广西证券网站及网上交易系统工程.doc

广西证券Internet证券网站（及网上交易系统）实施方案广西证券网站及网上交易系统工程解决方案目录前 言2（一）网络证券的现状及发展方向2（二）广西证券网站（及网上交易系统）工程的背景5一系统需求分析6（一）建设目的6（二）总体设计目标6（三）技术指标综合要求81. 网上实时行情的需求82. 网上证券交易的模式及需求93. 系统及数据安全10（四）建设原则错误！未定义书签。1统一规划原则错误！未定义书签。2标准化、规范化原则错误！未定义书签。3系统工程原则错误！未定义书签。4分期实施、逐步完善原则错误！未定义书签。二系统总体设计12（一）系统设计原则121可行性原则122适应性原则123先进性原则124标准性原则125安全性及保密性原则136人机结合原则13（二）设计的依据13（三）系统工作流程介绍14（四）系统架构151. 系统整体架构机制错误！未定义书签。2. 系统高层架构163. 功能结构28（五）软件架构331. 分层架构342. 用户界面架构36（六）数据安全架构371安全协议通讯及访问控制机制382身份认证（CA认证）383. 网络反病毒424. 防火墙435. 虚拟私有网络(VPN)436. 串/并口通信安全隔离机制44（七）硬件体系和网络架构44三技术路线的分析与确定44(一)主机系统441主机选型原则452流行主机型谱473WEB服务器主机选型524应用服务器主机选型52(二)数据库系统661数据库管理系统选型原则672数据库选择68(三)操作系统721网络操作系统选型原则722典型网络操作系统733操作系统的选择78(四)网络平台791网络设计原则792主要网络平台技术分析183网站系统平台设计80(五)数据仓库871完整的数据仓库体系结构882数据仓库实现88（1）数据的建模和访问88（2）数据的挖掘89（3）决策分析和信息展现893数据分析软件90(六)系统灾难备份、安全性分析961安全性962灾难备份983灾难恢复994IBM AS/400高可靠性解决方案100四系统实施步骤102（一）项目实施策略102（二）实施步骤102五公司简况104（一）公司简介104（二）投标单位财务状况105（三）技术能力105（四）公司典型工程实例和相关经验106前 言（一）网络证券的现状及发展方向毫无疑问，网络在改变着一切。数字化的金手指勾画着人类文明的新殿堂，互联网的魔法杖营造起每个人的新生活。从人际沟通到了知天下，从休闲娱乐到商务理财，从普通个人到整个国家社会，所有的一切都在变成一张无所不包、无所不容的神奇大网，以前所未有的爆炸式速度席卷天下，浩荡而来。互联网的神奇力量正改变着社会经济的运行规则与节奏，它所具备的打破时空界限、信息海量传递、用户互动交流的独特魅力，创造出了一个又一个财富神话。以网络技术为核心基础的电子商务，已然成为各行各业不可阻挡的时代大潮，在最广泛的领域与最深入的层面上，重新定义、塑造着商业活动的根本内涵与存在形态。作为社会经济发展的晴雨表与资本市场的起搏器，证券业在为网络经济的兴起输血加油的同时，它本身也成为电子商务实践的急先锋。似乎还没有哪个行业能像证券这样得天独厚地与互联网“天生媲配”。一方面，证券业本身所具备的业务实时性、客户分散性的特点，就需要互联网这种高效率、低成本的运行平台；另一方面，证券业是以信息流与资金流为主体的商业活动，很早就实现了无字化，不存在物流配送的难关。无论是国外还是国内，证券业都比其它传统行业有着好得多的信息化设施体系，为开展电子商务打下了良好的基础。一旦证券业插上了网络的双翼，它就会显现出前所未有的活力。与电话委托这些传统手段相比，网上证券不受时间空间的限制，投资者可以在任何时间、任何地点上网交易。对证券商而言，这意味着客户的数量是可以相对无限增加的，相当于增设虚拟大户室，从而能大大降低交易成本。同时，网络证券能为客户提供信息咨询、专家指导、互动社区等极其丰富的增值服务，并借助于不同形式的网络终端如PC、手机等，实现多元化的立体服务。信息技术以其无可比拟的优势，必将成为各行业的新的契机。而网络金融被证明是目前互联网经济最为成功的领域。如果有什么东西可以完全虚拟化，那就是“钱”。金钱本身是一种信用的度量，当然不一定只能以钞票的形式存在。离线证券业务向在线的转移也是大势所趋。利用因特网的信息资源和方便、快捷和直观等特点，通过接入因特网实现的数字化证券交易，它与传统方式的最大区别就是借助因特网的实时信息传播手段，来完成报单、查询、转账、交割等投资操作，其核心是客户能够在网上实现投资委托业务并开展个性化服务。中国证监会主席周小川近日表示积极支持网上证券交易的发展， 而在此之前，证监会已公布了网上证券委托管理暂行办法。