QB/CUXXX-200X ××××—××××
目 次
11. 范围
12. 规范性引述文件
13. 总体概述
. 企业IT战略目标
. IT能力建设重点
. IT系统建设总体思路
. IT建设原则
. IT管控原则
. IT架构设计原则
. IT系统架构特性
. IT管控原则
. 跨部门协作
. 规范化管理
. 持续发展能力
104. IT能力要求
. 总部层面IT能力
. 总部职能定位
. IT能力要求
. 省分公司层面IT能力
. 省分职能定位
. 省分能力要求
345. 系统架构
. 总体架构
. 应用系统架构
. 总部系统架构
. 省级系统架构
. BSS系统功能架构
. 总部BSS系统功能架构
. 省分BSS系统功能架构
. OSS系统功能架构
. 总部系统功能架构
. 省分系统功能架构
. MSS系统功能架构
. 总部MSS系统功能架构
. 省分公司MSS系统功能架构
. 企业应用集成架构(EAI)
. EAI 的架构组成
. EAI的开发架构
. EAI的运行架构
. EAI的维护支持架构
1506. 系统集成架构
. 总部横向系统集成
. 省分横向系统集成
. 总部与省纵向集成
1637. 数据架构
. 系统数据架构
. 数据分类
. 数据分布
. 数据CRUD
. 数据模型
. 数据管控
1688. 基础架构
. 总体概述
. 基础设施
. 主机架构
. 存储设计
. 备份设计
. 网络架构设计
. 容灾架构
. 容灾建设目标及原则
. 容灾系统综述
. 容灾技术架构
. 容灾中心规划
. 容灾管理
. 安全架构
. 综述
. 安全基础架构
. 应用架构和安全开发
. 身份与访问管理(I&AM)
. 安全运维
. 安全管理
2569. 规范体系框架
. 规范体系
. 总体规范
. 系统规范
. 规范版本管理
前 言
随着中国联通的不断发展,IT系统在企业的运营决策中起了越来越重要的作用,为了更好的发挥IT系统的作用,中国联通IT系统总体技术体制对中国联通未来的企业信息化建设进行了全面而详细的规划和要求,用于指导中国联通未来的IT系统建设。
本总体技术体制适用于中国联通总部及各省分公司的企业信息化规划、建设、运行和管理。中国联通在此之前的文件与本技术体制不一致的,应以本次技术体制要求为准,并在相关的具体规范发布后废止。
本标准由中国联通公司信息化部提出。
本标准由中国联通公司技术部归口。
本标准主要起草单位:中讯邮电咨询设计院、联通信息化部
本标准主要起草人:刘诚明、李旭、陈志超、王颖、杜志涛、梅斌、李吴剑、孙元涛
本标准解释权和修订权属中国联通公司。
范围
本规范阐述了中国联通IT系统的总体技术体制,描述企业的IT战略目标、IT系统建设的总体思路、IT能力要求、IT系统总体架构、集成架构、数据架构、基础架构等。
规范性引述文件
QB/CU 003-2003 《中国联通长途193/17911专业计费系统技术规范》
QB/CU 040-2002 《中国联通综合电信业务支撑系统综合营帐子系统技术规范》
QB/CU 030-2002 《中国联通综合电信业务支撑系统CDMA 专业计费子系统技术规范》
QB/CU 039-2002 《中国联通综合电信业务支撑系统统一客户资料子系统信息模型》
QB/CU 033-2002 《中国联通综合电信业务支撑系统短信专业计费结算子系统技术规范》
QB/CU 001-2007 《中国联通产品管理用户需求书
QB/CU 002-2007 《中国联通营销管理用户需求书》
QB/CU 003-2007 《中国联通渠道管理用户需求书》
QB/CU 004-2007 《中国联通营业管理用户需求书》
QB/CU 005-2007 《中国联通客户资料管理用户需求书》
QB/CU 006-2007 《中国联通信用控制管理用户需求书》
QB/CU 007-2007 《中国联通客户维系挽留管理用户需求书》
QB/CU 008-2007 《中国联通计费帐务结算管理用户需求书》
QB/CU 009-2007 《中国联通经营分析用户需求书》
QB/CU 010-2007 《中国联通移动有价卡管理用户需求书》
QB/CU 011-2007 《中国联通智能卡及号码资源管理用户需求书》
QB/CU 012-2007 《中国联通智能网业务支撑系统用户需求书》
QB/CU 013-2007 《中国联通外部门户用户需求书》
QB/CU 014-2007 《中国联通客户服务管理用户需求书》
QB/CU 015-2007 《中国联通投诉管理用户需求书》
QB/CU 016-2007 《中国联通积分俱乐部管理用户需求书》
QB/CU 017-2007 《中国联通集团客户管理用户需求书》
QB/CU 018-2007 《中国联通数固业务管理用户需求书》
QB/CU 019-2007 《中国联通增值业务管理用户需求书》
QB/CU 020-2007 《中国联通总部业务支撑系统用户需求书》
总体概述
企业IT系统的范围
依据中国联通IT系统总体规划,IT系统分为管理支撑系统域(MSS)、业务支撑系统域(BSS)、运营支撑系统域(OSS)三部分。
MSS系统域包括企业资源计划、企业协同办公、决策支撑系统和企业内部门户系统等。
BSS系统域包括客户关系管理系统、合作伙伴管理系统、综合计费帐务系统、综合结算系统、综合采集系统、经营分析系统、企业外部门户系统等。
OSS系统域包括集成定单管理系统、服务开通管理系统、综合告警监控系统、综合故障单管理系统、综合生产调度系统、综合服务质量及性能管理系统、综合资源管理系统、IT网管系统、服务交付平台等。
企业IT战略目标
中国联通企业IT战略目标是帮助建立核心竞争力,面向客户和市场,推动完成经营目标;固化流程,支撑管理和管控,提高运营的透明度和资源利用率。中国联通企业IT战略核心是“六个建设重点”,“四条建设原则”和“三条管控原则”。如下图所示:
图 3 1 中国联通IT战略目标
IT能力建设重点
中国联通企业IT能力建设主要包括:企业决策支持和管理固化支撑(对管理与决策战略的支持),精细化营销支撑、综合运营支撑、实现收入保障、3G业务支撑(对业务策略的支持)。各项能力具体的主要工作和任务有。
企业决策支撑
建立企业数据规范
统一规范企业数据存储架构
建立企业数据分析能力和系统
管理固化支撑
提高综合办公能力,固化执行流程
为持续的监控和考核提供支持
为内部沟通与合作提供支持
精细化营销支撑
建立客户洞察能力
整合客户交互架构
加强营销和销售应用
综合运营支撑
加强提供综合解决方案的能力
提高网络资源的利用率
综合专业网络能力
强化收入保障
网络绩效提升
精确计费
建立客户信用管理
3G业务支撑
提高对增值服务的支撑和管理能力
融合预付费和后付费平台
加强合作伙伴管理
加强对终端的洞察和管理能力
IT系统建设总体思路
为了解决公司目前IT系统存在的根源问题,完成向规划IT架构的演进,中国联通IT系统建设总体思路就是:
切实做好8个核心系统的建设工作
遵从3套保障体系确保系统的建设成功并且发挥其最大效益
从而提升对6项关键业务能力的支撑
图 3 2 IT建设总体思路
其中,8个核心系统是:
1. 客户关系管理系统(CRM)
实现统一客户视图和统一客户体验,提供全业务的售前、售中、售后全程支撑。
2. 综合计费帐务系统(Billing)
实现对全业务(包括3G)的支撑,消除手工帐务。
3. 经营分析系统(BAS)
能够提供营销分析及客户洞察,快速应对市场变化。
以上三个BSS的系统主要提升的是精细化营销服务和支撑3G业务的能力。
4. 企业决策支持系统(DSS)
能够支持准确、高效的管理层决策。
5. 企业资源计划系统(ERP)
提供人、财、物资源一体化管理,实现收支两条线。
6. 企业协同办公(EOA)
固化企业办公流程,提高经营和管理的效率。
以上3个MSS系统主要提升的是高效企业决策和固化管理流程的能力。
7. 综合运营支撑类系统(OSS)
面向客户提升网络和服务支撑,实现高效率、低成本的运维。
8. 3G业务交付平台(SDP)
整合3G业务平台,加强3G业务管理。
以上2个OSS系统主要提升的是支撑综合运营和支撑3G业务的能力。
在整个建设过程中,需要遵从3套保障体系确保系统的实施成功并且发挥其最大效益。为了确保这些系统能够得到合理的使用,必须有一套完整的业务和管理流程体系;为了保证建设、运维的顺利进行,充分协调IT与业务部门之间的协作,必须建立有效的IT管控体系;而企业统一的规范标准体系是保证系统建设水平和接口统一的基础。
IT建设原则
在设计IT架构和建设时,应遵循四条原则:统一规范,整合系统,适度集中,合理选型。
统一规范
统一规范是确保信息共享、系统长期的发展和整合的保障,这些规范包括:系统架构、功能架构、软硬件的选择、接口规范和数据规范等。
在业务发展初期,为适应高速增长和多边的业务环境,很难制定统一的规范,通常是各省独立选择,标准分散。随着对精细化运营要求的提高,信息数据的整合、应用能力的整合,要求联通必须制定统一的、标准的规范。未来三年中,中国联通总部将逐步制定统一的技术规范和标准,各省分公司遵循执行。
整合系统
整合相关联应用系统,通过信息共享来提高运营效率、决策水平,并且减少系统重复建设的浪费。
当前以业务部门为单位分别建设,这种方式虽然满足了快速增长时期的业务需求,但是造成了资源的浪费。今后在系统建设中应以模块化的方式满足业务需求,从而形成统一的、整合的系统架构。整合系统是一个逐步发展的过程,应首先完成对不同部门间系统的整合,同时实现总部与省分之间的信息共享。
适度集中
为了提高系统建设、维护的投资效率,可以适度采用区域集中的方式进行系统建设和维护。
当前,各个系统的建立主要是以省份为单位进行建设和维护的,各自相对独立。在不改变当前业务运作和组织结构的基础上,在适当时间采用区域集中的方式进行系统建设:选择一些规模较小、业务环境近似的省分,并且充分考虑所建设的系统的特性。
合理选型
合理选型需要根据公司管理的实际情况和不同系统的特性进行详细评估。不制定严格的标准,而针对具体的项目,评估不同方案的特性,结合该项目的具体要求,进行综合评估。
IT管控原则
IT管控是企业提出、制定并执行正确的IT决策的能力,是贯彻IT战略规划、确保IT战略落地实施的重要保障。根据IT使命和战略,在建立管控体系时需要遵循的三条原则:加强跨部门协作,规范化管理,和关注持续发展的能力。
跨部门协作
是以沟通协作为基础,实现整合提升。
提高决策集中度
建立跨部门沟通与协作的机制
在业务部门与IT部门之间建立“客户与服务提供”的关系
规范化管理
建立统一与灵活相结合的集中管理机制。
管理制度的统一和集中
用正规的流程与方法处理不能遵循统一制度的例外情况
持续发展能力
建立一支具有综合能力的管理和工作团队
理顺合作伙伴、知识与经验等资源的管理机制
IT架构设计原则
IT系统架构的设计中需要考虑系统规划落地的可实施性,同时必须遵循以下原则:
设计原则
设计考虑
大市场大客服
统一客户视图、统一客户接触、统一客户感受
综合业务支撑、组合营销、精细化营销
以客户为中心,以市场为导向
加强各系统间的信息共享,加强端到端的流程闭环管理
加强资源整合:客户资源、业务资源整合
加强对合作伙伴业务开展的售前、售中、售后的综合支撑
大运维
流程集中、资源集中
运维出效益,增强网络质量分析
加强IT网管的建设
建立面向未来3G业务的支撑系统
满足3G业务的实时性、多样性、产品复杂性及客户个性化的要求
加强管理支撑
加强企业资源计划
加强看-浏览信息;办-基于OA办公、办会;管-管资产、人员、物资;控-流程的控制等能力的支撑
提高对精确决策的支撑能力
增强知识共享能力
明确总部与省公司的职能划分
总部作为跨省业务流程的枢纽和指导,对各省业务开通进行协调
建立全国性大客户的协调管理功能。全国性业务的批价、计费和出帐下放到省
IT系统架构特性
本体制的IT系统体系架构具有以下一些关键特性:
特点
具体表现
企业级完整的IT蓝图
从联通的整体IT支撑角度出发进行规划,减少部门职责变动引起的IT架构变化
业务、运维、管理全面支持:BSS、OSS、MSS构成完整的IT架构
以EAI为核心的IT系统集成架构,保证流程畅通、数据共享
总部、省分两级部署:IT支撑的全程全网理念
以客户中心的IT架构
CRM:统一客户视图、接触和感受;售前、售中、售后全面支持;支持综合业务、集团客户、异地业务的受理;完整的产品生命周期管理
面向市场的经营分析系统,加强客户洞察能力
运营支撑系统OSS引入服务保障理念,面向客户的运维
面向综合业务支撑
打破业务条块分割,所有系统面向综合业务,提高综合解决方案的支撑能力
其中明确提出集成定单管理的概念,用于支持综合业务的定单处理
跨专业的综合告警、故障、综合服务质量及性能管理、综合资源管理,对综合运维进行有效的支撑
面向3G支撑
合作伙伴关系管理PRM:3G价值链的管理、B2B模式的支持
SDP:为3G业务做好架构上的准备,并明确了CRM、BILLING与SDP之间的接口
综合计费帐务:提供融合计费和实时计费的功能
面向管理支撑
ERP:强化企业资源计划,梳理优化管理流程
面向管理的DSS系统:企业高层数据分析能力,目标定位更加明确
企业协同提高综合办公能力,固化执行流程
IT管控原则
IT管控是企业提出、制定并执行正确的IT决策的能力,是贯彻IT战略规划、确保IT战略落地实施的重要保障。根据IT使命和战略,在建立管控体系时需要遵循的三条原则:加强跨部门协作,规范化管理,和关注持续发展的能力。
跨部门协作
是以沟通协作为基础,实现整合提升。
提高决策集中度
建立跨部门沟通与协作的机制
在业务部门与IT部门之间建立“客户与服务提供”的关系
规范化管理
建立统一与灵活相结合的集中管理机制。
管理制度的统一和集中
用正规的流程与方法处理不能遵循统一制度的例外情况
持续发展能力
建立一支具有综合能力的管理和工作团队
理顺合作伙伴、知识与经验等资源的管理机制
IT能力要求
强大的企业IT能力是中国联通成为国际先进电信企业的基础和必要条件。中国联通的IT能力需要达到以下3大目标。
具有信息共享的能力,信息共享的能力一方面保证了信息在企业内部不同部门、不同业务之间的顺畅流转,另一方面保证了对客户信息的有序整合。这样就可以实现信息在整个企业内的完整共享和有序统一。
具有有效支撑的能力,满足企业在市场竞争和商业运作中的业务需求,提升企业的竞争力。
对IT功能架构、系统架构、乃至以后的系统建设要有前瞻性的指导能力。
中国联通IT能力要求是未来中国联通应该具备的IT能力集合,是IT战略向IT系统架构的过渡,是IT架构设计的基础。
根据中国联通总部和省分公司不同的职能现状和发展思路,公司IT能力要求可以分为总部IT能力要求和省分公司IT能力要求两部分。
总部层面IT能力
总部职能定位
总部的IT能力方向主要支撑完整的管理功能,跨省生产流程的枢纽、指导、协调功能以及部分全国性业务的生产功能,总部不直接面向客户进行销售和服务。总部目前的营帐类系统功能逐步下放到各省。
基于这样的总部职能定位,总部重点建设的IT能力如下:
IT能力要求
下图中蓝色模块所示了未来总部应该重点建设的IT能力。其中有些能力可以由一个IT系统支持,有些能力需要多个系统共同支持,这些能力的完全实现是一个逐步建设的过程。紫色模块表示提供管理功能,不做具体的业务支持。
图 4 1 总部IT能力要求
能力
能力描述
通用接入服务
范围 此能力域包括用户帐号认证、用户权限、生命周期管理、单点登陆认证、等公共服务支持能力,以及对各类门户的接入服务的支持能力。
程度 总部需要建立公共服务的支撑能力,以及对内部和外部的各类门户进行接入支撑的能力,并具备接入省分门户的能力。提供将针对个人客户、集团客户、合作伙伴的各种自助服务接入到外部门户(web/短信/WAP)的能力,提供对企业内部的DSS、OA、知识库等内部门户的统一接入能力。
差距 目前,联通对整体的企业内部、外部的门户没有统一的规划,针对不同业务门户没有统一的认证服务。
安全统一服务
通过集中和应用独立的方式给商业应用提供安全功能的一系列服务
表现层管理
支持在不同应用间迅速执行数据交换的能力。要能够提供不同应用间的信息关联
市场/销售支持
范围 此能力域支撑联通从联通客户和潜在的客户那里获得业务的市场和销售活动。在销售层面,帮助联通进行从销售机会/合同的管理和跟踪一直到销售队伍和销售管理的支持;在市场方面,可以帮助联通进行从竞争者和产品的市场分析、市场智能一直到推广活动规范管理。
程度 对与总部在此能力域上的支撑表现在两个方面:一方面,在获取各省市场数据的基础上,对全国整体市场的宏观管理,指导整体的市场和销售活动,开展全国性的市场推广活动;另一方面,对全国性集团客户(含租线客户)的市场营销进行有效的支撑。能够利用数据挖掘结果, 确定恰当的客户群, 以适当的形式和合理的渠道向目标客户推广活动. 帮助市场人员评价客户对活动反应, 以及活动效果以帮助计划以后的市场推广。能够通过有效的系统支持销售能力,并持续提高了销售绩效(了解销售成本,并将激励机制与销售目标很好的结合在一起;能够对市场环境进行检测,并开展营销活动以符合发展趋势,同时对竞争者的行为作出及时地反应;能够管理内部和外部的销售人员. 帮助销售人员计划和跟踪各省的销售活动。
差距 目前总部缺乏集团客户详细信息, 缺少全国性集团客户的跨省协调管理能力;集团客户销售人员对各省销售情况的掌握, 缺乏系统的全面支撑。
销售机会管理
以有效的方式发布、管理、跟踪销售机会的能力。帮助联通的销售人员处理销售机会-比如可能的全国性集团客户的锁定,包括销售机会相关的查询,产品查询,机会分配,状态收集等
市场推广活动管理
利用多种分析方法,如数据挖掘等,为一个特定的市场营销活动决定适当的客户细分群组、形式、分销渠道和所提供的产品和服务。 执行并分析客户层级的营销活动。使营销人员能评估营销活动的效果并策划今后的活动。 生成并维护营销知识库。 利用所有的渠道进行对外与对内的互动联系。
市场营销
了解客户的倾向和市场的现状。将获取的关于客户和市场的信息进行分析,以用于新产品的开发和服务的开发
销售
向用户提供有用信息,使用户能够选择适合自己的产品;向客户经理、分销商提供需求等信息,帮助他们销售产品。
销售团队管理
管理内部和外部的销售人员。使销售人员能规划和维持销售活动、销售渠道活动、监控渠道的绩效、佣金和激励机制
客户交互管理
范围 此能力域是指通过不同渠道统一的向客户提供个性化的客户服务。它将市场、销售、定单管理、客户洞察和客户服务于其他的功能提升为全面的和一体的结构体系,来支持和维系客户。
程度
总部定位为不做具体的客户接触层面的管理,侧重于对全国性集团客户的跨省流程的协调管理。因此,总部在此能力域上的支撑表现在两个方面:一方面,需要支持协调各省及总部对全国性集团客户的定单处理的能力(如租线客户);另一方面,需要支持对跨省客户故障,全国性的客户(如租线客户)以及一些全国统一开展的业务的客户(如WAP增值业务)进行统一服务的能力。能够通过总部外部门户接入到各省自助服务门户,向客户提供网上账户信息,账单,付费状态等查询功能;能够控制订单的录入,辅助订单的处理,引导操作人员进行必要的产品配置,并对订单进行分析和跟踪;能够获取,记录和处理所有客户关于服务的投诉,并能存储建议的解决措施。系统能够支撑实时地报告机制,能够将大部分客户交互相关的应用整合在一个接触面上。他们记录与客户接触的历史,包括文字和语音的记录,将大部分的客户接触整合出统一的视图,基本上所有与用户接触的历史信息,都能够有效的存储并分析利用。
差距 目前客户交互分别在不同的系统中进行,没有整合。对客户接触信息的历史记录不全,对客户接触信息的利用不足;缺乏对客户接触信息的共享,各个客户接触渠道之间没有缺乏共享信息及知识库;对全国性客户的定单和服务没有有效的支撑。
产品方案配置
是指通过对客户的需求和不同的选择来配置客户定购产品/服务的能力,此部分只是前端的展示支持,后端支撑在计费能力中体现
订单处理
订单处理包括从订单接收、订单稽核、订单分解到订单跟踪和订单管理的完整能力
客户投诉管理
能够获取、记录并处理所有客户服务的投诉,并附加上建议的修改措施。当投诉故障单生成之后,会通过工单分配到相关的业务部门。这些执行情况都应该被实时监控一直到问题解决为止。
统一客户管理
范围 此能力域是指对客户数据进行统一管理的能力,并能提供客户资料的统一视图。
程度 总部需要支持对全国性集团客户(如租线客户)的资料统一管理的能力。能够控制对客户和账户信息的生成,修改,更新以及其他维护操作;支持对所有与客户分级以及账户分级相关的信息的定义和维护;支持对全国性客户的SLA/Qos协议进行统一的管理;能够对企业的各项政策进行严格的维护和控制,包括控制对政策的编辑和修改的工具,能够维护对所有客户,一部分客户和针对某些客户的特殊政策(业务规则)。
差距 目前全国性客户信息准确性没有系统保证,集团客户统一视图缺失,造成客户发展目标模糊;客户资料分散在多个系统中、难以形成统一视图。客户数据无法在不同的业务部门和客户接触渠道间共享;整体缺乏对用户欺诈行为的主动监控和分析。
客户和帐户资料管理
提供生成、修改、维护客户和帐户信息的控制。
客户和帐户层次管理
定义和维护与客户和帐户层次有关的所有信息
客户合同协议管理
管理与客户签订的合同协议,包括SLA/QoS合同协议
服务控制与执行
范围 此能力域使得运营商可以促进革新和加速推出市场需要的移动和固定增值业务。服务交付架构定义了根据不同运营模式和基于内容的计费模式的E2E服务交付能力。目前实际业务中主要是指对增值业务支持的能力。
程度 总部需要支持对全国性增值业务进行快速开发的能力,以满足省分市场的快速驱动力以及未来3G业务发展的要求。未来的服务生成系统具有快速支撑服务部署的能力,并且提供完善的SDK,能够快速在服务控制平台上面集成新的应用;服务控制系统支持对于各种增值业务的实时预付费控制以及预付费后付费融合;能够在一个平台上提供多种第三方网关接口的能力;服务控制创建系统可以提供和运营商其他系统整合的能力,如与CRM系统之间共享产品目录以及服务订购信息等。
差距 目前,总部的全国性增值业务不支持实时预付费控制,造成用户欠费,运营商的实收款小于应收款,导致收入流失;不支持对第三方业务提供商的内容进行的管理。大多数增值业务的内容都存放在内容提供商的主机上。无法对SP以及CP的内容进行统一管理,就无法杜绝欺诈行为的发生;联通的增值业务平台的计费独立于综合营帐和客户服务系统,无法为用户提供完成的增值业务和语音业务的捆绑销售。总部的增值业务系统存在定购关系,但省分的系统没有定购关系,这样导致了对省分业务开展的支撑不力。
服务创建和执行
服务的创建和执行是一整套用来创建、容纳、执行、和向客户交付基于内容的应用的环境。它提供给开发者一套库、SDK和配置工具使得更简单快速的业务开发成为可能。还提供了执行环境架构。提供了管理多媒体内容的能力和数字权限管理的功能
服务代理
提供基本中间件以搭建复杂业务功能的能力。使用了工作流建模和执行引擎去执行业务逻辑。提供了更灵活的业务搭建模块模型
第三方接入网关
提供运营商以安全、标准化、受控的方式向外部服务提供商展示公共功能的能力
服务控制
提供集中管理与增值业务应用有关的客户、业务相关的信息,和一套控制客户使用服务的安全特性
产品/产品集管理
范围 此能力域包括了从定义产品和服务特性、支持产品规划过程、管理产品集、供应产品信息和跟踪产品绩效、使用和问题的所有功能。
程度 总部主要完成对全国性增值业务产品的统一管理和支撑。增值业务产品管理涵盖了从产品推出,到跟踪、特性修改、到产品推出的整个生命周期。能够系统能够支持产品设计的各个环节,基于共同的愿景和发展规划,高效的结合在一起,使产品开发通常快于竞争对手,能够使企业处于“市场领跑者”的地位;能够根据市场的供需情况和其他相关因素,进行产品价格分析,辅助产品捆绑的设计和定义,并能评估不同的价格定义的效果和影响;能够辅助产品和服务的开发,并维护着一个完整的产品目录, 这样的产品目录能够为销售,订单管理,服务实现,客户管理等提供基础的数据信息。能够支持对整个产品开发流程的管理,提供企业知识的共享。还能够沉淀必要的数据,对产品的使用进行预测,并提供灵活的报表辅助决策制定;能够对客户和产品使用进行分析,从而对市场占有率进行评估,分析增长率,获取产品需求的预测,评估新产品或产品变更对收入和市场可能带来的影响。能够对产品在推广,销售和计费等环节的绩效进行跟踪。
差距 目前产品和服务创建和开发战略缺少数据分析的支撑,基本依靠手工数据,或者采取对竞争对手的跟随战略;在联通,严格的“产品(商品)”概念还没有建立起来,计费和业务系统分散使得联通目前只能为客户提供套餐,而不是严格意义上的产品捆绑;IT系统缺少对产品规划和开发过程的监督。产品投放市场前的测试和预测没有系统支撑;几乎没有IT系统支撑对产品绩效的追踪和监控。对资费的管理没有整体的IT支撑,仅限于分散的表格维护。
产品和服务创建
提供产品和创建产品与服务的能力
产品和服务开发
支持产品服务的概念设计,产品和服务的体验设计,以及业务基础构架的计划
产品管理
开发产品和服务并维护产品目录;这产品目录作为销售、定单管理、交付、政策结构、和客户管理等系统的中心参考数据库
定价管理
提供能力来基于市场供给、需求和其它因素来定义产品的价格;也能够将产品组合捆绑或形成产品包,并评估不同价格所产生的影响
产品绩效分析
分析产品的使用信息,以提供市场份额、市场增长分析、产品需求预测、收入预测、新产品和改良产品对市场造成的影响
服务交付管理
范围 此能力域是指对各类开展的前端业务在后端可以进行服务开通支撑的能力,主要包括集成工单管理,服务开通管理。
程度 总部需要支持全国统一管理的客户(如宝视通客户)的服务开通的能力。集成定单管理可以利用自动或手工方式,将分解后的服务定单发给多个不同的服务开通系统以及外部的合作伙伴;可以跟踪定单的执行状态,并且和CRM系统相连,用户可以通过CRM系统查询定单的执行状态。
差距 目前联通的数据专线业务没有统一规划的集成定单管理系统。很多业务的定单分解以及定单管理都是手工完成的,因此执行效率低,开通周期长,监管难度大。
集成定单处理
对BSS系统的定单输入和/或客户业务自助能力提供基本关联,并对综合的定单进行分解到不同的服务开通单元的能力
服务开通管理
对服务的开通、提供、指令集的正确、及时执行提供管理和跟踪
服务保障管理
范围 此能力域对各种不同类型的网络(如传输网络、电路交换网络、IP网络等)进行统一的配置管理、故障管理、性能管理、安全管理的能力,对通过各种手段获知的网络故障进行统一管理和解决的能力。
程度 总部需要对开展的各类全国性(如CDMA 1X增值业务)的业务进行服务和保障。同时需要支持对全国一级干线传输网、一级汇接网的综合管理和分析能力。故障管理支持对来自同一个设备的故障进行管理,支持同一个业务不同设备间的故障管理,支持跨业务的故障管理。支持对各种故障的灵活过滤。通过规则设置,过滤掉重复故障,可以对故障的优先级别进行排序;测试与诊断能够提供集中的工具,对不同功能域的网络有效性进行检验,确保网络能够提供正确的服务和资源。
差距 目前联通能够支持简单的来自同一个设备的故障相互关联,不支持跨业务及跨设备的故障管理。当故障出现时,需要有大量的故障告警进行分析,耗费了大量人力,故障解决时间长,故障造成的损失大;网管系统是分散建设的,不支持跨专业的网络诊断及测试。另外,测试与诊断的手段比较有限。无法主动发现网络故障或者潜在故障,造成不能够及时发现故障或者预防故障的发生,影响网络服务质量,造成收入流失,客户满意度差。
网络故障管理
主要是管理问题的集合、升级和解决。问题工单可以被其他的OSS应用自动生成,或者客服代表或授权用户手工生成,甚至被订购者通过不同的用户界面手工生成。它将不同的工作流程结合起来,通过自动或手动的流程来启动故障的解决措施。 故障解决主要包括接收客服中心申告故障单,对故障进行的鉴别、定位、派单、跟踪故障全程处理、向客服中心报告故障处理情况,以及通过对网络运行分析功能和对其它系统中获取的相应数据的分析,提供网络运行故障对客户服务影响的分析和报告
工作组管理
通过对工作人员及工作流的管理,加强对服务提供及运维调度的保障
服务水平管理
监视网元、业务员(服务器、业务应用等)以及给定业务的定购者,收集使用量和流量参数。通过建立绩效阈值(包括IP metrics比如报文阻塞、重发、路由次数等)、网络流量监视和容量划分(爱尔兰或Mb/s) 确定是否有对Qos和SLA的违背和可能的收入流失。所有的系统都必须确保能依合同中的服务水平协议来交付所需的服务质量。
网络测试和诊断分析
提供了一套集中的能力验证和确保网络服务和资源工作正常。集中化的测试与诊断能够允许测试在跨越不同网络域的服务层上进行
错误告警管理
涉及到对从网络和网元生成的告警、警告的主动监视。包括了监控多个网络和网络组件所生成的警报和故障。一旦发现有网络中断或达到了性能的最低值,事件/故障管理器就负责监管其问题处理程序。同时,有关的和受影响的网络/服务组件、服务和用户被确认出来。通过警报监控、确认故障地点、故障修正、和测试来实现网络故障管理的功能。在过程中,会生成故障单,以协助适当的人员或工具来解决问题
网络性能管理
性能管理主要负责监控网络和服务组件(例如服务器、服务应用程序)以及某项服务的用户,并收集使用状况和网络流量参数
资源管理
范围 资源管理对企业能形成通信能力的所有网络和基础设施资源进行综合管理,包括物理资源和逻辑资源等的管理,从而实现资源的集中管理、优化配置和统一调度。
程度 总部需要支持对全国的局数据码号资源以及总部直接管理的各类资源的管理。未来的资源管理系统可以覆盖各个专业、各种网络,可以对立体的网络资源进行多维管理和分析。
差距 目前,联通总部各个专业的网管系统独立建设,之间没有接口,无法统一有效的对网络资源进行管理和优化。
资源管理
资源管理储存当前的、规划中的、和历史的网络资源(物理的、逻辑的、和虚拟的)。它包括码号资源、网络设备、站点信息、网络和服务器等。服务交付架构中需要用这些信息来查看可用的资源以满足客户的需求。规划和开发工具也用这些资源信息来确认网络和服务规划可用的空间和资源。此外,服务保障管理也需要这些精确的网络资源数据库来确认故障的来源、找出影响、为服务恢复重新规划网络及其组件、为现场的技术人员提供精确的网络信息。
