jù)重要程度嚴格區(qū)分并只能通過第三方進行交換；對業(yè)務(wù)網(wǎng)絡(luò)或辦公網(wǎng)絡(luò)采用VLAN技術(shù)和通信協(xié)議實行邏輯隔離劃分不同的應(yīng)用子網(wǎng)。

訪問控制 對于網(wǎng)絡(luò)不同信任域?qū)崿F(xiàn)雙向控制或有限訪問原則，使受控的子網(wǎng)或主機訪問權(quán)限和信息流向能得到有效控制。具體相對網(wǎng)絡(luò)對象而言需要解決網(wǎng)絡(luò)的邊界的控制和網(wǎng)絡(luò)內(nèi)部的控制，對于網(wǎng)絡(luò)資源來說保持有限訪問的原則，信息流向則可根據(jù)安全需求實現(xiàn)單向或雙向控制。訪問控制最重要的設(shè)備就是防火墻，它一般安置在不同安全域出入口處，對進出網(wǎng)絡(luò)的IP信息包進行過濾并按企業(yè)安全政策進行信息流控制，同時實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、實時信息審計告警等功能，高級防火墻還可實現(xiàn)基于用戶的細粒度的訪問控制。證券系統(tǒng)的防火墻配置在證券公司交易系統(tǒng)與公網(wǎng)的交界處（包括INTERNET、系統(tǒng)內(nèi)部廣域網(wǎng)、相關(guān)業(yè)務(wù)網(wǎng)絡(luò)）和公司重要的子網(wǎng)出口。

身份鑒別 是對網(wǎng)絡(luò)訪問者權(quán)限的識別，一般通過三種方式驗證主體身份，一是主體了解的秘密，如用戶名、口令、密鑰；二是主體攜帶的物品，如磁卡、IC卡、動態(tài)口令卡和令牌卡等；三是主體特征或能力，如指紋、聲音、視網(wǎng)膜、簽名等，在證券網(wǎng)絡(luò)系統(tǒng)中，前兩種方式運用較多。

加密 為了防止網(wǎng)絡(luò)上的竊聽、泄漏、篡改和破壞，保證信息傳輸安全，對網(wǎng)上數(shù)據(jù)使用加密手段是最為有效的方式。目前加密可以在三個層次來實現(xiàn)，即鏈路層加密、網(wǎng)絡(luò)層加密和應(yīng)用層加密。鏈路加密側(cè)重通信鏈路而不考慮信源和信宿，他對網(wǎng)絡(luò)高層主體是透明的。網(wǎng)絡(luò)層加密采用IPSEC核心協(xié)議，具有加密、認證雙重功能，是在IP層實現(xiàn)的安全標準。通過網(wǎng)絡(luò)加密可以構(gòu)造企業(yè)內(nèi)部的虛擬專網(wǎng)（VPN），使企業(yè)在較少投資下得到安全較大的回報。

安全監(jiān)測 采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包括網(wǎng)絡(luò)系統(tǒng)的掃描、預警、阻斷、記錄、跟蹤等，從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)掃描監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術(shù)手段，具有實時、自適應(yīng)、主動識別和響應(yīng)等特征，廣泛用于各行各業(yè)。

網(wǎng)絡(luò)掃描 針對網(wǎng)絡(luò)設(shè)備的安全漏洞進行檢測和分析，包括網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等，從而識別能被入侵者利用非法進入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對檢測到的漏洞信息形成詳細報告，包括位置、詳細描述和建議的改進方案，使網(wǎng)管能檢測和管理安全風險信息。

3．3．2 操作系統(tǒng)

操作系統(tǒng)是管理計算機資源的核心系統(tǒng)負責信息發(fā)送、管理設(shè)備存儲空間和各種系統(tǒng)資源的調(diào)度，它作為應(yīng)用系統(tǒng)的軟件平臺具有通用性和易用性，操作系統(tǒng)安全性直接關(guān)系到應(yīng)用系統(tǒng)的安全，操作系統(tǒng)安全分為應(yīng)用安全和安全漏洞掃描。

應(yīng)用安全 面向應(yīng)用選擇可靠的操作系統(tǒng)并按正確的操作流程使用計算機系統(tǒng)，杜絕使用來歷不明的軟件，安裝操作系統(tǒng)保護與恢復軟件并作相應(yīng)的備份。

系統(tǒng)掃描 基于主機的安全評估系統(tǒng)是在嚴格的基礎(chǔ)上對系統(tǒng)的安全風險級別進行劃分，并提供完整的安全漏洞檢查列表，通過不同版本的操作系統(tǒng)進行掃描分析，對掃描漏洞自動修補形成報告，保護應(yīng)用程序、數(shù)據(jù)免受盜用、破壞。

3．3．3 應(yīng)用系統(tǒng)

證券行業(yè)應(yīng)用系統(tǒng)大體分為辦公系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)服務(wù)系統(tǒng)，證券應(yīng)用系統(tǒng)安全除采用通用的安全手段外主要根據(jù)企業(yè)自身經(jīng)營及管理需求來開發(fā)。

