【51CTO.com 綜合報道】招商局集團(tuán)是中央直接管理的國有重要骨干企業(yè)，被列為香港四大中資企業(yè)之一。集團(tuán)現(xiàn)有業(yè)務(wù)涉足金融、碼頭、海運、房地產(chǎn)、物流、交通、工業(yè)等，下屬的上市企業(yè)20多家，招商局創(chuàng)建的知名企業(yè)有：招商銀行、招商證券、招商局國際（HK）、招商地產(chǎn)、招商輪船、深中集、深赤灣、平安保險等。

在多元化的發(fā)展中，招商局的信息化建設(shè)一直秉承推動集團(tuán)業(yè)務(wù)發(fā)展的思路，通過前瞻性的信息化建設(shè)，降低企業(yè)IT運營的成本、優(yōu)化企業(yè)運營的流程、增強企業(yè)的業(yè)務(wù)效益，是招商局信息化建設(shè)一直努力的方向。

目前，招商局已建立起成熟的數(shù)據(jù)中心災(zāi)備體系，力求不斷降低集團(tuán)的業(yè)務(wù)運營風(fēng)險，打造高效快速的業(yè)務(wù)體系。2002年，集團(tuán)規(guī)劃了二個中心五個信息站的IT建設(shè)思路，以應(yīng)對相當(dāng)數(shù)量的下屬公司總部身在香港，90%的企業(yè)又在內(nèi)地的情況。香港深圳各建一數(shù)據(jù)中心，兩地互為災(zāi)備，這既能保證下屬企業(yè)（內(nèi)地、海外）高效地訪問數(shù)據(jù)中心，又減少了跨境通信線路帶寬的需求這降低成本，也實現(xiàn)了災(zāi)難備份。目前，兩地數(shù)據(jù)中心承擔(dān)下屬300多家實體企業(yè)的門戶、協(xié)調(diào)辦公、財務(wù)管理、資金管理等應(yīng)用。

隨著信息化建設(shè)的不斷深入，招商局集團(tuán)的業(yè)務(wù)信息系統(tǒng)由分布式部署逐步走向集中管理，以前雙運營的數(shù)據(jù)中心，逐步發(fā)展為一個生產(chǎn)、一個備份的機制。問題也隨之而來：

一、數(shù)據(jù)中心跨境線路面臨的帶寬壓力

招商局深圳香港兩地的數(shù)據(jù)中心是通過跨境專線互聯(lián)的，整個專線承載著集團(tuán)各類應(yīng)用系統(tǒng)、高清視頻會議系統(tǒng)、集團(tuán)IP語音電話系統(tǒng)等。視頻會議系統(tǒng)、語音系統(tǒng)數(shù)據(jù)包一般不可壓縮，大量的數(shù)據(jù)包傳輸對有限的專線造成了巨大的壓力，導(dǎo)致數(shù)據(jù)擁塞，用戶響應(yīng)速度很慢，尤其是在高峰期間，甚至導(dǎo)致用戶訪問中斷。

廣域網(wǎng)加速解決方案

針對這種情況，是擴充專線，還是進(jìn)行線路傳輸加速？經(jīng)過深入分析，招商局最終選擇了廣域網(wǎng)加速解決方案，因為招商局現(xiàn)有的相當(dāng)數(shù)量的業(yè)務(wù)系統(tǒng)交互頻繁、傳輸協(xié)議本身限制了數(shù)據(jù)傳輸速度，單純提升專線帶寬并沒有顯著效果，并且將大幅增加集團(tuán)的帶寬成本。 

圖1   招商局廣域網(wǎng)加速設(shè)備部署示意圖

通過對國內(nèi)外廠商深入考察，經(jīng)過長達(dá)半年的測試對比，招商局最終選擇了深信服廣域網(wǎng)加速設(shè)備。在實際應(yīng)用環(huán)境下，深信服廣域網(wǎng)加速設(shè)備對兩地數(shù)據(jù)中心的數(shù)據(jù)傳輸平均提速達(dá)2.7倍，這極大地緩解了深港兩地的通信壓力，用戶反映良好。按照國際跨境DDN線路租金來看，這項投資每年可為集團(tuán)節(jié)約通信費50多萬元。這也為招商局未來的網(wǎng)絡(luò)建設(shè)提供了較好的平臺。

二、數(shù)據(jù)中心、各地分支互聯(lián)網(wǎng)出口帶寬的壓力

招商局曾遇到這樣的問題：重慶分支訪問深圳數(shù)據(jù)中心郵件系統(tǒng)時，速度非常慢，經(jīng)過測試，我們發(fā)現(xiàn)原因在于重慶分支內(nèi)網(wǎng)里，很多用戶在進(jìn)行P2P下載或在線視頻，這擠占了正常的業(yè)務(wù)帶寬，事實上，深圳、上海、北京等地也存在著這種情況，如何保證數(shù)據(jù)中心互聯(lián)網(wǎng)出口的業(yè)務(wù)帶寬呢？