到目前为止，有近100家证券营业部开展了网上业务，投资开户数约25万户，主要通过互联网交易的客户约1万人，大约1%的股票交易通过网上完成，而通过互联网查看证券资讯的客户则高达50万人以上。据预计2003年中国将会有超过1000万人使用在线证券服务，其中在线交易的开户数将达到120万户，交易额占总体市场交易总额的5%，平均年增长超过230%。种种迹象表明，国内的证券交易电子商务条件已基本具备。面对呈几何级数增长的网民，各大证券公司自然不能坐视，网上交易已成为券商的必争之地。如青海证券的数码证券网，国通的牛网，上海的易富网，北京的鑫牛证券网、中国证券网、海融资讯网等等。由于占有了不同的资源，都各具特色，有自己独特的竞争力。这里还不包括正准备进入圈子角逐的各大券商和其他非券商投资者。其中，闽发证券1999年开户数达7000户，网上交易量突破33亿元，网上经纪占其经济总量的30%。青海证券的网上交易自4月份开通以来，到现在两个月的时间里，网上新开户数达17001800户。青海证券公司总经理钟晓健说:“如果走到客户中间去，就会发现客户对网上交易不是没有需求，市场的迫切程度比想像的要高。”中国加入WTO之后，中国金融业不可避免地要面对来自国际金融服务巨擘的有力挑战。国际金融服务商们介入中国市场的方式和途径，很可能是借助高新技术所带来的低成本优势，形成对中国金融企业的竞争压力。国内一些券商已经意识到了这种威胁，并开始建立网上证券交易平台。怡海公司愿将自身的技术优势和电子商务经验与广西证券的行业优势相结合，尽早建立“网上虚拟营业部”，节省大量建设营业部和维持其运营的成本，加快发展网上证券经纪业务，抢在国际金融服务商介入之前占领国内的网上证券交易市场。（二）广西证券网站（及网上交易系统）工程的背景广西证券有限公司现阶段组织形式为：公司总部区内营业部9家区外营业部4家深圳1家上海2家北京1家其中南宁2家其中各营业部为独立的法人，公司总部负责统一的协调、宣传。各营业部有自己的内部网和对深圳、上海证交所的卫星信道来完成委托交易和提供实时股市行情信息服务。 为了加强公司总部的控制、提高管理效益、提高综合业务的整体素质，使广西证券作为一个整体面向市场，提高广西证券在市场中的形象和地位，并通过发展经纪业务来引入公司新的、重要的利润增长点，由此需要在总部建立一个Internet证券综合网站，提供网上证券交易，网上实时行情，提供投资者各项资讯服务。一功能需求分析（一） 网站主要功能总部管理Web平台，负责资讯发布、网上证券、网上实时行情分析等目前券商网站所具有的基本内容。1、网上实时行情服务：提供Windows9x/2000/NT平台下的钱龙风格的实时证券行情，照顾用户看盘和操作习惯，全面支持钱龙小键盘功能，使用户全无陌生感。客户通过支持JAVA版浏览器、或者专用的客户端工具上网看实时行情。证券行情系统准确、快速、易用，可以利用网上行情系统替代专业大户室。2、网上交易委托服务：网上交易主要包含委托、查询、后台转发等模块。 网上交易采用总部交易转发模式，具体解释如下：总部和各营业点建立好自己的Intranet网络， 总部与互联网相连，各营业部网上交易数据通过串（并）行接口，经过总部数据路由转发至总部网络，总部将数据通过安全数据路由发布到托管数据库服务器上；当投资者进行网上交易时，交易数据通过互联网传入总部，根据内部网数据路由通过串（并）行接口转发至投资者开户交易营业部。现阶段客户通过浏览器接入总部WEB页进行网上交易委托，后期在技术和市场成熟的前提下，适时增加如PDA、移动电话、宽带接入等交易手段的平滑接入。3、资讯服务：主要从整体建造广西证券形象，发布股市资讯、行业动态、投资资讯，以及其他各种资讯。信息资讯须全面和完整，提供固定信息源的自动传送、编辑、入库功能，自动方便地增加每日的财经资料和各个上市公司的公告信息。为用户提供财经论坛，供用户发表个人观点或参加讨论，并提供面向经纪人的个人广告服务。4、客户管理服务(CRM)：（二） 网站技术指标综合要求1、安全性要求：a、交易数据采用大于1024位的RSA非对称加密算法，满足128位SSL3.0协议或SET协议，b、提供CA认证，确保客户身份的真实性，且证书兼容各个证书认证中心。c、采用串并口，物理上将WEB数据与总公司内部交易服务系统分开，d、总部网站与景象网站必须建立可靠的数据同步系统。e、完善的系统安全、数据备份和故障恢复手段。2、性能要求： a、 支持4-8万笔/天交易。 b、交易委托下单速度明显快于电话委托下单速度（7笔/分钟）。 c、后期在无营业网点建立景象站点。3、扩展性要求： a、系统模块的独立性和易维护性：系统各功能模块相互独立，可以按照配置来添加删除功能和进行维护。b、与营业部交易柜台接口的通用性，随时可增减营业部的接入。