證券局域網(wǎng)三層結構分析與研究

摘   要  本文著重闡述了三層結構證券局域網(wǎng)的結構及特點，并以一個物理上完全隔離的三層結構網(wǎng)絡為例進行了測試和分析。

關鍵詞   三層結構    中間件    虛網(wǎng)    硬三層

1. 概述

        證券行業(yè)是對計算機要求很高的行業(yè)，一般說來，每個證券營業(yè)部都有自己的局域網(wǎng)。證券交易/行情業(yè)務數(shù)據(jù)以文字為主，僅帶有少量圖形信息，但數(shù)據(jù)量大，更新頻繁，網(wǎng)絡要求具有很高的可靠性、數(shù)據(jù)傳輸率和安全性。

2. 傳統(tǒng)的證券局域網(wǎng)結構

        通常，傳統(tǒng)的證券局域網(wǎng)一般是以交換機作為主干的二層結構星形網(wǎng)絡。網(wǎng)絡環(huán)境大多采用100/1000M交換以太網(wǎng)做主干，10/100M交換以太網(wǎng)到桌面的連接方式。其拓撲結構如圖1所示。



                                            圖1  傳統(tǒng)的證券局域網(wǎng)

        網(wǎng)絡一般采用C/S（Client/Server）模式，資金和交易數(shù)據(jù)主要保存在后臺的NT Server上，無盤工作站可以直接訪問前臺的Novell Server，但不能直接訪問后臺的NT Server，而后臺的PC工作站則可以在許可的權限范圍內(nèi)直接訪問NT Server。這種網(wǎng)絡結構具有高效、易擴展等特點，但也存在一些安全性問題，主要是由于前臺系統(tǒng)和后臺系統(tǒng)存在物理上的連接，因而不能完全杜絕用戶操作無盤工作站利用某種非法手段進入后臺系統(tǒng)作案的可能性。且作案后一般不會留下可供追查的線索。



3. 三層結構證券局域網(wǎng)分析

3.1 三層結構證券局域網(wǎng)的產(chǎn)生背景

        隨著近年來網(wǎng)絡技術的飛速發(fā)展和Internet的普及，證券公司所面臨的被惡意或非惡意入侵機會越來越多，特別是新技術和新思路的不斷涌現(xiàn)，對證券網(wǎng)絡的正常運行和日常維護提出了嚴重的挑戰(zhàn)，對信息系統(tǒng)的安全性、可靠性的要求越來越高，三層C/S結構的證券網(wǎng)絡就是針對上述情況而提出來的。這種網(wǎng)絡在數(shù)據(jù)管理層和用戶界面層之間增加了一層結構——中間層。這樣就將整個網(wǎng)絡的體系結構劃分為三層：服務器端、中間件（構成中間層的構件）和客戶端。中間件的存在，將網(wǎng)絡分隔為完全分離的內(nèi)部網(wǎng)和外部網(wǎng)，使前端用戶無法看到后臺數(shù)據(jù)庫服務器和文件服務器 ，有效地防止了黑客的攻擊。中間件在系統(tǒng)處理能力上采用多線程技術，大大提高了工作效率，可靠性和擴展性也較二層結構強。符合中國證監(jiān)會關于證券經(jīng)營機構信息系統(tǒng)管理的“三分離”原則，即數(shù)據(jù)與網(wǎng)絡分離、技術與業(yè)務分離、前臺與后臺分離。被證券業(yè)界一致認為是今后交易系統(tǒng)的發(fā)展方向。



3.2三層結構證券局域網(wǎng)的分類

        目前，三層結構證券局域網(wǎng)主要有兩種模式，軟三層結構和硬三層結構。

3.2.1軟三層結構

        軟三層結構主要通過虛網(wǎng)（VLAN）來實現(xiàn)。它依靠用戶的邏輯設定將原來物理上互連的一個局域網(wǎng)劃分為兩個（或多個）虛擬網(wǎng)段，劃分的依據(jù)一般是交換機的物理端口（也可以是用戶節(jié)點的MAC地址等）。劃分的結果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)通訊則需要通過路由來完成。這樣在一定程度上加強了虛網(wǎng)間隔離，能有效防止外部用戶入侵，提高安全性。此外，劃分虛網(wǎng)還可以隔離廣播信息，一個虛網(wǎng)內(nèi)節(jié)點發(fā)送的廣播信息不會被轉(zhuǎn)發(fā)到其他虛網(wǎng)上去，這對于提高證券網(wǎng)絡的運行效率是很有幫助的。其拓撲結構如圖2所示。



           資金服務器(Windows NT)      行情服務器(NetWare)         

  



圖2  利用虛網(wǎng)設置的三層結構證券局域網(wǎng)



         軟三層結構具有成本低、結構簡單的特點。但管理、維護較復雜，需要對交換機的端口進行設置，并建立端口與內(nèi)外網(wǎng)之間的對應關系。



3.2.2硬三層結構

        硬三層結構是物理上完全隔離的三層結構，以下是某證券營業(yè)部的網(wǎng)絡拓撲圖：







資金服務器(Windows NT)      交易服務器(NetWare)                          行情服務器

(NetWare)



                        外網(wǎng)



圖3  物理上完全隔離的三層結構證券局域網(wǎng)



