B证券公司方案及测试报告

附件2B证券公司方案及测试报告中国证券业协会信息技术委员会2021年1月

目录第一部分实施方案 71 项目背景 81.1 项目目标 81.2 行业监管要求 81.3 灾备系统建设标准 91.4 实施模式 101.5 覆盖范围 112 总体技术方案 122.1 基础平台概述 122.2 灾备云架构和安全 132.2.1 总体安全机制 142.2.2 外部接入齐全 152.2.3 安全体系 152.2.4 弹性扩容 182.2.5 服务质量管理 182.3 总体架构设计 192.3.1 设计原则 192.3.2 灾备中心架构 202.3.3 网络微分段区域（VPC） 212.3.4 网络微分段的安全设计 222.3.5 外联机构通信接入 222.3.6 内部通讯接入 232.4 项目一期系统及设备配置 232.4.1 集中交易系统 242.4.2 融资融券系统 252.4.3 第三方存管系统 262.4.4 账户管理系统 272.4.5 网上交易 272.5 系统安全策略 282.5.1 网络安全 282.5.2 主机安全 282.5.3 Hypervisor安全 282.5.4 应用安全 292.5.5 数据安全 292.5.6 内网补丁服务器、YUM服务器和NTP 302.5.7 运维操作安全 302.5.8 数据级备份 312.6 数据同步 312.7 日常运维监控策略 312.7.1 基础环境的监控及运维 322.7.2 网络和云资源性能监控 322.7.3 安全监控 322.7.4 应用系统监控 323 灾备中心管理 333.1 值班管理 333.1.1 人员与岗位 333.1.2 值班计划与职责 333.1.3 现场管理 343.1.4 安全管理 343.2 云资源管理 353.2.1 部署规划 353.2.2 资源分配 363.2.3 运行维护 363.3 测试与升级管理 363.3.1 测试与升级定义 363.3.2 升级维护窗口 363.3.3 升级的提交 363.3.4 升级的批准 373.3.5 升级的实施 373.3.6 升级的确认 373.4 变更发布管理 373.4.1 变更的定义 373.4.2 变更维护窗口 373.4.3 变更的提交 383.4.4 变更的批准 383.4.5 变更的实施 383.4.6 变更的确认 383.5 异地灾备系统切换演练与恢复管理 383.5.1 前期准备 393.5.2 切换演练 393.5.3 恢复 403.6 网络安全管理 403.6.1 系统安全策略落实 403.6.2 异地灾备信息系统的等级保护 413.6.3 异地灾备信息系统的安全检测 413.7 应急切换管理 414 异地灾备系统的测试验证 434.1 测试环境 434.1.1 灾备云内的系统测试 434.1.2 周边接入测试 434.1.3 外部接入测试环境 444.2 系统功能测试方案 444.2.1 集中交易系统功能测试方案 444.2.2 融资融券系统功能测试方案 494.2.3 账户管理系统功能测试方案 534.2.4 第三方存管功能测试方案 594.3 系统性能测试方案 614.3.1 集中交易性能测试方案 614.3.2 融资融券性能测试方案 644.3.3 网上交易系统性能测试方案 674.4 数据同步校验方案 684.4.1 集中交易系统数据同步校验方案 684.4.2 融资融券系统数据同步校验方案 704.4.3 CIF系统数据同步校验方案 704.4.4 三方存管系统数据同步校验方案 704.5 备份系统切换及验证方案 715 项目实施要点 725.1 总体进度规划 725.1.1 总体进度安排 725.1.2 第一期进度安排 725.2 需重点关注的问题 735.3 系统验收 746 制度与文档 766.1 管理制度 766.2 工作文档 76第二部分测试报告 781 功能测试概述 791.1测试目的 791.2职责分工 792 功能测试内容 802.1账户业务 802.1.1柜台门户 802.1.2开销户 802.1.3客户管理 812.1.3.2客户信息 812.1.4资金账户 842.1.5股东账户 852.1.6基金账户 862.1.7信用账户 862.1.8期权、场外账户 872.1.9交易管理 882.1.10中登业务 892.1.11查询统计 902.1.12影像管理 912.1.13系统管理 932.2融资融券 932.2.1普通融资融券业务(担保买卖、信用交易、偿还交易) 932.2.2两融非交易业务(担保划转、还券划转、余券划转、直接还款) 962.2.3深圳信用大宗业务 972.2.4新股IPO&可转债 982.2.5配股缴款 992.2.6密码服务 992.2.7网络投票 1002.2.8基金分拆合并(深圳) 1002.3集中交易 1012.3.1现货业务 1022.3.2债券转股回售 1022.3.3网上发行认购 1022.3.4协议交易 1032.3.5盘后定价交易 1042.3.6资管产品份额转让 1042.3.7股票质押式回购 1052.3.8约定购回 1052.3.9质押式报价回购 1062.3.10质押式回购交易 