苹果为什么把数据中心建设在贵州？

我觉得苹果这么做有以下几个原因

法律规定

最直接的原因就是去年6月1日颁布的《网络安全法》，对在中国境内经营的国外公司做出了新规定，为了最大程度上维护消费者权益，必须将敏感数据存储在国内的服务器中。而且该法律明确规定：所有与宽泛定义的国家安全问题有关的中国公民或地区数据都是敏感数据，而且云服务的运营方必须为本地企业。

访问速度上升

先前国内用户访问icloud时捉急的速度让人心累，而此次，我亲测，访问icloud的速度大大提升，同时服务会更加的稳定，这对于依赖苹果icloud服务的用户，尤其对于mac用户十分友好。

温度适宜，电价便宜

对于为什么建设在贵州，我觉得和贵州独天得厚的天气有关，数据库对于温度的要求较高，理想的温度可以有效的减少数据库的电力供应，贵阳天气凉爽，周边年平均气温 151 ，夏无酷暑，冬无严寒。同时贵州地区水电资源丰富，所以可以提供稳定的电力来源。

在 iCloud 服务转由国内运营之际，聊聊苹果数据中心落地贵州的前因后果。

近日，有媒体报道，苹果国内首个数据中心即将正式启用，并将从今年 2 月 28 日起，由苹果合作伙伴云上贵州公司负责运营中国内地的 iCloud 服务，而在此之前，包括富士康、中国移动、联通、电信、思科、华为、腾讯、阿里巴巴等企业都集中在贵州设立数据中心。

苹果为什么突然要在国内建立数据中心？对消费者而言又有什么好处？为什么会有那么多企业青睐在贵州设立数据中心？

2016 年 11 月，中国公布了于 2017 年 6 月 1 日正式施行的《网络安全法》，对在中国境内经营的国外公司做出了新规定，为了保障网络安全，维护网络空间主权和国家安全、 社会 公共利益，保护公民、法人和其他组织的合法权益，必须将个人信息和重要数据存储在国内的服务器中，而且要求云服务的运营方必须为本地企业。

而这便是苹果投入 10 亿美金在贵州建设数据中心，并独家授权云上贵州运营内地的 iCloud 服务最重要的原因。目前，包括微软、IBM 和亚马逊等不少美国 科技 集团，都已经通过本地合作伙伴在中国地区提供云基础设施服务。

而这也令人想起了近来比较热的 360 从美股退市并回归 A 股的故事，周鸿祎表示，曾不断有国家有关部门负责人找他谈话，希望 360 能够回归中国。当时，政府认为没有网络安全就没有国家安全。360 是一个安全公司，上百家企业单位使用着 360 的软件，而 360 也为包括政府部门、外交单位以及国防科研院等政府机构，甚至为敏感单位提供安全防护的软件和解决方案，服务对象数量庞大。但 360 却是一个外资企业，虽然是由中国人掌控。

当然，遇见类似问题的还有华为在美国的业务，华为之所以在美国业务受阻，本质上也是出于国家安全考虑。

据《金融时报》报道，对于中国在内的世界各国执法部门提出的合法数据获取需求，苹果都已经同意了。但《金融时报》也指出，据美国法律规定，如果外国政府想获取储存在美国服务器上的该国公民数据，走完流程时间或将长达数年。而将国内用户数据迁到贵州数据中心，则会让法律程序走得更快更方便。 苹果强调，他们会并仅会响应符合法律程序的数据要求，而受到密钥保护的设备，苹果无法进行解锁。

因此，苹果在贵州建设数据中心，并独家授权贵州省级别政府督办的云上贵州运营，便是为了满足政府对国家安全方面的需求。按照某些媒体的报道，独家授权给云上贵州运营内地的 iCloud 服务之后，苹果的数据便再也不只是苹果一家外资企业了，甚至云上贵州将反而能更加方便地接触到这些数据。

当然，除了国防安全方面的好处以外， 苹果自己也多次称在内地建设数据中心将改善中国用户使用 iCloud 的体验。

此前苹果一直利用海外（主要是美国）的数据中心为国内 iCloud 用户提供服务，众所周知，中国的出口带宽很窄，本地用户访问 iCloud 文件时会时常遭遇到超时、进度缓慢等问题。数据中心落户贵州后，服务会更稳定，对 iPhone 、iPad、Mac 用户来说，这将是件喜讯。

苹果在国内建立数据中心，这其实并不难理解，但真正让人看不懂的，就是苹果为什么选在经济相对落后的贵阳？贵州，GDP 并不像东南沿海省市那么耀眼，也不像东北三省那么满是槽点，这曾是一个在中国经济、 科技 版图上中庸到几乎令所有人都会遗忘的中西部大省，然而，高大上的云计算与大数据为什么没有跟经济、 科技 方面更加发达北上广深搭上亲，反而跟贵州这个落后地区成了亲家？

天时，适宜的气象条件：

据了解，温度控制问题一直是数据中心面临的一个挑战，而其中冷却设备仍然是其基础设施的重要组成部分。确保数据中心的最佳冷却不仅能够延长 IT 硬件的使用寿命，提高了电力使用效率（PUE），并降低了服务器故障的风险，而且还可以降低数据中心运营成本。据估计，数据中心最大特点是高耗能，电力成本占整个支出成本的 50%-70%，而其中制冷过程消耗的电能又占数据中心所有功耗的 40％！