资源分配管理
为服务配置/服务开通保留必需的网络资源(物理的和逻辑的)。这包括保留物理组件,例如路由器上的端口和电路等。 这也包括设计并分配来自应用服务、政策管理(例如动态PDP环境分配)、动态IP的资源。要能保留必需的资源,必须有实时并准确的网络资源、配置和容量的信息
网络拓扑管理
网络拓扑管理包括GIS/拓扑功能,使不同的网络管理系统(例如网络资源、故障等)能将网络及其组件的信息(例如网络资源的位置、警报等)置于地图和拓扑图来代替。这些地理视图能更好地帮助规划、发展、交付、以及网络和服务保障。客户代表和用户也能用这些拓扑图来确定服务中断和网络故障。网络拓扑管理还包括在已经建立的网络资料和资源配置的基础上建立并维护反映整个网络资源和业务分布情况的逻辑图即拓扑图
综合结算处理
范围 此能力域是指对涉及需要结算的计费数据进行预处理、批价并生成结算结果的能力。它主要包括与国外电信运营商进行国际摊分结算,与国内其他电信运营商及中国联通公司内部各省分之间、各分支机构间及各业务网间的结算。
程度 总部需要支持与国外电信运营商进行国际摊分结算以及省分之间的摊分结算。能够支持所有对多个供应商/合作伙伴计费的系统, 并为其中的流程提供必要的信息交互。
差距 目前联通的结算系统基本支撑了业务的处理。
结算协议
维护运行商定义和互连互通的协议,包括互联互通运营上的计费基本资料的维护与定义、互联互通协议(互联互通产品和资费结构)的维护与定义、物理的网络互联互通信息(POIs)的维护与定义
结算处理
根据结算协议中规定的结算方法进行计算处理,最后生成结算结果数据。
综合采集
范围 负责处理实时和非实时的收集使用量详单和其他来源的数据。接受、验证、更改、格式化所有事件,这些事件正在等待批价或者已经被其他系统批价并导致了对用户的扣费。
程度 总部需要支持对支撑总部业务的各类交换机、网关、服务器等网元设备的采集能力。未来的综合采集可以对来自不同网元不同业务的使用记录进行关联,并且可以通过配置实现对于新增网元设备的支持。
差距 目前联通的采集预处理分散于不同的专业计费系统,灵活性差,并且不支持对事件的关联处理,无法有效的支撑3G业务;系统扩展性差,每增加一种网元或者设备升级,都需要改动程序;只有呼叫成功的详单被记录, 其它的呼损的记录没有进行通话行为分析, 无法提早检验线路问题,并进行客户挽留举措。
计费数据收集
收集任何与客户使用网络资源有关的数据。这种收集可以使实时或者周期性的,基于流的或者批量文件的、数据能够从网络主动推出或者使用采集系统拉出。涉及的网络有不同的网元:交换机、网关、智能网平台(预付、后付融合)等
数据预处理
提供对从网元接收的数据进行统一格式化,并进行剔重、查错等处理
收入保障
范围 此能力域是指确认收入流的各个环节被系统正确的处理的能力。
程度 总部需要支持对国际通话的防欺诈控制能力。同时对数据采集、批价、结算等各环节进行控制,侦测并防止可能的收入流失。未来的收入保障应该可以高效的监控收入流的情况,对流失可以提供及时的告警功能,减少企业的收入流失风险。
差距 目前,总部并没有对这些收入流进行各个环节的监控,完全依赖计费和结算本身进行处理,也没有针对国际通话的防欺诈能力,导致收入的流失存在很大的风险。
防欺诈和控制
通过设置信用额度和控制欠债帐户等方式来防止欺诈。也包括通过一个信用度的判定程序来检测假身份和假信用信息
收入流失监测和控制
对计费和收入收集过程进行监视和报告,以侦测可能的收入流失
合作伙伴关系管理
范围 此功能域包括了所有与CP/SP合作伙伴、联盟、代理商等关系管理有关的能力。也包括管理销售和渠道伙伴的能力。合作伙伴管理应该提供通过内部网/因特网按时向合作伙伴以及有关第三方提供信息的功能。
程度 总部在此能力域主要是对全国性合作伙伴(如全国性SP等)进行管理支撑的能力。能够向合作伙伴传达明确的、一致的价值定位,并提供相应的条件帮助合作伙伴作出财务上的决策。 在开展合作前对风险和收益进行充分的分析,根据企业的战略目标主动选择合作伙伴,并在恰当的市场上加快对潜在需求的覆盖;能够具有世界水平的商务谈判技巧,并且谈判目标与合作伙伴通常相一致;能够辅助合作伙伴电子化地根据其需求估算来管理销售过程, 以及配置解决方案. 帮助合作伙伴更有效的配置复杂的产品, 建立和管理面向市场的销售渠道;能够帮助合作伙伴通过电子化手段管理从订单录入, 到订单处理, 订单确认的整个采购流程. 在竞争激烈的通信行业中, 帮助合作伙伴简化订单流程, 提高效率, 保持竞争优势;能够管理渠道系统内从产品生成, 到服务意识以及技能/素质增长的各个学习过程. 通过相互的培训, 可以增进合作伙伴间的商业关系, 并提高不同团队间的工作效率。
差距 目前合作开展前, 对分销商的合作缺乏风险和收益的分析机制及手段;分销商的绩效考核, 存在系统支撑的不足;对SP管理缺乏统一规范的系统支撑;品牌管理难以和合作伙伴形成互动;对合作伙伴的信用额度, 缺乏监控和跟踪的流程与系统。
关系管理
使得企业招募、准备和监督合作伙伴去盈利性的销售产品和服务。包括确认潜在的合作伙伴、建立合作关系、与合作伙伴在客户解决方案的执行中共同工作、让合作伙伴投入销售机会等
合作伙伴订单管理
使合作伙伴能电子化管理从订单录入到确认的采购过程。在竞争激烈的电信市场中,公司若能很快开发并推出新产品新服务,就能具有决定性的竞争优势
结算管理
结算管理包括定义系统和财务结构,以用来向多个供应商和伙伴出帐,并支持流程中必要的信息交换
售后服务
使合作伙伴可以电子化管理服务,并支持使用自我服务工具完成从确认到问题解决的流程
协同
保持渠道网络的合作,通过知识和信息的分享和进一步的协调来获取更好的商业机会和服务客户
相互培训
管理因产品/服务创建的学习过程,提供开发新技巧的意识和渠道网络的竞争力
合作伙伴销售和渠道营销
使得合作伙伴可以电子化得管理从销售机会评估、解决方案配置、产品比较到报价生成的销售过程。这个过程帮助提高销售准确率和对于渠道伙伴的其他支持
帐户管理
记录和监视帐户状态。跟踪合作伙伴信用额度以及计费等其他财务信息
商业智能
范围 此能力域支持通过对企业各类基础运营数据的挖掘和分析,转化为知识,为企业的决策提供有力的支撑,以帮助企业达成其商业目标的能力,它包括数据仓库、报表、盈利增强、客户分析、市场和竞争者洞察、合作伙伴洞察几个方面。
程度 总部需要在对省分数据进行汇总分析的基础上,加强对全国整体运营状况的把握能力,进行公司整体方向的决策。对客户、市场和竞争者以及合作伙伴有深入洞察能力,能有效的支撑市场营销政策的制定,获取更大的商业利润;将企业所有的数据转化成可用的高价值信息;能够根据核心的业务需求生成集成和统一的数据视图;转化和存储从各个系统获取的客户数据(市场,销售,计费),帮助运营商最大程度的满足客户的需要,偏好,挖掘客户的潜在价值;能够收集,组织和分析市场和关键竞争对手的信息,以支持客户忠诚度,产品促销,产品变革,新产品开发定价,交叉销售,升级销售,以及一对一销售等市场营销活动;能够提供了一个让企业和合作伙伴通过决策制定和报告来评估其渠道效率的工具。
差距 目前缺乏企业级的数据仓库,数据和以及对数据的分析都分散在不同的系统中。缺乏统一的分析。目前存在的经营分析系统更多的是提供报表,缺少深层次的洞察和挖掘。并且经营分析系统没有与ERP和财务系统获取数据进行分析。市场和竞争对手的分析,以及合作伙伴的洞察没有系统支持,停留在手工或者空白的阶段。
数据仓库
支持通过综合和转换公司各系统的基本信息为可以进一步挖掘的原子信息,使这些信息可以为企业的发展带来更大的价值。
报表
通过基于核心业务需求的选择信息提供综合和统一的业务视图,供企业制定决策
盈利增强
将企业各级各部门以及有关客户、伙伴、对手的衡量标准、决策和决策者与企业的最终目标(盈利)一致起来
客户分析
分析、转换和存储其他系统地客户数据,以使内容和客户的需要、偏好和潜在价值相适应
市场和竞争者洞察
收集、组织、分析市场和关键竞争者信息以支持市场营销方面的主动措施,比如忠诚性活动、产品促销、产品转换、新产品开发和定价、交互销售以及客户化的一对一营销
合作伙伴洞察
通过决策和报表工具,帮助合作伙伴和企业来测量渠道表现的有效性和绩效
资源数据分析
通过数据挖掘,分析各类资源的分布状况、能力状况,为企业的发展决策、企业经营决策提供有力的依据
企业协同
范围 此能力域是指对企业内部各个部门的协作办公的支撑能力。它通过各种通信、工作流等基础IT能力来支持企业的各类信息的共享,公文的流转,日常事务的支持,从而使企业整体协同的工作,提高企业的管理能力。
程度 总部需要支持对总部内各个部门之间以及总部与省之间的协同工作。能够有效实现电子邮件,待办任务,日程安排,公文办理,通知管理,领导督办,报告审批,信息共享等功能。
差距 目前能实现基本协作办公和公文流转的功能,但缺少与其他系统的接口,也无法实现一点登陆,并缺少闭环反馈机制;缺少统一的门户和统一认证。
流程管理
主要是对指企业内部管理性工作流程的支持,为企业管理办公流程自动化和流程再造提供了坚实的基础平台,如电子公文的流转支持等。流程管理还需要支持与其他流程的整合能力。
通信服务
是指通过各种手段来协助企业员工完成协同的工作。如短信、E-Mail、即时通信、互联网等通信手段
内容管理
是指对企业对内,对外发布信息的管理。如公文信息,管理性文档、规章制定、新闻信息等
日常事务
是指对企业的各种日常性的物品或资源的使用或消耗进行管理,并对具体的使用和消耗进行跟踪和费用管理。如会议的管理、车辆的管理、座位的管理、办公用品的管理等
知识管理
范围 此能力域是实现有效知识管理的基础,是协助获取知识、存储知识、分享知识、利用知识的一种能力。它对知识的整个生命周期进行管理。
程度 总部需要支持对各类知识资源进行分类管理并提供全面的搜索引擎能力,同时建立分级的权限管理为省分公司进行服务。企业内部有体系的知识库系统能够对各项业务,各个部门的知识传递、培训、效率提高起到促进的作用。
差距 目前没有整个公司共享的知识库,没有提供有效的知识搜索和在线学习的能力。
知识库管理
是指对知识存储,分类,访问权限安全进行有效管理并为知识的传递提供支持的能力。如通过故障知识库可以有效诊断过程,通过客户交互政策可以对内进行培训,对外让客户了解概要的政策信息等。
搜索引擎
检索是知识管理的核心能力要求,检索的效率和质量决定了知识管理的优劣。要支持企业内部知识的全文搜索,满足知识的快速获取能力。
在线学习
在线学习(e-Learning)是知识管理能力中的一个重要方面,承担着企业人员获取知识的作用,一般主要包括课程目录,学习过程管理等方面的能力
企业资源计划
范围 此能力域包括对企业资金, 物料和设备资产,设施、人力资源以及供应商的管理, 同时支持实际绩效同计划、目标的衡量。基于企业战略, 企业绩效KPI可以在系统内定义, 并被跟踪和分析。
程度 总部需要支持对中国联通公司整体的人力资源、财务状况、物料设备、工程项目进行管理的能力。数据应该准确、及时、全面的反映了企业内部资源的现状,数据不应该出现相互冲突,对供应商的管理能够使供应商的绩效与公司业务目标保持一致。各项企业活动对企业的影响可以在系统中被反映出来。
差距 目前省分对人力资源管理基本没有支撑,工程项目管理的支撑很弱、企业绩效管理的支撑不强。主管信息系统的信息来源没有经过整合。数据不准确,不及时,不全面的情况比较常见。数据时有相互冲突的情况。对供应商的管理基本没有支撑。无法全面有效的掌控企业现状
供应和库存管理
管理产品流和供应者相关的信息。供应与库存管理包括存储、运输、房间管理、送货过程、下载、确认等。所有的行动都被跟踪和实时保存以跟踪交货的状态。
主管信息
主管信息是指将一系列系统和功能再次组织使得高级管理层能够在合适的时间合适的地点接触和分析关键的公司信息
财务和会计管理
支持公司的外部财务,包括固定资产、货币基金、债权人帐户和预算监督。处理公司的欠债人帐户和收债。提供最新的资产负债信息。确保公司成本与岁入的确定性。管理项目的经济和财务方面的信息。
人力资源管理
支持人力资源需要得计划、选拔、管理、评估和开发。
工程项目管理
工程管理是完成对集团公司建设项目的管理,实现对工程项目全过程的管理和控制,为管理层提供决策支持信息,以提高工作效率,促进投资管理、工程管理工作的规范化和科学化。
企业绩效管理
此能力域支持那些管理企业资金, 物料和设备资产,设施、人力资源以及供应商的功能, 同时支持实际绩效同计划、目标的衡量. 基于企业战略, 企业绩效KPI可以在系统内定义, 并被跟踪和分析
省分公司层面IT能力
省分职能定位
确定省分的IT能力方向是主要面向省分业务运营提供完整的生产支撑功能以及一定的管理支撑功能。
基于这样的职能定位,省分未来重点建设的IT能力如下:
省分能力要求
下图是省级的二级IT能力要求,图中蓝色模块所示了未来省分公司应该具备的具体IT能力。其中有些能力可以由一个IT系统支持,有些能力需要多个系统共同支持,这些能力的完全实现是一个逐步建设的过程。
图 4 2 省分IT能力要求
能力
能力描述
通用接入服务
范围 此能力域给应用以管理对应用和/或安全政策的单方面接入。包括支持用户帐号认证、用户权限、生命周期管理、单点登陆认证等公共服务支持能力,以及对各类内部外部门户应用的接入支撑能力。
程度 省分需要建立公共服务的支撑能力,以及对内部和外部的各类门户进行接入支撑的能力。提供将针对个人客户、集团客户、合作伙伴的各种应用服务接入到外部门户(web/短信/WAP)的能力,提供对企业内部的DSS、企业协同、知识库等内部门户的统一接入能力。
差距 目前,联通对整体的企业内部、外部的门户没有统一的规划,针对不同业务门户没有统一的认证服务。
安全统一服务
通过集中和应用独立的方式给商业应用提供安全能力的一系列服务
表现层管理
提供在不同应用间迅速执行数据交换的工具和宏。要能够提供不同应用间的信息关联
市场/销售支持
范围 此能力域支撑联通从联通客户和潜在的客户那里获得业务的市场和销售活动。在销售层面,帮助联通进行从销售机会/合同的管理和跟踪一直到销售队伍和销售管理的支持;在市场方面,可以帮助联通进行从竞争者和产品的市场分析、市场智能一直到推广活动规范和渠道分析的活动。
程度 省分能力侧重于具体市场/销售业务的开展,结合总部的指导意见,具体细化到本省的具体操作,同时对各地市的因地制宜提供灵活的不同的支持和控制。能够帮助销售代表, 分销商以及终端用户销售产品, 并赢得新的/改良的服务.营销活动的成功在于实现了显著的提升效果(净现值显著大于零);能够利用数据挖掘结果, 确定恰当的客户群, 以适当的形式和合理的渠道向目标客户推广活动. 帮助市场人员评价客户对活动反应, 以及活动效果以帮助计划以后的市场推广;能够对渠道进行了有效的评估,并针对不同的分群使用不同的渠道,从而使渠道成本低于竞争对手;能够通过有效的系统支持销售能力,并持续提高了销售绩效(了解销售成本,并将激励机制与销售目标很好的结合在一起;能够对市场环境进行检测,并开展营销活动以符合发展趋势,同时对竞争者的行为作出及时地反应;能够管理内部和外部的销售人员. 帮助销售人员计划和跟踪销售渠道的活动, 并监控渠道的业绩, 佣金和积极性。
差距 目前缺乏客户详细信息, 及客户消费行为挖掘能力;渠道管理缺乏细分支撑;销售人员对销售情况,渠道的掌握, 缺乏系统的全面支撑;在产品推出前, 缺乏有效的成本/赢利演练模型。
销售机会管理
以有效的方式发布、管理、跟踪销售机会的能力。帮助联通的销售人员处理销售机会-比如可能的CDMA业务大客户的锁定,包括销售机会相关的查询,产品查询,机会分配,状态收集等
市场推广活动管理
利用多种分析方法,如数据挖掘等,为一个特定的市场营销活动决定适当的客户细分群组、形式、分销渠道和所提供的产品和服务。 执行并分析客户层级的营销活动。使营销人员能评估营销活动的效果并策划今后的活动。 生成并维护营销知识库。 利用所有的渠道进行对外与对内的互动联系。
市场营销
了解客户的倾向和市场的现状。将获取的关于客户和市场的信息进行分析,以用于新产品的开发和服务的开发
销售
向用户提供有用信息,使用户能够选择适合自己的产品;向客户经理、分销商提供需求等信息,帮助他们销售产品。
销售团队管理
管理内部和外部的销售人员。使销售人员能规划和维持销售活动、销售渠道活动、监控渠道的绩效、佣金和激励机制
渠道管理
通过多种销售渠道和客户联系渠道(运营商自有渠道-自有营业厅,10010以及通过合作伙伴和分销商-合作营业厅、其他合作伙伴获得的渠道)来分销联通的产品和服务。通过对人员、流程和技术进行最优化,以获得持续收益增长。此能力着重分销渠道的扩张,在不同渠道间的产品有区别的定价和包装,强大的分销成本控制和效率衡量,对终端客户和分销商应提供那些服务的权衡。包括实体管理,佣金结构,佣金计算,渠道绩效监督。
客户交互管理
范围 此能力域传递了独立于交互渠道的个性化的客户体验。它将市场、销售、定单管理、客户洞察和客户服务于其他的能力提升为全面的和一体的结构体系,来服务和维系客户。
程度 省分需要支持对本省的各类客户进行综合交互服务,并可以针对不同的客户级别提供差异化服务的能力。其中包含对普通客户、大客户、集团客户的服务能力。能够提供给客户网上账户信息,账单,付费状态等的查询功能,让客户通过上网的方式获得服务;能够控制订单的录入,辅助订单的处理,引导操作人员进行必要的产品配置,并对订单进行分析和跟踪;能够获取,记录和处理所有客户关于服务的投诉,并能存储建议的解决措施。系统能够支撑实时地报告机制,在从投诉工单生成到问题得以解决的过程中对投诉进行必要的自动升级并对负责人发出提醒信息. 报告能够显示于该投诉相关的信息;能够将大部分客户交互相关的应用整合在一个接触面上。他们记录与客户接触的历史,包括文字和语音的记录,将大部分的客户接触整合出统一的视图,基本上所有与用户接触的历史信息,都能够有效的存储并分析利用。
差距 目前客户交互分别在不同的系统中进行,如客服系统、营帐系统。客服交互平台分散。没有整合。客服系统比较分散,有10010,10018,10019等系统;对客户接触信息的历史记录不全,除了客服系统记录与客户的接触历史外,其它客户渠道仅有少量有手工简单记录. 对客户接触信息的利用不足;缺乏对客户接触信息的共享,各个客户接触渠道之间没有缺乏共享信息及知识库;客户自助门户建设不足,目前基本只能提供话费查询服务。客户自助门户系统分散,后端没有集中的处理平台;营业受理和账务管理功能混杂在一个系统中。并且营业定单受理功能在不同的营帐系统中均存在;客户投诉的处理没有知识库共享。
产品方案配置
是指通过对客户的需求和不同的选择来配置客户定购产品/服务的能力,此部分只是前端的展示支持,后端支撑在计费能力中体现
订单处理
订单处理包括从订单接收、订单稽核、订单分解到订单跟踪和订单管理的完整能力
客户自助服务
为所有客户服务能力提供单一的联系平台。获得并记录与客户的所有联系的详细情况。 这单一平台就是众多互动渠道的单一窗口。可以包括客户话费查询,自助服务等
客户接触管理
对所有客户关怀项目提供单点接触。捕捉和记录同一客户所有书面和口头接触的详细内容。单点接触是许多渠道交互的单一视图。每一次接触就是一个销售机会,所以支持越多的互动渠道(电话、网络、短信等等)就会带来更多的销售机会。所有的客户互动情况都被储存、分析、评估
客户投诉管理
能够获取、记录并处理所有客户服务的投诉,并附加上建议的修改措施。当投诉故障单生成之后,会通过工单分配到相关的业务部门,直到问题被解决之前,会有实时的监控产生报告。
统一客户管理
范围 此能力域是指对省的各类客户数据进行统一管理的能力,并能提供客户资料的统一视图。
程度 省分需要支持对本省的个人、集团客户以及由总部框架协议而来的集团客户的资料统一管理的能力。能够控制对客户和账户信息的生成,修改,更新以及其他维护操作;能够根据业务规则和相关客户政策维护客户的忠诚度奖金,积分,兑换等的状态和信息;支持对所有与客户分级以及账户分级相关的信息的定义和维护;能够维护一个实时的客户债务和客户信用余额表,对客户信用额度进行监控,并对计费或者其财务应用提供信息;具有一定的信用和欺诈监控功能;能够对企业的各项政策进行严格的维护和控制,包括控制对政策的编辑和修改的工具,能够维护对所有客户,一部分客户和针对某些客户的特殊政策(业务规则)。
差距 目前客户信息录入的准确性没有系统保证,集团客户统一视图缺失,造成客户发展目标模糊;客户资料分散在多个系统中、难以形成统一视图。客户数据无法在不同的业务部门和客户接触渠道间共享;整体缺乏对用户欺诈行为的主动监控和分析。仅限于对用户信用额度的手工计算,功能和维度单一,不能及时反映客户信用状况;客户维系挽留系统目前的数据模型对现实情况还不能起到有效的指导作用。对客户的维系挽留大部分情况下仅能参考客户的ARPU。
客户和帐户资料管理
提供生成、修改、维护客户和帐户信息的控制。
客户信用度
通过例如设置最大消费额和控制欠债帐户等的方法避免欺诈的能力。也包括通过信用决策的过程识别非法身份和错误信息。
客户忠诚度
根据商业规则和顾客忠诚度政策维护忠诚奖励和记分的记录、消费、调整
客户和帐户层次管理
定义和维护与客户和帐户层次有关的所有信息
客户合同协议管理
管理与客户签订的合同协议,包括SLA/QoS合同协议
服务控制与执行
范围 此能力域是指使得运营商可以促进革新和加速推出市场驱动的移动和固定业务. 服务交付架构定义了根据不同运营模式和基于内容的计费模式的E2E服务交付能力。目前实际业务中主要是指对增值业务支持的能力。
程度 省分需要支持对各类增值业务进行快速开发生成的能力,以满足市场的快速驱动力的要求。未来的服务生成系统具有快速支撑业务部署的能力,并且提供完善的SDK,能够快速在服务控制平台上面集成新的应用;服务控制系统支持对于各种增值业务的实时预付费控制以及预付费后付费融合;能够在一个平台上提供多种第三方网关接口的能力;服务控制创建系统可以提供和运营商其他系统整合的能力,如与CRM系统之间共享产品目录以及服务订购信息等。
差距 目前,省公司缺少增值业务统一管理平台;增值业务不支持实时预付费控制,造成用户欠费,运营商的实收款小于应收款,导致收入流失;不支持对第三方业务提供商的内容进行的管理。大多数增值业务的内容都存放在内容提供商的主机上。无法对SP以及CP的内容进行统一管理,就无法杜绝欺诈行为的发生;联通的增值业务平台的计费独立于综合营帐和客户服务系统,无法为用户提供完成的增值业务和语音业务的捆绑销售。对于全国中心增值业务提供的服务,各个省没有保存订购关系。
服务创建和执行
服务的创建和执行是一整套用来创建、容纳、执行、和向客户交付基于内容的应用的环境。它提供给开发者一套库、SDK和配置工具使得更简单快速的业务开发成为可能。还提供了执行环境架构。提供了管理多媒体内容的能力和数字权限管理的功能
服务代理
提供基本中间件以搭建复杂业务功能的能力。使用了工作流建模和执行引擎去执行业务逻辑。提供了更灵活的业务搭建模块模型
第三方接入网关
提供运营商以安全、标准化、受控的方式向外部服务提供商展示公共功能的能力
服务控制
提供集中管理与增值业务应用有关的客户、业务相关的信息,和一套控制客户使用服务的安全特性
产品/产品集管理
范围 此能力域包括了所有与服务提供商向客户和其他分销商提供的产品和服务的有关管理的功能和数据。产品和服务的全体构成了产品集。产品和服务可以是其它原子产品、通信服务和其他服务的复杂组合。对产品集中产品的管理涵盖了从产品推出,到跟踪、特性修改、到产品推出的整个生命周期。此能力域包括了从定义产品和服务特性、支持产品规划过程、管理产品集、供应产品信息和跟踪产品绩效、产品使用和产品问题的所有能力。
程度 省分能力侧重于在总部总体产品管理的框架下对具体产品/服务的开发、管理。对地市产品、服务的开发、定价、绩效进行支持、管理、总结。对总部的政策进行本地化。能够系统能够支持产品设计的各个环节,基于共同的愿景和发展规划,高效的结合在一起,使产品开发通常快于竞争对手,能够使企业处于“市场领跑者”的地位;能够根据市场的供需情况和其他相关因素,进行产品价格分析,辅助产品捆绑的设计和定义,并能评估不同的价格定义的效果和影响;能够辅助产品和服务的开发,并维护着一个完整的产品目录, 这样的产品目录能够为销售,订单管理,服务实现,客户管理等提供基础的数据信息。系统能够支持对整个产品开发流程的管理,提供企业知识的共享。系统还能够沉淀必要的数据,对产品的使用进行预测,并提供灵活的报表辅助决策制定;能够对客户和产品使用进行分析,从而对市场占有率进行评估,分析增长率,获取产品需求的预测,评估新产品或产品变更对收入和市场可能带来的影响。能够对产品在推广,销售和计费等环节的绩效进行跟踪。
差距 目前产品和服务创建和开发战略缺少数据分析的支撑,基本依靠手工数据,或者采取对竞争对手的跟随战略;在联通,严格的“产品(商品)”概念还没有建立起来,计费和业务系统分散使得联通目前只能为客户提供套餐,而不是严格意义上的产品捆绑;IT系统缺少对产品规划和开发过程的监督。产品投放市场前的测试和预测没有系统支撑;几乎没有IT系统支撑对产品绩效的追踪和监控。仅有少数省分公司能够分析出套餐带来的收入和用户增长;对资费的管理没有整体的IT支撑,仅限于分散的表格维护。省公司对地市的资费缺乏管理手段。
产品和服务创建
提供产品和创建产品与服务的能力
产品和服务开发
支持产品服务的概念设计,产品和服务的体验设计,以及业务基础构架的计划
产品管理
开发产品和服务并维护产品目录(具体每个产品的相关细节信息都存储在产品目录中);这产品目录作为销售、定单管理、交付、政策结构、和客户管理等系统的中心参考数据库
定价管理
提供能力来基于市场供给、需求和其它因素来定义产品的价格;也能够将产品组合捆绑或形成产品包,并评估不同价格所产生的影响
产品绩效分析
分析客户的统计信息和产品的使用信息,以提供市场份额、市场增长分析、产品需求预测、收入预测、新产品和改良产品对市场造成的影响
服务交付管理
范围 此能力域是指对各类开展的前端业务在后端可以进行服务开通支撑的能力,主要包括集成工单管理,服务开通管理。
程度 省分需要支持对本省的综合业务进行统一的服务开通的能力。集成定单管理可以利用自动或手工方式,将分解后的服务定单发给多个不同的服务开通系统以及外部的合作伙伴;可以跟踪定单的执行状态,并且和CRM系统相连,用户可以通过CRM系统查询定单的执行状态。
差距 目前联通的数据专线业务没有统一规划的集成定单管理系统。很多业务的定单分解以及定单管理都是手工完成的,因此执行效率低,开通周期长,监管难度大。
集成定单处理
对BSS系统的定单输入和/或客户业务自助能力提供基本关联,并对综合的定单进行分解到不同的服务开通单元的能力
服务开通管理
对服务的开通、提供、指令集的正确、及时执行提供管理和跟踪
服务保障管理
范围 此能力域对各种不同类型的网络(如传输网络、电路交换网络、IP网络等)进行统一的配置管理、故障管理、性能管理、安全管理的能力,对通过各种手段获知的网络故障进行统一管理和解决的能力。
程度 省分需要对本省的综合业务提供具体服务保障直至执行层面的管理。包括总部下发到省分的调单和指令。同时需要支持对本省接入网、城域网、二干以及管理范围内的一干进行保障的能力。未来的故障管理支持对来自同一个设备的故障进行管理,支持同一个业务不同设备间的故障管理,支持跨业务的故障管理。支持对各种故障的灵活过滤。通过规则设置,过滤掉重复故障,可以对故障的优先级别进行排序;测试与诊断能够提供集中的工具,对不同功能域的网络有效性进行检验,确保网络能够提供正确的服务和资源。
差距 目前联通能够支持简单的来自同一个设备的故障相互关联,不支持跨业务及跨设备的故障管理。当故障出现时,需要有大量的故障告警进行分析,耗费了大量人力,故障解决时间长,故障造成的损失大;网管系统是分散建设的,不支持跨专业的网络诊断及测试。另外,测试与诊断的手段比较有限。无法主动发现网络故障或者潜在故障,造成不能够及时发现故障或者预防故障的发生,影响网络服务质量,造成收入流失,客户满意度差。
网络故障管理
主要是管理问题的集合、升级和解决。问题工单可以被其他的OSS应用自动生成,或者客服代表或授权用户手工生成,甚至被订购者通过不同的用户界面手工生成。它将不同的工作流程结合起来,通过自动或手动的流程来启动故障的解决措施。 故障解决主要包括接收客服中心申告故障单,对故障进行的鉴别、定位、派单、跟踪故障全程处理、向客服中心报告故障处理情况,以及通过对网络运行分析功能和对其它系统中获取的相应数据的分析,提供网络运行故障对客户服务影响的分析和报告
工作组管理
通过对工作人员及工作流的管理,加强对服务提供及运维调度的保障
服务水平管理
监视网元、业务员(服务器、业务应用等)以及给定业务的定购者,收集使用量和流量参数。通过建立绩效阈值(包括IP metrics比如报文阻塞、重发、路由次数等)、网络流量监视和容量划分(爱尔兰或Mb/s) 确定是否有对Qos和SLA的违背和可能的收入流失。所有的系统都必须确保能依合同中的服务水平协议来交付所需的服务质量。
网络测试和诊断分析
提供了一套集中的能力验证和确保网络服务和资源工作正常。集中化的测试与诊断能够允许测试在跨越不同网络域的服务层上进行
错误告警管理
涉及到对从网络和网元生成的告警、警告的主动监视。包括了监控多个网络和网络组件所生成的警报和故障。一旦发现有网络中断或达到了性能的最低值,事件/故障管理器就负责监管其问题处理程序。同时,有关的和受影响的网络/服务组件、服务和用户被确认出来。通过警报监控、确认故障地点、故障修正、和测试来实现网络故障管理的功能。在过程中,会生成故障单,以协助适当的人员或工具来解决问题
网络性能管理
性能管理主要负责监控网络和服务组件(例如服务器、服务应用程序)以及某项服务的用户,并收集使用状况和网络流量参数
资源管理
范围 资源管理对企业能形成通信能力的所有网络和基础设施资源进行综合管理,包括物理资源和逻辑资源等的管理,从而实现资源的集中管理、优化配置和统一调度。