1062.3.11债券质押式协议回购 1062.3.12ETF申购赎回 1072.3.13开放式基金申购赎回 1082.3.14要约收购 1082.3.15质押式回购质押解押 1082.3.16转托管 1092.3.17投票 1092.3.18行权 1092.3.19分级基金实时分拆合并 1102.3.20港股 1102.3.21股转业务 1113 性能测试 1123.1集中交易系统 1123.2融资融券系统 1133.3网上交易 1164 灾备切换演练测试 1174.1参测系统 1174.2演练方式 1174.3切换演练及恢复步骤 1184.4具体切换流程 1194.4.1集中交易 1194.4.2融资融券 1214.4.3账户管理系统 1224.4.4三方存管系统 1244.4.5网上交易/移动APP系统 1244.5切换演练数据 1264.6切换演练结论 127

第一部分实施方案

项目背景项目目标信息系统是证券公司各类业务运行的重要基础，为防范证券公司的主用数据中心因出现灾难性故障而造成业务中断的风险，证券公司必须做好异地灾备中心的规划及建设工作。B证券异地灾备项目的建设目标，是遵循《证券基金经营机构信息技术管理办法》（以下简称《办法》）的要求，以深圳证券通讯有限公司（以下简称“深证通”）提供的灾备云平台为基础，以核心物理主机数据库+灾备云的模式，构建公司的异地灾备数据中心，以有效提升业务连续性的保障水平，降低因发生灾难性故障给公司造成损失和不良影响的风险。行业监管要求《办法》要求，证券公司的重要信息系统应当具备灾难及重大灾难应对能力，以确保在发生故障后，有较快的系统恢复能力，并尽量减少丢失数据。证券公司的重要信息系统，按其实时性特征，可简要分类如下：系统分类重要信息系统实时信息系统集中交易系统、第三方存管系统、内存交易系统、QFⅡ交易系统、股转做市商系统、期权交易系统、场外市场交易系统、PB业务交易系统、账户管理系统、非现场开户系统、网上业务办理系统、移动终端业务办理系统、投资交易系统、短信系统、网上交易系统、手机证券系统、呼叫中心系统、融资融券系统等非实时信息系统估值核算系统、法人清算系统、财富管理系统、私募基金托管外包系统、私募基金法人清算系统、投行业务管理系统、资管份额登记系统等《办法》要求实时信息系统的故障应对能力应达到四级，非实时信息系统的故障应对能力应达到二级，所有信息系统的灾难应对能力应达到五级，重大灾难应对能力应达到六级，各级别的技术指标在《证券期货经营机构信息系统备份能力标准》（以下简称《标准》）中有详细规定。各级别灾备能力概要能力级别故障应对灾难应对重大灾难应对第二级1、RTO小于1小时；2、RPO小于5分钟；3、备份系统具有满足业务需求的处理能力第四级1、RTO小于5分钟；2、RPO小于30秒；3、备份系统具有满足业务需求的处理能力第五级1、实时信息系统RTO小于5分钟，非实时信息系统RTO小于1小时；2、RPO小于30秒；3、备份系统具有满足业务需求的处理能力。1、RTO小于12小时；2、RPO小于5分钟；3、备份系统具有满足业务需求的处理能力第六级1、实时信息系统RTO小于5分钟，非实时信息系统RTO小于1小时；2、RPO小于30秒；3、备份系统具有满足业务需求的处理能力。1、RTO小于12小时；2、RPO小于5分钟；3、备份系统具有满足业务需求的处理能力1、RTO小于7天；2、RPO小于12小时；3、备份系统具有满足业务需求的处理能力灾备系统建设标准《办法》规定，证券公司的异地备份系统应提供与主用生产系统同等的处理能力，灾备环境应能完全承受生产切换时的所有业务负载，以确保实施灾备切换后，业务能依托异地灾备中心正常运行。同等能力指异地部署的所有备份系统，其性能指标（如TPS、响应时间等）具有与生产环境同等的水平。同等处理能力不要求异地备份系统具备与主用生产系统完全一致的物理设备和系统架构。如果具备弹性条件，异地备份系统可以在日常运行时采用最小资源运行模式，并在实施灾备切换时，在规定的RTO时间内完成资源弹性扩容，达到同等能力处理能力要求。B证券的异地灾备系统，参照《标准》及《信息安全技术信息系统灾难恢复规范GB/T20988—2007》规划建设。总体建设目标为：实时信息系统的RTO<5分钟，非实时信息系统RTO<1小时,所有信息系统的RPO<30秒，备份系统具有满足业务需求的处理能力。实施模式异地灾备系统所依托的异地灾备中心，其建设可以分为自建机房、租用托管机房和租赁可信机构云服务三种模式，本方案采用租赁深证通的物理主机+灾备云服务实施建设的模式。与自建机房、租用专业托管机房相比，租赁深证通的灾备云服务，无需自行建设机房及采购服务器、网络、存储等硬件设备，可直接租赁深证通提供的各类云资源建设灾备系统，后期也无需投入对基础环境与硬件设备的维护费用。建设周期短，前期建设与后期维护投入成本低。可信机构云服务按实际资源使用量付费，可灵活快速扩缩容。当业务负载下降时，可适当降低灾备系统的处理能力，节省成本，当业务快速发展时，可快速提升灾备系统的处理能力，满足业务负载需求，可扩展性强。同时，对最为核心的核心交易数据库主机，采用租赁深证通物理机+存储的方式，在最大程度上保证了整个交易关键点和归结点的性能指标。