因此，根据 2017 年早些时候的报道，Facebook 公司计划在北极圈内创建一个大规模的数据中心，这个区域具有理想的温度和湿度来保持服务器的冷却。同时，微软公司一直在试验可能既经济又环保的水下数据中心。当然，这并不意味着数据中心就一定要建在北极或水下。

据了解，数据中心对于气候来说，不允许酷热和潮湿条件重合，因此意味着湿球温度不应超过 23 摄氏度。而贵阳市气候凉爽，周边年平均气温 151 ，夏无酷暑，冬无严寒。这样的温度差很容易形成温度差，形成自然风来为数据中心降温。因此，以 2014 年 6 月底建成的处于垭口之间的富士康绿色隧道数据中心举例，其四季风速为每秒 2 至 3 米，全年采用自然冷却，每年可节约 900 万度电。

另外，数据中心内的精密设备对于环境的要求较高，灰尘等都不利于设备的保护和长期使用。而贵州森林覆盖率 49%，空气清新，达到世界卫生组织设立的清新空气负氧离子标准的上限，是数据中心运营的佳地。

地利，安全稳定，距离适中：

数据中心一个重要要素就是要安全，首先，贵州不在主要地震带上，破坏性地震风险极低。其次，贵州也少有洪水。而且还无台风、飓风、龙卷风、暴雪等威胁。

另外，贵州省水资源丰富，贵州水电装机量排在全国第四位，而且电力水火并济，电力充沛，能源富足，贵州也一直号称南方电网的电池，是“西电东送”的起源。对于像数据中心这种电力消耗比较大的业务，放在电力资源丰富的贵州，容易获得更为低廉的电价。

人和，政策支持，人力互补：

当然，符合上述条件的地方还有很多，比如中国最大的比特币矿场所在地的四川等。但为什么偏偏是贵州、是贵阳抢到了包括苹果等企业？

其实，关键或许还是政府的支持。据中国网报道，2013 年被称为中国“大数据元年”，当年起，几乎所有世界级的互联网企业，都将业务触角延伸至大数据产业，次年 3 月，贵州便在北京举办了一场“贵州省大数据产业推介会”，而当时大部分城市都处于观望状态。

而贵州地方政府也敢为人先，贵州省政府专门做出规定，除有特殊需求外，贵州省所有省级政务部门将不再自建机房，为政府各部门之间数据的流通创造了条件。贵州也由此建成了全国第一家省级政务云平台“云上贵州”。逐渐地，贵州成功从昔日工业时代的跟随者，悄然变成大数据时代的同行者，甚至领跑者。

另外，在人才方面，相对北上广深来说，贵州在尖端人才上虽然没什么优势，但数据中心的建设、运营和维护人才还是有的，而且数据中心本身也并不是劳动密集型产业，所需员工其实并不多。

值得一提的是，因为数据中心基本上只是机房而已，需要的运营员工并不是太多，因此，包括贵阳本地的很多人都认为大数据跟他们的生活并没有什么关系，并不会带来太多的就业。但货车帮方面认为，这应该是一个潜移默化的过程，先引进这些可能不需要太多人的大数据产业，再在此基础上做更多的产业扩展，这是一个必须经历的过程。

据了解，苹果选择在贵州建设数据中心，必然会带动更多企业在贵州建设数据中心，现在的问题就是何时从量变到质变了。

据Data Center Knowledge网站北京时间7月12日报道，苹果公司今天宣布，将在贵州省建立在中国的第一个数据中心。 历史 上，贵州是中国最贫穷的省份之一。但是现在，贵州已经逐步发展成了中国大数据中心。

在中国，发达工业城市一片繁华。但是与此同时，崎岖、落后的地区则相当贫穷。

大数据中心

作为最偏远、 历史 上最贫穷的中国西南部省份之一，贵州在短时间内突飞猛进，很有希望成为中国向大数据领域推进的中心。10年前还像郊区的地方现在已经成为了新的市区，建成了摩天大楼、会展中心和数据中心等配套设施。

高铁、大桥、隧道以及增加的国际航班把贵州与国内外城市连接在一起，帮助其摆脱了隔离，拥抱世界。

按照GDP衡量，贵州在中国31个省份中排名第25位。贵州已经连续三年举办为期四天的中国国际大数据产业博览会。2017年大数据博览会在5月底结束，参展公司签署了价值24亿美元的合同。

许多 科技 巨头不远万里来参加博览会，包括苹果、Facebook、微软公司、谷歌公司、亚马逊公司、英特尔公司、IBM以及戴尔公司。斯坦福大学人工智能和伦理学教授杰瑞·卡普兰(Jerry Kaplan)、创业公司创业者周岚(Adelyn Zhou)、硅谷知名孵化器Founder Space创始人史蒂夫·霍夫曼(Steve Hoffman)、谷歌开发者关系地区负责人丹·菲尔德(Dan Feld)等硅谷精英也参加了今年的博览会。

气候适宜

贵州的常年平均气温保持在59华氏度(约合15摄氏度)，非常适合数据中心的运营。在吸引公司前来投资方面，政府也做出了出色的工作，推出了试点工程，并为水电的使用提供优惠。

除了代工iPhone、Kindle以及PlayStation 游戏 机等设备外，富士康也生产服务器。富士康在贵州建立了一个绿色隧道数据中心，里面有6000台服务器，距离贵阳市有一个小时的车程。