辦公系統(tǒng) 文件(郵件)的安全存儲：利用加密手段，配合相應(yīng)的身份鑒別和密鑰保護機制（IC卡、PCMCIA 安全PC卡等），使得存儲于本機和網(wǎng)絡(luò)服務(wù)器上的個人和單位重要文件處于安全存儲的狀態(tài)，使得他人即使通過各種手段非法獲取相關(guān)文件或存儲介質(zhì)（硬盤等），也無法獲得相關(guān)文件的內(nèi)容。

文件（郵件）的安全傳送：對通過網(wǎng)絡(luò)（遠程或近程）傳送給他人的文件進行安全處理（加密、簽名、完整性鑒別等），使得被傳送的文件只有指定的收件者通過相應(yīng)的安全鑒別機制（IC卡、PCMCIA PC 卡）才能解密并閱讀，杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等，主要用于信息網(wǎng)中的報表傳送、公文下發(fā)等。

業(yè)務(wù)系統(tǒng) 主要面向業(yè)務(wù)管理和信息服務(wù)的安全需求，例如在證券交易管理中采取集中統(tǒng)一的監(jiān)管系統(tǒng)，對業(yè)務(wù)流實時進行監(jiān)控、統(tǒng)計、分析、查詢，防止違規(guī)操作，化解安全風險；對通用信息服務(wù)系統(tǒng)（電子郵件系統(tǒng)、WEB信息服務(wù)系統(tǒng)、FTP服務(wù)系統(tǒng)等）采用基于應(yīng)用開發(fā)安全軟件，如安全郵件系統(tǒng)、WEB頁面保護；對業(yè)務(wù)信息可以配合管理系統(tǒng)采取對信息內(nèi)容的審計稽查，防止外部非法信息侵入和內(nèi)部敏感信息泄漏。

3.4 交易安全

目前證券交易方式主要分為營業(yè)部柜臺交易、電話交易、網(wǎng)上交易，前兩種交易方式安全系數(shù)較高，而網(wǎng)上交易主要通過公網(wǎng)完成交易的全過程，由于公網(wǎng)的開放性和復雜性，使網(wǎng)上交易風險大大高于前者。幾乎所有參加網(wǎng)上證券交易的證券公司采用的是TCP/IP標準協(xié)議，應(yīng)用系統(tǒng)都是基于C/S或B/S（瀏覽器/服務(wù)器）結(jié)構(gòu)，由于交易發(fā)生在兩地，雙方缺乏可靠的安全機制保證各自的利益，針對網(wǎng)上證券交易的風險和特點，保障交易安全通常采用授權(quán)、身份鑒別、信息加密、完整性校驗、信息審計、防重發(fā)、防抵賴等安全機制，具體實現(xiàn)主要依靠基于PKI（公開密鑰密碼設(shè)施）體系現(xiàn)代密碼技術(shù)及在此基礎(chǔ)上開發(fā)應(yīng)用的電子商務(wù)認證加密系統(tǒng)（CA）。

交易安全標準 目前在電子商務(wù)中主要的安全標準有兩種：應(yīng)用層的SET（安全電子交易）和會話層SSL（安全套層）協(xié)議。前者由信用卡機構(gòu)VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準，主要用于銀行等金融機構(gòu)；后者由NETSCAPE公司提出針對數(shù)據(jù)的機密性/完整性/身份確認/開放性的安全協(xié)議，事實上已成為WWW應(yīng)用安全標準，也是證券網(wǎng)上交易的標準安全協(xié)議。

交易安全基礎(chǔ)體系 交易安全基礎(chǔ)在于現(xiàn)代密碼技術(shù)，依賴于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長，對稱密鑰具有加密效率高，但存在密鑰分發(fā)困難、管理不便的弱點；非對稱密鑰加密速度慢，但便于密鑰分發(fā)管理。在證券交易中通常把兩者結(jié)合使用，達到高效安全的目的。

交易安全的實現(xiàn) 完成證券交易需解決的安全問題主要有交易雙方身份確認、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對交易結(jié)果的抵賴。具體途徑為建立自己的CA認證中心或采用權(quán)威的CA中心，通過頒發(fā)相應(yīng)的數(shù)字證書給與交易各方相關(guān)身份證明，同時在SSL協(xié)議體系下完成交易過程中電子證書驗證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認審計等。

3.5 數(shù)據(jù)安全

數(shù)據(jù)安全牽涉到數(shù)據(jù)庫的安全和數(shù)據(jù)本身安全，針對兩者應(yīng)有相應(yīng)的安全措施。

數(shù)據(jù)庫安全 證券公司的數(shù)據(jù)庫一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫，鑒于數(shù)據(jù)庫的重要性，還應(yīng)在此基礎(chǔ)上開發(fā)一些安全措施，增加相應(yīng)控件，對數(shù)據(jù)庫分級管理并提供可靠的故障恢復機制，實現(xiàn)數(shù)據(jù)庫的訪問、存取、加密控制。具體實現(xiàn)方法有安全數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫保密系統(tǒng)、數(shù)據(jù)庫掃描系統(tǒng)等。

數(shù)據(jù)安全 指存儲在數(shù)據(jù)庫數(shù)據(jù)本身的安全，相應(yīng)的保護措施有安裝反病毒軟件，建立可靠的數(shù)據(jù)備份與恢復系統(tǒng)如行情備份系統(tǒng)，對股民的個人資料和交易數(shù)據(jù)按安全等級劃分存儲，某些重要數(shù)據(jù)甚至可以采取加密保護。

