基于國產化軟硬件證券業務信息系統的應用研究

周 峰 陳 偉 李 莉 林佳佳

（恒生電子股份有限公司,浙江 杭州 310051）

0 引言

隨著信息化技術的快速發展，證券業對信息科技的依賴程度日益加深，信息科技的安全運行和健康發展直接影響到券商的穩健經營，關乎國家金融穩定和社會安定。過去二十多年證券業在信息系統建設方面取得顯著成果，但在信息技術核心領域卻長期由西方國家控制[1]。近年來西方國家在一些關鍵技術方面對我國實施嚴格封鎖，“中美貿易戰”更是把信息安全推上了空前的高度，危及國家金融信息安全命脈。信息安全成為我國社會面臨的嚴重問題。

要想有效突破國外廠商對于證券業信息系統的壟斷，核心技術只能依靠自身來積極創新。近年來，得益于國家對信息化建設的大力投入，國內相關技術和產業發展非常迅速，目前國產軟硬件核心技術已經初步具備體系化發展能力，研究基于國產化軟硬件的證券業務信息系統，提升國產化率，構建安全牢靠的證券應用體系，對于維護國家金融安全具有重大的現實意義。

1 國產化軟硬件信息系統的設計

1.1 基于國產化軟硬件的信息系統總體架構

架構是系統的核心，為了有效地保證基于國產化軟硬件的證券信息系統的先進、成熟、完整、安全、可靠和自主可控，按照分層原則進行構建，從下至上分別為技術中臺、業務中臺、數據中臺、運營中臺。技術中臺承載了整個大中臺的技術部分，將技術的共性融合成一個共同的主題，為后續新業務快速落地提供保障。業務中臺融合了各業務系統的共通功能，統一建設多個業務中臺服務中心，統一實現和管理各類共享服務功能。數據中臺基于國產分布式存儲技術，滿足大數據高效可靠的存儲需求，提供較高的持久性，較高的吞吐量和較低的延遲速度，具備高可用性和高可靠性。運營中臺提供平臺組件級的支撐，滿足業務快速開發和拓展的需要，總體架構如圖1所示。

圖 1 面向國產化軟硬件的證券信息系統總體架構圖

1.2 國產化軟硬件組成

1.2.1 國產硬件組成

硬件是計算機運行的基礎，目前核心的硬件包括服務器、網絡設備等。計算、存儲、通信是計算機IT核心三大基礎模塊[2]。

在計算方面，國產化服務器平臺選用華為TaiShan服務器，該服務器具有多核并發構架優勢，尤其在大數據和分布式類業務應用優勢明顯。針對大數據類應用，對涉及預測分析、數據挖掘等典型離線計算場景進行了大幅優化，提升了離線計算性能。此外，還提供了面向交易流水和征信查詢等涉及高并發高實時計算場景，使其能夠更高效響應查詢請求。針對分布式存儲類應用，TaiShan依托多核優勢，可在單臺服務器并行化處理更多分布式存儲的數據請求。中央處理器是服務器的大腦核心，目前處理器長期由國外的Intel、AMD等公司壟斷。作為服務器的核心邏輯大腦，芯片的選型應滿足自主可控的要求，采用華為公司生產的鯤鵬920芯片。鯤鵬920處理器是華為發布的數據中心高性能處理器，由華為自主研發和設計，旨在滿足數據中心多樣性計算、綠色計算的需求。鯤鵬920處理器兼容ARM架構，采用7nm工藝制造，可以支持32/48/64個內核，主頻可達2.6GHz，支持8通道DDR4、PCIe 4.0和100G RoCE網絡。

在存儲方面，存儲設備主要分為內存和外存。內存采用長鑫存儲生產的國產DDR4內存，其生產的內存芯片符合國際通行標準規范，與現有設備有著良好的兼容性。外存采用長江存儲提供的NAND閃存顆粒。

在通信方面，網絡設備主要包括交換機、路由器等，采用華為公司生成的網絡產品族。華為所生產的網絡產品從數字通訊到無線通信，從核心網絡到移動終端，從傳輸介質到服務器等進行了全方位的覆蓋。

