證券局域網三層結構分析與研究

證券局域網三層結構分析與研究

摘   要  本文著重闡述了三層結構證券局域網的結構及特點，并以一個物理上完全隔離的三層結構網絡為例進行了測試和分析。

關鍵詞   三層結構    中間件    虛網    硬三層

1. 概述

        證券行業是對計算機要求很高的行業，一般說來，每個證券營業部都有自己的局域網。證券交易/行情業務數據以文字為主，僅帶有少量圖形信息，但數據量大，更新頻繁，網絡要求具有很高的可靠性、數據傳輸率和安全性。

2. 傳統的證券局域網結構

        通常，傳統的證券局域網一般是以交換機作為主干的二層結構星形網絡。網絡環境大多采用100/1000M交換以太網做主干，10/100M交換以太網到桌面的連接方式。其拓撲結構如圖1所示。



                                            圖1  傳統的證券局域網

        網絡一般采用C/S（Client/Server）模式，資金和交易數據主要保存在后臺的NT Server上，無盤工作站可以直接訪問前臺的Novell Server，但不能直接訪問后臺的NT Server，而后臺的PC工作站則可以在許可的權限范圍內直接訪問NT Server。這種網絡結構具有高效、易擴展等特點，但也存在一些安全性問題，主要是由于前臺系統和后臺系統存在物理上的連接，因而不能完全杜絕用戶操作無盤工作站利用某種非法手段進入后臺系統作案的可能性。且作案后一般不會留下可供追查的線索。



3. 三層結構證券局域網分析

3.1 三層結構證券局域網的產生背景

        隨著近年來網絡技術的飛速發展和Internet的普及，證券公司所面臨的被惡意或非惡意入侵機會越來越多，特別是新技術和新思路的不斷涌現，對證券網絡的正常運行和日常維護提出了嚴重的挑戰，對信息系統的安全性、可靠性的要求越來越高，三層C/S結構的證券網絡就是針對上述情況而提出來的。這種網絡在數據管理層和用戶界面層之間增加了一層結構——中間層。這樣就將整個網絡的體系結構劃分為三層：服務器端、中間件（構成中間層的構件）和客戶端。中間件的存在，將網絡分隔為完全分離的內部網和外部網，使前端用戶無法看到后臺數據庫服務器和文件服務器 ，有效地防止了黑客的攻擊。中間件在系統處理能力上采用多線程技術，大大提高了工作效率，可靠性和擴展性也較二層結構強。符合中國證監會關于證券經營機構信息系統管理的“三分離”原則，即數據與網絡分離、技術與業務分離、前臺與后臺分離。被證券業界一致認為是今后交易系統的發展方向。



3.2三層結構證券局域網的分類

        目前，三層結構證券局域網主要有兩種模式，軟三層結構和硬三層結構。

3.2.1軟三層結構

        軟三層結構主要通過虛網（VLAN）來實現。它依靠用戶的邏輯設定將原來物理上互連的一個局域網劃分為兩個（或多個）虛擬網段，劃分的依據一般是交換機的物理端口（也可以是用戶節點的MAC地址等）。劃分的結果使得同一虛網內數據可自由通訊，而不同虛網間的數據通訊則需要通過路由來完成。這樣在一定程度上加強了虛網間隔離，能有效防止外部用戶入侵，提高安全性。此外，劃分虛網還可以隔離廣播信息，一個虛網內節點發送的廣播信息不會被轉發到其他虛網上去，這對于提高證券網絡的運行效率是很有幫助的。其拓撲結構如圖2所示。



           資金服務器(Windows NT)      行情服務器(NetWare)         

  



圖2  利用虛網設置的三層結構證券局域網



         軟三層結構具有成本低、結構簡單的特點。但管理、維護較復雜，需要對交換機的端口進行設置，并建立端口與內外網之間的對應關系。



3.2.2硬三層結構

        硬三層結構是物理上完全隔離的三層結構，以下是某證券營業部的網絡拓撲圖：







資金服務器(Windows NT)      交易服務器(NetWare)                          行情服務器

(NetWare)



                        外網



圖3  物理上完全隔離的三層結構證券局域網



         相對軟三層結構來說，硬三層結構管理、維護較為簡單，網絡劃分只需在交換機一級進行，不涉及每一具體端口。但網絡結構復雜、建設成本高。



        圖3所示網絡的外網（行情系統）和內網（交易系統）在物理上是完全隔離的，外網主干交換機是Cisco Catalyst 4006，內網交換機為Cisco3548。連接到桌面的網絡設備采用Cisco1924。中間件運行平臺為Windows NT4.0，中間件上安裝兩塊網卡，分別連接內網和外網，在NT中安裝IPX/SPX協議（不安裝TCP/IP協議，這樣可以有效防止TCP/IP數據包攻擊），關閉這兩塊網卡的內部路由功能，這樣外網的用戶便無法利用中間件的軟件路由功能直接訪問內網數據，而客戶的委托成交數據則利用中間件程序轉發。為進一步增加安全性，還可將這兩塊網卡綁定不同的協議，如連接外網的網卡只綁定IPX/SPX協議，連接內網的網卡只綁定TCP/IP協議，由于兩塊網卡連接的協議不同，在一定程度上增加了系統的安全。