3.6 安全管理

面對網(wǎng)絡(luò)安全的脆弱性，除了運用先進的網(wǎng)絡(luò)安全技術(shù)和安全系統(tǒng)外，完善的網(wǎng)絡(luò)安全管理將是信息系統(tǒng)建設(shè)重要組成部分，許多不安全的因素恰恰反映在組織資源管理上，安全管理應(yīng)該貫穿在安全的各個層次上。

安全管理三原則：

·多人負責原則

每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導指派的，他們忠誠可靠，能勝任此項工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。

·任期有限原則

一般地講，任何人最好不要長期擔任與安全有關(guān)的職務(wù)，以免使他認為這個職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。

·職責分離原則

在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導批準。

信息系統(tǒng)安全管理的實現(xiàn)

·安全制度管理

根據(jù)證監(jiān)會《證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)管理規(guī)范》、《網(wǎng)上證券委托暫行管理辦法》等有關(guān)法規(guī)的要求，建立本行業(yè)的管理制度，包括機房管理、網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、應(yīng)急處理、人員管理、技術(shù)資料管理等有關(guān)信息系統(tǒng)建設(shè)的規(guī)范。

·安全目標管理

1.按照技術(shù)管理目標，展開對最新網(wǎng)絡(luò)安全技術(shù)的跟蹤研究，并就證券行業(yè)信息系統(tǒng)的安全技術(shù)進行交流、探討，從而提出本公司的網(wǎng)絡(luò)安全技術(shù)和管理策略。

2.按照資源管理目標，對證券行業(yè)網(wǎng)絡(luò)系統(tǒng)的物理資源、網(wǎng)絡(luò)資源、信息資源實現(xiàn)統(tǒng)一的資源分配設(shè)置，根據(jù)資源的重要程度確定安全等級，從而確立安全管理范圍。

3.按照客戶管理目標，根據(jù)統(tǒng)一標準劃分用戶角色，對不同的用戶在交易中風險的高低及可能帶來的損失采取安全防范措施，例如對經(jīng)常進行網(wǎng)上交易的重要客戶或大客戶設(shè)置虛擬大客戶室，由證券公司給與必要的技術(shù)支援和培訓。

3.7 安全服務(wù)

建立網(wǎng)絡(luò)安全保障體系不能僅僅依靠現(xiàn)有的安全機制和設(shè)備，更重要的是提供全方位的安全服務(wù)。網(wǎng)絡(luò)安全不是幾種安全產(chǎn)品的集合，它作為一項系統(tǒng)工程已經(jīng)形成了自己的專業(yè)體系，沒有先進科學的知識結(jié)構(gòu)很難對此進行全面細致的把握；網(wǎng)絡(luò)安全系統(tǒng)存在固有弱點，即使最微小的安全漏洞都可能引發(fā)整個網(wǎng)絡(luò)系統(tǒng)的崩潰；同時網(wǎng)絡(luò)安全處在信息產(chǎn)業(yè)飛速發(fā)展的大環(huán)境下，現(xiàn)有的系統(tǒng)安全只是暫時的、靜態(tài)的，所有這些問題都必須通過持續(xù)全面的安全服務(wù)來解決。完善的安全服務(wù)應(yīng)包括全方位的安全咨詢，整體系 統(tǒng)安全的策劃、設(shè)計，優(yōu)質(zhì)的工程實施、細致及時的售后服務(wù)和技術(shù)培訓。除此之外，定期的網(wǎng)絡(luò)安全風險評估，幫助客戶制定特別事件應(yīng)急響應(yīng)方案擴充了安全服務(wù)的內(nèi)涵。

3.8 安全目標

通過規(guī)劃建立證券系統(tǒng)安全體系，綜合運用各種安全技術(shù)和手段，我們要達到的安全目標為：

靜態(tài)安全目標 包括整個證券信息系統(tǒng)的物理環(huán)境、系統(tǒng)硬、軟件結(jié)構(gòu)和可用的信息資源，保證證券交易系統(tǒng)實體平臺安全。

動態(tài)安全目標 提升證券信息系統(tǒng)的安全軟環(huán)境，包括安全管理、安全服務(wù)、安全思想意識和人員的安全專業(yè)素質(zhì)。

第四章 典型應(yīng)用案例（總部模式）

說明：

防火墻作為基礎(chǔ)安全設(shè)備設(shè)立在公司總部及營業(yè)部入口，通過訪問控制可防止非法入侵并能做內(nèi)部的安全代理。

通過IP層加密構(gòu)建證券公司虛擬專用網(wǎng)（VPN），保證證券公司總部與各營業(yè)部之間信息傳輸?shù)臋C密性。

安全控制中心主要用作證券公司網(wǎng)絡(luò)監(jiān)控預警系統(tǒng)，具有主動、實時的特性。它是由入侵監(jiān)測系統(tǒng)、網(wǎng)絡(luò)掃描系統(tǒng)、系統(tǒng)掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、信息審計系統(tǒng)等構(gòu)成的綜合安全體系。