1.2.2 國產軟件組成

國產化的信息系統主要由操作系統、數據庫、中間件、業務系統等組成[3]。操作系統是軟件運行的基礎，也是硬件與軟件之間溝通的橋梁。目前國內常用的操作系統基本被Windows Server和各類Linux系統壟斷。通過近年來不斷地發展，出現了不少優秀的國產操作系統，例如優麒麟、深度操作系統、中標銀河麒麟等系統，都是擁有自主知識產權并且自主可控的操作系統。因此，將國產化操作系統引入到證券業信息系統中能夠有效地增強系統運行的安全性。

目前，隨著各類信息系統復雜程度的快速提升和近年來云端技術的飛速發展，基于云計算的云平臺融合到信息系統將是當今發展的趨勢。本文選用飛天系統作為分布式云計算平臺，該平臺是由阿里云平臺自主研發、服務全球的超大規模通用計算操作系統。它可以將遍布全球的百萬級服務器連成一臺超級計算機，以在線公共服務的方式為社會提供計算能力。飛天革命性地將云計算的三個方向整合起來：提供足夠強大的計算能力，提供通用的計算能力，提供普惠的計算能力。飛天內核負責統一管理數據中心內的通用服務器集群，調度集群的計算、存儲資源，支撐分布式應用的部署和執行，并自動進行故障恢復和數據冗余。飛天內核提供的授權機制，能夠有效實現最小權限原則。同時，還建立了自主可控的全棧安全體系。飛天內核對上層應用提供了詳細的、無間斷的監控數據和系統事件采集，能夠回溯到發生問題的那一刻現場，幫助工程師找到問題的根源。

中標麒麟操作系統是由國防科技大學所開發的開源服務器操作系統，該系統繼承了Linux系統內核的安全穩定的同時，大力開發良好的用戶交互界面，不僅內置了大量優秀的開發工具，同時滿足了對于安全可控的需求。因此，在面向桌面端用戶時，選用中標麒麟操作系統有助于擺脫國內對于國外Windows、MacOS等系統的過于依賴性[4]。

1.3 國產化證券信息系統應用策略

本文設計的證券信息系統應用策略總共由四個部分組成，分別為技術中臺、業務中臺、數據中臺、運營中臺。

1.3.1 技術中臺

技術中臺主要由渠道接入網關、應用服務框架、開發工具套件、運維監控平臺、數據集成服務等組成。

渠道接入網關面向終端所接入的服務總線及接入渠道，提供第三方渠道、終端、桌面的統一接入管理。應用服務框架利用IaaS資源層所提供的兼容該特性，實現針對不同關系數據庫及分布式數據庫的存儲和操作，同時充當各類基礎技術的服務層，提供自定義開發的框架及應用層。開發工具套件面向開發人員提供可視化編程工具、自動化集成測試、接口統一管理、代碼自動生成、開發調試等功能。運維監控平臺負責對整個平臺監控插件的提供以及日志的分析。數據集成服務提供了數據的采集、清洗、分析等服務，技術中臺架構圖如圖2所示。

圖 2 技術中臺架構圖

本文設計的技術中臺整體基于飛天（Apsara）超大規模通用計算機操作系統。飛天云平臺基于鯤鵬芯片進行重新編譯、測試，再基于鯤鵬芯片的TaiShan服務器進行功能、可靠性、性能等多方面驗證，并開展性能調優、可靠性、穩定性等工作。同時，云平臺提供的計算資源虛擬機還要進行與中標麒麟操作系統適配工作，提供基于中標麒麟操作系統的虛擬機給用戶使用。

同時針對技術中臺需求的復雜性，引入國產化的分布式開發技術平臺，該分布式中間件平臺是由恒生電子研發中心基于Java技術自主研發的、面向金融領域的企業級應用快速開發平臺和多系統融合平臺。平臺總共由三部分組成，JRES Studio效能平臺，提供一站式開發流程管理平臺，提高團隊協作開發效率；JRES FrameWork提供開發人員使用的開發框架，包括服務開發和終端開發；JRES SEE提供全面的服務監控和運維功能，確保系統穩定運行。