程度 省分需要支持本省内各类网络资源的管理。未来的资源管理系统可以覆盖各个专业、各种网络,可以对立体的网络资源进行多维管理和分析。在推出产品以及服务以前,可以使用资源管理系统对服务占用资源的影响情况进行模拟分析,评估新服务或产品对于整个网络的影响,防止网络无法支撑业务情况的发生。
差距 目前,联通各个专业的网管系统独立建设,之间没有接口,无法统一有效的对网络资源进行管理和优化。产品及业务的规划和销售没有考虑网络支撑情况,导致很多时候网络支撑能力跟不上,影响网络服务质量,造成用户离网。
资源管理
资源管理储存当前的、规划中的、和历史的网络资源(物理的、逻辑的、和虚拟的)。它包括码号资源、网络设备、站点信息、网络和服务器等。服务交付架构中需要用这些信息来查看可用的资源以满足客户的需求。规划和开发工具也用这些资源信息来确认网络和服务规划可用的空间和资源。此外,服务保障管理也需要这些精确的网络资源数据库来确认故障的来源、找出影响、为服务恢复重新规划网络及其组件、为现场的技术人员提供精确的网络信息。
资源分配管理
为服务配置/服务开通保留必需的网络资源(物理的和逻辑的)。这包括保留物理组件,例如路由器上的端口和电路等。 这也包括设计并分配来自应用服务、政策管理(例如动态PDP环境分配)、动态IP的资源。要能保留必需的资源,必须有实时并准确的网络资源、配置和容量的信息
网络拓扑管理
网络拓扑管理包括GIS/拓扑功能,使不同的网络管理系统(例如网络资源、故障等)能将网络及其组件的信息(例如网络资源的位置、警报等)置于地图和拓扑图来代替。这些地理视图能更好地帮助规划、发展、交付、以及网络和服务保障。客户代表和用户也能用这些拓扑图来确定服务中断和网络故障。网络拓扑管理还包括在已经建立的网络资料和资源配置的基础上建立并维护反映整个网络资源和业务分布情况的逻辑图即拓扑图
综合收费/催缴
范围 此能力域包括了所有收入保障流内的部分能力。主要是收费、应收帐款、欺诈管理、与第三方的收入共享和结算后收费的能力。
程度 省分侧重对省分客户的实际催缴和收费的支撑能力。对全国性集团客户,由总部进行结算,省分提供计费的支持。能够确认那些欠款超过其阈值的客户.并根据其超额程度, 和客户的其它信息来决定催缴的方式. 当客户付清其欠款时, 欠费处理系统则将其从欠款名单中清除;能够进行所有发出帐单的监控, 跟踪和应收款的收集. 同时还整合不同的计费系统的应收帐户, 以提供接近实时的付款和收入的统一视图。
差距 目前还不能够提供实时的付款和收入的统一视图;对很多业务特别是数据业务的综合收费/催缴没有支撑。无法根据欠费程度和其他信息自动决定不同的催缴方式。
欠费管理
欠费管理提供客户或联系人的财力认证和信用的信息,以及用在销售程序和服务谈判程序中支持使用者的数据。债务管理包括实时观察现金流动和当客户信用度不够时发送警报信息
收费管理
收费程序监控并管理所有出帐帐单的收费情况,以及付费分配到客户帐户中的情况。收费程序包括货币管理和客户信息的更新
统一计费
范围 此能力域是指对各类业务提供统一计费(包括预付费和后付费融合)的支撑能力,包括了收入保障流内的部分能力。主要是批价、计费的能力。
程度 省分需要具备对综合业务进行计费的全部能力。能够通过客户的ID迅速的计算其适用的正确价格. 并且在批价时能够兼顾客户的其他资料, 为其多项业务定制简单的计价规则;能够根据客户的商业需求支持复杂灵活的计费方案. 帐单生成用来按照事先定义的格式, 以用户指定的语言和货币来生成最后被送到用户手中的帐单。
差距 目前不能够根据客户的特性来定制适合其潜质的计价规则;不能够支持复杂灵活的计费方式。账单的格式单调。
批价
根据批价计划计算用户的使用费用,其中包括通话费用,周期性费用和一次性费用
计费和帐单
计费系统支持对客户使用交易的记录、分类,通过优惠、调帐和税收的应用来计算费用总数,格式化并生成帐单等。出帐根据客户选择的货币和语言处理格式设计和账单生成
综合结算处理
范围 此能力域是指对涉及需要结算的计费数据进行预处理、批价并生成结算结果的能力。它主要包括与国内其他电信运营商及中国联通公司内部各省分之间、各分支机构间及各业务网间的结算。
程度 省分需要支持省内结算、各业务网间结算、与其他运营商互联结算的能力以及必要的数据提供。能够支持所有对多个供应商/合作伙伴计费的系统, 并为其中的流程提供必要的信息交互。
差距 目前联通的结算系统基本支撑了业务。
结算协议
维护运行商定义和互连互通的协议,包括互联互通运营上的计费基本资料的维护与定义、互联互通协议(互联互通产品和资费结构)的维护与定义、物理的网络互联互通信息(POIs)的维护与定义
结算处理
基于独立的批价和与各方的电子协调,全面的审计收入与支出,使结算活动组织成为标准化的商业过程。支持内向外相交易追踪和报告、付款发起和追踪、收款验证和迟付的跟踪
综合采集
范围 负责处理实时和非实时的收集使用量详单和其他来源的数据。接受、验证、更改、格式化所有事件,这些事件正在等待批价或者已经被其他系统批价并导致了对用户的扣费。
程度 省分需要支持对各类交换机、网关、服务器等网元设备的采集能力。未来的综合采集可以对来自不同网元不同业务的使用记录进行关联,并且可以通过配置实现对于新增网元设备的支持。
差距 目前联通的采集预处理分散于不同的专业计费系统,灵活性差,并且不支持对事件的关联处理,无法有效的支撑3G业务;系统扩展性差,每增加一种网元或者设备升级,都需要改动程序;只有呼叫成功的详单被记录, 其它的呼损的记录没有进行通话行为分析, 无法提早检验线路问题,并进行客户挽留举措。
计费数据收集
收集任何与客户使用网络资源有关的数据。这种收集可以使实时或者周期性的,基于流的或者批量文件的、数据能够从网络主动推出或者使用采集系统拉出。涉及的网络有不同的网元:交换机、网关、智能网平台(预付、后付融合)等
数据预处理
提供对从网元接收的数据进行统一格式化,并进行剔重、查错等处理
收入保障
范围 此能力域是指确认收入流的各个环节被系统正确的处理的能力。
程度 省分需要支持符合本省实际情况的防欺诈控制。同时对数据采集、批价、计费、出账等各环节进行控制,侦测并防止可能的收入流失。未来的收入保障应该可以高效的监控收入流的情况,对流失可以提供及时的告警功能,减少企业的收入流失风险。
差距 目前,联通存在多个专业采集和计费,但是并没有对这些收入流进行各个环节的监控,完全依赖计费系统本身进行处理,并且没有有效的防欺诈手段,收入流失的风险大。
防欺诈和控制
通过设置信用额度和控制欠债帐户等方式来防止欺诈。也包括通过一个信用度的判定程序来检测假身份和假信用信息
收入流失监测和控制
对计费和收入收集过程进行监视和报告,以侦测可能的收入流失
合作伙伴关系管理
范围 此能力域包括了所有与伙伴、联盟、竞争对手和其他第三方,比如内容供应商等,关系管理有关的能力。也包括了管理销售和渠道伙伴的能力。明确了多供应商/合作伙伴以及客户联系渠道。合作伙伴管理提供了通过内部网/因特网按时向合作伙伴以及有关第三方提供信息的能力。
程度 侧重细化对省分SP、地市SP及地方性合作伙伴、销售渠道等的管理。 - 向合作伙伴传达明确的价值定位(确保双方价值定位一致); - 协助合作伙伴作出财务上的决策; - 在开展合作前对风险和收益进行充分的预评估,根据企业战略目标主动洞察市场需求、选择合作伙伴; - 能够辅助合作伙伴电子化地根据其需求估算来管理销售过程, 以及配置解决方案; - 帮助合作伙伴更有效地配置复杂的产品, 建立和管理面向市场的销售渠道; - 能够帮助合作伙伴通过电子化手段管理整个采购流程,包括订单录入、处理与确认; - 在竞争激烈的通信行业中, 帮助合作伙伴简化订单流程、提高效率、保持竞争优势; - 能管理渠道系统内各个学习过程,包括产品生成、服务意识以及技能/素质的增长; - 通过相互培训,增进合作伙伴间的商业关系, 并提高各团队间的工作效率。
差距 目前合作开展前, 对分销商的合作缺乏风险和收益的分析机制及手段;分销商的绩效考核, 存在系统支撑的不足;对SP管理缺乏统一规范的系统支撑;品牌管理难以和合作伙伴形成互动;对合作伙伴的信用额度, 缺乏监控和跟踪的流程与系统。
关系管理
使得企业招募、准备和监督合作伙伴去盈利性的销售产品和服务。包括确认潜在的合作伙伴、建立合作关系、与合作伙伴在客户解决方案的执行中共同工作、让合作伙伴投入销售机会等
合作伙伴订单管理
使合作伙伴能电子化管理从定单录入到确认的采购过程。在竞争激烈的电信市场中,公司若能很快开发并推出新产品新服务,就能具有决定性的竞争优势
结算管理
结算管理包括定义系统和财务结构,以用来向多个供应商和伙伴出帐,并支持流程中必要的信息交换
售后服务
使合作伙伴可以电子化管理服务,并支持使用自我服务工具完成从确认到问题解决的流程
协同
保持渠道网络的合作,通过知识和信息的分享和进一步的协调来获取更好的商业机会和服务客户
相互培训
管理因产品/服务创建而产生的学习过程,提供开发新技巧的意识和渠道网络的竞争力
合作伙伴销售和渠道营销
使得合作伙伴可以电子化的管理从销售机会评估、解决方案配置、产品比较到报价生成的销售过程。这个过程帮助提高销售准确率和对于渠道伙伴的其他支持。这里的渠道管理着眼于对具体销售过程的支持。
帐户管理
记录和监视帐户状态。跟踪合作伙伴信用额度以及计费等其他财务信息
商业智能
范围 此能力域支持通过数据建模对企业各类基础运营数据的挖掘和分析,转化为知识,为企业的决策提供有力的支撑,以帮助企业达成其商业目标的能力,它包括数据仓库、报表、盈利增强、客户分析、市场和竞争者洞察、合作伙伴洞察几个方面。
程度 省分需要对省内数据进行汇总分析,对客户、市场和竞争者以及合作伙伴有深入洞察能力,能有效的支撑市场营销政策的制定,获取更大的商业利润,比如客户流失率分析、套餐预演、套餐评估等;将企业所有的数据转化成可用的高价值信息;能够根据核心的业务需求生成集成和统一的数据视图;转化和存储从各个系统获取的客户数据(市场,销售,计费),帮助运营商最大程度的满足客户的需要,偏好,挖掘客户的潜在价值;能够收集,组织和分析市场和关键竞争对手的信息,以支持客户忠诚度,产品促销,产品变革,新产品开发定价,交叉销售,升级销售,以及一对一销售等市场营销活动;能够提供了一个让企业和合作伙伴通过决策制定和报告来评估其渠道效率的工具。
差距 目前缺乏企业级的数据仓库,数据和以及对数据的分析都分散在不同的系统中。缺乏统一的分析。目前存在的经营分析系统更多的是提供报表,缺少深层次的洞察和挖掘。并且经营分析系统没有与ERP和财务系统获取数据进行分析。市场和竞争对手的分析,以及合作伙伴的洞察没有系统支持,停留在手工或者空白的阶段
数据仓库
支持通过综合和转换公司各系统的基本信息为可以进一步挖掘的原子信息,使这些信息可以为企业的发展带来更大的价值。
报表
通过基于核心业务需求的选择信息提供综合和统一的业务视图,供企业制定决策。
盈利增强
将企业各级各部门以及有关客户、伙伴、对手的衡量标准、决策和决策者与企业的最终目标(盈利)一致起来。主要包括客户流失管理,客户价值盈利性,客户获取管理,客户开发管理,ARPU值助推等。
客户分析
分析、转换和存储其他系统地客户数据,以使内容和客户的需要、偏好和潜在价值相适应
市场和竞争者洞察
收集、组织、分析市场和关键竞争者信息以支持市场营销方面的主动措施,比如忠诚性活动、产品促销、产品转换、新产品开发和定价、交互销售以及客户化的一对一营销
合作伙伴洞察
通过决策和报表工具,帮助合作伙伴和企业来测量渠道表现的有效性和绩效
资源数据分析
通过数据挖掘,分析各类资源的分布状况、能力状况,为企业的发展决策、企业经营决策提供有力的依据
企业协同
范围 此能力域是指对企业内部各个部门的协作办公的支撑能力。它通过各种通信、工作流等基础IT能力来支持企业的各类信息的共享,公文的流转,日常事务的支持,从而使企业整体协同的工作,提高企业的管理能力。
程度 省分需要支持信息、公文在本省分内部、与地市分公司之间、以及与总部之间的共享能力。能够有效实现电子邮件,待办任务,日程安排,公文办理,通知管理,领导督办,报告审批,信息共享等功能。
差距 目前能基本实现协作办公和公文流转的功能,但缺少与其他系统的接口,也无法实现一点登陆,并缺少闭环反馈机制;缺少统一的门户和统一认证。
流程管理
主要是对指企业内部管理性工作流程的支持,为企业管理办公流程自动化和流程再造提供了坚实的基础平台,如电子公文的流转支持等。流程管理还需要支持与其他流程的整合能力。
通信服务
是指通过各种手段来协助企业员工完成协同的工作。如短信、E-Mail、即时通信、互联网等通信手段
内容管理
是指对企业对内,对外发布信息的管理。如公文信息,管理性文档、规章制定、新闻信息等
日常事务
是指对企业的各种日常性的物品或资源的使用或消耗进行管理,并对具体的使用和消耗进行跟踪和费用管理。如会议的管理、车辆的管理、座位的管理、办公用品的管理等
知识管理
范围 此能力域是实现有效知识管理的基础,是协助获取知识、存储知识、分享知识、利用知识的一种能力。它对知识的整个生命周期进行管理。
程度 省分需要支持知识在本省分内部、与地市分公司之间、以及与总部之间的共享能力。企业内部有体系的知识库系统能够对各项业务,各个部门的知识传递、培训、效率提高起到促进的作用。
差距 目前没有整个公司共享的知识库,没有提供有效的知识搜索和在线学习的能力。
知识库管理
是指对知识存储,分类,访问权限安全进行有效管理并为知识的传递提供支持的能力。如通过故障知识库可以有效诊断过程,通过客户交互政策可以对内进行培训,对外让客户了解概要的政策信息等。
搜索引擎
检索是知识管理的核心能力要求,检索的效率和质量决定了知识管理的优劣。要支持企业内部知识的全文搜索,满足知识的快速获取能力。
在线学习
在线学习(e-Learning)是知识管理能力中的一个重要方面,承担着企业人员获取知识的作用,一般主要包括课程目录,学习过程管理等方面的能力。
企业资源计划
范围 此能力域支持管理企业资金, 物料和设备资产,设施、人力资源以及供应商的能力, 同时支持实际绩效同计划、目标的衡量. 基于企业战略, 企业绩效KPI可以在系统内定义, 并被跟踪和分析。
程度 省分需要支持对省分本身人力资源、财务状况、物料设备、工程项目的管理,并使这些资源信息可以在全公司范围内得到共享;系统的数据应该准确、及时、全面反映企业内部资源的现状,数据不应该出现相互冲突,对供应商的管理能够使供应商的绩效与公司业务目标保持一致。各项企业活动对企业的影响可以在系统中被反映出来。
差距 目前省分对人力资源管理基本没有支撑,工程项目管理的支撑很弱、企业绩效管理的支撑不强。主管信息系统的信息来源没有经过整合。数据不准确,不及时,不全面的情况比较常见。数据时有相互冲突的情况。对供应商的管理基本没有支撑。无法全面有效的掌控企业现状。
供应和库存管理
管理产品流和供应者相关的信息。供应与库存管理包括存储、运输、房间管理、送货过程、下载、确认等。所有的行动都被跟踪和实时保存以跟踪交货的状态。此能力包含对各类终端、卡的库存和供应的管理。
主管信息
主管信息是指将一系列系统和能力再次组织使得高级管理层能够在合适的时间合适的地点接触和分析关键的公司信息
财务和会计管理
支持公司的对内、对外财务,包括固定资产、货币资金、债权人帐户和预算监督。处理公司的债务人帐户和收债。提供最新的资产负债信息。确保公司成本与年收入的确定性。管理项目的经济和财会方面的信息
人力资源管理
支持人力资源需要得计划、选拔、管理、评估和开发
工程项目管理
工程管理是完成对建设项目的管理,实现对工程项目全过程的管理和控制,为管理层提供决策支持信息,以提高工作效率,促进投资管理、工程管理工作的规范化和科学化。
企业绩效管理
此能力域支持那些管理企业资金, 物料和设备资产,设施、人力资源以及供应商的能力, 同时支持实际绩效同计划、目标的衡量. 基于企业战略, 企业绩效KPI可以在系统内定义, 并被跟踪和分析
总部具有管理、生产和枢纽的功能。省分具有管理和生产的能力。总部为进行全网业务管理和业务运营提供支撑和保障,实现全网信息的交换和管理,同时也满足当前增值业务的全国性生产单元能力。总部管理能力与省分公司管理功能基本相同,如市场管理功能,负责全国性市场活动的管理;但是在范围和程度各有差别。
系统架构
总体架构
中国联通IT系统架构从BSS、OSS、MSS三个方面对应用系统进行了划分,明确了每个域的范畴,为后续的应用系统建设和系统界面分工提供了理论基础。IT系统总体架构包括应用系统架构、数据架构、集成架构、基础架构。
其中应用系统架构主要对IT系统清晰准确的定义各应用系统的范围、功能及模块等,数据架构主要是实现系统数据的标准化、一致性、准确性和可靠性,充分发掘数据价值,有效支撑企业信息数据管理和经营决策分析,实现企业数据的统一管理和信息的透明共享而制定的规划体系;系统集成架构是描述应用系统之间的主要集成关系;基础架构是应用系统架构的基础和保障。
同时,为了便于总部和省分对各自部分的系统架构的理解,后续的系统架构会按照总部和省分分别展开说明。
应用系统架构
中国联通IT应用系统架构从系统域角度上可以分为BSS、OSS、MSS三大系统域及企业集成平台。
业务支撑系统域(BSS):面向市场营销、客户服务等企业经营活动提供全面支撑。主要包括面向所有公众客户提供统一展现中国联通企业形象的外部门户支撑,面向客户提供统一售前售中售后支撑的客户关系管理、实现全面洞察客户及各种营销分析的经营分析处理、实现合作战略共赢的合作伙伴管理、实现综合业务与3G支撑的综合计费帐务、结算与采集处理。
运营支撑系统域(OSS):面向服务和资源,提供综合运营支持,有力的支撑保障中国联通综合业务的运营。主要包括提供综合业务开通的集成定单处理和服务开通处理、实现综合业务服务保障处理、为综合业务服务开通和保障提供支撑的综合资源管理、支撑3G业务的服务交付平台等。
管理支撑系统域(MSS):面向企业管理活动,提供有力的支撑和保障。主要包括面向企业决策领导层提供有力支撑的企业决策支持系统、全面管理企业人财物资源的ERP系统、支撑企业全部人员协同办公的企业协同管理系统、面向企业内部人员提供统一登录认证的内部门户服务支撑等。
企业集成平台:面向BSS、OSS、MSS提供系统间集成的平台。它可以将业务流程、应用软件和各种标准联合起来,在两个或多个企业生产应用系统之间实现无缝集成,使它们成为一个整体进行业务处理和信息共享,从而大大提高企业生产效率。
在系统域的基础上进行细化,可以得到中国联通IT应用系统架构,具体如下图所示:
图 5 1 中国联通IT应用系统架构图
其中BSS系统域主要包括的系统有:
客户关系管理类系统:中国联通通过自身或者与合作伙伴一起面向客户提供服务的关键类系统,主要包括客户关系管理系统和合作伙伴管理系统。客户关系管理系统面向客户,提供售前、售中、售后的服务,面向销售渠道,提供销售活动、订单、佣金结算的支持。合作伙伴管理系统面向业务合作伙伴,提供合作伙伴开发、协作、售后问题、结算的支持。
分析型系统:主要是指经营分析系统。面向市场及销售部门,为生产经营活动提供各种分析和客户洞察方面的支撑。
计费结算类系统:主要包括综合计费帐务系统、综合结算系统和综合采集系统。计费结算类系统面向业务支撑为客户服务前端提供支持。
企业外部门户系统:主要面向公众客户统一展现中国联通企业形象,并对中国联通的客户以及各类合作伙伴提供各种自助或合作支持。
其中MSS系统域主要包括的系统有:
企业内部门户系统:面向企业内部员工提供统一登录认证服务支持。
企业决策支持系统:主要是指企业决策支持平台,面向企业高级管理层提供决策制定支持。
企业资源计划系统:主要是指ERP系统。面向企业管理,提供对企业人、财、物的统一管理。
企业协同办公系统:主要是企业内部协同系统。面向企业内部员工,提供企业内部管理协同办公的支撑。
其中OSS系统域主要包括的系统有:
服务开通类系统:主要包括集成定单管理和服务开通管理。面向服务和资源,为CRM提供的客户订单进行服务开通支持。
服务保障类系统:主要包括服务质量及性能管理、告警监控管理、故障单管理、生产调度管理。面向服务和资源,为企业的生产运营提供服务保障。
资源管理系统:主要包括综合资源管理。通过对各种物理和逻辑资源的管理,为服务的开通和保障提供支持。
专业综合网管类系统:主要包括传输、移动、数据、动力、增值、IT系统等专业网管。对各类专业网络提供性能、告警、质量支撑。
服务交付平台:主要包括服务创建和生成、服务控制、第三方接入网关管理。面向3G的各种增值业务,为服务的快速生成、部署、控制、接入提供支撑。
总部系统架构
总部职能定位
联通总部的IT系统主要支撑完整的管理功能,跨省生产流程的枢纽、指导、协调功能以及部分全国性业务的生产功能,总部不直接面向客户进行销售和服务。总部在BSS、OSS、MSS三个方面的具体职能定位如下:
在BSS方面:面向全国性的大客户/集团客户,侧重于总部和各省业务开通的协调;面向省分的业务支撑,提供跨省业务流程的枢纽支持;提供全国范围的经营分析;提供国际业务及跨省业务的结算处理;全国性业务的计费帐务功能逐步下放到省分。
在OSS方面:侧重于对一干长途线路提供管理、对跨省业务提供支持、对全国的网络提供宏观的监管。
在MSS方面:面向总部的决策层领导,提供企业决策的管理支撑;面向企业的内部人员,提供协同办公支持;对中国联通全国的人力资源进行统一管理;对全国的财务、资产管理进行统一管理。
总部系统架构
基于总部职能的定位,总部的IT应用系统架构图及系统说明如下所示:
图 5 2 总部IT系统应用系统架构图
系统域
系统
描述
BSS
客户关系管理系统
总部客户关系管理系统主要侧重于对跨省业务的协调和全国性业务的管理。不直接面向客户进行客户接触和服务,不直接管理代理商渠道,不面向具体客户,进行客户评价管,不直接管理面向销售渠道和客户的业务资源。
总部客户关系管理系统的主要功能如下: 总部的市场营销管理,侧重于中国联通全局的市场策略和营销计划的制定和管理,对全国性的重大营销活动进行指导和管理。 总部的销售管理,侧重于全国性集团大客户的销售机会的发现和与各省的协调。 总部的产品管理,侧重于全国性的产品生命周期管理和产品目录管理,并且逐步建立对各省的产品规划进行审批,管理的机制。 总部的订单处理,是涉及一干开通的订单处理和对跨省订单的协调管理。 总部的客户问题管理,是对全国性集团大客户的投诉和故障处理的起到协调管理的作用。 总部的客户资料管理,是管理全国性集团大客户的基本资料。 总部的异地业务管理,是支撑异地缴费,异地补卡等业务的枢纽与结算
合作伙伴管理系统
总部管理全国性合作伙伴,包括关系管理和结算管理等。
企业外部门户系统
总部外部门户面向所有公众客户,展现中国联通企业形象,提供中国联通产品介绍并可以进行相应业务处理的统一接触点。通过总部外部门户,可以链接到各省的外部门户系统。
综合结算系统
总部进行国际网间结算、国内漫游结算、长途摊分结算等。
综合采集系统
总部采集全国性业务平台的使用记录以及协调总部与省分之间数据文件的传递等。
经营分析系统
总部没有客户洞察模块,总部不保存完整的客户资料以及客户消费数据,不对细至单个客户粒度的数据进行分析和洞察。 总部的BSS报表和分析侧重于全国性的经营指标分析,并在全局层面对各省的经营状况进行分析和指导。
OSS
集成定单管理系统
总部集成定单管理系统主要负责将总部CRM系统生成的定单进行拆分并对拆分的工单进行调度和管理。例如全国性集团客户的租用一干线路的定单的拆分和调度。
综合告警监控系统
总部综合告警监控系统主要面向一干及各专业全国骨干网的告警/性能和监控。由于一干/全国骨干网不直接面向服务和客户层面,因此总部综合告警监控系统不包含告警影响分析和主动告警通知等方面的功能,并减少了故障单生成和告警处理建议等功能。但总部系统内还包含了一些性能管理的功能。
综合生产调度系统
主要完成作业计划管理、人工绩效管理以及工单管理。除此之外,总部系统还包括了一些故障处理的功能,支持跨省故障的协调与测试。
网络规划与设计系统
主要负责网络需求收集、网络容量设计和实施设计等方面。考虑到职能和复杂度等方面,该系统只部署在总部,省分不建设相应系统。
综合资源管理系统
总部综合资源管理主要包括对一干/骨干网的资源进行管理。
MSS
ERP系统
企业资源计划通过信息系统对信息进行充分收集整理、有效传递,以财务为核心衡量企业在人、财、物方面的资源,以及运营所涉及的各种活动,从而力求资源的最佳分配,以实现企业经营效率的最大化。总部ERP系统要支持对中国联通整个企业的人力资源进行统一管理,对总部的财务和资产进行统一管理。
企业协同办公系统
企业协同办公利用协作工具将日常办公环境无缝集成起来(包括通信管理, 文件服务,流程管理等等), 并实现办公流程与业务流程(ERP、CRM等系统)的有效连接,以实现工作效率的最大化。总部的协同办公系统对总部各个业务部门之间以及总部与省分各个部门纵向之间的协调工作进行支撑。
企业决策支持系统
总部决策支持系统是在现有市场分析、计划分析和运维分析的基础上,为决策管理层领导提供综合分析结果,并通过三方面的动态关联分析,为高层领导制定相关决策提供全面的支撑。
企业内部协同门户系统
总部的内部门户将复杂内部管理系统和业务系统的功能模块进行集成,通过企业内部门户实现系统的单点登录,实现对企业内部协同办公管理审批流程和财务、工程、统计等其他信息系统业务流程的有机集成,以及所有业务/管理系统信息的综合展现,提高员工工作效率。
省级系统架构
省分职能定位
联通省分的IT系统主要面向省分业务运营提供完整的生产支撑功能以及管理支撑功能。省分在BSS、OSS、MSS三个方面的具体职能定位如下:
在BSS方面:面向本省最终客户和全国性集团客户/大客户,提供市场营销与销售、业务受理、客户服务以及计费处理等功能;面向异地的客户提供异地业务的受理。面向市场营销,提供有力的客户洞察以及相关的经营分析等功能。实现与其他运营商的网间结算处理。面向所有的合作伙伴提供管理和结算支持。
在OSS方面:管理省分的传输、交换等资源,为省分的综合业务提供服务开通和服务保障。
在MSS方面:面向省分的高层领导,提供企业决策的管理支撑;面向省分的内部人员,提供协同办公支持;对省分的财务、资产等进行统一管理。
省分系统架构
基于省分职能的定位,省分的IT系统应用系统架构图及系统说明如下所示:
图 5 3 省分IT系统应用系统架构图
系统域
系统
描述
BSS
客户关系管理系统
省分客户关系管理系统是面向客户,以客户为中心,提供客户的售前、售中、售后的服务和管理支撑的关键系统。
省分客户关系管理系统详细的功能如下: 对各种与客户交互的渠道和方式提供统一接触管理,记录和管理完整的客户联系历史。 处理客户的综合业务订单。 提供各种方式的客户自助服务平台。 统一管理客户资料。 对整体的市场营销计划和市场活动进行管理。 提供销售机会,销售人员管理和对客户经理提供销售支持。 统一管理自有和合作的销售渠道管理,支持外部渠道定购有价卡等批量订单处理。 管理产品从规划、开发、推广到退出的全过程。对全国性的产品服务目录和省分的产品服务目录进行管理,对产品和服务的销售提供支持。 管理客户价值、忠诚度和信用度,包括积分、客户俱乐部等。 提供客户投诉和争议管理,包括对客户服务水平和质量的管理。 统一管理面向客户进行销售的各种业务资源,包括各类有价卡卡、SIM卡、手机终端和码号资源等。
合作伙伴管理系统
合作伙伴关系管理的功能范围涵盖与合作伙伴和其它第三方关系管理和联盟管理的所有功能。合作伙伴包括:服务/内容提供商(SP/CP)、服务提供合作伙伴(民航、保险、酒店、金融、商城、租车、旅游等)。省分的PRM系统主要完成对省分的各类合作伙伴进行管理。
企业外部门户系统
省分外部门户面向公众客户,统一展现分工司企业形象,提供分工司产品介绍并可以进行相应业务处理的统一接触点。通过省分的外部门户,可以集成客户门户应用(含自助、俱乐部等)、合作伙伴门户应用(含SP/CP、供应商等)。
综合计费帐务系统
综合计费帐务系统包括批价、计费和出帐、收费、欠费管理及防欺诈、收入流检测等功能域,是为中国联通的全业务运营提供高效、准确的计费帐务支撑的关键系统。省分的计费帐务系统需要提供统一的计费引擎来支持全业务计费和帐务处理的融合、预付费和后付费的融合,以及对实时计费、内容计费等方面支撑,满足未来3G计费要求。
综合结算系统
综合结算系统包括结算处理、结算对帐以及结算协议管理等功能域,是满足中国联通不断发展的业务对结算要求的关键系统。省分的综合结算系统主要完成与其他运营商的网间结算以及省内漫游和长途的摊分。
综合采集系统
综合采集系统包括数据采集、预处理等功能域,是支持中国联通全业务的原始话单采集,为其他系统提供统一的标准化话单的关键系统。省分的综合采集系统主要完成对省分的综合业务进行采集支撑。
经营分析系统
经营分析系统包括BSS报表、BSS分析和客户洞察等功能域,是充分利用业务系统产生的大量宝贵的数据资源,实现对数据的分析处理,为经营工作提供及时、准确、科学的信息支撑的关键系统。省分的经营分析系统重点支撑客户洞察能力以及各种绩效的分析等。
OSS
集成定单管理系统
省分集成定单管理系统主要负责本省CRM系统提交的各种订单的拆分并对拆分的工单进行调度和管理。
服务开通系统
省分服务开通系统主要完成定单中需要自动开通、自动激活的部分。
综合告警监控系统
省分综合告警监控主要面向二干/省内骨干网及各个地市级网络的告警和监控。
综合故障单管理系统
省分综合故障单系统主要处理从CRM客户问题管理以及综合告警监控系统两个方向生成的客户类故障单和主动类故障单。
综合生产调度系统
省分综合生产调度系统主要完成作业计划管理、人工绩效管理以及工单管理。除此之外,省分公司还包括流程优化的功能。
综合服务质量及性能管理系统
省分综合服务质量及性能管理系统主要负责性能管理以及服务质量相关的功能。
综合资源管理系统
省分资源管理主要面向省级及地市各级网络的资源管理。
MSS
ERP系统
企业资源计划通过信息系统对信息进行充分收集整理、有效传递,以财务为核心衡量企业在人、财、物方面的资源,以及运营所涉及的各种活动,从而力求资源的最佳分配,以实现企业经营效率的最大化。省分ERP系统要支持对省分的人财物进行统一管理。
企业协同办公系统
