周 峰 陳 偉 李 莉 林佳佳

（恒生電子股份有限公司,浙江 杭州 310051）

0 引言

隨著信息化技術(shù)的快速發(fā)展，證券業(yè)對(duì)信息科技的依賴程度日益加深，信息科技的安全運(yùn)行和健康發(fā)展直接影響到券商的穩(wěn)健經(jīng)營(yíng)，關(guān)乎國(guó)家金融穩(wěn)定和社會(huì)安定。過去二十多年證券業(yè)在信息系統(tǒng)建設(shè)方面取得顯著成果，但在信息技術(shù)核心領(lǐng)域卻長(zhǎng)期由西方國(guó)家控制[1]。近年來西方國(guó)家在一些關(guān)鍵技術(shù)方面對(duì)我國(guó)實(shí)施嚴(yán)格封鎖，“中美貿(mào)易戰(zhàn)”更是把信息安全推上了空前的高度，危及國(guó)家金融信息安全命脈。信息安全成為我國(guó)社會(huì)面臨的嚴(yán)重問題。

要想有效突破國(guó)外廠商對(duì)于證券業(yè)信息系統(tǒng)的壟斷，核心技術(shù)只能依靠自身來積極創(chuàng)新。近年來，得益于國(guó)家對(duì)信息化建設(shè)的大力投入，國(guó)內(nèi)相關(guān)技術(shù)和產(chǎn)業(yè)發(fā)展非常迅速，目前國(guó)產(chǎn)軟硬件核心技術(shù)已經(jīng)初步具備體系化發(fā)展能力，研究基于國(guó)產(chǎn)化軟硬件的證券業(yè)務(wù)信息系統(tǒng)，提升國(guó)產(chǎn)化率，構(gòu)建安全牢靠的證券應(yīng)用體系，對(duì)于維護(hù)國(guó)家金融安全具有重大的現(xiàn)實(shí)意義。

1 國(guó)產(chǎn)化軟硬件信息系統(tǒng)的設(shè)計(jì)

1.1 基于國(guó)產(chǎn)化軟硬件的信息系統(tǒng)總體架構(gòu)

架構(gòu)是系統(tǒng)的核心，為了有效地保證基于國(guó)產(chǎn)化軟硬件的證券信息系統(tǒng)的先進(jìn)、成熟、完整、安全、可靠和自主可控，按照分層原則進(jìn)行構(gòu)建，從下至上分別為技術(shù)中臺(tái)、業(yè)務(wù)中臺(tái)、數(shù)據(jù)中臺(tái)、運(yùn)營(yíng)中臺(tái)。技術(shù)中臺(tái)承載了整個(gè)大中臺(tái)的技術(shù)部分，將技術(shù)的共性融合成一個(gè)共同的主題，為后續(xù)新業(yè)務(wù)快速落地提供保障。業(yè)務(wù)中臺(tái)融合了各業(yè)務(wù)系統(tǒng)的共通功能，統(tǒng)一建設(shè)多個(gè)業(yè)務(wù)中臺(tái)服務(wù)中心，統(tǒng)一實(shí)現(xiàn)和管理各類共享服務(wù)功能。數(shù)據(jù)中臺(tái)基于國(guó)產(chǎn)分布式存儲(chǔ)技術(shù)，滿足大數(shù)據(jù)高效可靠的存儲(chǔ)需求，提供較高的持久性，較高的吞吐量和較低的延遲速度，具備高可用性和高可靠性。運(yùn)營(yíng)中臺(tái)提供平臺(tái)組件級(jí)的支撐，滿足業(yè)務(wù)快速開發(fā)和拓展的需要，總體架構(gòu)如圖1所示。