和许多内地公司一样，富士康也希望借助云计算、网络化机器以及人工智能的应用，让其制造过程更为高效。所有这些都需要存储和分析海量数据。

其实主要有这些原因：

1、 大数据需要大型数据中心承载，大型数据中心需要建在气候凉爽、能源充沛、地质稳定的地方，贵州正是天然之选。工信部评估报告显示，贵州是中国南方最适合建设大型绿色数据中心的地区。

2、 早在2015年数博会期间，苹果公司副总裁丽莎·杰克逊当天在贵阳考察时即表态，苹果公司将进一步密切与贵州的沟通交流，与贵州省和富士康 科技 集团一道，共同推动苹果公司亚太数据中心落户贵州。

3、 云上贵州大数据产业发展有限公司背景。其由贵州省大数据发展管理局履行出资人职责，贵州省国有企业监事会进行监管。政府支持。各类人才云集，已经拥有数十个控股和参股公司，业务涉及大数据产业和大数据金融等多个领域。

对我们有什么影响？

得益于贵州当地政府的重视，过去几年来，以贵阳国际大数据博览会（简称“数博会”）为代表，贵州已吸引了三大运营商，它们都选址国家级新区贵安新区建设数据中心，总投资规模高达 150 亿人民币。苹果的合作伙伴、代工巨头富士康也在此建设了一个拥有 6000 台服务器的绿色隧道数据中心。

除了贵州以外，苹果日前还宣布将投资 921 亿美元在丹麦境内建设一个新的数据中心，位置在丹麦和德国的边境地区，这是苹果在丹麦建设的第二个数据中心，第一个仍在建设中，预计年底将可以投入使用。之所以选址丹麦是因为数据中心集合了大量的服务器，运行起来产生的热量惊人，建在北欧较为寒冷的地区，一方面可以降低电力消耗，另一方面还可以为当地居民供暖，可谓是双赢之举了。

贵州在大家的映象中是比较穷的省份，不但经济落后，除了茅台也少有知名的企业，可大家不了解的是贵州的发展速度，近几年的贵州的经济增长一直排名全国前三，是 旅游 人数最多的省份之一，也是世界的桥梁之都，高速公路里程全国第四，综合密度全国第一。

贵州的自然条件优越，自然灾害少，很少有地震，数据机房的安全得到保证，空气清新，污染少，满足了机房对空气洁净的要求，本来贵州就冬无严寒夏无酷暑，再加之贵州有丰富的清洁能源，电费较为便宜，能大大降低运行成本，还有就是政府对大数据企业在土地税收等的优惠扶持，综合多方面的因素，最适合建大数据中心，贵州大数据是首个国家大数据中心。

除了苹果把数据中心放在贵州，富士康、阿里巴巴、腾讯、华为以及三大运营商都把数据中心建在贵州。还是那句广告语说得好:走遍大地神州，醉美多彩贵州。

苹果数据库建立贵州：1因为全球最大的 也就是那个大锅在贵州，也就是说贵州已成为信息网、2 不仅是苹果公司，还有华为、腾讯、富士康、阿里巴巴等等，贵州将成为网络系统集成地！3不是你们那些无知说什么贵州穷，地便宜什么的，你去贵州就知道了，现贵州县县通高速，在过几年县县通城际 、未来的贵州将成为全国人民所期待之处。其实消费一点不便宜，贵阳打 10元起步！

其实不止是苹果，华为和腾讯等大企业也纷纷在贵州建立数据中心。而贵州更是被称为中国的大数据“硅谷”。那么为什么三大运营商、华为、腾讯、苹果等 科技 巨头都选择在贵州建立数据中心呢？

首先就是节省电费这个先天优势。要知道，数据中心最大的特点就是“高能耗”。电力成本是整个支出成本的50%~70%，其中一半来自于服务器等设备的供电，另一半来自于机器设备散热的“空调费”。

而从气温和能源来说，贵州是公认的中国南方最适合建立数据中心的地方。贵州常年气温保持在14 到16 ，即便最炎热7月份，平均气温也只有237 ，是服务器等设备运行最合适的温度。

而根据华为的说法“大数据基地建在北京需要1块钱1度电，贵阳只需要4毛。我们不需要什么优惠政策，放在贵州，建成运行后一年可以节约上亿的电费”。

其次就是政策优势所导致的“弯道超车”。2013年是中国“大数据元年”，大数据的到来，贵州和北上广的等一线发达地区站在同一起跑线上。

贵州专门颁布了一系列政策，用于支持贵州大数据的发展。2014年开始，贵州鼓励奖政府部分的数据迁移到云端，即“云上贵州”，除了特殊需求，不再自建机房，这个在全国范围内都是超前的。

总之，贵州发展大数据产业占据了天时地利人和的优势，贵州独特的自然环境和精准有利的政策支持是贵州大数据产业发展的两大法宝。

不仅仅是苹果，现在华为，腾讯，京东很多互联网企业都把数据中心建在了贵州，所以我们要分析一下贵州有哪些优势。

一是贵州的气候宜人，夏季平均气温在22—25摄氏度，相比于其他各省，可以有效的降低高温带来的能耗。 二是贵州电力资源丰富，电价低。贵州是西电东送的主力，水利发电量居全国第四，丰富的电力资源给数据中心带来了低成本的电价。 三是贵州交通便利。贵州省是我国西部首先县县通高速的省份，高速公路总里程7600公里，总里程全国第四，公路网密度居全国第一。其次是贵州高速铁路发达，现有成贵高铁、渝贵高铁、沪昆高铁、贵广高铁等，高铁里程截止2019年1340公里，居全国15位，未来2021年贵州将完成市市通高铁目标。 四是贵州地理位置优越。贵州处于地震带之外，地壳稳定，据统计贵州境内没出现过6级以上地震，所以安全性是值得肯定的。 五是贵州政府政策扶持。大数据中心的建立，对于贵州来说经济发展可以搭上信息 科技 的快速通道，所以政府在企业发展上提供了很大的便利，主要是企业服务绿色通道，人才培养，金融服务，企业上市等等，将大数据作为贵州的发展战略。