證券公司的WEB服務(wù)器、郵件服務(wù)器等應(yīng)用系統(tǒng)的保護由頁面保護系統(tǒng)、安全郵件系統(tǒng)完成。

基于SSL協(xié)議的應(yīng)用加密系統(tǒng)保證股民交易安全。

建立公司的數(shù)字證書中心（CA），向股民發(fā)放相應(yīng)的數(shù)字證書。

交易、行情服務(wù)器采用負載均衡和容錯備份系統(tǒng)。

數(shù)據(jù)庫采用相應(yīng)安全控件組成安全數(shù)據(jù)庫，定期進行數(shù)據(jù)庫漏洞掃描和數(shù)據(jù)備份。

衛(wèi)星加密系統(tǒng)用于證券公司與深、滬兩市數(shù)據(jù)安全交換。

文電辦公加密系統(tǒng)用于辦公文件（郵件）加密傳輸、存儲。

第五章 網(wǎng)絡(luò)安全發(fā)展趨勢

未來網(wǎng)絡(luò)安全發(fā)展的趨勢是在現(xiàn)有網(wǎng)絡(luò)安全體系性下從廣度和深度做進一步的擴展，在遵循原有網(wǎng)絡(luò)安全體系性、系統(tǒng)性、層次性、綜合性、動態(tài)性的原則基礎(chǔ)上，以客戶的具體需求為中心，按客戶網(wǎng)絡(luò)的實際運用狀況度身定制網(wǎng)絡(luò)安全的整體規(guī)劃設(shè)計，包括完整的安全解決方案，基于應(yīng)用的安全產(chǎn)品的二次開發(fā)，特色的安全服務(wù)項目等。具體表現(xiàn)為

a)安全技術(shù)體系：更強調(diào)整體性、融合性、開放性，隨著安全技術(shù)的演進，綜合運用多種安全技術(shù)的安全產(chǎn)品將在市場上大行其是，而功能單一的安全產(chǎn)品將逐步消亡，但不排除基于客戶特殊應(yīng)用的二次開發(fā)的安全產(chǎn)品。安全技術(shù)及產(chǎn)品的行業(yè)標準在一定范圍內(nèi)逐步統(tǒng)一，同時與網(wǎng)絡(luò)的開放性趨于一致。

b)安全管理體系：不同行業(yè)的安全管理將更加制度化、規(guī)范化，信息系統(tǒng)的安全管理將從其他管理體系中獨立出來，與安全技術(shù)體系緊密結(jié)合，成為非技術(shù)的重要安全因素。

c)安全保障體系：安全保障最終落實在安全服務(wù)上，因為它是動態(tài)的、持久的、專業(yè)的。如同安全產(chǎn)品一樣，安全服務(wù)將獨立體現(xiàn)自己本身的價值。有特色安全服務(wù)越來越成為網(wǎng)絡(luò)安全公司品牌的一部分。

第四篇：證券行業(yè)客戶關(guān)系管理系統(tǒng)解決方案

證券行業(yè)客戶關(guān)系管理系統(tǒng)解決方案

解決方案全稱：證券行業(yè)客戶關(guān)系管理系統(tǒng)解決方案

開發(fā)商：

一、開發(fā)背景

在高速發(fā)展的中國證券業(yè)環(huán)境中，競爭日趨激烈。對于證券公司各級管理者來說，如何對公司及下屬營業(yè)部的經(jīng)營狀況有充分、及時、準確的了解，進而制定公司各方面的發(fā)展計劃；如何為客戶提供更高水準的服務(wù)及更專業(yè)的投資建議，以進一步鞏固和發(fā)展長久的客戶關(guān)系，都是至關(guān)重要的。下面的一些問題是證券公司普遍關(guān)心的。

1、公司目前的經(jīng)營狀況、經(jīng)營風險，利潤來源及變化趨勢如何。

2、哪些客戶對公司來說是最重要的，如何更好的服務(wù)于他們；哪些客戶正在流失，原因在何處。

3、哪些客戶的投資收益最大，哪些客戶的投資虧損最多，如何從中推廣經(jīng)驗及吸取教訓。

4、應(yīng)如何根據(jù)客戶的具體交易情況，提出投資建議。

上述問題來自于公司不同職能部門的管理者，其中包括經(jīng)紀業(yè)務(wù)總部、投資銀行部、財務(wù)部、電腦部等，他們需要對不同的方面作決策，所需的信息來源各有不同。如何對這些問題作及時、詳盡、準確的回答，證券公司總部目前的信息系統(tǒng)很難實現(xiàn)。首先，數(shù)據(jù)分散在各個營業(yè)部及不同的應(yīng)用系統(tǒng)中，且各個系統(tǒng)都是相互獨立的；其次，沒有好的系統(tǒng)幫助決策者揭示業(yè)務(wù)的關(guān)鍵因素,再有沒有一個靈活的工具幫助使用者方便地對客戶地行為進行分析。因此，建立證券的客戶關(guān)系管理系統(tǒng)(數(shù)據(jù)倉庫系統(tǒng)，決策支持系統(tǒng)，客戶關(guān)系管理子系統(tǒng))，顯得十分重要。金仕達公司集多年的證券業(yè)服務(wù)經(jīng)驗，以及對數(shù)據(jù)倉庫技術(shù)的深入理解，推出的金仕達客戶關(guān)系管理系統(tǒng)將為解決上述問題提供完整的方案