三种建设模式的简要对比见下表：指标自建机房租用托管机房租赁可信机构云服务初期成本高中低建设周期长中短可扩展性低中高运维成本高中低B证券的主用数据中心位于长三角地区，距离深证通灾备云平台的所在地——中国证券期货业南方信息技术中心（以下简称“南方中心”）之间距离超过800km，其无论从地域、环境、生态影响面而言，相互之间的交叉影响概率极低，故完全可作为公司级整体信息系统的异地灾备中心。覆盖范围B证券的异地灾备中心建设，根据公司的实际业务情况，综合考虑系统重要程度和复杂度，拟分三期实施建设，以确保经纪业务（特别是零售业务）的连续性为一期建设目标，并在实施过程中逐步积累云环境下异地灾备系统的建设和运维经验,不断提高管理水平。分期建设涉及的系统清单如下：批次类别系统实例一期核心实时交易系统（主要针对零售业务）集中交易系统、融资融券系统、网上交易系统、账户管理系统、三方存管系统等二期其他实时交易系统及部分重要非实时系统极速交易系统、PB业务交易系统、投资交易系统、期权交易系统、股转做市商系统等法人清算系统、登记结算系统、财务系统等三期非实时信息系统及周边系统估值系统、托管及外包系统、TA系统等注：每一个交易系统，均包括相应的数据库子系统、中间件子系统、前置接入子系统、行情子系统和报盘子系统等项目实施过程中，将根据对应技术系统的具体特点，制定相关的适应性改造计划。

总体技术方案基础平台概述异地灾备中心包含了基础设施建设、IT系统、业务系统、技术保障、财务分析、人员管理、灾备中心运营管理、安全管理等方面，是一个涉及到多专业、多学科的综合性系统工程。正因为灾难备份系统建设的综合性、复杂性，所以灾难备份系统的建设也存在诸多难点。证券公司通过云灾备中心模式，可快速实现异地灾备建设。下图给出了异地灾备模式（两地两中心）的券商系统架构：深证通灾备云（以下简称灾备云）是深证通面向证券、基金等金融机构推出的云计算服务，在技术上采用OpenStack架构，建设于南方中心。涵盖计算、存储、网络、安全及增值等五大类产品，满足行业客户生产、灾备、办公等系统随时接入、弹性扩展、按需付费、数据安全的上云需求，为金融机构统一提供技术领先、稳定可靠、安全合规的云上服务。B证券经过不断地研究论证，在深证通配合下进行多轮功能性测试、性能压力测试、灾备切换测试等，确认深证通灾备云完全能够满足B证券异地灾备核心交易应用需求。B证券采用灾备云的核心数据库物理机+云主机模式的异地灾备中心建设方案，主要基于如下考虑：1．此方案券商无需在异地自行建设机房，也无需采购服务器、网络、存储等硬件设备，直接以租赁的方式使用深证通灾备云提供的计算、存储、网络和安全等资源，建设筹备时间短，随时申请使用，资源可弹性扩展。2．总体成本较低，异地灾备中心按年付费，并可根据实际业务量随时调整；业务上线可远程部署，灵活方便；无需考虑机房及硬件维护；交易所及银行专线可直接租赁灾备云的资源。3.极少数核心关键数据库租赁深证通物理服务器+专业存储资源，能在最大程度上保证整个交易系统关键点及归结点的性能指标，并具备独立的持续稳定性。4．建设标准符合监管要求。在运维方面，本方案为灾备云模式，物理服务器、存储、网络设备等传统硬件及云平台本身，均由深证通提供监控、维护以及快速修复服务；业务系统以及数据库维护、系统上云部署按我司实际工作环境自行部署。灾备云架构和安全灾备云，为深证通基于OpenStack自研发布的行业灾备云，对客户而言，既满足云上快速部署、动态分布，又支持特定环境、性能要求的物理机+专业存储的发布，使得用户的选择灵活性、多样性。总体安全机制深证通金融云通过以下机制分散用户集中风险，提升平台安全性和可靠性。风险分散机制深证云数据中心是两地三中心布局，包括：南方中心，深圳观澜机房(新建)和北京亦庄机房。通过不同的数据中心承载不同区域经营机构的灾备上云需求，分散平台的风险。深证云灾备服务推荐混合部署方案，物理机和虚拟机结合，应用和数据分离。核心数据库部署在物理机和专业存储之上，进一步提升数据安全。混合部署方案保障即使云平台出现异常的情况下也不影响数据安全。应用系统部署在虚拟机和分布式存储之上，虚拟机数据采用三副本机制，保障数据的完整性和一致性。平台容量管理深证云平台的自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。监控系统广泛使用仪表盘展示深证云关键运营指标，并可配置告警阈值，当关键运营指标超过设置的告警阈值时，自动通知运维和管理人员，并启动相关流程，保障了深证云租户的资源需求和安全性。深证云通过以下措施进一进步提升平台容量管理能力，满足平台租户集中的资源扩容需求，同时降低集中扩容引发的风险：深证云每年根据市场需求，提前扩容。实时监控，及时扩容。比如当内存、硬盘使用率达到60%时，启动扩容流程。通过灾备方案降低租户资源集中升级风险，缩短大规模资源升级时间，满足RTO要求。深证云建议重要信息系统灾备虚拟机数量同生产服务器数量一致，核心模块虚拟机的性能满足当前业务处理能力，非核心模块如中间件的虚拟机性能可低于生产性能。在灾备切换时，将性能升级到生产性能。深证云将进一步向租户收集资源扩容需求，了解租户发生灾备切换时可能需要的资源扩容规模，做好容量管理，保证租户的资源扩容需求。