最近这些年，贵州作为大数据中心的确很火热的，不止是苹果，连华为、腾讯，还有三大运营商（移动、联通、电信）的数据中心，都建设在贵州的，其实，原因都各自有各自的考虑，但分析起来，无外乎主要就是下面的几点吧：

1、自然条件上，贵州深处内陆，地质结构比较稳定， 很少有地震、洪涝等地质灾害 ，数据存储方面，很安全妥当，而且 夏季气温比较低 ，特别是省会，更是夏天的度假胜地，有“爽爽的贵阳”的说法，这样一来，可以为很多储存数据的机房， 节省不小的散热成本， 要知道，在贵州很多普通人家，夏天很多人连空调都没装的，因为真的很凉爽。

2、 社会 经济方面，贵州，特别是大数据比较集中的区域，也就是现在的贵安新区， 现在是一个才起步的国家级新区，规格高 ，现在整体来说， 地块以及各方面的成本，还没有那么高 ，对于一些 科技 巨头来说，如果能够在早期布局，有一定的成本优势，因为大数据中心占地面积大， 科技 巨头又和房企不一样，房企占了地可以卖房子，但是 科技 巨头用作数据中心，回款模式就不同于房地产开发商。

3、 zc方面的扶持和引导 吧，对于贵州搞大数据，是“有道理”的，虽然贵州整体来说， 科技 和人才这些软实力方面，和沿海发达城市和地区有不小的差距，但是 硬件先上 ，后期只要薪酬报酬给得高，不愁吸引不来人才，所谓的“筑巢引凤”就是这个道理。

4、可能是因为贵州属于后发崛起的地区吧，和沿海那些地方的“精明”不一样，这些年，接触下来的贵州人，不管男的女的， 大部分都相对比较朴实、淳朴，很有道德观念， 所以，有时候 对于金钱的诱惑，他们还是有一定的“抵抗力”的 ，并不纯粹全部是“唯利是图”的那种， 有的为人处世还比较传统，循规蹈矩的那种 ，所以数据中心放在贵州，还是比较放心的，至少能够少一些“为了利益出卖数据”的担忧。

总的来说，存在即合理，苹果公司不是一般的公司，他们对于数据存储地和运营商的选择，都是很专业的人才和工程师经过深思熟虑的，一定有他们的道理，而且， 每个企业、每个人和个体，都是自己利益的最佳判断者 ，全中国那么多地方，他们选择了贵州，那肯定是有他们自己的利弊考量的，所以，我们作为贵州本地人，当然是非常欢迎这些 科技 巨头来黔布局的，不仅能带动经济，还能增加就业机会。

苹果把数据中心建设在贵州，主要有以下几个原因：

1、根据网络安全法规定，苹果只能将国内苹果用户的数据存储在中国，由于针对国内用户比如Icloud的隐私以及安全性，维护苹果用户的隐私与安全，苹果只能在国内选择某地作为数据中心。

2、贵州作为全国最大的数据服务中心，世界五百强企业包括中国移动、联通、电信、腾讯以及阿里巴巴等都将服务器坐落在贵州，贵州拥有良好的自然环境，常年温度适宜在15-20摄氏度左右，缓解了了服务器高速运转发热的现象，节约了服务器维护的一部分成本；同时贵州省本地对服务器建设有很多利好，无论是地价还是电费对于服务器的建设都有很大的优惠，因此不少大型公司都将服务器选址坐落在贵州省。

据不完全统计，贵州所拥有的大数据企业，自从2013年开始，从最初的不到1000家增长到目前的8000家左右并且这一数字还在不断增长，其中不乏许多世界五百强企业。整个贵州省大数据产业规模实现超过1100亿元的收入，其中在2017年，贵州数字经济增速为372%，位列中国第一。

贵州省独特的地理气候、国家赋予的准确的定位加上当地良好的引导以及政策的优惠，使得不少企业都在贵州省开始建设数据中心，而苹果也正是看准了这一点，这是其他省份所不具备的优势！

你好，并发数能够达到1万的网站已经算是规模较大的网站的，对服务器配置、网络环境及带宽要求就高的，一台服务器甚至无法满足网站正常运行，需要多台服务器来做负载均衡的，网站数据硬盘接入磁盘柜来减轻对服务器自身的负荷，具体配置可以咨询方案实施人员

新技术的应用为各行各业注入了新的发展动力，同时也带来了巨大的挑战。随着信息化的程度不断提高，金融业开始构建更为智能的大数据平台，在此过程中需要利用大数据、云计算、人工智能、知识图谱以及多个计算和学习类平台。而基于浪潮服务器NF5266M5为核心构建的大规模、可扩展的并行计算框架，为某银行提供海量数据的高效存储、离线计算、流计算和算法分析能力。同时，NF5266M5支撑虚拟化管理平台，为大数据云平台提供了机器学习能力，帮助平台从海量信息中进行特征衍生和特征工程，还可以应对高维特征，上亿维度的特征训练，进行高效运行计算，挖掘数据价值。