c、系统应至少提供两种版本：基于浏览器的JAVA版和专用客户端两个版本，不同版本的外观和操作应相同，并考虑专用客户端软件升级时的简易性。应提供客户端网络版软件，可支持网吧或远程大户室。d、客户端软件应既能支持网上委托，也支持电话拨号委托。e、可扩展性：保证各营业部的全面接入，并能实现新的证券经纪业务和增值业务服务。保证系统具有大容量的客户接入服务能力和系统性能的扩展性。f、系统必须保证维护和管理的简单性和可操作性，能根据公司发展的需要随时调整网站风格突出重点。 g、证券网络、行情系统、网上交易系统的各项业务技术指标，要按照目前13家营业部，近期增至25家左右营业部的业务规模来确定。要求分步实施，留足余地。（三）技术指标综合要求本系统需具备良好的性能和可靠性，项目完成后的主要技术、质量指标将达到：l 网站首页设计须新颖独特、主题鲜明，突出广西证券的企业形象（CI）。l 总部网站与镜像网站之间必须建立可靠的数据同步系统。l 交易安全指标：大于1024位的RSA非对称加密算法、满足128位SSL3.0协议或SET协议，或采取能达到上述安全指标的其他加密方式。l 安全认证方面：由开发商提供CA认证，并兼容各个证书认证中心。l 采用串（并）口通信，以物理隔离互联网和公司内部交易服务系统，确保证券公司内部网络的安全。1. 网上实时行情的需求证券交易实时行情的网上发布系统是客户从事网上交易的必备工具，行情系统的需求包括以下几点：l 提供Windows9X/2000/NT操作系统下的钱龙风格的专业版行情分析系统。l 客户端提供纯浏览器方式下的行情分析系统，无需下载任何软件，操作简单方便。l 客户端提供浏览器下JAVA版行情分析系统。l 系统结构：能够支持钱龙软件的系统结构，可以直接读取龙数据显示各种图表和曲线，目录和文件格式同钱龙基本一致。以上各版本的行情分析系统均应提供实时走势、历史走势、各种技术指标分析图形、个股基本资料分析等功能。2. 网上证券交易的模式及需求（1）交易模式广西证券网上交易采用总部交易转发模式，具体解释如下：广西证券正在进行公司内部INTRANET网络的建设，并已基本完成，为总部转发交易模式提供了的前提条件。总部交易转发模式是公司总部与公网相连，各营业部网上交易数据通过总部数据路由和公司内部INTRANET网络转发，便于总部统一管理、风险监控。采用总部交易转发模式，当投资者在进行网上交易时，交易数据通过公网传至公司总部，由公司总部数据路由转发至投资者开户交易营业部。（2）基本需求 高度的安全性：采用加密技术、串（并）口隔离技术、CA认证、效验、实时监控系统等措施保证网上交易的安全性。 系统应具备完善的系统安全、数据备份和故障恢复手段。 系统负载指标：系统每日能够承受的足够大笔数网上交易委托。 交易的高效性：交易委托下单速度明显快于电话委托下单速度。 系统模块的独立性和易维护性：系统各功能模块相互独立，可以按照配置来添加删除功能和进行维护。 与营业部交易柜台接口的通用性。 系统应至少提供两种版本：基于浏览器的JAVA版和专用客户端两个版本，不同版本的外观和操作应相同，并考虑专用客户端软件升级时的简易性。 客户端软件应既能支持网上委托，也支持电话拨号委托。 应提供客户端网络版软件，可支持网吧或远程大户室。3. 系统及数据安全采用多种手段确保网上交易的安全性，主要包含以下方面： 安全协议：确保客户端和交易服务器间交易数据传递通道的保密性和完整性。 数据加密：确保交易数据的安全性，交易数据在公用网、ISP等处须保证加密且不落地传输、 CA认证：确保交易双方身份的不可抵赖性，由开发商提供CA认证。 网络隔离：营业部内部网络和外部公网彻底隔离，确保营业部内部网络不会遭受外部网络黑客的攻击。 异常交易的风险控制和报警。 采用国家权威安全测评中心认可的产品。二系统总体设计（一）系统设计原则1可行性原则 系统建设要以满足广西证券网上综合业务需求为首要目标，建设方案以广西证券的可接受能力为尺度，避免不计成本地盲目追求最新技术，系统要保证技术的可靠性和经济的可行性。计算机系统、通讯网络系统、数据设计，在技术上必须是成熟的，实践检验是成功的，经济上是可能实现的。2适应性原则 系统要保证可扩充性、可维护性。系统软硬件都应留有扩充升级的接口；系统要便于维护，系统对用户的需求发展有较强的适应能力。3先进性原则 在实用可靠的前提下，尽可能跟踪国内外先进的计算机软硬件技术、信息技术及网络通信技术，使系统具有较高的性能价格比。采用先进的体系结构和技术发展的主流产品，保证整个系统高效运行。4标准性原则 系统采用统一的网上证券管理信息数据项、信息分类编码标准、数据及文件格式、网络通讯规格、通讯接口。计算机硬件及软件都要遵守有关国家标准、专业标准、软件文档规范及证监会的有关管理规定。