企业协同办公系统利用协作工具将日常办公环境无缝集成起来(包括通信管理,文件服务,流程管理等等),并实现办公流程与业务流程(ERP、CRM等系统)的有效连接,以实现工作效率的最大化。省分的协同办公系统对省分各个业务部门之间以及与总部的纵向部门之间的协调工作进行支撑。
企业决策支持系统
省分决策支持系统是在现有市场分析、计划分析和运维分析的基础上,为分公司的决策层领导提供综合分析结果,并通过三方面的动态关联分析,为省分公司制定相关决策提供全面的支撑。
企业内部协同门户系统
省分的内部门户将复杂内部管理系统和业务系统的功能模块进行集成,通过企业内部门户实现系统的单点登录,实现对企业内部协同办公管理审批流程和财务、工程、统计等其他信息系统业务流程的有机集成,以及所有业务/管理系统信息的综合展现,提高员工工作效率。
BSS系统功能架构
总部BSS系统功能架构
总部BSS系统可以划分为客户关系管理类系统、计费结算类系统、分析型系统和外部门户系统四个大的系统功能域。其中:
客户关系管理类系统:由客户关系管理系统(CRM)和合作伙伴管理系统(PRM)组成。
计费结算类系统:由综合结算系统和综合采集系统组成。
分析型系统:由经营分析系统组成。
外部门户系统:由企业外部门户系统组成。
如下图所示:
图 5 4 总部BSS系统架构图
客户关系管理(CRM)功能框架
总部的客户关系管理(CRM)系统不直接面向客户的销售和服务,主要功能侧重在管理和协调,包括作为跨省业务流程的枢纽和指导以及对各省业务开通的协调,对全国性大客户进行协调管理,具体功能架构如下图所示:
图 5 5 总部客户关系管理系统功能架构图
CRM系统主要包括以下部分:
市场营销管理
市场营销管理覆盖了从市场营销计划制定到具体营销活动的策划、执行和评估等一系列面向市场营销的功能。总部的市场营销侧重于全局的市场策略和营销计划的制定和管理,对全国性的重大营销活动进行指导和管理具体包含以下内容:
市场计划管理:利用多方面(例如企业、客户、产品/服务等)的数据,通过“市场竞争洞察”和“客户洞察”方法,将获得的客户和市场相关信息进行分析,决定营销对业务绩效的影响以确定年度市场计划的整体目标,并制定其具体执行计划和资源需求(包括预算、产品、人员、渠道)来达到既定的业务目标。
品牌 管理:全国性品牌的设计和管理。
市场策略管理:制定和管理市场策略,对省分公司进行指导。
市场活动策划:策划全国性的市场活动,包括使用市场和客户数据分析来确定合适的客户细分作为市场活动或者促销的目标客户群,以及确定相应的市场活动形式、执行渠道和为特定市场活动提供的商品。
市场活动执行:提供支撑执行市场活动的功能。
市场活动评估:捕捉活动的信息、监视和汇报市场活动的效果,并与预定的绩效指标比较。
销售管理
销售管理包括销售机会管理、销售团队管理、和对销售活动过程支持等功能,总部侧重于全国性集团大客户的销售机会的发现和与各省分公司的协调。
销售机会管理:提供以有效的方式发布、管理、跟踪销售机会的能力。帮助销售人员处理销售机会,包括销售机会相关的记录,筛选,确认,查询,机会分配,状态收集等。
销售人员管理:管理内部和外部的销售人员。建立销售团队并提供培训、监控销售人员绩效、对销售佣金和激励机制进行管理。
销售活动过程管理:对销售活动过程管理,并提供一系列工具为销售人员规划和维持销售活动提供支撑。包括对销售的事务性工作进行支持。如对工作流的支持,日程表工具(Scheduling)提供简单的工作安排,标价及建议书支持等。
全国性客户跨区销售活动的支持:全国性大客户的销售程序较为复杂,涉及到多个省公司的销售部门,在加强省公司合作的同时,需要加强总部的规范和监管力度。
订单处理
订单管理是指通过录入时记录了所有相关的数据,以便于激活、修改或取消服务,以提供后续所有子订单所需的信息。总部订单处理主要是涉及一干的订单处理和对跨省订单的协调管理,包含以下内容:
订单录入:包含初始订单数据的获取以及后续的增加、修改、删除、干涉的任务。
订单接受:对于已接收的订单验证其正确性和完整性,并将其转换为标准定单格式以便在系统中管理和维护。此外,在订单处理时,也必须基于SLA和客户价值等因素来排定优先顺序。
产品方案配置器:通过对客户的简单问题和提供不同的选择来配置产品/服务
订单分析和跟踪:追踪订单状态、获取相关的历史记录信息、获取适当的衡量数据、确认风险、监控并记录所作的更新。
客户资料管理
总部的客户资料管理主要是管理全国性集团大客户的基本资料,包含以下内容:
客户基本资料管理:提供生成、修改、维护客户基本信息(包括客户的集团信息、业务信息、帐户信息、渠道信息等)的控制。
层级规则和关系维护:定义并维护所有与客户层次关系和帐户层次关系相关的信息。
客户合同协议管理:负责管理与客户签订的合同协议,包括SLA/QoS合同协议,OSS根据客户SLA/Qos协议进行监控和管理,并生成客户SLA/QoS报告包括SLA/Qos协议。
产品管理
产品管理包括了所有运营商向客户和其他批发商提供的产品和服务的有关管理的功能和数据。产品和服务的全体构成了产品集。产品和服务可以是其它原子产品、通信服务和通用服务的复杂组合。涵盖了从产品推出,到跟踪、特性修改、到产品退出的整个生命周期。此功能域包括了从定义产品和服务特性、支持产品规划过程、管理产品集、供应产品信息和跟踪产品绩效、使用和问题的所有功能。总部的产品管理,侧重于全国性的产品生命周期管理和产品目录管理,并且逐步建立对各省的产品规划进行审批,管理的机制,具体包含以下内容:
产品规划:基于市场、竞争和客户需求趋势的趋势,以及基于电信市场的技术发展趋势提供新产品的预测和规划,管理产品规划,申报和审批的过程。
产品和服务创建:帮助完成所有产品和服务的定义,包括由运营商计费的第三方服务,并提供在线的表格驱动的产品结构和成分的开发和维护,帮助产品/服务开发流程和交付产品。
产品和服务开发:通过评估模型计算在产品质量、开发成本、市场成本和收入目标等之间的最佳平衡点,通过销售模型定义端对端的产品销售过程中不同角色之间不同的关系,通过服务开通计划定义为用户开通服务所有必要的功能,通过服务保障计划定义保障服务的所有功能,对产品测试进行管理,确定产品推广模型。
产品绩效分析:通过分析客户的人口统计学信息和产品的使用信息,进行市场份额评估、市场增长分析、产品需求预测、预期的收入流、以及新产品和改进产品对市场的可能冲击。同时对部署、销售、开通、保障和计费等方面的产品绩效进行跟踪和监测。
产品目录管理:维护产品目录,并把产品目录作为销售、订单管理和实现、策略结构和客户管理的中心参照数据库。能够创建、维护、更新产品的目录信息。能够为不同的业务目的编制不同的产品目录。支持多层级的产品目录,能够定义产品对外销售的限制条件,支持产品搜索,根据不同条件提取产品信息。能监控各产品之间的关系,包括互斥关系和依赖关系,监控产品以及产品的资费方案是否违反限制条件。
定价管理:提供基于市场供求关系和其他因素定义产品定价分析的能力。同时提供建立产品捆绑和组合、评估不同的定价模式的效果的功能。能够支持多种价格类型定义和复杂的定价规则。
产品解决方案和配置:管理产品配置标准,提供一个配置的界面,显示交叉/向上销售(Cross-Selling/Up-Selling)的产品和附件。
客户问题管理
客户问题管理获取、记录并处理所有客户服务的投诉,并附加上建议的修改措施。当故障单生成之后,直到问题被解决之前,客户问题管理必须持续运行一个有效的实时监控。总部的客户问题管理主要是对全国性集团大客户的投诉和故障处理的起到协调管理的作用,包含以下内容:
故障单管理:获取足够详细的客户投诉,产生故障单,以支持故障分析。
信息查询:提供对客户信息请求的支持。
故障单分析和跟踪:跟踪客户故障的状态和历史相关信息,获取相关数据,监控和记录变更信息。
批量报告:提供可能造成客户投诉的问题的信息,或类似的、已被提出的问题的信息。它利用故障的历史信息来生成建议的解决问题的措施。
客户SLA/Qos管理:接收OSS发来的SLA违例报告,协调客户通知行为和相应恢复过程和违例处理。
异地业务管理
总部的异地业务管理,是支撑异地缴费,异地补卡等业务的枢纽:包含以下内容:
异地缴费:支持异地缴费业务的处理。
异地补卡:支持异地补卡业务的处理。
异地业务结算:进行各项异地业务的省间结算。
合作伙伴管理(PRM)功能架构
合作伙伴关系管理(PRM)的功能范围涵盖与SP/CP服务提供合作伙伴的关系管理和联盟管理的所有功能。还包括合作伙伴的结算管理。它建立了多个合作伙伴与客户联系的渠道。这里提到的合作伙伴包括:
服务/内容提供商(SP/CP);
服务提供合作伙伴(民航、保险、酒店餐饮、金融、商城、租车、旅游等)。
总部的合作伙伴管理主要是对全国性的合作伙伴进行管理,包括合作伙伴的开发与绩效管理、资料管理、协作与培训、产品目录、问题管理、计算管理等功能域,如下图所示:
图 5 6 总部合作伙伴管理系统功能架构图
PRM系统主要包括以下部分:
开发与绩效管理
使得企业招募、准备和监督各类合作伙伴与中国联通共同面向客户进行运营与服务,包括确认潜在的合作伙伴、建立合作关系及对合作伙伴的绩效考核管理。包含以下内容:
合作伙伴招募:用来通过定向email、在线消息、呼叫中心整合等手段积极招募合作伙伴的一套功能。这套功能能有效地表达合作伙伴的机会和价值建议(比如合作伙伴项目、垂直市场机会等)。
合作伙伴准入:对合作伙伴的资质进行审核,建立合作伙伴准入管理机制。
商业计划管理:建立合作伙伴销售目标和指标体系。
市场开发基金管理:管理市场开发基金的规划(在总体级别和规划级别)和管理并批准伙伴存取基金的要求。
绩效管理:跟踪实际绩效对比计划目标:收入、培训、服务要求、市场开发基金(MDF)使用等。基于预先制定的规则为伙伴的销售经理提供预警。
协作与培训
与合作伙伴在客户解决方案的执行中共同工作,保持相互间的合作,通过知识和信息的分享和进一步的协调来获取更好的商业机会和服务客户;通过网络渠道,管理从开发产品/服务到提高技术或竞争力的学习过程。包含以下内容:
能力培训管理:管理伙伴能力发展计划和能力增长。
培训内容管理:管理在线培训目录和培训时间表。基于个人基本信息来提供个性化的培训内容,并支持学习资源的搜索。
培训内容交付:支持培训材料的下载并传送在线课程到使用者。还可以提供实况的协作培训和培训讨论,并当有新的学习工具时通知合作伙伴。
培训管理:跟踪课程的注册和出勤,管理培训的登记和培训材料的分发。还可以跟踪使用培训的统计(培训注册、参与和表现)。
培训反馈:提供了相应的机制,用于对培训课程的评估,建议和培训学员的要求的收集以及采用专业调查工具对反馈结果进行评测。
培训认证:建立并交付使用在线测试,跟踪伙伴雇员的认证,更新伙伴的信息。
事件管理:提供连接到厂商赞助的相关培训事件,跟踪注册和出勤。发送培训的相关材料给已注册的参加者,并为培训事务相关人员提供实时的登记参加者名单。
论坛:提供建立论坛的框架,可以支持成员注册、可以在论坛张贴或回应、通知成员新的话题或帖子。
网上研讨会:提供一个虚拟演示的环境,允许合作伙伴可以多媒体的方式来对相关人说明其产品。
白板:提供设备,允许合作伙伴和企业能在共享的工作间检查和审覆文档。
共享文件库:管理在大量个体间的共享的文件,并维持共享文件的版本控制。
交谈:支持成员间的实时交流,通常包括有管理人的论坛和无管理人的论坛。
资料管理
管理和维护合作伙伴的基本信息和帐户信息,包含以下内容:
基本资料:捕捉和维护合作伙伴信息、类型、销售模式、优势、公司规模、服务提供的信息。尽管经济和市场的全球化,合作伙伴基本资料应该考虑文化,区域习惯和环境因素以增加与终端客户的关系,并最终增加利润。
帐户信息:记录和监视帐户状态。跟踪合作伙伴信用额度以及计费等其他财务信息。
信用状态:查看合作伙伴信用度限额以及采购授权。
协议管理: 与合作伙伴间的形成的各类协议。
产品目录
管理合作伙伴准入的产品目录,并为产品的协作销售提供支持。包含以下内容:
产品目录创建:管理产品阶层、属性和营销组合,基于授权和认证来显示目录信息。
产品可用性:基于使用类型和合同中所定义的个性化的和商业的规则,允许用户察看产品目录中各类目的可使用性。
产品比较器:通过并行的比较,显示产品目录中一个或多个产品。
产品搜寻:支持多重的查询类型(比如:关键词、参数等),并可以对查询结果排序或划定等级。
新产品介绍和发布计划:提供在线的产品发布,支持样品管理。产品试用管理(分发初始产品)。
说明材料的提供:建立说明材料的预算并监控履行要求。跟踪说明材料的存货状况和地点,管理说明材料的定单要求。监控说明材料的请求状况,并与第三方(提供说明材料制造、发送等服务)进行整合。
问题管理
问题管理是使合作伙伴可以电子化管理服务,并支持使用自我服务工具完成从问题确认到问题解决的流程。中国联通与相关合作伙伴在面向客户进行共同运营和服务过程中产生的所有问题都需要在此管理。包含以下内容:
问题诊断:允许运营商和用户可以在线经由一些Q&A、并利用诊断工具来查询产品的问题,同时支持远程诊断工具来解决问题。
服务个案管理和派工:管理服务的相关权利、将服务需求记入日志(从合作伙伴和最终用户)、基于工作流程规则将服务需求进行传递、跟踪服务需求的状态、如果不符合服务水平协议则进行警报、监控服务响应。
售后问题管理:通过接受故障单管理传送过来的针对合作伙伴的相关问题,使得合作伙伴可以在线处理相关的问题,并进行快速的相应。
主动式售后服务通知:将定期服务、年度服务更新、产品改进、升级、促销、技术公告等信息通知给客户。
方案解决库:提供问题解决方案资源,支持数据库查询(如关键词,参数等)。
电子邮件答复:从伙伴和消费者接收电子邮件信息,发送到适当的人,并支持电子邮件自动回复。
结算管理
合作伙伴结算管理是运营商与合作伙伴之间根据结算规则完成收入分摊、核对和支付的过程,结算规则、支付方式等内容来自合作协议或合同。包含以下内容:
协议管理:管理与合作伙伴的结算协议,包括条款、批发、收入分配、赞助、广告等。
收入共享:支持定义和维护复杂的收入共享安排。特别是当双方都提供3G服务时,将会涉及到与第三方不同的收入共享模型,比如佣金、广告、赞助等。
事件收集:收集任何与合作伙伴结算有关的数据。这种收集可以是实时或者周期性的,基于流的或者批量文件的,数据能够从网络主动推出或者使用采集系统拉出。
使用量向导和批价:根据预定的协议和费率,对事件进行结算引导和批价。引导过程包括识别合作伙伴,场景和协议。批价根据不同的参数计算每日综合使用量。对使用事件的批价根据预定的费率、协议和税而来。
使用量再定价:对使用了过期的批价费率的使用量重新批价,支持确实需要重新批价的使用量、时间的再批价、和综合使用数据的更新。
产品费率计划管理:管理产品与费率计划。
差异协调管理:管理影响发票收入数据的各种相关性因素处理,包括:税务处理,帐务调整等。
结算管理:基于独立的批价和与各方的电子协调,全面的审计收入与支出,使结算活动组织成为标准化的商业过程。支持内向外相交易追踪和报告、付款发起和追踪、收款验证和迟付的跟踪。
事件分析:分析网络事件/CDR的综合或细节信息。在功能上要支持统计分析,通信量建模和估计,模式识别优化,事件价格修正,收益最大化分析。通过数据分析获取有价值的信息以便进行网络规划,盈利分析,结算协议的再谈判等。
返利处理和状态:跟踪返利状态和进行合作伙伴返利处理。
发票管理:伙伴的发票和结算格式的管理。
综合结算功能架构
综合结算系统是满足中国联通不断发展的业务对结算要求的关键系统。总部进行国际网间结算,国内漫游结算,长途结算,包括结算处理、结算对帐以及结算协议管理等功能域,如下图所示:
图 5 7 总部综合结算系统功能架构图
综合结算系统主要包括以下部分:
结算处理
结算处理完成从结算数据采集、预处理、批价,到结算分摊和出帐等一系统结算处理流程,具体包含以下内容:
结算数据采集:从综合采集系统获取结算原始数据,并存储和管理采集来的数据。
预处理:进行格式转换,话单校验,分拣过滤和异常处理。
结算批价:按设定的批价规则、费率对结算话单进行结算批价处理,生成批价文件。
结算费用分摊:将各种业务的话单费用和话单汇总费用,按照不同的结算规则要求计算出不同结算对象间的费用。
结算出帐:将结算分摊结果按照不同结算对象进行分类汇总和统计,生成结算统计报表。
结算协议管理
是对结算对象和结算协议等结算相关的资料进行管理。
结算对帐
结算对帐是指将综合结算系统的结算结果与各结算对象的结算结果进行比较,或是通过互相提供的基础数据进行对比分析,明确差异的原因,为解决结算纠纷提供支持,包含以下内容:
结算报表对帐:通过结算统计报表进行对帐。
分类明细对帐:根据分类明细进行对帐。
清单对帐:根据参与结算的详细通话清单进行对帐。
综合采集功能架构
综合采集系统是支持中国联通全业务的原始话单采集,为其他系统提供统一的标准化话单的关键系统。总部采集国际漫游来访数据和全国SDP平台的使用记录,包括数据采集、预处理等功能域,如下图所示:
图 5 8 总部综合采集系统功能架构图
综合采集系统主要包括以下部分:
使用数据采集
从各种网元设备采集原始使用数据,包括以实时和非实时的方式来采集使用详细记录,包含以下内容:
网元接口:网元界面储存与骨干光纤网络等所有网络组件相关的信息,保持一份关于所有预防性的维护和修改的日志。它提供网络的地理视图,指出各个网络组件位置。
网络传输协议:在BSS平台中为其它组件提供数据传输的接口。通常它处理服务网络内部和外部的事件和使用记录。
使用数据获取:对于原始使用数据进行获取和存储。能够支持不同的数据格式,例如:CDR用于电路交换通信、IPDR用于IP通信。
使用数据验证:为通信使用数据文件的格式和内容定义验证的标准,并对使用数据进行完整性,连续性和重复性检验。
预处理
预处理是对采集的原始使用记录进行识别,检查和格式化的过程,综合采集系统的预处理是与客户资料和计费策略无关的预处理,包含以下内容:
使用数据格式化:使不同网元使用记录转成同一种格式,便于后续处理。
使用数据关连:数据关系程序将与同一个通信服务相关的网络使用记录集合起来。通常是经规则或数据管理器,将网元、应用服务器和事件日志的输入相关连。
使用数据集合:识别需要被集合的使用记录:例如通过不同网络供应商的通信量。
过滤:删除计费系统不需要的记录,例如重复的记录或者不可计费的记录。
使用数据定向:将通信使用数据匹配至客户的资费来决定价格。这一部分是与计费帐务平台相连的。
使用数据分发:支持个别事件和批量事件的数据传输到BSS(计费帐务系统)中。数据传输过程中要应用推/拉(pushing/pulling)技术、基于时间和事件驱动的分配、或者自动联机分配(例如FTP文件传输)。
常规化/格式转换:将数据记录从一家服务供应商的格式转换成另一种格式。通常从其它服务供应商转换数据和预计费的记录,使得在计费的过程中这些记录可以用于计算价格。
错误管理:处理在记录过程中可能发生的错误:侦测重复的文件、修正事件数据记录并处理修正后的事件、提供针对网络、设备、网元、服务和特殊影响进行报表的能力等等。
经营分析功能架构
经营分析系统是充分利用业务系统产生的大量宝贵的数据资源,实现对数据的分析处理,为经营工作提供及时、准确、科学的信息支撑的关键系统。总部侧重于全国性的经营指标分析,并在全局层面对各省的经营状况进行分析和指导,包括BSS报表、BSS分析, 如下图所示:
图 5 9 总部经营分析系统功能架构图
经营分析系统主要包括以下部分:
BSS报表
BSS报表实现总部管理要求的经营类报表的生成,包含以下内容:
CRM类报表:关注CRM系统的各类日报、周报、月报、年报。
计费类报表:关注计费系统的各类日报、周报、月报、年报。
结算类报表:关注结算系统的各类日报、周报、月报、年报。
合作伙伴类报表:关注合作伙伴管理系统的各类日报、周报、月报、年报。
BSS分析
BSS分析提供面向市场,产品,业务发展的主题分析,主要包含以下内容:
收益情况分析:提供收入总量、收入变化、收入构成分析、ARPU分析、缴欠费分析等。
业务情况分析:提供单项业务使用情况分析,套餐综合分析(与套餐相关的资源、财务类信息)等。
市场竞争分析:提供市场占有率分析、竞争对手发展情况分析、竞争对手高端客户分析、联通有流失倾向(网外通话多)的高端客户分析等。
客户情况分析:提供客户总量分析、新发展客户分析、离网客户分析、大客户分析等。
合作伙伴分析:提供结算分析、合作渠道分析(包括客户发展分析、业务发展分析以及投资回报分析等)等。
服务质量分析:提供客户服务质量分析(基于联通客户服务质量评估指标)、客户咨询/查询焦点分析、客户投诉焦点分析、客户满意度分析、客户忠诚度分析等。
资源情况分析:提供号码资源分析、终端资源分析、卡类资源分析等。
企业外部门户
企业外部门户是对公众客户,提供一个展现公司形象以及产品介绍的统一接触点。总部的外部门户会提供到各省分外部门户的链接。总部外部门户的功能架构如下图所示:
图 5 10 总部外部门户系统功能架构图
表现层管理
对于企业外部门户,提供管理展现内容和展现方式的工具。
内容管理:为具有权限的用户提供发布和修改来自不同应用系统的信息的工具, 并管理/维护相应的用户权限;
搜索服务:为用户提供内容检索服务,包括标题检索、全文检索以及文档关键字检索;便于用户根据主题和关键字进行信息查询,提高员工工作效率和客户体验满意度。
省分BSS系统功能架构
省分BSS系统可以划分为客户关系管理类系统、计费结算类系统、分析型系统和外部门户类系统四个大的系统功能域。其中:
客户关系管理类系统:由客户关系管理系统(CRM)和合作伙伴管理系统(PRM)组成。
计费结算类系统:由综合结算系统和综合采集系统组成。
分析型系统:由经营分析系统组成。
外部门户系统:由企业外部门户系统系统组成。
如下图所示:
图 5 11 省分BSS系统架构图
客户关系管理(CRM)功能框架
客户关系管理(CRM)系统是以客户为中心,提供面向客户的售前、售中、售后的服务和管理的关键系统。包括市场营销管理、销售管理、客户接触管理、订单处理、客户资料管理、客户问题管理、产品管理等功能域,如下图所示:
图 5 12 省分客户关系管理系统功能架构图
CRM系统主要包括以下部分:
客户接触管理
客户接触管理对各种与客户交互的渠道和方式提供统一接触管理,记录和管理完整的客户联系历史,并提供客户自助服务平台,建立客户接触管理的目的在于给客户统一的客户体验和提升面向客户服务的效率。客户接触管理应包含以下内容:
服务接入层:即各种客户交互平台,包括营业厅、呼叫中心、网站自助、WAP自助、短信自助等,客户接触管理要实现这些交互平台的界面展示和业务逻辑。
服务中间层:支持各种交互平台的服务请求和数据请求,整合和共享后台多个应用系统的数据,统一提供给交互平台前端。支持统一认证管理,提供对各种协议的转换支持和各种主机设备的适配功能。
接触历史管理:记录和管理与客户接触的完整历史记录,可以允许获取所有历史的交互信息及交互原因(如联系的信息、接触的原因、订单、推广与渠道营销过程中的呼入和呼出信息,电子邮件等),与客户进行持续的交互。
市场营销管理
市场营销管理覆盖了从市场计划制定到具体市场活动的策划、执行和评估等一系列面向市场营销的功能。具体包含以下内容:
市场计划管理:利用多方面(例如企业、客户、产品/服务等)的数据,通过“市场竞争洞察”和“客户洞察”方法,将获得的客户和市场相关信息进行分析,决定营销对业务绩效的影响以确定年度市场计划的整体目标,并制定其具体执行计划和资源需求(包括预算、产品、人员、渠道)来达到既定的业务目标。
品牌 管理:通过品牌的设计和管理,对客户分群提供差异化的产品和服务。
市场策略管理:利用从市场、客户、产品等多方面的数据分析获取的信息,制定市场营销策略,包括客户策略的制定和管理,对不同客户群制定相应策略,如:对俱乐部会员等高价值客户制定维系关怀策略,客户经理优质服务策略;将客户洞察中的客户流失预警模型和客户评价管理中的客户价值、忠诚度,信用度的综合评价相结合,制定对不同预警客户分别采用短信自动回访,呼叫中心外呼或客户经理回访等挽留策略。
市场活动策划:包括各类市场活动的策划和管理,使用市场和客户数据分析来确定合适的客户细分作为市场活动或者促销的目标客户群,以及确定相应的市场活动形式(如调查、回访、促销)、执行渠道和为特定市场活动提供的商品。包括俱乐部活动的策划和管理。
市场活动执行:提供支撑执行市场活动的功能,包括分配目标客户列表到制定的渠道,如呼叫中心,客户经理,外部销售渠道等。
市场活动评估:捕捉活动的信息、监视和汇报市场活动的效果,并与预定的绩效指标比较。
销售管理
销售管理包括销售机会管理、销售团队管理、和对销售活动过程支持等功能。
销售机会管理:提供以有效的方式发布、管理、跟踪销售机会的能力。帮助销售人员处理销售机会,包括销售机会相关的记录,筛选,确认,查询,机会分配,状态收集等。
销售人员管理:管理内部和外部的销售人员。建立销售团队并提供培训、监控销售人员绩效、对销售佣金和激励机制进行管理。
销售活动过程管理:对销售活动过程管理,并提供一系列工具为销售人员规划和维持销售活动提供支撑。包括对销售的事务性工作进行支持。如对工作流的支持,日程表工具(Scheduling)提供简单的工作安排,标价及建议书支持等。
全国性客户跨区销售活动的支持:全国性大客户的销售程序较为复杂,涉及到多个省公司的销售部门,在加强省公司合作的同时,需要加强总部的规范和监管力度。
销售渠道管理
销售渠道的销售是指通过多个销售和客户联系渠道(运营商自有渠道以及通过合作伙伴和分销商获得的渠道)来分销运营商的产品和服务,销售渠道管理是通过对销售渠道的人员、流程和技术进行最优化,以获得持续收益增长。具体包含以下内容:
渠道定义和实体管理:通过渠道定义,确定有关渠道的各种属性信息,具有渠道结构/层级的定义功能,侧重于销售方面的信息(如:名称,服务目标,渠道层次,上级渠道,渠道类型)
渠道开发和维护:通过对渠道和其它相关统计数据的分析,为渠道战略的制定以及具体渠道的开发/维护提供信息的支持,包括外部销售渠道的资质认证等。
渠道运营管理:根据定义的渠道功能进行渠道运营,以获得渠道整合能力,这里所说的整合能力主要是指,利用多种渠道协同进行产品销售、市场活动或客户服务,形成统一客户体验、获取统一客户资料、进行统一后台处理的能力。渠道运营管理要提供多渠道协同管理和对渠道的销售活动支持和管理。
渠道订单管理:提供WEB方式的电子订单系统,使得代理商能够通过电子订单的方式完成对运营商产品的批量定购,之后进行再销售。
销售提成及佣金管理:根据不同渠道的特性(例如渠道的结构等级、协议等)定义不同的薪酬/提成的结构,并能够根据此结构,计算并管理相关渠道进行销售工作的佣金/提成。
渠道绩效考核:通过渠道支持过程中的各项反馈信息,评估渠道绩效,其中包括了从各种数据源获取和收集信息,设置阀值,对各项数据进行跟踪,汇总并显示渠道的效果。
订单处理
订单管理是指通过录入时记录了所有相关的数据,以便于激活、修改或取消服务,以提供后续所有子订单所需的信息。包含以下内容:
订单录入:包含初始订单数据的获取,以及后续的增加、修改、删除、干涉的任务。
订单接受:对于已接收的订单验证其正确性和完整性,并将其转换为标准订单格式以便在系统中管理和维护。此外,在订单处理时,也必须基于SLA和客户价值等因素来排定优先顺序。
产品方案配置器:通过对客户的简单问题和提供不同的选择来配置产品/服务
订单分析和跟踪:追踪订单状态、获取相关的历史记录信息、获取适当的衡量数据、确认风险、监控并记录所作的更新。
客户资料管理
客户资料管理负责管理客户基本信息,对客户和帐户的的分层逻辑关系的管理以及帐单规则、用户应用政策规则的管理。帐户管理是对要收费的帐户状态进行记录并监控,它追踪客户的信用额度,并生成计费或其它财务应用所需的信息。包含以下内容:
客户基本资料管理:提供生成、修改、维护客户基本信息(包括客户的自然信息、集团信息、业务信息、帐户信息、渠道信息等)的控制。
层级规则和关系维护:定义并维护所有与客户层次关系和帐户层次关系相关的信息。
客户合同协议管理:负责管理与客户签订的合同协议,包括SLA/QoS合同协议,OSS根据客户SLA/Qos协议进行监控和管理,并生成客户SLA/QoS报告包括SLA/Qos协议。
客户申请政策规则管理:管理一个总体的政策、客户群组的政策和客户特定的政策(例如业务规则)。包括:用户认证、用户服务授权、个性化选项(例如优先选择、特别喜欢的选项、用户/设备特定的参数选项、用户事件通知联系选项)等;这些政策规则可依不同客户、不同客户类型、不同渠道而有不同。
产品管理
产品管理包括了所有运营商向客户和其他批发商提供的产品和服务的有关管理的功能和数据。产品和服务的全体构成了产品集。产品和服务可以是其它原子产品、通信服务和通用服务的复杂组合。涵盖了从产品推出,到跟踪、特性修改、到产品退出的整个生命周期。此功能域包括了从定义产品和服务特性、支持产品规划过程、管理产品集、供应产品信息和跟踪产品绩效、使用和问题的所有功能。具体包含以下内容:
产品规划:基于市场、竞争和客户需求趋势的趋势,以及基于电信市场的技术发展趋势提供新产品的预测和规划,管理产品规划,申报和审批的过程。
产品和服务创建:帮助完成所有产品和服务的定义,包括由运营商计费的第三方服务,并提供在线的表格驱动的产品结构和成分的开发和维护,帮助产品/服务开发流程和交付产品。
产品和服务开发:通过评估模型计算在产品质量、开发成本、市场成本和收入目标等之间的最佳平衡点,通过销售模型定义端对端的产品销售过程中不同角色之间不同的关系,通过服务开通计划定义为用户开通服务所有必要的功能,通过服务保障计划定义保障服务的所有功能,对产品测试进行管理,确定产品推广模型。
产品绩效分析:通过分析客户的人口统计学信息和产品的使用信息,进行市场份额评估、市场增长分析、产品需求预测、预期的收入流、以及新产品和改进产品对市场的可能冲击。同时对部署、销售、开通、保障和计费等方面的产品绩效进行跟踪和监测。
产品目录管理:维护产品目录,并把产品目录作为销售、订单管理和实现、策略结构和客户管理的中心参照数据库。能够创建、维护、更新产品的目录信息。能够为不同的业务目的编制不同的产品目录。支持多层级的产品目录,能够定义产品对外销售的限制条件,支持产品搜索,根据不同条件提取产品信息。能监控各产品之间的关系,包括互斥关系和依赖关系,监控产品以及产品的资费方案是否违反限制条件。