　　一、项目背景　　随着金融信息化的快速发展，金融系统基于网络开展业务的需求变得更加广泛。使用互联网以及外联网这种当前最流行的尖端技术和运营模式，可以极大地节省金融业务成本，节约资源；可以极大缩短业务的交易时间，把以往需要几天的交易过程变得瞬间即可解决；可以促进金融企业整体素质的提高，增强金融企业信息化水平和应对激烈市场变化的能力。四川建行在仔细分析和比较了互联网以及外联网技术优势和应用前景的前提下，大力推进原有金融业务向互联网和外联网运营模式进行转变。

但是，由于互联网以及外联网的开放性及自由性，使网上交易系统比传统的专用网络、封闭式系统具有更高的金融风险。这就要求四川建行在进行网络金融服务的建设过程中，紧紧围绕建总行下发的《中国建设银行计算机应用系统安全技术规范》。对网络金融服务可能存在的安全隐患进行深入的分析考虑，并采用最新、最先进的安全技术和安全产品，根据四川建行业务流程以及软硬件环境的实际情况，建设从安全策略到安全技术实施等多个层次的安全体系架构。

四川建行经过深入分析和比较，最终选定了北京东方通科技公司的TongSEC安全平台产品作为外联金融服务的安全保障核心。北京东方通科技公司TongSEC安全平台是专门针对建总行《中国建设银行计算机应用系统安全技术规范》进行设计的，充分满足《规范》中所列举的安全要求。其中绝大部分安全性设计满足《规范》中的“较高要求”，少量剩余部分满足《规范》中的“中等要求”。

北京东方通科技公司在自身TongSEC安全平台产品基础上，为四川建行提供了一整套基于建总行《规范》的外联金融服务安全平台解决方案。方案中充分考虑到四川建行外联金融平台的各个安全环节，从安全性和易用性出发，为四川建行外联金融系统搭建起强大的底层安全支撑平台。

二、方案介绍

本安全解决方案采用了东方通科技公司的TongSEC安全平台，采用CA认证和安全代理、PKI技术、SSL加密链路、Web服务器/浏览器安全支持、智能卡/USBKey等相关安全技术，为四川建行外联金融安全平台实现以下安全需求：

1． 全支持B/S应用模式下的强安全保护，支持Web服务器和IE浏览器之间双向认证的HTTPS安全通道，保证互联网上传输的数据都经过了加密保护和完整性保护。

2． 提供客户程序与银行服务主机相连模式（即C/S模式）下的强安全通道，为交易数据提供机密性、完整性、抗抵赖性保护。

3． 使用智能卡/USBKey作为外联金融系统客户唯一身份证明，高度确保信息安全。

4． 提供银行后台与客户前台之间的双向的强双因子身份认证。

5． 提供客户端安全代理，实时监测智能卡/USBKey是否正确插好在计算机上，保证只有拥有智能卡/USBKey的人才能够进入外联金融服务系统。

6． 为应用提供二次开发接口，包括C平台和JAVA平台，支持J2EE技术。

下图是四川建行外联金融系统的物理结构图。

三、证书管理系统

证书管理系统包含认证机构TongCA、注册机构TongRA、LDAP证书库、加密机四大部分。共同承担CA认证的核心功能――为应用中的所有实体颁发数字证书。

在本次四川建行外联金融系统安全平台的建设中，证书管理系统为金融系统中所有涉及安全的服务器（例如Web服务器、前置机等）以及每个用户（不论是使用浏览器还是客户程序的用户）颁发数字证书和私钥。证书和私钥保存在安全强度很高的智能卡/USBKey中，无法被复制和篡改，确保智能卡/USBKey作为四川建行外联金融系统各实体的唯一身份证明。另外也提供证书和私钥的加密文件存放形式，最大程度地方便应用部署。

四、B/S和C/S的安全通道

当四川建行外联金融系统用户需要办理业务时，只需要将装有客户证书和私钥的智能卡插入读卡器或者将USBKey插入计算机USB口，就可以使用浏览器或安全代理客户端程序进行网上交易了。

在B/S模式下，客户浏览器与Web服务器之间采用标准的SSL安全机制，通过HTTPS协议实现浏览器与Web服务器之间经过双向身份认证的、安全的传输通道。确保通过互联网传输的数据都经过了数据加密保护和数据完整性保护。

在C/S模式下，客户程序与前置机程序通过TongSEC安全平台提供的安全传输控制模块，实现传输报文基于智能卡/USBKey的双向身份认证、加密/解密、签名/验证等安全功能，确保传输数据的机密性、完整性和抗抵赖性。

五、客户端安全代理

为了四川建行外联金融系统用户能够方便的使用颁发的智能卡/Ukey，本方案提供了客户端的安全代理。采用图形界面（GUI）的方式提供用户使用Ukey登录安全后台的方法。安全代理自动操作Ukey，验证Ukey的保护密码，验证通过后自动启动IE浏览器，进行与后台Web服务器的双向认证的HTTPS安全连接。

安全代理还有一个重要的功能是保证当使用HTTPS安全连接登录资金清算系统后，在整个交易过程中必须确保智能卡/Ukey始终正确的插入在计算机中。安全代理会定期监测Ukey的情况，一旦监测到Ukey被拔出，则自动中止当前的HTTPS连接，并关闭IE浏览器。