外部接入齐全灾备云提供IT系统基础资源服务:依托行业优势，灾备云面向云租户提供了沪深交易所报盘、沪深交易所行情、证联网及互联网线路，满足异地灾备数据中心所需的各种接入服务。详见下表：核心机构接入列表接入方式深交所深交所L1行情局域网，集中接入，主备用深交所L2行情局域网，集中接入，主备用深交所交易结算局域网，集中接入，主备用深交所测试局域网，集中接入，主备用上交所上交所L1行情长途专线，集中接入，主备用上交所交易报盘长途专线，集中接入，主备用上海结算长途专线，集中接入，主备用中登开放式基金平台局域网，集中接入，主备用CDP/FISP局域网，集中接入，主备用新三板行情/交易/结算长途专线，集中接入，主备用期指市场中金所L2行情长途专线，集中接入，主备用证联网测试网局域网，集中接入，主备用业务网局域网，集中接入，主备用安全体系深证通灾备云的安全体系，可以从物理平台安全、虚拟数据中心安全、内部网络隔离安全、边际网络安全以及运维安全这五方面进行阐述。物理平台安全深证通灾备云，位于南方中心的T3+级别数据中心内，物理数据中心的高可用性能在最大程度上得以保障。在数据中心的出入管理、值班制度、监控管理、入侵监测等方面，均有着严格的控制。开源三副本Ceph、专业SAN存储、顶级专业存储双活，对于系统、数据的运营有多种灵活方案供客户选择。99.9999%的数据可用性，可以满足最苛刻用户的业务需求。数据的私密性、数据的可销毁性、数据的知情权以及数据的可审查特性，保障了客户的商业隐私。虚拟数据中心安全深证通基础设施平台支持虚拟数据中心（VDC），租户可自定义网络资源。VDC支持服务链(ServiceChain)技术，支持租户部署第三方安全设施，并将流量导向安全设施。租户可在其虚拟网络之间，虚拟网络与外部网络之间部署堡垒机、软件防火墙、IPS、WAF等安全设施，且相关设施租户自主控制。深证云支持专有网络（VPC），租户可以完全掌控自己的虚拟网络，包括选择自有IP地址范围、划分网段、配置路由表和网关等。虚拟化服务器内部，vRouter采用VRF隔离租户虚拟网络。基础设施平台内部各节点间使用MPLS/GRE,MPLS/UDP,VXLAN封装隔离虚拟网络流量。基础设施互联网络部署MPLSBGPVPN，使用MPLS隧道隔离网络流量。云平台与外部网络之间部署防火墙/IPS等安全设备。内部网络隔离安全虚拟化服务器内部，vRouter采用VRF隔离租户虚拟网络。基础设施平台内部各节点间使用MPLS/GRE,MPLS/UDP,VXLAN封装隔离虚拟网络流量。基础设施互联网络部署MPLSBGPVPN，使用MPLS隧道隔离网络流量。云平台与外部网络之间部署防火墙/IPS等安全设备。边际网络防护安全虚拟数据中心与租户数据中心之间部署防火墙/IPS，实现区域间安全隔离。基础设施平台互联网出口部署流量清洗平台、防火墙/IPS、WAF，提供互联网防DDOS攻击服务、安全防护和WEB应用防护。基础设施平台提供SSLVPN服务，SSLVPN采用帐号密码+动态电子密钥双因子认证。运维安全弹性扩容灾备云以客户需求为基础，完全可实现在线动态横向扩展，实时完成虚拟化资源的扩容。即使扩容至一万台以上的虚拟机规模，最快亦可在一天内完成，完全满足客户中长期发展的需要。电信、联通、移动三大运营商在南方中心均有大带宽出口，能快速响应互联网带宽扩容需求。服务质量管理灾备云基础设施资源服务平台同城容灾指标总体上核心业务上满足国家《信息系统灾难恢复规范》（GB/T20988-2007）所描述的第6级同城容灾下平台可用性指标深证通基础设施资源服务平台，虚拟资源服务水平SLA:99.9%序号灾备云服务产品总SLA1VPC99.9%2虚拟云主机99.9%3分布式存储99.9%4对象存储99.9%5负载均衡-SDN-Haproxy99.9%6负载均衡-虚机LVS99.9%7数据库99.9%8DNS99.9%总体：云平台内单机故障，RTO<1分钟，RPO=0;证通本地生产云本身具备高可用，设计上无单点故障。因此本地生产云完全具备单主机、单网络设备的故障容错能力，单机故障不需要进行机房级的容灾切换。总体架构设计作为一个完全的、新建的、全功能、异地云模式的灾备中心，无论从底层基础架构、运维模式或网络通讯接入上，均与传统的数据中心有着截然不同的理念。VPC的引入，将原有的物理隔离转变为逻辑分割，大大节约了硬件投资成本，并且使得区域通讯更灵活方便。安全组、防火墙、负载均衡的挂接，使得整个虚拟数据中心的功能模块得以完善。设计原则作为公司数据中心建设的重要组成部分，异地灾备中心系统架构设计遵循以下基本原则：安全性原则安全，始终是数据中心建设过程中的重中之重。数据中心的基础设施、基础架构的设计、建造，均须符合安全为先的原则。由底而上，环控安全、主机安全、IaaS安全、网络安全、应用安全、数据安全等。可用性原则系统的可用性是通过冗余、高可用集群等特性来体现，从基础架构层的集群冗余出发，到网络冗余、链路冗余，进而发展为应用冗余（或负载均衡），从而实现由下而上的全方位高可用。可扩展性原则支撑云灾备中心的资源需要根据业务应用工作负荷需求进行弹性伸缩，IT基础架构应与业务系统松耦合，这样，在业务系统进行容量扩展时，只需增加相应数量的IT资源，即可实现系统的灵活扩展。