證券局域網(wǎng)三層結(jié)構(gòu)分析與研究

證券局域網(wǎng)三層結(jié)構(gòu)分析與研究

摘   要  本文著重闡述了三層結(jié)構(gòu)證券局域網(wǎng)的結(jié)構(gòu)及特點(diǎn)，并以一個(gè)物理上完全隔離的三層結(jié)構(gòu)網(wǎng)絡(luò)為例進(jìn)行了測(cè)試和分析。

關(guān)鍵詞   三層結(jié)構(gòu)    中間件    虛網(wǎng)    硬三層

1. 概述

        證券行業(yè)是對(duì)計(jì)算機(jī)要求很高的行業(yè)，一般說(shuō)來(lái)，每個(gè)證券營(yíng)業(yè)部都有自己的局域網(wǎng)。證券交易/行情業(yè)務(wù)數(shù)據(jù)以文字為主，僅帶有少量圖形信息，但數(shù)據(jù)量大，更新頻繁，網(wǎng)絡(luò)要求具有很高的可靠性、數(shù)據(jù)傳輸率和安全性。

2. 傳統(tǒng)的證券局域網(wǎng)結(jié)構(gòu)

        通常，傳統(tǒng)的證券局域網(wǎng)一般是以交換機(jī)作為主干的二層結(jié)構(gòu)星形網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境大多采用100/1000M交換以太網(wǎng)做主干，10/100M交換以太網(wǎng)到桌面的連接方式。其拓?fù)浣Y(jié)構(gòu)如圖1所示。



                                            圖1  傳統(tǒng)的證券局域網(wǎng)

        網(wǎng)絡(luò)一般采用C/S（Client/Server）模式，資金和交易數(shù)據(jù)主要保存在后臺(tái)的NT Server上，無(wú)盤工作站可以直接訪問(wèn)前臺(tái)的Novell Server，但不能直接訪問(wèn)后臺(tái)的NT Server，而后臺(tái)的PC工作站則可以在許可的權(quán)限范圍內(nèi)直接訪問(wèn)NT Server。這種網(wǎng)絡(luò)結(jié)構(gòu)具有高效、易擴(kuò)展等特點(diǎn)，但也存在一些安全性問(wèn)題，主要是由于前臺(tái)系統(tǒng)和后臺(tái)系統(tǒng)存在物理上的連接，因而不能完全杜絕用戶操作無(wú)盤工作站利用某種非法手段進(jìn)入后臺(tái)系統(tǒng)作案的可能性。且作案后一般不會(huì)留下可供追查的線索。



3. 三層結(jié)構(gòu)證券局域網(wǎng)分析

3.1 三層結(jié)構(gòu)證券局域網(wǎng)的產(chǎn)生背景

        隨著近年來(lái)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和Internet的普及，證券公司所面臨的被惡意或非惡意入侵機(jī)會(huì)越來(lái)越多，特別是新技術(shù)和新思路的不斷涌現(xiàn)，對(duì)證券網(wǎng)絡(luò)的正常運(yùn)行和日常維護(hù)提出了嚴(yán)重的挑戰(zhàn)，對(duì)信息系統(tǒng)的安全性、可靠性的要求越來(lái)越高，三層C/S結(jié)構(gòu)的證券網(wǎng)絡(luò)就是針對(duì)上述情況而提出來(lái)的。這種網(wǎng)絡(luò)在數(shù)據(jù)管理層和用戶界面層之間增加了一層結(jié)構(gòu)——中間層。這樣就將整個(gè)網(wǎng)絡(luò)的體系結(jié)構(gòu)劃分為三層：服務(wù)器端、中間件（構(gòu)成中間層的構(gòu)件）和客戶端。中間件的存在，將網(wǎng)絡(luò)分隔為完全分離的內(nèi)部網(wǎng)和外部網(wǎng)，使前端用戶無(wú)法看到后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器和文件服務(wù)器 ，有效地防止了黑客的攻擊。中間件在系統(tǒng)處理能力上采用多線程技術(shù)，大大提高了工作效率，可靠性和擴(kuò)展性也較二層結(jié)構(gòu)強(qiáng)。符合中國(guó)證監(jiān)會(huì)關(guān)于證券經(jīng)營(yíng)機(jī)構(gòu)信息系統(tǒng)管理的“三分離”原則，即數(shù)據(jù)與網(wǎng)絡(luò)分離、技術(shù)與業(yè)務(wù)分離、前臺(tái)與后臺(tái)分離。被證券業(yè)界一致認(rèn)為是今后交易系統(tǒng)的發(fā)展方向。



3.2三層結(jié)構(gòu)證券局域網(wǎng)的分類

        目前，三層結(jié)構(gòu)證券局域網(wǎng)主要有兩種模式，軟三層結(jié)構(gòu)和硬三層結(jié)構(gòu)。

3.2.1軟三層結(jié)構(gòu)