二、方案詳細介紹

方案目標

1、建造一個管理公司內(nèi)部各種有效數(shù)據(jù),組織這些數(shù)據(jù),提供多種角度分析數(shù)據(jù)以提供決策支持活動

2、把營業(yè)部的歷史數(shù)據(jù)更有效的聚集起來,節(jié)省磁盤空間.3、提供一個新的分析問題的手段和方法.在查詢大數(shù)據(jù)量時提高查詢速度.4、解決原有交易系統(tǒng)統(tǒng)計分析功能薄弱的問題

5、提供一個高效的靈活報表工具

6、它以時間為基礎(chǔ)來管理數(shù)據(jù),允許用戶回顧并了解公司的過去與現(xiàn)在.7、以時間為基礎(chǔ)來跟蹤,分析和預測公司的交易情況,傭金收入,客戶的動態(tài)

8、用戶可以通過固定報表,靈活報表、多維分析,對比分析,向下鉆取,向上鉆取,交叉鉆取,旋轉(zhuǎn),切片等多種形式實現(xiàn)多個層面的數(shù)據(jù)訪問.業(yè)務(wù)功能

1、交易分析：證券交易，新股交易，成交委托比，證券委托，換手率，證券流量，現(xiàn)金流量，資金交易

2、客戶情況：客戶流動，客戶分布，客戶活動

3、資產(chǎn)分析：資金余額，證券余額，盈虧分析，套牢程度，資產(chǎn)，利潤，持倉率

4、排行榜：成交金額，委托方式，托管市值，資金交易，資金余額，資產(chǎn)情況，傭金情況，貢獻率，熱門股等等排行

5、客戶分析：客戶資料查詢，客戶證券交易，客戶資金存取，客戶相對收益，客戶對帳單，客戶中意的證券，客戶喜歡的交易方式、客戶盈虧情況、客戶交易費用、客戶套牢程度、客戶貢獻率

6、每日提醒

7、資訊主動通知服務(wù)

8、每日工作

實現(xiàn)技術(shù)、平臺、開發(fā)工具

●操作系統(tǒng)平臺：WINDOWS2000 ADVANCE SERVER

●軟件開發(fā)平臺：IIS,SQL Server2000,Analysis Services,Office2000,IE

●相關(guān)開發(fā)工具：VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0

●客戶端平臺：Windows98(NT,2000),Ie5.0

市場銷售及競爭情況

客戶關(guān)系管理系統(tǒng)v1.0是證券行業(yè)最早推出的解決方案，先后在10多家營業(yè)部進行了試用；今年與某證券公司合作開發(fā)客戶關(guān)系管理系統(tǒng)v2.0是目前證券行業(yè)真正投入使用的第一套系統(tǒng)，目前公司正與兩家證券公司進行合作。目前開發(fā)該系統(tǒng)的主要有：美國艾克國際公司、創(chuàng)智公司、普元公司，這三家公司都不是長期從事證券行業(yè)的公司，對證券行業(yè)的了解不是十分深入，且目前都沒有成功案例。

成功案例介紹

用戶單位名稱：廣東證券

背景情況

廣東證券股份有限公司的分支機構(gòu)----廣東證券順德管理總部成立于1992年11月，是順德市最早成立的證券公司。經(jīng)過幾年的發(fā)展，現(xiàn)已成為順德市規(guī)模最大，實力最雄厚的證券經(jīng)營機構(gòu)，擁有絕對的市場份額。廣東證券順德管理總部建設(shè)CRM系統(tǒng)的設(shè)想是基于當前經(jīng)紀業(yè)務(wù)面臨的挑戰(zhàn)和未來發(fā)展的方向而提出的。從順德管理總部在順德市證券市場的地位來看，廣證占有絕對的市場份額，如果進行價格戰(zhàn)，對廣證順德管理總部來說是得不償失的。只有在服務(wù)上下功夫，提高服務(wù)的質(zhì)量和特色，才能在市場競爭中贏得勝利，所以堅定不移地走服務(wù)的道路、走信息化服務(wù)、個性化服務(wù)的道路才是廣證順德的長久發(fā)展之道。

在市場方面，廣證順德在順德市的證券市場中擁有絕對的客戶份額。由于成立時間比較早，加上腳踏實地的經(jīng)營，在廣證順德積累了一大批優(yōu)質(zhì)的客戶，他們是廣證順德利潤來源的主要貢獻者。但是，隨著證券市場競爭加劇，在短短時間內(nèi)順德地區(qū)新增加了多家證券公司的服務(wù)機構(gòu)，由原來的三四家，增加到現(xiàn)在的11家；傭金自由化政策的出臺，對廣證順德客戶份額造成了猛烈的沖擊，特別對于優(yōu)質(zhì)客戶的流失，對廣證順德利潤保證構(gòu)成了嚴重的威脅。在這種情況下，廣證順德采取了一系列的措施，加大IT投入、加強服務(wù)質(zhì)量，在傳統(tǒng)的經(jīng)紀業(yè)務(wù)領(lǐng)域和對手展開競爭，但這種競爭由于具有同質(zhì)、無個性化特點等特征，更多地受到價格因素的影響，所以廣證順德處在被動防守的境地。這時候，研究開發(fā)個性化的服務(wù)，進行全面的業(yè)務(wù)創(chuàng)新和服務(wù)創(chuàng)新成了廣證順德必然選擇。而實施客戶關(guān)系管理，雖然不能直接產(chǎn)生業(yè)務(wù)創(chuàng)新和服務(wù)創(chuàng)新，但它能幫助公司領(lǐng)導、營業(yè)部經(jīng)理、客戶經(jīng)理發(fā)現(xiàn)真正有價值的客戶，找到這些客戶的迫切需求，從而進行針對的業(yè)務(wù)創(chuàng)新和服務(wù)創(chuàng)新，實現(xiàn)經(jīng)紀業(yè)務(wù)更高層次的服務(wù)，在競爭中贏得主動。