         相對軟三層結構來說，硬三層結構管理、維護較為簡單，網(wǎng)絡劃分只需在交換機一級進行，不涉及每一具體端口。但網(wǎng)絡結構復雜、建設成本高。



        圖3所示網(wǎng)絡的外網(wǎng)（行情系統(tǒng)）和內(nèi)網(wǎng)（交易系統(tǒng)）在物理上是完全隔離的，外網(wǎng)主干交換機是Cisco Catalyst 4006，內(nèi)網(wǎng)交換機為Cisco3548。連接到桌面的網(wǎng)絡設備采用Cisco1924。中間件運行平臺為Windows NT4.0，中間件上安裝兩塊網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)，在NT中安裝IPX/SPX協(xié)議（不安裝TCP/IP協(xié)議，這樣可以有效防止TCP/IP數(shù)據(jù)包攻擊），關閉這兩塊網(wǎng)卡的內(nèi)部路由功能，這樣外網(wǎng)的用戶便無法利用中間件的軟件路由功能直接訪問內(nèi)網(wǎng)數(shù)據(jù)，而客戶的委托成交數(shù)據(jù)則利用中間件程序轉(zhuǎn)發(fā)。為進一步增加安全性，還可將這兩塊網(wǎng)卡綁定不同的協(xié)議，如連接外網(wǎng)的網(wǎng)卡只綁定IPX/SPX協(xié)議，連接內(nèi)網(wǎng)的網(wǎng)卡只綁定TCP/IP協(xié)議，由于兩塊網(wǎng)卡連接的協(xié)議不同，在一定程度上增加了系統(tǒng)的安全。

3.2.3 網(wǎng)絡測試

以下是我們使用著名的Sniffer軟件對該營業(yè)部網(wǎng)絡的檢測概況：

(1)Dashborad

某日在外網(wǎng)主干交換機上對服務器網(wǎng)卡進行監(jiān)控，結果如下：



Network
Size Distribution
Detail Errors

Packets             472,573        
64s                      19,301
CRCs                           0

Drops                          0
65-127s               20,221
Runts                           0

Broadcasts          21,275     
128-255s             18,763
Oversizes                     0        

Multicasts             4,015
256-511s             12,418
Fragments                    0

Bytes         618,700,250         
512-1023s            3,177
Jabbers        &nbs

p;                0    

Utilization                 25
1024-1518s       398,693     
Alignments                  0

Errors                           0
  
Collisions                    0




從表中可以看出，主干交換機4006利用率為0~25%，網(wǎng)絡中錯包和沖突包、CRC錯包數(shù)都是0，網(wǎng)絡工作狀態(tài)良好。



(2)Captured Data of Server NIC（Expert分析）

在4006交換機上設置sniffer端口用來監(jiān)控行情服務器網(wǎng)卡的端口，并捕獲8M數(shù)據(jù)，進行expert的分析。結果如下：

Broadcast/Multicast Storm

Threshold
40

Peak Broadcast Rate
143

Broadcast Frames
5,996

Local Frames
11,874

Remote Frames
0

First time
2001/7/3 10:02:24.266

Storm Duration
2m 23s 128ms

Station1 name
0036BE51000

Station1 name
0002FDCC4029

Station1 name
0004271D3040

……
  




Sniffer expert分析只有廣播、多目廣播風暴，由于證券網(wǎng)中的乾隆等行情揭示系統(tǒng)往往采用廣播方式傳送行情，所以出現(xiàn)廣播風暴是正常的



(3)Delta Time（網(wǎng)絡延時）

……

No.
Status
Source Address
Dest Address
Summary
Len
Rel. Time
Delta Time

27
  
1E111.1
113.

00400565890
NCP: R OK
566
0:00:06.383
0.000.423

28
  
113.

000021D3E63
1E111.1
NCP: C Get current size of file F=DC4F 0300
60
0:00:06.384
0.000.068

29
  
1E111.1
113.

0050BA72CD1
NCP: R OK
566
0:00:06.384
0.000.425

……




從表中可以看出，Delta time值較小，沒有到秒一級別，說明網(wǎng)絡延時很小，網(wǎng)絡工作狀態(tài)良好。

  

(4)系統(tǒng)日常運行統(tǒng)計

服務器相關運行值

測試項目
結果

CPU利用率
一般10~30%

CPU利用率分布情況
IPX RTR NCP Work to do  0~15%

Interrupt  5~15%

內(nèi)存占用和空閑情況
  

Current Service processes
<50

Dirty cache buffers
<500

Current disk requests
<51

Long term cache hits
100%

Long term cache dirty hits
100%

LRU sitting time
>1 小時

Cache buffers
>2000

Memory blocks free
 

 

工作站上網(wǎng)情況

錢龍上網(wǎng)速度
正常

錢龍81速度
<2秒

成交回報速度
<5秒

主干交換機相關數(shù)值

與服務器、轉(zhuǎn)換機相連端口錯包率、沖突率
無

交換機利用率（內(nèi)存、CPU）
30~50%






4. 結論

        綜上所述，三層結構的證券網(wǎng)對提高證券行情、交易的效率以及防范黑客攻擊是大有好處的。當然，即使進行了虛網(wǎng)的設置甚至是物理分隔，因為中間件運行的操作系統(tǒng)Windows NT Server本身存在不少安全漏洞，加之針對NT的黑客工具較多，并不能保證網(wǎng)絡系統(tǒng)無堅不摧。所以如何提高中間件自身乃至整個網(wǎng)絡的安全性，仍然是我們下一步的重要任務。

【證券局域網(wǎng)三層結構分析與研究】相關文章：

證券局域網(wǎng)三層結構分析與研究08-06

證券局域網(wǎng)三層結構分析與研究08-06

證券市場結構及風險分析08-05

證券公司組織結構問題研究08-07

證券公司法人治理結構研究08-05

現(xiàn)代公司治理結構新分析——兼評國內(nèi)外現(xiàn)代公司治理結構研究的新08-08

中美證券分析師職業(yè)道德規(guī)范比較研究08-05

對我國證券投資的研究08-05

證券發(fā)行制度研究08-05