交易技術(shù)前沿

49

戶系統(tǒng)開發(fā)的工具包，該工具包首先通過 Restful

請(qǐng)求從網(wǎng)關(guān)處獲取到服務(wù)器所對(duì)應(yīng)的二級(jí)代理信

息，然后創(chuàng)建 Netty 客戶端與二級(jí)代理建立連接，

二級(jí)代理客戶端采用零拷貝的方式作為用戶端和

服務(wù)器間的橋梁將文件進(jìn)行分片傳輸。其中零拷

貝是一種使用在 NIO 和 Epoll 傳輸時(shí)使用的特性，

它可以快速高效的將數(shù)據(jù)從文件系統(tǒng)移動(dòng)到網(wǎng)絡(luò)

接口，而不是將其從內(nèi)核空間復(fù)制到用戶空間。

2.3 部署方式

自動(dòng)化代理平臺(tái)作為運(yùn)維系統(tǒng)的操作處理

平臺(tái)，對(duì)接了多個(gè)運(yùn)維子系統(tǒng)并且面臨大量的

QPS，同時(shí)還管理著近萬臺(tái)服務(wù)器，因此高可靠、

高可用的部署方案是不可或缺的。

自動(dòng)化代理平臺(tái)的微服務(wù)均采用集群方式

部署，其中網(wǎng)關(guān)層使用 Nginx 和 Zuul 集群組合的

方式對(duì)外提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。利用 Eureka 搭

建微服務(wù)集群的注冊(cè)中心，EurekaServer 提供服

務(wù)注冊(cè)和發(fā)現(xiàn)，這使得系統(tǒng)中的微服務(wù)可以方

便的進(jìn)行動(dòng)態(tài)擴(kuò)縮容，當(dāng)業(yè)務(wù)量增加導(dǎo)致微服

務(wù)出現(xiàn)性能瓶頸時(shí)，通過新實(shí)例的上線便可被

EurekaServer 自動(dòng)將其擴(kuò)容到服務(wù)列表中并將節(jié)

點(diǎn)信息實(shí)時(shí)同步到網(wǎng)關(guān)層，網(wǎng)關(guān)層將新增節(jié)點(diǎn)加

入到負(fù)載均衡循環(huán)列表中路由網(wǎng)絡(luò)請(qǐng)求。對(duì)于不

同物理機(jī)房的二級(jí)代理服務(wù)，雖然從業(yè)務(wù)和開發(fā)

角度屬于相同的服務(wù)，但在自動(dòng)化代理平臺(tái)中我

們將其劃分為不同的微服務(wù)，網(wǎng)關(guān)層對(duì)不同的微

服務(wù)創(chuàng)建不同的 Ribbon（一個(gè)基于 HTTP 和 TCP

的客戶端負(fù)載均衡工具），對(duì)指定的微服務(wù)集群

使用 Ribbon 進(jìn)行負(fù)載均衡的路由分發(fā)。

二級(jí)代理場(chǎng)景中服務(wù)器和二級(jí)代理通過

Netty 進(jìn)行長(zhǎng)連接，由于二級(jí)代理屬于集群化的

可動(dòng)態(tài)變化的微服務(wù)，因此服務(wù)器需要?jiǎng)討B(tài)的感

知二級(jí)代理的實(shí)例，并分別與其建立 Netty 長(zhǎng)連

接。二級(jí)代理各實(shí)例通過共享的數(shù)據(jù)庫(kù)中同步比

對(duì)服務(wù)器的連接狀態(tài)，保證所有實(shí)例與服務(wù)器的

連接狀態(tài)是一致的。在文件傳輸場(chǎng)景，用戶端創(chuàng)

建 Netty 客戶端與二級(jí)代理建立連接，在完成文

件傳輸時(shí)斷開連接，釋放冗余的資源占用。

緩存數(shù)據(jù)庫(kù)是維持自動(dòng)化代理平臺(tái)工作的重

要環(huán)節(jié)，采用“一主二從三哨兵”高可用解決方案，

其部署架構(gòu)主要包括兩部分 ：Redis 哨兵集群和

Redis 數(shù)據(jù)集群。如果主實(shí)例宕機(jī)，哨兵主動(dòng)將

一臺(tái)從機(jī)升級(jí)為主機(jī)繼續(xù)對(duì)外提供數(shù)據(jù)服務(wù)。在

業(yè)務(wù)層面，緩存數(shù)據(jù)庫(kù)除了提供二級(jí)代理場(chǎng)景下

的實(shí)例間數(shù)據(jù)共享外，還提供了實(shí)例間的分布式

鎖，保證 Netty 連接數(shù)據(jù)的最終一致性。

3、系統(tǒng)分析與實(shí)踐建議

3.1 系統(tǒng)分析

中信建投證券在自動(dòng)化代理平臺(tái)持續(xù)探索，

在系統(tǒng)架構(gòu)和功能模塊上不斷演進(jìn)與擴(kuò)展，取得

了一定的成效。目前的自動(dòng)化代理平臺(tái)能夠大大

降低運(yùn)維系統(tǒng)的使用難度，釋放運(yùn)維人員的繁瑣

勞動(dòng)，從架構(gòu)設(shè)計(jì)上能夠有效改善系統(tǒng)的運(yùn)行效

率與穩(wěn)定性，具體體現(xiàn)在以下幾個(gè)方面。

（1）安全性

自動(dòng)化代理平臺(tái)運(yùn)行在系統(tǒng)的內(nèi)網(wǎng)環(huán)境，只

有網(wǎng)關(guān)層提供內(nèi)網(wǎng)其他系統(tǒng)的訪問，避免了業(yè)務(wù)

服務(wù)被直接訪問攻擊的風(fēng)險(xiǎn)。網(wǎng)關(guān)層采用用戶認(rèn)

證以及 token 校驗(yàn)，對(duì)惡意訪問的用戶或 ip 地址

進(jìn)行黑名單處理并上報(bào)告警。

（2）可靠性

采用無狀態(tài)化的集群部署方式，保障系統(tǒng)有

效的利用服務(wù)器資源，多實(shí)例的服務(wù)模式以及主

備容災(zāi)的數(shù)據(jù)模式有效分擔(dān)了系統(tǒng)的計(jì)算壓力，

避免出現(xiàn) CPU 或內(nèi)存資源出現(xiàn)滿負(fù)荷的狀況。

微服務(wù)在微服務(wù)注冊(cè)中心注冊(cè)后由網(wǎng)關(guān)進(jìn)行服務(wù)

轉(zhuǎn)發(fā)，并且具有降級(jí)、熔斷和限流等功能保障系

統(tǒng)持續(xù)提供服務(wù)。高可用的數(shù)據(jù)庫(kù)與中間件提供

完善的數(shù)據(jù)備份和可靠機(jī)制，系統(tǒng)可靠性增強(qiáng)顯

著。

（3）穩(wěn)定性

探索與應(yīng)用

50

對(duì)外網(wǎng)關(guān)采用 Zuul 集群的形式，有效提升

外部的訪問吞吐量，系統(tǒng)內(nèi)使用負(fù)載均衡的消息

分發(fā)策略，將計(jì)算壓力分流到多實(shí)例服務(wù)中。將

熱點(diǎn)數(shù)據(jù)存貯到緩存數(shù)據(jù)庫(kù)中，降低了外部訪問

對(duì)系統(tǒng)的壓力，提升了請(qǐng)求相應(yīng)速度。微服務(wù)的

功能單一、業(yè)務(wù)獨(dú)立使得整個(gè)系統(tǒng)耦合性極低，

模塊間調(diào)用關(guān)系更清晰，并可進(jìn)行鏈路跟蹤與分

析，顯著提高開發(fā)效率與系統(tǒng)運(yùn)行監(jiān)控能力。

（4）易用性

統(tǒng)一的對(duì)外網(wǎng)關(guān)，有效了屏蔽了用戶層和服

務(wù)層直接的狀態(tài)感知，用戶只需關(guān)注自身的業(yè)務(wù)

請(qǐng)求指令，無需關(guān)注服務(wù)器的物理位置，網(wǎng)關(guān)層

會(huì)通過自定義過濾器功能將業(yè)務(wù)請(qǐng)求指令路由到

對(duì)應(yīng)的服務(wù)層。為了便于用戶系統(tǒng)對(duì)接，我們提

供了封裝完善的工具包，用戶系統(tǒng)可以很容易的

集成，并直接通過 API 指令完成自動(dòng)化代理平臺(tái)

提供的業(yè)務(wù)功能。

3.2 實(shí)踐建議

自動(dòng)化代理平臺(tái)作為運(yùn)維系統(tǒng)的核心服務(wù)之

一，是簡(jiǎn)化運(yùn)維復(fù)雜度、降低人工干預(yù)風(fēng)險(xiǎn)、提

升運(yùn)維人員工作效率的重要環(huán)節(jié)。如何更切實(shí)的

完成這些目標(biāo)是我們努力探索的方向，在實(shí)踐過

程中總結(jié)了幾點(diǎn)建議，并規(guī)劃進(jìn)一步完善自動(dòng)化

代理平臺(tái)。

（1）數(shù)據(jù)可視化

可視化數(shù)據(jù)報(bào)表比傳統(tǒng)的數(shù)據(jù)報(bào)表更有表現(xiàn)

力，借助 Web UI 的窗口將系統(tǒng)中的服務(wù)器關(guān)系

以及運(yùn)行狀態(tài)轉(zhuǎn)換成視覺或表格的格式，以便可

以分析數(shù)據(jù)和數(shù)據(jù)項(xiàng)或?qū)傩灾g的關(guān)系與特性，

方便用戶直觀分析大量視覺信息，檢測(cè)一般規(guī)律

和趨勢(shì)。

（2）異地容災(zāi)

自動(dòng)化代理平臺(tái)擁有大量的運(yùn)維系統(tǒng)對(duì)接，

對(duì)自身的容災(zāi)要求更為嚴(yán)格，通過異地容災(zāi)的部

署方式將主備兩個(gè)物理站點(diǎn)隔離開來，預(yù)防自然

災(zāi)害等造成的系統(tǒng)癱瘓。將自動(dòng)化代理平臺(tái)分別

部署在不同站點(diǎn)，主站點(diǎn)對(duì)外提供服務(wù)，備站點(diǎn)

定時(shí)從主站點(diǎn)同步數(shù)據(jù)備份，在主站點(diǎn)心跳停止

后自動(dòng)升級(jí)為主站點(diǎn)并向運(yùn)維系統(tǒng)發(fā)送主備倒換

通知，進(jìn)而接管自動(dòng)化代理平臺(tái)業(yè)務(wù)。

（3）智能化改造

隨著業(yè)務(wù)量的不斷增加，運(yùn)維人員的操作請(qǐng)

求也會(huì)不斷增加，系統(tǒng)智能化是提升業(yè)務(wù)精準(zhǔn)度

和降低人力成本的有效途徑。使用自動(dòng)化任務(wù)流，

對(duì)于異常任務(wù)進(jìn)行智能化回滾或重試，探索智能

機(jī)器人與人工的協(xié)同工作模式，以最大化用戶滿

意度，同時(shí)提高處理效率。

4、總結(jié)與展望

為提升用戶的滿意度，應(yīng)對(duì)快速增長(zhǎng)的業(yè)務(wù)

請(qǐng)求，中信建投證券以自動(dòng)化為導(dǎo)向，微服務(wù)架

構(gòu)為標(biāo)準(zhǔn)，針對(duì)自動(dòng)化代理平臺(tái)不斷探索。本文

針對(duì)中信建投證券在自動(dòng)化代理平臺(tái)的探索與實(shí)

踐進(jìn)行闡述，對(duì)系統(tǒng)架構(gòu)演變進(jìn)行詳細(xì)介紹。此

外，本文還介紹了自動(dòng)化代理平臺(tái)建設(shè)的成果，

從系統(tǒng)功能設(shè)計(jì)角度闡述系統(tǒng)的模塊設(shè)計(jì)與架構(gòu)

調(diào)優(yōu)。最后，本文分析了自動(dòng)化代理平臺(tái)所帶來

的成效，并介紹了系統(tǒng)建設(shè)的實(shí)踐經(jīng)驗(yàn)。

未來自動(dòng)化代理平臺(tái)還有廣闊的探索空間，

一方面隨著人工智能技術(shù)在證券行業(yè)的應(yīng)用逐步

深化，運(yùn)維系統(tǒng)將逐步向智能化、自動(dòng)化方向演

進(jìn)。另一方面，隨著證券業(yè)務(wù)越來越多，系統(tǒng)間

交互越來越復(fù)雜，搭建完善的自動(dòng)化代理平臺(tái)的

訴求將更加強(qiáng)烈，自動(dòng)化代理平臺(tái)作為很好的切

入點(diǎn)，在提升用戶服務(wù)體驗(yàn)以及構(gòu)建開放生態(tài)上，

將發(fā)揮出更大的價(jià)值。未來自動(dòng)化代理平臺(tái)將以

云原生和智能化為方向持續(xù)改進(jìn)優(yōu)化，以為用戶

提供高質(zhì)量服務(wù)為最終目標(biāo)不斷努力。

交易技術(shù)前沿

51

隨著金融領(lǐng)域不斷對(duì)外開放，我國(guó)已全面取消外資持有境內(nèi)證券、基金公司股權(quán)比

例限制，外資金融機(jī)構(gòu)正加速進(jìn)入中國(guó)市場(chǎng)，隨之而來的數(shù)據(jù)跨境流動(dòng)問題也日益凸顯。

因此，如何安全、合規(guī)地進(jìn)行數(shù)據(jù)跨境流動(dòng)已成為外資金融機(jī)構(gòu)以及監(jiān)管部門關(guān)注的核

心問題。本文在研究數(shù)據(jù)跨境流動(dòng)國(guó)內(nèi)外政策以及現(xiàn)狀的基礎(chǔ)上，探索一種基于“上證云”

的數(shù)據(jù)跨境流動(dòng)管理解決方案——虛擬數(shù)據(jù)室，即通過數(shù)據(jù)加密、權(quán)限控制、操作留痕、

關(guān)鍵字檢索等技術(shù)手段，解決外資金融機(jī)構(gòu)日常數(shù)據(jù)跨境流動(dòng)涉及的相關(guān)問題，同時(shí)利

用統(tǒng)一日志、數(shù)據(jù)接口等技術(shù)手段便利監(jiān)管與審計(jì)。

基于上證云的數(shù)據(jù)跨境流動(dòng)

管理方案研究與實(shí)現(xiàn)

操浩東1

、劉政言1

、何雷2 / 1 上交所技術(shù)有限責(zé)任公司 云基礎(chǔ)設(shè)施運(yùn)營(yíng)部 上海 200120

2 中金所數(shù)據(jù)有限公司 數(shù)據(jù)研發(fā)部 上海 200120

E-mail ：hdcao@sse.com.cn

1、概述

隨著數(shù)字經(jīng)濟(jì)及全球化的深入發(fā)展，數(shù)據(jù)已

成為全球經(jīng)濟(jì)的基礎(chǔ)性生產(chǎn)要素，同時(shí)也是國(guó)家

重要的戰(zhàn)略性資產(chǎn)。在數(shù)字化時(shí)代，數(shù)據(jù)作為新

的關(guān)鍵生產(chǎn)要素，只有實(shí)現(xiàn)在更大范圍的流動(dòng)共

享，才能更好地發(fā)揮對(duì)經(jīng)濟(jì)增長(zhǎng)、社會(huì)發(fā)展、全

球化進(jìn)程的推動(dòng)作用。

我國(guó)自 2020 年取消境外金融機(jī)構(gòu)持股比例

限制后，境外金融機(jī)構(gòu)在境內(nèi)控股證券、基金管

理公司逐漸增多，客觀上有基于并表管理、業(yè)務(wù)

協(xié)同、統(tǒng)一風(fēng)險(xiǎn)控制等目的開展數(shù)據(jù)跨境流動(dòng)及

信息系統(tǒng)跨境部署（以下簡(jiǎn)稱“雙跨”）需要，

也需要通過“雙跨”落實(shí)對(duì)外開放的目標(biāo)。同時(shí)，

伴隨著全球普遍加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全、個(gè)人隱私保

護(hù)以及我國(guó)陸續(xù)發(fā)布數(shù)據(jù)安全有關(guān)法律法規(guī)，對(duì)

探索與應(yīng)用

如何在安全、合規(guī)前提下支持外資機(jī)構(gòu)數(shù)據(jù)跨境

流動(dòng)需求提出了更高要求。

1.1 國(guó)內(nèi)外相關(guān)政策

目前，全球正積極推進(jìn)網(wǎng)絡(luò)空間主權(quán)、數(shù)據(jù)

安全、個(gè)人隱私保護(hù)等相關(guān)立法進(jìn)程，但各國(guó)立

法紛繁復(fù)雜，針對(duì)數(shù)據(jù)跨境流動(dòng)也尚未形成統(tǒng)一、

對(duì)等的監(jiān)管協(xié)作機(jī)制。

2018 年，美國(guó)發(fā)布《澄清域外合法使用數(shù)

據(jù)法》（CLOUD Act，以下簡(jiǎn)稱《云幕法案》），

賦予美國(guó)政府調(diào)取存儲(chǔ)于他國(guó)境內(nèi)數(shù)據(jù)的法律權(quán)

限，無論數(shù)據(jù)是否存儲(chǔ)在美國(guó)境內(nèi)，服務(wù)提供者

需依法進(jìn)行信息披露。他國(guó)政府想調(diào)取存儲(chǔ)在美

國(guó)的數(shù)據(jù)，須通過美國(guó)“合格外國(guó)政府 ”的審

查（大部分國(guó)家都不滿足審查標(biāo)準(zhǔn)）。

2018 年 5 月，歐盟發(fā)布《通用數(shù)據(jù)保護(hù)條例》

（GDPR），對(duì)通過“充分性認(rèn)定”國(guó)家（大部分

為歐盟成員國(guó)）的數(shù)據(jù)跨境流動(dòng)實(shí)行統(tǒng)一、對(duì)等

的監(jiān)管要求，減少或取消成員國(guó)內(nèi)對(duì)數(shù)據(jù)流動(dòng)的

地域限制，從而推動(dòng)歐盟范圍內(nèi)數(shù)據(jù)的自由共享。

對(duì)于未通過“充分性認(rèn)定”的國(guó)家，在數(shù)據(jù)共享

過程中則需滿足歐盟頒布的標(biāo)準(zhǔn)合條款（SCC）、

集團(tuán)企業(yè)規(guī)則（BCR）等諸多法律法規(guī)限制。

俄羅斯等國(guó)家基于維護(hù)國(guó)家安全的歷史傳統(tǒng)

和現(xiàn)實(shí)中的網(wǎng)絡(luò)數(shù)據(jù)安全威脅，明確提出公民數(shù)

據(jù)的存儲(chǔ)和處理必須在俄羅斯境內(nèi)進(jìn)行。

我國(guó)基于“維護(hù)國(guó)家安全及公眾利益、保護(hù)

個(gè)人隱私”等目的，在服務(wù)對(duì)外開放大局的前提

下，高度關(guān)注與國(guó)外監(jiān)管機(jī)構(gòu)劃分合理監(jiān)管邊界，

防范“長(zhǎng)臂管轄”。在現(xiàn)行的法律中，《網(wǎng)絡(luò)安全法》

將“網(wǎng)絡(luò)空間主權(quán)”置于國(guó)家安全同等重要的地

位，同時(shí)提出了重要數(shù)據(jù)本地化存儲(chǔ)等有關(guān)要求，

通過強(qiáng)化地域管轄實(shí)現(xiàn)對(duì)數(shù)據(jù)主權(quán)的保護(hù) ；本次

修訂的《證券法》，提出了數(shù)據(jù)出境需經(jīng)國(guó)務(wù)院

有關(guān)機(jī)構(gòu)或部門同意等要求 ；《反洗錢法》提出

了非依法律規(guī)定，不得向任何單位和個(gè)人提供反

洗錢相關(guān)客戶身份和交易信息等有關(guān)要求 ；《個(gè)

人信息保護(hù)法》進(jìn)一步明確了個(gè)人信息、重要數(shù)

據(jù)的定義以及數(shù)據(jù)出境需經(jīng)嚴(yán)格的評(píng)估等要求 ；

《數(shù)據(jù)安全法》，提出了數(shù)據(jù)分類分級(jí)管理、數(shù)據(jù)

出境評(píng)估、加強(qiáng)國(guó)際合作等一系列要求，保障數(shù)

據(jù)依法有序自由流動(dòng) ；新出臺(tái)的《數(shù)據(jù)出境安全

評(píng)估辦法》提出了數(shù)據(jù)出境安全評(píng)估的具體要求，

規(guī)定數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前應(yīng)當(dāng)

開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估等一系列要求。

1.2 數(shù)據(jù)跨境流動(dòng)需求

無論是境內(nèi)外資機(jī)構(gòu)基于發(fā)揮境外集團(tuán)在

全球范圍內(nèi)的資產(chǎn)配置作用、復(fù)用集團(tuán)先進(jìn)系統(tǒng)

及經(jīng)驗(yàn)等目的，還是境外集團(tuán)借助境內(nèi)外資機(jī)構(gòu)

更好的了解中國(guó)市場(chǎng)，發(fā)掘中國(guó)市場(chǎng)蘊(yùn)含的潛在

機(jī)會(huì)等需求，雙方均有較大的數(shù)據(jù)流動(dòng)需求。目

前，金融機(jī)構(gòu)跨境流動(dòng)的數(shù)據(jù)主要可以分為以下

幾類 ：一是基于業(yè)務(wù)協(xié)同需要，以滿足集團(tuán)化運(yùn)

營(yíng)管理為目的的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)，如跨境并

購(gòu)時(shí)需與境外團(tuán)隊(duì)共享的概要性盡職調(diào)查信息、

用于風(fēng)險(xiǎn)敞口計(jì)量的數(shù)據(jù)、證券自營(yíng)業(yè)務(wù)交易數(shù)

據(jù)、符合我國(guó)有關(guān)法律法規(guī)要求并取得員工同意

的員工個(gè)人信息等。二是基于公司財(cái)務(wù)并表管理

或流動(dòng)性風(fēng)險(xiǎn)計(jì)量需要，需定期通報(bào)股東單位的

結(jié)果類、匯總類信息。三是基于復(fù)用經(jīng)驗(yàn)、提升

項(xiàng)目質(zhì)量的目的，供全球業(yè)務(wù)領(lǐng)域?qū)＜易鰧I(yè)研

判的數(shù)據(jù)。四是基于滿足境外監(jiān)管要求需報(bào)送的

數(shù)據(jù)，如出于滿足反洗錢、反恐怖等司法目的的

數(shù)據(jù)、為協(xié)助境外集團(tuán)滿足巴塞爾協(xié)議資本計(jì)量

的要求，需報(bào)送風(fēng)險(xiǎn)損失等數(shù)據(jù)。

1.3 數(shù)據(jù)跨境流動(dòng)存在的問題

1. 數(shù)據(jù)跨境傳輸手段落后。目前，金融機(jī)構(gòu)

主要使用郵箱、文件傳輸系統(tǒng)，或者直接通過數(shù)

據(jù)接口等傳統(tǒng)方式進(jìn)行數(shù)據(jù)跨境傳輸。隨著數(shù)據(jù)

跨境流動(dòng)場(chǎng)景的規(guī)?；蛷?fù)雜化，此類方式缺乏

足夠的管控手段覆蓋敏感、復(fù)雜數(shù)據(jù)的跨境流動(dòng)

風(fēng)險(xiǎn)，也無法滿足防范數(shù)據(jù)泄露、傳輸留痕、配

52

交易技術(shù)前沿

合審計(jì)等合規(guī)需求。

2. 缺乏高效的審計(jì)方式。根據(jù)監(jiān)管要求，金

融機(jī)構(gòu)應(yīng)對(duì)跨境數(shù)據(jù)進(jìn)行分類分級(jí)管理，建立完

善的日志、記錄等留痕管理及防篡改機(jī)制，并對(duì)

相關(guān)內(nèi)容定期開展審計(jì)。由于數(shù)據(jù)的類型、敏感

度不同，金融機(jī)構(gòu)往往采用多種數(shù)據(jù)傳輸方式，

相關(guān)操作的留痕記錄相對(duì)分散，且留痕標(biāo)準(zhǔn)參差

不齊，導(dǎo)致審計(jì)成本較高，審計(jì)效率低下。

3. 缺乏有效的監(jiān)管手段。在互聯(lián)網(wǎng)以及其他

技術(shù)手段的支持下，數(shù)據(jù)跨境流動(dòng)更加便捷，但

隨著外資金融機(jī)構(gòu)數(shù)據(jù)跨境流動(dòng)場(chǎng)景日益增多，

監(jiān)管方面缺乏有效的技術(shù)管控手段及時(shí)感知全市

場(chǎng)的數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)，導(dǎo)致監(jiān)管效率低下，一

旦發(fā)生風(fēng)險(xiǎn)，容易出現(xiàn)爆點(diǎn)多、燃點(diǎn)低的特征。

2、數(shù)據(jù)跨境流動(dòng)管理探索

2.1 場(chǎng)景分析

在全球普遍加強(qiáng)網(wǎng)絡(luò)空間主權(quán)、數(shù)據(jù)安全、

個(gè)人隱私保護(hù)以及數(shù)據(jù)跨境流動(dòng)場(chǎng)景日益復(fù)雜

化、多樣化等背景下，數(shù)據(jù)跨境流動(dòng)管理應(yīng)聚焦

于在安全、合規(guī)的前提下保障外資機(jī)構(gòu)的數(shù)據(jù)跨

境流動(dòng)需求，同時(shí)兼顧效率和成本。以下將從五

個(gè)方面簡(jiǎn)要分析數(shù)據(jù)跨境流動(dòng)管理場(chǎng)景需兼顧的

幾個(gè)問題 ：

1. 提供多種數(shù)據(jù)跨境流動(dòng)方式，支持多種數(shù)

據(jù)出境場(chǎng)景。外資金融機(jī)構(gòu)應(yīng)根據(jù)數(shù)據(jù)分類分級(jí)

管理要求，使用與數(shù)據(jù)敏感性、重要性相匹配的

傳輸方式。因此，解決方案應(yīng)支持直接傳輸、模

板傳輸、受限訪問等多種跨境流動(dòng)方式，且相關(guān)

數(shù)據(jù)的操作權(quán)限均可靈活配置，實(shí)現(xiàn)數(shù)據(jù)分類分

級(jí)管理以及多種數(shù)據(jù)跨境流動(dòng)需求。

2. 降低合規(guī)成本，提升效率。在技術(shù)的賦能

下，數(shù)據(jù)跨境流動(dòng)及數(shù)據(jù)訪問往往具有瞬時(shí)性，

同時(shí)數(shù)據(jù)的規(guī)模化及復(fù)雜化已必將帶來合規(guī)要求

的推陳出新，而傳統(tǒng)線下或半線下的合規(guī)方式難

以及時(shí)、有效的識(shí)別風(fēng)險(xiǎn)。因此，解決方案在設(shè)

計(jì)時(shí)應(yīng)考慮在代碼中嵌入合規(guī)及監(jiān)管要求，真正

實(shí)現(xiàn)“規(guī)則即代碼”，對(duì)多種跨境流動(dòng)方式提供

統(tǒng)一的留痕標(biāo)準(zhǔn)，在便利監(jiān)管和審計(jì)的同時(shí)有效

降低成本。

3. 開放數(shù)據(jù)接口，便利監(jiān)管機(jī)構(gòu)。數(shù)據(jù)跨境

流動(dòng)表面屬于技術(shù)問題，背后則涉及個(gè)人隱私保

護(hù)、社會(huì)公眾利益、國(guó)家安全等，監(jiān)管機(jī)構(gòu)需立

足于整個(gè)行業(yè)進(jìn)行數(shù)據(jù)跨境流動(dòng)的監(jiān)管。因此，

解決方案需設(shè)計(jì)成開放接口，利于對(duì)接監(jiān)管端集

中平行監(jiān)測(cè)平臺(tái)，以便監(jiān)管機(jī)構(gòu)及時(shí)掌握金融機(jī)

構(gòu)的數(shù)據(jù)跨境流動(dòng)情況，有效解決監(jiān)管效率及成

本問題。

4. 降低系統(tǒng)改造運(yùn)維成本，提供安全、合規(guī)、

可靠服務(wù)。隨著數(shù)據(jù)跨境流動(dòng)場(chǎng)景日益復(fù)雜化、

多樣化，外資金融機(jī)構(gòu)加強(qiáng)對(duì)跨境數(shù)據(jù)流動(dòng)的合

規(guī)管控措施，對(duì)其信息系統(tǒng)的改造維護(hù)成本也隨

之提高。解決方案部署于行業(yè)云，符合行業(yè)標(biāo)準(zhǔn)

與安全規(guī)范要求，用戶資源可按需彈性擴(kuò)展，提

高升級(jí)運(yùn)維效率和靈活性，能有效降低經(jīng)營(yíng)機(jī)構(gòu)

改造、使用、運(yùn)維成本。

2.2 方案探索

由于外資金融機(jī)構(gòu)存在開展業(yè)務(wù)多種多樣，

內(nèi)部 IT 建設(shè)能力參差不齊，數(shù)據(jù)接口規(guī)格難以

統(tǒng)一等特點(diǎn)，為外資機(jī)構(gòu)提供數(shù)據(jù)跨境流動(dòng)管理

的解決方案初衷并不是提供一種大而全且滿足所

有機(jī)構(gòu)需求的“萬能服務(wù)”，而是要在滿足監(jiān)管

合規(guī)前提下，降低外資機(jī)構(gòu)接入與使用成本，并

且作為服務(wù)提供方應(yīng)具備一定行業(yè)中立屬性，與

服務(wù)使用方無商業(yè)利益往來或業(yè)務(wù)合作，以免影

響該服務(wù)的公信力與監(jiān)管中立性。

此外該方案應(yīng)根據(jù)數(shù)據(jù)分類分級(jí)管理、最小

必要原則、白名單管理制度、與風(fēng)險(xiǎn)特征相匹配

的增強(qiáng)型管控措施等合規(guī)要求，結(jié)合外資金融機(jī)

構(gòu)展業(yè)特點(diǎn)，通過數(shù)據(jù)加密、權(quán)限控制、操作留

痕、關(guān)鍵字檢索等技術(shù)手段支持多場(chǎng)景下的數(shù)據(jù)

跨境流動(dòng)，并通過統(tǒng)一日志、數(shù)據(jù)接口等技術(shù)更

53

探索與應(yīng)用

好地支持審計(jì)和監(jiān)管。

對(duì)此，我們?cè)O(shè)想的外資金融機(jī)構(gòu)數(shù)據(jù)跨境流

動(dòng)解決方案核心是基于上證云部署的“虛擬數(shù)據(jù)

室”服務(wù)。該服務(wù)可根據(jù)相關(guān)法律法規(guī)要求，按

照“事前可存、事中可控、事后可查”原則，對(duì)

數(shù)據(jù)的采集、存儲(chǔ)、流動(dòng)等各環(huán)節(jié)進(jìn)行加密、權(quán)

限控制、操作留痕等管理，為機(jī)構(gòu)提供安全、合

規(guī)的一站式數(shù)據(jù)跨境流動(dòng)管理服務(wù)。具體來說，

境內(nèi)外資機(jī)構(gòu)將出境信息上傳至上證云“虛擬數(shù)

據(jù)室”服務(wù)端，境外用戶通過客戶端進(jìn)行受限操

作。同時(shí)，監(jiān)管端可通過相關(guān)接口及時(shí)掌握數(shù)據(jù)

跨境流動(dòng)情況?！疤摂M數(shù)據(jù)室”服務(wù)設(shè)想系統(tǒng)架

構(gòu)如圖 1。

2.2.1 服務(wù)端

“虛擬數(shù)據(jù)室”主要為跨境數(shù)據(jù)提供脫敏、

加密、存儲(chǔ)、賦權(quán)和留痕等功能，覆蓋跨境數(shù)據(jù)

收集、存儲(chǔ)、加工、使用等各個(gè)環(huán)節(jié)，主要功能

包括 ：

數(shù)據(jù)分類分級(jí)。根據(jù)外資經(jīng)營(yíng)機(jī)構(gòu)開展業(yè)務(wù)

的類型、海外總部對(duì)其經(jīng)營(yíng)管理數(shù)據(jù)的需求以及

我國(guó)跨境數(shù)據(jù)領(lǐng)域的法律法規(guī)行業(yè)標(biāo)準(zhǔn)，制定跨

境數(shù)據(jù)的數(shù)據(jù)模板，對(duì)跨境數(shù)據(jù)傳輸?shù)脑獢?shù)據(jù)、

數(shù)據(jù)字典、數(shù)據(jù)標(biāo)簽等進(jìn)行標(biāo)準(zhǔn)化規(guī)約，便于監(jiān)

測(cè)及數(shù)據(jù)分析 ；

跨境傳送通道管控。提供云端文件交換模塊

和用戶端數(shù)據(jù)交換前置模塊，在核心的數(shù)據(jù)跨境

傳送通道上實(shí)現(xiàn)了精準(zhǔn)管控 ；

跨境數(shù)據(jù)留痕。對(duì)于通過“虛擬數(shù)據(jù)室”完

成的數(shù)據(jù)跨境活動(dòng)，系統(tǒng)會(huì)對(duì)已經(jīng)完成跨境動(dòng)作

的數(shù)據(jù)進(jìn)行備份和標(biāo)記，實(shí)現(xiàn)對(duì)應(yīng)的審計(jì)留痕 ；

敏感信息掃描與出境監(jiān)控告警。對(duì)數(shù)據(jù)跨境

傳輸行為進(jìn)行內(nèi)容掃描，根據(jù)事先定義的規(guī)則確

定是否存在敏感信息，并對(duì)風(fēng)險(xiǎn)事件及時(shí)發(fā)起監(jiān)

控告警 ；

數(shù)據(jù)脫敏。服務(wù)提供預(yù)定義或用戶自定義的

數(shù)據(jù)脫敏規(guī)則，在發(fā)起數(shù)據(jù)跨境傳輸行為前，用

戶可以選擇執(zhí)行脫敏動(dòng)作，避免觸發(fā)敏感信息掃

描告警 ；

統(tǒng)一日志審計(jì)。服務(wù)對(duì)數(shù)據(jù)跨境行為進(jìn)行跟

蹤，記錄下跨境行為的發(fā)生時(shí)間、操作人員、數(shù)