1.3.2 業務中臺

業務中臺是證券業管理的中心，分別由用戶中心、權益中心、支付中心、產品中心、通知中心組成。用戶中心定位于業務系統和分析系統的基礎數據服務系統，將散落在各種業務系統中的用戶信息數據以及外部各個渠道獲取的用戶數據，進行中央登記，統一識別，為其他業務系統提供實時共享、完整一致、權威的用戶數據來源。

用戶中心建立起統一的用戶體系，實現跨中心的用戶運營，并提供諸如登錄注冊、賬號綁定、行為信息、信息共享、數據統一、安全風控等功能。

權益中心定位為企業權益體系的集中統一管控平臺，主要由積分體系、會員成長體系、卡券體系三大核心體系構成。其功能主要包括中央統計、客戶識別、信息共享。通過權益中心能夠快速地對企業級客戶進行集中的信息管理，對客戶形成全面了解，進而為面向客戶的營銷、服務、宣傳等提供助，從而實現權益管理的集中化、標準化，用戶運營的穩定化，提升運營效率，提高用戶活躍度，增加用戶黏性，幫助企業塑造高效的客戶服務和管理模式，實現客戶精細化運營。

支付中心是一個資產管理中心，統一管理客戶資金以及資金渠道。主要目標為統一進出資金外部系統對接、統一資金管理、統一資金調撥、分離化的資金使用與資金管理。支付中心主要提供證券端發起的各項存管、轉賬業務和銀行端發起的轉賬業務，并提供證券端發起的各項轉賬業務的查詢。同時對于資金存取、現金存取、資金控制、資金調整、利息處理等進行管理。

隨著券商資產規模的擴大，傳統的產品管理較為分散，沒有形成統一的管理平臺，造成管理難度增大，風險增大，成本增加等問題。構建統一的產品中心有助于對產品相關工作的進一步提升。產品中心建設定位于規范產品要素、文檔、流程，以滿足相關部門協作需求，實現信息一體化，運營標準化，提高產品管理效率，同時引入適當的風險管控工具，提升風險量化水平。產品中心主要提供產品的基礎功能、產品管理、MOT管理、數據報表等。

通知中心是一個公共化組件模塊，它定位于各個業務系統的消息通知服務系統。它存在的目的是將各個業務系統所需要發送的消息數據通過短信、郵件等渠道準確無誤地發送到用戶手里。通知中心提供統一的消息視圖和多種轉發通知方式，能夠定時發送和統一保存數據。

1.3.3 數據中臺

數據中臺規劃包括數據技術架構、數據治理方法以及在此基礎之上形成的業務數倉（分為用戶大數據、投研大數據）。用戶大數據是集合證券公司現有的各類應用系統數據，加上外部數據補強，可以更好地理解用戶，更好地為運營系統提供分析及輔助決策，從而成為給業務價值補強中不可缺少的一部分。

數據中臺主要集成離線數據同步、離線數據計算、實時采集、實時計算等數據處理功能，通過調度任務、統籌數據加工過程，可以快速實現數據從業務向標準庫的轉換，提供計算引擎并負責統計計算，數據中臺架構圖如圖3所示。

圖 3 數據中臺架構圖

數據庫作為數據中心的核心，長期以來受到國外企業的壟斷。數據庫自創建以來已經過幾十年的演化過程，成了信息系統的重要組成部分，一個良好的數據庫系統能夠大幅地提高整體系統的性能。本文數據中心采用OceanBase數據庫作為數據中心的核心。OceanBase數據庫是螞蟻集團公司自主研發的分布式數據庫，是螞蟻集團公司擁有100%知識產權的分布式關系型數據庫，在系統主要功能方面不依賴外部或開源的代碼。OceanBase數據庫歷經八年打磨，在金融核心交易系統場景下經過了長期驗證。該數據庫為完全自主研發的原生分布式HTAP數據庫，可以有效屏蔽分布式的實現方式與客戶使用習慣之間的差異，對應用和業務無侵入。通過基于Paxos協議的多副本技術實現了系統的高可用性，并且支持多得多中心分布式部署方式。基于準靜態基線數據加上內存增量數據的新一代分布式存儲架構，可以有效提高系統的事務處理能力，同時采用基于自主研發分布式SQL引擎和優化器來實現復雜查詢的高效執行。