定价管理:提供基于市场供求关系和其他因素定义产品定价分析的能力。同时提供建立产品捆绑和组合、评估不同的定价模式的效果的功能。能够支持多种价格类型定义和复杂的定价规则。
客户问题管理
客户问题管理获取、记录并处理所有客户服务的投诉,并附加上建议的修改措施。当故障单生成之后,直到问题被解决之前,客户问题管理必须持续运行一个有效的实时监控。包含以下内容:
故障单管理:获取足够详细的客户投诉,产生故障单,以支持故障分析。
信息查询:提供对客户信息请求的支持。
故障单分析和跟踪:跟踪客户故障的状态和历史相关信息,获取相关数据,监控和记录变更信息。
批量报告:提供可能造成客户投诉的问题的信息,或类似的、已被提出的问题的信息。它利用故障的历史信息来生成建议的解决问题的措施。
客户SLA/Qos管理:接收OSS发来的SLA违例报告,协调客户通知行为和相应恢复过程和违例处理。
客户评价管理
客户评价管理是对客户进行多个维度的综合评价,而不仅限于ARPU值,以获取对客户全面客观的认识,为客户策略的制定提供支撑,真正实现客户差异化服务。包含以下内容:
客户价值管理:根据客户对运营商的贡献价值对客户进行不同的分级管理,包括对俱乐部会员的资格认定和升降级管理,初期可以主要基于收入指标进行评价,今后可以进一步使用考虑成本的利润类指标进行评价。
信用度管理:对客户信用度进行评价和管理,初期可以基于业务规则和配置管理信用度的规则信息,并将客户信用额度传给计费系统进行实时的信用控制,今后可以进一步通过对客户信息和行为数据的深入挖掘建立信用度模型。
忠诚度管理:根据商业规则和顾客忠诚度政策维护忠诚奖励和积分的记录、消费、调整,包括积分的规则管理、积分的维护、兑换管理。
业务资源管理
业务资源管理是针对各销售渠道进行号码资源、卡资源、手机终端资源的管理,包括规划、分配和供应。包含以下内容:
码号资源管理:能够对号码资源进行管理(总部进行号段分配,省公司集中管理,针对各渠道进行分配),包括SIM卡,号码等。
卡资源管理:能够对卡资源进行管理(总部集中制卡并统一分发到各省,省公司集中管理,针对各渠道进行分配),卡类型包括:IP,缴费卡等。
手机终端资源管理:能够对手机等移动终端资源进行管理(对于积分换手机的业务,总部统一向供应商采购并分发到各省,省公司集中管理,针对各渠道进行分配)。
资源综合管理:在营业厅等联通内部渠道中,支持对以上业务资源进行库存、发放、补发、销售、维修等功能。
合作伙伴管理(PRM)功能架构
合作伙伴关系管理(PRM)的功能范围涵盖与SP/CP、服务提供合作伙伴的关系管理和联盟管理的所有功能。还包括合作伙伴的结算管理。它建立了多个合作伙伴与客户联系的渠道。这里提到的合作伙伴包括:
服务/内容提供商(SP/CP);
服务提供合作伙伴(民航、保险、酒店餐饮、金融、商城、租车、旅游等)。
合作伙伴管理包括合作伙伴的开发与绩效管理、资料管理、协作与培训、产品目录、问题管理、计算管理等功能域,如下图所示:
图 5 13 省分合作伙伴管理系统功能架构图
PRM系统主要包括以下部分:
开发与绩效管理
使得企业招募、准备和监督各类合作伙伴与中国联通共同面向客户进行运营与服务,包括确认潜在的合作伙伴、建立合作关系及对合作伙伴的绩效考核管理。包含以下内容:
合作伙伴招募:用来通过定向email、在线消息、呼叫中心整合等手段积极招募合作伙伴的一套功能。这套功能能有效地表达合作伙伴的机会和价值建议(比如合作伙伴项目、垂直市场机会等)。
合作伙伴准入:对合作伙伴的资质进行审核,建立合作伙伴准入管理机制。
商业计划管理:建立合作伙伴销售目标和指标体系。
市场开发基金管理:管理市场开发基金的规划(在总体级别和规划级别)和管理并批准伙伴存取基金的要求。
绩效管理:跟踪实际绩效对比计划目标:收入、培训、服务要求、市场开发基金(MDF)使用等。基于预先制定的规则为伙伴的销售经理提供预警。
协作与培训
与合作伙伴在客户解决方案的执行中共同工作,保持相互间的合作,通过知识和信息的分享和进一步的协调来获取更好的商业机会和服务客户;通过网络渠道,管理从开发产品/服务到提高技术或竞争力的学习过程。包含以下内容:
能力培训管理:管理伙伴能力发展计划和能力增长。
培训内容管理:管理在线培训目录和培训时间表。基于个人基本信息来提供个性化的培训内容,并支持学习资源的搜索。
培训内容交付:支持培训材料的下载并传送在线课程到使用者。还可以提供实况的协作培训和培训讨论,并当有新的学习工具时通知合作伙伴。
培训管理:跟踪课程的注册和出勤,管理培训的登记和培训材料的分发。还可以跟踪使用培训的统计(培训注册、参与和表现)。
培训反馈:提供了相应的机制,用于对培训课程的评估,建议和培训学员的要求的收集以及采用专业调查工具对反馈结果进行评测。
培训认证:建立并交付使用在线测试,跟踪伙伴雇员的认证,更新伙伴的信息。
事件管理:提供连接到厂商赞助的相关培训事件,跟踪注册和出勤。发送培训的相关材料给已注册的参加者,并为培训事务相关人员提供实时的登记参加者名单。
论坛:提供建立论坛的框架,可以支持成员注册、可以在论坛张贴或回应、通知成员新的话题或帖子。
网上研讨会:提供一个虚拟演示的环境,允许合作伙伴可以多媒体的方式来对相关人说明其产品。
白板:提供设备,允许合作伙伴和企业能在共享的工作间检查和审覆文档。
共享文件库:管理在大量个体间的共享的文件,并维持共享文件的版本控制。
交谈:支持成员间的实时交流,通常包括有管理人的论坛和无管理人的论坛。
资料管理
管理和维护合作伙伴的基本信息和帐户信息,包含以下内容:
基本资料:捕捉和维护合作伙伴信息、类型、销售模式、优势、公司规模、服务提供的信息。尽管经济和市场的全球化,合作伙伴基本资料应该考虑文化,区域习惯和环境因素以增加与终端客户的关系,并最终增加利润。
帐户信息:记录和监视帐户状态。跟踪合作伙伴信用额度以及计费等其他财务信息。
信用状态:查看合作伙伴信用度限额以及采购授权。
协议管理: 与合作伙伴间的形成的各类协议。
产品目录
管理合作伙伴准入的产品目录,并为产品的协作销售提供支持。包含以下内容:
产品目录创建:管理产品阶层、属性和营销组合,基于授权和认证来显示目录信息。
产品可用性:基于使用类型和合同中所定义的个性化的和商业的规则,允许用户察看产品目录中各类目的可使用性。
产品比较器:通过并行的比较,显示产品目录中一个或多个产品。
产品搜寻:支持多重的查询类型(比如:关键词、参数等),并可以对查询结果排序或划定等级。
新产品介绍和发布计划:提供在线的产品发布,支持样品管理。产品试用管理(分发初始产品)。
说明材料的提供:建立说明材料的预算并监控履行要求。跟踪说明材料的存货状况和地点,管理说明材料的定单要求。监控说明材料的请求状况,并与第三方(提供说明材料制造、发送等服务)进行整合。
问题管理
问题管理是使合作伙伴可以电子化管理服务,并支持使用自我服务工具完成从问题确认到问题解决的流程。中国联通与相关合作伙伴在面向客户进行共同运营和服务过程中产生的所有问题都需要在此管理。包含以下内容:
问题诊断:允许运营商和用户可以在线经由一些Q&A、并利用诊断工具来查询产品的问题,同时支持远程诊断工具来解决问题。
服务个案管理和派工:管理服务的相关权利、将服务需求记入日志(从合作伙伴和最终用户)、基于工作流程规则将服务需求进行传递、跟踪服务需求的状态、如果不符合服务水平协议则进行警报、监控服务响应。
售后问题管理:通过接受故障单管理传送过来的针对合作伙伴的相关问题,使得合作伙伴可以在线处理相关的问题,并进行快速的相应。
主动式售后服务通知:将定期服务、年度服务更新、产品改进、升级、促销、技术公告等信息通知给客户。
方案解决库:提供问题解决方案资源,支持数据库查询(如关键词,参数等)。
电子邮件答复:从伙伴和消费者接收电子邮件信息,发送到适当的人,并支持电子邮件自动回复。
结算管理
合作伙伴结算管理是运营商与合作伙伴之间根据结算规则完成收入分摊、核对和支付的过程,结算规则、支付方式等内容来自合作协议或合同。包含以下内容:
协议管理:管理与合作伙伴的结算协议,包括条款、批发、收入分配、赞助、广告等。
收入共享:支持定义和维护复杂的收入共享安排。特别是当双方都提供3G服务时,将会涉及到与第三方不同的收入共享模型,比如佣金、广告、赞助等。
事件收集:收集任何与合作伙伴结算有关的数据。这种收集可以是实时或者周期性的,基于流的或者批量文件的,数据能够从网络主动推出或者使用采集系统拉出。
使用量向导和批价:根据预定的协议和费率,对事件进行结算引导和批价。引导过程包括识别合作伙伴,场景和协议。批价根据不同的参数计算每日综合使用量。对使用事件的批价根据预定的费率、协议和税而来。
使用量再定价:对使用了过期的批价费率的使用量重新批价,支持确实需要重新批价的使用量、时间的再批价、和综合使用数据的更新。
产品费率计划管理:管理产品与费率计划。
差异协调管理:管理影响发票收入数据的各种相关性因素处理,包括:税务处理,帐务调整等。
结算管理:基于独立的批价和与各方的电子协调,全面的审计收入与支出,使结算活动组织成为标准化的商业过程。支持内向外相交易追踪和报告、付款发起和追踪、收款验证和迟付的跟踪。
事件分析:分析网络事件/CDR的综合或细节信息。在功能上要支持统计分析,通信量建模和估计,模式识别优化,事件价格修正,收益最大化分析。通过数据分析获取有价值的信息以便进行网络规划,盈利分析,结算协议的再谈判等。
返利处理和状态:跟踪返利状态和进行合作伙伴返利处理。
发票管理:伙伴的发票和结算格式的管理。
综合计费帐务功能架构
综合计费帐务系统是为中国联通的全业务运营提供高效、准确的计费帐务支撑的关键系统。包括批价、计费和出帐、收费、欠费管理及防欺诈、收入流检测等功能域,如下图所示:
图 5 14 省分综合计费帐务系统功能架构图
综合计费帐务系统主要包括以下部分:
批价
批价就是基于计价方案、通信使用、重复性费用、一次性费用,以及各种优惠来计算价格。在计算价格时,必须参考到客户基本信息,以取得正确的资费。批价应包含以下内容:
费率维护:提供价格维护或修改的功能。
实时批价:支持对每条新产生的话单记录进行实时计算费用的功能。
多重批价:根据不同的批价计划对同一话单记录进行多次批价处理。
扣费预授权:和实时批价功能配合,提供了将话单级服务授权到对帐户级余额(对于预付费用户)或者分配给制定帐户的信用度(对于后付费用户)。
批价时折扣:支持在批价过程中对单个通话事件根据某些特殊的属性进行折扣处理的功能。
重批价:对于驳回的记录重新计费。
批价向导:通过对应实际发生通信量和客户签订的消费计划确定实际定价。在这个过程中,还将过滤由于任何原因引起的不能确定实际定价的批价事件,通过批价向导后的批价事件将被输出至计费引擎进行费用计算。
批后接口:收集、校验并发送计费事件给外部的优惠处理或者其他计费服务进行处理。
错误管理:自动或者人工找到未能正常处理的错误并进行修改。
计费与帐单生成
计费应用能够记录由客户执行的交易和事件、对之分类、计价、应用优惠方案、产生帐单等。计费程序包括了计算客户费用的各种复杂功能,包括税款管理、根据客户信息来应用优惠、计价等。出帐程序主要负责将这些费用、货币、和保证等数据进行格式化。计费与帐单生成包含以下内容:
优惠管理:对所有的优惠方案进行确认、合并、计算并分配;包括跨产品优惠、对于多个优惠方案应用排定优先权、跨帐单周期的忠诚度计划等。
计费:计费的功能是将已计价的通信服务费用和其它可计费的项目选择出来,并依其帐户拥有之优惠来计算出帐的金额;在帐单周期时,可依计算出来的金额来产生帐单,此外也可依来自客服的需求,来产生实时帐单(hot billing)。
定价和费用计算:支持错误恢复和重新计费的功能;必须能支持服务质量和合作伙伴数据的处理,包括分层的收入结构(tiered revenue structure)、收入分配、补偿等。
热计费/按需计费:根据前台CSR要求,对于指定的用户、客户、帐户,立即进行合帐及必要的优惠处理,生成综合帐单数据。
计费回退:出帐回退是依据回退条件而对所涉及到的帐单数据重新计算的过程。它是对帐务处理过程中因各种原因而产生的错误进行事后的纠正。
促销管理:定义和管理所有的典型折扣计划和附加属性,如租费,最低消费额,服务激活和中止费用和固定期限。能够实现对某个促销方案的目标客户群的产品组合方案。 促销有时是用于限定时期内的费用捆绑的(独立于折扣计划之外)。
税额管理:管理政府对于运营商提供的服务所加的税务。支持不同级别的(地、市、省、国家)多种类型的税款(例如电信、销售、增值税)。
账单格式化:将余额和费用信息和相应的源文件和数据库表结合起来,以生成用于分发和在屏幕上显示的格式化帐单。为通过不同渠道分发的不同格式的帐单(如:纸帐单,电子帐单)提供数据,同时还生成管理性文件,如使用量报告,费用报告。
账单生成:生成计费项和由这些计费项组成的格式化帐单。能够处理特殊发票编号的需求。
账单分配:将可打印的帐单格式化数据发送到帐单配送进行打印或文件传送,将可屏显的帐单格式化数据写入文件提供给在线显示,该功能抽取和分发格式化数据到媒体/设备,如发票打印机,电子显示终端设备,和收费管理接口。
账单配送:负责处理需要通过不同渠道传递给客户的帐单的配送,帐单配送模块选择配送队列中标记为可配送的帐单,将这些帐单配送到打印机,电子邮件文件或其他媒体。
计费后数据分配:通过在线或批处理的接口将计费后的数据分发到ERP,佣金结算或其他外部应用。
消息和插入信息:提供在帐单上插入市场营销或促销信息和图形的功能,提供动态的方法,根据客户分群的需求插入相应的信息,根据特殊的客户类型或区域信息提供信息插入,也可以由事件(如未及时缴费或新开帐户等)触发相应的信息插入。
账单备份:对客户的历史帐单数据进行备份处理。
报表和报告:包括报表生成,浏览以及一套完整出帐报表的打印.这些报表主要涉及汇总财务数据,客户服务数据,支付数据等,另外还涉及一些对系统管理员有用的系统报告,如:服务器状态,负责计费功能的批处理过程的控制报告。
产品目录接口:通过接口方式提供了计费系统对统一的产品目录访问和控制功能,所有可计费的项目都必须定义在统一的产品目录中。
奖励和忠诚度计划:奖励计划可以作为一种灵活的市场保留机制允许在一个固定的帐期内根据客户累计或者计费的费用给予适当的减免作为奖励.同时任何类型的费用根据相应的忠诚度计划都可以转换为忠诚度积分,进而根据不同的选择进一步累计和转换。
分级计费:为集团客户计算总费用和下面同一层级的分总费用,应用集团范围的折扣,产生成本中心报告和汇总帐单,能够基于设置的业务规则将费用分解到不同层级的不同帐户。
退款:在计费流程中计算应退还的金额总计。
收费管理
收费管理监控并管理所有出帐帐单的收费情况,以及付费分配到客户帐户中的情况,包括货币管理和客户信息的更新。收费管理包含以下内容:
付费处理:支持多种用户付费方式、管理客户的应收款项和保证金。它也负责获取客户的付款金额并将之与帐单销帐、管理帐户调帐/退款、税款和附加费用的收集和分发。这项功能通常提供连接到公司的财务系统,以管理财务报表。
错误处理:通过支付调查应用,支持对各种支付失败记录原因的调查处理,例如信用卡支付,银行扣款以及EDI方式。
分类帐处理:从计费系统抽取财务信息,并将这些信息加工到包含给定分类帐周期的财务交易的文件中,这些文件将用于生成公司总帐,会计流程处理分类帐和总帐中的业务交易记录,专门的分类帐用于将相似交易分组,比如销售,现金收入和现金支出等分类帐。
押金:客户支付的费用存放入系统中指定的帐号中作为保证金使用。
调帐:对由于运营商自身的原因引起的客户帐务数据的错误,销帐处理后多收、少收或者漏收客户的费用,需通过以退费或补收的形式对客户帐务数据进行调整。
分期付款:客户通过参加相应的付款计划,实现每月或者定期的支付电信费用。
预付款:客户通过充值形式增加预付帐号中的余额,根据客户指定的抵扣条件,抵扣相应的电信费用。
欠费管理
欠费管理提供客户或联系人的财力认证和信用的信息,以及用在销售程序和服务谈判程序中支持使用者的数据,包括实时观察现金流动和当客户信用度不够时发送警报信息。欠费管理包含以下内容:
欠费处理:识别欠费实体并且转移至收缴系统,从而开始催缴事件。该功能为催缴分配一系列有时间计划的情形事件,这些事件的的大部分触发因素和欠费帐户本身有关,比如欠费额,欠费天数,这些因素决定了应该采取何种催缴行动。
欠费缴清:检查被催缴实体的欠费是否已经支付,一旦欠费被支付,该欠费实体就会被释放。如果一个欠费帐户被释放,意味该帐户的欠费已经完全支付,同时需要恢复客户的服务。
讨债队列:管理催缴事件的工作队列,检查未处理的当前或以前的计划事件,如果这些事件只是处理滞后了,那么就重新排定事件的时间计划,以保证这些事件能够在定义好的天数后发生。该功能允许对欠费的客户采取特殊行动,比如欠费帐户可以在下一个催缴事件发生前被移走。
信用评估:信用评估(信用度)可以被催缴模块作为参数引用来指定对欠费客户应该采取何种行动。比如,可以设置在欠费30天时对信用不好的客户发催缴信,而对信用好的客户不采取行动。
争议处理:有争议的应缴费用要和普通的债务帐户分开,有争议的费用可以置为“待批”状态,直到争议结束。争议的时间老化可以通过不同的方式进行:1)从调整输入但还没有获得批准的时刻开始计算,2)从发票调整的截至日开始计算。两个日期都可以作为调整等待批准,争议老化报告的起始日期。
坏帐核销:将坏帐从客户帐户转移到内部帐户,来核销催缴流程不再考虑的债务。
利息计算:计算欠费利息,欠费利息将传递给收费管理来对客户进行收费。
对策行动:保证正确的债务行动被初始化和被外部系统成功执行,比如,服务停止,短信催缴警告等等,还要保证这些催缴的警告信息正确显示在催缴信或发票上。
收入流监测
收入流监测提供核对的功能,以监控所有作为详细的收入流的输入而收集的数据能够被系统或流程正确处理,从而实现收入保障。收入流监测包含以下内容:
数据监测:主动或被动的收集和监视从计费平台收集的数据,以支持收入保障功能。
收入流失监控:对计费和收入收集过程进行监视和报告,以侦测可能的收入流失。
防欺诈与控制
通过设置信用额度和控制欠债帐户等方式来防止欺诈,也包括通过一个信用度的判定程序来检测假身份和假信用信息。具体包含以下内容:
信用额:和客户评价管理中的信用度管理相连,获取根据客户或联系人的财务情况和信用度规则订定的信用额度信息。
欺诈模式分析:提供网络使用情况的分析,定义并管理客户呼叫的模式,分析异常的、可能为欺诈的使用状况和欺诈的潜在特征。
欺诈检查:监控客户使用网络的情况,检测任何异常模式或可能欺诈的使用,并限制滥用或可能的欺诈。
欺诈报告:向中央办公室、计费和客户服务代表预警可能的欺诈。
欺诈警报管理:管理警报(基于信用额度或门槛生成警报、将警报分配到客户服务部门以便呼叫客户等)。
规则维护:定义并管理所有与防止欺诈和控制欺诈规则相关的信息。
综合结算功能架构
综合结算系统是满足中国联通不断发展的业务对结算要求的关键系统。包括结算处理、结算对帐以及结算协议管理等功能域,如下图所示:
图 5 15 省分综合结算系统功能架构图
综合结算系统主要包括以下部分:
结算处理
结算处理完成从结算数据采集、预处理、批价,到结算分摊和出帐等一系统结算处理流程,具体包含以下内容:
结算数据采集:从综合采集系统获取结算原始数据,并存储和管理采集来的数据。
预处理:进行格式转换,话单校验,分拣过滤和异常处理。
结算批价:按设定的批价规则、费率对结算话单进行结算批价处理,生成批价文件。
结算费用分摊:将各种业务的话单费用和话单汇总费用,按照不同的结算规则要求计算出不同结算对象间的费用。
结算出帐:将结算分摊结果按照不同结算对象进行分类汇总和统计,生成结算统计报表。
结算协议管理
是对结算对象和结算协议等结算相关的资料进行管理。
结算对帐
结算对帐是指将综合结算系统的结算结果与各结算对象的结算结果进行比较,或是通过互相提供的基础数据进行对比分析,明确差异的原因,为解决结算纠纷提供支持,包含以下内容:
结算报表对帐:通过结算统计报表进行对帐。
分类明细对帐:根据分类明细进行对帐。
清单对帐:根据参与结算的详细通话清单进行对帐。
综合采集功能架构
综合采集系统是支持中国联通全业务的原始话单采集,为其他系统提供统一的标准化话单的关键系统。包括数据采集、预处理等功能域,如下图所示:
图 5 16 省分综合采集系统功能架构图
综合采集系统主要包括以下部分:
使用数据采集
从各种网元设备采集原始使用数据,包括以实时和非实时的方式来采集使用详细记录,包含以下内容:
网元接口:网元界面储存与骨干光纤网络等所有网络组件相关的信息,保持一份关于所有预防性的维护和修改的日志。它提供网络的地理视图,指出各个网络组件位置。
网络传输协议:在BSS平台中为其它组件提供数据传输的接口。通常它处理服务网络内部和外部的事件和使用记录。
使用数据获取:对于原始使用数据进行获取和存储。能够支持不同的数据格式,例如:CDR用于电路交换通信、IPDR用于IP通信。
使用数据验证:为通信使用数据文件的格式和内容定义验证的标准,并对使用数据进行完整性,连续性和重复性检验。
预处理
预处理是对采集的原始使用记录进行识别,检查和格式化的过程,综合采集系统的预处理是与客户资料和计费策略无关的预处理,包含以下内容:
使用数据格式化:使不同网元使用记录转成同一种格式,便于后续处理。
使用数据关连:数据关系程序将与同一个通信服务相关的网络使用记录集合起来。通常是经规则或数据管理器,将网元、应用服务器和事件日志的输入相关连。
使用数据集合:识别需要被集合的使用记录:例如通过不同网络供应商的通信量。
过滤:删除计费系统不需要的记录,例如重复的记录或者不可计费的记录。
使用数据定向:将通信使用数据匹配至客户的资费来决定价格。这一部分是与计费帐务平台相连的。
使用数据分发:支持个别事件和批量事件的数据传输到BSS(计费帐务系统)中。数据传输过程中要应用推/拉(pushing/pulling)技术、基于时间和事件驱动的分配、或者自动联机分配(例如FTP文件传输)。
常规化/格式转换:将数据记录从一家服务供应商的格式转换成另一种格式。通常从其它服务供应商转换数据和预计费的记录,使得在计费的过程中这些记录可以用于计算价格。
错误管理:处理在记录过程中可能发生的错误:侦测重复的文件、修正事件数据记录并处理修正后的事件、提供针对网络、设备、网元、服务和特殊影响进行报表的能力等等。
经营分析功能架构
经营分析系统是充分利用业务系统产生的大量宝贵的数据资源,实现对数据的分析处理,为经营工作提供及时、准确、科学的信息支撑的关键系统。包括BSS报表、BSS分析和客户洞察等功能域, 如下图所示:
图 5 17 省分经营分析系统功能架构图
经营分析系统主要包括以下部分:
BSS报表
BSS报表实现面向各部门的指标及统计报表的生成以及总部和省分管理要求的经营类报表的生成和上传,包含以下内容:
CRM类报表:关注CRM系统的各类日报、周报、月报、年报。
计费类报表:关注计费系统的各类日报、周报、月报、年报。
结算类报表:关注结算系统的各类日报、周报、月报、年报。
合作伙伴类报表:关注合作伙伴管理系统的各类日报、周报、月报、年报。
BSS分析
BSS分析提供面向市场,产品,业务发展的主题分析,主要包含以下内容:
收益情况分析:提供收入总量、收入变化、收入构成分析、ARPU分析、缴欠费分析等。
业务情况分析:提供单项业务使用情况分析,套餐综合分析(与套餐相关的资源、财务类信息)等。
市场竞争分析:提供市场占有率分析、竞争对手发展情况分析、竞争对手高端客户分析、联通有流失倾向(网外通话多)的高端客户分析等。
客户情况分析:提供客户总量分析、新发展客户分析、离网客户分析、大客户分析等。
合作伙伴分析:提供结算分析、合作渠道分析(包括客户发展分析、业务发展分析以及投资回报分析等)等。
服务质量分析:提供客户服务质量分析(基于联通客户服务质量评估指标)、客户咨询/查询焦点分析、客户投诉焦点分析、客户满意度分析、客户忠诚度分析等。
资源情况分析:提供号码资源分析、终端资源分析、卡类资源分析等。
客户洞察
客户洞察功能主要是提供面向客户,市场营销等操作层面的主题分析,包含以下内容:
客户分群:提供从多个维度对客户进行分群的功能,支持用聚类和分类的方法,提供客户战略分群支持客户战略的制定,提供客户战术分群为具体的市场营销活动提供目标客户群和营销方案设计的依据。
客户生命周期分析:通过对潜在客户、新客户,成熟客户到离网客户的客户完整生命周期的分析,为针对不同生命周期的客户提供差异化的服务提供信息支持。
客户行为分析:通过对客户的通话行为,使用模式的分析,为针对性营销和个性化产品设计提供信息支撑。
交叉销售和向上销售分析:通过对客户已购买产品的分析,发现向现有客户交叉销售其他产品的机会,从而提升客户价值。
客户信用度分析:通过客户基本信息和消费和缴费数据的分析,建立科学的客户信用度模型,从而对客户评价管理中依据业务经验制定的客户信用规则进行修正。
客户离网预测:通过对客户数据的分析建立离网预测模型,对离网倾向高的客户进行预警,提供给客户评价管理模块进行相应的客户维系挽留策略的分配和执行。
客户欺诈发现:可以将计费系统中的欺诈模型分析功能在客户洞察中实现,通过对网络使用情况和客户呼叫的模式的分析,识别欺诈行为的潜在特征,再有计费系统中的防欺诈与控制模块进行实时的控制。
企业外部门户
省分企业外部门户是面向公众客户,统一展现分工司企业形象,提供分工司产品介绍,进行相应业务处理的统一接触点。通过省分的外部门户,可以集成客户门户应用(如客户自助、客户俱乐部等)、合作伙伴门户应用(如SP/CP等)到统一的企业外部门户。
图 5 18 省分外部门户系统功能架构图
SSO(单点登陆)
单点登陆是利用用一个统一的用户目录服务系统,为多个系统中存在的用户信息进行统一认证,用户只需要经过一个登录点完成登录企业门户,就可以在各个系统中来回自由切换和使用。单点登陆的要求:
1.需要将所有系统中用户资料管理和密码管理作为一个独立的服务来进行开发和维护;
2.各个系统都采用这个公共服务来进行用户资料和密码的提供。
通过该功能,用户一般利用桌面Web浏览器进行一次性登录,通过集成的安全控制,即可以完成通过单一用户界面访问多个应用系统。
目录服务
省分目录服务内容由客户信息、合作伙伴信息等提供,目录服务的特性决定系统必须满足以下应用要求:
系统管理的安全性和一致性:在多应用系统环境中,管理员需要实现用户注册,修改,删除一次性完成,并且保证系统中用户身份唯一性、一致性以及安全性,并为实现单点登陆提供支持。
用户权限控制:实现用户、应用服务之间的信息存储、权限控制和权限委托。
目录数据与应用系统交互:通过应用授权管理程序在权限规则下能完成对目录服务对象属性的查询,修改;也可以通过目录数据共享来维护应用系统数据。
统一安全服务
通过相应的网络安全配置,统一用户权限配置,保障企业应用服务的连续性和信息的安全性。
表现层管理
对于企业外部门户, 提供管理展现内容和展现方式的工具。
内容管理:为具有权限的用户提供发布和修改来自不同应用系统的信息的工具, 并管理/维护相应的用户权限。
搜索服务:为用户提供内容检索服务,包括标题检索、全文检索以及文档关键字检索;便于用户根据主题和关键字进行信息查询,提高员工工作效率和客户体验满意度。
OSS系统功能架构
总部系统功能架构
总部OSS系统可以分为服务开通类系统、服务保障类系统、资源管理类系统、专业综合网管类系统以及服务交付平台。服务开通类系统实现对开通流程的支持,服务保障类系统提供对客户服务质量的保障支持,资源管理类系统为服务开通及保障流程提供资源数据支撑。专业综合网管类系统收集各专业EMS产生的告警信息以及性能数据信息,经过过滤以及网元级别和专业内部关联分析后发送给服务保障类系统。服务交付平台为实现增值业务快速开发、部署提供支撑。
图 5 19 总部OSS系统架构
集成定单管理系统
集成定单管理功能提供与BSS系统以及客户自服务系统的连接。它完成定单接受与确认,定单分解,定单管理以及异常单处理等功能。复杂的定单通过服务构建单元被分解为子服务开通流程,这样跨服务域和跨平台的开通请求就可以在分解后分发到相应的系统进行处理并对整个开通流程进行跟踪。
图 5 20 集成定单管理系统功能
定单接收与确认
定单接收与确认模块在集成定单管理系统中负责确认输入定单以及执行定单过程。此模块执行以下功能:数据确认、定单版本管理、里程碑检验、重复检测。
定单分解
定单分解模块负责基于构建单元映射(通过服务目录)对定单的开通流程进行分解,产生服务开通所必须的任务列表,并将需要人工完成的任务发送给综合生产调度系统,将自动激活的任务发送给服务开通系统。
定单跟踪
定单跟踪功能负责跟踪以及向相关系统提供定单执行状态,并且为BSS/OSS架构提供报表功能。一个特殊的定单可能需要多个并行的工作流,这些定单的状态以及功能必须被跟踪,并且将这些状态汇集后以各种形式提供给面向客户的系统以及需要了解细节的服务交付相关组织。
定单管理
定单执行过程管理
定单管理功能负责执行在分解过程中产生的任务,协调并行的以及串行执行的工作流,监控异常处理所执行的新流程。定单管理的其他功能包括与消息传递以及集成环境(EAI)之间的交互、任务相关性管理、任务执行顺序管理等。
异常定单管理
异常定单管理模块负责管理定单执行过程中发生的异常,包括定期跟踪,告警,错误工作列表以及补偿流程。
集成定单管理功能的一个好处是管理和降低服务订购开通时间,从而降低运营成本以及改善客户感受。异常定单管理功能扮演关键角色,它提供定单在正常流程外的可见性,以便相关的交付组织能够及时的采取措施并解决问题。
定单报表
定单报表功能负责提供报表给外部客户以及内部交付组织。报表可以是实时的(如定单状态、定单内容等)以及历史报表(如趋势、客户报表、产品报表等)。
综合告警监控系统
综合告警监控系统提供各专业告警和性能数据的收集,同时将告警信息进行跨专业相关性分析以及过滤,并进行实时展现。综合告警监控系统从各专业综合网管获取经过专业内关联分析的告警信息,根据从综合资源管理系统获取的资源模型,对不同网络域的告警信息统一展示,并将分析后的告警发送给综合故障单系统。总部的综合告警监控系统还实现对全网性能数据的统一分析与处理。
