故障秒级快速自动切换
读写分离、负载匀衡
搭建快速、管理简单
数据实时热备份
低成本、无需特殊硬件
应对不可抗逆灾害
应用透明连接
高稳定性、高性能
连接管理器
北中心北城机房
北中心南城机房
南中心容灾机房
33
多种高可用容灾方案组合
同城灾备集群
共享存储集群
网络连接
光纤连接、互联网或专线
光纤连接
节点间的距离
千公里
数米内,同一个机房
对带宽的要求
高
高
辅节点的最大数目
多个
多个
存储设备
独立存储设备
共享存储设备
承受服务器的软硬件故障
是
是
承受天灾
是
否
GBase 8s 企业版包含了最完备的高可用方案,无需额外购买任何组件
34
目 录
一
二
GBase 8s 产品简介
GBase 8s 技术架构
三
GBase 8s 安全架构
四
GBase 8s 典型案例
35
安全架构:系统模块视角
数据库核心
SSODB(TCB) 安全子系统
SQL 解析
SQL 优化
IO 管理
SQL 执行
缓冲管理
事务管理
密码
系统
密码卡
连接通信
会话管理
用户数据、索引、日志
身份标识/ 鉴别
会话安全
LBAC
自主访问控制
实体完整
自定义完整
存储加密
TCB 信息:MAC/DAC/Audit
SSL 通信
违例处理
LPM
参照完整
操作完整
存储完整
加解密库
物理安全防护
安全
审计
资源
监控
安全
预警
密码管
理系统
密码API
安全接口
企业管理器
安全管理器
审计工具
分发工具
36
安全架构:防护视角简化模型
37
安全防护:身份鉴别
强化管理的口令鉴别,系统采用存储哈希口令方式提
高口令安全性;口令有强度要求,有过期时间;
数字证书鉴别,系统采用双向认证,即客户端和服务
端双向证书认证
第三方认证,LDAP 认证方式;
通讯安全,SSL 保障传输安全,国际标准算法。
用户行为限制,限制登录时间段、失败次数锁定、IP
限定等;
证书标准,国产证书、X509 格式。
38
安全防护:MAC 强制访问控制-- LBAC
什么是LBAC ?
LBAC 是 Label-Based Access Control 的缩写,中文名叫基于标签的访问控制。提供 MAC 机
制,Orange Book (B1) 风格的基于标签的安全机制, MLS (multi-level security) 类似。
控制粒度:
客体列级、行级标签;主体读、写分别控制,不同标签;
1. 为数据加上标签,数据列、数据行,或者二者同时
2. 为用户授予标签:四种情况:
1) 读写标签;读写使用同一套标签;
2) 读标签;只设置了读标签
3) 写标签;只设置了写标签
4) 读标签和写标签;读标签与写标签可以不同,分别控制;
3. 为表设置安全策略,多对多关系,一表可多个策略,一个策略可用于多表
4. 对数据标签和用户标签进行比较,据安全策略判断数据可否被用户访问。
39
安全防护:存储加密-- 底层加解密,对应用完全透明
国家商密算法、硬件加密、多级密钥、加解密操作在加密卡中进行
遵循商用密码算法接口规范,从而方便的支持符合规范的各厂商密码卡。
性能保证、透明加密、保障不影响原有数据库功能,方便应用无缝迁移
40
行为追踪:安全审计
41
安全技术特点
符合国标四级安全要求
符合国标第四级标准(GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求)的安全要求,提供包括数据存
储加密、自主访问控制、安全标记、强制访问控制、安全审计、数据完整性保护、三权分立、推理控制等安全功能和手段。
原SQL 功能、高可用功能不影响。安全增强充分考虑了原有功能的保持,从设计上保障原有功能不损失;支持SQL92 标准;
原DDL 、DML 、DQL 用法均保持不变;自主访问控制的DCL 用法也保持不变,增强了强制访问控制功能;原备份/ 恢复等
管理功能也保持不变。
支持下读等写的多层级安全策略、集合安全策略、树状安全策略的组合,可灵活适应企业、组织架构的安全策略。支持对表数据
列进行安全保护,支持对表数据行进行安全保护,或者同时进行安全保护。
采用底层加密方式,对应用完全透明,不影响应用的使用;同时,该方式也解决了索引加密问题,使索引仍然有效,从而有效地
保障了查询性能。
原有数据库功能无损失
存储加密对应用透明
适应组织架构的LBAC
42
目 录
一
二
GBase 8s 产品简介
GBase 8s 技术架构
三
GBase 8s 安全架构
四
GBase 8s 典型案例
43
行业应用实践
行业应用实践
金融
电信
政府
零售
44
金融应用实践- 行业价值
核心
信贷
个贷
理财