據(jù)類型、數(shù)據(jù)分級(jí)分類、原始數(shù)據(jù)等信息，并生

成操作日志，以便監(jiān)控層的日志審計(jì)模塊進(jìn)行查

詢、匯總和生成報(bào)告。

監(jiān)控預(yù)警。監(jiān)控模塊可對(duì)用戶數(shù)據(jù)操作的全

流程監(jiān)控，包括賬號(hào)、源地址、路徑、操作類型、

時(shí)間、所屬機(jī)構(gòu)等每個(gè)環(huán)節(jié)進(jìn)行日志留痕，提供

完整的操作溯源能力，便于日志調(diào)取和合規(guī)審計(jì)；

針對(duì)非法操作，監(jiān)控模塊通過設(shè)置告警規(guī)則、告

警閥值，以短信、郵件等多種形式向用戶發(fā)出告

警，及時(shí)監(jiān)測(cè)數(shù)據(jù)資產(chǎn)，確保安全可控。

使用與數(shù)據(jù)敏感性、重要性相匹配的傳輸方式。因此，解決方案應(yīng)支持直接傳輸、模板傳輸、受限訪問等

多種跨境流動(dòng)方式，且相關(guān)數(shù)據(jù)的操作權(quán)限均可靈活配置，實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)管理以及多種數(shù)據(jù)跨境流動(dòng)

需求。

2.降低合規(guī)成本，提升效率。在技術(shù)的賦能下，數(shù)據(jù)跨境流動(dòng)及數(shù)據(jù)訪問往往具有瞬時(shí)性，同時(shí)數(shù)據(jù)

的規(guī)模化及復(fù)雜化已必將帶來合規(guī)要求的推陳出新，而傳統(tǒng)線下或半線下的合規(guī)方式難以及時(shí)、有效的識(shí)

別風(fēng)險(xiǎn)。因此，解決方案在設(shè)計(jì)時(shí)應(yīng)考慮在代碼中嵌入合規(guī)及監(jiān)管要求，真正實(shí)現(xiàn)“規(guī)則即代碼”，對(duì)多

種跨境流動(dòng)方式提供統(tǒng)一的留痕標(biāo)準(zhǔn)，在便利監(jiān)管和審計(jì)的同時(shí)有效降低成本。

4.開放數(shù)據(jù)接口，便利監(jiān)管機(jī)構(gòu)。數(shù)據(jù)跨境流動(dòng)表面屬于技術(shù)問題，背后則涉及個(gè)人隱私保護(hù)、社會(huì)

公眾利益、國(guó)家安全等，監(jiān)管機(jī)構(gòu)需立足于整個(gè)行業(yè)進(jìn)行數(shù)據(jù)跨境流動(dòng)的監(jiān)管。因此，解決方案需設(shè)計(jì)成

開放接口，利于對(duì)接監(jiān)管端集中平行監(jiān)測(cè)平臺(tái)，以便監(jiān)管機(jī)構(gòu)及時(shí)掌握金融機(jī)構(gòu)的數(shù)據(jù)跨境流動(dòng)情況，有

效解決監(jiān)管效率及成本問題。

5.降低系統(tǒng)改造運(yùn)維成本，提供安全、合規(guī)、可靠服務(wù)。隨著數(shù)據(jù)跨境流動(dòng)場(chǎng)景日益復(fù)雜化、多樣化，

外資金融機(jī)構(gòu)加強(qiáng)對(duì)跨境數(shù)據(jù)流動(dòng)的合規(guī)管控措施，對(duì)其信息系統(tǒng)的改造維護(hù)成本也隨之提高。解決方案

部署于行業(yè)云，符合行業(yè)標(biāo)準(zhǔn)與安全規(guī)范要求，用戶資源可按需彈性擴(kuò)展，提高升級(jí)運(yùn)維效率和靈活性，

能有效降低經(jīng)營(yíng)機(jī)構(gòu)改造、使用、運(yùn)維成本。

2.2 /0FG

由于外資金融機(jī)構(gòu)存在開展業(yè)務(wù)多種多樣，內(nèi)部 IT 建設(shè)能力參差不齊，數(shù)據(jù)接口規(guī)格難以統(tǒng)一等特點(diǎn)，

為外資機(jī)構(gòu)提供數(shù)據(jù)跨境流動(dòng)管理的解決方案初衷并不是提供一種大而全且滿足所有機(jī)構(gòu)需求的“萬能服

務(wù)”，而是要在滿足監(jiān)管合規(guī)前提下，降低外資機(jī)構(gòu)接入與使用成本，并且作為服務(wù)提供方應(yīng)具備一定行

業(yè)中立屬性，與服務(wù)使用方無商業(yè)利益往來或業(yè)務(wù)合作，以免影響該服務(wù)的公信力與監(jiān)管中立性。

此外該方案應(yīng)根據(jù)數(shù)據(jù)分類分級(jí)管理、最小必要原則、白名單管理制度、與風(fēng)險(xiǎn)特征相匹配的增強(qiáng)型

管控措施等合規(guī)要求，結(jié)合外資金融機(jī)構(gòu)展業(yè)特點(diǎn)，通過數(shù)據(jù)加密、權(quán)限控制、操作留痕、關(guān)鍵字檢索等

技術(shù)手段支持多場(chǎng)景下的數(shù)據(jù)跨境流動(dòng)，并通過統(tǒng)一日志、數(shù)據(jù)接口等技術(shù)更好地支持審計(jì)和監(jiān)管。

對(duì)此，我們?cè)O(shè)想的外資金融機(jī)構(gòu)數(shù)據(jù)跨境流動(dòng)解決方案核心是基于上證云部署的“虛擬數(shù)據(jù)室”服務(wù)。

該服務(wù)可根據(jù)相關(guān)法律法規(guī)要求，按照“事前可存、事中可控、事后可查”原則，對(duì)數(shù)據(jù)的采集、存儲(chǔ)、

流動(dòng)等各環(huán)節(jié)進(jìn)行加密、權(quán)限控制、操作留痕等管理，為機(jī)構(gòu)提供安全、合規(guī)的一站式數(shù)據(jù)跨境流動(dòng)管理

服務(wù)。具體來說，境內(nèi)外資機(jī)構(gòu)將出境信息上傳至上證云“虛擬數(shù)據(jù)室”服務(wù)端，境外用戶通過客戶端進(jìn)

行受限操作。同時(shí)，監(jiān)管端可通過相關(guān)接口及時(shí)掌握數(shù)據(jù)跨境流動(dòng)情況?！疤摂M數(shù)據(jù)室”服務(wù)設(shè)想系統(tǒng)架

構(gòu)如下：

圖 1 ：“虛擬數(shù)據(jù)室”系統(tǒng)架構(gòu)圖 L 1MNO'(PQRSTUL

54

交易技術(shù)前沿

2.2.2 用戶端

境內(nèi)外資機(jī)構(gòu)可根據(jù)情況選擇文件上傳、錄

入、系統(tǒng)對(duì)接等多種方式數(shù)據(jù)傳入方式，根據(jù)不

同的信息類型、敏感程度選擇直傳、模板傳輸、

受限訪問等多種跨境流動(dòng)方式，為境外用戶分配

受控的訪問權(quán)限。在接入方式上，境內(nèi)外資機(jī)構(gòu)

可通過專線（如證聯(lián)網(wǎng)）、VPN、互聯(lián)網(wǎng)等線路

接入，境外用戶則通過互聯(lián)網(wǎng)接入，在保障數(shù)據(jù)

傳輸安全前提下，滿足不同接入需求。服務(wù)支持

PC 端、網(wǎng)頁端和移動(dòng)端訪問，可提供數(shù)據(jù)交換

模塊前置于機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)，該前置模塊主要滿足

于機(jī)構(gòu)內(nèi)網(wǎng)信息系統(tǒng)與其海外總部間數(shù)據(jù)直傳場(chǎng)

景，可根據(jù)合規(guī)和監(jiān)管要求進(jìn)行監(jiān)測(cè)、預(yù)警與備

份。

2.2.3 監(jiān)管端

“虛擬數(shù)據(jù)室”服務(wù)對(duì)跨境流動(dòng)數(shù)據(jù)的存儲(chǔ)、

流動(dòng)、使用等進(jìn)行全方位、統(tǒng)一的留痕管理，可

為審計(jì)、監(jiān)管等提供直觀查閱界面，并可提供

API 接口，進(jìn)行滿足特定規(guī)則的審計(jì)、監(jiān)測(cè)、預(yù)

警和溯源功能實(shí)現(xiàn)。雖然目前針對(duì)外資金融機(jī)構(gòu)

數(shù)據(jù)跨境監(jiān)管的行業(yè)細(xì)則未出臺(tái)，但長(zhǎng)遠(yuǎn)來看，

具備能夠?qū)θ袠I(yè)外資機(jī)構(gòu)進(jìn)行統(tǒng)一監(jiān)管審查的

平臺(tái)仍具有參考意義，按照“事前可存、事中可

控、事后可查”的設(shè)計(jì)原則，一套統(tǒng)一的、基于

全行業(yè)的平行監(jiān)測(cè)平臺(tái)可及時(shí)感知機(jī)構(gòu)的數(shù)據(jù)跨

境流動(dòng)情況，便于執(zhí)法機(jī)構(gòu)監(jiān)管檢查、有效降低

執(zhí)法成本，提高監(jiān)管效率。

2.2.4 上證云

“虛擬數(shù)據(jù)室”服務(wù)底座基于上證云。上證

云是上交所技術(shù)有限責(zé)任公司面向證券、基金等

金融機(jī)構(gòu)推出的云服務(wù)平臺(tái)，其依托上交所技

術(shù) T3+ 等級(jí)數(shù)據(jù)中心，使用兩地三中心（上海

和北京）高可用架構(gòu)，擁有成熟穩(wěn)定的云技術(shù)平

臺(tái)、完善的用戶服務(wù)體系及豐富的安全運(yùn)營(yíng)管理

經(jīng)驗(yàn)，嚴(yán)格遵循國(guó)家相關(guān)部門監(jiān)管政策，符合行

業(yè)標(biāo)準(zhǔn)與行業(yè)安全規(guī)范要求，為金融機(jī)構(gòu)提供技

術(shù)領(lǐng)先、穩(wěn)定可靠、安全合規(guī)的云計(jì)算服務(wù)?；?/p>

于上證云可對(duì)“虛擬數(shù)據(jù)室”服務(wù)的整體容量、

集群健康狀態(tài)、網(wǎng)絡(luò)帶寬、iops、延遲、存儲(chǔ)池、

硬件服務(wù)器以及對(duì)象存儲(chǔ)等服務(wù)狀態(tài)進(jìn)行監(jiān)控和

運(yùn)維，確保服務(wù)健康與安全。

3、總結(jié)和展望

目前，外資金融機(jī)構(gòu)數(shù)量及業(yè)務(wù)規(guī)模尚處于

2.2.4 上證云

“虛擬數(shù)據(jù)室”服務(wù)底座基于上證云。上證云是上交所技術(shù)有限責(zé)任公司面向證券、基金等金融機(jī)構(gòu)

推出的云服務(wù)平臺(tái)，其依托上交所技術(shù) T3+等級(jí)數(shù)據(jù)中心，使用兩地三中心（上海和北京）高可用架構(gòu)，

擁有成熟穩(wěn)定的云技術(shù)平臺(tái)、完善的用戶服務(wù)體系及豐富的安全運(yùn)營(yíng)管理經(jīng)驗(yàn)，嚴(yán)格遵循國(guó)家相關(guān)部門監(jiān)

管政策，符合行業(yè)標(biāo)準(zhǔn)與行業(yè)安全規(guī)范要求，為金融機(jī)構(gòu)提供技術(shù)領(lǐng)先、穩(wěn)定可靠、安全合規(guī)的云計(jì)算服

務(wù)?；谏献C云可對(duì)“虛擬數(shù)據(jù)室”服務(wù)的整體容量、集群健康狀態(tài)、網(wǎng)絡(luò)帶寬、iops、延遲、存儲(chǔ)池、

硬件服務(wù)器以及對(duì)象存儲(chǔ)等服務(wù)狀態(tài)進(jìn)行監(jiān)控和運(yùn)維，確保服務(wù)健康與安全。

L 2 #$%VWXYZ[\\

3 ]^_`a

目前，外資金融機(jī)構(gòu)數(shù)量及業(yè)務(wù)規(guī)模尚處于初始階段，隨著對(duì)外開放的深入，數(shù)據(jù)跨境流動(dòng)場(chǎng)景日益圖 2 ：上證云產(chǎn)品及服務(wù)能力

55

探索與應(yīng)用

56

初始階段，隨著對(duì)外開放的深入，數(shù)據(jù)跨境流動(dòng)

場(chǎng)景日益復(fù)雜化、多元化，同時(shí)，內(nèi)資金融機(jī)構(gòu)

在境外展業(yè)過程中也同樣面臨境外監(jiān)管機(jī)構(gòu)對(duì)數(shù)

據(jù)收集、傳輸、使用等的各項(xiàng)監(jiān)管要求。因此，“虛

擬數(shù)據(jù)室”服務(wù)將進(jìn)一步拓展使用場(chǎng)景，更好地

支持金融機(jī)構(gòu)在“走出去”和“引進(jìn)來”過程中

涉及的數(shù)據(jù)流動(dòng)需求。未來將做好以下研究與準(zhǔn)

備工作 ：

積極探索境外信息技術(shù)系統(tǒng)或模塊的運(yùn)行模

式，支持其本地化部署。外資金融機(jī)構(gòu)出于自身

需要及展業(yè)特點(diǎn)，有使用境外集團(tuán)的信息系統(tǒng)或

模塊的現(xiàn)實(shí)需求，過程中往往涉及大量敏感的數(shù)

據(jù)跨境流動(dòng)。為此，我們將積極研究此類技術(shù)系

統(tǒng)特性，為其境內(nèi)部署提供安全、穩(wěn)定的運(yùn)行環(huán)

境，將需要跨境流動(dòng)的敏感性數(shù)據(jù)轉(zhuǎn)變?yōu)槊舾卸?/p>

較低的結(jié)果類、匯總類信息，在避免敏感數(shù)據(jù)的

跨境流動(dòng)的同時(shí)，極大提升境內(nèi)系統(tǒng)與境外系統(tǒng)

進(jìn)行信息共享的便利性，有利于在符合現(xiàn)行法律

法規(guī)相關(guān)要求的前提下更好的實(shí)現(xiàn)外資機(jī)構(gòu)自身

需求。

2、融合深化“虛擬數(shù)據(jù)室”服務(wù)，打通云

上服務(wù)全流程管理。伴隨行業(yè)機(jī)構(gòu)云上服務(wù)需求

愈發(fā)多樣，上證云可根據(jù)行業(yè)機(jī)構(gòu)需求，提供辦

公系統(tǒng)、郵件系統(tǒng)、風(fēng)控系統(tǒng)、業(yè)務(wù)系統(tǒng)、資管

數(shù)據(jù)報(bào)送系統(tǒng)、投行底稿管理系統(tǒng)以及其他業(yè)務(wù)

系統(tǒng)云服務(wù)，全方位、多層次、大廣度覆蓋行業(yè)

需求。研究將“虛擬數(shù)據(jù)室”服務(wù)組件化，根據(jù)

需要嵌入機(jī)構(gòu)用戶的各類應(yīng)用系統(tǒng)中，直接參與

數(shù)據(jù)的全生命周期，打通云上產(chǎn)品服務(wù)全流程管

理，全面參與外資金融機(jī)構(gòu)信息系統(tǒng)能力建設(shè)，

深入滿足用戶合規(guī)需求。

3、引入境外相關(guān)規(guī)則，適時(shí)開放數(shù)據(jù)接口，

探索跨境監(jiān)管協(xié)作技術(shù)實(shí)現(xiàn)方式。目前各國(guó)對(duì)數(shù)

據(jù)跨境流動(dòng)尚未形成統(tǒng)一、對(duì)等的監(jiān)管協(xié)作機(jī)制，

我們將加強(qiáng)對(duì)國(guó)內(nèi)外相關(guān)政策以及各國(guó)對(duì)數(shù)據(jù)跨

境流動(dòng)監(jiān)管方式的研究，將境外監(jiān)管經(jīng)驗(yàn)及數(shù)字

空間治理規(guī)則融入“虛擬數(shù)據(jù)室”服務(wù)，適時(shí)開

放相應(yīng)的技術(shù)接口，為推動(dòng)跨境監(jiān)管協(xié)作做好技

術(shù)準(zhǔn)備。

4、加強(qiáng)前沿技術(shù)儲(chǔ)備，滿足不同應(yīng)用場(chǎng)景。

探索運(yùn)用系統(tǒng)跨境部署、支付標(biāo)記化（Payment

Tokenization）、區(qū)塊鏈、隱私保護(hù)集合求交（Private

Set Intersection）、聯(lián)邦學(xué)習(xí)等前沿技術(shù)，實(shí)現(xiàn)對(duì)

個(gè)人、企業(yè)和監(jiān)管三方數(shù)據(jù)隱私保護(hù)和數(shù)據(jù)應(yīng)用

之間的平衡，打造全行業(yè)通用解決方案，有效釋

放行業(yè)數(shù)據(jù)紅利。

交易技術(shù)前沿

本文介紹了安信證券建設(shè)網(wǎng)絡(luò)自動(dòng)化運(yùn)維平臺(tái)的實(shí)踐經(jīng)驗(yàn)，針對(duì)網(wǎng)絡(luò)日常運(yùn)維工作

中涉及的重復(fù)性高、或涉及大批量操作對(duì)象的操作，進(jìn)行了多種方式的自動(dòng)化嘗試和探索。

經(jīng)過幾年長(zhǎng)期堅(jiān)持不懈的努力，一個(gè)可彈性擴(kuò)展、功能完備的網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維平臺(tái)

初具雛形，不僅可以自動(dòng)化處理流程類申請(qǐng)引發(fā)的各類網(wǎng)絡(luò)日常操作變更，還可以協(xié)助

網(wǎng)絡(luò)管理員自動(dòng)化處理各類人工難以完成的運(yùn)維工作和批量操作。極大提升了工作效率，

有效降低人工操作在網(wǎng)絡(luò)日常運(yùn)維中的各種潛在風(fēng)險(xiǎn)。

安信證券網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維

平臺(tái)建設(shè)實(shí)踐

梁德漢、何洲星、武孟軍 / 安信證券股份有限公司

E-mail ：liangdh@essence.com.cn hezx@essence.com.cn wumj@essence.com.cn

1、引言

作為 IT 系統(tǒng)運(yùn)維的一部分 , 網(wǎng)絡(luò)運(yùn)維工作

大致包括三部分內(nèi)容 : 系統(tǒng)建設(shè)、系統(tǒng)監(jiān)控和系

統(tǒng)變更。其中，網(wǎng)絡(luò)系統(tǒng)建設(shè)屬于一次性的工作，

而系統(tǒng)監(jiān)控和變更則貫穿于網(wǎng)絡(luò)系統(tǒng)的整個(gè)生命

周期，也是網(wǎng)絡(luò)日常運(yùn)維工作的主要內(nèi)容。

網(wǎng)絡(luò)運(yùn)維自動(dòng)化，就是要實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的監(jiān)

控和日常變更自動(dòng)化。相較于其他 IT 系統(tǒng)，得

益于網(wǎng)絡(luò)簡(jiǎn)單管理協(xié)議 SNMP 標(biāo)準(zhǔn)的制定和普

及，網(wǎng)絡(luò)監(jiān)控自動(dòng)化實(shí)現(xiàn)得最早也最成熟，各種

基于 SNMP 協(xié)議的網(wǎng)絡(luò)管理軟件得到普遍應(yīng)用，

實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行性能的自動(dòng)化監(jiān)控，

基本上滿足了網(wǎng)絡(luò)系統(tǒng)日常監(jiān)控需求。

然而，網(wǎng)絡(luò)日常變更工作的自動(dòng)化卻是困難

重重，雖然近年來出現(xiàn)了許多基于 Python 的自動(dòng)

57

探索與應(yīng)用

58

化運(yùn)維工具，諸如 Ansible 或 SaltStack，但是和

網(wǎng)絡(luò)工程師們心目中所期望的“自動(dòng)化運(yùn)維”情

景還是相差甚遠(yuǎn)?？梢哉f，網(wǎng)絡(luò)日常變更 90%

的工作，仍然需要網(wǎng)絡(luò)工程師通過終端登錄設(shè)備

的命令行模式，逐行將命令輸入的方式實(shí)施。

本文所涉及的網(wǎng)絡(luò)運(yùn)維自動(dòng)化，即是指網(wǎng)絡(luò)

日常變更這部分工作的自動(dòng)化實(shí)現(xiàn)。同時(shí)，作為

監(jiān)控系統(tǒng)的補(bǔ)充，也包括少部分屬于監(jiān)控系統(tǒng)未

能實(shí)現(xiàn)的監(jiān)控功能，例如特定設(shè)備性能指標(biāo)的日

常巡檢。網(wǎng)絡(luò)系統(tǒng)的建設(shè)、日常運(yùn)行性能指標(biāo)監(jiān)

控，不屬于本文自動(dòng)化運(yùn)維討論的范疇。

2、網(wǎng)絡(luò)運(yùn)維工作特點(diǎn)

網(wǎng)絡(luò)日常運(yùn)維工作種類繁多，涉及到的網(wǎng)絡(luò)

設(shè)備更是五花八門，有路由器、交換機(jī)、防火墻、

負(fù)載均衡等等。有的運(yùn)維操作重復(fù)頻率高，幾乎

每天都有 ；有的操作涉及到的對(duì)象數(shù)量龐大，工

作量大。從操作結(jié)果來看，有的操作變更了設(shè)備

配置，有些操作僅僅是察看設(shè)備狀態(tài)，不改變?cè)O(shè)

備配置。

（一）流程類配置變更

此類網(wǎng)絡(luò)變更通常由申請(qǐng)人通過各類管理流

程發(fā)起，經(jīng)過層層審批后，最終流轉(zhuǎn)到網(wǎng)絡(luò)運(yùn)維

人員，根據(jù)具體需求進(jìn)行變更處理。典型的例子

如防火墻訪問權(quán)限開通，物理機(jī)上架時(shí)交換機(jī)端

口 VLAN 劃分等。

流程類配置變更的特點(diǎn)是，變更由流程觸發(fā)；

申請(qǐng)人需要提供一定的配置參數(shù)，比如源，目的

地址，交換機(jī)端口等 ；涉及到的操作對(duì)象數(shù)量不

多，但是同類的流程數(shù)量非常多，每天重復(fù)不斷，

配置操作瑣碎繁雜，手工操作極易疲勞出錯(cuò)。

（二）查詢類操作

有時(shí)候運(yùn)維人員需要查詢現(xiàn)有設(shè)備的配置情

況，再?zèng)Q定后續(xù)的配置操作。比如，在一臺(tái)防火

墻上配置一條訪問策略前，需要檢查相同的策略

配置是否已經(jīng)存在 ；設(shè)備健康巡檢時(shí)，需要輸入

察看類的指令，根據(jù)返回結(jié)果檢查自己關(guān)注的文

本信息。

查詢類操作的特點(diǎn)是，不涉及設(shè)備配置比變

更，但是需要檢查大量的文本信息，并從文本信

息中篩選出感興趣的信息。在查詢兩臺(tái)主機(jī)之間

的訪問關(guān)系時(shí)，需要處理的設(shè)備可能不止一臺(tái)，

需要將訪問路徑中每臺(tái)設(shè)備的檢查結(jié)果綜合考慮

后才能得出結(jié)論。對(duì)網(wǎng)絡(luò)運(yùn)維人員來說，這類操

作是非常勞神費(fèi)力的。

（三）定期執(zhí)行的任務(wù)

需要定期執(zhí)行，每天，或每周、每月都有可

能。例如設(shè)備配置文件備份，通信線路性能巡檢，

設(shè)備健康檢查，設(shè)備信息定期采集等工作。

定期執(zhí)行類的操作不涉及配置變更，但是涉

及的操作對(duì)象數(shù)量龐大，通常是幾百甚至上千。

人工操作需要耗費(fèi)大量人力和時(shí)間，且容易出錯(cuò)

和漏操作。

（四）批量設(shè)備操作

通常為執(zhí)行某一特定任務(wù)而引發(fā)。例如密碼

到期更新設(shè)備密碼，修改某一范圍內(nèi)的設(shè)備訪問

控制列表，增加特定路由條目等操作。

此類操作需要修改設(shè)備配置，同樣涉及的操

作對(duì)象數(shù)量龐大。更困難的是，不同的設(shè)備下發(fā)

的配置腳本可能不同。手工操作，同樣需要耗費(fèi)

大量人力和時(shí)間。

（五）其它

另外，有一些運(yùn)維輔助類的操作，例如各種

防火墻策略的管理操作，網(wǎng)絡(luò)應(yīng)急操作等。

總的來說，上面列舉的運(yùn)維操作，要么重復(fù)

性強(qiáng)，要么涉及的操作對(duì)象數(shù)量龐大，如果能從

傳統(tǒng)的手工操作轉(zhuǎn)化為自動(dòng)化，不僅可以提高運(yùn)

維效率，減少錯(cuò)誤，降低運(yùn)行風(fēng)險(xiǎn)，而且可以節(jié)

交易技術(shù)前沿

59

省大量的人力和時(shí)間成本，獲取最大化收益。

3、網(wǎng)絡(luò)自動(dòng)化運(yùn)維平臺(tái)

2019 年，迫于應(yīng)用系統(tǒng)訪問權(quán)限開通流程

手工處理效率低下的壓力 , 我司已經(jīng)組織力量 ,

自行開發(fā)了一套防火墻策略自動(dòng)化開通的系統(tǒng)，

成功將防火墻策略開通由傳統(tǒng)手工模式轉(zhuǎn)型為自

動(dòng)化處理，并在 2020 年第 3 期《技術(shù)交易前沿》

作了題為《網(wǎng)絡(luò)自動(dòng)化運(yùn)維系統(tǒng)自主研發(fā)的探索

與實(shí)踐》的分享。

有了以前的自動(dòng)化系統(tǒng)開發(fā)經(jīng)驗(yàn)，我們決定

在現(xiàn)有的開發(fā)基礎(chǔ)上，繼續(xù)完善系統(tǒng)功能，打造

一個(gè)網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維平臺(tái)，除了已有防火墻

策略自動(dòng)化開通功能，計(jì)劃實(shí)現(xiàn)下列功能 ：

（一）安全策略查詢功能

在全網(wǎng)范圍內(nèi)，實(shí)現(xiàn)訪問權(quán)限的任意查詢功

能。具體說來，假定 h1 和 h2 是兩臺(tái)主機(jī)，則可

以查詢 ：

① h1 能否訪問 h2 的 指 定 服 務(wù)（ 例 如

HTTP）？

② h1 可以訪問 h2 的哪些服務(wù)？

③ h1/h2 能訪問哪些主機(jī)的哪些服務(wù)？

④ h1/h2 的指定服務(wù)能被哪些主機(jī)訪問？

⑤ h1/h2 能訪問哪些主機(jī)的指定服務(wù)？

⑥ h1/h2 的哪些服務(wù)能被哪些主機(jī)訪問？

策略查詢功能可用于申請(qǐng)人在提起流程前確

認(rèn)訪問策略是否已經(jīng)開通，避免重復(fù)提流程 ；應(yīng)

用系統(tǒng)新增客戶端時(shí)，往往需要查詢已有的客戶

端已經(jīng)開通了哪些訪問權(quán)限作參考 ；還可用于訪

問故障排除，高危端口攻擊鏈分析，查找潛在風(fēng)

險(xiǎn)主機(jī)。

（二）防火墻策略管理

防火墻安全策略管理，主要實(shí)現(xiàn)下列功能 ：

① 根據(jù)指定條件，篩選出一臺(tái)指定防火墻

中符合條件的所有策略 ；

② 分析一臺(tái)防火墻中策略之間的包含或相

同關(guān)系，查找無用的地址對(duì)象和服務(wù)對(duì)象 ；

③ 批量策略遷移。根據(jù)指定條件，從防火

墻 A 中篩選出符合條件的所有策略，進(jìn)行指定的

轉(zhuǎn)換后，將篩選出的所有策略遷移到防火墻 B 中；

④ 垃圾策略的識(shí)別。防火墻中無用策略既

視為垃圾策略。識(shí)別垃圾策略，是根據(jù)一定時(shí)間

段內(nèi)特定策略的命中匹配數(shù)確定。例如，如果 3

個(gè)月內(nèi)，某條策略的命中數(shù)為 0，則可以認(rèn)為該

策略為垃圾策略，后續(xù)公示后可作刪除處理。

（三）統(tǒng)一地址對(duì)象

統(tǒng)一地址對(duì)象功能，目的為了簡(jiǎn)化防火墻策

略申請(qǐng)和部署。主要解決 ：

① 個(gè)人辦公 / 交易終端的地址改變，導(dǎo)致

原來申請(qǐng)的訪問權(quán)限需要全部重新申請(qǐng)一遍。這

樣不僅增加了工作量，還會(huì)增加垃圾策略數(shù)量 ；

② 應(yīng)用系統(tǒng)內(nèi)，一組相同功能的主機(jī)，往

往具有相同的訪問策略。當(dāng)需要增加組中成員時(shí)，

往往需要先查詢現(xiàn)有主機(jī)的訪問權(quán)限，然后再申

請(qǐng)新增成員的訪問權(quán)限，費(fèi)時(shí)費(fèi)力 ；

③ 一組用于特定目的的主機(jī) IP，數(shù)量多，

需要在多臺(tái)防火墻進(jìn)行部署。如果需要增減組成

員時(shí)，需要在多臺(tái)設(shè)備上進(jìn)行操作，非常麻煩。

統(tǒng)一地址對(duì)象功能，將上述主機(jī)定義為邏輯

地址對(duì)象，申請(qǐng)人可以直接使用地址對(duì)象來申請(qǐng)

訪問權(quán)限。這樣，當(dāng)?shù)刂穼?duì)象的成員變更，成員

增減時(shí)，只需要操作地址對(duì)象即可，所有用到該

地址對(duì)象的安全策略，跟隨變更，極大地減少了

工作量。

（四）交換機(jī)端口配置

該功能可以根據(jù)需要，在物理機(jī)上架時(shí)，對(duì)

選定的交換機(jī)接口進(jìn)行配置?？梢詫⒔涌趧澐值?/p>

指定 VLAN，或配置成 trunk 模式。

和防火墻策略配置功能類似，交換機(jī)接口

探索與應(yīng)用

60

配置是基于申請(qǐng)人發(fā)起的物理主機(jī)上架流程進(jìn)行

的，屬于重復(fù)性高的日常維護(hù)類操作。機(jī)房管理

人員負(fù)責(zé)將需要的參數(shù)，如指定交換機(jī)管理 IP、

交換機(jī)接口、vlan 號(hào)、接口要求速率等參數(shù)提交，

系統(tǒng)在指定變更時(shí)間窗口內(nèi)，統(tǒng)一讀取，根據(jù)參

數(shù)生成不同的配置腳本，然后下發(fā)到交換機(jī)設(shè)備。

（五）定期執(zhí)行類任務(wù)

定期執(zhí)行類的任務(wù)包括網(wǎng)絡(luò)設(shè)備定期配置文

件備份 , 重要核心設(shè)備接口日常運(yùn)行參數(shù)檢查 ( 光

衰 , 雙工模式等 ), 交換機(jī)端口工作狀態(tài)采集等工

作。

此類操作大多屬于在設(shè)備上執(zhí)行查看類命

令，然后分析返回結(jié)果，獲取關(guān)注的信息，再判

斷結(jié)果。由于需要執(zhí)行的查看類命令各種各樣，

不同的設(shè)備命令格式，返回信息都不相同，因此

實(shí)現(xiàn)的關(guān)鍵是要能夠自行配置和定義執(zhí)行任務(wù)所

需的各種參數(shù)，這樣才能滿足當(dāng)有新的任務(wù)需求

時(shí)，能夠快速部署實(shí)施。

（六）網(wǎng)絡(luò)設(shè)備批量操作

網(wǎng)絡(luò)設(shè)備批量操作，通常是指對(duì)大批量設(shè)備

進(jìn)行相同或類似的配置變更，典型的例子如數(shù)據(jù)

中心所有網(wǎng)絡(luò)設(shè)備的更新登錄密碼。自動(dòng)化實(shí)現(xiàn)

的思路和基本操作步驟如下 ：

① 在納管的設(shè)備庫(kù)中篩選出一批目標(biāo)設(shè)備 ；

② 配置需要下發(fā)的指令序列。如果選中的

設(shè)備使用的命令序列不一樣，可以有多個(gè)命令序

列 ；

③ 如果有多個(gè)命令序列，則需要配置設(shè)備

選擇命令序列的條件 ；

④ 命令序列中如果有變量，例如不同的網(wǎng)

絡(luò)中心可能密碼不一樣 ；增加路由時(shí)的命令中下

一跳網(wǎng)關(guān)不一樣等等，都可以通過定義變量來實(shí)

現(xiàn)。每個(gè)變量，都需要對(duì)應(yīng)定義一個(gè)取值條件，

用來最終確定命令行的最終形式 ；

⑤ 根據(jù)上述配置，為每臺(tái)設(shè)備生成特定格

式下發(fā)命令腳本。命令腳本就是一個(gè)普通的文本

文件，可以進(jìn)行檢查和手工修正 ；

⑥ 檢查腳本無誤后，下發(fā)到設(shè)備。

上面的操作場(chǎng)景，下發(fā)到設(shè)備的命令序列相

對(duì)固定的。還有一種復(fù)雜場(chǎng)景，假設(shè)有一個(gè)批量

操作需求 ：將所有交換機(jī)中運(yùn)行狀態(tài)為 down 的

接口，配置為 shut down 狀態(tài)。這種操作下發(fā)到

設(shè)備的命令序列，就和單臺(tái)設(shè)備中接口狀態(tài)有關(guān)

了。就是說，在產(chǎn)生命令序列前，需要從操作對(duì)

象取回一些參數(shù)，這些參數(shù)作為生成命令序列的

輸入，再最終生成正確的命令序列。

除了上述主要功能外，系統(tǒng)還需要具備設(shè)

備管理功能，即對(duì)納管網(wǎng)絡(luò)設(shè)備添加、刪除、登

錄方式和密碼的管理等 ；支持 IPv6，即能夠處理

IPv6 安全策略的處理 ；應(yīng)急操作的自動(dòng)化，既執(zhí)

行事先定義好的應(yīng)急操作腳本 ；與外部系統(tǒng)的接

口，可接受其它系統(tǒng)發(fā)送過來的流程參數(shù)，對(duì)其

它系統(tǒng)提供策略查詢，網(wǎng)絡(luò)接口狀態(tài)查詢的服務(wù)