在客戶服務(wù)方面，廣證順德一開始就在不斷嘗試不同的服務(wù)手段和方式，比如，廣證順德開始階段采用客戶經(jīng)理和信息研發(fā)人員合作服務(wù)的方式，一個客戶經(jīng)理配備一個信息研發(fā)人員，在對客戶服務(wù)過程中，兩個人相互配合，一個負責客戶的跟蹤服務(wù)，一個負責信息收集整理研究，從而希望能給客戶提供一些專業(yè)和周到的服務(wù)。但是，在這種方式下，由于研發(fā)人員的力量、精力有限，只能向客戶提供別人的研究成果，對于信息的準確性和針對性沒有任何體現(xiàn)，所以對客戶的服務(wù)也是比較膚淺，實際的效果是沒有對客戶產(chǎn)生積極的影響。廣證順德在發(fā)現(xiàn)這個問題之后，積極地調(diào)整了組織結(jié)構(gòu)，把素質(zhì)良好、具有較強分析研究能力的信息人員集中到了區(qū)域管理總部，專門成立了相應(yīng)的研究后臺部門，在這個部門里，所有的研究人員根據(jù)市場的特點，專門進行金融品種、行業(yè)、熱點、市場動態(tài)、大盤走勢的研究，并根據(jù)對信息地掌握，產(chǎn)生自己的投資組合，并在資產(chǎn)管理和客戶進行應(yīng)用。而這個部門最大的功能還在于對廣證順德所有的客戶經(jīng)理提供資訊信息服務(wù)，使得這種服務(wù)更加專業(yè)化、更加具有權(quán)威性、更加準確，客戶經(jīng)理在整個服務(wù)過程中更有信心，服務(wù)質(zhì)量和效率能得到明顯提高。但是，在這個過程中，廣證順德決策者們也意識到下面一些問題：

●后臺研究部門的研究內(nèi)容和客戶的需求存在脫節(jié)，研究成果存在浪費；

●后臺研究部門的研究方向沒有針對性，研究人員對廣證的客戶群體缺乏清楚地認識；

●后臺的研究部門和前臺的服務(wù)部門沒有建立信息通道，雙方的信息不能實現(xiàn)共享；

●客戶經(jīng)理的服務(wù)缺乏目的性，不能針對不同的客戶選擇不同的研發(fā)成果；

●后臺研究部門和前臺服務(wù)部門不能形成一定的監(jiān)督制約機制，無法形成互相促進提高的反饋循環(huán)。

廣證順德的管理者們清楚地認識到，這些問題的解決只有依靠建立客戶關(guān)系管理系統(tǒng)。一方面改造業(yè)務(wù)流程，提高后臺研究部門和前臺服務(wù)部門的聯(lián)絡(luò)、溝通、監(jiān)督；另一方面全面整合客戶資料和數(shù)據(jù)，為研究人員、客戶經(jīng)理提供全面真實的客戶信息，從而進行針對性地研究和服務(wù)；最后是實現(xiàn)后臺和前臺的信息共享。

在管理方面，廣證順德沿襲的是證券營業(yè)部經(jīng)營的一貫體制，即總部到營業(yè)部，營業(yè)部到客戶經(jīng)理的三級管理模式。雖然在這種模式下，廣證順德實行了成本、收入按營業(yè)部單獨核算，人員的編制、薪酬有營業(yè)部決定的方法，去進一步提高客戶服務(wù)競爭力，但是，隨著證券市場競爭模式和方向的轉(zhuǎn)變，建立強大的營銷體制，更多地爭奪客戶，成為任何一個證券公司考慮的大事，建立一個完善的經(jīng)紀人體制已經(jīng)成為證券經(jīng)紀營銷的基礎(chǔ)。在這方面，只有將客戶和客戶經(jīng)理或者經(jīng)紀人，經(jīng)紀人和營業(yè)部或者營銷部門建立有機的聯(lián)系，才能在市場的競爭中形成一個強有力的團隊，才能在客戶拓展和服務(wù)上不斷進步。建立客戶關(guān)系管理系統(tǒng)不但能在客戶分析和服務(wù)業(yè)務(wù)流程上發(fā)揮積極的貢獻，而且對建立一個良好的經(jīng)紀人管理體制起到不可忽視的作用，隨著該系統(tǒng)的不斷完善，以此為基礎(chǔ)的經(jīng)紀人工作平臺和管理平臺的建立，必然為廣證順德實現(xiàn)從傳統(tǒng)經(jīng)紀業(yè)務(wù)到當前經(jīng)紀營銷業(yè)務(wù)的轉(zhuǎn)型打下堅實的基礎(chǔ)。