        軟三層結(jié)構(gòu)主要通過(guò)虛網(wǎng)（VLAN）來(lái)實(shí)現(xiàn)。它依靠用戶的邏輯設(shè)定將原來(lái)物理上互連的一個(gè)局域網(wǎng)劃分為兩個(gè)（或多個(gè)）虛擬網(wǎng)段，劃分的依據(jù)一般是交換機(jī)的物理端口（也可以是用戶節(jié)點(diǎn)的MAC地址等）。劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)通訊則需要通過(guò)路由來(lái)完成。這樣在一定程度上加強(qiáng)了虛網(wǎng)間隔離，能有效防止外部用戶入侵，提高安全性。此外，劃分虛網(wǎng)還可以隔離廣播信息，一個(gè)虛網(wǎng)內(nèi)節(jié)點(diǎn)發(fā)送的廣播信息不會(huì)被轉(zhuǎn)發(fā)到其他虛網(wǎng)上去，這對(duì)于提高證券網(wǎng)絡(luò)的運(yùn)行效率是很有幫助的。其拓?fù)浣Y(jié)構(gòu)如圖2所示。



           資金服務(wù)器(Windows NT)      行情服務(wù)器(NetWare)         

  



圖2  利用虛網(wǎng)設(shè)置的三層結(jié)構(gòu)證券局域網(wǎng)



         軟三層結(jié)構(gòu)具有成本低、結(jié)構(gòu)簡(jiǎn)單的特點(diǎn)。但管理、維護(hù)較復(fù)雜，需要對(duì)交換機(jī)的端口進(jìn)行設(shè)置，并建立端口與內(nèi)外網(wǎng)之間的對(duì)應(yīng)關(guān)系。



3.2.2硬三層結(jié)構(gòu)

        硬三層結(jié)構(gòu)是物理上完全隔離的三層結(jié)構(gòu)，以下是某證券營(yíng)業(yè)部的網(wǎng)絡(luò)拓?fù)鋱D：







資金服務(wù)器(Windows NT)      交易服務(wù)器(NetWare)                          行情服務(wù)器

(NetWare)



                        外網(wǎng)



圖3  物理上完全隔離的三層結(jié)構(gòu)證券局域網(wǎng)



         相對(duì)軟三層結(jié)構(gòu)來(lái)說(shuō)，硬三層結(jié)構(gòu)管理、維護(hù)較為簡(jiǎn)單，網(wǎng)絡(luò)劃分只需在交換機(jī)一級(jí)進(jìn)行，不涉及每一具體端口。但網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、建設(shè)成本高。



        圖3所示網(wǎng)絡(luò)的外網(wǎng)（行情系統(tǒng)）和內(nèi)網(wǎng)（交易系統(tǒng)）在物理上是完全隔離的，外網(wǎng)主干交換機(jī)是Cisco Catalyst 4006，內(nèi)網(wǎng)交換機(jī)為Cisco3548。連接到桌面的網(wǎng)絡(luò)設(shè)備采用Cisco1924。中間件運(yùn)行平臺(tái)為Windows NT4.0，中間件上安裝兩塊網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)，在NT中安裝IPX/SPX協(xié)議（不安裝TCP/IP協(xié)議，這樣可以有效防止TCP/IP數(shù)據(jù)包攻擊），關(guān)閉這兩塊網(wǎng)卡的內(nèi)部路由功能，這樣外網(wǎng)的用戶便無(wú)法利用中間件的軟件路由功能直接訪問(wèn)內(nèi)網(wǎng)數(shù)據(jù)，而客戶的委托成交數(shù)據(jù)則利用中間件程序轉(zhuǎn)發(fā)。為進(jìn)一步增加安全性，還可將這兩塊網(wǎng)卡綁定不同的協(xié)議，如連接外網(wǎng)的網(wǎng)卡只綁定IPX/SPX協(xié)議，連接內(nèi)網(wǎng)的網(wǎng)卡只綁定TCP/IP協(xié)議，由于兩塊網(wǎng)卡連接的協(xié)議不同，在一定程度上增加了系統(tǒng)的安全。

3.2.3 網(wǎng)絡(luò)測(cè)試

以下是我們使用著名的Sniffer軟件對(duì)該營(yíng)業(yè)部網(wǎng)絡(luò)的檢測(cè)概況：

(1)Dashborad

某日在外網(wǎng)主干交換機(jī)上對(duì)服務(wù)器網(wǎng)卡進(jìn)行監(jiān)控，結(jié)果如下：



Network
Size Distribution
Detail Errors

Packets             472,573        
64s                      19,301
CRCs                           0

Drops                          0
65-127s               20,221
Runts                           0

Broadcasts          21,275     
128-255s             18,763
Oversizes                     0        

Multicasts             4,015
256-511s             12,418
Fragments                    0

Bytes         618,700,250         
512-1023s            3,177
Jabbers        &nbs

p;                0    

Utilization                 25
1024-1518s       398,693     
Alignments                  0