等等功能。

4、系統(tǒng)架構(gòu)及主要模塊流程

（一）系統(tǒng)架構(gòu)

整個(gè)系統(tǒng)由操作界面、事務(wù)處理和數(shù)據(jù)庫(kù)三

部分組成。其中，操作界面實(shí)現(xiàn)系統(tǒng)管理和用戶

輸入申請(qǐng)流程功能 ；數(shù)據(jù)庫(kù)保存各種系統(tǒng)數(shù)據(jù)，

包括系統(tǒng)自身使用的初始化配置信息，用戶申請(qǐng)

的流程信息等 ；事務(wù)處理則完成各種系統(tǒng)功能，

它由一組互相獨(dú)立運(yùn)行的服務(wù)組成，每個(gè)服務(wù)完

成不同的系統(tǒng)功能。事務(wù)處理的啟動(dòng)可以由定時(shí)

器觸發(fā)，也可以由操作界面的命令按鈕觸發(fā)。

圖 1 所示為系統(tǒng)的邏輯架構(gòu)圖。

系統(tǒng)核心功能在業(yè)務(wù)處理模塊中實(shí)現(xiàn)。各個(gè)

業(yè)務(wù)模塊相互獨(dú)立，互不影響，單個(gè)功能模塊可

以隨時(shí)啟動(dòng)和停止，提供了一種類似“微服務(wù)”

的架構(gòu)，各個(gè)模塊通過數(shù)據(jù)庫(kù)和文件服務(wù)器共享

數(shù)據(jù)。這種架構(gòu)的特點(diǎn)是靈活且容易擴(kuò)展，只要

交易技術(shù)前沿

61

由新的業(yè)務(wù)需求，只需開發(fā)新的功能模塊并添加

進(jìn)去即可。

（二）訪問權(quán)限申請(qǐng)?zhí)幚砹鞒?/p>

申請(qǐng)人通過流程審批系統(tǒng)入口，輸入要求的

參數(shù)并提交。其中，所有的參數(shù)被保存到自動(dòng)化

系統(tǒng)的流程數(shù)據(jù)庫(kù)中，流程在流程審批系統(tǒng)中繼

續(xù)流轉(zhuǎn)直至審批完畢，審批結(jié)果會(huì)傳輸?shù)阶詣?dòng)化

系統(tǒng)。自動(dòng)化系統(tǒng)中的每個(gè)提交的流程，根據(jù)不

同的審批結(jié)果，有 同的審批結(jié)果，有“待審批”、“審批通過”、“審

批未通過”等幾個(gè)狀態(tài)。

凡是審批通過的流程，自動(dòng)化系統(tǒng)在每天指

定的變更時(shí)間窗口內(nèi)，間隔一定的時(shí)間，讀取狀

態(tài)為“審批通過”的流程，按照?qǐng)D 的流程，按照?qǐng)D 2 所示步驟進(jìn)

行處理 ：

（三）交換機(jī)端口配置

交換機(jī)端口配置完成物理主機(jī)上架時(shí)接入

整個(gè)系統(tǒng)由操作界面、事務(wù)處理和數(shù)據(jù)庫(kù)三部分組成。其中，操作界面實(shí)現(xiàn)

系統(tǒng)管理和用戶輸入申請(qǐng)流程功能；數(shù)據(jù)庫(kù)保存各種系統(tǒng)數(shù)據(jù)，包括系統(tǒng)自身使

用的初始化配置信息，用戶申請(qǐng)的流程信息等；事務(wù)處理則完成各種系統(tǒng)功能，

它由一組互相獨(dú)立運(yùn)行的服務(wù)組成，每個(gè)服務(wù)完成不同的系統(tǒng)功能。事務(wù)處理的

啟動(dòng)可以由定時(shí)器觸發(fā)，也可以由操作界面的命令按鈕觸發(fā)。

圖 1 所示為系統(tǒng)的邏輯架構(gòu)圖。

圖 1 網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維系統(tǒng)邏輯架構(gòu)圖

系統(tǒng)核心功能在業(yè)務(wù)處理模塊中實(shí)現(xiàn)。各個(gè)業(yè)務(wù)模塊相互獨(dú)立，互不影響，

單個(gè)功能模塊可以隨時(shí)啟動(dòng)和停止，提供了一種類似“微服務(wù)”的架構(gòu)，各個(gè)模

塊通過數(shù)據(jù)庫(kù)和文件服務(wù)器共享數(shù)據(jù)。這種架構(gòu)的特點(diǎn)是靈活且容易擴(kuò)展，只要

由新的業(yè)務(wù)需求，只需開發(fā)新的功能模塊并添加進(jìn)去即可。

（二）訪問權(quán)限申請(qǐng)?zhí)幚砹鞒?/p>

申請(qǐng)人通過流程審批系統(tǒng)入口，輸入要求的參數(shù)并提交。其中，所有的參數(shù)

被保存到自動(dòng)化系統(tǒng)的流程數(shù)據(jù)庫(kù)中，流程在流程審批系統(tǒng)中繼續(xù)流轉(zhuǎn)直至審批

完畢，審批結(jié)果會(huì)傳輸?shù)阶詣?dòng)化系統(tǒng)。自動(dòng)化系統(tǒng)中的每個(gè)提交的流程，根據(jù)不

同的審批結(jié)果，有“待審批”、“審批通過”、“審批未通過”等幾個(gè)狀態(tài)。

凡是審批通過的流程，自動(dòng)化系統(tǒng)在每天指定的變更時(shí)間窗口內(nèi)，間隔一定

圖 1 ：網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維系統(tǒng)邏輯架構(gòu)圖

的時(shí)間，讀取狀態(tài)為“審批通過”的流程，按照?qǐng)D 2 所示步驟進(jìn)行處理：

圖 2 訪問權(quán)限流程處理

（三）交換機(jī)端口配置

交換機(jī)端口配置完成物理主機(jī)上架時(shí)接入交換機(jī)的端口配置，包括將交換機(jī)

圖 2 ：訪問權(quán)限流程處理

探索與應(yīng)用

62

交換機(jī)的端口配置，包括將交換機(jī)指定端口劃分

到指定 VLAN，或?qū)⒅付ǘ丝谂渲脼?trunk 模式。

同時(shí)，還要考慮是否有指定速率需求等因素。

同樣地，自動(dòng)化系統(tǒng)只保存完成配置需要的

流程編號(hào)、選中的交換機(jī)端口、VLAN id 等參數(shù)。

這些參數(shù)申請(qǐng)人員在流程審批系統(tǒng)中輸入，并

由流程審批系統(tǒng)通過外部系統(tǒng)接口傳給自動(dòng)化系

統(tǒng)。

自動(dòng)化系統(tǒng)在每天指定的變更時(shí)間窗口內(nèi)，

間隔一定的時(shí)間，讀取流程數(shù)據(jù)，按照?qǐng)D 3 所示

步驟進(jìn)行處理 ：

（四）策略查詢

假定需要查詢主機(jī) 假定需要查詢主機(jī) H1 能否訪問 H2 的 TCP

80 端口，處理思路是首先確定 端口，處理思路是首先確定 H1 訪問 H2 的完

整路徑中經(jīng)過了幾臺(tái)防火墻，并查詢每臺(tái)防火墻

中是否都開放了 中是否都開放了 H1 能否訪問 H2 的 TCP 80 端口

的策略，如是，則滿足訪問條件。簡(jiǎn)單起見，這

里只介紹單臺(tái)防火墻設(shè)備中查詢是否滿足 H1 訪

問 H2 的 TCP 80 端口的策略，且不考慮 端口的策略，且不考慮 NAT 的

情況。

首先按順序比較防火墻中每條策略，只要存

在一條源地址包含 / 等于 H1，同時(shí)目的地址包

含 / 等于 H2，同時(shí)服務(wù)包含 ，同時(shí)服務(wù)包含 / 等于 TCP 80 端口，

并且安全域、動(dòng)作都滿足條件的策略，即可以認(rèn)

為該防火墻滿足條件。

由于防火墻匹配策略時(shí)是按照先后順序進(jìn)行

的，因此要考慮動(dòng)作是“禁止”的策略。如果先

匹配到了 1 條動(dòng)作為禁止訪問的安全策略，既可

以終止查詢，認(rèn)為該防火墻不滿足訪問條件。

圖 4 所示是在單臺(tái)防火墻設(shè)備中查詢是否有

滿足條件策略的處理流程 ：

5、系統(tǒng)運(yùn)行效果

在克服了人手不足、疫情影響等不利因素后，

經(jīng)過近兩年的艱苦努力，基本上實(shí)現(xiàn)了預(yù)期目標(biāo)，

一個(gè)功能完備的網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維平臺(tái)初具

雛形，日常運(yùn)維工作中，涉及到重復(fù)性強(qiáng)、或操

作對(duì)象數(shù)量龐大的操作類型，自動(dòng)化覆蓋率達(dá)到

90% 以上。以下是自動(dòng)化運(yùn)維平臺(tái)功能以及日常

應(yīng)用中實(shí)際例子展示，因訪問權(quán)限自動(dòng)化開通系

統(tǒng)在以前的文章中已經(jīng)由詳細(xì)介紹，這里不再講

述。

（一）策略查詢

策略查詢可以查詢當(dāng)前防火墻上主機(jī)之間的

訪問策略開放情況。根據(jù)查詢模式的不同，分為

六種查詢模式 ；根據(jù)指定主機(jī)所處交易網(wǎng)、非交

易網(wǎng)和互聯(lián)網(wǎng)不同，提供多種查詢范圍。圖 5 所

示為系統(tǒng)提供的策略查詢模式。

圖 6 所示是查詢辦公網(wǎng)的一臺(tái)指定主機(jī)（10.

是否有指定速率需求等因素。

同樣地，自動(dòng)化系統(tǒng)只保存完成配置需要的流程編號(hào)、選中的交換機(jī)端口、

VLAN id 等參數(shù)。這些參數(shù)申請(qǐng)人員在流程審批系統(tǒng)中輸入，并由流程審批系統(tǒng)

通過外部系統(tǒng)接口傳給自動(dòng)化系統(tǒng)。

自動(dòng)化系統(tǒng)在每天指定的變更時(shí)間窗口內(nèi)，間隔一定的時(shí)間，讀取流程數(shù)據(jù)，

按照?qǐng)D 3 所示步驟進(jìn)行處理：

圖 3 交換機(jī)端口配置流程處理

（四）策略查詢

假定需要查詢主機(jī) H1 能否訪問 H2 的 TCP 80 端口，處理思路是首先確定

圖 3 ：交換機(jī)端口配置流程處理

交易技術(shù)前沿

63

時(shí)目的地址包含/等于 H2，同時(shí)服務(wù)包含/等于 TCP 80 端口，并且安全域、動(dòng)作

都滿足條件的策略，即可以認(rèn)為該防火墻滿足條件。

由于防火墻匹配策略時(shí)是按照先后順序進(jìn)行的，因此要考慮動(dòng)作是“禁止”

的策略。如果先匹配到了 1 條動(dòng)作為禁止訪問的安全策略，既可以終止查詢，認(rèn)

為該防火墻不滿足訪問條件。

圖 4 所示是在單臺(tái)防火墻設(shè)備中查詢是否有滿足條件策略的處理流程：

圖 4 策略查詢處理流程

五、系統(tǒng)運(yùn)行效果

在克服了人手不足、疫情影響等不利因素后，經(jīng)過近兩年的艱苦努力，基本

上實(shí)現(xiàn)了預(yù)期目標(biāo)，一個(gè)功能完備的網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維平臺(tái)初具雛形，日常運(yùn)

維工作中，涉及到重復(fù)性強(qiáng)、或操作對(duì)象數(shù)量龐大的操作類型，自動(dòng)化覆蓋率達(dá)

到 90%以上。以下是自動(dòng)化運(yùn)維平臺(tái)功能以及日常應(yīng)用中實(shí)際例子展示，因訪問

權(quán)限自動(dòng)化開通系統(tǒng)在以前的文章中已經(jīng)由詳細(xì)介紹，這里不再講述。

（一）策略查詢

策略查詢可以查詢當(dāng)前防火墻上主機(jī)之間的訪問策略開放情況。根據(jù)查詢模

式的不同，分為六種查詢模式；根據(jù)指定主機(jī)所處交易網(wǎng)、非交易網(wǎng)和互聯(lián)網(wǎng)不

同，提供多種查詢范圍。圖 5 所示為系統(tǒng)提供的策略查詢模式。

圖 4 ：策略查詢處理流程

圖 5 查詢模式

圖 6 所示是查詢辦公網(wǎng)的一臺(tái)指定主機(jī)（10.x.x.155），能訪問辦公網(wǎng)內(nèi)哪

些主機(jī)的 22 端口的操作界面。

圖 6 查詢操作

圖 7 所示是查詢結(jié)果的一部分，列出的主機(jī)都開了 TCP 22 端口服務(wù)，且指

定主機(jī)具有訪問權(quán)限。

圖 5 查詢模式

圖 6 所示是查詢辦公網(wǎng)的一臺(tái)指定主機(jī)（10.x.x.155），能訪問辦公網(wǎng)內(nèi)哪

些主機(jī)的 22 端口的操作界面。

圖 6 查詢操作

圖 7 所示是查詢結(jié)果的一部分，列出的主機(jī)都開了 TCP 22 端口服務(wù)，且指

定主機(jī)具有訪問權(quán)限。

圖 5 ：查詢模式

圖 6 ：查詢操作

探索與應(yīng)用

x.x.155），能訪問辦公網(wǎng)內(nèi)哪些主機(jī)的 22 端口的

操作界面。

圖 7 所示是查詢結(jié)果的一部分，列出的主機(jī)

都開了 TCP 22 端口服務(wù)，且指定主機(jī)具有訪問

權(quán)限。

圖 6 查詢操作

圖 7 所示是查詢結(jié)果的一部分，列出的主機(jī)都開了 TCP 22 端口服務(wù)，且指

定主機(jī)具有訪問權(quán)限。

圖 7 策略查詢結(jié)果

（二）交換機(jī)端口自動(dòng)化配置

圖 7 ：策略查詢結(jié)果

（二）交換機(jī)端口自動(dòng)化配置

因物理機(jī)上架流程在 CMDB 系統(tǒng)中流轉(zhuǎn)，

因此交換機(jī)端口配置流程中的參數(shù)由申請(qǐng)人在

CMDB 系統(tǒng)中輸入并提交，如圖 8 所示。

每個(gè)工作日的下午 4 點(diǎn)開始，系統(tǒng)自行掃描

數(shù)據(jù)庫(kù)，讀出需要處理的參數(shù)，生成交換機(jī)配置

腳本保存，下發(fā)后，將下發(fā)結(jié)果保存到另外一個(gè)

下發(fā)結(jié)果文件中。

該模塊自 2022 年 10 月份試運(yùn)行，至今處

理了近 200 條流程，配置端口約 700 個(gè)，可以配

置指定端口到某指定 VLAN，或配置為 trunk 口。

為確保配置的交換機(jī)端口準(zhǔn)確性，系統(tǒng)提供給一

線人員選擇的可用交換機(jī)端口，必須滿足連續(xù)兩

天狀態(tài)為 down。

圖 9 所為一份根據(jù)配置參數(shù)生成的配置腳本

文件樣例。

圖 8 CMDB 交換機(jī)接口參數(shù)輸入界面

每個(gè)工作日的下午 4 點(diǎn)開始，系統(tǒng)自行掃描數(shù)據(jù)庫(kù)，讀生成交換機(jī)配置腳本保存，下發(fā)后，將下發(fā)結(jié)果保存到另外一該模塊自 2022 年 10 月份試運(yùn)行，至今處理了近 200 條流個(gè)，可以配置指定端口到某指定 VLAN，或配置為 trunk 口。機(jī)端口準(zhǔn)確性，系統(tǒng)提供給一線人員選擇的可用交換機(jī)端口，狀態(tài)為 down。

圖 9 所為一份根據(jù)配置參數(shù)生成的配置腳本文件樣例。

圖 9 交換機(jī)端口配置腳本文件

因物理機(jī)上架流程在 圖 10 所示圖 9 ： 交換機(jī)端口配置腳本文件 是一份下發(fā)結(jié)果文件樣例。 CMDB 系統(tǒng)中流轉(zhuǎn)，因此交換機(jī)端口配置流程中的參

數(shù)由申請(qǐng)人在 CMDB 系統(tǒng)中輸入并提交，如圖 8 所示。

圖 8 CMDB 交換機(jī)接口參數(shù)輸入界面

每個(gè)工作日的下午 4 點(diǎn)開始，系統(tǒng)自行掃描數(shù)據(jù)庫(kù)，讀出需要處理的參數(shù)，

生成交換機(jī)配置腳本保存，下發(fā)后，將下發(fā)結(jié)果保存到另外一個(gè)下發(fā)結(jié)果文件中。

該模塊自 2022 年 10 月份試運(yùn)行，至今處理了近 200 條流程，配置端口約 700

個(gè)以配置指定端到某指定或配置為為確保配置的交換圖 8 ：CMDB 交換機(jī)接口參數(shù)輸入界面

64

交易技術(shù)前沿

圖 10 所示是一份下發(fā)結(jié)果文件樣例。

圖 10 配置腳本下發(fā)反饋文件

（三）定期執(zhí)行類任務(wù)

定期執(zhí)行類任務(wù)目前完成/每天：

l 納管設(shè)備配置文件備份

l 路由器/交換機(jī)物理接口信息采集

l 指定的設(shè)備巡檢任務(wù)

l 指定的清理指令

目前納管的設(shè)備主要為我司三個(gè)數(shù)據(jù)中心的近 600 臺(tái)防火墻、交換機(jī)和路由

器。物理接口信息的采集主要完成接口的工作狀態(tài)、所屬 VLAN 等基礎(chǔ)信息，

為其它應(yīng)用提供數(shù)據(jù)支持；指定設(shè)備巡檢任務(wù)，是對(duì)重要設(shè)備進(jìn)行的日常巡檢，

對(duì)監(jiān)控系統(tǒng)的一種補(bǔ)充。例如，重要通信線路接口的錯(cuò)包率、雙工模式；光接口

的光衰指標(biāo)檢查等。指定的清理類指令，是每天對(duì)特定設(shè)備執(zhí)行的一種“無害化”

指令。例如，為防止操作人員打開了設(shè)備的 debug 功能忘記關(guān)閉，可以每天在指

定時(shí)間段內(nèi)執(zhí)行 1 條設(shè)備關(guān)閉 debug 功能的指令。

巡檢類任務(wù)實(shí)際上是在設(shè)備上執(zhí)行指定的查看類指令，然后對(duì)返回的結(jié)果進(jìn)

行分析，取回感興趣的信息進(jìn)行分析，并將巡檢結(jié)果記錄在巡檢報(bào)告中。配置一

個(gè)巡檢任務(wù)的界面如圖 11 所示：

圖 10 ：配置腳本下發(fā)反饋文件

（三）定期執(zhí)行類任務(wù)

定期執(zhí)行類任務(wù)目前完成 / 每天 ：

·納管設(shè)備配置文件備份

·路由器 / 交換機(jī)物理接口信息采集

·指定的設(shè)備巡檢任務(wù)

·指定的清理指令

目前納管的設(shè)備主要為我司三個(gè)數(shù)據(jù)中心的

近 600 臺(tái)防火墻、交換機(jī)和路由器。物理接口信

息的采集主要完成接口的工作狀態(tài)、所屬 VLAN

等基礎(chǔ)信息，為其它應(yīng)用提供數(shù)據(jù)支持 ；指定設(shè)

備巡檢任務(wù)，是對(duì)重要設(shè)備進(jìn)行的日常巡檢，對(duì)

監(jiān)控系統(tǒng)的一種補(bǔ)充。例如，重要通信線路接口

的錯(cuò)包率、雙工模式；光接口的光衰指標(biāo)檢查等。

指定的清理類指令，是每天對(duì)特定設(shè)備執(zhí)行的一

種“無害化”指令。例如，為防止操作人員打開

了設(shè)備的 debug 功能忘記關(guān)閉，可以每天在指定

時(shí)間段內(nèi)執(zhí)行 1 條設(shè)備關(guān)閉 debug 功能的指令。

巡檢類任務(wù)實(shí)際上是在設(shè)備上執(zhí)行指定的查

看類指令，然后對(duì)返回的結(jié)果進(jìn)行分析，取回感

興趣的信息進(jìn)行分析，并將巡檢結(jié)果記錄在巡檢

報(bào)告中。配置一個(gè)巡檢任務(wù)的界面如圖 11 所示 ：

上述配置的巡檢任務(wù)，是檢查指定交換機(jī)的

指定接口 eth1/1，檢查項(xiàng)為該接口的 CRC 參數(shù)和

雙工工作模式。其中，CRC 參數(shù)為實(shí)數(shù)類型，值

不等于 0 即為異常，雙工模式是字符串類型，值

不等于 full-duplex 或 Full-duplex 即為異常。

另外，采集到的基礎(chǔ)信息，還可以進(jìn)一步做

圖 11 配置一個(gè)巡檢任務(wù)

上述配置的巡檢任務(wù)，是檢查指定交換機(jī)的指定接口 eth1/1，檢查項(xiàng)為該接

口的 CRC 參數(shù)和雙工工作模式。其中，CRC 參數(shù)為實(shí)數(shù)類型，值不等于 0 即為

異常，雙工模式是字符串類型，值不等于 full-duplex 或 Full-duplex 即為異常。

圖 11 ：配置一個(gè)巡檢任務(wù)

65

探索與應(yīng)用

“增值化”處理。例如，可以將昨天狀態(tài)為 處理。例如，可以將昨天狀態(tài)為 up，

今天狀態(tài)為 down 的接口信息篩選出來，也可以

將狀態(tài)為 err_disable 的接口篩選出來，提供給技

術(shù)人員做進(jìn)一步分析處理。

（四）策略管理

防火墻策略管理實(shí)現(xiàn)了垃圾策略清理，敏感

策略篩選，策略批量遷移和策略優(yōu)化分析等功能。

絕大部分策略管理的功能是基于防火墻配置文件

進(jìn)行操作的，因此可以不限制操作時(shí)間段。圖 12

所示為策略管理操作界面。

1、策略篩選

策略篩選功能 , 可以在指定防火墻中 , 根據(jù)

事先定義的篩選條件 , 找出滿足條件的策略。最

常見的應(yīng)用場(chǎng)景是，當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，一

個(gè)網(wǎng)段不再使用，那么這個(gè)網(wǎng)段有關(guān)的安全策略

理論上都成了垃圾策略，都應(yīng)該清理掉。另外，

出于安全考慮，我們希望找出一些目的地址是

Any，或服務(wù)是 Any，或服務(wù)是一些高位端口的

安全策略進(jìn)行安全評(píng)估。

圖 13 所示為篩選策略輸入篩選條件的系統(tǒng)

界面。

首先需要指定防火墻，然后輸入篩選條件。

通常，篩選出的策略需要做進(jìn)一步的操作，例如

刪除，這時(shí)，可以將選中的策略提取關(guān)鍵字，比

如策略 ID，和指定的前、后綴字符串組成刪除

命令，這樣就可以很容易地順帶生成刪除策略的

腳本。目的安全域，源、目的地址，服務(wù)端口以

及策略動(dòng)作，都可以做為篩選的條件設(shè)定，設(shè)置

的多個(gè)條件是與的關(guān)系，只有滿足全部篩選條件

的策略才會(huì)被選中。

源、目的地址作為篩選條件時(shí)，可以指定一

圖 11 配置一個(gè)巡檢任務(wù)

上述配置的巡檢任務(wù)，是檢查指定交換機(jī)的指定接口 eth1/1，檢查項(xiàng)為該接

口的 CRC 參數(shù)和雙工工作模式。其中，CRC 參數(shù)為實(shí)數(shù)類型，值不等于 0 即為

異常，雙工模式是字符串類型，值不等于 full-duplex 或 Full-duplex 即為異常。

另外，采集到的基礎(chǔ)信息，還可以進(jìn)一步做“增值化”處理。例如，可以將

昨天狀態(tài)為 up，今天狀態(tài)為 down 的接口信息篩選出來，也可以將狀態(tài)為

err_disable 的接口篩選出來，提供給技術(shù)人員做進(jìn)一步分析處理。

（四）策略管理

防火墻策略管理實(shí)現(xiàn)了垃圾策略清理，敏感策略篩選，策略批量遷移和策略

優(yōu)化分析等功能。絕大部分策略管理的功能是基于防火墻配置文件進(jìn)行操作的，

因此可以不限制操作時(shí)間段。圖 12 所示為策略管理操作界面。

圖 12 策略管理界面

1、策略篩選

策略篩選功能,可以在指定防火墻中,根據(jù)事先定義的篩選條件,找出滿足條

件的策略。最常見的應(yīng)用場(chǎng)景是，當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，一個(gè)網(wǎng)段不再使用，那

么這個(gè)網(wǎng)段有關(guān)的安全策略理論上都成了垃圾策略，都應(yīng)該清理掉。另外，出于

安全考慮，我們希望找出一些目的地址是 Any，或服務(wù)是 Any，或服務(wù)是一些高

位端口的安全策略進(jìn)行安全評(píng)估。

圖 13 所示為篩選策略輸入篩選條件的系統(tǒng)界面。

圖 12 ：策略管理界面

圖 13 ：策略篩選操作

圖 13 策略篩選操作

首先需要指定防火墻，然后輸入篩選條件。通常，篩選出的策略需要做進(jìn)一

步的操作，例如刪除，這時(shí)，可以將選中的策略提取關(guān)鍵字，比如策略 ID，和

指定的前、后綴字符串組成刪除命令，這樣就可以很容易地順帶生成刪除策略的

66

交易技術(shù)前沿

個(gè)地址集合，設(shè)置策略地址等于或包含指定地址，

或指定地址包含策略地址的條件。還可以限定策

略中對(duì)應(yīng)地址包含的地址個(gè)數(shù)，以提高匹配精確

度。

假定因網(wǎng)絡(luò)拓?fù)渥兓刂范?192.168.1.0/24

這 個(gè) 網(wǎng) 段 取 消， 需 要 將 源 地 址 全 部 包 含 在

192.168.1.0/24 這個(gè)段的策略挑選出來并刪除，則

按圖 13 設(shè)定條件篩選策略即可。

再假定刪除策略的命令格式如下 ：

delete rule01

其 中，delete 為 刪 除 策 略 命 令 關(guān) 鍵 字，

rule01 是策略 ID，則前綴字符串設(shè)置為 ，則前綴字符串設(shè)置為 delete，

后綴設(shè)置為空，既可以根據(jù)所有篩選出的策略，

順帶生成刪除策略的腳本文本。

2、 批量遷移

在設(shè)備更換、網(wǎng)絡(luò)拓?fù)渥兏惹闆r下，通常

需要將原有設(shè)備中的一部分安全策略提取出來，

并將其遷移到另外一臺(tái)設(shè)備中。手工遷移策略的

做法通常是簡(jiǎn)單粗暴編輯設(shè)備配置文件，提取策

略，再拷貝到目標(biāo)設(shè)備中。因?yàn)楹芏喟踩呗灾?/p>

涉及到源、目的設(shè)備中的地址對(duì)象、服務(wù)對(duì)象等

配置情況，因此手工方式不僅僅效率低下，且極

易出錯(cuò)。自動(dòng)化系統(tǒng)根據(jù)設(shè)定的策略遷移條件，

代替人工自動(dòng)完成上述工作。圖 14 所示為策略

批量遷移操作界面。

首先需要設(shè)定源、目的防火墻 IP，再設(shè)定

源設(shè)備選擇策略條件，即選擇哪些策略需要遷移，

設(shè)置條件同“策略篩選”。然后設(shè)置變換條件，

即允許將遷移的策略做一定的變換，可以變更源、

目的安全域，源、目的地址和服務(wù)端口。圖中所

示為將遷移策略中的源地址做轉(zhuǎn)換 ：設(shè)定一個(gè)地

址集合，遷移后的策略中源地址可以排除這個(gè)地

址集合，也可以只保留這個(gè)地址集合，排除其它

地址。

假定想要將一臺(tái)防火墻中，策略中源安全域

為 trust，目的安全域?yàn)?untrust 的策略全部遷移到

另外一臺(tái)防火墻中，同時(shí)，遷移后的策略中源地

址為 192.168.1.0/24 這個(gè)網(wǎng)段內(nèi)的地址去掉，保

留其它地址，則篩選條件中設(shè)定源、目的安全域

分別是 trust 和 untrust，變換條件中設(shè)置源地址限

定值為 192.168.1.0/24 192.168.1.0/24，操作模式為“排除”即可。

假設(shè)源設(shè)備中有如下兩條選中的策略 ：

rule 1

action permit

src-zone \"trust\"

dst-zone \"untrust\"

src-ip 192.168.1.5/32

dst-ip 202.0.0.2

圖 14 策略批量遷移

首先需要設(shè)定源、目的防火墻 IP，再設(shè)定源設(shè)備選擇策略條件，即選擇哪

些策略需要遷移，設(shè)置條件同“策略篩選”。然后設(shè)置變換條件，即允許將遷移

的策略做一定的變換，可以變更源、目的安全域，源、目的地址和服務(wù)端口。圖

中為將移策略中的地做轉(zhuǎn)換定個(gè)地集合移的策略中圖 14 ：策略批量遷移

67

探索與應(yīng)用

service \"http\"

exit

rule 2

action permit

src-zone \"trust\"

dst-zone \"untrust\"

src-ip 192.168.1.15/32

src-ip 192.168.2.15/32

dst-ip 202.0.0.2

service \"http\"

exit

那么遷移后，rule 1 排除操作后，源地址為空，

成為一條非法策略，不再遷移 ；rule 2 去掉源地

址 192.168.1.15/32 后再遷移，最終生成的遷移腳

本為 ：

rule

action permit

src-zone \"trust\"

dst-zone \"untrust\"

src-ip 192.168.2.15/32

dst-ip 202.0.0.2

service \"http\"

exit

（五）通用批量操作

批量設(shè)備操作根據(jù)下發(fā)的配置復(fù)雜度不同，

分為幾種情況 ：

·單一固定命令集合

·多個(gè)固定命令集合

·單一帶可變參數(shù)命令集合

·多個(gè)帶可變參數(shù)命令集合

·復(fù)雜命令集合

單一命令集合是所有操作設(shè)備對(duì)象下發(fā)統(tǒng)同

一個(gè)命令腳本，多個(gè)則是不同設(shè)備操作對(duì)象下發(fā)

的腳本不同 ；固定命令集合是指腳本是固定不變

的，例如所有設(shè)備更新為相同的超級(jí)用戶密碼 ；

帶參數(shù)的命令集合則是腳本中命令格式下發(fā)前需

要按要求替換 ；復(fù)雜命令集合是指，需要從被操

作對(duì)象取回一定的參數(shù)，根據(jù)這些參數(shù)動(dòng)態(tài)生成

命令腳本。

自動(dòng)化系統(tǒng)實(shí)際上是根據(jù)要求和設(shè)定條件，

為每一臺(tái)操作設(shè)備對(duì)象生成配置腳本并保存，然

后通過下發(fā)腳本功能批量下發(fā)。圖 15 所示為設(shè)

備批量操作界面。

篇幅所限，這里只介紹復(fù)雜腳本批量生成的

界面。如圖 16 所示。

首先要指定操作設(shè)備對(duì)象集合。這里輸入的

參數(shù)，系統(tǒng)組合后形成一個(gè) SQL 語句的條件部分，

從納管設(shè)備庫(kù)中篩選出操作對(duì)象。任務(wù)名指定對(duì)

選中的設(shè)備執(zhí)行的操作，并獲取指定的參數(shù)集合，

這些參數(shù)集合作為指定配置模板的輸入?yún)?shù)，最

終為每個(gè)選中設(shè)備動(dòng)態(tài)生成一個(gè)配置腳本。這里

的配置腳本是系統(tǒng)自定義格式，操作人員可以審

核并隨時(shí)修改，然后通過下發(fā)配置操作下發(fā)到指

定設(shè)備中。

一個(gè)典型的應(yīng)用場(chǎng)景是，將某個(gè)數(shù)據(jù)中心

所有的接入層交換機(jī)，狀態(tài)為 down 的網(wǎng)絡(luò)接

口，設(shè)置為 shut down。假定某臺(tái)接入交換機(jī)

（192.168.1.1 192.168.1.1）通過執(zhí)行“獲取所有接口狀態(tài) 獲取所有接口狀態(tài)”任

務(wù)，得到其中以下接口狀態(tài)為 down:

rule

action permit

src-zone \"trust\"

dst-zone \"untrust\"

src-ip 192.168.2.15/32

dst-ip 202.0.0.2

service \"http\"

exit

（五）通用批量操作

批量設(shè)備操作根據(jù)下發(fā)的配置復(fù)雜度不同，分為幾種情況：

l 單一固定命令集合

l 多個(gè)固定命令集合

l 單一帶可變參數(shù)命令集合

l 多個(gè)帶可變參數(shù)命令集合

l 復(fù)雜命令集合

單一命令集合是所有操作設(shè)備對(duì)象下發(fā)統(tǒng)同一個(gè)命令腳本，多個(gè)則是不同設(shè)

備操作對(duì)象下發(fā)的腳本不同；固定命令集合是指腳本是固定不變的，例如所有設(shè)

備更新為相同的超級(jí)用戶密碼；帶參數(shù)的命令集合則是腳本中命令格式下發(fā)前需

要按要求替換；復(fù)雜命令集合是指，需要從被操作對(duì)象取回一定的參數(shù)，根據(jù)這

些參數(shù)動(dòng)態(tài)生成命令腳本。

自動(dòng)化系統(tǒng)實(shí)際上是根據(jù)要求和設(shè)定條件，為每一臺(tái)操作設(shè)備對(duì)象生成配置

腳本并保存，然后通過下發(fā)腳本功能批量下發(fā)。圖 15 所示為設(shè)備批量操作界面。

圖 15 批量操作界面

篇幅所限，這里只介紹復(fù)雜腳本批量生成的界面。如圖 16 所示。

圖 15 ：批量操作界面

68

交易技術(shù)前沿

Eth1/22,Etrh1/30,Eth1/35

另外一臺(tái)接入交換機(jī)（192.168.1.2）以下接

口狀態(tài)為 down:

Eth1/2,Etrh1/3

則最終生成的配置腳本如圖 17 所示 ：

圖 16 復(fù)雜腳本生成界面

首先要指定操作設(shè)備對(duì)象集合。這里輸入的參數(shù)，系統(tǒng)組合后形成一個(gè) SQL

語句的條件部分，從納管設(shè)備庫(kù)中篩選出操作對(duì)象。任務(wù)名指定對(duì)選中的設(shè)備執(zhí)

行的操作，并獲取指定的參數(shù)集合，這些參數(shù)集合作為指定配置模板的輸入?yún)?shù)，

最終為每個(gè)選中設(shè)備動(dòng)態(tài)生成一個(gè)配置腳本。這里的配置腳本是系統(tǒng)自定義格

式，操作人員可以審核并隨時(shí)修改，然后通過下發(fā)配置操作下發(fā)到指定設(shè)備中。

一個(gè)典型的應(yīng)用場(chǎng)景是，將某個(gè)數(shù)據(jù)中心所有的接入層交換機(jī)，狀態(tài)為 down

的網(wǎng)絡(luò)接口，設(shè)置為 shut down。假定某臺(tái)接入交換機(jī)（192.168.1.1）通過執(zhí)行

“獲取所有接口狀態(tài)”任務(wù)，得到其中以下接口狀態(tài)為 down:

Eth1/22,Etrh1/30,Eth1/35

另外一臺(tái)接入交換機(jī)（192.168.1.2）以下接口狀態(tài)為 down:

Eth1/2,Etrh1/3

則最終生成的配置腳本如圖 17 所示：

圖 17 結(jié)果配置腳本

其中，@@開頭的語句為自定義的腳本操作控制語句。這個(gè)腳本文件就是一

個(gè)普通的文本文件，經(jīng)過復(fù)核后，就可以通過下發(fā)操作，批量下發(fā)到指定設(shè)備。

（六）統(tǒng)一地址對(duì)象

統(tǒng)一地址對(duì)象有 3 類，個(gè)人終端、地址組和系統(tǒng)類。個(gè)人終端類只能有一個(gè)

IP 地址，地址組類可以有多個(gè)地址，但必須處于同一安全域，系統(tǒng)類地址成員不

限，可以根據(jù)需要隨意配置。

1、 創(chuàng)建地址對(duì)象

圖 17 ：結(jié)果配置腳本

其中，@@ 開頭的語句為自定義的腳本操作

控制語句。這個(gè)腳本文件就是一個(gè)普通的文本文

件，經(jīng)過復(fù)核后，就可以通過下發(fā)操作，批量下

發(fā)到指定設(shè)備。

（六）統(tǒng)一地址對(duì)象

統(tǒng)一地址對(duì)象有 3 類，個(gè)人終端、地址組和

系統(tǒng)類。個(gè)人終端類只能有一個(gè) IP 地址，地址

組類可以有多個(gè)地址，但必須處于同一安全域，

系統(tǒng)類地址成員不限，可以根據(jù)需要隨意配置。

1、 創(chuàng)建地址對(duì)象

申請(qǐng)人可以自行創(chuàng)建地址對(duì)象，但只可以創(chuàng)

建個(gè)人終端或地址組類型的地址對(duì)象。創(chuàng)建的地

址對(duì)象可以是私有，只有自己可以使用 ；也可以

公有，所有人都可以使用。圖 18 所示為創(chuàng)建地

址對(duì)象界面。

圖 18 地址對(duì)象創(chuàng)建

創(chuàng)建好的地址對(duì)象，就可以用來申請(qǐng)安全策略了。后續(xù)，如果變化，或地址組成員發(fā)生增減，只需要提申請(qǐng)流程修改地址對(duì)象就更前相同的訪問權(quán)限了。圖 19 所示為地址對(duì)象變更操作界面。

圖 18 ：地址對(duì)象創(chuàng)建

創(chuàng)建好的地址對(duì)象，就可以用來申請(qǐng)安全策

略了。后續(xù)，如果個(gè)人終端地址變化，或地址組

成員發(fā)生增減，只需要提申請(qǐng)流程修改地址對(duì)象

就可以具備和變更前相同的訪問權(quán)限了。圖 19

所示為地址對(duì)象變更操作界面。

圖 15 批量操作界面

篇幅所限，這里只介紹復(fù)雜腳本批量生成的界面。如圖 16 所示。

圖 16 ：復(fù)雜腳本生成界面

69

探索與應(yīng)用 圖 18 地址對(duì)象創(chuàng)建

創(chuàng)建好的地址對(duì)象，就可以用來申請(qǐng)安全策略了。后續(xù)，如果個(gè)人終端地址

變化，或地址組成員發(fā)生增減，只需要提申請(qǐng)流程修改地址對(duì)象就可以具備和變

更前相同的訪問權(quán)限了。圖 19 所示為地址對(duì)象變更操作界面。

圖 19 地址對(duì)象變更

圖 19 所示的流程申請(qǐng)，將地址對(duì)象 test 地址變更為 192.168.1.230/32。

2、系統(tǒng)地址對(duì)象

系統(tǒng)地址對(duì)象一般由網(wǎng)絡(luò)管理員創(chuàng)建并管理使用，禁止在策略申請(qǐng)中使用。

系統(tǒng)地址對(duì)象應(yīng)用在特殊的安全策略中，且此類策略數(shù)量少，只須手工配置即可。

通常頻繁變化的是地址對(duì)象中的成員。圖 20 所示為系統(tǒng)地址對(duì)象管理界面。

圖 19 ：地址對(duì)象變更

圖 19 所示的流程申請(qǐng)，將地址對(duì)象 test 地

址變更為 192.168.1.230/32。

2、系統(tǒng)地址對(duì)象

系統(tǒng)地址對(duì)象一般由網(wǎng)絡(luò)管理員創(chuàng)建并管理

使用，禁止在策略申請(qǐng)中使用。系統(tǒng)地址對(duì)象應(yīng)

用在特殊的安全策略中，且此類策略數(shù)量少，只

須手工配置即可。通常頻繁變化的是地址對(duì)象中

的成員。圖 20 所示為系統(tǒng)地址對(duì)象管理界面。

圖 18 地址對(duì)象創(chuàng)建

創(chuàng)建好的地址對(duì)象，就可以用來申請(qǐng)安全策略了。后續(xù)，如果個(gè)人終端地址

變化，或地址組成員發(fā)生增減，只需要提申請(qǐng)流程修改地址對(duì)象就可以具備和變

更前相同的訪問權(quán)限了。圖 19 所示為地址對(duì)象變更操作界面。

圖 19 地址對(duì)象變更

圖 19 所示的流程申請(qǐng)，將地址對(duì)象 test 地址變更為 192.168.1.230/32。

2、系統(tǒng)地址對(duì)象

系統(tǒng)地址對(duì)象一般由網(wǎng)絡(luò)管理員創(chuàng)建并管理使用，禁止在策略申請(qǐng)中使用。

系統(tǒng)地址對(duì)象應(yīng)用在特殊的安全策略中，且此類策略數(shù)量少，只須手工配置即可。

通常頻繁變化的是地址對(duì)象中的成員。圖 20 所示為系統(tǒng)地址對(duì)象管理界面。

圖 20 ：系統(tǒng)地址對(duì)象管理

例如，互聯(lián)網(wǎng)邊界防火墻通常會(huì)定義一組高

危地址，此類地址被禁止訪問內(nèi)網(wǎng)。因?yàn)檫@個(gè)高

危地址組成員是動(dòng)態(tài)變化的，因此經(jīng)常需要對(duì)它

進(jìn)行修改。如果有多臺(tái)邊界防火墻，就相當(dāng)繁瑣

了。因此，這樣一組高危地址，可以將其定義為

一個(gè)系統(tǒng)地址對(duì)象使用、管理。

6、結(jié)束語

我司自 2020 年網(wǎng)絡(luò)自動(dòng)化項(xiàng)目一期上線運(yùn)

行至今，系統(tǒng)已經(jīng)由一個(gè)單一處理訪問權(quán)限申請(qǐng)

流程的自動(dòng)化處理工具，演變?yōu)橐粋€(gè)可彈性擴(kuò)展、

功能完備的網(wǎng)絡(luò)系統(tǒng)自動(dòng)化運(yùn)維平臺(tái)。不僅可以

自動(dòng)化處理流程類申請(qǐng)引發(fā)的各類網(wǎng)絡(luò)日常操作

變更，還可以協(xié)助網(wǎng)絡(luò)管理員自動(dòng)化處理各類人

工難以完成的運(yùn)維工作和批量操作。

系統(tǒng)平臺(tái)仍以處理訪問權(quán)限開通申請(qǐng)流程為

主要功能，圖 21 所示為系統(tǒng)上線以來每年處理

的訪問條目數(shù)量增長(zhǎng)情況。

圖 20 系統(tǒng)地址對(duì)象管理

例如，互聯(lián)網(wǎng)邊界防火墻通常會(huì)定義一組高危地址，此類地址被禁止訪問內(nèi)

網(wǎng)。因?yàn)檫@個(gè)高危地址組成員是動(dòng)態(tài)變化的，因此經(jīng)常需要對(duì)它進(jìn)行修改。如果

有多臺(tái)邊界防火墻，就相當(dāng)繁瑣了。因此，這樣一組高危地址，可以將其定義為

一個(gè)系統(tǒng)地址對(duì)象使用、管理。

六、結(jié)束語

我司自 2020 年網(wǎng)絡(luò)自動(dòng)化項(xiàng)目一期上線運(yùn)行至今，系統(tǒng)已經(jīng)由一個(gè)單一處

理訪問權(quán)限申請(qǐng)流程的自動(dòng)化處理工具，演變?yōu)橐粋€(gè)可彈性擴(kuò)展、功能完備的網(wǎng)

絡(luò)系統(tǒng)自動(dòng)化運(yùn)維平臺(tái)。不僅可以自動(dòng)化處理流程類申請(qǐng)引發(fā)的各類網(wǎng)絡(luò)日常操

作變更，還可以協(xié)助網(wǎng)絡(luò)管理員自動(dòng)化處理各類人工難以完成的運(yùn)維工作和批量

操作。

系統(tǒng)平臺(tái)仍以處理訪問權(quán)限開通申請(qǐng)流程為主要功能，圖 21 所示為系統(tǒng)上

線以來每年處理的訪問條目數(shù)量增長(zhǎng)情況。

圖 21 訪問權(quán)限流程開通數(shù)量變化

由于我司近年來辦公場(chǎng)地和數(shù)據(jù)中心屢次搬遷，導(dǎo)致每年涉及的網(wǎng)絡(luò)訪問權(quán)

限申請(qǐng)劇增，2022 年自動(dòng)化系統(tǒng)共處理了 22117 條訪問申請(qǐng)，包括節(jié)假日在內(nèi)平均每天自動(dòng)化處理 60 多條，基本上做到了流程“審批通過當(dāng)天處理完畢”。

剔除因?yàn)榫W(wǎng)絡(luò)變更導(dǎo)致的基礎(chǔ)數(shù)據(jù)配置錯(cuò)誤以及申請(qǐng)人提交信息錯(cuò)誤等原因，生

成配置腳本、下發(fā)腳本處理過程正確率達(dá)到了 100%。

安全策略管理功能 2022 年上線試運(yùn)行，至今已經(jīng)完成 6 次因網(wǎng)絡(luò)拓?fù)渥兏O(shè)備更新引發(fā)的策略批量遷移，遷移策略總數(shù)約 700 條；清除因棄用網(wǎng)段、相互

包含的垃圾策略 1100 多條；通過策略優(yōu)化分析功能，清除無用地址對(duì)象、服務(wù)

對(duì)象 4 批次，自動(dòng)化操作處理準(zhǔn)確率高于 99%。

應(yīng)用自動(dòng)化系統(tǒng)的意義不僅僅在于節(jié)省了人力，更重要的是自動(dòng)化可以完成

許多人工不能完成，或者說很難完成的工作。比如說在配置安全策略時(shí)，確定一

條策略是否在目標(biāo)設(shè)備上已經(jīng)實(shí)現(xiàn)或被包含，是一件非常費(fèi)時(shí)費(fèi)力的事情，特別

是當(dāng)目標(biāo)設(shè)備中的策略條數(shù)很多時(shí)，更加難以處理。又比如，只要配置足夠強(qiáng)的

算力，自動(dòng)化系統(tǒng)可以在業(yè)務(wù)空閑時(shí)間段對(duì)所有網(wǎng)絡(luò)設(shè)備接口進(jìn)行自動(dòng)化巡檢

篩選出潛在風(fēng)險(xiǎn)點(diǎn)。這種操作需要登錄大量設(shè)備，輸入命令并處理天量的返回文

本，再生成巡檢報(bào)告。類似操作如果換成人力，是幾乎不可能完成的任務(wù)。

圖 21 ：訪問權(quán)限流程開通數(shù)量變化

由于我司近年來辦公場(chǎng)地和數(shù)據(jù)中心屢次

搬遷，導(dǎo)致每年涉及的網(wǎng)絡(luò)訪問權(quán)限申請(qǐng)劇增，

2022 年自動(dòng)化系統(tǒng)共處理了 22117 條訪問申請(qǐng)，

包括節(jié)假日在內(nèi)，平均每天自動(dòng)化處理 60 多條，

基本上做到了流程“審批通過當(dāng)天處理完畢”。

剔除因?yàn)榫W(wǎng)絡(luò)變更導(dǎo)致的基礎(chǔ)數(shù)據(jù)配置錯(cuò)誤以及

申請(qǐng)人提交信息錯(cuò)誤等原因，生成配置腳本、下

發(fā)腳本處理過程正確率達(dá)到了 100%。

安全策略管理功能 2022 年上線試運(yùn)行，至

今已經(jīng)完成 6 次因網(wǎng)絡(luò)拓?fù)渥兏?、設(shè)備更新引發(fā)

的策略批量遷移，遷移策略總數(shù)約 700 條 ；清除

因棄用網(wǎng)段、相互包含的垃圾策略 1100 多條 ；通

過策略優(yōu)化分析功能，清除無用地址對(duì)象、服務(wù)

對(duì)象 4 批次，自動(dòng)化操作處理準(zhǔn)確率高于 99%。

應(yīng)用自動(dòng)化系統(tǒng)的意義不僅僅在于節(jié)省了人

力，更重要的是自動(dòng)化可以完成許多人工不能完成，

或者說很難完成的工作。比如說在配置安全策略

時(shí)，確定一條策略是否在目標(biāo)設(shè)備上已經(jīng)實(shí)現(xiàn)或被

包含，是一件非常費(fèi)時(shí)費(fèi)力的事情，特別是當(dāng)目標(biāo)

設(shè)備中的策略條數(shù)很多時(shí)，更加難以處理。又比如，

只要配置足夠強(qiáng)的算力，自動(dòng)化系統(tǒng)可以在業(yè)務(wù)空

閑時(shí)間段對(duì)所有網(wǎng)絡(luò)設(shè)備接口進(jìn)行自動(dòng)化巡檢，篩

選出潛在風(fēng)險(xiǎn)點(diǎn)。這種操作需要登錄大量設(shè)備，輸

入命令并處理天量的返回文本，再生成巡檢報(bào)告。

類似操作如果換成人力，是幾乎不可能完成的任務(wù)。

70

交易技術(shù)前沿

興業(yè)證券應(yīng)用性能監(jiān)控系統(tǒng)

建設(shè)思路、方法和實(shí)踐

劉洋、石良生、楊洋 / 興業(yè)證券股份有限公司 金融科技部 福建 福州 350001

E-mail ：yangyang2021@xyzq.com.cn

1、建設(shè)背景

業(yè)務(wù)的復(fù)雜化和上層技術(shù)的升級(jí)是推動(dòng)監(jiān)

控手段不斷發(fā)展的原動(dòng)力。企業(yè)級(jí)監(jiān)控體系要面

對(duì)眾多信息化系統(tǒng)拓?fù)浣M成的復(fù)雜 IT 經(jīng)營(yíng)服務(wù)，

其實(shí)際運(yùn)行工作更為復(fù)雜，再加上微服務(wù)、云原

生、函數(shù)計(jì)算等新技術(shù)的不斷涌現(xiàn)，傳統(tǒng)的日志

加系統(tǒng)監(jiān)控的手段已經(jīng)難以充分地滿足企業(yè)的監(jiān)

控需求。

系統(tǒng)監(jiān)控領(lǐng)域由于其復(fù)雜性和普適性，是各

類技術(shù)服務(wù)商和開源組織競(jìng)相角逐的戰(zhàn)場(chǎng)，流行

方案層出不求、創(chuàng)新不斷。通過開源或商用工具

快速構(gòu)建監(jiān)控能力是小型團(tuán)隊(duì)的常規(guī)路徑，但對(duì)

于有大量存量系統(tǒng)、或自研與外購(gòu)混合、或多中

心、或多技術(shù)棧的中型以上企業(yè)來說，明確監(jiān)控

體系建設(shè)質(zhì)量目標(biāo)，通過目標(biāo)倒推監(jiān)控工具和管

理流程規(guī)劃相比較而言更加具有長(zhǎng)期成效。無論

技術(shù)如何發(fā)展更迭、企業(yè)業(yè)務(wù)特性如何包羅萬象，

拋開層出不窮的新潮概念和流行方案，從主要監(jiān)

控步驟（日志采集－〉發(fā)送告警－〉故障定位）

來看，衡量企業(yè)監(jiān)控體系健壯性的關(guān)鍵指標(biāo)依然

是 ：監(jiān)控覆蓋度、告警有效性和可觀測(cè)性。

隨著微服務(wù)框架在公司內(nèi)的逐步推廣落地，對(duì)分布式架構(gòu)下的產(chǎn)線可觀測(cè)性提出了

新的挑戰(zhàn)。業(yè)務(wù)的復(fù)雜化，給性能監(jiān)控的內(nèi)容和方式也提出了新的要求。同時(shí)，為數(shù)眾多

的外采的煙囪式的信息系統(tǒng)，使得應(yīng)用的性能監(jiān)控更加困難。本文針對(duì)公司現(xiàn)狀，對(duì)應(yīng)用

性能監(jiān)控系統(tǒng)的解決方案進(jìn)行探討，通過自主研發(fā)一套全新的應(yīng)用性能監(jiān)控系統(tǒng)，在傳統(tǒng)

的分布式鏈路跟蹤技術(shù)的基礎(chǔ)之上，實(shí)現(xiàn)豐富的接入方案，靈活的監(jiān)控配置，動(dòng)態(tài)的指標(biāo)

拉取，邊緣化的數(shù)據(jù)存儲(chǔ)，解決了公司產(chǎn)線觀測(cè)的問題，在大量自研及外采系統(tǒng)中進(jìn)行實(shí)

踐，取得了良好的效果。

71

探索與應(yīng)用

72

1.1. 監(jiān)控覆蓋度

具體包括監(jiān)控目標(biāo)的覆蓋度和監(jiān)控指標(biāo)的覆

蓋度。監(jiān)控目標(biāo)包括 ：應(yīng)用、系統(tǒng)（運(yùn)行環(huán)境）、

數(shù)據(jù)庫(kù)、中間件、硬件（機(jī)房、服務(wù)器、空調(diào)）、

網(wǎng)絡(luò)等。監(jiān)控指標(biāo)可以分為系統(tǒng)指標(biāo)、應(yīng)用性能

指標(biāo)、日志、業(yè)務(wù)指標(biāo)等。通過設(shè)置標(biāo)準(zhǔn)化的監(jiān)

控管理流程和角色來保障監(jiān)控覆蓋度是非常有必

要的。與之相反的是運(yùn)動(dòng)式、缺乏監(jiān)督和檢查點(diǎn)、

缺乏針對(duì)性評(píng)估。

對(duì)于存量系統(tǒng)，打通 CMDB（Configuration

Management Database，配置管理數(shù)據(jù)庫(kù)）與監(jiān)控

系統(tǒng)，將 CMDB 系統(tǒng)清單和監(jiān)控系統(tǒng)的指標(biāo)清單

匹配整合，通過日志有無采集來判斷覆蓋度是一

種比較理想化的存量覆蓋度檢查手段。

1.2. 告警有效性

當(dāng)完成監(jiān)控覆蓋度后最重要的工作便是維持

告警的有效性，包括去除無效日志、告警降噪、

觸達(dá)審計(jì)等。告警有效性保障是監(jiān)控體系最容易

忽略的一環(huán)，有效性的缺失會(huì)導(dǎo)致整個(gè)監(jiān)控機(jī)制

的失靈。因此，通過管理機(jī)制和協(xié)同工具來保障

每條告警的有效觸達(dá)和被充分重視是至關(guān)重要的

監(jiān)控工作之一。

1.3. 可觀測(cè)性

不同于狹義監(jiān)控側(cè)重于觀察特定指標(biāo)，可觀

測(cè)性則是強(qiáng)調(diào)通過分析系統(tǒng)生成的數(shù)據(jù)理解推演

出系統(tǒng)內(nèi)部的狀態(tài)?？捎^測(cè)性是面向復(fù)雜分布式

系統(tǒng)的現(xiàn)代監(jiān)控理念，以應(yīng)對(duì)云原生、大規(guī)模分

布式協(xié)同等現(xiàn)代技術(shù)場(chǎng)景，同時(shí)，可觀測(cè)性也是

產(chǎn)線排障的重要支點(diǎn)。

可觀測(cè)性內(nèi)容非常多，是監(jiān)控體系中最具技

術(shù)挑戰(zhàn)性的部分。大致可以分類為日志（Logging）、

指標(biāo)（Metrics）和追蹤（Tracing）。全鏈路的可

觀測(cè)建設(shè)牽涉到諸多方面，易入門難完善，同時(shí)

也間接反映企業(yè)整體 IT 研發(fā)實(shí)力水平。

1.4. 金融類企業(yè)其他要求

1.4.1. 多技術(shù)棧、多外購(gòu)系統(tǒng)

不同于一個(gè)技術(shù)棧擼到底的互聯(lián)網(wǎng)公司，大

多數(shù)券商非常依賴技術(shù)供應(yīng)商，其技術(shù)棧容易發(fā)

散，同時(shí)還存在大量的外購(gòu)黑盒系統(tǒng)，部分還自

帶監(jiān)控子系統(tǒng)。對(duì)自研和外購(gòu)的分層支持、對(duì)于

不同技術(shù)棧系統(tǒng)保有一致性的監(jiān)控水準(zhǔn)需要一個(gè)

不求、創(chuàng)新不斷。通過開源或商用工具快速構(gòu)建監(jiān)控能力是小型團(tuán)隊(duì)的常規(guī)路徑，但對(duì)于有大量存量系統(tǒng)、

或自研與外購(gòu)混合、或多中心、或多技術(shù)棧的中型以上企業(yè)來說，明確監(jiān)控體系建設(shè)質(zhì)量目標(biāo)，通過目標(biāo)

倒推監(jiān)控工具和管理流程規(guī)劃相比較而言更加具有長(zhǎng)期成效。無論技術(shù)如何發(fā)展更迭、企業(yè)業(yè)務(wù)特性如何

包羅萬象，拋開層出不窮的新潮概念和流行方案，從主要監(jiān)控步驟（日志采集－〉發(fā)送告警－〉故障定位）

來看，衡量企業(yè)監(jiān)控體系健壯性的關(guān)鍵指標(biāo)依然是：監(jiān)控覆蓋度、告警有效性和可觀測(cè)性。

圖 1：監(jiān)控系統(tǒng)關(guān)鍵指標(biāo)

8989 )*<=>7

圖 1 ：監(jiān)控系統(tǒng)關(guān)鍵指標(biāo)

交易技術(shù)前沿

73

系統(tǒng)性解決方案。

1.4.2. 數(shù)據(jù)脫敏與研發(fā)協(xié)同

對(duì)于瀑布類的項(xiàng)目和外購(gòu)系統(tǒng)，運(yùn)維團(tuán)隊(duì)掌

控力較強(qiáng)。但敏捷交付項(xiàng)目往往更需要開發(fā)人員

參與穩(wěn)定性的維護(hù)。因此，在開發(fā)和運(yùn)維兩類角

色中進(jìn)行數(shù)據(jù)隔離同時(shí)保證高效協(xié)同也是完善監(jiān)

控體系的重要內(nèi)容。

1.4.3. 系統(tǒng)的健壯性

金融類企業(yè)的信息系統(tǒng)，涉及交易、資金等

許多環(huán)節(jié)。對(duì)于監(jiān)控系統(tǒng)的引入，需要非常謹(jǐn)慎。

必須要保證監(jiān)控系統(tǒng)不能對(duì)原有系統(tǒng)的正常運(yùn)行

造成影響。

2、建設(shè)思路

企業(yè)監(jiān)控體系的搭建可以分為監(jiān)控接入管

理、監(jiān)控服務(wù)、監(jiān)控平臺(tái)三項(xiàng)工作。良好的監(jiān)

控體系需要依賴可靠的平臺(tái)系統(tǒng)和有效的工作制

度，系統(tǒng)與制度缺一不可。

檢查手段。

?9 @ABC'7

當(dāng)完成監(jiān)控覆蓋度后最重要的工作便是維持告警的有效性，包括去除無效日志、告警降噪、觸達(dá)審計(jì)

。告警有效性保障是監(jiān)控體系最容易忽略的一環(huán)，有效性的缺失會(huì)導(dǎo)致整個(gè)監(jiān)控機(jī)制的失靈。因此，通

管理機(jī)制和協(xié)同工具來保障每條告警的有效觸達(dá)和被充分重視是至關(guān)重要的監(jiān)控工作之一。

D9 EFG'7

不同于狹義監(jiān)控側(cè)重于觀察特定指標(biāo)，可觀測(cè)性則是強(qiáng)調(diào)通過分析系統(tǒng)生成的數(shù)據(jù)理解推演出系統(tǒng)內(nèi)

的狀態(tài)。可觀測(cè)性是面向復(fù)雜分布式系統(tǒng)的現(xiàn)代監(jiān)控理念，以應(yīng)對(duì)云原生、大規(guī)模分布式協(xié)同等現(xiàn)代技

場(chǎng)景，同時(shí)，可觀測(cè)性也是產(chǎn)線排障的重要支點(diǎn)。

可觀測(cè)性內(nèi)容非常多，是監(jiān)控體系中最具技術(shù)挑戰(zhàn)性的部分。大致可以分類為日志（Logging）、指標(biāo)

Metrics）和追蹤（Tracing）。全鏈路的可觀測(cè)建設(shè)牽涉到諸多方面，易入門難完善，同時(shí)也間接反映

業(yè)整體 IT 研發(fā)實(shí)力水平。

H9 IJKL\"MNOP7

4.1. 多技術(shù)棧、多外購(gòu)系統(tǒng)

不同于一個(gè)技術(shù)棧擼到底的互聯(lián)網(wǎng)公司，大多數(shù)券商非常依賴技術(shù)供應(yīng)商，其技術(shù)棧容易發(fā)散，同時(shí)

存在大量的外購(gòu)黑盒系統(tǒng)，部分還自帶監(jiān)控子系統(tǒng)。對(duì)自研和外購(gòu)的分層支持、對(duì)于不同技術(shù)棧系統(tǒng)保

一致性的監(jiān)控水準(zhǔn)需要一個(gè)系統(tǒng)性解決方案。

4.2. 數(shù)據(jù)脫敏與研發(fā)協(xié)同

對(duì)于瀑布類的項(xiàng)目和外購(gòu)系統(tǒng)，運(yùn)維團(tuán)隊(duì)掌控力較強(qiáng)。但敏捷交付項(xiàng)目往往更需要開發(fā)人員參與穩(wěn)定

的維護(hù)。因此，在開發(fā)和運(yùn)維兩類角色中進(jìn)行數(shù)據(jù)隔離同時(shí)保證高效協(xié)同也是完善監(jiān)控體系的重要內(nèi)容。

4.3. 系統(tǒng)的健壯性

金融類企業(yè)的信息系統(tǒng)，涉及交易、資金等許多環(huán)節(jié)。對(duì)于監(jiān)控系統(tǒng)的引入，需要非常謹(jǐn)慎。必須要

證監(jiān)控系統(tǒng)不能對(duì)原有系統(tǒng)的正常運(yùn)行造成影響。

-./07

企業(yè)監(jiān)控體系的搭建可以分為監(jiān)控接入管理、監(jiān)控服務(wù)、監(jiān)控平臺(tái)三項(xiàng)工作。良好的監(jiān)控體系需要依

可靠的平臺(tái)系統(tǒng)和有效的工作制度，系統(tǒng)與制度缺一不可。

圖 2 ：項(xiàng)目建設(shè)思路

2.1. 監(jiān)控接入管理

監(jiān)控接入管理是指通過清晰有效的工作機(jī)

制，在研發(fā)交付流程環(huán)節(jié)保障監(jiān)控覆蓋面，避免

死角。具體包括健全開發(fā)側(cè)相關(guān)規(guī)范，在架構(gòu)評(píng)

審環(huán)節(jié)增加監(jiān)控評(píng)估內(nèi)容等 ；

2.1.1. 監(jiān)控接入規(guī)范

監(jiān)控接入規(guī)范旨在指導(dǎo)開發(fā)人員在應(yīng)用設(shè)計(jì)

階段就考慮監(jiān)控方面的需求。從日志、異常、探

活和業(yè)務(wù)事件等方面著手主動(dòng)適配企業(yè)監(jiān)控體

系。因此，我們需要制定可行的相關(guān)規(guī)范，包括

日志輸出規(guī)范、異常處理規(guī)范、應(yīng)用探活規(guī)范、

事件上報(bào)規(guī)范。

2.1.2. 監(jiān)控覆蓋評(píng)估

2.1.2.1. 監(jiān)控基線

針對(duì)各類監(jiān)控對(duì)象建立監(jiān)控配置基線，由監(jiān)

控探針按照配置進(jìn)行日志采集?；€的目的是面

向常規(guī)系統(tǒng)監(jiān)控和基礎(chǔ)應(yīng)用監(jiān)控而設(shè)，可以滿足

絕大多數(shù)監(jiān)控需求?；€往往由系統(tǒng)運(yùn)維設(shè)立并

打入交付設(shè)施中，與交付系統(tǒng)打通往往可以支持

全自動(dòng)化生效。同時(shí)，監(jiān)控基線應(yīng)該能自然支持

市面上主流的中間件、基礎(chǔ)設(shè)施。

2.1.2.2. 監(jiān)控評(píng)估

監(jiān)控評(píng)估主要在架構(gòu)評(píng)審、采購(gòu)評(píng)審等階

段開展，面向的是非基線約定的監(jiān)控角度。除了

復(fù)核常規(guī)監(jiān)控配置基線外，主要評(píng)估內(nèi)容為高可

用自動(dòng)切換等變更告警、關(guān)鍵 Transaction 監(jiān)控、

可觀測(cè)性評(píng)估等，具有較大的自主性和主觀性。

因此有必要建立專人專崗，在研發(fā)交付的流程中

設(shè)定專門評(píng)估環(huán)節(jié)來保障有效落地。

2.2. 監(jiān)控服務(wù)

監(jiān)控服務(wù)描述的是應(yīng)用接入企業(yè)監(jiān)控體系

后，將監(jiān)控告警和觀測(cè)平臺(tái)打包提供給項(xiàng)目人員

的一系列標(biāo)準(zhǔn)化服務(wù)的集合，是由監(jiān)控團(tuán)隊(duì)提供

給開發(fā)和應(yīng)用運(yùn)維人員。

2.2.1. 告警工單服務(wù)

告警與工單的結(jié)合不但標(biāo)準(zhǔn)化了異常處理過

程，同時(shí)也可以作為項(xiàng)目的應(yīng)急處置能力的評(píng)估

指標(biāo)。自動(dòng)化告警工單在監(jiān)控體系中的價(jià)值包括：

·對(duì)告警進(jìn)行歸納和分類

·無干擾地統(tǒng)計(jì)處理時(shí)長(zhǎng)

·度量 IT 團(tuán)隊(duì)的異常處置能力

·在制度上有助于收斂無效告警

2.2.2. 觀測(cè)支撐服務(wù)

監(jiān)控團(tuán)隊(duì)集中建設(shè)的觀測(cè)平臺(tái)是面向項(xiàng)目組

探索與應(yīng)用

74

提供合規(guī)、脫敏的產(chǎn)線運(yùn)行狀況的觀測(cè)通道。觀

測(cè)支撐服務(wù)支持開發(fā)工程師、應(yīng)用運(yùn)維兩類角色，

分別提供不同程度的數(shù)據(jù)查看權(quán)限。同時(shí)，也支

持應(yīng)用運(yùn)維即時(shí)授權(quán)給開發(fā)查看更多內(nèi)容?？捎^

測(cè)的數(shù)據(jù)包括 ：

·日志數(shù)據(jù)

·統(tǒng)計(jì)數(shù)據(jù)

·分析數(shù)據(jù)

·事件數(shù)據(jù)

·交互數(shù)據(jù)

2.3. 監(jiān)控平臺(tái)

當(dāng)下市場(chǎng)上流行的監(jiān)控平臺(tái)層出不窮，對(duì)于

金融企業(yè)需要重點(diǎn)兼顧的需求包括有 ：

·多語言支持

·多中心支持

·與 IT 資產(chǎn)管理、交付工具、工單系統(tǒng)、

成效分析系統(tǒng)的打通和集成

拋開各類流行監(jiān)控產(chǎn)品的上層能力圖譜的影

響，從監(jiān)控工具的運(yùn)行流程來看，監(jiān)控平臺(tái)可以

拆分為如下階段性子系統(tǒng)或模塊。

3、技術(shù)方案

3.1. 產(chǎn)品定位

目 前 公 司 擁 有 包 括 Zabbix、Prometheus、

日志易、動(dòng)環(huán)監(jiān)控、天旦、APM（Application

Performance Management，應(yīng)用性能管理）、服務(wù)

治理以及其他專項(xiàng)監(jiān)控設(shè)施共同組成的多方案

企業(yè)監(jiān)控體系。監(jiān)控不同于通信框架，可以適

度冗余，通過有限交錯(cuò)的監(jiān)控工具可以增加容

錯(cuò)率。目前公司在應(yīng)用層監(jiān)控采用以 Prometheus

為主，以自研的 APM、服務(wù)治理為補(bǔ)充的整體

結(jié)構(gòu)。

圖 3 ：監(jiān)控平臺(tái)鏈路

l 與 IT 資產(chǎn)管理、交付工具、工單系統(tǒng)、成效分析系統(tǒng)的打通和集成

拋開各類流行監(jiān)控產(chǎn)品的上層能力圖譜的影響，從監(jiān)控工具的運(yùn)行流程來看，監(jiān)控平臺(tái)可以拆分為如

下階段性子系統(tǒng)或模塊。

圖 3：監(jiān)控平臺(tái)鏈路

圖 4：監(jiān)控平臺(tái)功能細(xì)分

D9 YZ2[7

D989 \\]^_7

l 與 IT 資產(chǎn)管理、交付工具、工單系統(tǒng)、成效分析系統(tǒng)的打通和集成

拋開各類流行監(jiān)控產(chǎn)品的上層能力圖譜的影響，從監(jiān)控工具的運(yùn)行流程來看，監(jiān)控平臺(tái)可以拆分為如

下階段性子系統(tǒng)或模塊。

圖 3：監(jiān)控平臺(tái)鏈路

圖 4：監(jiān)控平臺(tái)功能細(xì)分

D9YZ2[圖 4 ：監(jiān)控平臺(tái)功能細(xì)分

交易技術(shù)前沿

75

3.2. 系統(tǒng)設(shè)計(jì)