業(yè)務(wù)實施過程

廣證順德CRM系統(tǒng)建設(shè)從廣證順德和金仕達簽訂合同開始，上線運行，經(jīng)歷了下面三個階段：需求調(diào)研、設(shè)計開發(fā)、調(diào)試培訓。在需求調(diào)研階段深入到順德管理總部的各個部門以及下轄營業(yè)部進行針對性的調(diào)查和座談，了解他們的基本思路和設(shè)想，業(yè)務(wù)流程、急需解決的問題等等，雙方抱著求實、創(chuàng)新的態(tài)度，認真考慮解決問題的途徑和辦法，總結(jié)出了廣證順德基本需求。設(shè)計開發(fā)嚴格遵從ISO9001規(guī)范進行開發(fā)，通過現(xiàn)場的安裝使用、培訓，逐步將廣證順德的管理體系按照以客戶為中心的理順，從而真正發(fā)揮系統(tǒng)的效果。廣東證券順德管理總部CRM系統(tǒng)基于柜臺系統(tǒng)歷史數(shù)據(jù)以及其他相關(guān)數(shù)據(jù)源，構(gòu)建數(shù)據(jù)倉庫系統(tǒng)，以數(shù)據(jù)倉庫系統(tǒng)為核心提供區(qū)域總部各類人員使用的相關(guān)業(yè)務(wù)系統(tǒng)，可以分為經(jīng)理管理系統(tǒng)、客戶經(jīng)理系統(tǒng)、分析師系統(tǒng)、維護管理系統(tǒng)。經(jīng)理管理系統(tǒng)、客戶經(jīng)理系統(tǒng)、分析師系統(tǒng)主要完成數(shù)據(jù)展示、業(yè)務(wù)報表和信息查詢功能，提供給CRM業(yè)務(wù)人員使用。維護管理系統(tǒng)主要提供給證券公司信息技術(shù)人員使用，是CRM系統(tǒng)的基礎(chǔ)和支持平臺，主要用于從柜臺系統(tǒng)(生產(chǎn)系統(tǒng))和其它數(shù)據(jù)接口(如客戶背景資料、證券市場資料等人工錄入管理庫表)采集抽取、清洗整理、格式轉(zhuǎn)換、加載入庫，以及整個CRM系統(tǒng)的日常管理和維護。系統(tǒng)的使用者以及數(shù)據(jù)流如下圖所示：

.系統(tǒng)提供的主要業(yè)務(wù)功能包括

●交易分析：證券交易，新股交易，成交委托比，證券委托，換手率，證券流量，現(xiàn)金流量，資金交易

●資產(chǎn)分析：資金余額，證券余額，盈虧分析，套牢程度，資產(chǎn)，利潤，持倉率

●排行榜：成交金額，委托方式，托管市值，資金交易，資金余額，資產(chǎn)情況，傭金情況，貢獻率，熱門股等等排行

●客戶分析：客戶資料查詢，客戶證券交易，客戶資金存取，客戶相對收益，客戶對帳單，客戶中意的證券，客戶喜歡的交易方式、客戶盈虧情況、客戶交易費用、客戶套牢程度、客●戶貢獻率

●每日提醒

●資訊主動通知服務(wù)

●每日工作

系統(tǒng)開發(fā)采用的實現(xiàn)技術(shù)、平臺、開發(fā)工具如下：

●操作系統(tǒng)平臺：WINDOWS2000 ADVANCE SERVER

●軟件開發(fā)平臺：IIS,SQL Server2000,Analysis Services,Office2000,IE

●相關(guān)開發(fā)工具：VB6.0, Excel2000,Frontpage2000,VI6.0,VC6.0

●客戶端平臺：Windows98(NT,2000),Ie5.0

效果與反饋

系統(tǒng)實施成功已經(jīng)兩個多月了，廣證順德利用該系統(tǒng)成功的改變了傳統(tǒng)的經(jīng)營思路和管理模式，真正走向了以經(jīng)紀人為核心，以客戶服務(wù)為基礎(chǔ)的管理新路。系統(tǒng)的成功使用，極大的提高了廣證順德的管理服務(wù)水平，得到了用戶的極大好評。

其他具體描述

客戶關(guān)系管理系統(tǒng)永遠不會是一種成型的產(chǎn)品，它將會根據(jù)不同用戶的管理模式而變。因此系統(tǒng)的投入是十分巨大的，由于短期內(nèi)系統(tǒng)帶來的效益不是十分明顯，每個公司都會是采取分階段實施的方式進行。

由于這是一套管理系統(tǒng)，又采用了數(shù)據(jù)倉庫技術(shù)，因此實際運行時系統(tǒng)的軟硬件投資會超過一百萬，對于管理人員的培訓也是十分重要的，投入也會十分巨大。

第五篇：揭秘券商傭金亂象,川財證券的解決方案詳解

揭秘券商傭金亂象，川財證券的解決方案詳解

為了能在股市撈金，你可能勤于研判、日夜盯盤，可是你注意過你交的傭金嗎？你知道券商給你定的傭金率是多少嗎？你知道交易傭金是怎么構(gòu)成和計算的嗎？

傭金對于多數(shù)股民而言，算得上是一筆糊涂賬，收費高昂暫且不論，而且同樣的服務(wù)，傭金不透明，收費不統(tǒng)一，傭金最高可達千3，最低可至萬3以下，相差10幾倍，這顯然是不合理的，對股民是不公平的。