5安全性及保密性原则 管理信息系统是一个紧密联系的中枢系统，如果哪一个环节出问题，将会导致整个管理系统混乱，后果不堪设想，因此必须保证信息的安全，有较好的数据安全措施，有较强的数据备份和系统恢复功能。加强对要充分考虑数据的保密措施，各种数据必须受到严格控制，防止非正常渠道的提取、修改。管理系统的数据库必须分层次和级别，保证数据库在各种级别保密程度上的查询访问，防止信息被任意查询和破坏，对各种各样的计算机病毒，系统都应具有高度的免疫力。6人机结合原则人工信息收集系统与计算机管理信息系统要紧密结合。完整、准确、及时的信息是信息系统运行的基础。计算机系统是提供信息处理及辅助决策的技术手段，人工系统与计算机系统要有机地结合，友好的人机界面是系统设计的重要原则之一。（二）设计的依据 本系统是参照中国证监会已公布的网上证券委托管理暂行办法以及最新版本的行业技术规范和有关国家标准来进行设计的。（三）系统工作流程介绍 对广西证券业务过程进行分析，是广西证券Internet网站（及网上交易）建设重要的一步，只有在对业务需求分析透彻的基础上才有可能规范和优化业务流程，并在其中融入先进的管理模式和业务处理模式，建立广西证券网上综合业务管理模型，在此基础上才能构建系统的功能模型和信息模型，才能最后确定系统的体系结构和实现方法。网上综合证券服务平台业务模型图（如下图）： 广西证券业务系统分析的最终目标是优化业务系统。因此，在业务分析中必须从满足优化广西证券业务管理的需求和信息化管理的需求出发，以先进的管理思想和管理模式来重构广西证券业务体系，以保证广西证券管理规范化、信息共享化、决策科学化。（四）系统整体架构设计根据广西证券公司的需求，其Internet网站及网上交易系统架构必须具备下列机制：- 多层体系结构平衡不同用户对性能、可伸缩性、冗余的要求。- 高可用性提供可靠的、不间断的、快速的服务。- 事务性确保在交易参与者之间以及与服务提供者之间可靠的消息传递、事务完整性。- 开放允许随时接入新的营业机构、容易提供对新的交易手段（PDA、移动电话、双向寻呼机）的支持。- 瘦客户支持不同基于带宽用户通过网络对本系统的访问效率。- Persistent当交易参与者在本网站上使用交易服务时支持并记录相关的信息。- 安全确保系统用户是经过认证、审核的，并且重要数据和交易活动必须得到保护。- 面向工作流支持证券交易过程规则的实现。- 协作性在交易过程中，确保交易参与者各方以及服务提供者之间的协同工作。- 高效、可靠的数据库支持对大量数据的快速、灵活的检索，可靠的数据保存机制。1. 主机系统2. 网络架构本网络系统是一个大型复杂的计算机网络Web应用系统，这个系统是跨省、市、县的大型网络。通过前面的分析知道，本网站系统具有采用分布式计算和管理的应用需求，因此我们把它分成两大部分，即网络平台，网络系统管理软件来进行设计。这种体系结构为复杂的分布式应用提供了一个统一的环境。网络平台和网管软件是网络结构的重要部分。网络平台：包括两大部分，一是网络物理层，它构成了广西证券Internet网站系统的最底层，包括传送信息的物理载体（如通讯线路、局域网传输介质等）、交换设备、路由器、集线器、网卡以及计算机硬件设备如各类主机、服务器、客户计算机等；信息网络平台的第二大组成部分是网络协议，要求采用标准的、具有开放性的网络协议，以实现异构网络间互联。网络管理软件：主要是为实现广西证券Internet网站系统的分布式计算与管理，提供一个全面的、独立于应用软件平台的编程接口（API）。它可提供基本的服务（通信服务、系统管理等）、安全服务和目录服务。这一层还必须对网络协议和安全资源进行管理、为网络安全和主要管理系统奠定基础。在这种分布式计算体系结构中，某些基本服务由平台的操作系统和传输系统完成。（1）网络设计原则广西证券网站网络结构必须支持数据库应用、股票交易应用，必须支持流动的INTERNET应用，必须能够提供安全的、可管理的INTERNET接入能力，将来也可能支持语音电话功能，为用户提供安全方便的通讯和信息服务。网络系统要能提供网络系统控制、评估和扩展等手段，从而以合理的代价，组织和利用系统资源，提供安全、可靠、有效、充分、用户友好的服务。 为了满足网站对网络的要求，针对系统的业务特点及目前主干通讯网的实际情况，在系统网络的构架中应遵循以下原则： 可用性原则。可为客户提供不间断的服务，网络具有很高的可用性；同时，对客户的请求能够作出快速的响应。 开放性和标准化原则。网络系统的设计需遵照国际标准（如ISO、CCITT、IEEE）、国家标准、工业标准（如TCP/IP等），走标准化的道路。 安全性和可靠性原则。资料安全性和保密非常重要，在设计网络时，除了应考虑各种外界干扰外，还要在各环节提供安全措施，如划分虚拟网，对用户设置访问权限等。同时，保证网络的高可靠性同样是非常重要的，要采用冗余路由和备份设备，对网络进行实时监控，便于及时排除故障，确保网络的可靠运行。 