圖 1 面向國(guó)產(chǎn)化軟硬件的證券信息系統(tǒng)總體架構(gòu)圖

1.2 國(guó)產(chǎn)化軟硬件組成

1.2.1 國(guó)產(chǎn)硬件組成

硬件是計(jì)算機(jī)運(yùn)行的基礎(chǔ)，目前核心的硬件包括服務(wù)器、網(wǎng)絡(luò)設(shè)備等。計(jì)算、存儲(chǔ)、通信是計(jì)算機(jī)IT核心三大基礎(chǔ)模塊[2]。

在計(jì)算方面，國(guó)產(chǎn)化服務(wù)器平臺(tái)選用華為TaiShan服務(wù)器，該服務(wù)器具有多核并發(fā)構(gòu)架優(yōu)勢(shì)，尤其在大數(shù)據(jù)和分布式類業(yè)務(wù)應(yīng)用優(yōu)勢(shì)明顯。針對(duì)大數(shù)據(jù)類應(yīng)用，對(duì)涉及預(yù)測(cè)分析、數(shù)據(jù)挖掘等典型離線計(jì)算場(chǎng)景進(jìn)行了大幅優(yōu)化，提升了離線計(jì)算性能。此外，還提供了面向交易流水和征信查詢等涉及高并發(fā)高實(shí)時(shí)計(jì)算場(chǎng)景，使其能夠更高效響應(yīng)查詢請(qǐng)求。針對(duì)分布式存儲(chǔ)類應(yīng)用，TaiShan依托多核優(yōu)勢(shì)，可在單臺(tái)服務(wù)器并行化處理更多分布式存儲(chǔ)的數(shù)據(jù)請(qǐng)求。中央處理器是服務(wù)器的大腦核心，目前處理器長(zhǎng)期由國(guó)外的Intel、AMD等公司壟斷。作為服務(wù)器的核心邏輯大腦，芯片的選型應(yīng)滿足自主可控的要求，采用華為公司生產(chǎn)的鯤鵬920芯片。鯤鵬920處理器是華為發(fā)布的數(shù)據(jù)中心高性能處理器，由華為自主研發(fā)和設(shè)計(jì)，旨在滿足數(shù)據(jù)中心多樣性計(jì)算、綠色計(jì)算的需求。鯤鵬920處理器兼容ARM架構(gòu)，采用7nm工藝制造，可以支持32/48/64個(gè)內(nèi)核，主頻可達(dá)2.6GHz，支持8通道DDR4、PCIe 4.0和100G RoCE網(wǎng)絡(luò)。

在存儲(chǔ)方面，存儲(chǔ)設(shè)備主要分為內(nèi)存和外存。內(nèi)存采用長(zhǎng)鑫存儲(chǔ)生產(chǎn)的國(guó)產(chǎn)DDR4內(nèi)存，其生產(chǎn)的內(nèi)存芯片符合國(guó)際通行標(biāo)準(zhǔn)規(guī)范，與現(xiàn)有設(shè)備有著良好的兼容性。外存采用長(zhǎng)江存儲(chǔ)提供的NAND閃存顆粒。

在通信方面，網(wǎng)絡(luò)設(shè)備主要包括交換機(jī)、路由器等，采用華為公司生成的網(wǎng)絡(luò)產(chǎn)品族。華為所生產(chǎn)的網(wǎng)絡(luò)產(chǎn)品從數(shù)字通訊到無線通信，從核心網(wǎng)絡(luò)到移動(dòng)終端，從傳輸介質(zhì)到服務(wù)器等進(jìn)行了全方位的覆蓋。

1.2.2 國(guó)產(chǎn)軟件組成

國(guó)產(chǎn)化的信息系統(tǒng)主要由操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)系統(tǒng)等組成[3]。操作系統(tǒng)是軟件運(yùn)行的基礎(chǔ)，也是硬件與軟件之間溝通的橋梁。目前國(guó)內(nèi)常用的操作系統(tǒng)基本被Windows Server和各類Linux系統(tǒng)壟斷。通過近年來不斷地發(fā)展，出現(xiàn)了不少優(yōu)秀的國(guó)產(chǎn)操作系統(tǒng)，例如優(yōu)麒麟、深度操作系統(tǒng)、中標(biāo)銀河麒麟等系統(tǒng)，都是擁有自主知識(shí)產(chǎn)權(quán)并且自主可控的操作系統(tǒng)。因此，將國(guó)產(chǎn)化操作系統(tǒng)引入到證券業(yè)信息系統(tǒng)中能夠有效地增強(qiáng)系統(tǒng)運(yùn)行的安全性。