人力
绩效
高 稳 定
高 可 用
高 性 能
易 维 护
45
金融应用实践- 北农商行国产化平台
项目描述
全国产高可用解决方案
价值提升
国产数据库:GBase
国产服务器:华为rh 5885 v3
国产操作系统:中标麒麟 Linux
国产中间件:东方通
应用开发商:赞同科技
北农商国产化平台试点
平台为北京农商行的重要业务系统,将为农商行国产数据库全面推广
提供重要参考依据
平台已接入ETC 车道收费/充值应用,后续会陆续接入燃气缴费,电
费,话费缴纳,医保,Tips (缴税),暖气缴费等应用
高性能:亿行级表响应时间为毫秒级,满足平台业务高峰处理能力
高可用:故障透明自动快速切换,切换时间小于30 秒,保障业务系统的连续性和安全性
高稳定:产品的稳定性可保障银行涉钱交易业务7*24 业务需求
国产化: 全国产化平台一体化解决方案
共享存储架构
46
金融应用实践- 中国建设银行开放平台ECTIP 系统
平台硬件:HP 128C 小型机
用户数:4 亿 日交易量:2 亿笔
每秒交易峰值:3000 TPS
ECTIP 系统是中国建设银行电子渠道交易统一接入平台。
应用范围:前端渠道系统13 个,后端服务系统32 个。
实现网银B2C 、网银B2B 、网站、电话银行95533 、电话银行800 、
手机银行、电话支付、POS (洗车卡、移动签约、积分兑换)、外联商户
( 支付宝卡通、E 商贸通商户、铁道部、第三方支付) 等前端系统接入
实现包括帐户查询、转帐、汇款、外汇买卖、缴费、支付、公积金、代发
代收、基金、国际卡、理财卡、支票通、个人贷款、第三方支付业务等服
务发布
实现短信、传真、邮件的实时、批量处理
实现多渠道资讯服务:多渠道签约、定制、发布资讯信息,实现套餐式计
费
实现交易路由、限额控制、各类电子渠道业务计收费
实现电子渠道签约资料集中管理
后台管理实现各类业务信息、交易信息查询、业务参数维护
各渠道后台管理业务人员权限统一管理、统一登陆入口
主要功能
运行情况
47
电信应用实践- 行业价值
客户信息、详单…
信令、日志、终端位置…
计费账务
智能网,网优
处理能力更强
安全性更高
部署更快
维护更简便
高并发
可扩展
复杂费率计算
毫秒级别响应
日终批量交易
准交易系统查询服
务
高可用
48
电信行业实践-GZ 移动TD 智能容量调整平台
项目背景
建设目标
应
用
技
术
价值提升
提供全省50 多个节点数据的采集处理,高峰时段2000 条并
发,数据量超过5TB
提供ER 企业级复制功能,实现不同应用之间的共性数据完成
实时同步提供HAC 集群高可用解决方案,当一个节点出现问
题,另一个节点自动切换,无需手动干预,保障业务系统的
连续性和安全性
TD 业务增长的动态变化及网络解决方案的实施灵活性,对
贵州移动项目运维服务提出了更高的要求,对于网络无线资源调
配的周期性、时延性及全局性要求更为苛刻,需要网络维护人员
及时根据业务的变化进行资源的合理调配
解决了人工模式存在的响应不及时、工作效率低、优化人员能力不均衡
、优化成本高等问题
无线资源智能调整软件系统,利用数据挖掘技术及算法,对海量数据进
行分析,形成包括网络参数及网络资源的实时动态调整方案
49
政府应用实践- 行业价值
提高决策水平
社会管理和公共服务能力
降低运行成本
减少危机预判不确定性
✓ 科学决策
✓ 智慧城市
✓ 政务公开
✓ 便民服务
✓ 安全可控
工商企业登记
税务缴纳
公民户籍
道路交通
公安案件
医疗 社保…
互联网公开信息
科学成果…
公文…
人事数据
宏观经济统计
气象遥感…
环境监测
“ 用数据说话、用数据
决策、用数据管理、用
数据创新”
智慧政府
50
政府应用实践-BH 公共信息服务平台
项目背景
建设目标
价值提升
良好的扩展性:支撑未来5 年平台的数据的增长需求,预期超过
2000 张, 单表的记录条数超过1000 万条
超高的处理性能:连接队列数不低于500, 100 万条内的数据库查
询结果响应时间不超过3 秒
安全可靠:利用SSC 高可用方案,保证系统7×24 小时无间断稳
定运行
政府部门共享企业和个人身份及信用状况信息,促进行政审批等活
动
金融机构分析判断,有效防范信用风险
为企业和个人提供信用评估报告
建设覆盖全区企业、个人信用基础数据库和信用信息共享平台
推进构建新区信用体系及社会联动惩戒机制的建设
促进信用服务推广及信用意识提高
形成良好的社会信用环境
GBase 8s
SSC
南大通用数据技术股份有限公司
版权所有© GBASE 2019
General Data Technology Co.,Ltd