网络的可监控性和可管理性原则。要选择较好的网络管理和监控系统，确保网络的透明管理，并且能不断地优化网络。 投资保护性原则。对原有的计算机设备、通信设备、线路，各种应用软件和技术及学术资料能有效地加以利用，保护原来的投资。 面向高速化和宽带需求原则。随着网络服务由单一的文本应用迅速向文本、语音、图形、视图综合服务发展，网络向高速化和宽带发展的需求日趋强烈，如高速LAN，交换LAN，ATM技术等。综合网络的设计要综合考虑这些因素，尽可能采用最新成果，充分考虑向新技术迁移的可能方案。（2）主要网络平台技术分析 网络作为连接各用户终端的桥梁，是近几年来发展最快的信息技术之一。下面将简单简介目前主要的几种网络技术。1骨干网络技术 以客户机/服务器为模式的分布式计算结构使网络成为信息处理的中枢神经；同时CPU和总线的处理速度也不断提高，所有这些都对网络带宽提出了更高的要求，这种需求促进了网络技术的繁荣和飞速发展。现存主要的局域网技术有10BASE-2、10BASE、10BASE-T（10M）、Fast Ethernet（100M）、Gigabit Ethernet（1000M）、Token Ring（16M）、FDDI（100M）、ATM。下面是几种主要骨干网络的技术特征。以太网 以太网基于冲突检测（CSMA/CD）协议，共享介质且共享10Mbps的频宽。10BASE2、10BASE5是最早期的总线的局域网技术，速度慢、可靠性低、使用不便、规模有限，适合于非常小的单位，很少的网点，但价格较便宜。快速以太网 快速以太网络技术是传统以太网的改良技术，它们的共性是共享带宽，未能充分发挥其性能，因而实际上没有真正利用100MB带宽，不能实现网络数据的高效传输。 100MB以太网现有两种标准100Base-T和100VG-AnyLAN，两者之间互不兼容 ，为用户的选择带来困难。100VG-AnyLAN提供带宽管理，需采用新的网管工具来管理。100Base-T保留了以太网的MAC和CSMA/CD方案，但这种技术只有210m的网络布线范围。 100Base-T网 快速以太网联盟认为：100Base-T是传统以太网（100Base-T）的真正继承者，100Base-T保留了大多数10Base-T的布线规则和CSMA/CD媒质访问方式，具有以下特色： 从传统100Base-T以太网的升级较容易，投资少，与现有100Base-T网的集成也很简单。 工业支持较强，竞争激烈，使产品价格相对较低。安装和配置简单，现有的管理工具依然可用。 100VG-AnyLAN网 由包括HP、AT&T在内的厂商开发的该协协议具有下述特点： 同时支持802.3和802.5两种标准的帧格式。 采用需求优先访问模式，可通过减少或消除碰撞和再传递而增加有效带宽。 在传输请求中识别优先级，在一定程度上支持多媒体实时应用。FDDI FDDI在100Mbps传输技术上最成熟、但其销量增长最平缓。在中国没有形成主流，在国外也减缓了发展速度。FDDI（100M）适合作网络骨干，但它的性能价格比较低。ATM ATM（异步传输模式）是为满足宽带综合业务数据（B-ISDN）通信需要而发展起来的一门新技术，是一种寻址特殊的分组通信方式，它包括异步时分复用和快速分组交换两种新技术。千兆位以太网千兆以太网技术比ATM晚了4年，目前，与ATM论坛相比，可以说它仍然是个局域网技术，不同的仅仅是增加了带宽，ATM则跨越了从局域网到广域网，而且无需在传输以太网到帧中继或ATM之间进行中继转换。2广域网技术路由与交换技术 早期的局域网局限在很有限的地理范围内，网桥和路由器的出现，使得单位内部的多个物理局域网可以连接起来，这样，一个LAN上的设备就能够和其他LAN上的设备通讯、路由器可以识别那些未标识为本地LAN节点地址的信息，并解释其中的地址，然后将信息转发给和目的站点相连的路由器，减少广播的数量和大小。在有必要为多个LAN建立连接时，需要先连接到广域网，这是由路由器来完成的。它是局域网和广域网间进行互联间进行互联的关键设备，通常的路由器具有负载平衡、阻止广播风暴、控制流量及提高系统容错能力等技术。 由于路由是基于软件方式实现数据的转发，因此其效率的损失是可想而知的，对于一般的小规模的数据业务，路由器能胜任，但对于发展日趋增大的高质量数据业务，如实时性要求的增长加大了对带宽的需求，路由器的“分组转发”处理模式不可能有效地提供更高的带宽，基于这些原因，传统的高度集中的路由器将不能处理发展越来越快的数据业务。 交换技术则为终端用户提供了专用的带宽，这不仅使每一个用户得到的带宽大大提高，并且使对时间延迟到求颇高的多媒体应用成为现实。此外，在现有网络的基础上应用以太网交换技术，其花费不大，也没有技术难点。