【51CTO.com 綜合報道】招商局集團是中央直接管理的國有重要骨干企業，被列為香港四大中資企業之一。集團現有業務涉足金融、碼頭、海運、房地產、物流、交通、工業等，下屬的上市企業20多家，招商局創建的知名企業有：招商銀行、招商證券、招商局國際（HK）、招商地產、招商輪船、深中集、深赤灣、平安保險等。

在多元化的發展中，招商局的信息化建設一直秉承推動集團業務發展的思路，通過前瞻性的信息化建設，降低企業IT運營的成本、優化企業運營的流程、增強企業的業務效益，是招商局信息化建設一直努力的方向。

目前，招商局已建立起成熟的數據中心災備體系，力求不斷降低集團的業務運營風險，打造高效快速的業務體系。2002年，集團規劃了二個中心五個信息站的IT建設思路，以應對相當數量的下屬公司總部身在香港，90%的企業又在內地的情況。香港深圳各建一數據中心，兩地互為災備，這既能保證下屬企業（內地、海外）高效地訪問數據中心，又減少了跨境通信線路帶寬的需求這降低成本，也實現了災難備份。目前，兩地數據中心承擔下屬300多家實體企業的門戶、協調辦公、財務管理、資金管理等應用。

隨著信息化建設的不斷深入，招商局集團的業務信息系統由分布式部署逐步走向集中管理，以前雙運營的數據中心，逐步發展為一個生產、一個備份的機制。問題也隨之而來：

一、數據中心跨境線路面臨的帶寬壓力

招商局深圳香港兩地的數據中心是通過跨境專線互聯的，整個專線承載著集團各類應用系統、高清視頻會議系統、集團IP語音電話系統等。視頻會議系統、語音系統數據包一般不可壓縮，大量的數據包傳輸對有限的專線造成了巨大的壓力，導致數據擁塞，用戶響應速度很慢，尤其是在高峰期間，甚至導致用戶訪問中斷。

廣域網加速解決方案

針對這種情況，是擴充專線，還是進行線路傳輸加速？經過深入分析，招商局最終選擇了廣域網加速解決方案，因為招商局現有的相當數量的業務系統交互頻繁、傳輸協議本身限制了數據傳輸速度，單純提升專線帶寬并沒有顯著效果，并且將大幅增加集團的帶寬成本。 

圖1   招商局廣域網加速設備部署示意圖

通過對國內外廠商深入考察，經過長達半年的測試對比，招商局最終選擇了深信服廣域網加速設備。在實際應用環境下，深信服廣域網加速設備對兩地數據中心的數據傳輸平均提速達2.7倍，這極大地緩解了深港兩地的通信壓力，用戶反映良好。按照國際跨境DDN線路租金來看，這項投資每年可為集團節約通信費50多萬元。這也為招商局未來的網絡建設提供了較好的平臺。

二、數據中心、各地分支互聯網出口帶寬的壓力

招商局曾遇到這樣的問題：重慶分支訪問深圳數據中心郵件系統時，速度非常慢，經過測試，我們發現原因在于重慶分支內網里，很多用戶在進行P2P下載或在線視頻，這擠占了正常的業務帶寬，事實上，深圳、上海、北京等地也存在著這種情況，如何保證數據中心互聯網出口的業務帶寬呢？

上網行為管理解決方案

通過在互聯網出口部署深信服上網行為管理設備，招商局成功降低了數據中心及各地分支帶寬租用的成本。因為深信服上網行為管理設備成功杜絕了內網用戶的P2P行為、在線看電影等行為，確保了有限的帶寬資源全部為業務系統使用，這提升了單位的帶寬利用率。針對關鍵的業務應用、核心業務部門進行帶寬、流量的分配，招商局成功保障了相關業務應用的帶寬，并且做到了根據業務、職位崗位需要，對內網不同層次的用戶進行互聯網訪問權限的控制。

上網行為管理設備也保護了內網關鍵服務器的安全，大大減少了互聯網流入內網的病毒威脅。因為通過在數據中心、各分支機構網絡干路上架設深信服上網行為管理設備，招商局成功將高危網站、相關網絡應用禁掉，減少了集團面臨的外部威脅；通過上網行為管理設備的準入規則，各單位通過設置殺毒軟件、補丁、注冊表等安全元素的上網放行準則，強制內網用戶提升安全等級，從內提升了內網安全體質。

事實上，整個集團的信息安全也得到了加強。上網行為管理設備通過強大的上網日志存儲與審計功能，滿足國家相關法律要求，并且讓招商局信息管理部門掌握網絡架構優化的第一手資料。 

圖2   招商局上網行為管理設備+SSL VPN部署示意圖

三、用戶身份安全認證的壓力

目前，招商局DMZ區的服務器暴露在外網，易受攻擊。領導出差、駐外業務人員訪問服務器上相關文件與業務系統時，現有的網絡架構無法做到接入用戶的強身份認證。且整個內外網用戶的接入無法審計，這對招商局現有的信息資產威脅不小。

SSL VPN遠程接入解決方案

通過考察測試，招商局選用了深信服SSL VPN進行了內網、外網訪問的安全加固。所有訪問數據中心各種應用的人員都必須先通過深信服SSL VPN的身份強認證，用戶配備USB Key，以達到合法的身份認證，這極大地保障了遠程接入訪問業務應用的安全性。

深信服SSL VPN身份認證體系與招商局原有的LDAP服務器中的身份認證資源無縫結合，設備根據合法的身份分配對應的業務應用訪問權限，這樣就做到了不同的人用各自對應的業務系統，并且該SSL VPN的單點登錄功能，避免了接入用戶登錄不同系統時都要輸入一道密碼的麻煩，使操作更簡單易用。

在數據中心建設的道路上，招商局集團通過廣域網加速+上網行為管理+SSL VPN遠程登錄的整合解決方案，成功解決了數據中心數據傳輸面臨的速度、安全問題，也對整個的業務網絡的安全與規范、應用系統使用進行了卓有成效規范管理。并且這一系列的網絡架構優化成功降低了集團的IT運營成本，在新的數據中心網絡連接架構下，招商局多元化的業務運營流程得以簡化，效益也得到了明顯的提升。