3.2.1. 整體設(shè)計(jì)

興業(yè)證券 APM 是一個(gè)主要基于 Java 開發(fā)而

成的分布式系統(tǒng)集，其包括多個(gè)子系統(tǒng)。系統(tǒng)設(shè)

計(jì)的整體目標(biāo)為高吞吐、海量存儲(chǔ)，但在數(shù)據(jù)一

致性、備份冗余方面需求不高。除了支持異地部

署外，還需要強(qiáng)調(diào)對(duì)業(yè)務(wù)監(jiān)控的支撐力度，同時(shí)

在企業(yè)監(jiān)控體系的定位上做了下沉，APM 新增

的事件處理編排能力旨在構(gòu)建靈活的業(yè)務(wù)監(jiān)控能

力，與其他監(jiān)控設(shè)施做差異化服務(wù)。

3.2.2. 事件分析與存儲(chǔ)

APM 以靈活配置事件消息處理流程為目的，

基于 Kafka 流式處理能力自主設(shè)計(jì)了的可編排日

志分析器。對(duì)于上報(bào)的事件消息，根據(jù)事件的

“type”關(guān)鍵字，區(qū)分不同的事件類型。對(duì)不同的

事件類型，可以配置一個(gè)或多個(gè)有序的事件消息

處理器。分析器服務(wù)將會(huì)根據(jù)配置的分析器，按

需對(duì)事件消息進(jìn)行處理。鏈條處理器目前定義了

6 種基礎(chǔ)的處理器。

處理后的事件消息，如需要持久化，則最

終會(huì)通過特定類型的分析器落入到 3 類存儲(chǔ)設(shè)施

中。其中，BitCask 是我們基于 Riak 分布式數(shù)據(jù)

庫(kù)論文，結(jié)合邊緣存儲(chǔ)的理念做的自主實(shí)現(xiàn)。存

儲(chǔ)結(jié)構(gòu)為 Key->Value List，具有較高的吞吐能力。

目前我們測(cè)試數(shù)據(jù)結(jié)果為 ：?jiǎn)螜C(jī) 4 核 8G 的機(jī)械

硬盤下 QPS 為 10K/S 左右。

D989 \\]^_7

目前公司擁有包括 Zabbix、Prometheus、日志易、動(dòng)環(huán)監(jiān)控、天旦、APM（Application Performance

Management，應(yīng)用性能管理）、服務(wù)治理以及其他專項(xiàng)監(jiān)控設(shè)施共同組成的多方案企業(yè)監(jiān)控體系。監(jiān)控不

同于通信框架，可以適度冗余，通過有限交錯(cuò)的監(jiān)控工具可以增加容錯(cuò)率。目前公司在應(yīng)用層監(jiān)控采用以

Prometheus 為主，以自研的 APM、服務(wù)治理為補(bǔ)充的整體結(jié)構(gòu)。

圖 5 ：產(chǎn)品邊界

圖 5：產(chǎn)品邊界

D9?9 +,.`7

3.2.1. 整體設(shè)計(jì)

興業(yè)證券 APM 是一個(gè)主要基于 Java 開發(fā)而成的分布式系統(tǒng)集，其包括多個(gè)子系統(tǒng)。系統(tǒng)設(shè)計(jì)的整體

目標(biāo)為高吞吐、海量存儲(chǔ)，但在數(shù)據(jù)一致性、備份冗余方面需求不高。除了支持異地部署外，還需要強(qiáng)調(diào)

對(duì)業(yè)務(wù)監(jiān)控的支撐力度，同時(shí)在企業(yè)監(jiān)控體系的定位上做了下沉，APM 新增的事件處理編排能力旨在構(gòu)建

靈活的業(yè)務(wù)監(jiān)控能力，與其他監(jiān)控設(shè)施做差異化服務(wù)。

圖 6：產(chǎn)品整體設(shè)計(jì)

3.2.2. 事件分析與存儲(chǔ)

APM 以靈活配置事件消息處理流程為目的，基于 Kafka 流式處理能力自主設(shè)計(jì)了的可編排日志分析器。

對(duì)于上報(bào)的事件消息，根據(jù)事件的“type”關(guān)鍵字，區(qū)分不同的事件類型。對(duì)不同的事件類型，可以配置

一個(gè)或多個(gè)有序的事件消息處理器。分析器服務(wù)將會(huì)根據(jù)配置的分析器，按需對(duì)事件消息進(jìn)行處理。鏈條圖 6 ：產(chǎn)品整體設(shè)計(jì)

探索與應(yīng)用

76

圖 6：產(chǎn)品整體設(shè)計(jì)

3.2.2. 事件分析與存儲(chǔ)

APM 以靈活配置事件消息處理流程為目的，基于 Kafka 流式處理能力自主設(shè)計(jì)了的可編排日志分析器。

對(duì)于上報(bào)的事件消息，根據(jù)事件的“type”關(guān)鍵字，區(qū)分不同的事件類型。對(duì)不同的事件類型，可以配置

一個(gè)或多個(gè)有序的事件消息處理器。分析器服務(wù)將會(huì)根據(jù)配置的分析器，按需對(duì)事件消息進(jìn)行處理。鏈條

處理器目前定義了 6 種基礎(chǔ)的處理器。

圖 7 ：事件分析處理器

圖 7：事件分析處理器

圖 8：日志分析流程

表 1：分析器功能說明

圖 8 ：日志分析流程

我們針對(duì) APM 事件消息詳情數(shù)據(jù)寫入頻率

遠(yuǎn)高于查詢，且寫入后不會(huì)修改的特點(diǎn)，將調(diào)用

鏈詳情數(shù)據(jù)寫入本地 BitCask，運(yùn)用邊緣存儲(chǔ)的

方式，極大地節(jié)約了網(wǎng)絡(luò)帶寬資源，同時(shí)提高了

數(shù)據(jù)的安全性和隱私保護(hù)。

3.2.3. 數(shù)據(jù)查詢服務(wù)

APM 數(shù)據(jù)查詢服務(wù)是實(shí)現(xiàn)了類似 MyBatis 的

在線模板錄入生成數(shù)據(jù)查詢能力的服務(wù)，是 APM

重要的子系統(tǒng)。其查詢腳本存儲(chǔ)在 Zookeeper 中，

同時(shí)腳本采用 Velocity 模板，有很強(qiáng)的靈活性，

可以根據(jù)模板及傳入?yún)?shù)形成復(fù)雜的數(shù)據(jù)檢索邏

輯。同時(shí)對(duì)外開放了檢索的 RPC 服務(wù)與 HTTP 接

口，周邊系統(tǒng)開發(fā)人員可以通過接口提取采集到

的 Metrics 數(shù)據(jù)。

通過靈活的事件分析存儲(chǔ)、數(shù)據(jù)查詢配置，

我們就可以將業(yè)務(wù)與能力解耦。將業(yè)務(wù)交給接入

方，使得他們?cè)谙硎?APM 基礎(chǔ)能力的同時(shí)，能

夠根據(jù)自己的需求，定義特殊的事件，做定制化

的事件分析和分析結(jié)果查詢，形成完整的自閉環(huán)。

這種方式能極大提升系統(tǒng)的數(shù)據(jù)權(quán)限隔離和隱私

保護(hù)能力，使之在金融行業(yè)內(nèi)，能發(fā)揮更大的能

動(dòng)性。

交易技術(shù)前沿

77

Set 集合分析器 通過配置的 keys 進(jìn)行去重，對(duì)新數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)

Tracing 跟蹤分析器 將調(diào)用鏈數(shù)據(jù)持久化寫入 BitCask

Alarm 告警分析器 觸發(fā)告警

處理后的事件消息，如需要持久化，則最終會(huì)通過特定類型的分析器落入到 3 類存儲(chǔ)設(shè)施中。其中，

BitCask 是我們基于 Riak 分布式數(shù)據(jù)庫(kù)論文，結(jié)合邊緣存儲(chǔ)的理念做的自主實(shí)現(xiàn)。存儲(chǔ)結(jié)構(gòu)為 Key->Value

List，具有較高的吞吐能力。目前我們測(cè)試數(shù)據(jù)結(jié)果為：?jiǎn)螜C(jī) 4 核 8G 的機(jī)械硬盤下 QPS 為 10K/S 左右。

我們針對(duì) APM 事件消息詳情數(shù)據(jù)寫入頻率遠(yuǎn)高于查詢，且寫入后不會(huì)修改的特點(diǎn)，將調(diào)用鏈詳情數(shù)據(jù)

寫入本地 BitCask，運(yùn)用邊緣存儲(chǔ)的方式，極大地節(jié)約了網(wǎng)絡(luò)帶寬資源，同時(shí)提高了數(shù)據(jù)的安全性和隱私

保護(hù)。

3.2.3. 數(shù)據(jù)查詢服務(wù)

APM 數(shù)據(jù)查詢服務(wù)是實(shí)現(xiàn)了類似 MyBatis 的在線模板錄入生成數(shù)據(jù)查詢能力的服務(wù)，是 APM 重要的子

系統(tǒng)。其查詢腳本存儲(chǔ)在 Zookeeper 中，同時(shí)腳本采用 Velocity 模板，有很強(qiáng)的靈活性，可以根據(jù)模板及

傳入?yún)?shù)形成復(fù)雜的數(shù)據(jù)檢索邏輯。同時(shí)對(duì)外開放了檢索的 RPC 服務(wù)與 HTTP 接口，周邊系統(tǒng)開發(fā)人員可以

通過接口提取采集到的 Metrics 數(shù)據(jù)。

圖 9：數(shù)據(jù)查詢服務(wù)執(zhí)行流程

通過靈活的事件分析存儲(chǔ)、數(shù)據(jù)查詢配置，我們就可以將業(yè)務(wù)與能力解耦。將業(yè)務(wù)交給接入方，使得

他們?cè)谙硎?APM 基礎(chǔ)能力的同時(shí)，能夠根據(jù)自己的需求，定義特殊的事件，做定制化的事件分析和分析結(jié)

果查詢，形成完整的自閉環(huán)。這種方式能極大提升系統(tǒng)的數(shù)據(jù)權(quán)限隔離和隱私保護(hù)能力，使之在金融行業(yè)

分析器 功能 說明

MySQL MySQL 分析器 將數(shù)據(jù)插入 mysql 數(shù)據(jù)庫(kù)

InfluxDB InfluxDB 分析器 將數(shù)據(jù)插入 influxdb 數(shù)據(jù)庫(kù)

Counting 計(jì)數(shù)分析器 按參數(shù)，對(duì)指定維度，指定關(guān)鍵字進(jìn)行計(jì)數(shù)

Set 集合分析器 通過配置的 keys 進(jìn)行去重，對(duì)新數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)

Tracing 跟蹤分析器 將調(diào)用鏈數(shù)據(jù)持久化寫入 BitCask

Alarm 告警分析器 觸發(fā)告警

處理后的事件消息，如需要持久化，則最終會(huì)通過特定類型的分析器落入到 3 類存儲(chǔ)設(shè)施中。其中，

BitCask 是我們基于 Riak 分布式數(shù)據(jù)庫(kù)論文，結(jié)合邊緣存儲(chǔ)的理念做的自主實(shí)現(xiàn)。存儲(chǔ)結(jié)構(gòu)為 Key->Value

List，具有較高的吞吐能力。目前我們測(cè)試數(shù)據(jù)結(jié)果為：?jiǎn)螜C(jī) 4 核 8G 的機(jī)械硬盤下 QPS 為 10K/S 左右。

我們針對(duì) APM 事件消息詳情數(shù)據(jù)寫入頻率遠(yuǎn)高于查詢，且寫入后不會(huì)修改的特點(diǎn)，將調(diào)用鏈詳情數(shù)據(jù)

寫入本地 BitCask，運(yùn)用邊緣存儲(chǔ)的方式，極大地節(jié)約了網(wǎng)絡(luò)帶寬資源，同時(shí)提高了數(shù)據(jù)的安全性和隱私

保護(hù)。

3.2.3. 數(shù)據(jù)查詢服務(wù)

APM 數(shù)據(jù)查詢服務(wù)是實(shí)現(xiàn)了類似 MyBatis 的在線模板錄入生成數(shù)據(jù)查詢能力的服務(wù)，是 APM 重要的子

系統(tǒng)。其查詢腳本存儲(chǔ)在 Zookeeper 中，同時(shí)腳本采用 Velocity 模板，有很強(qiáng)的靈活性，可以根據(jù)模板及

傳入?yún)?shù)形成復(fù)雜的數(shù)據(jù)檢索邏輯。同時(shí)對(duì)外開放了檢索的 RPC 服務(wù)與 HTTP 接口，周邊系統(tǒng)開發(fā)人員可以

通過接口提取采集到的 Metrics 數(shù)據(jù)。

圖 9：數(shù)據(jù)查詢服務(wù)執(zhí)行流程

通過靈活的事件分析存儲(chǔ)、數(shù)據(jù)查詢配置，我們就可以將業(yè)務(wù)與能力解耦。將業(yè)務(wù)交給接入方，使得

他們?cè)谙硎?APM 基礎(chǔ)能力的同時(shí)，能夠根據(jù)自己的需求，定義特殊的事件，做定制化的事件分析和分析結(jié)

果查詢，形成完整的自閉環(huán)。這種方式能極大提升系統(tǒng)的數(shù)據(jù)權(quán)限隔離和隱私保護(hù)能力，使之在金融行業(yè)

表 1 ：分析器功能說明

圖 9 ：數(shù)據(jù)查詢服務(wù)執(zhí)行流程

內(nèi)，能發(fā)揮更大的能動(dòng)性。

圖 10：事件消息數(shù)據(jù)流圖

3.2.4. 跨中心同步

公司系統(tǒng)有多個(gè)數(shù)據(jù)中心，有的系統(tǒng)僅部署在一個(gè)數(shù)據(jù)中心，有的系統(tǒng)部署在多個(gè)數(shù)據(jù)中心，就會(huì)導(dǎo)

致我們有跨數(shù)據(jù)中心的請(qǐng)求。而數(shù)據(jù)中心間的網(wǎng)絡(luò)資源，往往是比較緊缺的，APM 的數(shù)據(jù)量又是比較大的，

因此，我們?cè)O(shè)計(jì)了一種跨數(shù)據(jù)中心的調(diào)用鏈存儲(chǔ)和查詢方式，能夠極大地減少跨中心請(qǐng)求時(shí)伴隨著的跨中

心調(diào)用鏈數(shù)據(jù)上報(bào)。

圖 10 ：事件消息數(shù)據(jù)流圖

3.2.4. 跨中心同步

公司系統(tǒng)有多個(gè)數(shù)據(jù)中心，有的系統(tǒng)僅部署

在一個(gè)數(shù)據(jù)中心，有的系統(tǒng)部署在多個(gè)數(shù)據(jù)中心，

就會(huì)導(dǎo)致我們有跨數(shù)據(jù)中心的請(qǐng)求。而數(shù)據(jù)中心

間的網(wǎng)絡(luò)資源，往往是比較緊缺的，APM 的數(shù)據(jù)

量又是比較大的，因此，我們?cè)O(shè)計(jì)了一種跨數(shù)據(jù)

中心的調(diào)用鏈存儲(chǔ)和查詢方式，能夠極大地減少

跨中心請(qǐng)求時(shí)伴隨著的跨中心調(diào)用鏈數(shù)據(jù)上報(bào)。

探索與應(yīng)用

4、成果及展望

本文主要介紹了興業(yè)證券在應(yīng)用性能管理系

統(tǒng)上的建設(shè)思路和實(shí)踐。不同于外購(gòu)和開源方案，

系統(tǒng)在復(fù)雜模塊使用開源組件的基礎(chǔ)上，自主研

發(fā)底層存儲(chǔ)和事件分析查詢能力，使系統(tǒng)對(duì)公司

技術(shù)棧和潛在技術(shù)變更有著更好的兼容性和適應(yīng)

能力。

該系統(tǒng)在公司內(nèi)上線運(yùn)行以來，經(jīng)過反復(fù)地

迭代升級(jí)，對(duì)特殊業(yè)務(wù)、協(xié)議、中間件的陸續(xù)支

持，已取得了良好的效果，成為應(yīng)用性能管理提

供了有力的抓手。

4.1. 監(jiān)控體系

興業(yè)證券自研的 APM 系統(tǒng)自 2018 年上線以

來，經(jīng)過不斷地完善和優(yōu)化，在性能上和兼容性

上持續(xù)提升，目前已成為應(yīng)用性能監(jiān)控的標(biāo)準(zhǔn)方

案，配合 Prometheus 的中間件監(jiān)控和 Zabbix 的主

機(jī)監(jiān)控，共同構(gòu)成了我司完整的監(jiān)控體系。

4.2. 減少帶寬占用

基于新中心網(wǎng)絡(luò)規(guī)劃進(jìn)行技術(shù)攻關(guān)解決跨中

心海量數(shù)據(jù)同步和傳輸網(wǎng)絡(luò)帶寬占用問題。在今

年的新中心搬遷工作中，對(duì)于新中心的兩地三中

心網(wǎng)絡(luò)規(guī)劃，自研 APM 發(fā)揮了完全自主可控的

優(yōu)勢(shì)，攻關(guān)了應(yīng)用運(yùn)行數(shù)據(jù)集中存儲(chǔ)與異地網(wǎng)絡(luò)

帶寬限制，滿足數(shù)據(jù)就近存儲(chǔ)，減少跨機(jī)房數(shù)據(jù)

同步，禁止應(yīng)用跨機(jī)房數(shù)據(jù)上報(bào)的需求，實(shí)現(xiàn)多

中心部署并支持彈性伸縮，避免對(duì)機(jī)房間網(wǎng)絡(luò)帶

寬的占用。

4.3. 支持自研與外購(gòu)系統(tǒng)

APM 憑借多語言支持，目前已成為中臺(tái)、

優(yōu)理寶、興證 e 家、財(cái)富夢(mèng)工廠和集團(tuán) CRM 等

幾大自研產(chǎn)品線運(yùn)行觀測(cè)和生產(chǎn)排障的主要工

具，外購(gòu)系統(tǒng)接入率也在持續(xù)提升，極大提高開

發(fā)運(yùn)維人員性能監(jiān)測(cè)、故障感知與定位的效率。

4.4. 未來展望

未來，我們會(huì)持續(xù)深耕，探索現(xiàn)場(chǎng)還原、風(fēng)

險(xiǎn)預(yù)判、自動(dòng)剖析等更前瞻的觀測(cè)能力，探索邊

緣存儲(chǔ)方案和應(yīng)用場(chǎng)景，持續(xù)沉淀和輸出相關(guān)的

通用方案，提供更加豐富的觀測(cè)指標(biāo)和能力，為

產(chǎn)線系統(tǒng)穩(wěn)定運(yùn)行保駕護(hù)航。

3.2.4. 跨中心同步

公司系統(tǒng)有多個(gè)數(shù)據(jù)中心，有的系統(tǒng)僅部署在一個(gè)數(shù)據(jù)中心，有的系統(tǒng)部署在多個(gè)數(shù)據(jù)中心，就會(huì)導(dǎo)

致我們有跨數(shù)據(jù)中心的請(qǐng)求。而數(shù)據(jù)中心間的網(wǎng)絡(luò)資源，往往是比較緊缺的，APM 的數(shù)據(jù)量又是比較大的，

因此，我們?cè)O(shè)計(jì)了一種跨數(shù)據(jù)中心的調(diào)用鏈存儲(chǔ)和查詢方式，能夠極大地減少跨中心請(qǐng)求時(shí)伴隨著的跨中

心調(diào)用鏈數(shù)據(jù)上報(bào)。

圖 11：跨中心同步部署架構(gòu)

H9 abcde7

本文主要介紹了興業(yè)證券在應(yīng)用性能管理系統(tǒng)上的建設(shè)思路和實(shí)踐。不同于外購(gòu)和開源方案，系統(tǒng)在

復(fù)雜模塊使用開源組件的基礎(chǔ)上，自主研發(fā)底層存儲(chǔ)和事件分析查詢能力，使系統(tǒng)對(duì)公司技術(shù)棧和潛在技

術(shù)變更有著更好的兼容性和適應(yīng)能力。

該系統(tǒng)在公司內(nèi)上線運(yùn)行以來，經(jīng)過反復(fù)地迭代升級(jí)，對(duì)特殊業(yè)務(wù)、協(xié)議、中間件的陸續(xù)支持，已取

得了良好的效果，成為應(yīng)用性能管理提供了有力的抓手。

H989 )*f+7

興業(yè)證券自研的 APM 系統(tǒng)自 2018 年上線以來，經(jīng)過不斷地完善和優(yōu)化，在性能上和兼容性上持續(xù)提

升，目前已成為應(yīng)用性能監(jiān)控的標(biāo)準(zhǔn)方案，配合 Prometheus 的中間件監(jiān)控和 Zabbix 的主機(jī)監(jiān)控，共同構(gòu)

圖 11 ：跨中心同步部署架構(gòu)

78

交易技術(shù)前沿

姜洪濤、宮珂、于慧 / 上交所技術(shù)有限責(zé)任公司 上海 200120

E-mail ：htjiang@sse.com.cn

一種可擴(kuò)展的多因素訪問控制方法

及實(shí)踐

1、背景

互聯(lián)網(wǎng)技術(shù)的發(fā)展促進(jìn)了用戶對(duì)于系統(tǒng)使用

便利性的需求，那些部署在受保護(hù)網(wǎng)絡(luò)下的信息

系統(tǒng)逐步顯露出不能有效滿足用戶需求的問題，

在需求驅(qū)動(dòng)之下需要向更加開放的外部網(wǎng)絡(luò)環(huán)境

延伸。而外部網(wǎng)絡(luò)環(huán)境的多樣性和復(fù)雜性會(huì)對(duì)信

息系統(tǒng)的受保護(hù)內(nèi)容帶來新的挑戰(zhàn)，因此有效的

訪問控制手段是這些系統(tǒng)首先要具備的能力。

在運(yùn)維領(lǐng)域，隨著 DevOps 等模式的發(fā)展，

去后臺(tái)操作的白屏化運(yùn)維逐步成為趨勢(shì)。而且，

在一體化運(yùn)營(yíng)、業(yè)務(wù)與技術(shù)聯(lián)動(dòng)等企業(yè)數(shù)字化轉(zhuǎn)

型的戰(zhàn)略安排下，傳統(tǒng)的在 ECC 內(nèi)完成的運(yùn)維

工作，尤其是不涉及敏感數(shù)據(jù)和不影響生產(chǎn)運(yùn)行

的相關(guān)工作，在逐步向日常辦公環(huán)境甚至是互聯(lián)

網(wǎng)環(huán)境延伸。為避免產(chǎn)生數(shù)據(jù)泄露及破壞到生產(chǎn)

安全運(yùn)行，需要通過訪問控制技術(shù)來保證只對(duì)授

權(quán)用戶、授權(quán)場(chǎng)景開放服務(wù)。

2、問題與挑戰(zhàn)

對(duì)于訪問控制模型，較為普遍常見的就是基

于角色的 RBAC(Role Based Access Control)，通過

賦予不同角色不同權(quán)限來進(jìn)行訪問控制。對(duì)于一

在數(shù)字化轉(zhuǎn)型浪潮下，通過科技創(chuàng)新和數(shù)字化變革尋找發(fā)展動(dòng)能已成為必然趨勢(shì)。

在企業(yè)內(nèi)部，各業(yè)務(wù)條線正在朝著信息化、自動(dòng)化、智能化的方向轉(zhuǎn)變，對(duì) IT 帶來前所

未有的挑戰(zhàn)。應(yīng)用系統(tǒng)需要更加開放，提供更好的使用體驗(yàn)，同時(shí)需要必要的訪問控制技

術(shù)，保證在非保護(hù)網(wǎng)絡(luò)環(huán)境下的信息安全，而且對(duì)于存量系統(tǒng)來說存在一定的改造成本。

本文就如何構(gòu)建多因素可擴(kuò)展的訪問控制能力進(jìn)行闡述，并結(jié)合自動(dòng)化運(yùn)維平臺(tái)的需求，

提出比較合適的實(shí)踐方法。

79

探索與應(yīng)用

80

個(gè)主體（往往是組織內(nèi)的人員或者某個(gè)客戶端），

可以擁有多個(gè)角色以應(yīng)對(duì)多種不同的操作權(quán)限。

RBAC 與組織內(nèi)的實(shí)際業(yè)務(wù)組織架構(gòu)相近，往往

是系統(tǒng)首選的原生訪問控制技術(shù)，但隨著環(huán)境變

化，尤其是對(duì)于安全防御要求提高，需給系統(tǒng)增

加更多因素的訪問控制技術(shù)，如用戶使用環(huán)境、

訪問途徑、時(shí)間段等。

在現(xiàn)有系統(tǒng)上增加訪問控制因素，一種簡(jiǎn)單

明了的做法是將相關(guān)控制邏輯嵌入到代碼中，比

如在認(rèn)證模塊或代碼段增加訪問控制相關(guān)代碼。

該方法雖然有效但也存在兩個(gè)比較明顯的局限

性。一方面，增加訪問控制邏輯需要重構(gòu)現(xiàn)有模

塊，且與系統(tǒng)現(xiàn)有功能有強(qiáng)耦合性，甚至在一些

特殊情況下，一些系統(tǒng)不一定能支持新版本的上

線。另一方面，其它系統(tǒng)無法復(fù)用相關(guān)能力，容

易形成豎井式的功能孤島。訪問控制技術(shù)在一個(gè)

組織當(dāng)中，屬于安全基礎(chǔ)設(shè)施，是一種基礎(chǔ)能力，

應(yīng)具備在各系統(tǒng)中共享的能力。在實(shí)現(xiàn)上，可以

借鑒中臺(tái)建設(shè)的思路，在架構(gòu)上以松耦合方式獨(dú)

立于各應(yīng)用系統(tǒng)，且又能滿足不同應(yīng)用系統(tǒng)的差

異化需求。

本文介紹一種針對(duì)基于互聯(lián)網(wǎng)架構(gòu)的，可擴(kuò)

展地增加訪問控制的方法，而且通過在構(gòu)建自動(dòng)

化運(yùn)維平臺(tái)的實(shí)踐場(chǎng)景驗(yàn)證，其不僅可以按需靈

活地添加控制因素和策略，而且能夠加強(qiáng)現(xiàn)有存

量系統(tǒng)的訪問控制能力。

3、方法闡述

運(yùn)維操作白屏化是 DevOps 重要組成部分，

敏態(tài)的運(yùn)維過程帶來了收益，但也同樣帶來了一

系列安全隱患，比如 ：網(wǎng)絡(luò)攻擊、運(yùn)維操作權(quán)限

控制和審計(jì)問題等。因而，需要一個(gè)可靈活配置、

擴(kuò)展的訪問控制模塊，為運(yùn)維操作、故障問題排

查提供安全防護(hù)，為提高安全運(yùn)行的能力提供支

撐。

3.1 總體架構(gòu)

本文中設(shè)計(jì)的多因素訪問控制模塊，在架構(gòu)

上與后端各應(yīng)用節(jié)點(diǎn)間獨(dú)立解耦。原則上用戶訪

問行為均基于策略進(jìn)行控制，策略規(guī)則支持動(dòng)態(tài)

擴(kuò)展，靈活設(shè)置?？傮w架構(gòu)如圖 1 所示。

用戶的訪問請(qǐng)求首先經(jīng)過負(fù)載均衡層，此時(shí)

3 ./9:

運(yùn)維操作白屏化是 DevOps 重要組成部分，敏態(tài)的運(yùn)維過程帶來了收益，但也同樣帶來了一系列安全

隱患，比如：網(wǎng)絡(luò)攻擊、運(yùn)維操作權(quán)限控制和審計(jì)問題等。因而，需要一個(gè)可靈活配置、擴(kuò)展的訪問控制

模塊，為運(yùn)維操作、故障問題排查提供安全防護(hù)，為提高安全運(yùn)行的能力提供支撐。

3.1 ;<=>

本文中設(shè)計(jì)的多因素訪問控制模塊，在架構(gòu)上與后端各應(yīng)用節(jié)點(diǎn)間獨(dú)立解耦。原則上用戶訪問行為均

基于策略進(jìn)行控制，策略規(guī)則支持動(dòng)態(tài)擴(kuò)展，靈活設(shè)置。總體架構(gòu)如圖 1 所示：

圖 1 總體架構(gòu)圖

用戶的訪問請(qǐng)求首先經(jīng)過負(fù)載均衡層，此時(shí)請(qǐng)求首先被轉(zhuǎn)發(fā)到訪問控制層進(jìn)行驗(yàn)證，只有驗(yàn)證通過的

請(qǐng)求才會(huì)被轉(zhuǎn)發(fā)到后端服務(wù)。負(fù)載均衡層的該轉(zhuǎn)發(fā)能力將訪問控制可動(dòng)態(tài)插入到請(qǐng)求處理鏈條，與流量鏡

像不同的是，這里是一個(gè)同步順序執(zhí)行關(guān)系。

訪問控制模塊在整體架構(gòu)中處于用戶和目標(biāo)應(yīng)用服務(wù)器之間，屬于保護(hù)代理結(jié)構(gòu)，用戶請(qǐng)求經(jīng)過此模

塊完成策略規(guī)則的校驗(yàn)判定后可根據(jù)判定結(jié)果獲取到對(duì)應(yīng)的目標(biāo)服務(wù)器資源原則上訪問控制模塊是圖 1 ：總體架構(gòu)圖

交易技術(shù)前沿

81

請(qǐng)求首先被轉(zhuǎn)發(fā)到訪問控制層進(jìn)行驗(yàn)證，只有驗(yàn)

證通過的請(qǐng)求才會(huì)被轉(zhuǎn)發(fā)到后端服務(wù)。負(fù)載均衡

層的該轉(zhuǎn)發(fā)能力將訪問控制可動(dòng)態(tài)插入到請(qǐng)求處

理鏈條，與流量鏡像不同的是，這里是一個(gè)同步

順序執(zhí)行關(guān)系。

訪問控制模塊在整體架構(gòu)中處于用戶和目標(biāo)

應(yīng)用服務(wù)器之間，屬于保護(hù)代理結(jié)構(gòu)，用戶請(qǐng)求經(jīng)

過此模塊完成策略規(guī)則的校驗(yàn)判定后，可根據(jù)判定

結(jié)果獲取到對(duì)應(yīng)的目標(biāo)服務(wù)器資源。原則上，訪問

控制模塊是無狀態(tài)的，不負(fù)責(zé)代理應(yīng)用的用戶認(rèn)證

和權(quán)限校驗(yàn)，只做多因素訪問控制，但在實(shí)現(xiàn)過程

中，也可將鑒權(quán)作為檢查因素之一，如設(shè)置一條策

略校驗(yàn)當(dāng)前用戶請(qǐng)求的 Token 是否有效。

3.2 基于 nginx auth_request 實(shí)現(xiàn)負(fù)載

轉(zhuǎn)發(fā)能力

基于總體架構(gòu)方法，需要一個(gè)可以攔截用

戶請(qǐng)求并進(jìn)行鑒權(quán)的工具，將用戶的請(qǐng)求都先發(fā)

送給鑒權(quán)服務(wù)進(jìn)行訪問控制鑒權(quán)后，根據(jù)鑒權(quán)結(jié)

果決定是否可以訪問應(yīng)用服務(wù)。攔截用戶請(qǐng)求最

直接的方式是從負(fù)載均衡層進(jìn)行攔截，前期調(diào)研

發(fā)現(xiàn)常用的負(fù)載均衡工具 Nginx 提供的 ngx_http_

auth_request_module 模塊，可以協(xié)助實(shí)現(xiàn)訪問攔

截和訪問鑒權(quán)。在 Nginx 訪問 ServiceA/B 的配置

里添加 auth_request /auth 參數(shù)后，當(dāng)用戶訪問

ServiceA/B 時(shí)，Nginx 會(huì)先將請(qǐng)求攔截，先請(qǐng)求 /

auth 訪問鑒權(quán)模塊 Auth Service，當(dāng) Auth Service

返回鑒權(quán)通過時(shí)允許繼續(xù)訪問，Nginx 會(huì)將請(qǐng)求

發(fā)給 Service A/B; 當(dāng)鑒權(quán)服務(wù)返回?zé)o訪問權(quán)限時(shí)，

可以將指定的攔截頁面返回給用戶。

基于 Nginx 中 auth_request 模塊進(jìn)行訪問控

制邏輯改造，可將訪問控制模塊與現(xiàn)有功能模塊

分離，將用戶請(qǐng)求內(nèi)容攔截到訪問控制模塊進(jìn)行

統(tǒng)一鑒權(quán)，使控制策略邏輯內(nèi)聚到訪問控制模塊

中，其他服務(wù)只做 Token 有效性驗(yàn)證，輕量級(jí)適

配現(xiàn)有權(quán)限控制體系，從而，降低存量系統(tǒng)訪問

控制改造成本。

3.3 訪問控制模塊

本文設(shè)計(jì)的訪問控制模塊架構(gòu)主要分為三

層 ：策略層、執(zhí)行層、校驗(yàn)層。架構(gòu)設(shè)計(jì)如圖 2

所示。

以協(xié)助實(shí)現(xiàn)訪問攔截和訪問鑒權(quán)。在 Nginx 訪問 ServiceA/B 的配置里添加 auth_request /auth 參數(shù)后，當(dāng)用

戶訪問 ServiceA/B 時(shí)，Nginx 會(huì)先將請(qǐng)求攔截，先請(qǐng)求/auth 訪問鑒權(quán)模塊 Auth Service，當(dāng) Auth Service 返

回鑒權(quán)通過時(shí)允許繼續(xù)訪問，Nginx 會(huì)將請(qǐng)求發(fā)給 Service A/B;當(dāng)鑒權(quán)服務(wù)返回?zé)o訪問權(quán)限時(shí)，可以將指定