目前，隨著各類信息系統(tǒng)復(fù)雜程度的快速提升和近年來云端技術(shù)的飛速發(fā)展，基于云計(jì)算的云平臺(tái)融合到信息系統(tǒng)將是當(dāng)今發(fā)展的趨勢(shì)。本文選用飛天系統(tǒng)作為分布式云計(jì)算平臺(tái)，該平臺(tái)是由阿里云平臺(tái)自主研發(fā)、服務(wù)全球的超大規(guī)模通用計(jì)算操作系統(tǒng)。它可以將遍布全球的百萬級(jí)服務(wù)器連成一臺(tái)超級(jí)計(jì)算機(jī)，以在線公共服務(wù)的方式為社會(huì)提供計(jì)算能力。飛天革命性地將云計(jì)算的三個(gè)方向整合起來：提供足夠強(qiáng)大的計(jì)算能力，提供通用的計(jì)算能力，提供普惠的計(jì)算能力。飛天內(nèi)核負(fù)責(zé)統(tǒng)一管理數(shù)據(jù)中心內(nèi)的通用服務(wù)器集群，調(diào)度集群的計(jì)算、存儲(chǔ)資源，支撐分布式應(yīng)用的部署和執(zhí)行，并自動(dòng)進(jìn)行故障恢復(fù)和數(shù)據(jù)冗余。飛天內(nèi)核提供的授權(quán)機(jī)制，能夠有效實(shí)現(xiàn)最小權(quán)限原則。同時(shí)，還建立了自主可控的全棧安全體系。飛天內(nèi)核對(duì)上層應(yīng)用提供了詳細(xì)的、無間斷的監(jiān)控?cái)?shù)據(jù)和系統(tǒng)事件采集，能夠回溯到發(fā)生問題的那一刻現(xiàn)場(chǎng)，幫助工程師找到問題的根源。

中標(biāo)麒麟操作系統(tǒng)是由國(guó)防科技大學(xué)所開發(fā)的開源服務(wù)器操作系統(tǒng)，該系統(tǒng)繼承了Linux系統(tǒng)內(nèi)核的安全穩(wěn)定的同時(shí)，大力開發(fā)良好的用戶交互界面，不僅內(nèi)置了大量?jī)?yōu)秀的開發(fā)工具，同時(shí)滿足了對(duì)于安全可控的需求。因此，在面向桌面端用戶時(shí)，選用中標(biāo)麒麟操作系統(tǒng)有助于擺脫國(guó)內(nèi)對(duì)于國(guó)外Windows、MacOS等系統(tǒng)的過于依賴性[4]。

1.3 國(guó)產(chǎn)化證券信息系統(tǒng)應(yīng)用策略

本文設(shè)計(jì)的證券信息系統(tǒng)應(yīng)用策略總共由四個(gè)部分組成，分別為技術(shù)中臺(tái)、業(yè)務(wù)中臺(tái)、數(shù)據(jù)中臺(tái)、運(yùn)營(yíng)中臺(tái)。

1.3.1 技術(shù)中臺(tái)

技術(shù)中臺(tái)主要由渠道接入網(wǎng)關(guān)、應(yīng)用服務(wù)框架、開發(fā)工具套件、運(yùn)維監(jiān)控平臺(tái)、數(shù)據(jù)集成服務(wù)等組成。