六、丰富的二次开发接口

为了更好的将银行原有业务系统安全保护措施逐步统一到本方案所提供的基于PKI和智能卡等技术的安全平台上，在安全平台的建设中设计了丰富的二次开发接口。开发接口提供C和JAVA两种主要的开发平台实现方式，功能涵盖了包括操作加密机、操作智能卡/Ukey、文件加解密、文件签名/验证、密钥协商、黑名单管理、访问控制、安全审计等。

通过提供的开发接口，可以实现可灵活组合的安全控制。在安全平台所提供的整体PKI安全机制基础上，根据具体应用中对安全功能的要求，分别调用相应的安全接口函数。典型的安全增强应用如：对文件或数据库存储数据的加密保护；对电子公文的数字签章；对非法用户的访问控制等。

七、方案特点

1．安全性

完全支持B/S和C/S两种应用模式下的强安全保护。

安全功能强大，产品线丰富，提供对应用的底层安全支撑。

采用1024位的RSA算法、128位的对称加密算法。

采用加密机、智能卡/USBKey等硬件密钥设备存放私钥，确保私钥安全。

提供可灵活配置的分级日志机制，支持细粒度的安全审计和日常管理工作。

2． 透明性

对应用来说几乎透明，从传输通道层面进行安全保护，完全不更改四川建行原有金融服务系统的业务逻辑。

3． 开放性、灵活性

适用于多种金融系统环境，也可根据实际软硬件情况作出相应变化。

开发接口具有充分的灵活性，支持C、JAVA两种主流开发平台，支持J2EE技术。

支持多种安全措施的组合配置，提供不同层次的安全保护。

支持NT/2000/AIX/SUN/LINUX等多种操作系统环境。

支持多种流行的Ukey和智能卡，如：握奇、明华、捷德。

4． 易用性

开发接口简洁、统一，易于使用。

安全平台的搭建、运行和维护都非常简单。

八、方案总结

本方案在充分分析四川建设银行外联金融服务平台所面临多种安全隐患的前提下，紧紧围绕建总行《中国建设银行计算机应用系统安全技术规范》的安全要求，采用北京东方通科技公司的TongSEC安全平台产品，为四川建行在B/S和C/S应用模式下搭建起强大的应用安全支撑平台。安全平台采用了CA认证和安全代理、PKI技术、SSL加密链路、Web服务器/浏览器安全支持、智能卡/USBKey等核心安全技术，完全满足建总行《规范》中的“中等”或“较高”安全要求，极大提升了四川建行外联金融服务的整体安全水平。

在保证安全功能完善、强大的同时，安全平台系统的开发使用和运行维护都非常简单，支持多种主流的操作系统环境和C/JAVA两种主流开发平台。方案设计中充分利用和发挥了四川建行已有的软、硬件资源优势，充分体现了“平台化”的设计思路，能很好的扩展以满足四川建行多种多样的金融服务安全需要。

本方案提供的基于PKI和智能卡/Ukey技术的安全支撑平台，不仅能很好地服务于本次四川建行外联金融服务系统的各种安全应用，而且也为未来四川建行原有业务的安全提升及新兴业务的开展奠定了很好的安全基础设施。

金融行业也要看用服务器的用途了

如果是内部关键数据，只能选择HP的大型机

如果是外部交易或者平台搭建需要，可以使用云平台，比如国内的阿里云、百度云之类的

还有金融行业服务器一定要有异地灾备和本地硬盘备份

一、金融系统联网架构

金融系统安防联网系统总体架构应采用：省级分行一级监控中心，二级分行监控中心，区县支行三级监控中心内网结构，一级监控中心要求在各省级分行设立，二级监控中心要求在各地、市二级分行设立，三级监控中心在各区县支行设立。为确保联网系统的安全性、可靠性,以上三级联网架构均必需建立在银行内网系统中（或租用网通、电信、移动线路建立安防专网）。

安防联网系统应以银行内联专网为依托，即应符合内联网技术体制和现状要求，不能对内联网产生过重的信息流量，更不能形成引发网络崩溃的因素，并要实现安全监控信息的准确、及时和安全的传输和共享。

银行内联专网分多层结构，各营业网点监控为一层，各地、市监控中心为一层，各省级分行监控中心为一层，地、市监控中心到辖区营业网点内部办公网络通常为2Mbits带宽，考虑到网络协议及业务数据的其他开销，实际监控联网可分配带宽约为50%(即1Mbits)，每个营业网点可以向上级监控中心传输2路CIF分辨率的视频。

联网系统应以银行内联网为基础网络平台，实现银行系统范围内基于不同网络平台构成的视频安防监控系统之间的互联、互通和控制，联网系统的整体基本功能如下：

a 实现已建视频监控系统中各个厂商设备的互联；

b 统一视频压缩格式和前端控制信令格式，实现视频监控视频流的实时传输；

c 提供电子地图功能，在终端上通过电子地图页面来查看监控视频；

d 提供录像文件上传，录像回放功能。供远程调看监控录像；

e 提供视频矩阵和云台的控制功能；

f 设立各级监控中心，处理突发事件的报警；

g 进行身份认证和权限管理、保证信息安全和数据的安全。

11营业网点监控系统基本构成

各地营业网点监控系统通常由以下设备构成：各类前端摄像机、各类前端报警探头、各类硬盘录像机或监控主机设备、各类在行或离行ATM监控主机设备、金库门禁系统等。

111 营业网点监控系统拓扑结构示意图

112 营业网点监控基本功能要求

完成模拟视频监视信号的采集和传输；接受监控中心发出的云台、镜头等控制指令，控制现场镜头的光圈、焦距、变倍，云台的上、下、左、右运动等。提供RS232、RS485、I/O接口，采集报警信息、现场信息，并将相关信息通过网络上传到上级监控中心。