合规性原则云灾备中心建设需符合金融行业相关政策法规，遵循金融行业安全、网络规范。灾备中心架构参照主生产中心规划设计标准，灾备中心的整体网络严格按功能区块进行划分。各功能区块之间，透过防火墙进行安全访问。灾备中心与主生产中心之间，铺设专线进行内部直连。互联网边际，严格安全防护。与各外联机构，按照安全等级及业务需要，分为内层互联与互联网互联两种模式。网络微分段区域（VPC）将整个灾备中心网络的骨干核心进行了优化设计。保留核心交换区最关键的功能——集中交换和集中路由，将访问控制、路由过滤等网络功能从核心交换区剥离，分散至各个网络功能分区，简化核心交换区，构建高性能和可扩展的网络核心。VPC1运维管理区：将全部管理职能集中到该VPC区域，使得运维与业务分离、管理与生产分离、运维人员非特殊情形，严禁直接登入生产区域进行各项作业。实现权限管控、操作监控、事后审计。VPC2核心业务区：将最为核心的集中交易系统、融资融券系统、三方存管系统等布置于上，以相对高效独立的方式保障其业务连续性。VPC3非核心业务区：将去除核心业务以外的其他业务系统布置于上，保证核心业务的独立安全性。VPC4外围接入区：与交易所、中登、证联网等机构的专用接入区域VPC5DMZ区：将直接面向互联网的业务前置机、网上交易、手机委托等应用，在此区域分别部署。一方面通过内层防火墙/安全组与内部网络安全隔离；另一方面通过前置的防火墙、ADS、IPS、WAF等设备进行互联网安全防护，并向互联网发布业务。网络微分段的安全设计安全组：保护功能区内部的服务资源，设置访问控制。安全组为逻辑安全防护，为服务器提供安全防护。设计考虑集中交易区、综合业务区、接入中间件区与IPSEC-VPN接入全部进行安全隔离。防火墙：分为内侧防火墙（以下简称内墙）与互联网边际防火墙（以下简称外墙）。内墙负责实现内部VPC之间的安全访问控制，外墙按照传统定义，对互联网边际进行安全防护。区域接入控制：与主数据中心通过专线及互联网技术接入，为控制业务风险，主数据中心网络核心单独设立通讯区，用物理防火墙隔离异地灾备中心接入，双向访问进行严格的规则控制；分支机构提供IPSEC-VPN接入，设计考虑采用各分支机构现有的业务网备份VPN线路防火墙承载。外联机构通信接入1．线路申请主要外联机构见下表所示。深证通云平台已具备与表中机构通信的网络资源，由B证券负责申请接入。核心机构接入列表接入方式深交所深交所L1行情局域网，集中接入，主备用深交所L2行情局域网，集中接入，主备用深交所交易结算局域网，集中接入，主备用深交所测试局域网，集中接入，主备用上交所上交所L1行情长途专线，集中接入，主备用上交所交易报盘长途专线，集中接入，主备用上海结算长途专线，集中接入，主备用中登开放式基金平台局域网，集中接入，主备用CDP/FISP局域网，集中接入，主备用新三板行情/交易/结算长途专线，集中接入，主备用期指市场中金所L2行情长途专线，集中接入，主备用证联网测试网局域网，集中接入，主备用业务网局域网，集中接入，主备用2．接入方式深证通负责外联机构内部线路接入及与云平台并网，共享网络设备资源，由深证通负责网络变更及维护。3．链路切换交易所链路切换：当故障或灾难/重大灾难发生时，灾备业务系统可直接与外联机构（除证联网外）进行业务交互。证联网链路切换：在灾难发生时，由B证券向证联网申请，由证联网取消公司在主中心的路由发布，然后在灾备机房发布原业务地址路由。内部通讯接入1．主/备中心数据通讯为保障主/备中心数据备份系统和备份处理系统的工作以及能够进行同步数据的更新，满足灾难场景下的业务连续性要求，需提供主/备中心间完备的网络通讯保障。链路选择：本次异地灾备通讯方案采用20M+100M两条专线复用的方案，铺设主备数据中心之间的通讯链路。后续，还将考虑引入SD-WAN技术，采用专线+互联网线路的模式，实现高性价比的链路带宽。分支机构接入虚拟专用网(VPN)是通过一个互联网建立一个临时的、安全的连接，是一条穿过公用网络到公司内部网的安全、稳定的通信隧道。虚拟专用网可以使公司分支机构同灾备中心的内部网建立可信的安全连接，并保证数据的安全传输。项目一期系统及设备配置根据项目覆盖范围的规划，一期以经纪交易及相关系统为主，主要包括集中交易、融资融券、三方存管、账户管理、网上交易等系统。系统部署需具备有效可行的操作预案，对整个异地灾备环境的部署、测试及应急启动的管理制度和操作流程。一期资源总览表集中交易系统1．集中交易系统架构图2．集中交易系统程序清单：程序配置清单1）XDL_消息中心：文件服务、消息队列等2）Mcenter：提供消息同步服务3）FOS-BLS：业务中间件4）XDL_LS：报表、历史库中间件5）XDL_RS：提供外部系统接入服务6）XDL_NDS：提供业务路由选择服务7）上交所、深交所、股转、B2H、基金报盘：提供各交易所，基金等报盘程序8）行情：提供个市场行情服务9）XDL_QSR：清算操作机融资融券系统1．融资融券系统架构图2．融资融券系统程序清单：程序配置清单1）消息中心、文件服务器：消息同步、文件下载等2）FOS-BLS、FOS-BLS_LS：业务中间件、历史中间件3）风控中间件：风控服务4）RS中间件：提供外部接入服务5）上海报盘：上海报盘相关程序6）深圳报盘：深圳报盘相关程序7）行情中间件：提供沪深行情服务8）清算机：清算操作机第三方存管系统1．