渠道接入網(wǎng)關(guān)面向終端所接入的服務(wù)總線及接入渠道，提供第三方渠道、終端、桌面的統(tǒng)一接入管理。應(yīng)用服務(wù)框架利用IaaS資源層所提供的兼容該特性，實(shí)現(xiàn)針對(duì)不同關(guān)系數(shù)據(jù)庫(kù)及分布式數(shù)據(jù)庫(kù)的存儲(chǔ)和操作，同時(shí)充當(dāng)各類基礎(chǔ)技術(shù)的服務(wù)層，提供自定義開發(fā)的框架及應(yīng)用層。開發(fā)工具套件面向開發(fā)人員提供可視化編程工具、自動(dòng)化集成測(cè)試、接口統(tǒng)一管理、代碼自動(dòng)生成、開發(fā)調(diào)試等功能。運(yùn)維監(jiān)控平臺(tái)負(fù)責(zé)對(duì)整個(gè)平臺(tái)監(jiān)控插件的提供以及日志的分析。數(shù)據(jù)集成服務(wù)提供了數(shù)據(jù)的采集、清洗、分析等服務(wù)，技術(shù)中臺(tái)架構(gòu)圖如圖2所示。

圖 2 技術(shù)中臺(tái)架構(gòu)圖

本文設(shè)計(jì)的技術(shù)中臺(tái)整體基于飛天（Apsara）超大規(guī)模通用計(jì)算機(jī)操作系統(tǒng)。飛天云平臺(tái)基于鯤鵬芯片進(jìn)行重新編譯、測(cè)試，再基于鯤鵬芯片的TaiShan服務(wù)器進(jìn)行功能、可靠性、性能等多方面驗(yàn)證，并開展性能調(diào)優(yōu)、可靠性、穩(wěn)定性等工作。同時(shí)，云平臺(tái)提供的計(jì)算資源虛擬機(jī)還要進(jìn)行與中標(biāo)麒麟操作系統(tǒng)適配工作，提供基于中標(biāo)麒麟操作系統(tǒng)的虛擬機(jī)給用戶使用。

同時(shí)針對(duì)技術(shù)中臺(tái)需求的復(fù)雜性，引入國(guó)產(chǎn)化的分布式開發(fā)技術(shù)平臺(tái)，該分布式中間件平臺(tái)是由恒生電子研發(fā)中心基于Java技術(shù)自主研發(fā)的、面向金融領(lǐng)域的企業(yè)級(jí)應(yīng)用快速開發(fā)平臺(tái)和多系統(tǒng)融合平臺(tái)。平臺(tái)總共由三部分組成，JRES Studio效能平臺(tái)，提供一站式開發(fā)流程管理平臺(tái)，提高團(tuán)隊(duì)協(xié)作開發(fā)效率；JRES FrameWork提供開發(fā)人員使用的開發(fā)框架，包括服務(wù)開發(fā)和終端開發(fā)；JRES SEE提供全面的服務(wù)監(jiān)控和運(yùn)維功能，確保系統(tǒng)穩(wěn)定運(yùn)行。

1.3.2 業(yè)務(wù)中臺(tái)

業(yè)務(wù)中臺(tái)是證券業(yè)管理的中心，分別由用戶中心、權(quán)益中心、支付中心、產(chǎn)品中心、通知中心組成。用戶中心定位于業(yè)務(wù)系統(tǒng)和分析系統(tǒng)的基礎(chǔ)數(shù)據(jù)服務(wù)系統(tǒng)，將散落在各種業(yè)務(wù)系統(tǒng)中的用戶信息數(shù)據(jù)以及外部各個(gè)渠道獲取的用戶數(shù)據(jù)，進(jìn)行中央登記，統(tǒng)一識(shí)別，為其他業(yè)務(wù)系統(tǒng)提供實(shí)時(shí)共享、完整一致、權(quán)威的用戶數(shù)據(jù)來源。