的攔截頁面返回給用戶。

基于 Nginx 中 auth_request 模塊進(jìn)行訪問控制邏輯改造，可將訪問控制模塊與現(xiàn)有功能模塊分離，將

用戶請(qǐng)求內(nèi)容攔截到訪問控制模塊進(jìn)行統(tǒng)一鑒權(quán)，使控制策略邏輯內(nèi)聚到訪問控制模塊中，其他服務(wù)只做

Token 有效性驗(yàn)證，輕量級(jí)適配現(xiàn)有權(quán)限控制體系，從而，降低存量系統(tǒng)訪問控制改造成本。

圖 2 基于 Nginx 中 auth_request 模塊訪問控制架構(gòu)圖

3.3 *+,-HI

本文設(shè)計(jì)的訪問控制模塊架構(gòu)主要分為三層：策略層、執(zhí)行層、校驗(yàn)層。架構(gòu)設(shè)計(jì)如圖 2 所示，

圖 3 策略執(zhí)行架構(gòu)圖

整體架構(gòu)主要遵循兩點(diǎn)設(shè)計(jì)原則：1.策略層中支持多種訪問控制策略的邏輯組合；2.執(zhí)行層可針對(duì)不同

的訪問要素類型設(shè)計(jì)不同的執(zhí)行器，執(zhí)行器在驗(yàn)算策略過程中需保證冪等性，執(zhí)行器支持組合使用。在實(shí)

現(xiàn)過程中可基于實(shí)際業(yè)務(wù)需求設(shè)置策略組合，各執(zhí)行器對(duì)策略組合進(jìn)行冪等運(yùn)算后，輸出校驗(yàn)結(jié)果的布爾

值。

圖 3 ：策略執(zhí)行架構(gòu)圖

的攔截頁面返回給用戶。

基于 Nginx 中 auth_request 模塊進(jìn)行訪問控制邏輯改造，可將訪問控制模塊與現(xiàn)有功能模塊分離，將

用戶請(qǐng)求內(nèi)容攔截到訪問控制模塊進(jìn)行統(tǒng)一鑒權(quán)，使控制策略邏輯內(nèi)聚到訪問控制模塊中，其他服務(wù)只做

Token 有效性驗(yàn)證，輕量級(jí)適配現(xiàn)有權(quán)限控制體系，從而，降低存量系統(tǒng)訪問控制改造成本。

圖 2 基于 Nginx 中 auth_request 模塊訪問控制架構(gòu)圖

3.3 *+,-HI

本文設(shè)計(jì)的訪問控制模塊架構(gòu)主要分為三層：策略層、執(zhí)行層、校驗(yàn)層。架構(gòu)設(shè)計(jì)如圖 2 所示，

圖 3 策略執(zhí)行架構(gòu)圖

整體架構(gòu)主要遵循兩點(diǎn)設(shè)計(jì)原則：1.策略層中支持多種訪問控制策略的邏輯組合；2.執(zhí)行層可針對(duì)不同

的訪問要素類型設(shè)計(jì)不同的執(zhí)行器，執(zhí)行器在驗(yàn)算策略過程中需保證冪等性，執(zhí)行器支持組合使用。在實(shí)

現(xiàn)過程中可基于實(shí)際業(yè)務(wù)需求設(shè)置策略組合，各執(zhí)行器對(duì)策略組合進(jìn)行冪等運(yùn)算后，輸出校驗(yàn)結(jié)果的布爾

值。

運(yùn)維平臺(tái)使用人員、場(chǎng)景復(fù)雜，需要一個(gè)靈活的、多維度的訪問控制策略，基于此，我們?cè)O(shè)計(jì)一種可

靈活拆分、組合的策略執(zhí)行方法。首先，將系統(tǒng)所需的訪問控制規(guī)則打散，變成一個(gè)個(gè)不易分割的原子策

略，比如：基于訪問時(shí)間限制的控制策略 P1，可以拆分成允許訪問的時(shí)間區(qū)間；基于訪問地點(diǎn)限制的控制

策略 P2，可以拆分成允許訪問的指定 ip 或者指定 ip 前綴；基于訪問請(qǐng)求路徑限制的控制策略 P3,可以拆分

成允許訪問的指定 url 路徑或者 url 路徑前綴；基于角色的訪問控制策略 P4,可以拆分成角色或者角色集合

圖 2 ：基于 Nginx 中 auth_request 模塊訪問控制架構(gòu)圖

探索與應(yīng)用

82

整體架構(gòu)主要遵循兩點(diǎn)設(shè)計(jì)原則 ：1. 策略層

中支持多種訪問控制策略的邏輯組合 ；2. 執(zhí)行層

可針對(duì)不同的訪問要素類型設(shè)計(jì)不同的執(zhí)行器，

執(zhí)行器在驗(yàn)算策略過程中需保證冪等性，執(zhí)行器

支持組合使用。在實(shí)現(xiàn)過程中可基于實(shí)際業(yè)務(wù)需

求設(shè)置策略組合，各執(zhí)行器對(duì)策略組合進(jìn)行冪等

運(yùn)算后，輸出校驗(yàn)結(jié)果的布爾值。

運(yùn)維平臺(tái)使用人員、場(chǎng)景復(fù)雜，需要一個(gè)靈

活的、多維度的訪問控制策略，基于此，我們?cè)O(shè)

計(jì)一種可靈活拆分、組合的策略執(zhí)行方法。首先，

將系統(tǒng)所需的訪問控制規(guī)則打散，變成一個(gè)個(gè)不

易分割的原子策略，比如 ：基于訪問時(shí)間限制的

控制策略 P1，可以拆分成允許訪問的時(shí)間區(qū)間 ；

基于訪問地點(diǎn)限制的控制策略 P2，可以拆分成

允許訪問的指定 ip 或者指定 ip 前綴 ；基于訪問

請(qǐng)求路徑限制的控制策略 P3, 可以拆分成允許訪

問的指定 url 路徑或者 url 路徑前綴 ；基于角色的

訪問控制策略 P4, 可以拆分成角色或者角色集合

等等，然后借助組合數(shù)學(xué)中交集、并集的概念，

將不同子策略組合在一起，實(shí)現(xiàn)復(fù)雜的策略的組

合，例如 ：公式（1）可以表示允許 P4 角色的用

戶在 P1 時(shí)間區(qū)間內(nèi)使用 時(shí)間區(qū)間內(nèi)使用 P2 指定 ip 訪問請(qǐng)求路

徑 P3，而公式（2）可以表示允許 ）可以表示允許 P4 角色在 P1

時(shí)間區(qū)間內(nèi)訪問請(qǐng)求鏈接，或允許 P4 角色在 P2

指定 ip 訪問請(qǐng)求鏈接，或允許 訪問請(qǐng)求鏈接，或允許 P4 角色訪問 P3

請(qǐng)求路徑。

等等，然后借助組合數(shù)學(xué)中交集、并集的概念，將不同子策略組合在一起，實(shí)現(xiàn)復(fù)雜的策略的組合，例如：

公式（1）可以表示允許 P4 角色的用戶在 P1 時(shí)間區(qū)間內(nèi)使用 P2 指定 ip 訪問請(qǐng)求路徑 P3，而公式（2）可

以表示允許 P4 角色在 P1 時(shí)間區(qū)間內(nèi)訪問請(qǐng)求鏈接，或允許 P4 角色在 P2 指定 ip 訪問請(qǐng)求鏈接，或允許

P4 角色訪問 P3 請(qǐng)求路徑。

P1 ∩ P2 ∩ P3 ∩ P4 （1）

(P1 ∪ P2 ∪ P3) ∩ P4 （2）

運(yùn)維平臺(tái)對(duì)操作審計(jì)信息十分敏感，基于本文訪問控制方式改造后，所有審計(jì)信息都可以在訪問控制

鑒權(quán)模塊進(jìn)行采集，統(tǒng)一記錄訪問人、訪問路徑、請(qǐng)求設(shè)備（ip 地址或者 MAC 地址）、請(qǐng)求時(shí)間等信息，

為審計(jì)工作提供便利。

基于策略組合實(shí)現(xiàn)的訪問控制方式相較于傳統(tǒng)單獨(dú)基于角色的訪問控制方式更為靈活，它允許通過流

程審批臨時(shí)增加或者變動(dòng)訪問控制策略，這種訪問控制策略變動(dòng)的方式，無需更新系統(tǒng)版本，也無需進(jìn)行

其他適配性改造，就可以達(dá)到臨時(shí)賦權(quán)訪問的效果，而流程審批記錄也可以為審計(jì)記錄留痕，例如可以讓

某一用戶通過 IP 為 1.1.1.1 的主機(jī)在 1 個(gè)小時(shí)區(qū)間內(nèi)訪問指定資源。

圖 4 策略方法層次架構(gòu)圖

4 JK12

4.1 LMNOP&12QR

隨著運(yùn)維工作數(shù)字化轉(zhuǎn)型的推進(jìn)，運(yùn)維平臺(tái)能力變得更加開放和服務(wù)化，如何做好訪問控制，避免敏

感信息泄露和對(duì)安全運(yùn)行造成破壞是不得不解決的一個(gè)難題?；诒疚乃黾軜?gòu)，在存量運(yùn)維平臺(tái)上進(jìn)行

了相關(guān)實(shí)踐驗(yàn)證，根據(jù)運(yùn)維實(shí)際場(chǎng)景要求，提取所需訪問控制元素，內(nèi)聚在新建的訪問控制模塊中，對(duì)用

戶請(qǐng)求進(jìn)行統(tǒng)一攔截鑒權(quán)。

從生產(chǎn)安全性考慮，運(yùn)維平臺(tái)不能在公網(wǎng)直接開放使用，但如遇緊急情況時(shí)，運(yùn)維人員、二線支持人

員短時(shí)間內(nèi)無法趕去現(xiàn)場(chǎng)，極有可能導(dǎo)致定位問題、處置問題時(shí)間被拖長(zhǎng)，給生產(chǎn)安全運(yùn)行帶來隱患?；?/p>

于本文多因素訪問控制方法，通過訪問控制策略，臨時(shí)訪問策略審批流程，可允許運(yùn)維人員、二線支持人

員在指定設(shè)備終端在持有 CA 證書的情況下在指定時(shí)間區(qū)間內(nèi)訪問運(yùn)維平臺(tái)，及時(shí)定位、解決生產(chǎn)問題。

本系統(tǒng)基于 SpringBoot 框架創(chuàng)建了一個(gè)訪問控制服務(wù) AC Service，用于進(jìn)行訪問控制權(quán)限校驗(yàn)。并在

控制層 AuthController 開放了一個(gè)權(quán)限校驗(yàn)接口/auth，供 Nginx auth_request 模塊攔截鑒權(quán)，該接口實(shí)際調(diào)

（1）

等等，然后借助組合數(shù)學(xué)中交集、并集的概念，將不同子策略組合在一起，實(shí)現(xiàn)復(fù)雜的策略的組合，例如：

公式（1）可以表示允許 P4 角色的用戶在 P1 時(shí)間區(qū)間內(nèi)使用 P2 指定 ip 訪問請(qǐng)求路徑 P3，而公式（2）可

以表示允許 P4 角色在 P1 時(shí)間區(qū)間內(nèi)訪問請(qǐng)求鏈接，或允許 P4 角色在 P2 指定 ip 訪問請(qǐng)求鏈接，或允許

P4 角色訪問 P3 請(qǐng)求路徑。

P1 ∩ P2 ∩ P3 ∩ P4 （1）

(P1 ∪ P2 ∪ P3) ∩ P4 （2）

運(yùn)維平臺(tái)對(duì)操作審計(jì)信息十分敏感，基于本文訪問控制方式改造后，所有審計(jì)信息都可以在訪問控制

鑒權(quán)模塊進(jìn)行采集，統(tǒng)一記錄訪問人、訪問路徑、請(qǐng)求設(shè)備（ip 地址或者 MAC 地址）、請(qǐng)求時(shí)間等信息，

為審計(jì)工作提供便利。

基于策略組合實(shí)現(xiàn)的訪問控制方式相較于傳統(tǒng)單獨(dú)基于角色的訪問控制方式更為靈活，它允許通過流

程審批臨時(shí)增加或者變動(dòng)訪問控制策略，這種訪問控制策略變動(dòng)的方式，無需更新系統(tǒng)版本，也無需進(jìn)行

其他適配性改造，就可以達(dá)到臨時(shí)賦權(quán)訪問的效果，而流程審批記錄也可以為審計(jì)記錄留痕，例如可以讓

某一用戶通過 IP 為 1.1.1.1 的主機(jī)在 1 個(gè)小時(shí)區(qū)間內(nèi)訪問指定資源。

圖 4 策略方法層次架構(gòu)圖

4 JK12

4.1 LMNOP&12QR

隨著運(yùn)維工作數(shù)字化轉(zhuǎn)型的推進(jìn)，運(yùn)維平臺(tái)能力變得更加開放和服務(wù)化，如何做好訪問控制，避免敏

感信息泄露和對(duì)安全運(yùn)行造成破壞是不得不解決的一個(gè)難題?；诒疚乃黾軜?gòu)，在存量運(yùn)維平臺(tái)上進(jìn)行

了相關(guān)實(shí)踐驗(yàn)證，根據(jù)運(yùn)維實(shí)際場(chǎng)景要求，提取所需訪問控制元素，內(nèi)聚在新建的訪問控制模塊中，對(duì)用

戶請(qǐng)求進(jìn)行統(tǒng)一攔截鑒權(quán)。

從生產(chǎn)安全性考慮，運(yùn)維平臺(tái)不能在公網(wǎng)直接開放使用，但如遇緊急情況時(shí)，運(yùn)維人員、二線支持人

員短時(shí)間內(nèi)無法趕去現(xiàn)場(chǎng)，極有可能導(dǎo)致定位問題、處置問題時(shí)間被拖長(zhǎng)，給生產(chǎn)安全運(yùn)行帶來隱患?；?/p>

于本文多因素訪問控制方法，通過訪問控制策略，臨時(shí)訪問策略審批流程，可允許運(yùn)維人員、二線支持人

員在指定設(shè)備終端在持有 CA 證書的情況下在指定時(shí)間區(qū)間內(nèi)訪問運(yùn)維平臺(tái)，及時(shí)定位、解決生產(chǎn)問題。

本系統(tǒng)基于 SpringBoot 框架創(chuàng)建了一個(gè)訪問控制服務(wù) AC Service，用于進(jìn)行訪問控制權(quán)限校驗(yàn)。并在

控制層 AuthController 開放了一個(gè)權(quán)限校驗(yàn)接口/auth，供 Nginx auth_request 模塊攔截鑒權(quán)，該接口實(shí)際調(diào)

（2）

運(yùn)維平臺(tái)對(duì)操作審計(jì)信息十分敏感，基于本

文訪問控制方式改造后，所有審計(jì)信息都可以在

訪問控制鑒權(quán)模塊進(jìn)行采集，統(tǒng)一記錄訪問人、

訪問路徑、請(qǐng)求設(shè)備（ip 地址或者 MAC 地址）、

請(qǐng)求時(shí)間等信息，為審計(jì)工作提供便利。

基于策略組合實(shí)現(xiàn)的訪問控制方式相較于

傳統(tǒng)單獨(dú)基于角色的訪問控制方式更為靈活，它

允許通過流程審批臨時(shí)增加或者變動(dòng)訪問控制策

略，這種訪問控制策略變動(dòng)的方式，無需更新系

統(tǒng)版本，也無需進(jìn)行其他適配性改造，就可以達(dá)

到臨時(shí)賦權(quán)訪問的效果，而流程審批記錄也可以

為審計(jì)記錄留痕，例如可以讓某一用戶通過 IP

為1.1.1.1的主機(jī)在1個(gè)小時(shí)區(qū)間內(nèi)訪問指定資源。

4、應(yīng)用實(shí)踐

4.1 在運(yùn)維平臺(tái)的實(shí)踐情況

隨著運(yùn)維工作數(shù)字化轉(zhuǎn)型的推進(jìn)，運(yùn)維平

臺(tái)能力變得更加開放和服務(wù)化，如何做好訪問控

制，避免敏感信息泄露和對(duì)安全運(yùn)行造成破壞是

不得不解決的一個(gè)難題。基于本文所述架構(gòu)，在

存量運(yùn)維平臺(tái)上進(jìn)行了相關(guān)實(shí)踐驗(yàn)證，根據(jù)運(yùn)維

等等，然后借助組合數(shù)學(xué)中交集、并集的概念，將不同子策略組合在一起，實(shí)現(xiàn)復(fù)雜的策略的組合，例如：

公式（1）可以表示允許 P4 角色的用戶在 P1 時(shí)間區(qū)間內(nèi)使用 P2 指定 ip 訪問請(qǐng)求路徑 P3，而公式（2）可

以表示允許 P4 角色在 P1 時(shí)間區(qū)間內(nèi)訪問請(qǐng)求鏈接，或允許 P4 角色在 P2 指定 ip 訪問請(qǐng)求鏈接，或允許

P4 角色訪問 P3 請(qǐng)求路徑。

P1 ∩ P2 ∩ P3 ∩ P4 （1）

(P1 ∪ P2 ∪ P3) ∩ P4 （2）

運(yùn)維平臺(tái)對(duì)操作審計(jì)信息十分敏感，基于本文訪問控制方式改造后，所有審計(jì)信息都可以在訪問控制

鑒權(quán)模塊進(jìn)行采集，統(tǒng)一記錄訪問人、訪問路徑、請(qǐng)求設(shè)備（ip 地址或者 MAC 地址）、請(qǐng)求時(shí)間等信息，

為審計(jì)工作提供便利。

基于策略組合實(shí)現(xiàn)的訪問控制方式相較于傳統(tǒng)單獨(dú)基于角色的訪問控制方式更為靈活，它允許通過流

程審批臨時(shí)增加或者變動(dòng)訪問控制策略，這種訪問控制策略變動(dòng)的方式，無需更新系統(tǒng)版本，也無需進(jìn)行

其他適配性改造，就可以達(dá)到臨時(shí)賦權(quán)訪問的效果，而流程審批記錄也可以為審計(jì)記錄留痕，例如可以讓

某一用戶通過 IP 為 1.1.1.1 的主機(jī)在 1 個(gè)小時(shí)區(qū)間內(nèi)訪問指定資源。

圖 4 策略方法層次架構(gòu)圖

4 JK12

LNP&12Q圖 4 ：策略方法層次架構(gòu)圖

交易技術(shù)前沿

實(shí)際場(chǎng)景要求，提取所需訪問控制元素，內(nèi)聚在

新建的訪問控制模塊中，對(duì)用戶請(qǐng)求進(jìn)行統(tǒng)一攔

截鑒權(quán)。

從生產(chǎn)安全性考慮，運(yùn)維平臺(tái)不能在公網(wǎng)直

接開放使用，但如遇緊急情況時(shí)，運(yùn)維人員、二

線支持人員短時(shí)間內(nèi)無法趕去現(xiàn)場(chǎng)，極有可能導(dǎo)

致定位問題、處置問題時(shí)間被拖長(zhǎng)，給生產(chǎn)安全

運(yùn)行帶來隱患?；诒疚亩嘁蛩卦L問控制方法，

通過訪問控制策略，臨時(shí)訪問策略審批流程，可

允許運(yùn)維人員、二線支持人員在指定設(shè)備終端在

持有 CA 證書的情況下在指定時(shí)間區(qū)間內(nèi)訪問運(yùn)

維平臺(tái)，及時(shí)定位、解決生產(chǎn)問題。

本系統(tǒng)基于 SpringBoot 框架創(chuàng)建了一個(gè)訪

問控制服務(wù) AC Service，用于進(jìn)行訪問控制權(quán)

限校驗(yàn)。并在控制層 AuthController 開放了一個(gè)

權(quán)限校驗(yàn)接口 /auth，供 Nginx auth_request 模塊

攔截鑒權(quán)，該接口實(shí)際調(diào)用策略執(zhí)行器 StrategyExecutor，而 StrategyExecutor 根據(jù)單一策略要

素校驗(yàn)結(jié)果按照復(fù)合策略進(jìn)行組合計(jì)算，將訪

問控制策略結(jié)果返回給 Nginx。用戶可靈活化

自定義單一策略要素和組合策略，本運(yùn)維平臺(tái)

已納入的單一策略要素有 ：限制訪問 IP 前綴

的 IPPolicyExecutor、限制訪問時(shí)間區(qū)間的 TimeRangePolicyExecutor、限制是否交易日訪問的

TradeDayExecutor、限制用戶是否可以遠(yuǎn)程訪問

的 UserPolicyExecutor、限制使用指定 CA 證書

訪問的 CertPolicyExecutor 等，如圖 5 訪問控制

策略實(shí)現(xiàn)圖所示。

為滿足生產(chǎn)環(huán)境實(shí)際需要，本平臺(tái)根據(jù)訪問

日期、訪問時(shí)間、訪問網(wǎng)段等元素，設(shè)計(jì)了一系

列不易拆分的單一策略，部分策略如表 1 所示。

以應(yīng)用發(fā)布功能為例，涉及生產(chǎn)操作需雙崗復(fù)核，

不應(yīng)允許用戶在交易時(shí)間內(nèi)訪問操作，僅允許用

戶在辦公內(nèi)網(wǎng)非交易時(shí)段進(jìn)行訪問，它的復(fù)合策

略應(yīng)為 {{P1，P2，P3}，{P1，P5}}，如公式（3）；

而對(duì)于應(yīng)用日志下載、應(yīng)用狀態(tài)檢查功能，不涉

及生產(chǎn)環(huán)境敏感操作，應(yīng)既允許用戶在辦公內(nèi)網(wǎng)

訪問，也允許用戶在非交易時(shí)間通過外網(wǎng)訪問，

它的復(fù)合策略應(yīng)為 它的復(fù)合策略應(yīng)為 {{P1}，{P4，P5}，{P2，P3，

P4}}，如公式（4）。

單一策略要素有：限制訪問 IP 前綴的 IPPolicyExecutor、限制訪問時(shí)間區(qū)間的 TimeRangePolicyExecutor、

限制是否交易日訪問的 TradeDayExecutor、限制用戶是否可以遠(yuǎn)程訪問的 UserPolicyExecutor、限制使用指

定 CA 證書訪問的 CertPolicyExecutor 等，如圖 6 訪問控制策略實(shí)現(xiàn)圖所示。

圖 5 訪問控制策略實(shí)現(xiàn)圖

為滿足生產(chǎn)環(huán)境實(shí)際需要，本平臺(tái)根據(jù)訪問日期、訪問時(shí)間、訪問網(wǎng)段等元素，設(shè)計(jì)了一系列不易拆

分的單一策略，部分策略如表 1 所示。以應(yīng)用發(fā)布功能為例，涉及生產(chǎn)操作需雙崗復(fù)核，不應(yīng)允許用戶在

交易時(shí)間內(nèi)訪問操作，僅允許用戶在辦公內(nèi)網(wǎng)非交易時(shí)段進(jìn)行訪問，它的復(fù)合策略應(yīng)為{{P1，P2，P3}，{P1，

P5}}，如公式（3）；而對(duì)于應(yīng)用日志下載、應(yīng)用狀態(tài)檢查功能，不涉及生產(chǎn)環(huán)境敏感操作，應(yīng)既允許用戶

在辦公內(nèi)網(wǎng)訪問，也允許用戶在非交易時(shí)間通過外網(wǎng)訪問，它的復(fù)合策略應(yīng)為{{P1}，{P4，P5}，{P2，P3，

P4}}，如公式（4）。

P1 ∩ P2 ∩ P3 ∪ (P1 ∩ P5) (3P1 ∪ P4 ∩ P5 ∪ (P2 ∩ P3 ∩ P4) (4表 1 單一策略表

單一策略標(biāo)號(hào) 策略名稱 策略方向 策略內(nèi)容

P1 僅允許辦公內(nèi)網(wǎng) IP 訪問 Positive [“172.*.*.*”]

P2 僅交易日允許 Positive

P3 非交易時(shí)間段 Negative [“9:15-15:30”]

P4 證書 ID Positive [“cert1”, “cert2”]

P5 節(jié)假日允許 Positive

經(jīng)過實(shí)踐驗(yàn)證，通過靈活的策略組合及 Nginx 可插拔的 auth_request 模塊應(yīng)用，本文所述架構(gòu)能夠較

好地對(duì)現(xiàn)有運(yùn)維平臺(tái)訪問控制能力增強(qiáng)，起到相關(guān)的預(yù)期作用。

4.2 $%S412

本文所述方法及架構(gòu)不僅可用于訪問控制技術(shù)，而且可以推廣到對(duì)系統(tǒng)能力進(jìn)行的其它場(chǎng)景，結(jié)合實(shí)

踐情況列舉以下兩個(gè)場(chǎng)景進(jìn)行描述。

4.2.1 用于 IPV6 過渡方案

隨著社會(huì)數(shù)字化、智能化的體系建設(shè)不斷深入，大部分政企單位均面臨著數(shù)字化轉(zhuǎn)型及創(chuàng)新體系構(gòu)建

的挑戰(zhàn)，其中加快建設(shè)部署 IPv6，快速完成現(xiàn)有 IPv4 業(yè)務(wù)系統(tǒng)轉(zhuǎn)換，具備一定的戰(zhàn)略意義。本文設(shè)計(jì)實(shí)現(xiàn)

的多因素訪問控制方法同樣可以用于 IPv6 與 IPv4 之間的服務(wù)轉(zhuǎn)化，用戶可以在策略層中增加 IPv6 與 IPv4

服務(wù)間的映射策略，設(shè)計(jì)具體執(zhí)行器完成服務(wù)請(qǐng)求校驗(yàn)及轉(zhuǎn)發(fā)規(guī)則判斷，此設(shè)計(jì)模式可以在不改造現(xiàn)有架

構(gòu)的基礎(chǔ)上，快速幫助存量 IPv4 業(yè)務(wù)系統(tǒng)具備 IPv6 終端和用戶訪問能力。

(3)

單一策略要素有：限制訪問 IP 前綴的 IPPolicyExecutor、限制訪問時(shí)間區(qū)間的 TimeRangePolicyExecutor、

限制是否交易日訪問的 TradeDayExecutor、限制用戶是否可以遠(yuǎn)程訪問的 UserPolicyExecutor、限制使用指

定 CA 證書訪問的 CertPolicyExecutor 等，如圖 6 訪問控制策略實(shí)現(xiàn)圖所示。

圖 5 訪問控制策略實(shí)現(xiàn)圖

為滿足生產(chǎn)環(huán)境實(shí)際需要，本平臺(tái)根據(jù)訪問日期、訪問時(shí)間、訪問網(wǎng)段等元素，設(shè)計(jì)了一系列不易拆

分的單一策略，部分策略如表 1 所示。以應(yīng)用發(fā)布功能為例，涉及生產(chǎn)操作需雙崗復(fù)核，不應(yīng)允許用戶在

交易時(shí)間內(nèi)訪問操作，僅允許用戶在辦公內(nèi)網(wǎng)非交易時(shí)段進(jìn)行訪問，它的復(fù)合策略應(yīng)為{{P1，P2，P3}，{P1，

P5}}，如公式（3）；而對(duì)于應(yīng)用日志下載、應(yīng)用狀態(tài)檢查功能，不涉及生產(chǎn)環(huán)境敏感操作，應(yīng)既允許用戶

在辦公內(nèi)網(wǎng)訪問，也允許用戶在非交易時(shí)間通過外網(wǎng)訪問，它的復(fù)合策略應(yīng)為{{P1}，{P4，P5}，{P2，P3，

P4}}，如公式（4）。

P1 ∩ P2 ∩ P3 ∪ (P1 ∩ P5) (3P1 ∪ P4 ∩ P5 ∪ (P2 ∩ P3 ∩ P4) (4表 1 單一策略表

單一策略標(biāo)號(hào) 策略名稱 策略方向 策略內(nèi)容

P1 僅允許辦公內(nèi)網(wǎng) IP 訪問 Positive [“172.*.*.*”]

P2 僅交易日允許 Positive

P3 非交易時(shí)間段 Negative [“9:15-15:30”]

P4 證書 ID Positive [“cert1”, “cert2”]

P5 節(jié)假日允許 Positive

經(jīng)過實(shí)踐驗(yàn)證，通過靈活的策略組合及 Nginx 可插拔的 auth_request 模塊應(yīng)用，本文所述架構(gòu)能夠較

好地對(duì)現(xiàn)有運(yùn)維平臺(tái)訪問控制能力增強(qiáng)，起到相關(guān)的預(yù)期作用。

4.2 $%S412

本文所述方法及架構(gòu)不僅可用于訪問控制技術(shù)，而且可以推廣到對(duì)系統(tǒng)能力進(jìn)行的其它場(chǎng)景，結(jié)合實(shí)

踐情況列舉以下兩個(gè)場(chǎng)景進(jìn)行描述。

4.2.1 用于 IPV6 過渡方案

隨著社會(huì)數(shù)字化、智能化的體系建設(shè)不斷深入，大部分政企單位均面臨著數(shù)字化轉(zhuǎn)型及創(chuàng)新體系構(gòu)建

的挑戰(zhàn)，其中加快建設(shè)部署 IPv6，快速完成現(xiàn)有 IPv4 業(yè)務(wù)系統(tǒng)轉(zhuǎn)換，具備一定的戰(zhàn)略意義。本文設(shè)計(jì)實(shí)現(xiàn)

的多因素訪問控制方法同樣可以用于 IPv6 與 IPv4 之間的服務(wù)轉(zhuǎn)化，用戶可以在策略層中增加 IPv6 與 IPv4

服務(wù)間的映射策略，設(shè)計(jì)具體執(zhí)行器完成服務(wù)請(qǐng)求校驗(yàn)及轉(zhuǎn)發(fā)規(guī)則判斷，此設(shè)計(jì)模式可以在不改造現(xiàn)有架

構(gòu)的基礎(chǔ)上，快速幫助存量 IPv4 業(yè)務(wù)系統(tǒng)具備 IPv6 終端和用戶訪問能力。

(4)

經(jīng)過實(shí)踐驗(yàn)證，通過靈活的策略組合及

Nginx 可插拔的 auth_request 模塊應(yīng)用，本文所述

架構(gòu)能夠較好地對(duì)現(xiàn)有運(yùn)維平臺(tái)訪問控制能力增

強(qiáng)，起到相關(guān)的預(yù)期作用。

4.2 擴(kuò)展場(chǎng)景實(shí)踐

本文所述方法及架構(gòu)不僅可用于訪問控制

技術(shù)，而且可以推廣到對(duì)系統(tǒng)能力進(jìn)行的其它

場(chǎng)景，結(jié)合實(shí)踐情況列舉以下兩個(gè)場(chǎng)景進(jìn)行描

述。

4.2.1 用于 IPV6 過渡方案

隨著社會(huì)數(shù)字化、智能化的體系建設(shè)不斷深

入，大部分政企單位均面臨著數(shù)字化轉(zhuǎn)型及創(chuàng)新

體系構(gòu)建的挑戰(zhàn)，其中加快建設(shè)部署 IPv6，快速

83

用策略執(zhí)行器 StrategyExecutor，而 StrategyExecutor 根據(jù)單一策略要素校驗(yàn)結(jié)果按照復(fù)合策略進(jìn)行組合計(jì)算，

將訪問控制策略結(jié)果返回給 Nginx。用戶可靈活化自定義單一策略要素和組合策略，本運(yùn)維平臺(tái)已納入的

單一策略要素有：限制訪問 IP 前綴的 IPPolicyExecutor、限制訪問時(shí)間區(qū)間的 TimeRangePolicyExecutor、

限制是否交易日訪問的 TradeDayExecutor、限制用戶是否可以遠(yuǎn)程訪問的 UserPolicyExecutor、限制使用指

定 CA 證書訪問的 CertPolicyExecutor 等，如圖 6 訪問控制策略實(shí)現(xiàn)圖所示。

圖 5 訪問控制策略實(shí)現(xiàn)圖

為滿足生產(chǎn)環(huán)境實(shí)際需要，本平臺(tái)根據(jù)訪問日期、訪問時(shí)間、訪問網(wǎng)段等元素，設(shè)計(jì)了一系列不易拆

分的單一策略，部分策略如表 1 所示。以應(yīng)用發(fā)布功能為例，涉及生產(chǎn)操作需雙崗復(fù)核，不應(yīng)允許用戶在

交易時(shí)間內(nèi)訪問操作，僅允許用戶在辦公內(nèi)網(wǎng)非交易時(shí)段進(jìn)行訪問，它的復(fù)合策略應(yīng)為{{P1，P2，P3}，{P1，

P5}}如公式（3）而對(duì)于應(yīng)用日志下載應(yīng)用狀態(tài)檢查功能不涉及生產(chǎn)環(huán)境敏感操作應(yīng)既允許用戶圖 5 ：訪問控制策略實(shí)現(xiàn)圖

探索與應(yīng)用

84

完成現(xiàn)有 IPv4 業(yè)務(wù)系統(tǒng)轉(zhuǎn)換，具備一定的戰(zhàn)略

意義。本文設(shè)計(jì)實(shí)現(xiàn)的多因素訪問控制方法同樣

可以用于 IPv6 與 IPv4 之間的服務(wù)轉(zhuǎn)化，用戶可

以在策略層中增加 IPv6 與 IPv4 服務(wù)間的映射策

略，設(shè)計(jì)具體執(zhí)行器完成服務(wù)請(qǐng)求校驗(yàn)及轉(zhuǎn)發(fā)規(guī)

則判斷，此設(shè)計(jì)模式可以在不改造現(xiàn)有架構(gòu)的基

礎(chǔ)上，快速幫助存量 IPv4 業(yè)務(wù)系統(tǒng)具備 IPv6 終

端和用戶訪問能力。

4.2.2 用于系統(tǒng)保護(hù)機(jī)制

在傳統(tǒng) IT 系統(tǒng)架構(gòu)中，應(yīng)用系統(tǒng)一般會(huì)通

過專業(yè)壓測(cè)來獲取性能指標(biāo)，如接口并發(fā)響應(yīng)時(shí)