Errors                           0
  
Collisions                    0




從表中可以看出，主干交換機(jī)4006利用率為0~25%，網(wǎng)絡(luò)中錯(cuò)包和沖突包、CRC錯(cuò)包數(shù)都是0，網(wǎng)絡(luò)工作狀態(tài)良好。



(2)Captured Data of Server NIC（Expert分析）

在4006交換機(jī)上設(shè)置sniffer端口用來(lái)監(jiān)控行情服務(wù)器網(wǎng)卡的端口，并捕獲8M數(shù)據(jù)，進(jìn)行expert的分析。結(jié)果如下：

Broadcast/Multicast Storm

Threshold
40

Peak Broadcast Rate
143

Broadcast Frames
5,996

Local Frames
11,874

Remote Frames
0

First time
2001/7/3 10:02:24.266

Storm Duration
2m 23s 128ms

Station1 name
0036BE51000

Station1 name
0002FDCC4029

Station1 name
0004271D3040

……
  




Sniffer expert分析只有廣播、多目廣播風(fēng)暴，由于證券網(wǎng)中的乾隆等行情揭示系統(tǒng)往往采用廣播方式傳送行情，所以出現(xiàn)廣播風(fēng)暴是正常的



(3)Delta Time（網(wǎng)絡(luò)延時(shí)）

……

No.
Status
Source Address
Dest Address
Summary
Len
Rel. Time
Delta Time

27
  
1E111.1
113.

00400565890
NCP: R OK
566
0:00:06.383
0.000.423

28
  
113.

000021D3E63
1E111.1
NCP: C Get current size of file F=DC4F 0300
60
0:00:06.384
0.000.068

29
  
1E111.1
113.

0050BA72CD1
NCP: R OK
566
0:00:06.384
0.000.425

……




從表中可以看出，Delta time值較小，沒(méi)有到秒一級(jí)別，說(shuō)明網(wǎng)絡(luò)延時(shí)很小，網(wǎng)絡(luò)工作狀態(tài)良好。

  

(4)系統(tǒng)日常運(yùn)行統(tǒng)計(jì)

服務(wù)器相關(guān)運(yùn)行值

測(cè)試項(xiàng)目
結(jié)果

CPU利用率
一般10~30%

CPU利用率分布情況
IPX RTR NCP Work to do  0~15%

Interrupt  5~15%

內(nèi)存占用和空閑情況
  

Current Service processes
<50

Dirty cache buffers
<500

Current disk requests
<51

Long term cache hits
100%

Long term cache dirty hits
100%

LRU sitting time
>1 小時(shí)

Cache buffers
>2000

Memory blocks free
 

 

工作站上網(wǎng)情況

錢龍上網(wǎng)速度
正常

錢龍81速度
<2秒

成交回報(bào)速度
<5秒

主干交換機(jī)相關(guān)數(shù)值

與服務(wù)器、轉(zhuǎn)換機(jī)相連端口錯(cuò)包率、沖突率
無(wú)

交換機(jī)利用率（內(nèi)存、CPU）
30~50%






4. 結(jié)論

        綜上所述，三層結(jié)構(gòu)的證券網(wǎng)對(duì)提高證券行情、交易的效率以及防范黑客攻擊是大有好處的。當(dāng)然，即使進(jìn)行了虛網(wǎng)的設(shè)置甚至是物理分隔，因?yàn)橹虚g件運(yùn)行的操作系統(tǒng)Windows NT Server本身存在不少安全漏洞，加之針對(duì)NT的黑客工具較多，并不能保證網(wǎng)絡(luò)系統(tǒng)無(wú)堅(jiān)不摧。所以如何提高中間件自身乃至整個(gè)網(wǎng)絡(luò)的安全性，仍然是我們下一步的重要任務(wù)。

【證券局域網(wǎng)三層結(jié)構(gòu)分析與研究】相關(guān)文章：

現(xiàn)代公司治理結(jié)構(gòu)新分析——兼評(píng)國(guó)內(nèi)外現(xiàn)代公司治理結(jié)構(gòu)研究的新08-08

現(xiàn)代公司治理結(jié)構(gòu)新分析——兼評(píng)國(guó)內(nèi)外現(xiàn)代公司治理結(jié)構(gòu)研究的新 論文08-08

小學(xué)數(shù)學(xué)教材結(jié)構(gòu)的研究與探討08-17

“結(jié)構(gòu)分析法”在解題中的運(yùn)用08-17

網(wǎng)絡(luò)新聞傳播結(jié)構(gòu)的構(gòu)建與分析08-11

《小狗包弟》結(jié)構(gòu)與主題的多重分析08-16

大學(xué)生消費(fèi)結(jié)構(gòu)調(diào)查與分析08-12

研究生黨性分析材料08-24

關(guān)于《唐律疏議》內(nèi)容和結(jié)構(gòu)的研究08-17

動(dòng)作結(jié)構(gòu)在舞蹈創(chuàng)作中應(yīng)用的作用分析論文03-21