用戶中心建立起統(tǒng)一的用戶體系，實(shí)現(xiàn)跨中心的用戶運(yùn)營(yíng)，并提供諸如登錄注冊(cè)、賬號(hào)綁定、行為信息、信息共享、數(shù)據(jù)統(tǒng)一、安全風(fēng)控等功能。

權(quán)益中心定位為企業(yè)權(quán)益體系的集中統(tǒng)一管控平臺(tái)，主要由積分體系、會(huì)員成長(zhǎng)體系、卡券體系三大核心體系構(gòu)成。其功能主要包括中央統(tǒng)計(jì)、客戶識(shí)別、信息共享。通過權(quán)益中心能夠快速地對(duì)企業(yè)級(jí)客戶進(jìn)行集中的信息管理，對(duì)客戶形成全面了解，進(jìn)而為面向客戶的營(yíng)銷、服務(wù)、宣傳等提供助，從而實(shí)現(xiàn)權(quán)益管理的集中化、標(biāo)準(zhǔn)化，用戶運(yùn)營(yíng)的穩(wěn)定化，提升運(yùn)營(yíng)效率，提高用戶活躍度，增加用戶黏性，幫助企業(yè)塑造高效的客戶服務(wù)和管理模式，實(shí)現(xiàn)客戶精細(xì)化運(yùn)營(yíng)。

支付中心是一個(gè)資產(chǎn)管理中心，統(tǒng)一管理客戶資金以及資金渠道。主要目標(biāo)為統(tǒng)一進(jìn)出資金外部系統(tǒng)對(duì)接、統(tǒng)一資金管理、統(tǒng)一資金調(diào)撥、分離化的資金使用與資金管理。支付中心主要提供證券端發(fā)起的各項(xiàng)存管、轉(zhuǎn)賬業(yè)務(wù)和銀行端發(fā)起的轉(zhuǎn)賬業(yè)務(wù)，并提供證券端發(fā)起的各項(xiàng)轉(zhuǎn)賬業(yè)務(wù)的查詢。同時(shí)對(duì)于資金存取、現(xiàn)金存取、資金控制、資金調(diào)整、利息處理等進(jìn)行管理。

隨著券商資產(chǎn)規(guī)模的擴(kuò)大，傳統(tǒng)的產(chǎn)品管理較為分散，沒有形成統(tǒng)一的管理平臺(tái)，造成管理難度增大，風(fēng)險(xiǎn)增大，成本增加等問題。構(gòu)建統(tǒng)一的產(chǎn)品中心有助于對(duì)產(chǎn)品相關(guān)工作的進(jìn)一步提升。產(chǎn)品中心建設(shè)定位于規(guī)范產(chǎn)品要素、文檔、流程，以滿足相關(guān)部門協(xié)作需求，實(shí)現(xiàn)信息一體化，運(yùn)營(yíng)標(biāo)準(zhǔn)化，提高產(chǎn)品管理效率，同時(shí)引入適當(dāng)?shù)娘L(fēng)險(xiǎn)管控工具，提升風(fēng)險(xiǎn)量化水平。產(chǎn)品中心主要提供產(chǎn)品的基礎(chǔ)功能、產(chǎn)品管理、MOT管理、數(shù)據(jù)報(bào)表等。

通知中心是一個(gè)公共化組件模塊，它定位于各個(gè)業(yè)務(wù)系統(tǒng)的消息通知服務(wù)系統(tǒng)。它存在的目的是將各個(gè)業(yè)務(wù)系統(tǒng)所需要發(fā)送的消息數(shù)據(jù)通過短信、郵件等渠道準(zhǔn)確無誤地發(fā)送到用戶手里。通知中心提供統(tǒng)一的消息視圖和多種轉(zhuǎn)發(fā)通知方式，能夠定時(shí)發(fā)送和統(tǒng)一保存數(shù)據(jù)。

1.3.3 數(shù)據(jù)中臺(tái)