上網(wǎng)行為管理解決方案

通過在互聯(lián)網(wǎng)出口部署深信服上網(wǎng)行為管理設(shè)備，招商局成功降低了數(shù)據(jù)中心及各地分支帶寬租用的成本。因為深信服上網(wǎng)行為管理設(shè)備成功杜絕了內(nèi)網(wǎng)用戶的P2P行為、在線看電影等行為，確保了有限的帶寬資源全部為業(yè)務(wù)系統(tǒng)使用，這提升了單位的帶寬利用率。針對關(guān)鍵的業(yè)務(wù)應(yīng)用、核心業(yè)務(wù)部門進(jìn)行帶寬、流量的分配，招商局成功保障了相關(guān)業(yè)務(wù)應(yīng)用的帶寬，并且做到了根據(jù)業(yè)務(wù)、職位崗位需要，對內(nèi)網(wǎng)不同層次的用戶進(jìn)行互聯(lián)網(wǎng)訪問權(quán)限的控制。

上網(wǎng)行為管理設(shè)備也保護(hù)了內(nèi)網(wǎng)關(guān)鍵服務(wù)器的安全，大大減少了互聯(lián)網(wǎng)流入內(nèi)網(wǎng)的病毒威脅。因為通過在數(shù)據(jù)中心、各分支機構(gòu)網(wǎng)絡(luò)干路上架設(shè)深信服上網(wǎng)行為管理設(shè)備，招商局成功將高危網(wǎng)站、相關(guān)網(wǎng)絡(luò)應(yīng)用禁掉，減少了集團(tuán)面臨的外部威脅；通過上網(wǎng)行為管理設(shè)備的準(zhǔn)入規(guī)則，各單位通過設(shè)置殺毒軟件、補丁、注冊表等安全元素的上網(wǎng)放行準(zhǔn)則，強制內(nèi)網(wǎng)用戶提升安全等級，從內(nèi)提升了內(nèi)網(wǎng)安全體質(zhì)。

事實上，整個集團(tuán)的信息安全也得到了加強。上網(wǎng)行為管理設(shè)備通過強大的上網(wǎng)日志存儲與審計功能，滿足國家相關(guān)法律要求，并且讓招商局信息管理部門掌握網(wǎng)絡(luò)架構(gòu)優(yōu)化的第一手資料。 

圖2   招商局上網(wǎng)行為管理設(shè)備+SSL VPN部署示意圖

三、用戶身份安全認(rèn)證的壓力

目前，招商局DMZ區(qū)的服務(wù)器暴露在外網(wǎng)，易受攻擊。領(lǐng)導(dǎo)出差、駐外業(yè)務(wù)人員訪問服務(wù)器上相關(guān)文件與業(yè)務(wù)系統(tǒng)時，現(xiàn)有的網(wǎng)絡(luò)架構(gòu)無法做到接入用戶的強身份認(rèn)證。且整個內(nèi)外網(wǎng)用戶的接入無法審計，這對招商局現(xiàn)有的信息資產(chǎn)威脅不小。

SSL VPN遠(yuǎn)程接入解決方案

通過考察測試，招商局選用了深信服SSL VPN進(jìn)行了內(nèi)網(wǎng)、外網(wǎng)訪問的安全加固。所有訪問數(shù)據(jù)中心各種應(yīng)用的人員都必須先通過深信服SSL VPN的身份強認(rèn)證，用戶配備USB Key，以達(dá)到合法的身份認(rèn)證，這極大地保障了遠(yuǎn)程接入訪問業(yè)務(wù)應(yīng)用的安全性。

深信服SSL VPN身份認(rèn)證體系與招商局原有的LDAP服務(wù)器中的身份認(rèn)證資源無縫結(jié)合，設(shè)備根據(jù)合法的身份分配對應(yīng)的業(yè)務(wù)應(yīng)用訪問權(quán)限，這樣就做到了不同的人用各自對應(yīng)的業(yè)務(wù)系統(tǒng)，并且該SSL VPN的單點登錄功能，避免了接入用戶登錄不同系統(tǒng)時都要輸入一道密碼的麻煩，使操作更簡單易用。

在數(shù)據(jù)中心建設(shè)的道路上，招商局集團(tuán)通過廣域網(wǎng)加速+上網(wǎng)行為管理+SSL VPN遠(yuǎn)程登錄的整合解決方案，成功解決了數(shù)據(jù)中心數(shù)據(jù)傳輸面臨的速度、安全問題，也對整個的業(yè)務(wù)網(wǎng)絡(luò)的安全與規(guī)范、應(yīng)用系統(tǒng)使用進(jìn)行了卓有成效規(guī)范管理。并且這一系列的網(wǎng)絡(luò)架構(gòu)優(yōu)化成功降低了集團(tuán)的IT運營成本，在新的數(shù)據(jù)中心網(wǎng)絡(luò)連接架構(gòu)下，招商局多元化的業(yè)務(wù)運營流程得以簡化，效益也得到了明顯的提升。