延、最大并發(fā)用戶數(shù)量、數(shù)據(jù)庫(kù)記錄數(shù)等等，這

些指標(biāo)不僅能夠幫助運(yùn)維及開發(fā)人員評(píng)估應(yīng)用系

統(tǒng)在高負(fù)載情況下出現(xiàn)故障的可能性，也可用于

應(yīng)用監(jiān)測(cè)告警，有效避免系統(tǒng)安全運(yùn)行風(fēng)險(xiǎn)。但

在實(shí)際的生產(chǎn)環(huán)境中，同樣可能面臨擊穿性能容

量的情況，本文設(shè)計(jì)實(shí)現(xiàn)的多因素訪問控制方法

同樣可以用于系統(tǒng)性能容量保護(hù)，在不調(diào)整后端

服務(wù)架構(gòu)的基礎(chǔ)上，通過在策略層增加多因素?cái)r

截策略，如限制同一設(shè)備單位時(shí)間內(nèi)請(qǐng)求次數(shù)，

請(qǐng)求響應(yīng)延時(shí)超過閾值后彈回處理等等，不僅提

升了整體架構(gòu)的靈活性，也是一種有效的安全防

護(hù)手段。

4.3 收益分析

通過將本文所述方法在運(yùn)維系統(tǒng)中進(jìn)行實(shí)踐

驗(yàn)證，訪問控制模塊的引入不僅可以有效加強(qiáng)系

統(tǒng)安全性，而且，在成本、架構(gòu)管理等產(chǎn)生一定

的收益。

安全方面，架構(gòu)在負(fù)載均衡層接入到現(xiàn)有系

統(tǒng)，可以對(duì)所有請(qǐng)求進(jìn)行分析處理。訪問控制模

塊可以靈活制定原子策略并加以組合，可以按需

添加訪問控制的要素，能夠較好滿足系統(tǒng)的安全

需求。 在該架構(gòu)下，安全審計(jì)僅需要針對(duì)訪問

控制模塊進(jìn)行，不需要逐個(gè)系統(tǒng)模塊進(jìn)行審計(jì)確

認(rèn)，節(jié)省審計(jì)日志的存儲(chǔ)及審計(jì)人員的重復(fù)檢查

工作。

成本方面，架構(gòu)以 Sidecar 形式靈活接入到

現(xiàn)有系統(tǒng)，對(duì)現(xiàn)有系統(tǒng)幾乎無改造需求。架構(gòu)上

解耦后，通過將訪問控制能力沉淀為中臺(tái)服務(wù)，

避免單個(gè)系統(tǒng)的改造，規(guī)避不同系統(tǒng)或模塊的重

復(fù)開發(fā)和適配，若按照 20 個(gè)系統(tǒng)或模塊接入該

鑒權(quán)方式，可節(jié)省 90% 以上的開發(fā)成本。而且，

訪問控制服務(wù)就緒后，各系統(tǒng)可快速對(duì)接，大大

縮短推廣周期。

架構(gòu)管理方面，安全控制通過集中化的訪問

控制模塊完成，減少各系統(tǒng)因系統(tǒng)架構(gòu)、鑒權(quán)邏

輯不統(tǒng)一產(chǎn)生的設(shè)計(jì)疏漏和運(yùn)行風(fēng)險(xiǎn)，進(jìn)一步降

低管理成本和提升系統(tǒng)健壯性。

5、總結(jié)與優(yōu)化

通過對(duì)現(xiàn)有運(yùn)維平臺(tái)增加基于 IP 地址、時(shí)

間段范圍、CA 證書等驗(yàn)證要素的實(shí)踐，證明本

文所述方法不僅可以做到架構(gòu)上對(duì)現(xiàn)有系統(tǒng)無侵

入性，而且通過策略的靈活組合，可以實(shí)現(xiàn)對(duì)于

不同保護(hù)等級(jí)的功能模塊進(jìn)行細(xì)粒度訪問控制。

后續(xù)，除進(jìn)一步支持更多訪問控制要素外，可以

結(jié)合智能分析技術(shù)提前識(shí)別潛在風(fēng)險(xiǎn)并阻斷相關(guān)

訪問，而且可以進(jìn)一步加強(qiáng)審計(jì)能力，定期回顧

訪問控制的有效性。

交易時(shí)間內(nèi)訪問操作，僅允許用戶在辦公內(nèi)網(wǎng)非交易時(shí)段進(jìn)行訪問，它的復(fù)合策略應(yīng)為{{P1，P2，P3}，{P1，

P5}}，如公式（3）；而對(duì)于應(yīng)用日志下載、應(yīng)用狀態(tài)檢查功能，不涉及生產(chǎn)環(huán)境敏感操作，應(yīng)既允許用戶

在辦公內(nèi)網(wǎng)訪問，也允許用戶在非交易時(shí)間通過外網(wǎng)訪問，它的復(fù)合策略應(yīng)為{{P1}，{P4，P5}，{P2，P3，

P4}}，如公式（4）。

P1 ∩ P2 ∩ P3 ∪ (P1 ∩ P5) (3)

P1 ∪ P4 ∩ P5 ∪ (P2 ∩ P3 ∩ P4) (4)

表 1 單一策略表

單一策略標(biāo)號(hào) 策略名稱 策略方向 策略內(nèi)容

P1 僅允許辦公內(nèi)網(wǎng) IP 訪問 Positive [“172.*.*.*”]

P2 僅交易日允許 Positive

P3 非交易時(shí)間段 Negative [“9:15-15:30”]

P4 證書 ID Positive [“cert1”, “cert2”]

P5 節(jié)假日允許 Positive

經(jīng)過實(shí)踐驗(yàn)證，通過靈活的策略組合及 Nginx 可插拔的 auth_request 模塊應(yīng)用，本文所述架構(gòu)能夠較

好地對(duì)現(xiàn)有運(yùn)維平臺(tái)訪問控制能力增強(qiáng)，起到相關(guān)的預(yù)期作用。

4.2 $%S412

本文所述方法及架構(gòu)不僅可用于訪問控制技術(shù)，而且可以推廣到對(duì)系統(tǒng)能力進(jìn)行的其它場(chǎng)景，結(jié)合實(shí)

踐情況列舉以下兩個(gè)場(chǎng)景進(jìn)行描述。

4.2.1 用于 IPV6 過渡方案

隨著社會(huì)數(shù)字化、智能化的體系建設(shè)不斷深入，大部分政企單位均面臨著數(shù)字化轉(zhuǎn)型及創(chuàng)新體系構(gòu)建

的挑戰(zhàn)，其中加快建設(shè)部署 IPv6，快速完成現(xiàn)有 IPv4 業(yè)務(wù)系統(tǒng)轉(zhuǎn)換，具備一定的戰(zhàn)略意義。本文設(shè)計(jì)實(shí)現(xiàn)

的多因素訪問控制方法同樣可以用于 IPv6 與 IPv4 之間的服務(wù)轉(zhuǎn)化，用戶可以在策略層中增加 IPv6 與 IPv4

服務(wù)間的映射策略，設(shè)計(jì)具體執(zhí)行器完成服務(wù)請(qǐng)求校驗(yàn)及轉(zhuǎn)發(fā)規(guī)則判斷，此設(shè)計(jì)模式可以在不改造現(xiàn)有架

構(gòu)的基礎(chǔ)上，快速幫助存量 IPv4 業(yè)務(wù)系統(tǒng)具備 IPv6 終端和用戶訪問能力。

表 1 ：?jiǎn)我徊呗员?/p>

交易技術(shù)前沿

85

潘建東、徐政鈞、劉逸雄、谷航宇 / 中信建投證券股份有限公司 信息技術(shù)部 北京 100010

E-mail ：xuzhengjun@csc.com.cn

證券公司智慧營(yíng)銷與服務(wù)平臺(tái)建設(shè)

1、概述

隨著數(shù)字化轉(zhuǎn)型的不斷深入，金融科技領(lǐng)域

迎來了蓬勃發(fā)展的黃金時(shí)期，金融機(jī)構(gòu)運(yùn)用人工

智能、大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈等技術(shù)改變傳統(tǒng)

業(yè)務(wù)的經(jīng)營(yíng)模式和業(yè)務(wù)場(chǎng)景，建設(shè)端到端的智能

化生態(tài)，實(shí)現(xiàn)運(yùn)營(yíng)效率提升與經(jīng)營(yíng)成本降低已成

為行業(yè)共識(shí)。對(duì)證券公司來說，隨著越來越多投

資者涌入金融市場(chǎng)，如何以更完善的方式實(shí)現(xiàn)服

務(wù)與營(yíng)銷的結(jié)合，如何結(jié)合科技能力實(shí)現(xiàn)高效營(yíng)

銷，成為了一項(xiàng)重點(diǎn)的攻關(guān)項(xiàng)目。

線上開戶是證券公司的核心開戶渠道，開戶

引流效果也是衡量業(yè)績(jī)的重要指標(biāo)，開戶流程分

為手機(jī)號(hào)注冊(cè)、營(yíng)業(yè)部選擇、身份證上傳、風(fēng)險(xiǎn)

測(cè)評(píng)等十余個(gè)步驟，此外需添加身份證核驗(yàn)，人

工核驗(yàn)，回訪確認(rèn)等諸多需等待步驟，很大程度

上會(huì)使客戶停留并遺忘。此外，在產(chǎn)品推介、業(yè)

務(wù)辦理等眾多過程中，均存在各種原因?qū)е碌目?/p>

戶停留。及時(shí)地識(shí)別客戶停留原因，為客戶提供

陪伴式的服務(wù)引導(dǎo)，將在增強(qiáng)客戶體驗(yàn)的同時(shí)提

升經(jīng)營(yíng)業(yè)績(jī)。因此，為實(shí)現(xiàn)智慧營(yíng)銷，增強(qiáng)引流

和轉(zhuǎn)化能力，進(jìn)一步提升公司的核心業(yè)績(jī)，中信

隨著居民可投資資產(chǎn)的快速增長(zhǎng)以及資本市場(chǎng)改革紅利的充分釋放，券商財(cái)富管理

業(yè)務(wù)正迎來蓬勃發(fā)展的新時(shí)代，而互聯(lián)網(wǎng)運(yùn)營(yíng)模式的逐步推廣，使得傳統(tǒng)大規(guī)模線下金融

業(yè)務(wù)以及傳統(tǒng)營(yíng)銷模式受到諸多限制。對(duì)證券公司來說，充分發(fā)揮大數(shù)據(jù)、云計(jì)算、人工

智能等新興技術(shù)的優(yōu)勢(shì)，大力發(fā)展線上營(yíng)銷服務(wù)，以智能化方式提升顧問營(yíng)銷與服務(wù)能力，

提高客戶服務(wù)體驗(yàn)是大勢(shì)所趨。本文闡述了中信建投證券通過對(duì)傳統(tǒng)電話營(yíng)銷服務(wù)的智能

化改造，實(shí)現(xiàn)了高效、合規(guī)的全流程精細(xì)化服務(wù)，最后本文總結(jié)客戶服務(wù)中智慧營(yíng)銷的經(jīng)

驗(yàn)與未來展望。

探索與應(yīng)用

建投證券以全流程數(shù)字驅(qū)動(dòng)的理念為引領(lǐng)、以數(shù)

字化手段為支撐 , 著力建設(shè)全流程、多維度智慧

營(yíng)銷服務(wù)平臺(tái)。該平臺(tái)提供客戶行為跟蹤、IP 電

話呼叫、客戶畫像、智能分析引擎、數(shù)據(jù)統(tǒng)計(jì)與

分析等功能，通過智能監(jiān)聽客戶業(yè)務(wù)辦理及產(chǎn)品

購(gòu)買流程，實(shí)現(xiàn)基于模型及流程的客戶意圖預(yù)測(cè)，

最終智能生成任務(wù)并路由分配。此外平臺(tái)在對(duì)話

過程中引入實(shí)時(shí)知識(shí)與話術(shù)推薦等一系列功能，

實(shí)現(xiàn)全流程、多維度、精細(xì)化的智慧營(yíng)銷。

2、營(yíng)銷服務(wù)平臺(tái)智能化建設(shè)

2.1 功能與架構(gòu)

營(yíng)銷服務(wù)平臺(tái)整體劃分為任務(wù)管理單元、數(shù)

據(jù)統(tǒng)計(jì)單元、行為監(jiān)控單元和智能化單元四個(gè)部

分，對(duì)外提供客戶行為跟蹤、IP 電話呼叫、客戶

畫像、智能分析引擎以及數(shù)據(jù)統(tǒng)計(jì)與分析等功能。

行為監(jiān)控單元是平臺(tái)中的數(shù)據(jù)獲取中心，它

通過數(shù)據(jù)埋點(diǎn)，輕量級(jí)地收集各界面上客戶的狀

態(tài)信息，并發(fā)送至統(tǒng)一后臺(tái)消息隊(duì)列，消息隊(duì)列

提供全流程客戶信息，任何監(jiān)聽消息隊(duì)列的用戶

均可獲取全量客戶狀態(tài)信息。過濾管理則是面對(duì)

海量客戶信息，精準(zhǔn)地實(shí)現(xiàn)信息漏斗，過濾掉無

關(guān)的監(jiān)聽信息，平臺(tái)提供了基于渠道、流程狀態(tài)

的監(jiān)聽配置，該過濾管理功能也可實(shí)現(xiàn)基于業(yè)務(wù)

的信息過濾，以達(dá)到個(gè)性化監(jiān)聽的目的。數(shù)據(jù)擴(kuò)

容模塊則是為了向營(yíng)銷人員提供更多客戶信息而

設(shè)置的，該模塊對(duì)接公司其他數(shù)據(jù)中臺(tái)，在流程

監(jiān)控中拉取的部分信息進(jìn)行數(shù)據(jù)補(bǔ)全，收集用戶

的歷史營(yíng)銷信息、個(gè)人信息和歷史辦理業(yè)務(wù)信息

等，為營(yíng)銷人員決策提供數(shù)據(jù)支撐。

智能化單元是平臺(tái)的核心單元，是平臺(tái)的決

策大腦。智能分析單元提供數(shù)據(jù)畫像的分析能力，

并且通過基于自然語言處理（Natural Language

Processing，NLP）技術(shù)實(shí)現(xiàn)自動(dòng)畫像生成，可在

對(duì)話過程中實(shí)時(shí)分析客戶的意向。行為預(yù)測(cè)則是

平臺(tái)的輔助單元，該單元收集用戶的特征，并基

于流程信息對(duì)客戶的后續(xù)行為進(jìn)行預(yù)測(cè)，該預(yù)測(cè)

采用深度學(xué)習(xí)模型，決策出用戶后續(xù)辦理業(yè)務(wù)成

功的概率，并將概率反饋給營(yíng)銷人員，營(yíng)銷人員

則可根據(jù)該單元決策是否電話營(yíng)銷。用戶增長(zhǎng)是

平臺(tái)中的員工數(shù)據(jù)分析單元，該單元可將平臺(tái)中

的全部信息進(jìn)行實(shí)時(shí)分析，實(shí)現(xiàn)基于不同維度的

分析數(shù)據(jù)，實(shí)現(xiàn)漏斗分析、行為分析、成功率分

員工數(shù)據(jù)分析單元，該單元可將平臺(tái)中的全部信息進(jìn)行實(shí)時(shí)分析，實(shí)現(xiàn)基于不同維度的分析數(shù)據(jù)，實(shí)現(xiàn)漏斗分析、行為分析、

成功率分析等營(yíng)銷的質(zhì)量報(bào)告。

任務(wù)管理單元?jiǎng)t是平臺(tái)運(yùn)行的控制單元，該單元連接智能化單元和行為監(jiān)控單元，從行為監(jiān)控單元中抓取數(shù)據(jù)，并實(shí)時(shí)

生成任務(wù)，然后將該任務(wù)分配給公司內(nèi)的營(yíng)銷人員。任務(wù)生成單元內(nèi)置任務(wù)生成引擎，采用可配置模型實(shí)現(xiàn)任務(wù)的自動(dòng)生成

和匹配。任務(wù)管理則是為管理員用戶提供的核心功能，可實(shí)現(xiàn)任務(wù)的重定向、刪除等操作。任務(wù)執(zhí)行實(shí)現(xiàn)了基于公司 IP 電

話的一鍵撥打功能，該模塊同時(shí)提供話術(shù)推薦服務(wù)，可針對(duì)客戶的停留步驟和其他配置信息提供優(yōu)秀話術(shù)。數(shù)據(jù)統(tǒng)計(jì)單元?jiǎng)t

提供了基礎(chǔ)的管理員服務(wù)，實(shí)現(xiàn)員工、渠道、總覽的報(bào)表數(shù)據(jù)服務(wù)，為運(yùn)營(yíng)決策提供數(shù)據(jù)支持。

圖 1 整體架構(gòu)圖

2.2 789:

2.2.1 輕量級(jí)用戶行為埋點(diǎn)監(jiān)聽

圖 1 ：整體架構(gòu)圖

86

交易技術(shù)前沿

析等營(yíng)銷的質(zhì)量報(bào)告。

任務(wù)管理單元?jiǎng)t是平臺(tái)運(yùn)行的控制單元，該

單元連接智能化單元和行為監(jiān)控單元，從行為監(jiān)

控單元中抓取數(shù)據(jù)，并實(shí)時(shí)生成任務(wù)，然后將該

任務(wù)分配給公司內(nèi)的營(yíng)銷人員。任務(wù)生成單元內(nèi)

置任務(wù)生成引擎，采用可配置模型實(shí)現(xiàn)任務(wù)的自

動(dòng)生成和匹配。任務(wù)管理則是為管理員用戶提供

的核心功能，可實(shí)現(xiàn)任務(wù)的重定向、刪除等操作。

任務(wù)執(zhí)行實(shí)現(xiàn)了基于公司 IP 電話的一鍵撥打功能，

該模塊同時(shí)提供話術(shù)推薦服務(wù)，可針對(duì)客戶的停

留步驟和其他配置信息提供優(yōu)秀話術(shù)。數(shù)據(jù)統(tǒng)計(jì)

單元?jiǎng)t提供了基礎(chǔ)的管理員服務(wù)，實(shí)現(xiàn)員工、渠道、

總覽的報(bào)表數(shù)據(jù)服務(wù)，為運(yùn)營(yíng)決策提供數(shù)據(jù)支持。

2.2 核心技術(shù)

2.2.1 輕量級(jí)用戶行為埋點(diǎn)監(jiān)聽

埋點(diǎn)是數(shù)據(jù)采集領(lǐng)域的術(shù)語，指的是針對(duì)特

定用戶行為或事件進(jìn)行捕獲、處理和發(fā)送的相關(guān)

技術(shù)及其實(shí)施過程。埋點(diǎn)可以為后續(xù)的產(chǎn)品優(yōu)化

和用戶運(yùn)營(yíng)提供可供參考的業(yè)務(wù)數(shù)據(jù)及其附帶信

息。根據(jù)部署的位置可以分為客戶端埋點(diǎn)和服務(wù)

端埋點(diǎn)，而客戶端埋點(diǎn)可以根據(jù)埋點(diǎn)工具的方式

劃分，可以分為三種類型 ：代碼埋點(diǎn)，可視化埋

點(diǎn)和全埋點(diǎn)。綜合考慮數(shù)據(jù)采集有效性、客戶端

可靠性以及移動(dòng)端的電量、流量和內(nèi)存消耗，本

平臺(tái)采用統(tǒng)一代碼埋點(diǎn)，即部署完基礎(chǔ)的 SDK 后，

在需要采集數(shù)據(jù)地方添加跟蹤代碼，APP 啟動(dòng)的

時(shí)候會(huì)初始化 SDK，數(shù)據(jù)采集位置被觸發(fā)的時(shí)候

就會(huì)調(diào)用 SDK 對(duì)應(yīng)的數(shù)據(jù)接口把數(shù)據(jù)發(fā)送出去。

基礎(chǔ)埋點(diǎn) SDK 將上報(bào)用戶界面點(diǎn)擊進(jìn)度，并發(fā)

至后端消息隊(duì)列中。

本 平 臺(tái) 采 用 Kafka 消 息 隊(duì) 列， 通 過 監(jiān) 聽

Kafka 消息隊(duì)列即可完整接收全部客戶的實(shí)時(shí)狀

態(tài)信息，基于客戶全流程信息，即可實(shí)現(xiàn)流程信

息的分析，通過用戶的行為實(shí)現(xiàn)預(yù)測(cè)與診斷。

2.2.2 智能外呼系統(tǒng)

傳統(tǒng)電話客服模式中，外呼人員的服務(wù)承載

能力有限，無法應(yīng)對(duì)數(shù)量龐大的電話交流場(chǎng)景，

并且眾多重復(fù)性問題會(huì)造成人力資源的浪費(fèi)。為

了保障營(yíng)銷服務(wù)的時(shí)效性，降低營(yíng)銷服務(wù)成本，

智能外呼應(yīng)運(yùn)而生。智能外呼主要采用智能機(jī)器

人進(jìn)行電話外呼服務(wù)，用以提高公司主動(dòng)與用戶

聯(lián)系溝通的效率。智能外呼系統(tǒng)能夠模擬真人與

客戶進(jìn)行電話溝通，引導(dǎo)用戶完成電話主流程任

務(wù)，支持實(shí)時(shí)意圖識(shí)別、開放域提問，且在回答

開放域問題后能夠引導(dǎo)客戶關(guān)注主流程。智能外

呼的核心是賦予產(chǎn)品語音識(shí)別、理解以及合成的

能力。

智能外呼系統(tǒng)由話務(wù)模塊、語音服務(wù)模塊、

算法模塊、對(duì)話管理模塊以及運(yùn)營(yíng)管理平臺(tái)組成。

其中話務(wù)模塊管理話務(wù)能力方面的功能，例如語

音通訊、錄音等 ；語音服務(wù)模塊負(fù)責(zé)語音方面的

工作，包括自動(dòng)語音識(shí)別以及自然語言合成 ；算

法模塊是外呼機(jī)器人的核心組件，需要完成數(shù)據(jù)

的處理、模型的構(gòu)建與訓(xùn)練等，讓機(jī)器人具備識(shí)

別與交互能力 ；對(duì)話管理模塊的工作是在機(jī)器人

識(shí)別客戶的意圖之后，對(duì)回復(fù)的內(nèi)容進(jìn)行生成 ；

運(yùn)營(yíng)管理平臺(tái)負(fù)責(zé)系統(tǒng)的日常管理，通過制定用

戶名單以及外呼策略，實(shí)現(xiàn)在限定時(shí)間范圍內(nèi)向

目標(biāo)客戶進(jìn)行自動(dòng)呼叫。

為了更好地進(jìn)行營(yíng)銷與服務(wù)客戶，實(shí)現(xiàn)量質(zhì)

并舉，平臺(tái)會(huì)在對(duì)客戶進(jìn)行意圖預(yù)測(cè)后依據(jù)預(yù)測(cè)

的意向?qū)蛻暨M(jìn)行分類。對(duì)于意愿較弱的客戶，

由智能機(jī)器人進(jìn)行服務(wù)，智能機(jī)器人會(huì)告知客戶

開戶流程未完成，并提供常見問題的智能問答。

此外，平臺(tái)會(huì)詢問客戶是否需要人工指引，若客

戶回復(fù)需要，則通過多輪對(duì)話的形式溝通客戶需

求，并將需求以工單形式發(fā)送給客戶經(jīng)理，客戶

經(jīng)理則會(huì)根據(jù)工單及時(shí)服務(wù)客戶，及時(shí)解答客戶

問題。

2.2.3 基于客戶行為及畫像的意圖預(yù)測(cè)

目前大多數(shù)系統(tǒng)均將與客戶的實(shí)時(shí)通話內(nèi)容

作為意圖識(shí)別的主要特征來源，這導(dǎo)致在未與客

戶接觸時(shí)缺乏對(duì)于客戶的了解。傳統(tǒng)外呼服務(wù)中

87

探索與應(yīng)用

心缺乏一套智能決策系統(tǒng)來預(yù)測(cè)業(yè)務(wù)辦理中斷客

戶需要幫助的緊急程度以及業(yè)務(wù)辦理意圖強(qiáng)弱。

為此，本平臺(tái)根據(jù)預(yù)測(cè)模型，建立分級(jí)的外呼服

務(wù)策略，將外呼服務(wù)分為直接人工外呼的高優(yōu)先

級(jí)，先進(jìn)行智能外呼的中優(yōu)先級(jí)，以及不進(jìn)行外

呼的低優(yōu)先級(jí)，解決服務(wù)不及時(shí)和效率低下的問

題，提升營(yíng)銷效果。

本平臺(tái)設(shè)計(jì)了一種基于客戶行為及畫像的意

圖預(yù)測(cè)方法，該方法針對(duì)業(yè)務(wù)辦理中斷的客戶進(jìn)

行實(shí)時(shí)預(yù)測(cè)，預(yù)測(cè)客戶最終業(yè)務(wù)辦理成功率以及

客戶中斷的原因，并將辦理高成功率客戶作為高

優(yōu)先級(jí)，引導(dǎo)營(yíng)銷人員優(yōu)先處理。該方法收集客

戶流程特征與個(gè)人信息，其中流程特征包括客戶

業(yè)務(wù)辦理進(jìn)行的步驟總數(shù)、客戶回退的步驟總數(shù)、

客戶平均停留時(shí)長(zhǎng)、客戶歷史停留超時(shí)次數(shù)、客

戶當(dāng)前停留步驟、客戶是否主動(dòng)回退和客戶歷史

意愿 ；客戶個(gè)人信息包括客戶的基本信息，即戶

籍地址、住址地址、教育程度、性別、年齡等。

其中“客戶歷史意愿”即為用戶歷史對(duì)話中辦理

意愿的強(qiáng)弱，是根據(jù)該業(yè)務(wù)的客戶歷史對(duì)話語音，

在提取文本矩陣后輸入至雙向長(zhǎng)短時(shí)神經(jīng)網(wǎng)絡(luò)

BiLSTM 的意圖檢測(cè)模型獲得的。

預(yù)測(cè)的整個(gè)流程為，將客戶全部信息輸入二

分類器，該二分類器根據(jù)歷史數(shù)據(jù)訓(xùn)練而來，用

于對(duì)客戶產(chǎn)品辦理是否成功進(jìn)行預(yù)測(cè)，并給出具

體成功概率。考慮到模型運(yùn)行的運(yùn)行速度，該二

分類器在本文中采用輕量級(jí)的 LightGBM 實(shí)現(xiàn)，

LightGBM 以直方圖算法代替 XGBoost 的與排序

算法構(gòu)建的數(shù)據(jù)結(jié)構(gòu)，大幅度提升了訓(xùn)練速度減

少了內(nèi)存消耗，并且采用按葉生長(zhǎng)（Leaf-wise）

的策略代替按層生長(zhǎng)（Level-wise）策略，增加

了最大深度的限制，保證高效的同時(shí)防止過擬合。

2.2.4 實(shí)時(shí)合規(guī)質(zhì)檢的 IP 電話設(shè)計(jì)

本平臺(tái)的營(yíng)銷電話采用基于 VoIP 協(xié)議軟交

換平臺(tái) FreeSWITCH 的電話語音呼叫系統(tǒng)，又稱

作兩端呼，即一端通過 IP 電話機(jī)或 IP 軟電話連

接客服人員，另一端通過傳統(tǒng)的 PSTN 電話網(wǎng)絡(luò)

連接客戶。實(shí)現(xiàn)員工電話錄音的集中管理，并對(duì)

外開放接口以供第三方系統(tǒng)調(diào)用。員工在撥打客

戶電話時(shí)，員工側(cè)采用 IP 電話（軟電話）來撥打，

不占用電話線路，節(jié)省線路資源與費(fèi)用。此外，

兩端呼電話與系統(tǒng)自動(dòng)掛接，實(shí)現(xiàn)了對(duì)話語音的

自動(dòng)上傳與實(shí)時(shí)質(zhì)檢分析，設(shè)計(jì)架構(gòu)如圖 2 所示。

以及不進(jìn)行外呼的低優(yōu)先級(jí)，解決服務(wù)不及時(shí)和效率低下的問題，提升營(yíng)銷效果本平臺(tái)設(shè)計(jì)了一種基于客戶行為及畫像的意圖預(yù)測(cè)方法，該方法針對(duì)業(yè)務(wù)辦理中斷的客戶進(jìn)行實(shí)時(shí)預(yù)測(cè)，預(yù)測(cè)客戶業(yè)務(wù)辦理成功率以及客戶中斷的原因，并將辦理高成功率客戶作為高優(yōu)先級(jí)，引導(dǎo)營(yíng)銷人員優(yōu)先處理。該方法收集客戶特征與個(gè)人信息，其中流程特征包括客戶業(yè)務(wù)辦理進(jìn)行的步驟總數(shù)、客戶回退的步驟總數(shù)、客戶平均停留時(shí)長(zhǎng)、客戶歷留超時(shí)次數(shù)、客戶當(dāng)前停留步驟、客戶是否主動(dòng)回退和客戶歷史意愿；客戶個(gè)人信息包括客戶的基本信息，即戶籍地址址地址、教育程度、性別、年齡等。其中“客戶歷史意愿”即為用戶歷史對(duì)話中辦理意愿的強(qiáng)弱，是根據(jù)該業(yè)務(wù)的客戶對(duì)話語音，在提取文本矩陣后輸入至雙向長(zhǎng)短時(shí)神經(jīng)網(wǎng)絡(luò) BiLSTM 的意圖檢測(cè)模型獲得的。

預(yù)測(cè)的整個(gè)流程為，將客戶全部信息輸入二分類器，該二分類器根據(jù)歷史數(shù)據(jù)訓(xùn)練而來，用于對(duì)客戶產(chǎn)品辦理是否進(jìn)行預(yù)測(cè)，并給出具體成功概率?？紤]到模型運(yùn)行的運(yùn)行速度，該二分類器在本文中采用輕量級(jí)的 LightGBM 實(shí)現(xiàn)，Ligh以直方圖算法代替 XGBoost 的與排序算法構(gòu)建的數(shù)據(jù)結(jié)構(gòu)，大幅度提升了訓(xùn)練速度減少了內(nèi)存消耗，并且采用按葉生長(zhǎng)（Lwise）的策略代替按層生長(zhǎng)（Level-wise）策略，增加了最大深度的限制，保證高效的同時(shí)防止過擬合。

2.2.4 實(shí)時(shí)合規(guī)質(zhì)檢的 IP 電話設(shè)計(jì)

本平臺(tái)的營(yíng)銷電話采用基于 VoIP 協(xié)議軟交換平臺(tái) FreeSWITCH 的電話語音呼叫系統(tǒng)，又稱作兩端呼，即一端通過 話機(jī)或 IP 軟電話連接客服人員，另一端通過傳統(tǒng)的 PSTN 電話網(wǎng)絡(luò)連接客戶。實(shí)現(xiàn)員工電話錄音的集中管理，并對(duì)外開口以供第三方系統(tǒng)調(diào)用。員工在撥打客戶電話時(shí)，員工側(cè)采用 IP 電話（軟電話）來撥打，不占用電話線路，節(jié)省線路資費(fèi)用。此外，兩端呼電話與系統(tǒng)自動(dòng)掛接，實(shí)現(xiàn)了對(duì)話語音的自動(dòng)上傳與實(shí)時(shí)質(zhì)檢分析，設(shè)計(jì)架構(gòu)如圖 2 所示。

圖 2 兩端呼電話架構(gòu)

兩端呼電話采用云端部署，通過 TLS 對(duì)信令加密和 SRTP 對(duì)語音數(shù)據(jù)加密實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩?，同時(shí)底層構(gòu)建管務(wù)器、錄音服務(wù)器、知識(shí)庫(kù)服務(wù)器、語音網(wǎng)關(guān)等底層服務(wù)單元。基于兩端呼 IP 電話，可以實(shí)現(xiàn)錄音的文件的實(shí)時(shí)獲取，圖 2 ：兩端呼電話架構(gòu)

兩端呼電話采用云端部署，通過 TLS 對(duì)信

令加密和 SRTP 對(duì)語音數(shù)據(jù)加密實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌?/p>

全性，同時(shí)底層構(gòu)建管理服務(wù)器、錄音服務(wù)器、知

識(shí)庫(kù)服務(wù)器、語音網(wǎng)關(guān)等底層服務(wù)單元?；趦啥?/p>

呼 IP 電話，可以實(shí)現(xiàn)錄音的文件的實(shí)時(shí)獲取，系

統(tǒng)可在電話過程中實(shí)現(xiàn)實(shí)時(shí)話術(shù)提醒與實(shí)時(shí)語音質(zhì)

檢，營(yíng)銷平臺(tái)與電話系統(tǒng)通過 restful 接口進(jìn)行對(duì)接，

實(shí)現(xiàn)一鍵撥打，錄音收聽，智能質(zhì)檢等功能。

2.2.5 基于延遲隊(duì)列的自定義監(jiān)聽方案

延遲隊(duì)列就是進(jìn)入該隊(duì)列的消息會(huì)被延遲消

費(fèi)的隊(duì)列。而一般的隊(duì)列，消息一旦入隊(duì)了之后

就會(huì)被消費(fèi)者馬上消費(fèi)。生產(chǎn)者把消息發(fā)送到消

息隊(duì)列中以后，并不期望被立即消費(fèi)，而是等待

指定時(shí)間后才可以被消費(fèi)者消費(fèi)，這類消息通常

被稱為延遲消息。一般通過最大生存時(shí)間（TimeTo-Live）和死信交換機(jī)（Dead Letter Exchanges）

兩個(gè)特性模擬出延遲消息的功能。消息超過最大

生存時(shí)間沒有被消費(fèi)就成為一條死信，便會(huì)被重

新投遞到死信交換機(jī)，然后死信交換機(jī)根據(jù)綁定

88

交易技術(shù)前沿

規(guī)則轉(zhuǎn)發(fā)到對(duì)應(yīng)的死信隊(duì)列上，監(jiān)聽該隊(duì)列就可

以讓消息被重新消費(fèi)。

本平臺(tái)實(shí)現(xiàn)可自定義的延遲管理單元，采用

基于 RabbitMQ 的 delayed message exchange 插件

實(shí)現(xiàn)任意時(shí)長(zhǎng)的毫秒級(jí)監(jiān)聽，該插件支持延遲投

遞機(jī)制的 Exchange 類型，在接收到該類型的消

息后不會(huì)立即將消息投遞至目標(biāo)隊(duì)列中，而是存

儲(chǔ)在 mnesia 表中，檢測(cè)消息達(dá)到可投遞時(shí)間時(shí)

再投遞到目標(biāo)隊(duì)列，基于該插件的二次開發(fā)和封

裝，本平臺(tái)實(shí)現(xiàn)了監(jiān)聽管理、延遲啟停、延遲配

置管理、延遲隊(duì)列管理等一系列標(biāo)準(zhǔn)化功能，實(shí)