針對當前券商傭金市場的亂象，川財證券最新推出“明傭?qū)殹盇PP，實時公開標明每位客戶的實收傭金費率，成為行業(yè)內(nèi)首家實現(xiàn)交易傭金“明碼標價”的券商。川財證券總裁特別助理周蔚表示，明傭?qū)毩⒅居诮鉀Q困擾股民多年的傭金不透明、不公開、不公平問題，先成就客戶，再成就自己，讓股民享受統(tǒng)一實價，保障投資者權(quán)益，成就川財證券的品牌優(yōu)勢！

券商傭金不透明、不公開、不統(tǒng)一

今年年初A股走出了一波非常強勢的上漲行情，小張的交易金額和頻率也跟著高了起來，與此同時，小張注意到自己的傭金有些高。在網(wǎng)友的提點下，小張算了下自己的傭金率。不算不知道，一算嚇一跳，此前一直以為自己的傭金率是萬3，沒想到一算居然是萬5。再問好友，有萬8的，也有萬3的，還有萬2.5的。還真是一筆糊涂賬，小張后悔沒早注意到，導致這些年多支付不少。

之所以會出現(xiàn)這樣的情況，主要是因為券商傭金不透明、不統(tǒng)一，投資者的傭金水平很大程度上取決于自身的議價能力，而且為了搶到更多的客戶，券商往往會給新客戶一些“甜頭”，也就是更低的傭金，對此很多老客戶并不知情，還在一如既往地支付高昂的傭金。

記者了解到，由于監(jiān)管單位只規(guī)定了傭金最高上限，具體傭金比例有很大的彈性空間，不同券商根據(jù)自身的行業(yè)定位，會收取不同的傭金率；同一券商在不同地區(qū)，針對不同客戶，也會制定差異化的傭金標準，而且這種差異化的傭金標準是不對外公開的。

然而，近年以互聯(lián)網(wǎng)為代表的信息技術(shù)日新月異，整個證券市場信息幾近透明。券商若繼續(xù)走原先傭金不透明、不公開、不統(tǒng)一的老路，無視互聯(lián)網(wǎng)浪潮下公開透明定價趨勢，在不久的將來很有可能會被投資者拋棄。

川財證券率先推出傭金明碼實價

投資股票畢竟不是逛菜市場，討價還價實在麻煩！新銳互聯(lián)網(wǎng)券商川財證券在行業(yè)內(nèi)率先推出“明碼實價”傭金模式。股民通過其旗下明傭?qū)氶_戶炒股，不論資金大小，都按照傭金萬2.5、融資利率6.8%的標準收費。

明傭?qū)毷且豢罴Y訊、行情、開戶、網(wǎng)廳、交易、理財?shù)榷喙δ苡谝惑w的綜合理財APP，它最大的特色就是傭金費率的“明碼實價”，“明碼實價，全民平傭”是它的運營理念。值得注意的是，它直接把傭金費率展示在APP的首頁，“實收費率”也直接標明在每一位客戶的賬戶，每一位投資者都能清楚看到自己實際支付的傭金率。

事實上，這幾年傭金的不透明問題已經(jīng)引發(fā)多起投資者投訴，監(jiān)管單位也十分重視，2017年年底證監(jiān)會發(fā)布的《證券公司經(jīng)紀業(yè)務(wù)管理辦法（征求意見稿）》要求券商在公司網(wǎng)站、營業(yè)場所、客戶端公示傭金費用收取標準，更好地維護投資者信息知情權(quán)和選擇權(quán)。

《證券公司經(jīng)紀業(yè)務(wù)管理辦法（征求意見稿）》節(jié)選

川財證券明傭?qū)氈苯訉蚪鹈鞔a標價公開展示，除了迎合股民需求外，也是順應(yīng)時勢、主動落實監(jiān)管要求，積極保障投資者權(quán)益的表現(xiàn)。川財證券“明碼實價”一經(jīng)推出，股民一片叫好，一些老股民也被喚醒，紛紛計算起自己的傭金率。

“你的傭金是多少？到底應(yīng)該咋算？”

傭金算起來其實不算麻煩，找到一張交割單，記下它的傭金金額和交易金額，前者除以后者，傭金率就出來了！舉個例子，假如你的成交金額為15萬元，傭金為75元，那么傭金率就是75÷150000=0.0005，也就是萬5。需要特別注意的是，這張交割單的傭金金額必須大于5元，等于5元的可能算不準，因為單筆交易傭金不足5元的，都是按5元/筆記扣的。

既然算起來那么簡單，但為什么還有很多人弄不清自己的傭金率呢？主要還是因為每次的金額不高，少則幾元，多則幾十元，達到幾百元的甚少，壓根沒引起大家的注意。

但是，千萬別小看了這筆費用，散戶喜歡利用短期波段賺差價，實收傭金率哪怕只是相差幾個點，一年下來可能就是成千上萬的金額差。假如你的股市資金可能只有十幾萬，但一年交易幾十甚至上百次，年交易量保守估計，也能達到千萬級別以上。按1000萬的年交易量測算，傭金萬8要比萬2.5，一年多交傭金5500元。

很多股民資金量很大，年交易量遠遠超出這個數(shù)，繳納傭金之高可見一斑。