第三方存管系统架构图2．第三方存管系统程序清单：程序配置清单1）业务中间件配置:业务逻辑处理账户管理系统1．账户管理系统架构图 网上交易系统安全策略灾备云平台目前可以提供的安全防护措施有流量安全监控、DDoS攻击检测/防御、Web应用防火墙（WAF）、互联网防火墙、IPS入侵防御以及安全组策略。其他的安全控制措施如主机入侵检测、账户安全、安全日志审计、安全基线核查、数据库安全审计、态势感知、主机防病毒、漏洞扫描、系统补丁更新和代码安全等由券商租户可以根据自己的实际情况进行建设。网络安全按要求做好异地灾备云平台中网络安全区域的隔离，每个区域制定不同的安全策略和信任模型。做好边界访问控制、内部精细访问控制的安全管控，遵循“先申请审核、后精细实施”的管理要求，严格遵守网络安全管理的“最小化原则”和“安全隔离原则”，使用VPC内的安全组来实现虚拟机的东西向安全访问控制，使用内侧防火墙来实现南北向安全访问控制。主机安全在主机安全方面，主要通过设置系统安全基线，搭建内网系统补丁服务器，并通过给虚拟机镜像设置统一的内网补丁服务器升级策略、统一安装主机防病毒软件和漏洞扫描、日志收集agent等方式来实现。在云平台的运维管理区部署防病毒管理中心和安全侦测平台，分别实现虚拟机主机防病毒软件的集中管理，以及实时漏洞扫描、收集虚拟主机及网络安全设备的安全日志并进行集中的安全日志关联分析和威胁检测，帮忙快速发现安全威胁并进行威胁溯源，为安全应急响应提供有力手段。Hypervisor安全深证云在云环境中提供Hypervisor的安全防护，保证宿主机的安全性。Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享一套基础物理硬件，它可以协调访问服务器上的所有物理设备和虚拟机，也叫虚拟机监视器（VirtualMachineMonitor）。Hypervisor是所有虚拟化技术的核心。通过Hypervisor的监控，解决虚拟资源层对Hypersvisor的非法访问，实现虚拟主机和宿主机的访问安全隔离应用安全在应用安全方面，通过仅使用经过安全评估的且被检测为安全稳定的少量几个版本，并按照中间件的安全基线要求对应用软件和中间件等进行逐项安全基线设置，并在正式上线前进行应用系统的性能测试、漏洞扫描和渗透测试，全面评估信息系统的应用安全风险。数据安全深证云数据安全体系从数据安全生命周期角度出发，采取管理和技术两方面的手段进行全面、系统的建设。通过对数据生命周期（数据生产、数据存储、数据使用、数据传输、数据传播、数据销毁）各环节进行数据安全管理管控，实现数据安全目标。（1）数据库部署将数据库独立放置于核心业务区的独立VLAN内，不对DMZ以及互联网开放访问。所有对于数据库的业务访问，必须透过部署于核心业务区、非核心业务区的中间件进行跳转。同时，对数据库的操作实行最小访问原则，禁止特权账号登陆、实时审计等安全措施亦同步跟上。（2）数据所有权运行在深证云计算平台上的开发者、公司、政府、金融机构、社会机构的数据，所有权绝对属于租户。深证云计算平台不得访问、拷贝、删除租户数据。深证云有责任和义务，帮助租户保障其数据的私密性、完整性和可用性。（3）多副本冗余深证云支持对租户数据进行多副本冗余存储，租户可将副本数据进行异地保存。（4）数据传输加密深证云平台提供标准的加密传输协议，保证租户数据传输安全。（5）数据清除深证云租户下线时，在得到租户授权后，深证云将清除租户数据。深证云更换和淘汰的任何设备，都将统一执行消磁处理并且在物理销毁后才能运出数据中心。（6）运维数据安全深证云运维人员未经租户许可，不得以任意方式访问租户未经公开的数据内容。深证云遵循生产数据不出生产集群的原则，从技术上控制了生产数据流出生产集群的通道，防止运维人员从生产系统拷贝数据。内网补丁服务器、YUM服务器和NTP为了配合云平台内网机器的系统补丁统一升级需要，在灾备云内网使用一台云主机搭建windows补丁服务器部署WSUS服务，并部署在DMZ区，确保该台服务器可与互联网通讯并设置定时下载内网windows服务器所有需要的windows安全更新包。同样对于Linux服务器，需要在在灾备云内网使用一台云主机使用Linux搭建一台本地YUM源服务器，为内网Linux服务器统一提供Linux开源软件和补丁的YUM更新服务。此外，对于服务器的时间同步，将采购专业的NTP对时设备，以交易所为第一时钟源，对内为各服务器提供时钟同步服务。运维操作安全在灾备云端部署专业堡垒机，为系统运维人员提供统一的运维安全管理。系统运维人员日常通过总部的堡垒机集群统一入口，透过专线动态指向灾备云内的堡垒机进行登录访问，精细化控制运维管理人员对各业务组件的安全访问，并对整个运维过程进行日志记录和安全审计。同时，透过堡垒机的账户审计系统，一方面对云主机内的账户密码自动设密，满足等保三级的密码管理要求，并定期自动批量改密；同时，对于云主机内出现的异常账户及时进行排查。对于在出现专线中断或者其他极端情况下，使用互联网VPN方式接入灾备云端堡垒机进行应急操作。