而且以太网交换器还可以以高带宽的方式连接到ATM上。这种使用交换技术的网络，可以在现有的网络物理连接的基础上建立一种逻辑的连接方式。这些虚拟的结构大大改变了路由器在企业网中的作用。以前大多数的骨干网络传输都通过“分组转发”来实现在，这样将会导致拥挤和时滞，而且给管理和维护网络带来很大的复杂性。虚拟的以太网可以使路由器的功能从网络中心移到外围网中。通信方式1）通信方式介绍广西证券总部通过租用邮局的线路将各下属营业部及其机构联系起来，根据各营业部的具体情况，将常用的几种通信方式进行简要分析对比：X.25分组交换网分组交换采用存储/转发交换技术，分组是交换处理和传送的对象。其原理为：先将发信终端发送的数据分成固定长度的分组，然后在网络中经各分组交换机通级”存储/转发”，最终到达收信终端。ISDN 综合业务数字网ISDN 综合业务数字网是一种由数字交换机和数字信道组成，传输数字信号的综合业务网，ISDN能提供语音、图象、数据等多项业务。ISDN特点如下： 通信业务综合性在一条用户线上ISDN能够提供各种通信业务。例如电话、数据、可视图文、可视电话、传真、语音信箱等。ISDN能综合现有各种公用网的业务，并可提供许多新业务。 通信质量高由于用户终端之间的信道全是数字化的，不仅信道传输质量高于模拟信道，而且能使用纠错编码技术来提高传输质量。 安装方便性ISDN为用户很好的解决了连接问题，它提供标准接口，用户只需一条电话线、一个ISDN号码、一台ISDN标准接口的终端适配器（ISDN TA），就能将各种终端设备（包括现有的模拟设备，如普通电话机、传真机等）连接到ISDN TA 上，保护用户投资。PSTN 公用电话网利用现有的电话线路进行通信传输，其特点如下： 只能传递模拟信号 传输质量没有保证 传输速率受到限制DDN数字数据网 DDN是一种采用数字信道提供永久或半永久性电路来传输数据通信业务的数字数据网。DDN采用了数据通信、数字通信、数字交叉连接、宽带通信技术。DDN可提供专用的数字数据传输，用户可使用DDN建立自己的专用数据网。DDN特点： DDN 不是交换网、不具备数据交换功能，只提供专线。 DDN是一种同步数据传输网，要求全网的时钟系统保持同步。 DDN是一种较高传输速率的网络，网络延时小。 DDN可提供专业线路、帧中继等多种连接方式。通信方式对比 通过对四种通信方式分析，得出性能对比表：传输速率传输延时传输质量记费方式公用电话网最大56KB/S无一般按通信时间计算ISDN每信道64KB/S无可靠按通信时间计算X.2564KB/S有比较可靠按通信量计DDN64KB/S无非常可靠包月制由上表可看出： 传输速率采用普通电话线路方式的传输速率最低，且没有扩展余地，采用其他通信方式传输速率较高； 传输延时 采用X.25存在一定的传输延时，不适宜用于证券网站系统这类实时性强，传输量大的场合； 传输质量采用普通电话线路方式的传输质量得不到保证，采用X.25、DDN专线能够保证传输质量； 通信费用在这里有必要对四种通信方式的费用具体计算对比分析（以单条通信线路每年费用计算为例）：基本信费月通信费年通信费电话网0.2元/3分钟180021600ISDN (单信道）0.2元/3分钟180021600X.2588010560DDN168020160由上表可以看出，采用X.25 通信费用最低，采用DDN方式其次，采用普通电话及ISDN方式通信费用最高。由于X.25不适宜实时通信方式，因此选用DDN方式通信费用最低。l 通信方式选择在对四种通信方式进行了基本性能对比之后，我们选择DDN作为网站的主要通信线路，选择ISDN作为备用通信线路。l 选择DDN专线的优势 使用DDN建设专用网能大量节省建网投资，大大减轻用户维护管理费用。 DDN能提供安全可靠的通信线路。（3）网络协议 建议网站采用国际标准的通信协议，如：TCP/IP等。 内部路由协议采用OSPF协议，从而在网络任何一条链路出现故障的时候均可实现路由的迅速更新，保证全网任一节点的畅通无阻。由于OSPF协议支持无级域间动态路由地址（CIDR）和可变长子网掩码技术（VLSM），因此符合目前国际最新标准的要求以及与China NET骨干网的联网要求，保证了网络的标准化和先进性。我们用以下图为例对网站的网络结构进行简单的描述。图：网络系统拓扑结构3. 软件平台及应用拓扑根据上述系统架构机制，建议系统采用如下图所示的体系结构。该架构可以完全根据需要进行复制提供冗余能力。3. 功能结构 根据广西证券的业务内容和使用对象的不同，并考虑到网上证券业务的发展需要。可将广西证券Internet网站（及网上交易）系统大致分为如下三部分：（1） 网上实时行情系统证券交易实时行情的网上发布系统是客户从事网上交易的必备工具，行情系统包括以下几点：l 提供Windows9X/2000/NT操作系统下的钱龙风格的专业版行情分析系统，照顾用户使用习惯，全面支持钱龙小键盘功能，使用户全无陌生感。