數(shù)據(jù)中臺(tái)規(guī)劃包括數(shù)據(jù)技術(shù)架構(gòu)、數(shù)據(jù)治理方法以及在此基礎(chǔ)之上形成的業(yè)務(wù)數(shù)倉(cāng)（分為用戶大數(shù)據(jù)、投研大數(shù)據(jù)）。用戶大數(shù)據(jù)是集合證券公司現(xiàn)有的各類應(yīng)用系統(tǒng)數(shù)據(jù)，加上外部數(shù)據(jù)補(bǔ)強(qiáng)，可以更好地理解用戶，更好地為運(yùn)營(yíng)系統(tǒng)提供分析及輔助決策，從而成為給業(yè)務(wù)價(jià)值補(bǔ)強(qiáng)中不可缺少的一部分。

數(shù)據(jù)中臺(tái)主要集成離線數(shù)據(jù)同步、離線數(shù)據(jù)計(jì)算、實(shí)時(shí)采集、實(shí)時(shí)計(jì)算等數(shù)據(jù)處理功能，通過調(diào)度任務(wù)、統(tǒng)籌數(shù)據(jù)加工過程，可以快速實(shí)現(xiàn)數(shù)據(jù)從業(yè)務(wù)向標(biāo)準(zhǔn)庫(kù)的轉(zhuǎn)換，提供計(jì)算引擎并負(fù)責(zé)統(tǒng)計(jì)計(jì)算，數(shù)據(jù)中臺(tái)架構(gòu)圖如圖3所示。

圖 3 數(shù)據(jù)中臺(tái)架構(gòu)圖

數(shù)據(jù)庫(kù)作為數(shù)據(jù)中心的核心，長(zhǎng)期以來受到國(guó)外企業(yè)的壟斷。數(shù)據(jù)庫(kù)自創(chuàng)建以來已經(jīng)過幾十年的演化過程，成了信息系統(tǒng)的重要組成部分，一個(gè)良好的數(shù)據(jù)庫(kù)系統(tǒng)能夠大幅地提高整體系統(tǒng)的性能。本文數(shù)據(jù)中心采用OceanBase數(shù)據(jù)庫(kù)作為數(shù)據(jù)中心的核心。OceanBase數(shù)據(jù)庫(kù)是螞蟻集團(tuán)公司自主研發(fā)的分布式數(shù)據(jù)庫(kù)，是螞蟻集團(tuán)公司擁有100%知識(shí)產(chǎn)權(quán)的分布式關(guān)系型數(shù)據(jù)庫(kù)，在系統(tǒng)主要功能方面不依賴外部或開源的代碼。OceanBase數(shù)據(jù)庫(kù)歷經(jīng)八年打磨，在金融核心交易系統(tǒng)場(chǎng)景下經(jīng)過了長(zhǎng)期驗(yàn)證。該數(shù)據(jù)庫(kù)為完全自主研發(fā)的原生分布式HTAP數(shù)據(jù)庫(kù)，可以有效屏蔽分布式的實(shí)現(xiàn)方式與客戶使用習(xí)慣之間的差異，對(duì)應(yīng)用和業(yè)務(wù)無侵入。通過基于Paxos協(xié)議的多副本技術(shù)實(shí)現(xiàn)了系統(tǒng)的高可用性，并且支持多得多中心分布式部署方式?；跍?zhǔn)靜態(tài)基線數(shù)據(jù)加上內(nèi)存增量數(shù)據(jù)的新一代分布式存儲(chǔ)架構(gòu)，可以有效提高系統(tǒng)的事務(wù)處理能力，同時(shí)采用基于自主研發(fā)分布式SQL引擎和優(yōu)化器來實(shí)現(xiàn)復(fù)雜查詢的高效執(zhí)行。

1.3.4 運(yùn)營(yíng)中臺(tái)