数据级备份深证云租户可通过深证通数据存管云实现异地数据级备份。比如南方中心的灾备客户，可以定期将数据（镜像或数据库文件）保存至北京亦庄机房。北京机房的灾备客户可以在南方中心建立异地数据级灾备。数据同步项目一期所涉及到的数据库系统，均将采用迪思杰公司的RealSync产品，进行数据库层面的数据同步。对于影像系统文件，将采用英方的I2coopy产品进行数据文件的同步。所有同步策略，均为实时同步。目前集中交易、融资融券、账户管理系统、三方存管系统均采用迪思杰数据库同步软件，综合考虑系统稳定性及运维习惯，不进行同步工具更换；其它系统根据各自特性进行同步方案规划，具体如下表。应用系统数据同步需求数据同步工具预计RTO预计RPO集中交易系统ORACLE数据库DSGRealSync<1分钟<20秒融资融券系统ORACLE数据库DSGRealSync<1分钟<20秒三方存管系统ORACLE数据库DSGRealSync<1分钟<20秒账户管理系统ORACLE数据库DSGRealSync<3分钟<20秒影像文件英方i2coopy小于3分钟<30秒注：所有同步源均为同城灾备或温备，每级交易峰值的RPO<8秒，交易平峰的RPO<3秒；经过一级跳转，最终到深证通异地灾备的数据库峰值RPO<20秒，平峰RPO<8秒日常运维监控策略为确保异地灾备中心在线信息系统稳定运行，以及系统切换到异地灾备中心后，相关信息系统能够稳定运行，灾备中心需部署独立的监控系统对异地灾备中心信息系统运行情况进行监控。异地灾备中心监控系统主要包括基础环境、网络和云资源性能监控、安全监控、应用系统监控。基础环境的监控及运维基础环境监控系统由深证通提供和运维，主要监控异地灾备中心基础环境的运行情况。网络和云资源性能监控网络和云资源性能监控系统由深证通提供和运维，主要监控异地灾备中心网络运行情况和云资源性能指标情况。安全监控安全监控系统由公司自行部署和运维，主要对公司异地灾备中心网络、主机、应用、运维、数据等各方面的安全防护情况进行实时监控，一旦出现网络安全事件则立即进行应急响应。应用系统监控应用系统监控由公司自行部署和运维，用于监控各应用系统运行情况，主要包括集中交易系统、融资融券系统、三方存管系统、账户管理系统、网上交易系统，各应用系统监控的主要对象和指标项包括但不限于：云主机基础监控（CPU、内存、网络、硬盘等）系统健康度监控（云主机存活度等）业务性能监控（交易笔数、响应延时等）

灾备中心管理值班管理深证通负责机房基础环境系统（供配电、空调、消防、现场安保监控、云平台）的运维管理、故障诊断与排除、测试升级、性能优化、应急处置以及其它日常管理工作。B证券股份有限公司负责灾备中心各应用系统的运行维护、数据管理、故障诊断与排除、测试升级、性能优化、应急处置、资源申请分配、系统监控、安全管理以及其它日常管理工作。人员与岗位 灾备中心应实行值班制度，以确保各系统操作的正确性，控制潜在的操作风险。值班人员应经过培训合格后上岗，培训应包含基本的运维流程规范、应用系统、信息安全等必备技能和要求。灾备中心值班人员，将定期与总部值班人员进行轮岗，以提高对业务系统的熟悉程度，并与总部形成有效互动。值班计划与职责值班人员应根据相关要求，安排好运维管理值班计划并执行：1．每日负责运维开、关机以及日常运行维护工作,并且及时填写《异地灾备信息系统运行日志》。2．负责配合总部，同步对灾备信息系统进行系统补丁、升级、维护等作业3.定期对系统的可用性和容量等状况进行评估，并根据评估结果进行相应处理。4．做好资源申请、资源分配、资源备份、资源性能监控、安全监控等日常管理工作。5．每月对所发现的异常和故障的情况进行汇总，并记入《异地灾备信息系统运行日志》。6．按照公司规定，配合总部，按照灾备切换演练操作文档定期进行灾备切换演练操作，演练结束后及时填写《异地灾备信息系统切换演练表》。7．按规定，定期对所管理的系统进行重启，重启前做好相关的备份工作，并记入《异地灾备信息系统运行日志》。8.定期督促深证通按时提供灾备云相关我司的资源使用状况报告、分析建议报告。现场管理1．严格遵守深证通有关管理制度。2．必须在指定办公区域办公，工作区域应保持干净、整洁，物品及桌椅摆放整齐有序，并定期打扫卫生。3．严禁值班期间从事与工作无关的活动，保持通信畅通。4．严禁交易期间对系统进行变更、升级等操作。5．严禁携带食品进入值班室、机房。6．值班人员在交易期间不得擅离岗位。因故离开，应联系其他技术人员代岗，并应待替代人员到岗交接后方能离岗，以确保交易期间有人值班。安全管理（1）堡垒机运维人员只能通过堡垒机进行运维管理。运维人员登录堡垒机时使用域帐户密码加动态口令方式进行双因素认证。堡垒机使用高强度加密算法保障运维通道数据传输的机密性和完整性。（2）帐户管理和身份认证深证云使用统一的帐户管理和身份认证系统管理帐户生命周期：1) 每个员工存在唯一的帐户；2) 集中下发密码策略，强制要求员工设置符合密码长度、复杂度要求的密码，并定期修改密码；3) 支持帐户密码登录、一次性口令登录、数字证书等多种认证登录方式。（3）授权运维管理遵循最小权限和职责分离原则，授予员工有限的资源访问权限。