图 5 21 综合告警监控系统功能
告警和性能数据采集
告警和性能数据采集模块从专业综合网管采集告警和性能数据并进行预处理,专业综合网管系统需要将本专业内的告警及性能数据进行专业内部关联处理并统一告警及性能数据格式。
数据采集
从各专业综合网管采集告警事件和性能数据,保证数据能够及时可靠的从各专业综合网管传递到综合告警监控系统,主要以被动采集(接收)为主,主动采集作为辅助方式。
预处理
包括对告警事件和性能进行统一格式化,告警等级重定义,告警事件剔重等部分的工作。
告警过滤/收敛
告警过滤包括两个方面,一是根据条件过滤掉不需要的告警,二是根据规则对相同或相似的告警进行归并,减少告警的数目。
告警收敛
在一定条件下,将同一来源的相同或相似告警进行归并,记录告警次数,第一次及最后一次告警等信息,达到减少告警的作用。
指定条件过滤
按照指定条件(如时间段,告警来源,告警等级等)对告警进行忽略性过滤。
告警越限过滤
对某些告警,系统可以对告警次数定义门限值,只有当告警次数超过门限时,才正式记录此告警。
告警延时过滤
对于一些告警,可以定义一定的延时时间,只送出在延时时间内没有自动清除的告警。在延时时间内消除的为瞬时告警,对瞬时告警系统可以需要定义是否显示。
告警相关性分析
对跨专业的告警进行分析处理,包括告警关联和跨专业相关性分析,以及根据分析结果进行的告警定位。
告警关联
根据资源之间的逻辑关联(资源数据从综合资源管理系统中调用)进行父子告警关联,并能对来自不同途径的告警进行关联。
相关性分析
对告警进行跨专业相关性分析,确定根告警,屏蔽衍生告警。
支持按照告警发生时间、告警类型、告警的因果关系、告警的承载关系等方面的相关性分析。
告警定位
根据告警相关性的分析结果,对告警信息进行增强,为告警原因分析提供支持。
集中监控
将各个专业的告警经过相关性分析后,进行统一呈现,统一状态跟踪,达到使用一个控制台,就能呈现和处理所有专业告警的目标。
告警呈现
以多种方式对告警进行显示:如告警列表、结合拓扑图呈现、结合地理地图呈现等方式。
以多种用户视图显示:根据不同角色,不同权限选择相应的显示方式,告警范围,告警等级等。
为告警显示提供多种可闻性通知,如声、光以及对大屏幕等外设的支持。
提供告警的实时查询及告警历史回放等功能。
告警状态跟踪
对告警全生命周期的管理,对告警状态的变化及原因进行记录。
告警信息分发
根据情况,可能需要将告警信息按照不同的要求分发到其他系统,此功能负责确定分发的范围、分发的格式以及具体的分发接口。
告警处理
完成对告警数据的各种处理,主要包括告警确认、告警清除等功能。
告警确认
根据告警识别规则,提供对告警的自动确认和手工确认(同时支持批量确认)。
告警清除
分为自动清除和手工清除:自动清除是指在故障消除后,系统得到了故障消除信息,此时将自动清除告警。手工告警是指对故障已经解决的(如根据从综合生产调度系统返回的故障处理结果)告警进行手工确认,消除告警。对一些不重要或非真实的告警也可以通过手工进行清除。
性能管理
性能管理功能提供跨专业性能采集、处理和呈现功能,同时将性能信息进行跨专业关联性分析,并且能够支撑对网络运营质量关键指标的评估。
性能门限管理
设置门限是性能监控的主要方式,通过对具体的性能指标设置门限并进行监控,当性能数据超越定义的门限时,会发出相应的性能告警。
门限值管理
负责对特定的性能数据设置一定的门限值,同时定义当性能数据越过该门限值时提出性能告警的级别和信息。
门限监控
以监控任务的形式对性能数据进行监控,主要是对设定了门限值得特定性能数据进行监控。
性能越限告警
当监控到性能数据超越定义的门限值时,系统会向发出相应的性能告警。
性能分析
包括跨专业性能关联分析和性能趋势分析等功能。性能趋势分析是根据性能在一个较长时间段累积的数据进行分析,从而确定性能变化的趋势。另外,性能分析的结果还将作为评估网络运行质量的重要参考依据。
综合生产调度系统
综合生产调度是运维工作的重要支撑部分,目的是快速传递并全面反馈各种运维管控信息,为快速服务开通、快速故障定位和服务恢复以及高效日常维护管理提供支撑,从而提高对市场业务的支持力度,提高整体服务水平、服务质量。主要包括作业计划管理、工单管理和人工绩效管理等功能,总部系统还包括对故障单处理流程的管理的功能。
总部的综合生产不但面向总部各个部门中生产作业的管理(与省分类似);而且作为全国的调度中心,还要负责统一调度和协调各省运维工作。调度和协调工作主要体现在工单管理中的调度工单和工作联系单部分。
图 5 22 综合生产调度系统功能
作业计划管理
作业计划管理主要管理日常运维工作,包括工作计划管理和值班管理两个部分。
工作计划管理
工作计划管理主要包括工作计划的制定、审批、分发确认、执行反馈、审核和归档等全过程,对运维部门维护工作计划的制定和实施过程进行监控和管理,同时为考核提供依据。
值班管理
值班管理实现统一的机房电子化值班管理,将排班管理、值班日志、交接班记录等任务集成至本系统中,使得当班人员能够准确、高效的完成各项维护任务。
工单管理
对运维工作中涉及到的四种工单进行统一管理和监控,包括对整体工作进度、状态进行管理。总部对省分的调度是通过调度工单下发到省分,通过工作联系单可以完成总部对省分工作的协调处理。
调度工单
调度工单指对局数据配置、新业务开通等工作进行调度的工单。主要流程包括:局数据修改通知、领导转派、下发局数据调度单、执行回单、归档等环节。总部进行统一的调度工作,如全国统一配置的局数据或新业务开通相关工作,由总部向各省发出调度工单来完成。
工作联系单
为便于各专业部门之间的配合与协调,建立工作联系单流程。工作联系单的类型一般有:电路申请、端口开放申请、用电申请、进入机房申请、计算机需求申请、其它申请等。总部如有需要若干省分合作进行的工作,可以通过工作联系单来完成。
故障工单
总部系统中的故障工单是指客户关系管理系统发送来的客户故障单或人工生成的故障单(因总部没有综合故障单管理系统,因此主动发现的故障如需下工单,需要手工生成故障工单)。本系统对故障工单的分配、执行和回单进行管理。
开通工单
开通工单是集成定单管理系统发送给综合生产调度的开通工单,对于总部,开通工单主要完成需要在一干线路上进行开通操作的任务。
人工绩效管理
按照组织架构(个人、班组、部门),根据需要定义KPI管理指标,并针对这些KPI指标进行统计和分析,确定人工绩效。同时,总部系统可对各省分人工绩效的结果进行查询统计和分析。
运维组织管理
实现对运维相关部门、班组和个人信息的管理和维护。
绩效管理
实现对各种KPI管理指标的定义和相关统计,并根据统计结果进行绩效考核。KPI管理指标一般可分为关键业绩KPI、一般性指标和扣分指标等几个部分。
故障管理
故障管理主要包括故障关联和故障单流程管理两部分:
故障关联
相同的故障很多情况下都会产生多个故障单,例如客户故障申告和系统主动发现故障都提交了故障单,因此需要发现这种联系,进行关联合并,减少故障单的数量,同时提高故障处理的效率。
故障单流程管理
对故障单进行全生命周期管理,包括故障单的创建、接收、分配、审核、回单等过程。
综合资源管理系统
综合资源管理系统负责对各专业网络的物理资源以及逻辑资源进行统一管理。综合资源管理系统将为服务保障类系统以及服务开通类系统提供资源数据支撑,并且保存用户与资源之间的对应关系。总部综合资源管理系统负责管理总部一干网络、总部IT系统及增值业务平台,同时还负责全国移动号码段、IP地址段的分配管理。
图 5 23 综合资源管理系统功能
资源数据管理
资源数据管理负责对不同专业、不同设备的物理资源、逻辑资源以及码号空间进行统一管理。资源数据管理维护网络资源目录,并且通过资源数据同步模块对网络资源进行自动更新。提供图形化的方式对资源数据进行录入、更新、删除以及查询。通过增加对资源数据的校验以及对资源变更流程的控制,确保资源数据的准确。
逻辑资源管理
负责管理运营商网络中当前、计划以及历史的逻辑资源。逻辑资源目录包括网络容量以及使用信息。容量可以按照具体的条目进行跟踪(如时隙)。逻辑容量可以是以太网络中的有效带宽、交换网中的空闲时隙等。服务保障功能需要准确的服务目录数据库来确定网络故障对客户或服务的影响。另外,不同层次的网络拓扑结构能够帮助服务保障类系统对故障进行分析及定位。
物理资源管理
物理资源管理负责存储运营商网络上目前、历史以及规划的物理资源信息。它包括网络设备、站点信息、网络连接、服务器等。物理目录包括网络设备、板卡、机架空间、位置、物理连接、端口可用性、光纤特性以及其他方面的物理信息。这些信息将使服务开通流程理解资源的可用性以便支撑客户的查询及服务实现过程。规划和开发工具也可以使用资源的可用性以及容量信息作为网络及服务规划的依据。另外,服务保障系统依赖于准确的网络目录数据库定位错误、识别影响、为网络维护工程师准确解决问题提供指导。物理资源管理通常包括GIS/拓扑管理功能,允许不同网络管理系统(如资源、故障等)将资源信息同地图相关联。这些图形化的视图将对网络与服务的计划、开发、交付及保障提供帮助。客户服务代表和用户也可以通过图形化视图确定所出现的服务或网络问题。
码号空间管理
此功能对各专业地址空间(如IP地址、电话号码等)的分配进行管理。地址管理包括分配以及回收电话号码、IP地址、地址映射、地址翻译等。码号空间管理存储历史、当前以及将来码号空间,作为计划、优化、分配的依据。
服务资源管理
此功能存储运营商网络上当前、计划、以及历史的服务实例目录。它将记录客户服务与网络物理资源、逻辑资源设计的详细信息。通过存储客户及服务信息(如客户标识、服务标识),资源管理系统建立了客户与网络服务管理之间的连接关系。服务保障能力依赖于准确的服务目录数据库确定网络故障或性能对客户与服务的影响。此功能是故障影响度分析的关键。服务目录包括拓扑功能可以允许查看客户服务的详细信息(如客户的IP-VPN地图以及拓扑地图)。
资源数据同步
资源数据同步与专业网管系统接口,负责通过专业网管与EMS相连接,从网络上收集最新的资源配置信息以及逻辑资源信息,并将专业网管系统发现的新设备同步到综合资源管理系统中。自动发现功能能够识别网络中新的资源、设备以及配置信息。它收集的信息将与资源管理系统中的数据进行同步,保证两个系统间(资源管理与专业综合网管)数据的一致性。自动发现与同步是保证资源数据高效准确的关键过程。专业网管系统负责发现并通知综合资源管理系统网络资源的变化情况,资源管理系统负责收集网络资源的变动并对资源数据进行同步处理。并非所有的网络设备都能被自动发现与配置。很多无源设备无法提供自动发现功能的接口。这些设备需要手工将资料录入到资源管理系统中。
资源自动发现
主动或被动收集各个专业网管发现的网络上资源的变动信息,并对资源发现进行合法性进行判定。
资源数据同步
根据发现的新资源以及资源的历史信息,对资源数据状态进行自动同步,保证资源管理数据库中存储数据的准确,并记录日志。
设计与分配
设计与分配实现对服务开通流程的支撑,根据模板自动或通过人工方式对资源分配方案进行设计,并对所设计的资源进行预占。对于数据固定业务,通常的开通流程由集成定单管理系统发起,根据资源管理的设计与分配结果向相关的施工人员派发工单,完成开通流程。
服务与资源设计
服务与资源设计定义端到端服务开通所需活动和一事件序列以及相关的资源类型、资源分配策略。这可能需要端到端的电路路由,容量以及损耗计算,配置变更以及逻辑规则。
资源分配
根据服务与资源设计结果,为客户服务分配并保留必要的网络资源。
资源调拨管理
负责分配并跟踪物理资源在网络中的变化,此过程将对资源在网络中整个生命周期过程进行管理。资源设计与分配、资源数据同步、备品备件管理等功能均可能引起资源物理属性(位置、参数等)的变化。另外,资源调拨管理还负责与ERP系统之间接口等功能。
资源跟踪
负责对物理资源在网络中的变动过程进行管理和记录,并跟踪资源状态的变化(计划、建设、维护、故障、撤销等)。
备品备件管理
为各专业备品备件建立完成的资源目录,支持对跨区域、跨专业备品备件的调拨。资源管理系统负责管理备品备件的数量、配置以及物理位置的变更等信息,并且能够提供符合要求的备品备件清单,而对于备品备件调拨流程的管理则在综合生产调度系统中实现,如果涉及到库存方面的变化,需要使用ERP系统进行管理。
ERP数据同步
负责与ERP的固定资产管理以及项目管理模块同步数据,使ERP能够得到资源最新最准确的变更状态。同时,ERP系统中对资源状态的变化(如已订购、已验收等),也会通过此过程同步到资源管理系统中。ERP系统内的固定资产数据与综合资源管理系统中的资源数据在一定级别存在对应关系,例如,资源管理系统要管理到某块板卡的物理端口以及逻辑端口, 而ERP只需记录到板卡级别的信息。资源管理系统侧重于管理连接、配置以及准确的物理位置等信息,而ERP系统则关注资产的价值、折旧、成本中心以及变化、库存与采购等方面信息。
地理信息服务
地理信息服务功能提供的网络视图允许操作员准确的将资源的物理位置与地图相对应。此功能对电源、电缆以及光纤的管理非常重要。地理信息服务(GIS)功能可以与GPS功能集成,提供更加准确的位置映射。
网络规划与设计系统
完成对网络创建、增强、升级活动的支撑。网络规划设计包括网络需求收集、网络容量设计以及网络实施设计等功能。考虑到公司OSS系统建设现状,建议仅在总部建立网络规划设计系统,主要实现对全国干线网络的规划设计。对于本地网范围内的规划设计可以通过经营分析系统以及各专业网络自带的规划设计软件辅助实现。
图 5 24 网络规划与设计系统功能
网络需求收集
负责收集与合并各种来源的网络需求数据,以便估计未来网络的用户、服务使用情况,作为规划未来网络能力的依据。
网络容量设计
容量规划包括对未来网络容量能力的预测,预测需要基于未来营销信息以及对当前容量、流量的分析。需要将营销预测信息与网络需求、网络资源信息相关联。能力规划工具被用来预测以及决定所需的网元以及连接。
网络实施设计
网络实施设计负责制定计划、政策、规则、网络设计(创建、优化以及删除网络节点或连接),以便能够达到将来产品及服务对网络的要求。此功能将通过当前网络配置建模以及专家系统,并结合人工活动,对各种网络设计的可行性进行模拟,得到最终的网络实施设计结果。
IT网管系统
IT网管负责对运营商内部IT支撑系统(如计费、CRM、结算、综合资源管理、ERP等)的日常运行维护、系统升级、参数配置变更、故障排除等工作提供支持。
告警管理
收集IT应用系统以及IT系统平台(如计费主机、存储、数据库等)发出的告警信息,对各应用系统以及各平台内部产生的告警信息进行过滤以及关联分析,对不同应用系统间以及平台之间的告警进行关联及过滤,并按照统一的告警格式发送给综合告警监控系统。提供对所采集原始告警信息的展示。
性能管理
收集IT应用系统以及IT系统平台(如计费主机、存储、数据库等)产生的性能数据,根据规则对性能数据进行过滤后发送给综合告警监控系统。提供细粒度的性能数据展现。
自动发现
用来自动发现IT网络上新增加的设备资源以及配置信息(如新增的营业终端以及配置的存储资源等),并将此信息与综合资源管理系统进行同步。
监控代理
从应用系统或平台上获取需要收集的告警及性能数据并发送给告警及性能管理模块。
配置管理
对变更的业务参数特别是跨越多个IT系统的配置提供统一管理,提高自动化程度,降低配置变更的复杂度,提高运行维护效率,保证配置的一致性及完整性。
服务交付平台
以下是服务交付平台(SDP)的功能架构图。SDP包括第三方网关、服务创建与执行、服务代理、服务控制、服务集成以及终端客户端等六个层面。
SHAPE \* MERGEFORMAT
图 5 25 SDP平台功能架构
第三方网关
第三方网关是安全发布标准的、简化的对网络、业务应用和BSS服务等的接触,实现认证,以及对那些由外部服务提供商发起的事件进行控制的模块。
第三方网关的主要功能包括服务发布、服务请求处理、制度管理、能力处理、及PRM接触等。
服务创建与执行
服务创建环境由一系列“库”、软件开发工具包、以及配置工具组成 ,这些工具可以加快服务开发的速度并使服务开发更加容易。在这里详细说明了一个应用开发商所应该采用的所有标准和界面以及普遍的功能。
其中,内容管理/数字版权管理组件提供服务套件,以简化基于内容的服务的开发。
创建环境为开发、整合、获得、和管理分布式的以服务为导向的应用提供了基础设施和条件。
服务代理
服务代理层主要包含三个模块:接入与安全、服务功能、和连接。
其中,接入与安全功能域主要负责标准的和简化的界面与内部应用和第三方接触,同时对认证进行控制,并提供安全接入到电信运营商“核心”SDP的能力。
服务功能功能域 使一系列普遍的和可再利用的特征以及复杂的流程成为可能,这使得应用能够影响交付的内容和服务。
连接功能域控制那些与周围平台互相影响的通信功能、 路由、数据转换等必要的转换,等。
服务控制
服务控制层主要包括三个模块:统一目录、控制与安全、和在线服务管理。
统一目录功能域实现标准的界面用以普通数据的恢复和更新。
控制与安全功能域将所有增值业务应用所需要的接入控制特征集中起来。
在线服务管理功能域使在线交互成为可能,在交互过程中,网元探测以得到网络使用的实时信息。
服务集成
服务集成层主要包括网关/IF、服务平台、及网络服务。
其中,网关/IF使应用和第三方能简单和标准地接入网络能力,而不像以前那样基于复杂的网络协议接入(如:SS7,INAP,等)。
服务平台支持固网/移动网络上的内容应用。
网络服务是网络提供的在不同渠道用来与用户交互的一个基础功能。
终端客户端
终端客户端领域是SDP的一部分,是因为随着终端软件的多样化(Series 60,Microsoft,等),为了确保与服务和内容的协同性,对用户配置管理的需求在不断增长。
此功能域提供了那些用来管理所有不同应用所需协议的软件,这些软件适用于各种用户终端(如,移动电话,PDA, PC机)。
省分系统功能架构
图 5 26 省分OSS系统架构
集成定单管理系统
集成定单管理功能提供与BSS系统以及客户自服务系统的连接。它完成定单接受与确认,定单分解,定单管理以及异常单处理等功能。复杂的定单通过服务构建单元被分解为子服务开通流程,这样跨服务域和跨平台的开通请求就可以在分解后分发到相应的系统进行处理并对整个开通流程进行跟踪。
图 5 27 集成定单管理系统功能
定单接收与确认
定单接收与确认模块在集成定单管理系统中负责确认输入定单以及执行定单过程。此模块执行以下功能:数据确认、定单版本管理、里程碑检验、重复检测。
定单分解
定单分解模块负责基于构建单元映射(通过服务目录)对定单的开通流程进行分解,产生服务开通所必须的任务列表,并将需要人工完成的任务发送给综合生产调度系统,将自动激活的任务发送给服务开通系统。
定单跟踪
定单跟踪功能负责跟踪以及向相关系统提供定单执行状态,并且为BSS/OSS架构提供报表功能。一个特殊的定单可能需要多个并行的工作流,这些定单的状态以及功能必须被跟踪,并且将这些状态汇集后以各种形式提供给面向客户的系统以及需要了解细节的服务交付相关组织。
定单管理
定单执行过程管理
定单管理功能负责执行在分解过程中产生的任务,协调并行的以及串行执行的工作流,监控异常处理所执行的新流程。定单管理的其他功能包括与消息传递以及集成环境(EAI)之间的交互、任务相关性管理、任务执行顺序管理等。
异常定单管理
异常定单管理模块负责管理定单执行过程中发生的异常,包括定期跟踪,告警,错误工作列表以及补偿流程。
集成定单管理功能的一个好处是管理和降低服务订购开通时间,从而降低运营成本以及改善客户感受。异常定单管理功能扮演关键角色,它提供定单在正常流程外的可见性,以便相关的交付组织能够及时的采取措施并解决问题。
定单报表
定单报表功能负责提供报表给外部客户以及内部交付组织。报表可以是实时的(如定单状态、定单内容等)以及历史报表(如趋势、客户报表、产品报表等)。
服务开通管理系统
服务开通管理负责对网络设备进行自动开通处理,系统将接收来自于集成定单管理的开机工单和或指令,并进行处理后形成网元能够识别的指令,通过网元接口发送给指定的网元设备实现对资源的配置。移动业务的开通主要是将指令发送给HLR,固定业务的自动开通一般是将指令发送给专业综合网管系统或网元EMS系统,通过网管系统实现对固定交互设备的自动开通处理。
图 5 28 服务开通管理系统功能
服务开通
服务开通负责接收来自于集成定单管理的开机工单和或指令,并进行处理后形成具体网元能够识别的指令后将这些指令发送给服务激活模块。
服务激活
服务激活负责接收服务开通系统发送的开通指令,并将正确的网络命令通过网络接口协议发送给相应的网元设备管理系统(EMS),并且对网元返回的结果进行处理,确保开通指令能够正确被执行。
综合告警监控系统
综合告警监控系统提供各专业告警和性能数据的收集,同时将告警信息进行跨专业相关性分析以及过滤,并进行实时展现。综合告警监控系统从各专业综合网管获取经过专业内关联分析的告警信息,根据从综合资源管理系统获取的资源模型,对不同网络域的告警信息统一展示,并将分析后的告警发送给综合故障单系统。省分综合告警监控系统负责全省各专业网络的集中告警统一展示。
图 5 29 综合告警监控系统功能
告警和性能数据采集
告警和性能数据采集模块从专业综合网管采集告警和性能数据并进行预处理,专业综合网管系统需要将本专业内的告警及性能数据进行专业内部关联处理并统一告警及性能数据格式。
数据采集
从各专业综合网管采集告警事件和性能数据,保证数据能够及时可靠的从各专业综合网管传递到综合告警监控系统,主要以被动采集(接收)为主,主动采集作为辅助方式。
预处理
包括对告警事件进行统一格式化、告警等级重定义、告警事件剔重等部分的工作。
告警过滤/收敛
告警过滤包括两个方面,一是根据条件过滤掉不需要的告警,二是根据规则对相同或相似的高精进行归并,减少告警的数目。
告警收敛
在一定条件下,将同一来源的相同或相似告警进行归并,记录告警次数,第一次及最后一次告警等信息,达到减少告警的作用。
指定条件过滤
按照指定条件(如时间段,告警来源,告警等级等)对告警进行忽略性过滤。
告警越限过滤
对某些告警,系统可以对告警次数定义门限值,只有当告警次数超过门限时,才正式记录此告警。
告警延时过滤
对于一些告警,可以定义一定的延时时间,只送出在延时时间内没有自动清除的告警。在延时时间内消除的为瞬时告警,对瞬时告警系统可以定义是否显示。
告警相关性分析
对跨专业的告警进行分析处理,包括告警关联和跨专业相关性分析,以及根据分析结果进行的告警定位和相应的告警处理建议。
告警关联
根据资源之间的逻辑关联(资源数据从综合资源管理系统中调用)进行父子告警关联。并能对来自不同途径的告警进行关联。
相关性分析
对告警进行跨专业相关性分析,确定根告警,屏蔽衍生告警。
支持按照告警发生时间、告警类型、告警的因果关系、告警的承载关系等方面的相关性分析。
告警处理建议
结合知识管理等功能,提供对告警处理的预案支持。
告警定位
根据告警相关性的分析结果,对告警进行故障定位。
集中监控
将各个专业的告警经过相关性分析后,进行统一呈现,统一状态跟踪,并根据情况进行统一的故障单生成,达到使用一个控制台,就能呈现和处理所有专业告警的目标。
告警呈现
以多种方式对告警进行显示:如告警列表、结合拓扑图呈现、结合地理地图呈现等方式。
以多种用户视图显示:根据不同角色,不同权限选择相应的显示方式,告警范围,告警等级等。
为告警显示提供多种可闻性通知,如声、光以及对大屏幕等外设的支持。
提供告警的实时查询及告警历史回放等功能。
告警状态跟踪
对告警全生命周期的管理,对告警状态的变化及原因进行记录。
故障单生成
根据情况,对当前告警列表中的告警,可以自动或手动填写故障单信息,自动或经过确认后提交到综合故障单管理系统。
告警信息分发
根据情况,可能需要将告警信息按照不同的要求分发到其他系统,此功能负责确定分发的范围、分发的格式以及具体的分发接口。
告警处理
完成对告警数据的各种处理,主要包括告警确认、告警清除等功能。
告警确认
根据告警识别规则,提供对告警的自动确认和手工确认(同时支持批量确认)。
告警清除
分为自动清除和手工清除:自动清除是指在故障消除后,系统得到了故障消除信息,此时将自动清除告警。手工告警是指对故障已经解决的(如根据从综合生产调度系统返回的故障处理结果)告警进行手工确认,消除告警。对一些不重要或非真实的告警也可以通过手工进行清除。
告警通知
对特定告警通过固定电话、手机、Email、短信等方式通知相关人员的功能。包括告警通知的触发条件、告警通知对象、告警通知方式、通知内容定制等的管理。支持逐级上传的功能,对特定级别的告警,可以根据时段定义逐级上传告警信息。
告警同步
由于某种原因,综合告警监控系统中的告警信息与专业综合网管或网元管理系统(EMS)中的告警产生不一致时,需要启动告警同步机制,保证各方信息的同步。
综合故障单管理系统
根据故障的类型产生并派单到各部门(班组)或区域维护站进行处理,并负责对故障单进行跟踪、反馈、统计、分析等工作。同时对故障单进行关联、合并,达到高效处理故障的目标。
图 5 30 综合故障单管理系统功能
故障单流程管理
对故障单进行全生命周期管理,包括故障单的接收、分配、审核、回单等过程。
故障单接收
接收故障单。故障单来源主要分为客户故障和主动故障,客户故障是指由客户关系管理系统中的客户服务模块提交的客户故障申告;主动故障是指综合告警监控系统提交的由告警触发的故障。
故障单分配
根据故障的范围和类型为故障单指派相应的处理机构或角色,并传递到综合生产调度系统中进行任务分配。
故障单回单
接收综合生产调度系统对故障单的处理结果,并根据故障单来源及处理结果向相应的系统进行反馈。例如向客户关系管理系统或综合告警监控系统发出排障通知等。
故障单审核
对故障单的审核与批准。不同的故障单类型可能有着不同的处理流程,例如有些故障单的处理在进入下一流程前需要审核和批准。
故障关联
相同的故障很多情况下都会产生多个故障单,例如客户故障申告和系统主动发现故障都提交了故障单,因此需要发现这种联系,进行关联合并,减少故障单的数量,同时提高故障处理的效率。
客户故障关联
批量故障关联
当接收到客户故障单时,需要查询是否存在大量的与此故障单相同或相似的客户故障单,如存在则进行关联。关联后的处理通常是合并故障单,并根据情况进行故障单优先级的提升。
主动故障关联
当接收到故障单时,需要查询是否存在与此故障单相同或相似的主动故障单,如存在,则进行关联。关联后的处理通常是合并故障单。
故障通知
根据综合告警监控系统的客户影响分析结果,如果受影响的客户是重要客户或是签订了服务水平协议(SLA)的客户,就需要向CRM系统发送故障通知,通过CRM系统向客户通报故障情况,减少用户损失,提高用户服务水平。
综合生产调度系统
综合生产调度是运维工作的重要支撑部分,目的是快速传递并全面反馈各种运维管控信息,为实现快速服务开通、快速故障定位和服务恢复以及高效日常维护管理提供支撑,从而提高对市场业务的支持力度,提高整体服务水平、服务质量。主要包括作业计划管理、工单管理和人工绩效管理等功能,省分系统还包括任务流程优化的功能。
图 5 31 综合生产调度系统功能
作业计划管理
作业计划管理主要管理日常运维工作,包括工作计划管理和值班管理两个部分。
工作计划管理
工作计划管理主要包括工作计划的制定、审批、分发确认、执行反馈、审核和归档等全过程,是对运维部门在维护工作计划的制定和实施过程进行监控和管理,同时为考核提供依据。
值班管理
值班管理实现统一的机房电子化值班管理,将排班管理、值班日志、交接班记录等任务集成至本系统中,使得当班人员能够准确、高效的完成各项维护任务。
工单管理
对运维工作中涉及到的四种工单进行统一管理和监控,既对整体工作进度,状态进行管理,也为人工绩效考核提供了依据。
调度工单
调度工单指对局数据配置、新业务开通等工作进行调度的工单。主要流程包括:局数据修改通知、领导转派、下发局数据调度单、执行回单、归档等环节。
工作联系单
为便于各专业部门之间的配合与协调,建立工作联系单流程。工作联系单的类型一般有:电路申请、端口开放申请、用电申请、进入机房申请、计算机需求申请、其它申请等。
故障工单
故障工单是指综合故障管理系统分发的故障处理工单。本系统对故障工单的分配、执行和回单进行管理。
开通工单
开通工单是集成定单管理系统发送给综合生产调度的开通任务列表,对于省分,开通工单主要完成需要在二干网络以及本地网上进行开通操作的任务。
人工绩效管理
按照组织架构(个人、班组、部门),根据需要定义KPI管理指标,并针对这些KPI指标进行统计和分析,确定人工绩效。
运维组织管理
实现对运维相关部门、班组和个人信息的管理和维护。
绩效管理
实现对各种KPI管理指标的定义和相关统计,并根据统计结果进行绩效考核。KPI管理指标一般可分为关键业绩KPI、一般性指标和扣分指标等几个部分。
任务流程优化
根据对日常维护工作和各种工单工作内容进行分析,优化工作流程,如相似工作合并,外派人员任务按照地点合并等等。
综合服务质量及性能管理系统
综合服务质量管理监视、分析和控制服务性能,以便尽快恢复符合客户SLA或KQI描述的特殊性能要求,并生成相应的服务质量测量报告。综合性能管理功能提供跨专业性能数据采集、处理和呈现功能,同时将性能信息进行跨专业关联性分析、客户和服务信息关联性分析,并能够以服务和客户的角度进行性能展现。
图 5 32 综合服务质量及性能管理系统功能
客户服务水平监控
从客户视图的角度对与客户相关联的故障、告警事件、性能数据进行监控。所关注的告警和性能门限根据SLA会有所不同。
服务模拟及测试
从客户的角度,对客户购买的产品进行服务级别的模拟和测试,其结果作为服务水平报告的输入之一。
服务水平报告
通过对故障以及处理、告警、性能和模拟测试结果等各种数据的分析,对客户的整体服务水平进行评估并生成服务水平报告,并将结果告知客户。
性能门限管理
设置门限是性能监控的主要方式,通过对具体的性能指标设置门限并进行监控,当性能数据超越定义的门限时,会发出相应的QoS(服务质量)告警。
门限值管理
负责对特定的性能数据设置一定的门限值,同时定义当性能数据越过该门限值时提出QoS告警的级别和信息。