現(xiàn)用戶監(jiān)聽的千人千面，即可根據(jù)用戶進(jìn)度信息、

客戶個(gè)人信息等構(gòu)建任務(wù)生成模型，使不同客戶

的狀態(tài)監(jiān)聽時(shí)長(zhǎng)自定義，例如某些直播渠道因?yàn)?/p>

營(yíng)銷實(shí)時(shí)性高，延遲定義為較小。

3、智能化建設(shè)成效

3.1 實(shí)現(xiàn)精準(zhǔn)且專業(yè)的營(yíng)銷

平臺(tái)采用預(yù)測(cè)技術(shù)對(duì)客戶綜合信息進(jìn)行快速

評(píng)估，幫助員工在海量客戶中過濾高潛力客戶，

提升工作效率，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的精準(zhǔn)營(yíng)銷。本文提

出的平臺(tái)有效提升了服務(wù)流程的標(biāo)準(zhǔn)化與營(yíng)銷團(tuán)

隊(duì)的專業(yè)化程度。此外，基于智能外呼、人工外

呼及短信的營(yíng)銷方式能夠全方位觸達(dá)客戶，營(yíng)銷

與服務(wù)結(jié)合的模式能夠以為客戶解決問題為出發(fā)

點(diǎn)附帶營(yíng)銷，提升客戶服務(wù)體驗(yàn)的同時(shí)兼顧業(yè)績(jī)

提升。

3.2 提高營(yíng)銷服務(wù)的規(guī)范性

平臺(tái)實(shí)現(xiàn)了基于 IP 電話的智能合規(guī)質(zhì)檢功

能，員工可以通過平臺(tái)一鍵撥打電話，語音數(shù)據(jù)

及撥打記錄會(huì)實(shí)時(shí)存儲(chǔ)在后端云盤。平臺(tái)通過搭

建完整的合規(guī)風(fēng)險(xiǎn)分析模型，建立員工合規(guī)風(fēng)險(xiǎn)

畫像，并通過對(duì)營(yíng)銷服務(wù)過程的實(shí)時(shí)合規(guī)監(jiān)控實(shí)

現(xiàn)對(duì)員工的潛在合規(guī)風(fēng)險(xiǎn)預(yù)警，有效提高員工的

合規(guī)意識(shí)，保證營(yíng)銷服務(wù)的規(guī)范性。

3.3 降本增效與業(yè)績(jī)提升

智慧營(yíng)銷服務(wù)平臺(tái)創(chuàng)新性地引用了多種智能

化組件，將傳統(tǒng)電話營(yíng)銷系統(tǒng)進(jìn)行數(shù)字化改造，

實(shí)現(xiàn)智能客戶行為跟蹤、客戶行為預(yù)測(cè)、客戶畫

像分析等一系列創(chuàng)新性應(yīng)用，平臺(tái)應(yīng)用后效果明

顯，依據(jù)智能預(yù)測(cè)開展的營(yíng)銷可有效降低對(duì)于客

戶的打擾，同時(shí)減少了外呼人員的人力資源成本。

根據(jù)客戶意圖預(yù)測(cè)模型進(jìn)行的精細(xì)化營(yíng)銷實(shí)現(xiàn)了

客戶開戶率的穩(wěn)步提升。上線以來，平臺(tái)運(yùn)行良

好，實(shí)現(xiàn)了服務(wù)體驗(yàn)、合規(guī)管控與業(yè)務(wù)轉(zhuǎn)化的齊

頭并進(jìn)與良性發(fā)展，客戶滿意度穩(wěn)步提升。

4、總結(jié)

中信建投證券以智能化為引領(lǐng)，在推進(jìn)智慧

營(yíng)銷平臺(tái)建設(shè)上持續(xù)深入，努力打造貫穿用戶全

周期的數(shù)字化智能營(yíng)銷服務(wù)，通過數(shù)據(jù)驅(qū)動(dòng)，智

能地為客戶匹配適宜的服務(wù)和產(chǎn)品，實(shí)現(xiàn)高效、

合規(guī)、精細(xì)的服務(wù)。以數(shù)據(jù)為核心構(gòu)建的智能化

體系將成為支撐未來券商發(fā)展的關(guān)鍵，智慧化建

設(shè)在金融行業(yè)具備廣闊前景，將對(duì)未來證券業(yè)態(tài)

發(fā)展產(chǎn)生深遠(yuǎn)影響，著力布局智能應(yīng)用將成為券

商的必由之路。隨著區(qū)塊鏈技術(shù)的快速發(fā)展，營(yíng)

銷平臺(tái)未來可以在營(yíng)銷結(jié)算、利益分配等方面發(fā)

力，利用區(qū)塊鏈技術(shù)去中心化、公正性和透明性、

防偽、防篡改、準(zhǔn)匿名性、交易可追溯等特點(diǎn)，

可更好地在實(shí)現(xiàn)合規(guī)的前提下提高營(yíng)銷分配效率

與完善獎(jiǎng)懲機(jī)制。隨著人工智能算法的不斷進(jìn)步，

深度強(qiáng)化學(xué)習(xí)、自動(dòng)化機(jī)器學(xué)習(xí)以及大模型為代

表的新興模型在解決問題的多樣性、結(jié)構(gòu)復(fù)雜度、

訓(xùn)練數(shù)據(jù)規(guī)模等方面有了顯著提高，為此營(yíng)銷平

臺(tái)要不斷緊跟新技術(shù)、探索新方法、實(shí)現(xiàn)新突破。

百舸爭(zhēng)流千帆競(jìng)，乘風(fēng)破浪正遠(yuǎn)航，未來中信建

投證券將繼續(xù)以時(shí)不我待、只爭(zhēng)朝夕的精神，保

持對(duì)智能化建設(shè)的敏感度 , 發(fā)揮自身資源優(yōu)勢(shì) ,

不斷增強(qiáng)客戶服務(wù)水平，以向客戶提供優(yōu)質(zhì)高效

服務(wù)為目標(biāo)而不斷努力！

89

探索與應(yīng)用

參考文獻(xiàn) :

[1] 于建彬 , 邱軻 . 智能化轉(zhuǎn)型背景下提升現(xiàn)金服務(wù)的路徑選擇 [J]. 金融發(fā)展研究 ,2020(8):4.

[2] 李婕 . 商業(yè)銀行網(wǎng)點(diǎn)智能化建設(shè)研究 [J]. 現(xiàn)代經(jīng)濟(jì)信息 ,2018(21):267.

[3] 王琛 . 國(guó)內(nèi)證券公司客戶服務(wù)變化趨勢(shì) [J]. 經(jīng)貿(mào)實(shí)踐 ,2017(03):67-69.

[4] 苗英哲 . 互聯(lián)網(wǎng)金融背景下券商網(wǎng)絡(luò)營(yíng)銷對(duì)策 [J]. 山西農(nóng)經(jīng) , 2019(23):2.

[5] 劉艷麗 , 劉心義 , 林黎欽 . 基于適當(dāng)性管理的用戶畫像助力智慧營(yíng)銷研究 [C]. 創(chuàng)新與發(fā)展 : 中

國(guó)證券業(yè) 2017 年論文集 .2018.

[6] 劉新霞 , 廖信超 . 全渠道智能營(yíng)銷平臺(tái)建設(shè)探索 [J]. 金融科技時(shí)代 ,2022,30(3):5.

[7] 張巍 , 唐琴 . 人工智能客服軟件企業(yè)營(yíng)銷渠道管理探析 [J]. 現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化 ,2021,

11(9):3.

[8] 蘇萌 . 隱私計(jì)算在智能營(yíng)銷中的應(yīng)用 [J]. 金融電子化 ,2022(1):3.

[9] 侯曉 . 銀行 \" 零接觸 \" 營(yíng)銷服務(wù)體系建設(shè) [J]. 中國(guó)金融 ,2021.

90

交易技術(shù)前沿

季曉娟、王中澎、李煒、趙冬昊、王漢杰、李蓉 / 上證所信息網(wǎng)絡(luò)有限公司 上海 200120

E-mail ：xjji@sse.com.cn

證券行業(yè)網(wǎng)站智能數(shù)據(jù)搜索服務(wù)的

研究與實(shí)踐

1、概述

近年來，我所加快推進(jìn)數(shù)字化建設(shè)，積極推

動(dòng)業(yè)務(wù)、技術(shù)、數(shù)據(jù)的深度融合。為切實(shí)服務(wù)市

場(chǎng)主體，集中精力提升服務(wù)體驗(yàn)，我所完成了網(wǎng)

站智能數(shù)據(jù)搜索服務(wù)的研究與系統(tǒng)建設(shè)，將人工

智能和搜索引擎技術(shù)相結(jié)合，為網(wǎng)站用戶獲取披

露數(shù)據(jù)提供更加便捷、有效、易讀的服務(wù)體驗(yàn)。

2、系統(tǒng)建設(shè)效果

網(wǎng)站智能數(shù)據(jù)搜索服務(wù)體驗(yàn)版于 2020 年底

上線并對(duì)市場(chǎng)提供試點(diǎn)服務(wù)，日均調(diào)用量超過

一萬次，陸續(xù)收到市場(chǎng)良好反饋。根據(jù)我所“我

為群眾辦實(shí)事”實(shí)踐活動(dòng)中“持續(xù)聽取廣大群眾

和市場(chǎng)各方的合理訴求，扎扎實(shí)實(shí)辦好大家關(guān)注、

關(guān)心、關(guān)切的實(shí)事”的相關(guān)指示精神，我所常態(tài)

化開展網(wǎng)站用戶調(diào)研和搜索服務(wù)用戶意見征集等

活動(dòng)，并以此為基礎(chǔ)，積極改進(jìn)搜索服務(wù)體驗(yàn)。

從反饋情況看，用戶對(duì)數(shù)據(jù)獲取的效率與閱讀體

驗(yàn)提升的需求較為迫切。因此，我所開展了網(wǎng)站

智能數(shù)據(jù)搜索服務(wù)的算法自研、數(shù)據(jù)擴(kuò)展、語義

模型訓(xùn)練、功能迭代、數(shù)據(jù)驗(yàn)證，將數(shù)據(jù)搜索服

務(wù)由官網(wǎng)試點(diǎn)轉(zhuǎn)為網(wǎng)站群全面服務(wù)。以下進(jìn)行具

為加快推進(jìn)數(shù)字化建設(shè)，打造數(shù)字智能型交易所，上交所積極研究探索技術(shù)創(chuàng)新，

強(qiáng)化搜索對(duì)網(wǎng)站服務(wù)的賦能。本文主要介紹了上海證券交易所網(wǎng)站智能數(shù)據(jù)搜索服務(wù)的建

設(shè)歷程，重點(diǎn)講述了建設(shè)目標(biāo)、成果及未來方向等內(nèi)容。希望可以給致力于科技賦能的讀

者以啟發(fā)，共同探索以科技創(chuàng)新增強(qiáng)用戶獲得感之路。

!\"#$%&'()*+,-./

01234

季曉娟、王中澎、李煒、趙冬昊、王漢杰、李蓉

上證所信息網(wǎng)絡(luò)有限公司 上海 200120

E-mail ：xjji@sse.com.cn

摘 要：為加快推進(jìn)數(shù)字化建設(shè)，打造數(shù)字智能型交易所，上交所積極研究探索技術(shù)創(chuàng)新，強(qiáng)化搜索對(duì)網(wǎng)

站服務(wù)的賦能。本文主要介紹了上海證券交易所網(wǎng)站智能數(shù)據(jù)搜索服務(wù)的建設(shè)歷程，重點(diǎn)講述了建設(shè)目標(biāo)、

成果及未來方向等內(nèi)容。希望可以給致力于科技賦能的讀者以啟發(fā)，共同探索以科技創(chuàng)新增強(qiáng)用戶獲得感

之路。

關(guān)鍵詞：人工智能；搜索；網(wǎng)站數(shù)據(jù)；5

1 67

近年來，我所加快推進(jìn)數(shù)字化建設(shè)，積極推動(dòng)業(yè)務(wù)、技術(shù)、數(shù)據(jù)的深度融合。為切實(shí)服務(wù)市場(chǎng)主體，

集中精力提升服務(wù)體驗(yàn)，我所完成了網(wǎng)站智能數(shù)據(jù)搜索服務(wù)的研究與系統(tǒng)建設(shè)，將人工智能和搜索引擎技

術(shù)相結(jié)合，為網(wǎng)站用戶獲取披露數(shù)據(jù)提供更加便捷、有效、易讀的服務(wù)體驗(yàn)。

2 89:;<=

網(wǎng)站智能數(shù)據(jù)搜索服務(wù)體驗(yàn)版于 2020 年底上線并對(duì)市場(chǎng)提供試點(diǎn)服務(wù)，日均調(diào)用量超過一萬次，陸續(xù)

收到市場(chǎng)良好反饋。根據(jù)我所“我為群眾辦實(shí)事”實(shí)踐活動(dòng)中“持續(xù)聽取廣大群眾和市場(chǎng)各方的合理訴求，

扎扎實(shí)實(shí)辦好大家關(guān)注、關(guān)心、關(guān)切的實(shí)事”的相關(guān)指示精神，我所常態(tài)化開展網(wǎng)站用戶調(diào)研和搜索服務(wù)

用戶意見征集等活動(dòng)，并以此為基礎(chǔ)，積極改進(jìn)搜索服務(wù)體驗(yàn)。從反饋情況看，用戶對(duì)數(shù)據(jù)獲取的效率與

閱讀體驗(yàn)提升的需求較為迫切。因此，我所開展了網(wǎng)站智能數(shù)據(jù)搜索服務(wù)的算法自研、數(shù)據(jù)擴(kuò)展、語義模

型訓(xùn)練、功能迭代、數(shù)據(jù)驗(yàn)證，將數(shù)據(jù)搜索服務(wù)由官網(wǎng)試點(diǎn)轉(zhuǎn)為網(wǎng)站群全面服務(wù)。以下進(jìn)行具體建設(shè)效果

介紹。

91

探索與應(yīng)用

體建設(shè)效果介紹。

2.1 實(shí)現(xiàn)搜索意圖的“智能處理”。

實(shí)現(xiàn)了將人類口語化語言轉(zhuǎn)換為機(jī)器能識(shí)別

的“數(shù)據(jù)語言”，進(jìn)而從海量數(shù)據(jù)中搜索答案并

精準(zhǔn)高效地反饋結(jié)果。支持更口語化的表述作為

系統(tǒng)輸入，支持多實(shí)體組合及數(shù)據(jù)指標(biāo)的處理，

有效橋接用戶需求和網(wǎng)站數(shù)據(jù)間的語義鴻溝，提

升了用戶獲取披露數(shù)據(jù)的便捷性。

2.2 實(shí)現(xiàn)數(shù)據(jù)內(nèi)容的“一鍵直達(dá)”。

擴(kuò)展數(shù)據(jù)范圍至網(wǎng)站群，擴(kuò)展后的數(shù)據(jù)范圍

涵蓋股票、債券、基金等多產(chǎn)品，貫穿注冊(cè)審核、

發(fā)行承銷、上市交易等階段，解決了站點(diǎn)欄目分

散不易查找的問題，提升了用戶獲取披露數(shù)據(jù)的

有效性。

2.3 實(shí)現(xiàn)搜索結(jié)果的“友好交互”。

統(tǒng)一搜索入口，根據(jù)用戶搜索意圖聚合展示

數(shù)據(jù)、公告、規(guī)則等相關(guān)結(jié)果，并新增五大類搜

索頻道，支持細(xì)分用戶搜索場(chǎng)景，提升了用戶獲

取披露數(shù)據(jù)的易讀性。

3、技術(shù)突破點(diǎn)

3.1 整體架構(gòu)

網(wǎng)站智能數(shù)據(jù)搜索服務(wù)的整體架構(gòu)圖如圖 1

所示，主要包括數(shù)據(jù)源層、數(shù)據(jù)采集層、數(shù)據(jù)存

儲(chǔ)層、邏輯處理層、應(yīng)用層。

（一）數(shù)據(jù)源層 ：搜索的數(shù)據(jù)源來自于上交

所官網(wǎng)、子網(wǎng)站、應(yīng)用及部分行業(yè)知識(shí)。

（二）數(shù)據(jù)采集層：采集的過程通過解析文件、

數(shù)據(jù)庫(kù)，并通過 REST API 還有消息隊(duì)列交互。

（三）數(shù)據(jù)存儲(chǔ)層 ：數(shù)據(jù)被采集加工后被重

新組織并存儲(chǔ)，被存儲(chǔ)為文件、ES 中的索引信息、

還有經(jīng)過邏輯清洗的結(jié)構(gòu)化數(shù)據(jù)。

（四）邏輯處理層 ：在處理搜索 QUERY

請(qǐng)求時(shí)，運(yùn)用了自然語言處理技術(shù)，分詞、同

義詞、改寫實(shí)體識(shí)別等技術(shù)將輸入 QUERY 構(gòu)

建為多層（layer）語義信息。通過關(guān)鍵字段如

證券代碼將結(jié)構(gòu)化數(shù)據(jù)建立關(guān)系，通過 NLP

模型判斷權(quán)重，映射為可能性最高的 SQL 語句

圖 1 整體架構(gòu)圖

3.2 QR2Z([\\

本項(xiàng)目基于證券行業(yè)先驗(yàn)知識(shí)和預(yù)訓(xùn)練模型構(gòu)建了混合架構(gòu)語義解析引擎技術(shù)先進(jìn)性及階段性成果圖 1 ：整體架構(gòu)圖

92

交易技術(shù)前沿

去做查詢。

（五）應(yīng)用層 ：頂層在應(yīng)用層構(gòu)建，輸出語

義理解能力。

3.2 技術(shù)與功能創(chuàng)新

本項(xiàng)目基于證券行業(yè)先驗(yàn)知識(shí)和預(yù)訓(xùn)練模型

構(gòu)建了混合架構(gòu)語義解析引擎。技術(shù)先進(jìn)性及階

段性成果主要如下 ：

一是基于數(shù)據(jù)關(guān)系的自動(dòng)發(fā)現(xiàn)方法，將數(shù)據(jù)

知識(shí)化，構(gòu)建數(shù)據(jù)實(shí)體間的關(guān)聯(lián)關(guān)系，為智能分

析提供決策依據(jù)。

二是基于行業(yè)先驗(yàn)知識(shí)，構(gòu)建實(shí)體及意圖識(shí)

別模型，避免過度泛化，提升了實(shí)體及意圖識(shí)別

模型的準(zhǔn)確率，模型訓(xùn)練過程中使用的訓(xùn)練語料

達(dá) 300 萬條。

三是優(yōu)化推理模型網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)高效在

線實(shí)時(shí)運(yùn)算。采用粗排、精排、網(wǎng)絡(luò)結(jié)構(gòu)剪枝、

GPU 和 CPU 混合計(jì)算、半浮點(diǎn)數(shù)運(yùn)算等方法，

突破了在線實(shí)時(shí)交互查詢的運(yùn)算瓶頸，在準(zhǔn)確率

得到保障的情況下，計(jì)算效率提升了 6 倍。

4、未來挑戰(zhàn)

網(wǎng)站智能數(shù)據(jù)搜索服務(wù)是基于人工智能技

術(shù)、搜索引擎技術(shù)與我所數(shù)據(jù)信息的綜合應(yīng)用。

技術(shù)方面，涉及搜索引擎技術(shù)、人工智能技術(shù)等

多種技術(shù)的研究發(fā)展。信息來源方面，接入數(shù)據(jù)

的質(zhì)量、用戶行為數(shù)據(jù)粒度對(duì)結(jié)果產(chǎn)生直接影響。

應(yīng)用方面，市場(chǎng)對(duì)個(gè)性化與多元化搜索體驗(yàn)的要

求不斷提高。因此，作為數(shù)字化時(shí)代的基礎(chǔ)設(shè)施

應(yīng)用，需持續(xù)進(jìn)行技術(shù)迭代、行業(yè)反饋、服務(wù)運(yùn)

營(yíng)的積累與更新。

5、總結(jié)展望

我所已初步完成網(wǎng)站智能數(shù)據(jù)搜索服務(wù)的建

設(shè)，該服務(wù)提升了用戶獲取數(shù)據(jù)服務(wù)的效率與體

驗(yàn)，基于搜索服務(wù)實(shí)踐經(jīng)驗(yàn)，我所將積極推進(jìn)落

實(shí)上交所網(wǎng)站搜索引擎建設(shè)，強(qiáng)化多源多態(tài)信息

的融合搜索，持續(xù)提升數(shù)字化基礎(chǔ)設(shè)施的服務(wù)能

力，強(qiáng)化數(shù)字科技對(duì)資本市場(chǎng)的有效支撐。

93

探索與應(yīng)用

張濤、盧雅哲、徐廣斌、謝毅 / 上海證券交易所 信息科技部 上海 200120

E-mail ：yzlu@sse.com.cn

關(guān)于ION GROUP遭遇勒索病毒

攻擊事件的分析思考報(bào)告

1、事件整體綜述

ION Group 是一家軟件公司，其產(chǎn)品被金

融機(jī)構(gòu)、銀行和公司廣泛用于交易、投資管理

和市場(chǎng)分析。1 月 31 日早間，ION Group 的服

務(wù)器遭遇嚴(yán)重網(wǎng)絡(luò)攻擊，整個(gè)通信網(wǎng)絡(luò)癱瘓數(shù)

小時(shí)，導(dǎo)致期貨交易匹配和保證金計(jì)算業(yè)務(wù)無

法正常運(yùn)行。該事件影響了其位于歐洲和美國(guó)

的 42 個(gè)客戶，其中包括荷蘭銀行清算所（ABN

Amro Clearing）和意大利聯(lián)合圣保羅銀行（Intesa

Sanpaolo）。該事件迫使多家銀行和經(jīng)紀(jì)人手動(dòng)處

理交易，美國(guó)商品期貨交易委員會(huì)（CFTC）宣

布推遲三周發(fā)布其交易商承諾報(bào)告，泛歐證券交

易所（Euronext N.V.）宣布推遲發(fā)布大宗商品衍

生品持倉(cāng)周報(bào)。

黑客組織 Lockbit 于 2 月 2 日將 ION Group

添加到其數(shù)據(jù)泄露網(wǎng)站的受害者名單中，聲稱在

入侵期間竊取了數(shù)據(jù)，并威脅 2 月 4 日前不繳納

贖金，將公布這些數(shù)據(jù)，對(duì) ION Gruop 進(jìn)行文件

加密和數(shù)據(jù)披露的“雙重勒索”。文件加密導(dǎo)致

受害方無法訪問和獲取系統(tǒng)中文件和數(shù)據(jù)，系統(tǒng)

崩潰，但此類攻擊受害方可通過備份數(shù)據(jù)進(jìn)行恢

復(fù) ；數(shù)據(jù)披露，即攻擊方以公開其敏感數(shù)據(jù)要挾

受害方繳納贖金。2月4日ION Group支付了贖金，

1 月 31 日，國(guó)際金融行業(yè)關(guān)鍵軟件提供商英國(guó) ION Group 遭遇勒索病毒攻擊，攻

擊使得衍生品系統(tǒng)無法完成保證金計(jì)算、主要市場(chǎng)頭寸監(jiān)管報(bào)送等。美國(guó)財(cái)政部、商品期

貨交易委員會(huì)、歐洲央行等紛紛就此事件發(fā)聲。據(jù) 2 月 9 日?qǐng)?bào)道，大部分受影響的業(yè)務(wù)

已恢復(fù)運(yùn)行。事件發(fā)生后，上交所密切關(guān)注進(jìn)展，持續(xù)跟蹤境內(nèi)外媒體報(bào)道，對(duì)事件進(jìn)行

思考分析，并對(duì)行業(yè)防范供應(yīng)鏈網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)提出啟示與建議。

94

交易技術(shù)前沿

LockBit將其移出受害者名單，并對(duì)系統(tǒng)進(jìn)行恢復(fù)，

2 月 7 日 ION Markets 系統(tǒng)基本恢復(fù)運(yùn)行。

2、事件影響

衍生品投資的結(jié)算具有時(shí)間敏感性，多家

機(jī)構(gòu)在 2 月 1 日表示此次攻擊對(duì)其業(yè)務(wù)造成了嚴(yán)

重影響。倫敦洲際交易所（ICE）宣布，已將維

持頭寸的截止時(shí)間從上午 10 點(diǎn)延長(zhǎng)至中午，并

警告，延期將導(dǎo)致未平倉(cāng)合約延遲公布，受攻擊

影響期間可能錯(cuò)誤陳述未平倉(cāng)合約。商品期貨交

易委員會(huì)（CFTC） 表示，ION 的中斷正在影響其

一些成員向其提供及時(shí)和準(zhǔn)確數(shù)據(jù)的能力。多家

交易所運(yùn)營(yíng)商表示，攻擊可能會(huì)影響當(dāng)天按時(shí)發(fā)

布交易所報(bào)告。荷蘭銀行（ABN Amro Bank NV）

的美國(guó)清算部門表示，中斷將延遲其隔夜處理，

并將在 2 月 1 日繼續(xù)手動(dòng)操作。美國(guó)期貨業(yè)協(xié)會(huì)

（FIA）正在評(píng)估該事件對(duì) ION Group 造成的破壞

后果，并在聲明中表示，此次攻擊影響了 ION 客

戶在全球交易所衍生品的交易和清算。英國(guó)金融

行為監(jiān)管局（FCA）正在與同行合作，幫助受影

響的金融服務(wù)公司。

3、攻擊過程分析

據(jù)分析，在過往攻擊中，黑客組織 Lockbit

攻擊過程大致可分為初始入侵、深入滲透和目標(biāo)

達(dá)成三個(gè)階段。

初始入侵階段，Lockbit 主要采用三種策略

獲取訪問權(quán)限。一是單刀直入，非法購(gòu)買或暴力

破解遠(yuǎn)程登錄賬戶。二是迂回包抄，采用社會(huì)工

程學(xué)策略，向目標(biāo)用戶發(fā)送帶有惡意附件的“釣

魚”電子郵件。三是大刀闊斧，借助大規(guī)模漏洞

掃描定位潛在目標(biāo)，利用應(yīng)用程序漏洞獲取初始

感染機(jī)會(huì)。

深入滲透階段，Lockbit 進(jìn)一步提升權(quán)限，

擴(kuò)大感染面，探測(cè)內(nèi)部網(wǎng)絡(luò)敏感數(shù)據(jù)。一是通

過滲透工具或誘餌文件得以加載執(zhí)行。二是為

進(jìn)一步擴(kuò)大感染面，通過各種權(quán)限提升工具來

擴(kuò)展對(duì)系統(tǒng)的訪問權(quán)限，一旦進(jìn)入域控制器，

即可通過 SMB（一種通信協(xié)議）連接傳播到其

他系統(tǒng)，或在網(wǎng)絡(luò)中橫向擴(kuò)展。三是躲避受害

者系統(tǒng)安全防護(hù)產(chǎn)品檢測(cè)，利用進(jìn)程管理工具

禁用安全軟件，或直接利用域管理員權(quán)限關(guān)閉

系統(tǒng)防護(hù)，再者偽裝成常見的 PNG 圖像格式來

隱藏可執(zhí)行文件。

目標(biāo)達(dá)成階段，Lockbit 在感染多臺(tái)主機(jī)后

實(shí)施數(shù)據(jù)加密和滲出。加密環(huán)節(jié) , 收集各類系統(tǒng)

信息，在不影響正常運(yùn)行下，開始加密其可以訪

問的本地和遠(yuǎn)程設(shè)備上的所有數(shù)據(jù)。滲出環(huán)節(jié)，

通過云存儲(chǔ)工具上傳所竊取的文件 ；使用竊密木

馬，盜取用戶數(shù)據(jù)文件以對(duì)受害者進(jìn)行數(shù)據(jù)披露

勒索。

完成攻擊后，lockbit 會(huì)在其網(wǎng)站公布受害者

信息，并以郵件等方式向受害者進(jìn)行勒索，贖金

要求以比特幣和門邏幣等區(qū)塊鏈貨幣支付。

4、思考與啟示

網(wǎng)絡(luò)和信息安全工作事關(guān)國(guó)家安全、政權(quán)安

全和經(jīng)濟(jì)發(fā)展。此次 ION Group 遭遇勒索病毒攻

擊對(duì)全球衍生品交易產(chǎn)生了極大的負(fù)面影響。據(jù)

知名網(wǎng)絡(luò)安全廠商 Imperva 研究，全球網(wǎng)絡(luò)攻擊

事件中，針對(duì)金融機(jī)構(gòu)的攻擊占比高達(dá) 28%，采

取供應(yīng)鏈或“跳島”的方式進(jìn)行攻擊，越來越普遍。

根據(jù)此次事件分析結(jié)果，結(jié)合我國(guó)證券期貨行業(yè)

的實(shí)際情況 , 從防范供應(yīng)鏈安全風(fēng)險(xiǎn)角度，提出

幾點(diǎn)啟示。

一是警惕供應(yīng)鏈上下游的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。隨

著金融交易向更快、更自動(dòng)化發(fā)展，ION 這樣的

軟件公司逐漸蓬勃壯大，已成為現(xiàn)代金融市場(chǎng)管

道中越來越重要的部分。對(duì) ION 的攻擊，體現(xiàn)出

金融系統(tǒng)的相互關(guān)聯(lián)性和對(duì)軟件的強(qiáng)烈依賴性。

建議證券期貨行業(yè)重點(diǎn)單位梳理重要系統(tǒng)供應(yīng)鏈

95

探索與應(yīng)用

96

上下游廠商，對(duì)其基礎(chǔ)設(shè)施、工具、開源組件、

源代碼和配置開展評(píng)估，定位和降低漏洞風(fēng)險(xiǎn)。

二是加強(qiáng)證券期貨行業(yè)的攻擊面風(fēng)險(xiǎn)管理。

攻擊面指任何可能受到攻擊的載體，包括與互聯(lián)

網(wǎng)連接的系統(tǒng)、供應(yīng)商鏈、移動(dòng)設(shè)備、物聯(lián)網(wǎng)和

員工。證券期貨行業(yè)可聯(lián)合加強(qiáng)攻擊面風(fēng)險(xiǎn)管理，

對(duì)行業(yè)依賴度較高的供應(yīng)商和服務(wù)商進(jìn)行常態(tài)化

監(jiān)測(cè)。

三是針對(duì)類似攻擊事件開展應(yīng)急演練和沙盤

推演。金融領(lǐng)域的網(wǎng)絡(luò)攻擊不再僅僅是針對(duì)金融

企業(yè)本身，而是轉(zhuǎn)向攻擊其數(shù)字化轉(zhuǎn)型的關(guān)鍵供

應(yīng)商。證券期貨行業(yè)可聯(lián)合開展此類情況的應(yīng)急

演練，并針對(duì)供應(yīng)鏈上下游廠商遭受攻擊的各類

極端情況，開展沙盤推演。

信息資訊采擷 I nformation

監(jiān)管科技全球追蹤

信息資訊采擷

12 月 22 日，國(guó)際清算銀行發(fā)布報(bào)告《可持

續(xù)金融中的信息治理》 （以下簡(jiǎn)稱報(bào)告）。

12 月 27 日，中國(guó)銀保監(jiān)會(huì)發(fā)布《外國(guó)銀行

分行綜合監(jiān)管評(píng)級(jí)辦法（試行）》（以下簡(jiǎn)稱《辦

法》），目的在于進(jìn)一步完善外國(guó)銀行分行監(jiān)管評(píng)

級(jí)體系，合理配置監(jiān)管資源，加強(qiáng)分類監(jiān)管，促

進(jìn)外國(guó)銀行分行穩(wěn)健運(yùn)營(yíng)。

1 月 4 日，英國(guó)首相表示，英國(guó)已通過 260

億英鎊有效保護(hù)了收入較低的人群，并穩(wěn)定了國(guó)

內(nèi)經(jīng)濟(jì)與抵押貸款利率。

1 月 4 日，2023 年人民銀行工作會(huì)議以視頻

形式召開。會(huì)議深入學(xué)習(xí)貫徹黨的二十大和中央

經(jīng)濟(jì)工作會(huì)議精神，總結(jié) 2022 年和五年來主要

工作，分析當(dāng)前形勢(shì)，部署 2023 年工作。

1 月 4 日，日本金融科技公司 SmartPay 在日

本、沙特阿拉伯及阿聯(lián)酋推出了新的數(shù)字客戶金

融服務(wù) SmartPay Bank Direct。

1 月 8-9 日，國(guó)際清算銀行在瑞士巴塞爾召

開行長(zhǎng)例會(huì)，中國(guó)人民銀行行長(zhǎng)易綱出席了新興

經(jīng)濟(jì)體行長(zhǎng)會(huì)、經(jīng)濟(jì)顧問委員會(huì)會(huì)議、全球經(jīng)濟(jì)

形勢(shì)會(huì)等會(huì)議，與會(huì)央行行長(zhǎng)們就全球經(jīng)濟(jì)金融

形勢(shì)、新興經(jīng)濟(jì)體如何面對(duì)全球沖擊以及匯率調(diào)

整的挑戰(zhàn)等問題進(jìn)行了交流。

1 月 11 日，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心發(fā)文建

議機(jī)構(gòu)通過托管服務(wù)提供商管理運(yùn)維云服務(wù)。

1 月 11 日，丹麥央行及 7 家商業(yè)銀行遭

受了分布式拒絕服務(wù)攻擊（Distributed denial of

service attack，DDoS）。

1 月 12 日，歐洲銀行管理局、歐洲保險(xiǎn)與職

業(yè)養(yǎng)老金管理局和歐洲證券和市場(chǎng)管理局聯(lián)合發(fā)

布了一份關(guān)于數(shù)字化國(guó)家金融教育計(jì)劃的聯(lián)合主

題報(bào)告，重點(diǎn)關(guān)注網(wǎng)絡(luò)安全、詐騙和欺詐等問題。

1 月 13 日，證監(jiān)會(huì)、人民銀行聯(lián)合發(fā)布《公

開募集證券投資基金信息披露電子化規(guī)范》金融

行業(yè)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)自公布之日起施行。

2 月 2 日， 亞 馬 遜 云 科 技（Amazon Web

Services，AWS）宣布，全球領(lǐng)先的保險(xiǎn)公司蘇

黎世保險(xiǎn)集團(tuán)選擇 AWS 作為其云服務(wù)提供商，

并遷移其企業(yè) IT 基礎(chǔ)設(shè)施至 AWS。

2 月 4 日，人民銀行易綱行長(zhǎng)前往通州參加

北京城市副中心打造國(guó)家級(jí)綠色交易所啟動(dòng)儀式

并發(fā)表講話。

2 月 8 日，英國(guó)央行（The Bank of England）

監(jiān)管科技全球追蹤

98