该版本具有速度快、操作方便等特点，特别适合于专业股民使用。l 提供纯浏览器下的简易版行情分析系统，该版本无须下载任何软件，适用于掌上电脑、机顶盒等专用设备浏览行情。l 提供流览器下的JAVA版行情分析系统，该版本适合于较专业化的网上用户使用。l 全天24小时行情提供。l 系统结构：能够支持钱龙软件的系统结构，可以直接读取钱龙数据显示各种图表和曲线，目录和文件格式同钱龙基本一致。以上各版本的行情分析系统均应提供实时走势、历史走势、各种技术指标分析图形、个股基本资料分析等功能。（2） 网上交易系统主要包含交易处理、委托、查询、统计、后台转发等子模块。提供基于浏览器的JAVA版和专用客户端两个版本，并且客户端软件既能支持网上委托，也支持电话拨号委托。提供以下基本功能：l 买入/卖出股票（同时显示行情）l 实时成交l 查询资金/股票l 委托查询/撤消委托l 修改密码提供以下特殊功能：l 多用户、多帐号的批量买卖/撤单l 多品种交易：包括A股、B股、基金、债券、回购、新股、配股等l 银证转帐（可由证券端或银行端发起）l 经纪人佣金结算l 交易转发：1、为证券公司总部提供总部模式下的交易转发 功能；2、为ISP/ICP的网上交易中间业务平台提供交易转发功能；3、为声讯电话委托提供交易转发功能。l 交易统计：统计各下属营业部或公司网上交易总成交量。（3） 资讯服务系统包含股市资讯、信息发布、综合证券回报、投资资讯、BBS论坛等子模块。股市资讯模块提供以下功能：l 上市公司基本情况：公司所属行业、地址、营业范围、法人代表、咨询电话、传真、网址，以及重要财务数据等一目了然。l 分红送股能力分析：提供分配潜力分析、最近一次分配情况等，以便投资者对该公司的送配力度有明确理解。l 公司发行情况：包括公司主承销商、配股主承销商、发行价格、是否发行B股、上市日期等数据资料。l 历年财务指标和利润构成：通过财务指标和利润构成的历年列表，使投资者直观了解到该公司的财务状况和历史对比情况。l 公司简介：对该上市公司的历史和现状进行介绍，方便投资者全面了解该公司的沿革变迁。l 价格与成交量：以昨日收盘价为基础，将公司的市盈率、市净率以及换手率、流通市值等重要数据指标进行汇总。l 主要股东：列表显示该公司十大股东的名称。l 持股量和持股比例、股本结构：按流通情况对公司全部股本中的国家股、法人股、A股、H股、B股的数量和比例列表显示。l 分红配股情况：为方便投资者还权，列出该公司历次分红派息配股记录。l 公司大事记：全面记录上市公司所有内外大事，包括业务回顾和业务展望，以及有关该公司的重要报道、评述和分析。l 财务评述：根据上市公司的基本财务数据，利用专家模型，给出一个针对该公司财务状况的结论性意见，方便股民解读报表。l 财务比率排名：就公司企业规模、短期偿债能力、长期偿债能力、运营能力、获利能力、发展能力、现金流量等给出一个行业性的意见。信息发布模块提供以下功能：l 提供待发信息的手工编辑录入功能。l 提供固定信息源的自动传送、编辑、入库功能。l 供用户浏览查询信息。综合证券回报模块提供以下功能：l 通过BP机、手机、电子邮件、传真等方式为用户提供即时成交回报信息、行情回报信息、行情报警信息和公告信息服务。投资资讯模块提供以下功能：l 提供上市公司站点查询、链接。l 提供证券媒体站点的查询、链接。l 提供国外证券信息的查询、链接。l 提供相关法律法规站点的查询、链接。l 提供专业股评人士的股评信息。BBS论坛模块提供以下功能：l 为用户提供财经论坛，供用户发表个人观点或参加讨论。l 面向经纪人提供个人广告服务。（4） CRM客户管理系统具有综合数据的能力并对数据进行快速和准确分析，从而做出更好的商业决策，可以为企业带来竞争优势，提高商业智能。CRM客户管理系统可分成数据分析报表查询、在线分析处理（OLAP）和数据挖掘3个部分。用户在访问本网站的同时，便提供了个人对本网站内容的反馈信息：点击了哪一个链接，在哪里浏览时间最多，查询用了哪些信息、总体浏览时间、个人姓名和住址等。所有这些信息都被保存在一个数据仓库中。在网上进行交易的最大优点是券商可以更加有效地估计出访问者的反应。当券商有明确的且可以量化的目标时，券商可以考虑这样一些目标：增加每次会话的平均浏览页数；增加每次结账的平均利润；增加顾客数量；提高企业知名度；提高回头率（比如在30天内重新回来的顾客的数量）；增加每次访问的结账次数。券商可以使用预测和OLAP技术一起总结访问本网站人群的特点，从而使得券商对数据进行剖析，找出是哪个条款或网站特征引起了最有价值的客户的注意力。因此，使用数据挖掘技术来提高商业智能，最终的结果是客户增加，利润更好。