運(yùn)營(yíng)中臺(tái)是整合集中交易、融資融券、理財(cái)銷售、個(gè)股期權(quán)、場(chǎng)外股轉(zhuǎn)、CRM等系統(tǒng)的柜臺(tái)終端，并提供集中運(yùn)營(yíng)的管理，同時(shí)將用戶、賬戶、資金、中登等業(yè)務(wù)類型的柜面業(yè)務(wù)按照“受理/辦理分離”，“業(yè)務(wù)辦理以流程為中心”的建設(shè)思路進(jìn)行系統(tǒng)建設(shè)，為客戶提供一站式的業(yè)務(wù)辦理體驗(yàn)。

運(yùn)營(yíng)中臺(tái)主要提供業(yè)務(wù)流程驅(qū)動(dòng)、機(jī)構(gòu)核查模塊、自動(dòng)派單模塊、運(yùn)維監(jiān)控。業(yè)務(wù)流程系統(tǒng)按照輕型柜面的設(shè)計(jì)思路，把復(fù)雜的業(yè)務(wù)合并成單一的業(yè)務(wù)入口，通過業(yè)務(wù)規(guī)則和流程引擎來進(jìn)行引導(dǎo)、自動(dòng)編排和任務(wù)調(diào)度，降低了操作的難度，提高了辦理效率。機(jī)構(gòu)核查模塊根據(jù)機(jī)構(gòu)開戶數(shù)據(jù)自動(dòng)引入相關(guān)機(jī)構(gòu)信息并對(duì)其信息進(jìn)行自動(dòng)核查。自動(dòng)派單模塊提供順序策略派單任務(wù)調(diào)度功能，根據(jù)當(dāng)前的時(shí)間、機(jī)構(gòu)、員工、任務(wù)狀態(tài)來自動(dòng)分配派單。運(yùn)維監(jiān)控能夠自動(dòng)化地監(jiān)控整體運(yùn)營(yíng)中臺(tái)的運(yùn)營(yíng)情況并及時(shí)發(fā)出預(yù)警，運(yùn)營(yíng)中臺(tái)架構(gòu)圖如圖4所示。

圖 4 運(yùn)營(yíng)中臺(tái)架構(gòu)圖

1.4 系統(tǒng)總體安全設(shè)計(jì)

證券期貨業(yè)經(jīng)營(yíng)活動(dòng)要求業(yè)務(wù)系統(tǒng)必須穩(wěn)健可靠運(yùn)行，對(duì)高性能峰值業(yè)務(wù)處理、穩(wěn)定可靠運(yùn)行、復(fù)雜業(yè)務(wù)適配能力等多方面的技術(shù)要求非常苛刻，其信息系統(tǒng)從一開始就格外強(qiáng)調(diào)安全性和穩(wěn)定性。系統(tǒng)總體安全設(shè)計(jì)主要分為物理安全設(shè)計(jì)、通信安全設(shè)計(jì)、數(shù)據(jù)安全設(shè)計(jì)、軟件安全設(shè)計(jì)。

物理安全方面。物理設(shè)備安全是系統(tǒng)安全的前提。所有的硬件設(shè)備應(yīng)該滿足計(jì)算機(jī)場(chǎng)地站的安全要求，對(duì)于重要的信息存儲(chǔ)、消息收發(fā)進(jìn)行屏蔽處理，還需要對(duì)硬件進(jìn)行冗余備份。

通訊安全方面。減少與外部系統(tǒng)的連接，放置國(guó)產(chǎn)防火墻，防止來自外部的攻擊，并在需要時(shí)與外部系統(tǒng)建立VPN。使用網(wǎng)關(guān)和防火墻阻止外部的惡意攻擊。采用國(guó)產(chǎn)硬件防火墻，關(guān)閉UNIX上用于遠(yuǎn)程登錄的服務(wù)端口。同時(shí)由于證券業(yè)系統(tǒng)通訊過程中涉及很多資金、交易、商業(yè)機(jī)密、國(guó)家機(jī)密、個(gè)人用戶信息等敏感數(shù)據(jù)，需要在數(shù)據(jù)傳輸過程中對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格加密。在通訊層屏蔽不必要的網(wǎng)絡(luò)協(xié)議，利用密碼算法對(duì)數(shù)據(jù)進(jìn)行添加解密操作，針對(duì)聯(lián)機(jī)交易使用專門的安全控制措施如MAC控制、PIN控制等。

