招商局集团是中央直接管理的国有重要骨干企业，被列为香港四大中资企业之一。集团现有业务涉足金融、码头、海运、房地产、物流、交通、工业等，下属的上市企业20多家，招商局创建的知名企业有：招商银行、招商证券、招商局国际（HK）、招商地产、招商轮船、深中集、深赤湾、平安保险等。

　　在多元化的发展中，招商局的信息化建设一直秉承推动集团业务发展的思路，通过前瞻性的信息化建设，降低企业IT运营的成本、优化企业运营的流程、增强企业的业务效益，是招商局信息化建设一直努力的方向。

　　目前，招商局已建立起成熟的数据中心灾备体系，力求不断降低集团的业务运营风险，打造高效快速的业务体系。2002年，集团规划了二个中心五个信息站的IT建设思路，以应对相当数量的下属公司总部身在香港，90%的企业又在内地的情况。香港深圳各建一数据中心，两地互为灾备，这既能保证下属企业（内地、海外）高效地访问数据中心，又减少了跨境通信线路带宽的需求这降低成本，也实现了灾难备份。目前，两地数据中心承担下属300多家实体企业的门户、协调办公、财务管理、资金管理等应用。

　　随着信息化建设的不断深入，招商局集团的业务信息系统由分布式部署逐步走向集中管理，以前双运营的数据中心，逐步发展为一个生产、一个备份的机制。问题也随之而来：

　　一、数据中心跨境线路面临的带宽压力

　　招商局深圳香港两地的数据中心是通过跨境专线互联的，整个专线承载着集团各类应用系统、高清视频会议系统、集团IP语音电话系统等。视频会议系统、语音系统数据包一般不可压缩，大量的数据包传输对有限的专线造成了巨大的压力，导致数据拥塞，用户响应速度很慢，尤其是在高峰期间，甚至导致用户访问中断。

　　广域网加速解决方案

　　针对这种情况，是扩充专线，还是进行线路传输加速？经过深入分析，招商局最终选择了广域网加速解决方案，因为招商局现有的相当数量的业务系统交互频繁、传输协议本身限制了数据传输速度，单纯提升专线带宽并没有显著效果，并且将大幅增加集团的带宽成本。

招商局广域网加速设备部署示意图

　　通过对国内外厂商深入考察，经过长达半年的测试对比，招商局最终选择了深信服广域网加速设备。在实际应用环境下，深信服广域网加速设备对两地数据中心的数据传输平均提速达2.7倍，这极大地缓解了深港两地的通信压力，用户反映良好。按照国际跨境DDN线路租金来看，这项投资每年可为集团节约通信费50多万元。这也为招商局未来的网络建设提供了较好的平台。

　　二、数据中心、各地分支互联网出口带宽的压力

　　招商局曾遇到这样的问题：重庆分支访问深圳数据中心邮件系统时，速度非常慢，经过测试，我们发现原因在于重庆分支内网里，很多用户在进行P2P下载或在线视频，这挤占了正常的业务带宽，事实上，深圳、上海、北京等地也存在着这种情况，如何保证数据中心互联网出口的业务带宽呢？

　　上网行为管理解决方案

　　通过在互联网出口部署深信服上网行为管理设备，招商局成功降低了数据中心及各地分支带宽租用的成本。因为深信服上网行为管理设备成功杜绝了内网用户的P2P行为、在线看电影等行为，确保了有限的带宽资源全部为业务系统使用，这提升了单位的带宽利用率。针对关键的业务应用、核心业务部门进行带宽、流量的分配，招商局成功保障了相关业务应用的带宽，并且做到了根据业务、职位岗位需要，对内网不同层次的用户进行互联网访问权限的控制。

　　上网行为管理设备也保护了内网关键服务器的安全，大大减少了互联网流入内网的病毒威胁。因为通过在数据中心、各分支机构网络干路上架设深信服上网行为管理设备，招商局成功将高危网站、相关网络应用禁掉，减少了集团面临的外部威胁；通过上网行为管理设备的准入规则，各单位通过设置杀毒软件、补丁、注册表等安全元素的上网放行准则，强制内网用户提升安全等级，从内提升了内网安全体质。

　　事实上，整个集团的信息安全也得到了加强。上网行为管理设备通过强大的上网日志存储与审计功能，满足国家相关法律要求，并且让招商局信息管理部门掌握网络架构优化的第一手资料。

招商局上网行为管理设备+SSL VPN部署示意图

　　三、用户身份安全认证的压力

　　目前，招商局DMZ区的服务器暴露在外网，易受攻击。领导出差、驻外业务人员访问服务器上相关文件与业务系统时，现有的网络架构无法做到接入用户的强身份认证。且整个内外网用户的接入无法审计，这对招商局现有的信息资产威胁不小。

　　SSL VPN远程接入解决方案

　　通过考察测试，招商局选用了深信服SSL VPN进行了内网、外网访问的安全加固。所有访问数据中心各种应用的人员都必须先通过深信服SSL VPN的身份强认证，用户配备USB Key，以达到合法的身份认证，这极大地保障了远程接入访问业务应用的安全性。

　　深信服SSL VPN身份认证体系与招商局原有的LDAP服务器中的身份认证资源无缝结合，设备根据合法的身份分配对应的业务应用访问权限，这样就做到了不同的人用各自对应的业务系统，并且该SSL VPN的单点登录功能，避免了接入用户登录不同系统时都要输入一道密码的麻烦，使操作更简单易用。

　　在数据中心建设的道路上，招商局集团通过广域网加速+上网行为管理+SSL VPN远程登录的整合解决方案，成功解决了数据中心数据传输面临的速度、安全问题，也对整个的业务网络的安全与规范、应用系统使用进行了卓有成效规范管理。并且这一系列的网络架构优化成功降低了集团的IT运营成本，在新的数据中心网络连接架构下，招商局多元化的业务运营流程得以简化，效益也得到了明显的提升。