1.3.4 運營中臺

運營中臺是整合集中交易、融資融券、理財銷售、個股期權、場外股轉、CRM等系統的柜臺終端，并提供集中運營的管理，同時將用戶、賬戶、資金、中登等業務類型的柜面業務按照“受理/辦理分離”，“業務辦理以流程為中心”的建設思路進行系統建設，為客戶提供一站式的業務辦理體驗。

運營中臺主要提供業務流程驅動、機構核查模塊、自動派單模塊、運維監控。業務流程系統按照輕型柜面的設計思路，把復雜的業務合并成單一的業務入口，通過業務規則和流程引擎來進行引導、自動編排和任務調度，降低了操作的難度，提高了辦理效率。機構核查模塊根據機構開戶數據自動引入相關機構信息并對其信息進行自動核查。自動派單模塊提供順序策略派單任務調度功能，根據當前的時間、機構、員工、任務狀態來自動分配派單。運維監控能夠自動化地監控整體運營中臺的運營情況并及時發出預警，運營中臺架構圖如圖4所示。

圖 4 運營中臺架構圖

1.4 系統總體安全設計

證券期貨業經營活動要求業務系統必須穩健可靠運行，對高性能峰值業務處理、穩定可靠運行、復雜業務適配能力等多方面的技術要求非常苛刻，其信息系統從一開始就格外強調安全性和穩定性。系統總體安全設計主要分為物理安全設計、通信安全設計、數據安全設計、軟件安全設計。

物理安全方面。物理設備安全是系統安全的前提。所有的硬件設備應該滿足計算機場地站的安全要求，對于重要的信息存儲、消息收發進行屏蔽處理，還需要對硬件進行冗余備份。

通訊安全方面。減少與外部系統的連接，放置國產防火墻，防止來自外部的攻擊，并在需要時與外部系統建立VPN。使用網關和防火墻阻止外部的惡意攻擊。采用國產硬件防火墻，關閉UNIX上用于遠程登錄的服務端口。同時由于證券業系統通訊過程中涉及很多資金、交易、商業機密、國家機密、個人用戶信息等敏感數據，需要在數據傳輸過程中對數據進行嚴格加密。在通訊層屏蔽不必要的網絡協議，利用密碼算法對數據進行添加解密操作，針對聯機交易使用專門的安全控制措施如MAC控制、PIN控制等。

數據安全方面。定期對重要數據進行備份，將相關人員對于操作系統和數據庫的權限最小化。同時利用操作系統對用戶的權限進行合理規范，并結合數據庫的權限管理和加密來限定用戶的訪問。業務系統只能通過中間件對數據庫進行管理，實現應用層和數據層的分離，減少由于用戶原因導致的錯誤，同時提供豐富的日志記錄，幫助定位系統故障。

軟件安全方面。軟件安全側重保護計算機系統上運行的應用程序所提供的信息和資源。系統需要安裝企業級殺毒軟件，定期對系統磁盤進行掃描，及時更新病毒資源庫，減少受病毒感染的可能性。同時，及時對系統進行補丁施打，及時對系統軟件和應用軟件進行升級，降低漏洞暴露風險，對開發或部署不安全軟件進行檢查，確認文件來源及其安全性，及時關閉相關無用文件的訪問權限和不必要的訪問端口，對不明端口進行防火墻阻斷，避免面臨各種安全風險。

2 總結

本文提出的基于國產化軟硬件的證券業信息系統的設計方案，旨在提高證券業信息化系統的安全性、穩定性、可靠性。本文的設計分別從兩個主要方面提升證券業信息系統的國產化率，分別為國產化軟硬件的選用及面向證券業的信息系統應用策略。軟硬件方面，國產化硬件系統主要由TaiShan服務器和鯤鵬處理器作為支持，為硬件系統提供國產化核心軀干和大腦。國產化操作的支持系統主要由飛天云操作系統及麒麟操作系統組成。飛天系統提供了穩定的集群管理和冗余機制，麒麟操作系統為用戶提供了友善的交互系統。信息系統應用策略方面，設計了證券業大中臺設計，將應用系統分為四個中臺，對中臺的核心部分采用國產化軟件，最后探討了證券業信息系統的安全措施，以此提升證券業信息系統的國產化和安全性水平。