3.2.3 網絡測試

以下是我們使用著名的Sniffer軟件對該營業部網絡的檢測概況：

(1)Dashborad

某日在外網主干交換機上對服務器網卡進行監控，結果如下：



Network
Size Distribution
Detail Errors

Packets             472,573        
64s                      19,301
CRCs                           0

Drops                          0
65-127s               20,221
Runts                           0

Broadcasts          21,275     
128-255s             18,763
Oversizes                     0        

Multicasts             4,015
256-511s             12,418
Fragments                    0

Bytes         618,700,250         
512-1023s            3,177
Jabbers        &nbs

p;                0    

Utilization                 25
1024-1518s       398,693     
Alignments                  0

Errors                           0
  
Collisions                    0




從表中可以看出，主干交換機4006利用率為0~25%，網絡中錯包和沖突包、CRC錯包數都是0，網絡工作狀態良好。



(2)Captured Data of Server NIC（Expert分析）

在4006交換機上設置sniffer端口用來監控行情服務器網卡的端口，并捕獲8M數據，進行expert的分析。結果如下：

Broadcast/Multicast Storm

Threshold
40

Peak Broadcast Rate
143

Broadcast Frames
5,996

Local Frames
11,874

Remote Frames
0

First time
2001/7/3 10:02:24.266

Storm Duration
2m 23s 128ms

Station1 name
0036BE51000

Station1 name
0002FDCC4029

Station1 name
0004271D3040

……
  




Sniffer expert分析只有廣播、多目廣播風暴，由于證券網中的乾隆等行情揭示系統往往采用廣播方式傳送行情，所以出現廣播風暴是正常的



(3)Delta Time（網絡延時）

……

No.
Status
Source Address
Dest Address
Summary
Len
Rel. Time
Delta Time

27
  
1E111.1
113.

00400565890
NCP: R OK
566
0:00:06.383
0.000.423

28
  
113.

000021D3E63
1E111.1
NCP: C Get current size of file F=DC4F 0300
60
0:00:06.384
0.000.068

29
  
1E111.1
113.

0050BA72CD1
NCP: R OK
566
0:00:06.384
0.000.425

……




從表中可以看出，Delta time值較小，沒有到秒一級別，說明網絡延時很小，網絡工作狀態良好。

  

(4)系統日常運行統計

服務器相關運行值

測試項目
結果

CPU利用率
一般10~30%

CPU利用率分布情況
IPX RTR NCP Work to do  0~15%

Interrupt  5~15%

內存占用和空閑情況
  

Current Service processes
<50

Dirty cache buffers
<500

Current disk requests
<51

Long term cache hits
100%

Long term cache dirty hits
100%

LRU sitting time
>1 小時

Cache buffers
>2000

Memory blocks free
 

 

工作站上網情況

錢龍上網速度
正常

錢龍81速度
<2秒

成交回報速度
<5秒

主干交換機相關數值

與服務器、轉換機相連端口錯包率、沖突率
無

交換機利用率（內存、CPU）
30~50%






4. 結論

        綜上所述，三層結構的證券網對提高證券行情、交易的效率以及防范黑客攻擊是大有好處的。當然，即使進行了虛網的設置甚至是物理分隔，因為中間件運行的操作系統Windows NT Server本身存在不少安全漏洞，加之針對NT的黑客工具較多，并不能保證網絡系統無堅不摧。所以如何提高中間件自身乃至整個網絡的安全性，仍然是我們下一步的重要任務。

【證券局域網三層結構分析與研究】相關文章：

現代公司治理結構新分析——兼評國內外現代公司治理結構研究的新08-08

現代公司治理結構新分析——兼評國內外現代公司治理結構研究的新 論文08-08

小學數學教材結構的研究與探討08-17

“結構分析法”在解題中的運用08-17

網絡新聞傳播結構的構建與分析08-11

《小狗包弟》結構與主題的多重分析08-16

大學生消費結構調查與分析08-12

研究生黨性分析材料08-24

關于《唐律疏議》內容和結構的研究08-17

動作結構在舞蹈創作中應用的作用分析論文03-21