1. 首页
  2. 行业案例
  3. 金融与银行
  4. 东北证券:UXDB 主备集群支撑带外管理系统设备运维与审计

东北证券:UXDB 主备集群支撑带外管理系统设备运维与审计

  • Steven
  • 发布于 2026-06-11
  • 0 次阅读

一、客户背景与业务痛点

东北证券作为全国性综合证券服务商,在全国 28 个省区市设有 100 家营业部及 3 家分公司,数据中心内物理设备规模庞大(服务器、网络设备、存储等),且设备地理位置分散。业务系统对实时性要求极高(交易、行情、报盘等),任何设备故障或配置错误都可能导致严重后果。

原有的运维管理模式以带内管理为主(业务信道与管理信道共用),存在三大痛点:

  • 故障恢复慢:当操作系统或业务网络异常时,运维人员无法通过远程登录设备进行修复,必须派员到现场,平均恢复时间超过 2 小时。

  • 权限混乱:不同团队(系统、网络、数据库)共用一个管理员账号,操作无审计,曾发生过误修改交换机配置导致网络分区的事件。

  • 日志缺失:设备操作记录分散在各自 syslog 中,无法统一检索,事后审计困难。

因此,东北证券决定新建集中带外管理系统,通过独立的管理网络(管理控制信息与业务信息物理分离)对数据中心所有设备进行统一访问、授权、监控和审计。数据库作为后台核心,需存储设备信息、访问控制策略、授权记录、操作日志等,并满足高可用、安全合规、海量日志快速写入与查询的要求。

二、技术挑战

带外管理系统的数据库面临三个维度的技术挑战:

  • 高并发写入与查询混合负载:数据中心约有 3000 台设备,每台设备每天产生的操作日志(ssh/rdp 登录、命令执行、配置变更)约 200 条,日均日志总量 60 万条,峰值每秒写入约 300 TPS。同时,审计人员需要按时间、设备、操作类型等维度快速检索历史日志,典型查询需要在 1 秒内返回结果。

  • 数据安全合规:证券行业对运维操作审计有严格规定(如《证券期货经营机构信息技术治理工作指引》),要求存储加密、传输加密、操作不可篡改,且需保留至少 6 个月的日志。

  • 高可用与业务连续性:带外管理系统本身就是应急通道,如果数据库宕机,将导致无法远程访问设备,增加了现场处置风险。要求数据库主备自动切换,RTO < 30 秒,RPO = 0。

此外,原有部分设备的管理信息散落在 Excel 和 CMDB 中,需要迁移至统一数据库,数据类型包括结构化(设备型号、IP)、非结构化(配置文件备份、操作截图)等,数据库需支持多模态存储。

三、选型理由与解决方案架构

东北证券经过技术选型,最终选择 优炫数据库 UXDB 主备集群作为带外管理系统的后台数据库。选型核心原因:

  • 主备高可用自动切换:采用一主一备同步流复制,repmgr 组件监控主备状态。主库故障时备库在 30 秒内自动升主,应用通过 VIP 重连,实现 RPO=0、RTO<30 秒,满足证券行业对应急通道连续性的要求。

  • 高并发写入与查询优化:UXDB 针对操作日志场景设计了分区表(按日期分区)和 BRIN 索引,写入延迟小于 5 毫秒;同时支持列存加速历史审计查询,使 6 个月日志的检索响应时间从原来的分钟级降至秒级。

  • 多模态存储与国密安全:支持 JSON 存储设备配置元数据,BLOB 存储操作截图和配置文件备份。内置国密 SM4 透明加密,对操作日志中的敏感命令和参数自动加密;传输层支持国密 SSL,满足证券行业数据安全合规。

  • 与现有 CMDB 无缝集成:通过 FDW 对接已有资产管理系统,实现设备信息自动同步,减少迁移工作量。

解决方案架构

部署采用“一主一同步备”集群模式,位于带外管理网络区:

  • 主库:承载所有写入(操作日志、授权变更)和实时查询(当前会话、紧急通道访问)。

  • 同步备库:通过同步流复制保持数据一致,用于故障自动切换和审计只读查询(报表、历史检索)。

  • 应用层:带外管理系统的 Web 控制台、API 服务、日志审计模块。

  • 加密与审计:开启透明加密,审计日志单独存储至安全审计服务器。

架构图

四、落地成效

系统上线运行一年,实际效果:

  • 写入性能:日均处理 65 万条操作日志(峰值 400 TPS),入库延迟平均 3 毫秒,无数据积压。

  • 查询性能:审计人员查询“近 3 个月某 IP 的所有操作记录”(涉及约 500 万条日志),响应时间 0.8 秒。6 个月全量日志导出时间从原先分散 syslog 的手工汇总 4 小时缩短至数据库直接导出 3 分钟。

  • 高可用:主备切换演练 26 秒;运行期间主库因硬件报警手动切换一次,业务中断 33 秒,无数据丢失。全年系统可用性 99.996%。

  • 安全合规:通过证券行业信息技术专项检查,国密加密和审计日志获得肯定;成功追溯一次内部违规操作(非授权修改网络设备配置),提供了完整的操作回放证据。

  • 运维效率:带外管理全覆盖后,远程故障处置率从原来的 40% 提升至 95%,平均维修时长从 2 小时降至 25 分钟。运维人员不再需要频繁进入机房,人力成本降低 30%。

五、客户证言

“证券交易对连续性要求极高,带外管理系统是我们最后的‘救命通道’。优炫数据库的主备自动切换让我们敢把这条通道全托付给它——演练时切了多次,次次 30 秒内完成,业务方完全无感。而且日志审计功能帮我们抓住了两次内部误操作,避免了潜在的生产事故。”

—— 东北证券 信息技术总部运维负责人

“过去各个设备的操作日志分散,出了安全问题要翻半天的 syslog。现在所有操作都记录在优炫数据库里,审计人员自己就能按时间、设备、操作人组合查询,秒出结果。国密加密也让我们顺利通过了合规检查。”

—— 信息安全审计主管

六、总结展望

该案例充分展示了 UXDB 在 证券行业带外管理及运维审计 场景下的关键能力:

  • 金融级高可用:同步流复制 + 自动故障切换,确保应急管理通道的连续性,RPO=0、RTO<30 秒。

  • 海量日志写入与秒级检索:分区表、列存、BRIN 索引的组合优化,解决了运维审计场景“写多读多”的性能矛盾。

  • 多模态与国密安全:结构化设备信息、非结构化配置备份、加密日志的统一存储,满足证券合规最严要求。

  • 降低运维成本:远程带外管理替代大量现场处置,减少了机房出入成本和故障恢复时间。

下一步,东北证券计划将带外管理系统与自动化运维平台(Ansible)联动,实现“告警 → 自动登录设备 → 执行修复脚本”的全自动闭环。同时,利用 UXDB 的机器学习库对操作日志进行用户行为分析(UEBA),自动识别异常登录和危险命令模式,进一步提升内控安全水平。