數(shù)據(jù)安全方面。定期對(duì)重要數(shù)據(jù)進(jìn)行備份，將相關(guān)人員對(duì)于操作系統(tǒng)和數(shù)據(jù)庫(kù)的權(quán)限最小化。同時(shí)利用操作系統(tǒng)對(duì)用戶的權(quán)限進(jìn)行合理規(guī)范，并結(jié)合數(shù)據(jù)庫(kù)的權(quán)限管理和加密來限定用戶的訪問。業(yè)務(wù)系統(tǒng)只能通過中間件對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理，實(shí)現(xiàn)應(yīng)用層和數(shù)據(jù)層的分離，減少由于用戶原因?qū)е碌腻e(cuò)誤，同時(shí)提供豐富的日志記錄，幫助定位系統(tǒng)故障。

軟件安全方面。軟件安全側(cè)重保護(hù)計(jì)算機(jī)系統(tǒng)上運(yùn)行的應(yīng)用程序所提供的信息和資源。系統(tǒng)需要安裝企業(yè)級(jí)殺毒軟件，定期對(duì)系統(tǒng)磁盤進(jìn)行掃描，及時(shí)更新病毒資源庫(kù)，減少受病毒感染的可能性。同時(shí)，及時(shí)對(duì)系統(tǒng)進(jìn)行補(bǔ)丁施打，及時(shí)對(duì)系統(tǒng)軟件和應(yīng)用軟件進(jìn)行升級(jí)，降低漏洞暴露風(fēng)險(xiǎn)，對(duì)開發(fā)或部署不安全軟件進(jìn)行檢查，確認(rèn)文件來源及其安全性，及時(shí)關(guān)閉相關(guān)無用文件的訪問權(quán)限和不必要的訪問端口，對(duì)不明端口進(jìn)行防火墻阻斷，避免面臨各種安全風(fēng)險(xiǎn)。

2 總結(jié)

本文提出的基于國(guó)產(chǎn)化軟硬件的證券業(yè)信息系統(tǒng)的設(shè)計(jì)方案，旨在提高證券業(yè)信息化系統(tǒng)的安全性、穩(wěn)定性、可靠性。本文的設(shè)計(jì)分別從兩個(gè)主要方面提升證券業(yè)信息系統(tǒng)的國(guó)產(chǎn)化率，分別為國(guó)產(chǎn)化軟硬件的選用及面向證券業(yè)的信息系統(tǒng)應(yīng)用策略。軟硬件方面，國(guó)產(chǎn)化硬件系統(tǒng)主要由TaiShan服務(wù)器和鯤鵬處理器作為支持，為硬件系統(tǒng)提供國(guó)產(chǎn)化核心軀干和大腦。國(guó)產(chǎn)化操作的支持系統(tǒng)主要由飛天云操作系統(tǒng)及麒麟操作系統(tǒng)組成。飛天系統(tǒng)提供了穩(wěn)定的集群管理和冗余機(jī)制，麒麟操作系統(tǒng)為用戶提供了友善的交互系統(tǒng)。信息系統(tǒng)應(yīng)用策略方面，設(shè)計(jì)了證券業(yè)大中臺(tái)設(shè)計(jì)，將應(yīng)用系統(tǒng)分為四個(gè)中臺(tái)，對(duì)中臺(tái)的核心部分采用國(guó)產(chǎn)化軟件，最后探討了證券業(yè)信息系統(tǒng)的安全措施，以此提升證券業(yè)信息系統(tǒng)的國(guó)產(chǎn)化和安全性水平。