门限监控
以监控任务的形式对性能数据进行监控,主要是对设定了门限值得特定性能数据进行监控。
性能越限告警(QoS告警)
当监控到性能数据超越定义的门限值时,系统会向综合告警监控系统发出相应的QoS告警。
性能分析
性能分析包括跨专业性能关联分析和性能趋势分析等功能。性能分析的结果将作为评估网络运行质量的重要参考依据。
性能关联分析
将性能信息进行跨专业关联性分析以及客户和服务关联性分析,并能够以服务和客户的角度进行性能展现。
性能趋势分析
根据性能在一个较长时间段累积的数据进行分析,确定性能变化的趋势。
服务质量和性能数据采集
从各个相关系统采集性能数据和服务质量相关数据。
数据采集
性能数据采集:从专业综合网管采集性能数据。对于没有专业综合网管的,可以考虑暂时从网元管理系统(EMS)进行直接采集。采集方式主要以被动采集(接收)为主,主动采集作为辅助方式。服务质量数据采集主要实现客户信息、SLA信息以及网络故障信息的采集功能。
预处理
对采集到的性能数据进行统一的格式化处理。
综合资源管理系统
综合资源管理系统负责对各专业网络的物理资源以及逻辑资源进行统一管理。综合资源管理系统将为服务保障类系统以及服务开通类系统提供资源数据支撑,并且保存用户与资源之间的对应关系。省分综合资源管理系统负责管理各专业二干网络、本地网及增值业务平台,同时负责对全国移动号码段、IP地址段的同步管理。
图 5 33 综合资源管理系统功能
资源数据管理
资源数据管理负责对不同专业、不同设备的物理资源、逻辑资源以及码号空间进行统一管理。资源数据管理维护网络资源目录,并且通过资源数据同步模块对网络资源进行自动更新。提供图形化的方式对资源数据进行录入、更新、删除以及查询。通过增加对资源数据的校验以及对资源变更流程的控制,确保资源数据的准确。
逻辑资源管理
负责管理运营商网络中当前、计划以及历史的逻辑资源。逻辑资源目录包括网络容量以及使用信息。容量可以按照具体的条目进行跟踪(如时隙)。逻辑容量可以是以太网络中的有效带宽、交换网中的空闲时隙等。服务保障功能需要准确的服务目录数据库来确定网络故障对客户或服务的影响。另外,不同层次的网络拓扑结构能够帮助服务保障类系统对故障进行分析及定位。
物理资源管理
物理资源管理负责存储运营商网络上目前、历史以及规划的物理资源信息。它包括网络设备、站点信息、网络连接、服务器等。物理目录包括网络设备、板卡、机架空间、位置、物理连接、端口可用性、光纤特性以及其他方面的物理信息。这些信息将使服务开通流程理解资源的可用性以便支撑客户的查询及服务实现过程。规划和开发工具也可以使用资源的可用性以及容量信息作为网络及服务规划的依据。另外,服务保障系统依赖于准确的网络目录数据库定位错误、识别影响、为网络维护工程师准确解决问题提供指导。物理资源管理通常包括GIS/拓扑管理功能,允许不同网络管理系统(如资源、故障等)将资源信息同地图相关联。这些图形化的视图将对网络与服务的计划、开发、交付及保障提供帮助。客户服务代表和用户也可以通过图形化视图确定所出现的服务或网络问题。
码号空间管理
此功能对各专业地址空间(如IP地址、电话号码等)的分配进行管理。地址管理包括分配以及回收电话号码、IP地址、地址映射、地址翻译等。码号空间管理存储历史、当前以及将来码号空间,作为计划、优化、分配的依据。
服务资源管理
此功能存储运营商网络上当前、计划、以及历史的服务实例目录。它将记录客户服务与网络物理资源、逻辑资源设计的详细信息。通过存储客户及服务信息(如客户标识、服务标识),资源管理系统建立了客户与网络服务管理之间的连接关系。服务保障能力依赖于准确的服务目录数据库确定网络故障或性能对客户与服务的影响。此功能是故障影响度分析的关键。服务目录包括拓扑功能可以允许查看客户服务的详细信息(如客户的IP-VPN地图以及拓扑地图)。
资源数据同步
资源数据同步与专业网管系统接口,负责通过专业网管与EMS相连接,从网络上收集最新的资源配置信息以及逻辑资源信息,并将专业网管系统发现的新设备同步到综合资源管理系统中。自动发现功能能够识别网络中新的资源、设备以及配置信息。它收集的信息将与资源管理系统中的数据进行同步,保证两个系统间(资源管理与专业综合网管)数据的一致性。自动发现与同步是保证资源数据高效准确的关键过程。专业网管系统负责发现并通知综合资源管理系统网络资源的变化情况,资源管理系统负责收集网络资源的变动并对资源数据进行同步处理。并非所有的网络设备都能被自动发现与配置。很多无源设备无法提供自动发现功能的接口。这些设备需要手工将资料录入到资源管理系统中。
资源自动发现
主动或被动收集各个专业网管发现的网络上资源的变动信息,并对资源发现进行合法性进行判定。
资源数据同步
根据发现的新资源以及资源的历史信息,对资源数据状态进行自动同步,保证资源管理数据库中存储数据的准确,并记录日志。
设计与分配
设计与分配实现对服务开通流程的支撑,根据模板自动或通过人工方式对资源分配方案进行设计,并对所设计的资源进行预占。对于数据固定业务,通常的开通流程由集成定单管理系统发起,根据资源管理的设计与分配结果向相关的施工人员派发工单,完成开通流程。
服务与资源设计
服务与资源设计定义端到端服务开通所需活动和一事件序列以及相关的资源类型、资源分配策略。这可能需要端到端的电路路由,容量以及损耗计算,配置变更以及逻辑规则。
资源分配
根据服务与资源设计结果,为客户服务分配并保留必要的网络资源。
资源调拨管理
负责分配并跟踪物理资源在网络中的变化,此过程将对资源在网络中整个生命周期过程进行管理。资源设计与分配、资源数据同步、备品备件管理等功能均可能引起资源物理属性(位置、参数等)的变化。另外,资源调拨管理还负责与ERP系统之间接口等功能。
资源跟踪
负责对物理资源在网络中的变动过程进行管理和记录,并跟踪资源状态的变化(计划、建设、维护、故障、撤销等)。
备品备件管理
为各专业备品备件建立完成的资源目录,支持对跨区域、跨专业备品备件的调拨。资源管理系统负责管理备品备件的数量、配置以及物理位置的变更等信息,并且能够提供符合要求的备品备件清单,而对于备品备件调拨流程的管理则在综合生产调度系统中实现,如果涉及到库存方面的变化,需要使用ERP系统进行管理。
ERP数据同步
负责与ERP的固定资产管理以及项目管理模块同步数据,使ERP能够得到资源最新最准确的变更状态。同时,ERP系统中对资源状态的变化(如已订购、已验收等),也会通过此过程同步到资源管理系统中。ERP系统内的固定资产数据与综合资源管理系统中的资源数据在一定级别存在对应关系,例如,资源管理系统要管理到某块板卡的物理端口以及逻辑端口, 而ERP只需记录到板卡级别的信息。资源管理系统侧重于管理连接、配置以及准确的物理位置等信息,而ERP系统则关注资产的价值、折旧、成本中心以及变化、库存与采购等方面信息。
IT网管系统
IT网管负责对运营商内部IT支撑系统(如计费、CRM、结算、综合资源管理、ERP等)的日常运行维护、系统升级、参数配置变更、故障排除等工作提供支持。
告警管理
收集IT应用系统以及IT系统平台(如计费主机、存储、数据库等)发出的告警信息,对各应用系统以及各平台内部产生的告警信息进行过滤以及关联分析,对不同应用系统间以及平台之间的告警进行关联及过滤,并按照统一的告警格式发送给综合告警监控系统。提供对所采集原始告警信息的展示。
性能管理
收集IT应用系统以及IT系统平台(如计费主机、存储、数据库等)产生的性能数据,根据规则对性能数据进行过滤后发送给综合告警监控系统。提供细粒度的性能数据展现。
自动发现
用来自动发现IT网络上新增加的设备资源以及配置信息(如新增的营业终端以及配置的存储资源等),并将此信息与综合资源管理系统进行同步。
监控代理
从应用系统或平台上获取需要收集的告警及性能数据并发送给告警及性能管理模块。
配置管理
对变更的业务参数特别是跨越多个IT系统的配置提供统一管理,提高自动化程度,降低配置变更的复杂度,提高运行维护效率,保证配置的一致性及完整性。
服务交付平台
以下是服务交付平台(SDP)的功能架构图,呈层级状态,SDP包括第三方网关、服务创建与执行、服务代理、服务控制、服务集成、以及终端客户端等六个层面。
SHAPE \* MERGEFORMAT
图 5 34 SDP平台功能架构
第三方网关
第三方网关是安全地发布标准的、简化的对网络、业务应用和BSS服务等的接触,实现认证,以及对那些由外部服务提供商发起的事件进行控制的模块。
第三方网关的主要功能包括服务发布、服务请求处理、制度管理、能力处理、及PRM接触等。
服务创建与执行
服务创建环境由一系列“库”、软件开发工具包、以及配置工具组成 ,这些工具可以加快服务开发的速度并使服务开发更加容易。在这里详细说明了一个应用开发商所应该采用的所有标准和界面以及普遍的功能。
其中,内容管理/数字版权管理组件提供服务套件,以简化基于内容的服务的开发。
创建环境为开发、整合、获得、和管理分布式的以服务为导向的应用提供了基础设施和条件。
服务代理
服务代理层主要包含三个模块:接入与安全、服务功能和连接。
其中,接入与安全功能域主要负责标准的和简化的界面与内部应用和第三方接触,同时对认证进行控制,并提供安全接入到电信运营商“核心”SDP的能力。
服务功能功能域 使一系列普遍的和可再利用的特征以及复杂的流程成为可能,这使得应用能够影响交付的内容和服务。
连接功能域控制那些与周围平台互相影响的通信功能、 路由、数据转换等必要的转换等。
服务控制
服务控制层主要包括三个模块:统一目录、控制与安全、和在线服务管理。
统一目录功能域实现标准的界面用以普通数据的恢复和更新。
控制与安全功能域将所有增值业务应用所需要的接入控制特征集中起来。
在线服务管理功能域使在线交互成为可能,在交互过程中,网元探测以得到网络使用的实时信息。
服务集成
服务集成层主要包括网关/IF、服务平台、及网络服务。
其中,网关/IF使应用和第三方能简单和标准地接入网络能力,而不像以前那样基于复杂的网络协议接入(如:SS7,INAP等)。
服务平台支持固网/移动网络上的内容应用。
网络服务是网络提供的在不同渠道用来与用户交互的一个基础功能。
终端客户端
终端客户端领域是SDP的一部分,是因为随着终端软件的多样化(Series 60,Microsoft等),为了确保与服务和内容的协同性,对用户配置管理的需求在不断增长。
此功能域提供了那些用来管理所有不同应用所需协议的软件,这些软件适用于各种用户终端(如移动电话,PDA, PC机)。
MSS系统功能架构
MSS的主要功能可以划分为4个功能模组,分别为ERP, 企业协同办公,决策支撑系统和企业内部门户。企业资源计划(ERP)功能主要包括:财务、工程项目管理、人力资源管理、合同管理、采购和库存管理;决策支持系统功能主要包括:数据管理、财务分析、人事分析、统计指标分析、报表生成、决策支持等;企业门户功能主要实现单点登录、个性化用户界面、系统应用界面集成和数据集中展示等。
总部MSS系统功能架构
企业资源计划(ERP)
企业资源计划通过在统一的、整合的信息系统平台上在财务、人力资源、采购、库存等企业活动中对管理信息进行充分收集整理,固化管理流程,加强内部管控。并以财务为核心衡量企业在人、财、物方面的资源,以及运营所涉及的各种活动,从而力求资源的最佳分配,以实现企业经营效率的最大化。
财务
清晰分明的财务管理在企业中是极其重要的。作为ERP整个方案中不可或缺的一部分。ERP中的财务模块与一般的财务软件不同,它和系统的其它模块有相应的接口,能够相互集成,比如:它可将由生产活动、采购活动输入的信息自动计入财务模块生成总账、会计报表,取消了输凭证繁琐的过程,提高工作效率和工作质量。总部的财务模块还具有集中财务核算以及报表的功能。
总帐
以原始业务单据为基础完成会计凭证和帐目处理,它以凭证处理为核心,处理记账凭证输入、登记,输出日记账、一般明细账及总分类账,编制主要会计报表。它是整个会计核算的核心,应收帐、应付帐、固定资产核算、现金管理、工资核算、多币制等各模块都以其为中心来互相信息传递。满足基本的日常会计核算要求。
应付
提供发票管理、供应商管理、支票管理、帐龄分析等功能,能够和采购管理功能、库存管理功能集成,对电信经营性付款和投资性合同付款进行管理,以替代过去繁琐的手工操作。实现对供应商分组的、各类业务应付款、预付款等的管理。
应收
主要管理信用和对应收帐目的管理。其中包括提供发票管理、客户管理、付款管理等功能,用于大客户和运营商客户的,包括基本通话业务、租线业务、网间结算等收入与应收款信息的核算。并通过应收模块核算员工预支款、公司间单位往来等业务。同时应收模块与BSS的接口实现收入收款信息导入总账和获利能力分析。(来自BSS计费/结算系统数据也可以直接导入总帐,在实施时根据业务需求确定)
费用报销
员工可以各种途径提交报销,可以通过上网,离线,移动设备等多种方式提交费用报告,通过此功能,员工可以在任何时间、从任何地点向系统提交财务报销申请,领导则可用数字签名的方式在任何时间、任何地点在系统内进行业务审批,财务部门对原始凭证审核无误后,自动生成记帐凭证,并可通过网上银行进行付款,员工可以随时查询自己的报销处理进度。
固定资产
与应付帐、成本、总账等功能集成,能够完成对固定资产、在建工程、无形资产、低值易耗品、递延收入的增减变动以及折旧摊消有关计提和分配的核算工作,帮助了解全部资产现状,并能通过各种方法来管理资产,并进行相应的会计处理。同时启用多种折旧范围满足不同方面的信息需求。
现金管理
它主要是对现金流入流出的控制以及零用现金及银行存款的核算。它包括了对硬币、纸币、支票、汇票和银行存款的管理。在ERP中提供了票据维护、票据打印、付款维护、银行清单打印、付款查询、银行查询和支票查询等和现金有关的功能。
此外,它还和应收帐、应付帐、总账等模块集成,自动产生凭证,过入总账。
财务分析
进行对财务和会计数据的实时的查询和分析。能够与总帐数据和非总帐数据结合,对财务数据建模,可进行what-if分析,仿真分析,时域分析,基于意外事件的分析等;更根据准确及时的数据生成图表和报表,多维度展现数据,发布报表和图标。
财务分析能够可辅助企业管理人员分析重要的财务信息,识别需要改进的领域,在一个阶段结束之前提前采取措施来影响财务结果。
最基本的财物分析要提供两个页面:盈亏页面和费用管理页面。盈亏页面根据预测跟踪收入和利润。费用管理页面根据预算和预测跟踪费用。能够产生一个包括关键绩效指标(KPI)、图表和表格的控制板,它汇总了跨各个经理和业务部门的数据,从而使管理人员能够及时做出影响收入和费用支出的决策,如资金决策。
人力资源
近年来,企业内部的人力资源,开始越来越受到企业的关注,被视为企业的资源之本。在这种情况下,人力资源管理,作为一个独立的模块,被加入到了ERP的系统中来,和ERP中的财务、生产系统组成了一个高效的、具有高度集成性的企业资源系统。它与传统方式下的人事管理有着根本的不同。
人事管理
人事管理功能全面而准确地记录中国联通员工的各种信息,使中国联通能够及时了解企业各级单位员工的状况。与此同时,通过员工自助服务这种实时,高效的数据访问方式,每个员工可以负责自己的个人信息,浏览、建立和维护自己的数据。
组织管理功能是人力资源管理系统的核心部分,实现对中国联通的组织结构进行管理和交流,为中国联通提供包括集团,各个省级公司及下属公司的整个企业的完整框架,并管理整个企业组织演变的过程;清晰地定义出企业组织结构,包括划分下属单位、设置部门和岗位、岗位和部门的隶属关系、岗位与岗位之间的汇报结构、岗位的数量、岗位的性质级别、岗位的职责和要求、有效地管理企业的空缺职位。
招聘管理
有效的招聘管理是部署全面的人力资源管理战略中的重要一步,需要确保能够识别与吸引最优秀的应聘者,而所有应聘人员的详细信息都能够被记录在案, 以备将来选拔。
招聘管理包括以下几个步骤:
识别工作空缺, 工作空缺可以是计划性的招聘, 也可以是临时出现的招聘需求,空缺所需人才的属性,也应该在这一步确认;
确定如何弥补工作空缺,在确定了工作空缺后, 需要明确该空缺是应急性质的, 还是长期聘用;
确定对于不同性质空缺的对策:
A如果这只是个临时的空缺职位,可以考虑采用将这工作承包出去、找临时工、租用别人的资源等办法来解决。
B如果是固定职位,就需要开始招聘工作了。
招聘活动的开始, 应该先在内部资源库中寻找是否有与所需空缺匹配的人员;如果不存在这样的候选人,则可以通过各种途径(猎头,网络,广告,内部员工推荐等)将招聘信息传递到企业外部。
应聘人员材料收集与整理,所有应聘人员的材料, 都应该储备在企业人才库中,以备未来招聘需求。对于应聘人员的从来, 应该与工作空缺进行匹配, 以确定面试候选人。
面试及聘用, 对候选人进行面试, 并对合格人才给予聘用。一旦招聘成功,可以直接建立员工信息。
招聘过程后评估,对于整个招聘过程的评估, 有利于未来更高效的进行招聘工作。
培训管理
培训管理为企业提供了一个经济有效的平台,可以为任何人、在任何时间和任何地点提供和管理个性化的培训内容。培训管理通过为员工、客户及业务合作伙伴提供一致的、标准的培训,最大限度地拓展了机构的业务范围和业务能力。具体的功能包括:
自引导注册、基于批准的注册、目录搜索、个人培训日历、协作、考核、评定、学生成绩单、指导教师、报表、工作流通知等。
能力管理能够分析员工和企业核心价值之间的技能差距,推荐员工所需培训内容。培训路径能够以预先确定的顺序整合培训内容,因此学员能够达到一个特定的目标,比如获得资格认证。
可采取多种实时,异步,面授和网络培训课堂方式并加入论坛、聊天等协作式学习. 与网络会议系统集成。能够建立一种赢利性培训环境的功能。能够接受电子支付和预先购买学分支付手段。维护学分订单余额和订单交易历史以便于进行收入确认。
具有认证考试管理功能,借助可配置的换证周期和通知,使企业能够要求雇员在特定的期限内完成所提供的课程和相应考试.
具有资源管理功能,如管理教室和指导人员资源、冲突管理、时间安排、成本管理、注册管理和申请人名单管理。
能够通过与人力资源管理模块的集成,维护外部系统中的用户和培训历史数据以及能力数据。用户可以从一个集中地点查看他们所有的培训活动。
薪酬/福利管理
能根据公司跨地区、跨部门、跨工种的不同薪资结构及处理流程制定与之相适应的薪资核算方法。 处理工资核算全过程,帮助工资核算部门自动完成每次工资核算任务。
自动进行员工出缺勤工资的计算、个人所得税计算、福利保险的扣减、各种特殊工资项目的处理,自动完成纠错功能,以及各种工资报表的打印。根据法律政策的变化,随时对系统进行升级更新。薪酬/福利核算模块还可以自动调用相关的人事信息、考勤信息、员工费用报销等信息,按照中国联通薪酬/福利运算规则进行,既提高工作效率,又减少人工工作量。同时,根据各工资要素和成本要素的对应关系,薪资/福利核算结果可以即时反映到相应的会计科目中,并可按用户需求按各种分类条件查询、分析相关的人工成本。
与绩效考核管理直接集成,能够及时更新,对员工的薪资/福利核算动态化。 通过和其它模块的集成,自动根据要求调整薪资/福利结构及数据。
人力资源成本核算
人力资源的成本核算是人力资源成本会计中最基本的内容。系统应支持根据企业人力资源成本核算政策确定人力资源管理成本项目,建立成本核算帐目。企业可以根据实际人力资源管理活动内容和范围,确定进行成本核算主要项目,然后将这些项目分类排列,形成人力资源重置成本帐目;支持定义具体项目核算方法,并按照该方法进行记录,支持定义企业人力资源标准成本,按照该标准审核和评估人力资源实际成本支出,最终按期通过将人力资源取得成本、开发成本、使用成本、保障成本和离职成本作为人力资源的计量基础,计算出企业实际人力资源成本以反映人力资源价值。
绩效考核管理
绩效考核管理的重点在于定义,评估和激发员工的工作效率。绩效考核管理通过将规划,预算,分析,执行和监控与企业运作中的职责挂钩,使责任人或部门的工作绩效得以监控。
绩效考核管理可以通过平衡记分卡定义并监控关键考核指标。平衡记分卡可实现对绩效管理方案的设计,定义和配置。为管理者直观显示绩效指标的完成情况,并支持管理者对特定环节的绩效进行钻取式的查询和分析。绩效考核管理与薪酬管理结合,支持员工绩效奖惩机制。
人力资源智能
辅助人力资源管理人员分析和管理人力资源管理相关的流程,使管理人员可以及时,准确,全面 的获取人力资源管理系统中的数据,并有相应的工具,可以提供一定程度的数据分析,如:
分析人员与职位的能力差距,分析不同人群和个人间的技能差距,分析培训成本和成功率;
分析薪水的趋势,比较不同的人群的平均薪酬水平,观察薪酬分布状况,对人力成本等的分析;
分析不同招聘方式的时间和成本,评估招聘成功比率,分析应聘人的信息;
分析人力资源组成,了解不同职位,不同地理位置上的人力资源需求情况;
等,为企业发展提供服务。
工程项目管理
工程项目管理通过一整套工程项目相关的活动的单一和准确的视图,支撑项目管理的整个周期。管理人员可以选择相应工程项目,分配相应资源,预先设计好执行工序,跟踪预算,账单等财物信息。
项目审批管理
由总部负责控制的项目, 从可研开始,根据总额计划、项目计划、增补计划(超总额)及调整计划(投资总额不变)、结转计划五种不同项目类型,省分在总部提交可研报告,报请总部相关部门审批,总部ERP系统可以通过同企业协同办公的接口,将批示结果以通知的方式经email或其它通信方式告知省分项目提交报批人员,省分项目提交报批人员可以在总部系统中并根据批示做出相应修改或增添附加材料,直至可研通过批复。项目管理通过与ERP中其它功能模块的接口, 可以直接启动招标、采购、付款等流程,根据批准的可研及方案进行物资准备。项目审批中的关键内容, 如项目预算、方案、时间表等信息,通过接口方式,传送至省分ERP系统中,作为省分项目管理的基准, 以及项目结算时验收时的基本信息。
项目资源管理
工程项目管理通过一整套工程项目相关的活动的单一和准确的视图,支撑项目管理的整个周期。管理人员可以选择相应工程项目,分配相应资源,预先设计好执行工序,跟踪预算,账单等财物信息。
项目协作
在对时间要求较高的项目中,消除项目信息传递过程中的延迟是很重要的。项目协作使项目组能够就项目相关的工作和事宜进行高效的协作和交流。项目协作为项目组成员(包括企业内员工和企业外员工)提供已分配工作,现有问题,交付件等信息的统一试图,使大家都能安全的有效的共同工作。项目组成员可以实时的查询到自己所需的项目相关信息,如:我被分配了哪些任务,我的任务出现了哪些问题或者变化;任务的优先级和完成期限实什么;何时需要报告我的任务进度等。
项目协作提供一个全局都可访问的安全协作工作平台;通过与项目成员分享一致的信息协调项目工作;方便项目组就问题和变革达成解决方案决策,加快项目进度;通过集中的信息存储管理项目所有的文档和交付文件。
项目成本核算
支持整个企业范围内所进行的项目的整体成本管理和控制。财务方面的管理者可以借助项目成本核算功能跟踪企业业务运作的成本,生产方面的管理者可以功过此功能获取及时详细的开销和成本信息从而不断监控项目的执行效率,比较实际开支与预算,收入等的关系,对开支进行评估。
项目成本核算功能可以获取企业中各个项目的开支信息,将开支按照业务需求进行分类和归纳,形成统一的,不断更新的项目成本视图。
项目成本核算功能能通过多种途径控制项目的成本,包括:通过定义开支类型,员工范围和日期范围等手段控制项目交易,防止某一项过度开支;提供预算方面的控制,例如,只处理有足够资金的项目所产生的交易;对开支进行多种调节,如对可计价开支进行状态变更,纠正已批准的支出等;提供针对实际成本与项目预算差距的分析。
项目成本核算通过将间接成本(如管理费等)聚合分摊到直接成本(材料费,人力成本等)中,提供跟踪项目整体成本的功能。
项目成本核算需能管理组成虚拟项目团队的来自不同业务单元,不同运营单位的人力成本。
项目成本核算的执行需要财务,供应链管理,人力资源管理,客户关系管理,销售管理,采购和协作等多个环节的配合。
库存管理
实现企业货物进货、储存、发运等内部各个环节流动管理的控制。库存管理通过入库、出库、调拨、库存盘点等功能,结合即时库存管理、仓存预警、报表分析等功能综合运用,对库存业务的物流和成本管理全过程进行有效控制和跟踪,实现完善的企业仓储信息管理。以防止货物断档,保证优质服务;保证适当的库存量,节约库存费用;降低物流成本。
采购管理
实现企业对采购物料全过程的有效跟踪和控制,同时建立完善的供应商档案和供货信息系统。可满足外购和外协采购业务的处理。系统可以从计划、销售、库存管理等系统获得物料需求信息,系统通过采购计划、采购申请、采购订单、外购收货、进料检验、入库、采购发票、采购退货、付款单、采购查询采购最高限价等各种业务处理,通过和库存、应付款、存货核算等系统的共同使用,实现企业采购业务的物流及资金流的管理。通过报表查询,及时了解企业各项采购业务的执行明细、汇总情况,为企业的采购决策提供依据。
合同管理
电信运营商在ERP中主要管理与合作伙伴及设备,服务供应商的各类采购合同和项目合同。合同管理可在一定程度上自动化对合同整个生命周期的管理。
项目合同管理
为了交付复杂的,项目驱动的商业合同,企业需要对合同规定的责任,义务,发生了变化的合同条款,企业与客户,承包商,供应商间的复杂关系等进行前瞻性的管理。
全面的项目合同管理,包括:管理各种类型合同文本;进行基于工作流的合同行政管理,如合同状态控制,合同持有管理和变革管理;能够对合同进行多渠道的融资;跟踪交付成果,与其他ERP功能集成,包括规划,采购等功能;对合同进行成本核算,计价和收入识别 ;对合同采取基于角色访问的安全机制;合同分解等等。
采购合同管理
采购合同管理主要的功能是固化了合同生成的流程,企业可以设定不同合同条款的使用政策,在合同生成的过程中,严格控制撰写合同的权限,并根据合同类型自动添加相关合同条目,保证合同条款与公司政策的一致性。采购合同管理,保证合同在整个企业和各个系统的执行,在付款前根据合同中商定的价格对供应商发来的帐单进行确认;支持用户跟踪合同中约定的阶段性成果和交付件状态的跟踪,以监控供应商的行为。
合同的管理人员可以通过采购合同管理功能访问与某一合同相关的所有文档记录。管理人员可以跟踪交付件,查看订购单,和其它支撑性质的文档,如技术规范等。管理者可以查看主要的合同指标以掌握合同当前的执行状况。
采购/项目招投标管理
对于采购与项目的招投标,提供完整的管理业务操作平台。
主要功能及流程包括:
登记:招标项目基本情况登记、审核。
招标公告:招标公告提交、审查、招标公告发布;招标代理机构上传资格预审申请书和招标文件。
报名:应标企业报名登记,获取并提交资格预审申请书。
资格预审:投标企业预审资格申请书,选定入围企业。
专家确认:评标专家确认、专家通知。
开标、评标、定标:标书录入、专家打分、评标汇总、选定中标单位、询标纪要。
入围企业提交投标书和投标文件。
中标公告:发布中标结果、中标结果备案。
收费管理:费用缴纳记录(缴费单位、缴纳费用项目、经办人等)。
中标通知书:招标办向中标单位发送中标通知书。
招投标管理是合同生成的前期步骤,主要的功能是固化了招投标管理流程,企业根据中标标书中的内容,规范合同内容。并根据合同履行情况,给予应标公司以等级评价,便于未来招标过程参考。
企业协同办公
企业协同办公将用户从虚拟的“办公孤岛”(割裂的OA系统)中解放出来, 利用协作工具将日常办公环境无缝集成起来(包括通信管理, 文件服务,流程管理等等), 并实现办公流程与业务流程(ERP、CRM等系统)的有效连接,以实现工作效率的最大化。协同办公应具备的基本特征包括:
团队协同办公。将企业内部和外部的资源全部整合在统一的平台上进行管理,有效地运用多种方式将工作信息组织起来,内容完整,分类清晰,使得对同一件事,可以通过多种方式灵活地记录、查询、处理。
移动、远程办公。协同平台应具备综合通信应用能力,提供即时通信、E-mail、手机短信和协作区多种沟通方式。这样即使出差在外的人员,也能实现远程移动办公。
实用的个人助理。协同平台应包括名片、日程安排、文档管理等办公常用功能,用以记录常用业务信息,还应设计概览功能,汇集当天的日程安排、各协作区的信息变化,以及刚收到的新邮件等。
此外,协同办公系统还应具有知识管理功能,可以完成与企业后台构件的数据和应用的整合,并具有可定制性和个性化设计。
流程管理
MSS企业协同中的流程管理为企业提供健壮、灵活、开放的工作流支撑平台,以支持管理办公流程的定制以及与业务系统(ERP、CRM等系统)流程的无缝集合,各个业务和管理部门,通过这个平台,自行设计,运行和维护自己的工作流程。流程管理主要包括如下几个模块:
流程设计
流程执行
流程管理和监控
流程设计
这个阶段是根据前期的工作对未来进行流程的定位和设计。本阶段分为四个步骤,分别是建模、 分析、模拟和流程重构。这四个步骤是一个反复的循环,循环的目的是力求得到更准确、更切合实际的办公流程。首先是建模,对于管理办公模型,一般来说它包括三个比较重要的部分:组织架构、流程图、商业规则。组织架构信息应该保持同人力资源中的组织结构信息同步,流程图是综合商业规则和组织架构信息以实现某一流程的完整路径。在总部层面,公司全局目录信息保证从总部出发的流程可以在联通总部与各个省分之间形成闭环。
流程建模后与流程执行动作前要进行手动或者自动地分析与仿真,以便验证设计出来的流程是否正确并且适用于本企业,此外它还能提供初步设计的流程可能遇到的瓶颈信息,以避免在商业流程执行后才发现相关问题进而导致重大的运营损失。如果设计的流程存在问题,则可反复循环设计、建模、分析和仿真这四个步骤,力求得到更准确、更有价值的商业流程。
流程执行
流程执行模块提供真正的管理办公流程执行的平台,其中流控制为流程执行引擎的核心,流控制可能需要来自调度和解释性规则的支持。流程存储也是流程管理系统的关键部件。
流控制:控制流程执行过程中的流,交易和决策
规则引擎:为流程提供解释和说明性规则,供决策用。
调度:设定启动流程自动操作的时间和周期频率,设定流程的时间触发,异步触发等。
流程存储:用于存储流程元数据和数据,流程规则定义,业务考量指标定义和访问历史等。
流程的上线需要布署实现,布署让所有与该流程相关的人,系统,或其它流程的参与到流程的执行当中。布署是通过如下两个附加功能实现的.
