大行情下PROP系统安全运行指引.pptVIP

大行情下PROP系统安全运行指引,,技术开发部| 上海分公司 2015年6月,China Securities Depository and Clearing Corporation Limited,PROP用户端部署及应用指引,背景,2015年4月13日，A股市场全面放开一人一户限制，步入“一人多户”时代 2015年4月20日，沪市成交首破万亿，刷新世界纪录 2015年5月29日，市场一周新增A股开户数突破442万户,PROP用户端部署及应用指引,PROP可扩展性设计-“具有横向扩展能力”,PROP网关,综合业务终端,自动下载工具,通用接口,加密机,PROP多部署指引,CSDCC-SH,PROP主网关,PROP备网关,PROP灾备网关,PROP网关多部署,1. 按照要求应部署主，备和灾备三套PROP网关，异常时，可做到及时切换。 2. 三套网关支持多活运行，即可同时在线运行。,通用接口n,PROP多部署指引,通用接口多部署,可部署多套PROP通用接口软件，并根据主、备、灾网关使用的链路带宽分别接入不同的网关 （注：带宽高的，可多接入PROP通用接口软件）,CSDCC-SH,PROP主网关,PROP备网关,PROP灾备网关,通用接口1,通用接口,通用接口,通用接口n,PROP多部署指引,通用接口多部署,1.尽量不要使用虚拟机部署PROP通用接口软件。 2.尽量使用本地存储作为PROP通用接口软件数据存放目录。 3.建议定期备份清理请求应答库（req.dbf,rep.dbf）以及日志数据文件（c:prop2000logGenlogTransData.dat）。,CSDCC-SH,PROP主网关,PROP备网关,PROP灾备网关,通用接口1,通用接口,通用接口,PROP多部署指引,自动下载工具多部署 综合业务终端多部署 机密机多部署,CSDCC-SH,PROP主网关,自动下载工具1,综合业务终端,自动下载工具n,综合业务终端n,加密机,PROP多部署指引,部署带宽升级,目前，对大型券商而言，PROP链路的带宽已接近上限，将直接影响证券交易、结算业务的正常开展。对无法满足半小时内完成历史峰值交易量下所有结算数据的下载的，建议尽快完成PROP链路带宽扩容（上证通目前已可提供带宽最高可达10M的MSTP专线）。,CSDCC-SH,PROP主网关,PROP备网关,PROP灾备网关,PROP多部署应用指引,02,01,1. 用户部署的主备灾三套PROP网关可同时在线使用。 2. 可部署多套PROP通用接口软件，并根据主、备、灾网关使用的链路带宽分别接入不同的网关（注：带宽高的，可多接入PROP通用接口软件）。,用户端多部署,02,02,1.尽量不要使用虚拟机部署PROP通用接口软件。 2.尽量使用本地存储作为PROP通用接口软件数据存放目录。 3.建议定期备份清理请求应答库（req.dbf,rep.dbf）以及日志数据文件（c:prop2000logGenlogTransData.dat）。,通用接口软件部署,PROP多部署应用指引,02,03,目前，对大型券商而言，PROP链路的带宽已接近上限，将直接影响证券交易、结算业务的正常开展。对无法满足半小时内完成历史峰值交易量下所有结算数据的下载的，建议尽快完成PROP链路带宽扩容（上证通目前已可提供带宽最高可达10M的MSTP专线）。,带宽升级,PROP多部署应用指引,02,04,对中大型券商，建议使用加密机作为PROP客户端安全设备。,加密机,PROP多部署应用指引,PROP用户端部署及应用指引,PROP用户端部署及应用指引,部分券商 2012年3月，所有的结算银行使用加密机,PROP用户端部署及应用指引,虚拟化优势 随着终端虚拟化技术的发展，虚拟化在企业应用逐渐普及，加密机便于在虚拟化系统上进行部署。,安全优势 加密设备中的密钥和证书属于非常重要的保密信息，部署于机柜中的加密机更便于安全管理。,性能优势 加密机的签名速度通常较于加密Key性能提升一个数量级。,可靠性及横向扩展优势 加密机采用网络方式部署，可以同时连接多个加密机，提升系统可靠性，也便于横向扩展，以最简单的方式提升系统性能。,安全改造项目推介,通信系统安全改造项目 进一步提升通信系统安全级别 响应国家规定，并行支持RSA及新型国产加密算法 升级对应的软体和硬件,安全改造项目推介,网关用户和B股境外版用户进行PROP网关软件和B股境外软件的推广升级，包括软件升级和证书更新两部分。在此期间，用户可以选择主、备、灾分别升级及更新证书。软件升级后，原有证书和加密设备可继续使用，但需要在2016年前完成证书的更新。,安全改造项目推介,对上市公司、个人等直连用户，在10月份会对综合业务终端进行统一升级，升级后的证书和加密设备依然可以正常使用，但证书需要在2016年前进行更新。,安全改造项目推介,在2015年12月之前，所有网关和B股境外用户需完成软件升级，未升级用户将无法登录PROP系统。,PROP用户端部署及应用指引,PROP用户端部署及应用指引,随着证券账户业务量剧增, 沪市交易量屡创新高，日终主要结算数据量从数量和大小两个方面都有着显著的增长。 通过使用PROP信箱文件自动交换软件（MFET Mail File Exchange Tool）实现无人值守自动上传和下载PROP信箱文件，缩短结算数据文件下载时间，保证结算数据文件下载的准确性,PROP用户端部署及应用指引,合理创建下载任务,文件名通配符配置规则 前缀部分：“？”表示1个任意字符，“*”表示1-n个任意字符 后缀部分：“%”表示当天日期，“%-n”表示n天前日期， 若用户配置下载当天所有结算数据，则文件名应为“*.%”,PROP用户端部署及应用指引,合理创建下载任务,开始时间-结束时间，支持跨日配置 文件保存目录：每个任务单独配置， 不可共用,PROP用户端部署及应用指引,合理创建下载任务,下载任务计划默认为每日下载，可根据需要自定义下载周期 公告任务的下载时间与文件下载任务时间错开，避免下载资源占用,PROP用户端部署及应用指引,程序无人值守,可通过【锁定】功能，将程序最小化，避免其他用户误操作自动下载工具。 锁定后，程序自动下载，上传功能不会受到影响，但需注意软件所在电脑不应设置自动休眠