（五）软件架构在对系统的业务分析及重构、信息分析、功能分析之后，接下来就是确定整个系统的应用体系结构，也就是确定采用何种技术实现系统的具体应用。整个软件架构必须全面实现系统架构所具备的各种机制。另外，应用系统将可以快速地得到改进和扩展。本系统的应用体系逻辑结构图如下：1. 分层架构应用系统将是多层Client/Server结构。从实际运行的构成整个的进程角度来看，可以被分成5层。它们是用户界面（UI User Interface）层，安全服务（Secure Service）层，传输服务（Transport Service）层，数据（Data）层，以及最底层的系统（System）层。具体如下图：（1）用户界面层（UI Layer）在UI层中，将实现各种用户与系统交互的界面。这些界面可能是基于Web的，或者是标准桌面GUI。目前假设主要是基于Web的。这样UI Layer的矩形框代表Web Server、浏览器、Java Servlet引擎，以及运行Servlet引擎上的Java代码、支持WAP的WML等。（2）安全服务层（Secure Service Layer）在安全服务层中实现应用系统的基础逻辑。这一层的服务是通过确认发出服务请求的用户的真实性的安全方式（CA）来进行操作的。对于UI层中浏览器端传来的敏感数据进行加密传输（基于SSL协议）。这层中可能包含的服务包括：- 交易事务服务（3）传输服务层（Transport Service Layer）在传输服务层中的服务处理的是数据移动。包括：- 安全服务层与数据层之间的数据交换。- 应用系统不同部分之间的数据移动，如在交易过程中各种通知信息的传递等。实现证券交易工作流。- 应用系统与外部系统的数据交换。（4）数据层（Data Layer）在数据层中包含的是数据管理服务。目前，关系数据库系统比较合适。2. 用户界面架构在系统中主要的界面是基于Web的界面。这些界面架构将是基于Java的“Server-side”处理（相对于基于浏览器的处理）。明确地说，就是将采用Java Servlet标准和Java Server Page标准，这样在Server端执行的Servlet和JSP可以方便地扩展生成WML，支持WAP。对于客户端浏览器而言，负载非常小，因为绝大部分工作都是在Server端有JSP/Servlet处理的，返回给浏览器端的仅仅是个静态的HTML。但同时对于Servlet引擎而言，它的负载也很小，因为它仅仅负责显示结果，而真正的逻辑处理全部是在Application Server的Middle-Service上。从浏览器来的对Servlet引擎的请求是通过标准HTTP/HTTPS协议。Servlet引擎与Middle Service之间也可以采取一些安全手段：访问控制（ACL）。Application Server (J2EE Platform)（六）数据安全架构数据的安全主要包含两部分：网络的安全和主机系统的安全。网络安全主要通过防火墙技术和VPN技术来实现。此外，帮助实现网络安全的技术有身份认证（CA）、网络反病毒、反黑客等方式。下面我们将具体介绍有关技术及其常见软件。1安全协议通讯及访问控制机制浏览器端与Application Server之间采用HTTPS协议通讯，对敏感信息加密传输。Server端负责Presentation 的JSP/Servlet与完成Business Logic的服务之间采用J2EE的访问控制机制来实现安全。Application Server (J2EE Platform)2身份认证（CA认证）身份认证解决方案的过程主要涉及数字证书的发放、管理和废除。认证方式分为SET方式和non-SET方式，认证标准符合X.509标准和交叉认证，并且支持SSL3.0和MIME安全协议。数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证.它是由一个由权威机构-CA机构，又称为证书授权(Certificate Authority)中心发行的，人们可以在交往中用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字证书包含以下一些内容：l 证书的版本信息；l 证书的序列号，每个证书都有一个唯一的证书序列号；l 证书所使用的签名算法；l 证书的发行机构名称，命名规则一般采用X.500格式；l 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；l 证书所有人的名称，命名规则一般采用X.500格式；l 证书所有人的公开密钥；l 证书发行者对证书的签名。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了