12二级监控中心基本构成

二级监控中心系统通常由以下设备构成：中心管理服务器、数字矩阵服务器、监控电视墙、流媒体服务器、监控管理工作站等。

121 二级监控中心系统拓扑结构示意图

122 二级监控中心基本功能要求

a 管理本辖区视频监控点；

b 能实现对前端设备的控制；

c 能实现对远程图像的记录、回放及上传；实现本辖区内重要数据的集中存储。

d 报警接入及处理（报警上传、与摄像机联动）；受理本辖区内的监控设备的报警事件，进行录像记录，处理；

e 允许被授权的其他客户端进行远程访问；

f 实现流媒体数据的转发服务，当一级监控中心需要查看或回放营业网点图像时，二级监控中心流媒体服务器，进行营业网点视频图像的转发和分发；

g 对于前端营业网点的监控主机设备，除了能获取其分布区域、数量等基本数据的存储信息外，还通过巡检功能检测其运行状态。

h 实现对用户的管理包括用户权限（用户名、密码、权限、优先级）的设置，支持三级权限管理模式，可将用户分为超级操作员、操作员、普通用户三级权限。最大权限的用户行使主控权力，负责对支行内的所有监控主机设备进行操作，较小权限的用户则可限定其对相关设备的部分操作权限。

13一级监控中心基本构成

一级监控中心系统通常由以下设备构成：中心管理服务器、数字矩阵服务器、监控电视墙、监控管理工作站、集中存储服务器等。

131 一级监控中心系统拓扑结构示意图

132 一级监控中心基本功能要求

a 管理本辖区视频监控点；

b 管理所辖的二级监控中心；

c 接收、处理二级中心主动上报的报警事件；

d 对所辖监控点重要录像进行集中存储;

e 能实现对前端设备的控制；

f 允许授权的其他的客户端进行远程访问；

g 提供电子地图服务，给用户一个直观的电子地图的操作界面;

h 通过电子地图实现对所有下级监控点的管理。

二、金融系统联网系统要求

金融系统安防联网系统要采用开放式架构，选用标准化接口和协议，并具有良好的兼容性和可扩展性，系统建设必须遵守国家和公安部行业有关标准与规范，统一规划，统一标准，抓准备、抓调研、抓指导、抓试点，依据本地区的经济情况，从不同层次，不同角度开展各地金融系统安防系统联网建设工作。

在规划组建新的安防联网系统过程中，要充分考虑和利用现有的报警系统和视频监控系统及传输资源，自下而上，先内后外，坚持先进，兼容传统，实现系统集成和系统互联、资源整合、信息共享。必须把实用性放在第一位，边建设、边整合、边应用、边完善，把系统建设成“实用工程”。

安防联网系统所涉及的设备必须满足可靠性和安全性要求，设备选型不能选试验产品，要选先进的市场主流产品，不求最先进，要求最可靠，要能保证系统不间断运行。对关键的设备、数据和接口应采用冗余设计，要具有故障检测、系统恢复等功能；网络环境下信息传输和数据存储要注重安全，保障系统网络的安全可靠性，避免遭到恶性攻击和数据被非法提取的现象出现。

安防联网系统应用要体现资源共享、快速反应，形成打防控一体化的网络体系。必须加强对系统运行、应用的监督管理，对系统运行、应用管理原则如下：

a．采用统—的用户授权的权限认证管理，系统各级用户只要在自己所属的共享平台开设帐号、经授权分配权限后才可浏览其权限范围内相应监控点的实时图像和历史图像。

b．应采用多级用户权限管理机制，防止用户越权操作。服务器设备应能单独设置拒绝远程用户使用某些功能，这样即使管理员密码被盗，重要的服务器不会受影响。

c．服务器设备应能够限制或只允许来自某些IP或IP段的客户端访问。为了防止用户名和密码被非法用户猜测到或穷举法破解，设置只允许来自有限的IP地址用户访问是非常有效的安全策略。

d．用户的日常操作和系统的重要事件都记入日志中，日志资料分类保存在数据库中。数据库定时备份，以防硬件故障造成数据丢失。数据备份可以跨服务器进行，出现灾难性故障，数据文件也能恢复。

联网系统中视频监控系统要与报警联动系统相配合，根据联网系统的建设、应用和管理的现状，工作流程分为日常管理流程和报警联动与视频监控流程两类。

a．日常管理流程：二级监控中心（支行监控中心）接收各报警点与监控点传输的巡检信息、事件信息和视频信息等日常管理信息，二级监控中心对以上信息进行鉴别、分类、处理，对要求上传的重要信息上传至一级监控中心（分行监控中心），一级监控中心再做出相应处理。

b．报警联动与视频监控流程：一级监控中心（支行监控中心）接收到移动点报警、固定点自动报警或人工报警信息，通过自动联动或手控联动治安视频监控系统对警情进行复核，确认后对警情进行处理，对要求上报的重要警情上报至一级监控中心（分行监控中心），一级监控中心再做出相应处理。处警完毕后，恢复系统正常状态。