员工根据工作需要通过集中的权限管理平台申请VPN访问权限、堡垒机访问权限、管控平台以及生产系统访问权限，经主管、数据或系统所有者、安全管理员以及相关部门审批授权。（4）监控深证云平台上使用自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。监控系统广泛使用仪表盘展示深证云关键运营指标，并可配置告警阈值，当关键运营指标超过设置的告警阈值时，自动通知运维和管理人员，保障了深证云租户的计算资源和存储资源的使用的安全性。（5）审计深证云平台对生产系统的所有运维操作必须且只能通过堡垒机进行，所有操作过程完整记录并实时传输到集中日志平台。深证云对运维操作的违规事项定义审计规则，发现违规行为并通知安全人员跟进。内部使用的B/S管理和支持系统按照深证云日志审计规范详细记录敏感操作，并把日志发送到集中日志平台。深证云集中日志平台仅提供日志采集和查看接口，不提供修改和删除接口。深证云通过平台的API接口，可以为租户提供租户方面的操作审计数据。运维和安全审计团队在租户未授权的前提下，不得操作租户的审计数据内容云资源管理按照全生命周期管理原则，构建全面、高效的云数据中心资源管理体系。全面考虑云资源的部署规划、资源分配、运行维护、优化部署的全生命周期中的信息与过程。部署规划部署规划包括确定资源需求、制定预算、系统部署等。在部署规划过程中，要统筹考虑确保资源申请的合理性，确保扩展的灵活性，同时要采取科学的容量管理方法，构建合理规模的异地灾备应用，并进行容量匹配。资源分配在资源分配过程中，要制定相应的分配流程和分配原则。需求方提出申请时，要经过审核，并经云环境资源管理方评估和审批。对于常规的需求，需在规划阶段提出计划，并制定预算。对于重大紧急项目需求，可先分配资源后进行优化。运行维护在日常运行维护中，利用云管平台提供的监控手段或自建运维监控系统，对已分配资源的CPU、内存、磁盘利用率、磁盘剩余空间、网络带宽等指标进行监控，对于长期保持低利用率的资源要进行优化。测试与升级管理测试与升级定义升级是指主中心系统发生软件升级后，需对灾备中心同步升级相应程序。测试指灾备系统完成系统升级后对系统做部署、连通等简单的验证工作。升级维护窗口为了减少因为升级对系统带来的影响，原则上定义每周最后一个交易日清算结束后，为升级维护的时间窗口。如有需紧急处置情形的，经请示信息技术总部领导并取得授权后，方可进行。升级的提交指总部系统运维人员在获得升级需求后，提交相关团队、部门进行测试、升级的请示过程。升级的批准为控制升级风险，由总部开发人员、软测人员在经过评估、测试验证后，并经信息技术总部领导核准，方可由负责的运维人员在升级窗口进行升级作业。升级的实施在完成审批后，灾备中心运维负责人，通过发布系统升级实施工作计划，安排灾备运维人员实施系统升级操作。对于紧急升级，在获得批准后，灾备中心运维负责人可以先口头联系实施人员，安排实施。灾备系统升级实施人在进行变更升级后，要完成灾备系统的测试工作，验证所升级系统灾备系统部署、连通情况，并更新相关文档。升级的确认在系统升级成功实施完成后，升级实施人应立即通知升级递交人，确认升级结果是否达到预期目的，升级结果同步通知灾备中心运维负责人和系统升级审批人。变更发布管理 变更的定义本文中的变更主要指主中心生产系统部署发生变更后，对灾备中心的系统部署状态、网络访问控制等的操作。变更分为常规变更和紧急变更。变更维护窗口为了减少因为实施变更或者变更失败等对系统带来的影响。原则上定义每周最后一个交易日16：00后，为变更的时间窗口。如有需紧急处置情形的，经请示信息技术总部领导并取得授权后，方可进行。变更的提交指总部系统运维人员在获得变更需求后，向变更审批者提交系统升级、变更的申请过程。变更的批准为控制变更风险，由总部相关系统管理员、网络管理员等，对变更方案和变更实施方案进行审阅和评估后，由信息技术总部领导审核批准。变更的实施在完成审批后，灾备中心运维负责人，通过发布变更实施工作计划，安排灾备运维人员实施系统变更操作。对于紧急变更，在获得批准后，灾备中心运维负责人可以先口头联系实施人员，安排实施。灾备变更实施人在进行变更实施后，同步检查、验证灾备系统,并更新相关文档。变更的确认在变更成功实施完成后，变更实施人应立即通知变更递交人，确认变更结果是否达到预期目的，变更结果同步通知灾备中心运维负责人和变更审批人。异地灾备系统切换演练与恢复管理根据《B证券股份有限公司信息技术总部运维管理办法》、《B证券股份有限公司信息安全管理办法》、《B证券股份有限公司网络通信管理办法》中的相关规定，各业务系统应定期进行灾备切换演练（含异地灾备），频率为不低于一年一次。切换演练的时间窗口，涉及交易部分的，必须有交易所环境，以模拟确认客户交易成功为准。其余后台、管理类、基础架构类系统，以其上所运行或对接的业务联通性及连续性为确认依据。由信息技术总部总经理统筹规划数据中心业务的灾备切换演练整体计划。系统运行部总监负责各交易系统的灾备切换演练事宜，基础保障部总监负责基础设施、架构部分的灾备切换演练事宜，开发部总监负责开发所属系统的灾备切换演练事宜。前期准备前期准备工作主要包括制定演练计划、联系相关机构、系统及数据备份等，具体如下：由信息技术总部下属各二级部门具体制定数据中心各系统的灾备