Sinfor证券业VPN解决方案
前言
证券市场是优化资源配置的主要场所,它将社会盈余资金集中起来,投入到发展潜力大的行业和企业中。我国证券市场建立十几年来,为国民经济的高速增长提供了稳定的基石。但是随着经济全球化及金融混业趋势的影响,在未来一段时期内国内证券公司将陷入“内外交困”的境地:一方面,依赖牌照经营的垄断格局正在被打破,银行、保险、甚至IT业都在窥视证券市场这块蛋糕;另一方面,国外著名的投资银行纷纷与国内同行寻求合作,以分享中国资本市场高速成长的收益。
在这种背景下,国内券商都在改善原有的赢利模式,通过走“低成本,大营销”的道路提高自己的竞争力,实现经营模型的转型。以金融销售、融资服务和固定收益业务为主、附带权益投资的盈利模式,加上低成本的后台与行政投入,将是国内证券公司发展的一个趋势。而作为投入较大的信息化系统建设,必将成为每个证券公司实现转型、削减成本过程中首要考虑的问题之一。
网络现状分析
证券公司信息化建设的目标是建立集多种交易手段、办公自动化、财务系统管理、强大的信息服务功能、决策支持系统于一身,有着高可靠性、高效率和实时性更强的业务管理系统,而实现这一目标的基础是构建覆盖全公司的高效、安全的内部网络。
为确保业务的稳定和可靠,证券公司基本都采用专线方式(DDN、帧中继)将公司总部与各营业部连接起来,每年庞大的专线费用对每个证券公司来说都一笔不小的开支。但是,大部分证券公司的内部网络非常复杂,通过DDN传输的数据中、既有现场交易的证券指数,又有诸如Notes办公系统中的信息,这无疑给各证券公司的网络管理带来一定压力,同时对网络安全也造成很大隐患。如果将这些专线中的一部分采用另一种成本较低的连接方式,传输那些非主流的业务数据,将会大大降低证券公司在信息化成本上的投入。
其次,证券数据是相当敏感和重要的数据,其传输过程不允许因线路故障而出现中断,具备稳定的备份线路将是所有证券公司需要考虑的问题。事实上,稍具规模的证券公司基本都对核心数据采用双线或多线备份,这其中包括了SDH线路、ISDN等诸多选择。如何选择一条价格上具绝对优势,性能相对其它方式又毫不逊色的备份线路呢?
VPN产品的出现很好的解决了上述问题,相对于按期付费的专线,一次性投入的VPN系统将在整体成本上具有无可比拟的优越性。以下分别是VPN在证券网络扩展与备份两方面的应用:
VPN扩展线路方案
根据证券公司的业务范围对各营业部进行划分,主要分为核心营业部(提供现场交易或其他重要业务)与非核心营业部(提供非主流的其他各项业务),这种划分使证券公司的网络结构一下明晰起来并简化了网络管理。其中核心营业部面向高端客户,提供现场交易,此传输数据为核心数据,建议采用专线方式以最大程度地保障其可靠与稳定性,而非核心营业部可以看作一个营销中心,结合网上交易为低端客户提供服务,此传输数据为非核心业务数据,完全可采用VPN作为连接方式,而不需采用昂贵的DDN专线。
如图所示,核心营业部通过DDN连接公司总部,而非核心营业部、合作伙伴或移动经纪人通过在INTERNET上建立VPN通道,连接到总部,并可以实现如下功能:
提供开户
电话委托
股民学校
客户关系管理
办公自动化管理
其它非主流业务
DDN专线备份及扩展
考虑到证券业对线路的依赖性和可能出现的故障,可以采用VPN作为DDN专线的备份线路,在DDN专线出现故障的时候可以迅速切换到VPN链路上来进行数据传输。
如图所示,总部与某分支之间已采用DDN连接,但是通过VPN作线路备份后,在DDN线路出现故障的紧急情况下,VPN将承担起连接桥梁的作用,确保数据传输的无间断性。
Sinfor证券业VPN解决方案
安全
基于Internet构建的VPN网络安全性相对于证券公司来说是一个非常重要的问题,在这一点上,Sinfor DLAN VPN凭借以下五层防护充分保障了证券公司及其用户的利益不受侵犯:
数据加密:
采用性能大约为3DES三倍的AES 128位加密算法,防止数据被窃听或篡改。
密码接入鉴权:
任何连接接入VPN网络都需要通过密码的鉴权认证。此密码为公司总部管理员设定,只有知道密码的用户才能接入,防止非法用户入侵。
硬件捆绑的接入认证(国家发明专利):
采用硬件的特殊属性作为接入身份验证,只有总部授权的硬件设备才能允许接入。在这种情况下,除了密码正确外,还要接入设备身份正确才能接入到总部。因此即使密码泄漏,非法用户也不能通过未经总部授权的计算机接入公司网络。
细致的权限粒度设置
Sinfor DLAN VPN提供了对内网访问权限的细致设定,可以对不同的用户分配不同的权限规则,避免内部出现的安全隐患,所有的这些权限都可以通过简单的配置迅速完成,极大的方便了IT部门的管理工作。
集成的企业级防火墙
基于状态检测的新一代包过滤防火墙与VPN结合使用,为证券公司加上双重保险,将非法攻击拒之门外;同时独创的虚拟测试功能,通过可视化的对各种安全设置规则进行测试,从而杜绝内部人为错误导致的安全漏洞。
高效
通过平均传输效率为130%的“数据流压缩”技术,对所有的传输数据进行压缩传输,很多应用情况下超过直接连接的速度
支持多条上网线路的绑定复用,成倍的提高带宽,提高VPN互联速度。
稳定
软、硬分离的方案使得用户可以自主的选择适合自己的环境,既大大降低了相对于同档次高端硬件VPN的整体投资,又解决了由于硬件档次过低而带来的不稳定因素
运行于操作系统底层,以服务的方式启动,稳定可靠
成本低
使用Sinfor DLAN纯软件的网络互联方案,无需任何硬件设备,无需固定IP地址,一次性投入,无月租,是诸如专线等传统解决方案的十分之一甚至更低。
华夏证券
华夏证券股份有限公司成立于1992年10月,是我国较早成立的全国性证券公司。其下属营业厅采用DDN专线与总部相连,并采用Sinfor DLAN VPN作为DDN专线的备份线路,在DDN专线出现故障的时候Sinfor DLAN VPN可迅速承担起数据传输的任务。同时所有非核心业务的数据(如日常的办公数据)则全部通过Sinfor DLAN VPN传送到总部,确保有限的DDN带宽全部用来进行核心业务的开展。对于部分规模较小的非核心营业厅则完全采用Sinfor网网通VPN作为连接方式,大大削减了信息化投入成本。
小结
只要在技术设计上合理地进行组合改造,完全可以大规模降低信息化成本,而不必等待电信资费的大幅度降低。互联网的新技术平台,给证券业的未来发展注入了新的活力,但是,如何在现有的环境条件下,真正做到用技术推动业务的快速发展,还需要证券业的同仁更多地思考和实践。