21视频传输要求

211 网络带宽

网络带宽指保证系统正常运行的带宽要求，根据视频监控系统同时传输的视频的多少而定，一路CIF视频图像，最小带宽需求为 256Kbits/s，一路D1（4CIF）视频图像，最小带宽需求为 768Kbits/s。

各级监控中心的网络带宽需求包括两部分：接收前端数字监控视频所需要的网络带宽、转发相关数据所需要的网络带宽。各级监控中心总带宽的最小需求，根据接收前端数字监控视频的数据与转发数据之和来计算。各级监控中心需要的正常网络带宽应该是最小需求的15倍。

每个接入系统的用户终端的最小带宽需求，采用CIF格式，必须根据（监控视频总路数）×256Kbits/s来计算；采用D1格式，必须根据（监控视频总路数）×768Kbits/s来计算，正常网络带宽应该是最小需求的15倍。

212 图像格式

系统支持图像格式大小为CIF，可以扩展为 D1 (4CIF)。CIF图像大小为 352×288个像素；D1 (4CIF)图像大小为 704×576个像素。

213 视频帧率

本地录像时视频帧率不低于25帧/秒。图像格式大小为CIF时，网络传输的视频帧率不低于15帧/秒。图像格式大小为D1（4CIF）时，网络传输的视频帧率不低于10帧/秒。

214 视频传输时延

从营业监控网点到二级监控中心的系统视频图像网络延时应小于15s，从二级监控中心通过流媒体服务器转发至一级监控中心的视频图像延时应小于3s 。

215 录像存储时间

普通的视频录像在监控主机设备中应保存30天以上，重要部位的监控录像应保存60天以上。突发事件或有案件发生的录像则需要传输到一级监控中心的集中存储服务器中进行备份保存。

216 音视频同步

音视频同步差应小于 500ms。

217 报警响应处理时间

二级监控中心在接收到监控营业网点报警时，响应处理时间应小于 60s, 报警信息在未得到及时处理时经由二级监控中心传输到一级监控中心的时间应小于5s。

22安全技术要求

221 网络安全

外网隔离

为确保联网系统的绝对安全性。联网系统应严格建立在银行内联网平台之上，与外网实现完全的物理隔离，确保无法通过任何外网及公网系统对该安防联网系统进行连接访问（也可以采用***专网方式）。

内网隔离

总行内网子系统、各省级分行网络子系统、各地市分行网络子系统在互联时，必须通过防火墙予以隔离。防火墙需要达到的技术要求有：非纯软件实现、支持地址/协议过滤、支持数据包过滤、支持安全身份认证及远程管理，支持1024个或以上的并发网络连接，单个连接的最大带宽不低于2Mbits/s。

222 信息安全

授权

联网系统应采用基于角色的访问控制模型，必须支持对下列操作进行分别授权：

a客户端工作站访问一级监控中心服务器（包括：登录、浏览、读取、修改、删除等）；

b各级系统中应定义多个用户级别。每个级别应具备不同的权限列表。每个子系统中须另设安全管理员，专门负责为本子系统的每个合法用户分配以相应的级别。

c系统必须实施强制访问控制。除安全管理员外，任何用户不得擅自更改其权限、不能越权操作、不能将其权限转授于其他用户。安全管理员除完成授权功能以外，不能浏览、修改、删除系统中的任何其它数据。

d系统中的所有权限变更操作都应被相应的日志系统记录并安全地保留，以备查阅。

认证

a系统所使用的身份认证系统包括三个方面：计算机系统对使用者的身份认证、使用者对计算机系统的身份认证、计算机系统对其他计算机系统的身份认证。

b对使用者的身份认证应采用双因子认证，即口令与认证设备。用户必须同时正确地出示口令和相关认证硬件设备，方可通过身份认证。

c系统中应尽量支持一次认证，即用户只需要进行一次身份认证操作即可使用本系统直至退出，而无需在访问不同子系统时，反复进行认证。

d所有认证操作（包括成功的和失败的）都应被相关的日志系统记录并安全地保留，以备查阅。

访问控制

在系统成功地认证了访问者的身份后，根据授权数据库，获取该用户的当前授权列表。根据授权列表决定该访问者的请求是否可以被接受。如果可以接受，则进行服务，否则拒绝。所有数据操作（包括读和写）都应被相应的日志系统记录并安全的记录。

电子商务的飞速发展也使得金融行业得到了极大的发展，几乎所有的电子商务都离不开在线支付，各类新型的网络金融解决方案（如：支付宝、财付通、微信支付等）也如雨后春笋般涌现出来。这个时候，金融交易系统服务器的选择就显得尤为重要。如何选择才好呢？

一、政策。所在地是否合法。您选择的业务在香港合法与否，在美国又是哪种情况，这个需要首先考虑，否则以前都是空谈。

二 、地理位置。主要的客户群体在哪里，大陆用户居多，那么就可以选择香港服务器；全球客户居多，就选择美国服务器；欧洲客户居多，就可以选择英国或者德国服务器。当然了，具体情况具体选择，主要是看哪个方便于您的选择。

三、安全情况。这个可以算得上的金融行业的命脉，不容任何损伤。所以在部署的时候，需要进行综合的考虑。

四、硬件配置。金融行业对硬件的要求较高，服务器不容许出现任何问题，因此在选择的时候，我们尽可能的要取用高配置、高稳定性的配置构架。