分布式业务流程管理协调:支撑端到端的,全局,跨部门的流程协调
接口管理:提供软件和硬件间的信息接口
流程管理维护
当流程上线后,伴随而来的自然是管理维护的问题,这其中包括对流程的管理和监测流程活动监测功能使流程的使用者或管理者能够随时掌握流程的执行状态与过程,他们可以通过预警功能,设定流程要追踪的关卡,并得到系统主动回报相关信息,及时处理相关问题。
流程管理:管理者可以通过此功能触发流程,停止或者暂停流程,重新定义流程,改变流程路有,修改数据和消息,从新分配资源,进行绩效管理等。
控制面板:提供用户界面,展现业务流程管理的各项结果和指标
分析引擎:根据获取的历史数据,实时的技术指标以及KPI指标,对流程的运行进行负责的,规则驱动的分析。
事件管理:检测业务和技术事件,并对事件归类。根据需要对正在运行的流程或者分析发起事件。
由于在运营中,企业内外部各种状况不断出现,人员组织也会出现一些变更以及其他一些变化,流程的使用者或管理者需要随时掌握流程的执行状态与过程,因此他们就要求系统具备预警功能,同时可以让他们设定流程要追踪的关卡,并得到系统主动回报相关信息,及时处理相关问题。另外,服务器的流量与执行监控及流程存储(Process Repository)的数据维护功能也相当重要。同时,流程管理系统应该记录和收集事先定义的与流程有关的数据,并必须提供流程执行情况相关的KPI报表,让企业主管清楚哪些流程是在标准差内,哪些是在失控状态。
通信服务
包括电子邮件、VoiceMail、即时通信(IM)等形式的通信形式,帮助用户管理多种类、超大量的信息,并支持web、手机、邮件客户端等当今多样化的联系方式和信息需求。
讨论组
给员工提供一个交流的平台,实现了多人对多人的交流模式。通过工作流功能的帮助的可以将相关的人员加入到特定讨论组中,对相关的销售、项目、会议、活动等进行自由交流。大家可以按照不同的主题展开讨论,并可以对讨论的主题进行收集整理形成论坛精华,方便用户查看。主要包括下列操作:
发帖
可以根据相关主题发表自己的意见。
回帖
根据发贴的内容回复自己的观点。
分论坛管理
对论坛划分成不同的分论坛,并对分论坛的类别(可自定义)进行管理。
帖子管理
对论坛发布的信息进行管理,防止恶意攻击。
协同工作区
协同工作区提供一个基于团队或项目的视图,用于跟踪和管理业务流程处理过程中相关的内容和通信。它提供了捕获、组织、浏览与任一项目或流程相关的文件、会议、任务、电子邮件、讨论和公告的统一场所。相应的文件管理系统能够在一个单一的环境中提供所有的企业信息的管理,其中包括非结构化的内容,如文档、多媒体、电子邮件和语音邮件;并实现信息共享以及与企业业务流程和应用软件集成在一起,包括版本管理、集成的工作流以及自定义审批流程处理。
知识管理
知识资本是企业一种以知识为基础的无形资产,是企业核心竞争能力的源泉。能否有效地测量、管理和利用企业这种无形财富已成为现代管理的核心,成为企业发展成败的关键。它负责帮助企业对相关的知识资源进行高效、有序的管理,让所有人都能快速而方便地把自己掌握的经验技能以恰当的方式共享,同时访问到或学习到自己所需要的信息和知识,从而全面增强人员的技能素质和协同工作能力以获得企业整体的竞争能力。知识管理的主要内容包括对知识进行完全规范化的组织,并允许用户在任何地点和时间编辑、存储和创建相应类型的文档。所有沉淀的知识信息都可以经由协同办公界面(或统一接入界面)搜索并提供给适当的用户。并配合工作流服务实现与其他模块间(例如客户关系管理,人力资源管理,项目管理,财务管理等等)的数据共享。
日常事务管理
包括日程管理,流程管理,会议管理,办公用品管理以及公共服务等促进公司日常事务处理的管理环境。
日程管理: 提供在“智能”实时信息发布的环境中管理个人时间和组织资源的功能,以提高工作效率并优化整个企业的业务流程。提供简化的会议时间安排以及实时在线协作服务进行了集成,使用户可以直接通过他们的日历安排并参加 协同办公,提高企业对资源进行纵向安排的效率。日程管理帮助用户查找并预定资源,并能够根据其他用户和资源的可用性来访问并管理信息。
流程管理:将以业务为中心的流程全面自动化,支持设置、执行、管理和跟踪工作流程,扩展核心业务应用程序的触及范围。建立基于角色的配置权限,通过工作流集成来实现自动化业务流程。同时支持工作流完成时触发文件中的操作,如移动、删除、复制以及版本控制。
会议管理:会议管理提供实时在线协作系统,它使得员工可以进行在线安排会议资源, 包括人员、场地以及支持网络会议的网络资源;并提供相应工具如协作浏览、文档演示以及白色书写板,同时支持以文件形式沉淀会议记录。
办公用品管理:办公用品管理负责公司各类办公用品进行管理,包括录入品名,记录库存数量、价值等基本信息,以及删除某类办公用品。员工可对需要的办公用品提出向办公用品管理员进行申请。办公用品管理员核对员工的领用申请单,进行分配。可以查询到现有的办公用品的库存情况,根据情况进行办公用品申请。可根据时间段来统计办公用品的使用情况。
公共服务:提供对公司有用的各类综合服务,方便企业的日常工作。包括企业通讯录,车辆管理,服务电话等工具模块, 并支持自定义添加外挂公共服务,保证良好的可扩展性。
决策支持系统(DSS)
决策支撑系统是在现有市场分析、计划分析和运维分析的基础上,为总裁及总管级领导提供综合分析结果,并通过三方面的动态关联分析,为高层领导制定相关决策提供全面的支撑。决策支撑系统所涉及的数据主要来自于与针对市场的分析系统、网络资源相关系统和企业资源管理系统。决策支撑系统将成为总裁及总管级领导制定出企业正确决策、增强竞争力的关键。
报表
这里所指的报表,不是代替原来操作系统中已存在的报表,也不是分析系统中生成的所有分析报表;而是基于领导的需求,在分析系统所生成的报表的基础上,进行进一步的汇总和关联,从而将原来相互分离的细节分析,汇总并综合形成体现企业整体情况的总体分析结果。
OLAP分析
在线分析处理(OLAP)通常理解为帮助管理人员和分析人员,从多种角度把原始数据转化为能够真正为用户所理解并真实反映数据维特性的信息,并通过快速、一致、交互地访问,从而得到对数据的更深入了解的一类软件技术。使用者能够通过多角度对特定数据指标进行观测和分析,寻找各种数据属性之间的关系及其对数据本身的影响。
OLAP的目标是满足决策支持或者满足在多维环境下特定的查询和结果展现需求,它的技术核心是"维"这个概念。“维”是人们观察客观世界的角度,是一种高层次的类型划分。“维”一般包含着层次关系,这种层次关系有时会相当复杂。通过把一个实体的多项重要的属性定义为多个维,使用户能对不同维上的数据进行比较。因此OLAP也可以说是多维数据分析工具的集合。OLAP的基本多维分析操作有钻取(变换分析的粒度)、切片和切块(变换分析维度的数量)、以及旋转(变换维的方向)等。
决策支撑系统中的OLAP功能模块主要支撑公司领导对于市场、计划、运维中各维度之间关联分析的需求,帮助领导全面考虑公司财务计划、市场运作、网络支撑等各方面因素的影响,从而制定正确有效的决策。
信息门户
企业内部门户负责将复杂内部管理系统和业务系统的功能模块进行集成,通过企业门户实现系统的单点登录,实现对企业内部协同办公管理审批流程和财务、工程、统计等其他信息系统业务流程的有机集成,以及所有业务/管理系统信息的综合展现,提高员工工作效率。
SSO(单点登陆)
单点登陆是利用用一个统一的用户目录服务系统,为多个系统中存在的用户信息进行统一认证,用户只需要经过一个登录点完成登录企业门户,就可以在各个系统中来回自由切换和使用。单点登陆的要求:
1.需要将所有系统中用户资料管理和密码管理作为一个独立的服务来进行开发和维护;
2.各个系统都采用这个公共服务来进行用户资料和密码的提供。
通过该功能,用户一般利用桌面Web浏览器进行一次性登录,通过集成的安全控制,即可以完成通过单一用户界面访问多个应用系统。
目录服务
总部目录服务分为两个部分。
一个部分主要为总部各业务/管理系统平台提供统一的系统应用管理、总部工作人员管理服务。
另一部分提供中国联通总部及各省的全国员工的目录服务,可实现总部员工访问省分系统,和省分员工访问总部内部门户和系统(如果权限允许),以及省分员工间互访内部门户和系统(如果权限允许)。
目录服务的特性决定系统必须满足以下应用要求:
系统管理的安全性和一致性:在多应用系统环境中,管理员需要实现用户注册,修改,删除一次性完成,并且保证系统中用户身份唯一性、一致性以及安全性,并为实现单点登陆提供支持。
用户权限控制:实现用户、应用服务之间的信息存储、权限控制和权限委托。
目录数据与应用系统交互:通过应用授权管理程序在权限规则下能完成对目录服务对象属性的查询,修改;也可以通过目录数据共享来维护应用系统数据。
统一安全服务
通过相应的网络安全配置,统一用户权限配置,集中的终端病毒管理(对内部员工),保障企业应用服务的连续性和信息的安全性。
表现层管理
对于企业内外门户, 提供管理展现内容和展现方式的工具。
内容管理
为具有权限的用户提供发布和修改来自不同应用系统的信息的工具, 并管理/维护相应的用户权限。
搜索服务
为用户提供内容检索服务,包括标题检索、全文检索以及文档关键字检索;便于用户根据主题和关键字进行信息查询,提高员工工作效率和客户体验满意度。
业务系统链接
从统一接触点为相应的业务系统提供链接。
省分公司MSS系统功能架构
企业资源计划(ERP)
企业资源计划通过在统一的、整合的信息系统平台上在财务、人力资源、采购、库存等企业活动中对管理信息进行充分收集整理,固化管理流程,加强内部管控。并以财务为核心衡量企业在人、财、物方面的资源,以及运营所涉及的各种活动,从而力求资源的最佳分配,以实现企业经营效率的最大化。
财务
清晰分明的财务管理在企业中是极其重要的。作为ERP整个方案中不可或缺的一部分。ERP中的财务模块与一般的财务软件不同,它和系统的其它模块有相应的接口,能够相互集成,比如:它可将由生产活动、采购活动输入的信息自动计入财务模块生成总账、会计报表,取消输入凭证繁琐的过程,提高工作效率和工作质量。
总帐
以原始业务单据为基础完成会计凭证和帐目处理,它以凭证处理为核心,处理记账凭证输入、登记,输出日记账、一般明细账及总分类账,编制主要会计报表。它是整个会计核算的核心,应收帐、应付帐、固定资产核算、现金管理、工资核算、多币制等各模块都以其为中心来互相信息传递。满足基本的日常会计核算要求。
应付
提供发票管理、供应商管理、支票管理、帐龄分析等功能,能够和采购管理功能、库存管理功能集成,对电信经营性付款和投资性合同付款进行管理,以替代过去繁琐的手工操作。实现对供应商分组的、各类业务应付款、预付款等的管理。
应收
主要管理信用和对应收帐目的管理。其中包括提供发票管理、客户管理、付款管理等功能,用于大客户和运营商客户的,包括基本通话业务、租线业务、网间结算等收入与应收款信息的核算。并通过应收模块核算员工预支款、公司间单位往来等业务。同时应收模块与BSS的接口实现收入收款信息导入总账和获利能力分析。(来自BSS计费/结算系统数据也可以直接导入总帐, 具体方案应该在实施时根据业务需求确定)
费用报销
员工可以各种途径提交报销,可以通过上网,离线,移动设备等多种方式提交费用报告,通过此功能,员工可以在任何时间、从任何地点向系统提交财务报销申请,领导则可用数字签名的方式在任何时间、任何地点在系统内进行业务审批,财务部门对原始凭证审核无误后,自动生成记帐凭证,并可通过网上银行进行付款,员工可以随时查询自己的报销处理进度。
固定资产
与应付帐、成本、总账等功能集成,能够完成对固定资产、在建工程、无形资产、低值易耗品、递延收入的增减变动以及折旧摊消有关计提和分配的核算工作,帮助了解全部资产现状,并能通过各种方法来管理资产,并进行相应的会计处理。同时启用多种折旧范围满足不同方面的信息需求。
现金管理
它主要是对现金流入流出的控制以及零用现金及银行存款的核算。它包括了对硬币、纸币、支票、汇票和银行存款的管理。在ERP中提供了票据维护、票据打印、付款维护、银行清单打印、付款查询、银行查询和支票查询等和现金有关的功能。
此外,它还和应收帐、应付帐、总账等模块集成,自动产生凭证,过入总账。
财务分析
进行对财务和会计数据的实时的查询和分析。能够与总帐数据和非总帐数据结合,对财务数据建模,可进行what-if分析,仿真分析,时域分析,基于意外事件的分析等;更根据准确及时的数据生成图表和报表,多维度展现数据,发布报表和图标。
财务分析能够可辅助企业管理人员分析重要的财务信息,识别需要改进的领域,在一个阶段结束之前提前采取措施来影响财务结果。
最基本的财物分析要提供两个页面:盈亏页面和费用管理页面。盈亏页面根据预测跟踪收入和利润。费用管理页面根据预算和预测跟踪费用。能够产生一个包括关键绩效指标(KPI)、图表和表格的控制板,它汇总了跨各个经理和业务部门的数据,从而使管理人员能够及时做出影响收入和费用支出的决策,如资金决策。
人力资源
近年来,企业内部的人力资源,开始越来越受到企业的关注,被视为企业的资源之本。在这种情况下,人力资源管理,作为一个独立的模块,被加入到了ERP的系统中来,和ERP中的财务、生产系统组成了一个高效的、具有高度集成性的企业资源系统。它与传统方式下的人事管理有着根本的不同。
人事管理
人事管理功能全面而准确地记录中国联通员工的各种信息,使中国联通能够及时了解企业各级单位员工的状况。与此同时,通过员工自助服务这种实时,高效的数据访问方式,每个员工可以负责自己的个人信息,浏览、建立和维护自己的数据。
组织管理功能是人力资源管理系统的核心部分,实现对中国联通的组织结构进行管理和交流,为中国联通提供包括集团,各个省级公司及下属公司的整个企业的完整框架,并管理整个企业组织演变的过程;清晰地定义出企业组织结构,包括划分下属单位、设置部门和岗位、岗位和部门的隶属关系、岗位与岗位之间的汇报结构、岗位的数量、岗位的性质级别、岗位的职责和要求、有效地管理企业的空缺职位。
招聘管理
有效的招聘管理是部署全面的人力资源管理战略中的重要一步, 联通需要确保能够识别与吸引最优秀的应聘者,而所有应聘人员的详细信息都能够被记录在案, 以备将来选拔。
招聘管理包括以下几个步骤:
识别工作空缺, 工作空缺可以是计划性的招聘, 也可以是临时出现的招聘需求,空缺所需人才的属性,也应该在这一步确认;
确定如何弥补工作空缺,在确定了工作空缺后, 需要明确该空缺是应急性质的, 还是长期聘用;
确定对于不同性质空缺的对策:
A如果这只是个临时的空缺职位,可以考虑采用将这工作承包出去、找临时工、租用别人的资源等办法来解决。
B如果是固定职位,就需要开始招聘工作了。
招聘活动的开始, 应该先在内部资源库中寻找是否有与所需空缺匹配的人员;如果不存在这样的候选人,则可以通过各种途径(猎头,网络,广告,内部员工推荐等)将招聘信息传递到企业外部。
应聘人员材料收集与整理,所有应聘人员的材料, 都应该储备在企业人才库中,以备未来招聘需求。对于应聘人员的从来, 应该与工作空缺进行匹配, 以确定面试候选人。
面试及聘用, 对候选人进行面试, 并对合格人才给予聘用。一旦招聘成功,可以直接建立员工信息。
招聘过程后评估,对于整个招聘过程的评估, 有利于未来更高效的进行招聘工作。
培训管理
培训管理为企业提供了一个经济有效的平台,可以为任何人、在任何时间和任何地点提供和管理个性化的培训内容。培训管理通过为员工、客户及业务合作伙伴提供一致的、标准的培训,最大限度地拓展了机构的业务范围和业务能力。具体的功能包括:
自引导注册、基于批准的注册、目录搜索、个人培训日历、协作、考核、评定、学生成绩单、指导教师、报表、工作流通知等。
能力管理能够分析员工和企业核心价值之间的技能差距,推荐员工所需培训内容。培训路径能够以预先确定的顺序整合培训内容,因此学员能够达到一个特定的目标,比如获得资格认证。
可采取多种实时, 异步,面授和网络培训课堂方式并加入论坛、聊天等协作式学习. 与网络会议系统集成。能够建立一种赢利性培训环境的功能。能够接受电子支付和预先购买学分支付手段。维护学分订单余额和订单交易历史以便于进行收入确认。
具有认证考试管理功能,借助可配置的换证周期和通知,使企业能够要求雇员在特定的期限内完成所提供的课程和相应考试.
具有资源管理功能,如管理教室和指导人员资源、冲突管理、时间安排、成本管理、注册管理和申请人名单管理。
能够通过与人力资源管理模块的集成,维护外部系统中的用户和培训历史数据以及能力数据。用户可以从一个集中地点查看他们所有的培训活动。
薪酬/福利管理
能根据公司跨地区、跨部门、跨工种的不同薪资结构及处理流程制定与之相适应的薪资/福利核算方法。 处理工资核算全过程,帮助工资核算部门自动完成每次工资/福利核算任务。
自动进行员工出缺勤工资的计算、个人所得税计算、福利保险的扣减、各种特殊工资项目的处理,自动完成纠错功能,以及各种工资报表的打印。根据法律政策的变化,随时对系统进行升级更新。薪酬/福利核算模块还可以自动调用相关的人事信息、考勤信息、员工费用报销等信息,按照中国联通薪酬/福利运算规则进行,既提高工作效率,又减少人工工作量。同时,根据各工资要素和成本要素的对应关系,薪资/福利核算结果可以即时反映到相应的会计科目中,并可按用户需求按各种分类条件查询、分析相关的人工成本。
与绩效考核管理直接集成,能够及时更新,对员工的薪资/福利核算动态化。 通过和其它模块的集成,自动根据要求调整薪资/福利结构及数据。
人力资源成本核算
人力资源的成本核算是人力资源成本会计中最基本的内容。系统应支持根据企业人力资源成本核算政策确定人力资源管理成本项目,建立成本核算帐目。企业可以根据实际人力资源管理活动内容和范围,确定进行成本核算主要项目,然后将这些项目分类排列,形成人力资源重置成本帐目;支持定义具体项目核算方法,并按照该方法进行记录,支持定义企业人力资源标准成本,按照该标准审核和评估人力资源实际成本支出,最终按期通过将人力资源取得成本、开发成本、使用成本、保障成本和离职成本作为人力资源的计量基础,计算出企业实际人力资源成本以反映人力资源价值。
绩效考核管理
绩效考核管理的重点在于定义,评估和激发员工的工作效率。绩效考核管理通过将规划、预算、分析、执行和监控与企业运作中的职责挂钩,使责任人或部门的工作绩效得以监控。
绩效考核管理可以通过平衡记分卡定义并监控关键考核指标。平衡记分卡可实现对绩效管理方案的设计,定义和配置。为管理者直观显示绩效指标的完成情况,并支持管理者对特定环节的绩效进行钻取式的查询和分析。绩效考核管理与薪酬管理结合,支持员工绩效奖惩机制。
人力资源智能
辅助人力资源管理人员分析和管理人力资源管理相关的流程,使管理人员可以及时,准确,全面 的获取人力资源管理系统中的数据,并有相应的工具,可以提供一定程度的数据分析,如:
分析人员与职位的能力差距,分析不同人群和个人间的技能差距,分析培训成本和成功率;
分析薪水的趋势,比较不同的人群的平均薪酬水平,观察薪酬分布状况,对人力成本等的分析;
分析不同招聘方式的时间和成本,评估招聘成功比率,分析应聘人的信息;
分析人力资源组成,了解不同职位,不同地理位置上的人力资源需求情况;
等,为企业发展提供服务。
工程项目管理
工程项目管理通过一整套工程项目相关的活动的单一和准确的视图,支撑项目管理的整个周期。管理人员可以选择相应工程项目,分配相应资源,预先设计好执行工序,跟踪预算,账单等财物信息。
项目审批管理
由省分负责控制的项目, 从可研开始,根据总额计划、项目计划、增补计划(超总额)及调整计划(投资总额不变)、结转计划五种不同项目类型,由各地市在省分提交可研报告,报请省分相关部门审批,省分ERP系统可以通过同企业协同办公的接口,将批示结果以通知的方式经email或其它通信方式告知地市项目提交报批人员,地市项目提交报批人员可以在省分系统中并根据批示做出相应修改或增添附加材料,直至可研通过批复。项目管理通过与ERP中其它功能模块的接口, 可以直接启动招标、采购、付款等流程,根据批准的可研及方案进行物资准备。项目审批中的关键内容, 如项目预算、方案、时间表等信息,将作为项目管理的基准, 以及项目结算时验收时的基本信息。
项目资源管理
工程项目管理通过一整套工程项目相关的活动的单一和准确的视图,支撑项目管理的整个周期。管理人员可以选择相应工程项目,分配相应资源,预先设计好执行工序,跟踪预算,账单等财物信息。
项目协作
在对时间要求较高的项目中,消除项目信息传递过程中的延迟是很重要的。项目协作使项目组能够就项目相关的工作和事宜进行高效的协作和交流。项目协作为项目组成员(包括企业内员工和企业外员工)提供已分配工作,现有问题,交付件等信息的统一试图,使大家都能安全的有效的共同工作。项目组成员可以实时的查询到自己所需的项目相关信息,如:我被分配了哪些任务,我的任务出现了哪些问题或者变化;任务的优先级和完成期限实什么;何时需要报告我的任务进度等。
项目协作提供一个全局都可访问的安全协作工作平台;通过与项目成员分享一致的信息协调项目工作;方便项目组就问题和变革达成解决方案决策,加快项目进度;通过集中的信息存储管理项目所有的文档和交付文件。
项目成本核算
支持整个企业范围内所进行的项目的整体成本管理和控制。财务方面的管理者可以借助项目成本核算功能跟踪企业业务运作的成本,生产方面的管理者可以功过此功能获取及时详细的开销和成本信息从而不断监控项目的执行效率,比较实际开支与预算,收入等的关系,对开支进行评估。
项目成本核算功能可以获取企业中各个项目的开支信息,将开支按照业务需求进行分类和归纳,形成统一的,不断更新的项目成本视图。
项目成本核算功能能通过多种途径控制项目的成本,包括:通过定义开支类型,员工范围和日期范围等手段控制项目交易,防止某一项过度开支;提供预算方面的控制,例如,只处理有足够资金的项目所产生的交易;对开支进行多种调节,如对可计价开支进行状态变更,纠正已批准的支出等;提供针对实际成本与项目预算差距的分析。
项目成本核算通过将间接成本(如管理费等)聚合分摊到直接成本(材料费,人力成本等)中,提供跟踪项目整体成本的功能。
项目成本核算需能管理组成虚拟项目团队的来自不同业务单元,不同运营单位的人力成本。
项目成本核算的执行需要财务,供应链管理,人力资源管理,客户关系管理,销售管理,采购和协作等多个环节的配合。
库存管理
实现企业货物进货、储存、发运等内部各个环节流动管理的控制。库存管理通过入库、出库、调拨、库存盘点等功能,结合即时库存管理、仓存预警、报表分析等功能综合运用,对库存业务的物流和成本管理全过程进行有效控制和跟踪,实现完善的企业仓储信息管理。以防止货物断档,保证优质服务;保证适当的库存量,节约库存费用;降低物流成本。
采购管理
实现企业对采购物料全过程的有效跟踪和控制,同时建立完善的供应商档案和供货信息系统。可满足外购和外协采购业务的处理。系统可以从计划、销售、库存管理等系统获得物料需求信息,系统通过采购计划、采购申请、采购订单、外购收货、进料检验、入库、采购发票、采购退货、付款单、采购查询采购最高限价等各种业务处理,通过和库存、应付款、存货核算等系统的共同使用,实现企业采购业务的物流及资金流的管理。通过报表查询,及时了解企业各项采购业务的执行明细、汇总情况,为企业的采购决策提供依据。
合同管理
电信运营商在ERP中主要管理与合作伙伴及设备,服务供应商的各类采购合同和项目合同。合同管理可在一定程度上自动化对合同整个生命周期的管理。
项目合同管理
为了交付复杂的,项目驱动的商业合同,企业需要对合同规定的责任,义务,发生了变化的合同条款,企业与客户,承包商,供应商间的复杂关系等进行前瞻性的管理。
全面的项目合同管理,包括:管理各种类型合同文本;进行基于工作流的合同行政管理,如合同状态控制,合同持有管理和变革管理;能够对合同进行多渠道的融资;跟踪交付成果,与其他ERP功能集成,包括规划,采购等功能;对合同进行成本核算,计价和收入识别 ;对合同采取基于角色访问的安全机制;合同分解等等。
采购合同管理
采购合同管理主要的功能是固化了合同生成的流程,企业可以设定不同合同条款的使用政策,在合同生成的过程中,严格控制撰写合同的权限,并根据合同类型自动添加相关合同条目,保证合同条款与公司政策的一致性。采购合同管理,保证合同在整个企业和各个系统的执行,在付款前根据合同中商定的价格对供应商发来的帐单进行确认;支持用户跟踪合同中约定的阶段性成果和交付件状态的跟踪,以监控供应商的行为。
合同的管理人员可以通过采购合同管理功能访问与某一合同相关的所有文档记录。管理人员可以跟踪交付件,查看订购单,和其它支撑性质的文档,如技术规范等。管理者可以查看主要的合同指标以掌握合同当前的执行状况。
采购/项目招投标管理
对于采购与项目的招投标,提供完整的管理业务操作平台。
主要功能及流程包括:
登记:招标项目基本情况登记、审核。
招标公告:招标公告提交、审查、招标公告发布;招标代理机构上传资格预审申请书和招标文件。
报名:应标企业报名登记,获取并提交资格预审申请书。
资格预审:投标企业预审资格申请书,选定入围企业。
专家确认:评标专家确认、专家通知。
开标、评标、定标:标书录入、专家打分、评标汇总、选定中标单位、询标纪要。
入围企业提交投标书和投标文件。
中标公告:发布中标结果、中标结果备案。
收费管理:费用缴纳记录(缴费单位、缴纳费用项目、经办人等)。
中标通知书:招标办向中标单位发送中标通知书。
招投标管理是合同生成的前期步骤,主要的功能是固化了招投标管理流程,企业根据中标标书中的内容,规范合同内容。并根据合同履行情况,给予应标公司以等级评价,便于未来招标过程参考。
决策支持系统(DSS)
总部决策支撑系统是在现有市场分析、计划分析和运维分析的基础上,为总部总裁及总管级领导提供综合分析结果,并通过三方面的动态关联分析,为高层领导制定相关决策提供全面的支撑。决策支撑系统所涉及的数据主要来自于与针对市场的分析系统、网络资源相关系统和企业资源管理系统。决策支撑系统将成为总裁及总管级领导制定出企业正确决策、增强竞争力的关键。
报表
这里所指的报表,不是代替原来操作系统中已存在的报表,也不是分析系统中生成的所有分析报表;而是基于总部领导的需求,在总部分析系统所生成的报表的基础上,进行进一步的汇总和关联,从而将原来相互分离的细节分析,汇总并综合形成体现企业整体情况的总体分析结果。
OLAP分析
在线分析处理(OLAP)通常理解为帮助管理人员和分析人员,从多种角度把原始数据转化为能够真正为用户所理解并真实反映数据维特性的信息,并通过快速、一致、交互地访问,从而得到对数据的更深入了解的一类软件技术。使用者能够通过多角度对特定数据指标进行观测和分析,寻找各种数据属性之间的关系及其对数据本身的影响。
OLAP的目标是满足决策支持或者满足在多维环境下特定的查询和结果展现需求,它的技术核心是"维"这个概念。“维”是人们观察客观世界的角度,是一种高层次的类型划分。“维”一般包含着层次关系,这种层次关系有时会相当复杂。通过把一个实体的多项重要的属性定义为多个维,使用户能对不同维上的数据进行比较。因此OLAP也可以说是多维数据分析工具的集合。OLAP的基本多维分析操作有钻取(变换分析的粒度)、切片和切块(变换分析维度的数量)、以及旋转(变换维的方向)等。
决策支撑系统中的OLAP功能模块主要支撑公司领导对于市场、计划、运维中各维度之间关联分析的需求,帮助领导全面考虑公司财务计划、市场运作、网络支撑等各方面因素的影响,从而制定正确有效的决策。
协同办公系统
企业协同办公将用户从虚拟的“办公孤岛”(割裂的OA系统)中解放出来, 利用协作工具将日常办公环境无缝集成起来(包括通信管理, 文件服务,流程管理等等), 并实现办公流程与业务流程(ERP、CRM等系统)的有效连接,以实现工作效率的最大化。协同办公应具备的基本特征包括:
团队协同办公。将企业内部和外部的资源全部整合在统一的平台上进行管理,有效地运用多种方式将工作信息组织起来,内容完整,分类清晰,使得对同一件事,可以通过多种方式灵活地记录、查询、处理。
移动、远程办公。协同平台应具备综合通信应用能力,提供即时通信、E-mail、手机短信和协作区多种沟通方式。这样即使出差在外的人员,也能实现远程移动办公。
实用的个人助理。协同平台应包括名片、日程安排、文档管理等办公常用功能,用以记录常用业务信息,还应设计概览功能,汇集当天的日程安排、各协作区的信息变化,以及刚收到的新邮件等。
此外,协同办公系统还应具有知识管理功能,可以完成与企业后台构件的数据和应用的整合,并具有可定制性和个性化设计。
流程管理
MSS企业协同中的流程管理为企业提供健壮、灵活、开放的工作流支撑平台,以支持管理办公流程的定制以及与业务系统(ERP、CRM等系统)流程的无缝集合,各个业务和管理部门,通过这个平台,自行设计,运行和维护自己的工作流程。流程管理主要包括如下几个模块:
流程设计
流程执行
流程管理和监控
流程设计
这个阶段是根据前期的工作对未来进行流程的定位和设计。本阶段分为四个步骤,分别是建模、 分析、模拟和流程重构。这四个步骤是一个反复的循环,循环的目的是力求得到更准确、更切合实际的办公流程。首先是建模,对于管理办公模型,一般来说它包括三个比较重要的部分:组织架构、流程图、商业规则。组织架构信息应该保持同人力资源中的组织结构信息同步,流程图是综合商业规则和组织架构信息以实现某一流程的完整路径。在省分层面,目录信息中该省分的信息与总部组织架构的信息可以保证流程在联通总部与各个省分之间形成闭环。
流程建模后与流程执行动作前要进行手动或者自动地分析与仿真,以便验证设计出来的流程是否正确并且适用于本企业,此外它还能提供初步设计的流程可能遇到的瓶颈信息,以避免在商业流程执行后才发现相关问题进而导致重大的运营损失。如果设计的流程存在问题,则可反复循环设计、建模、分析和仿真这四个步骤,力求得到更准确、更有价值的商业流程。
流程执行
流程执行模块提供真正的管理办公流程执行的平台,其中流控制为流程执行引擎的核心,流控制可能需要来自调度和解释性规则的支持。流程存储也是流程管理系统的关键部件。
流控制:控制流程执行过程中的流,交易和决策。
规则引擎:为流程提供解释和说明性规则,供决策用。
调度:设定启动流程自动操作的时间和周期频率,设定流程的时间触发,异步触发等。
流程存储:用于存储流程元数据和数据,流程规则定义,业务考量指标定义和访问历史等。
流程的上线需要布署实现,布署让所有与该流程相关的人,系统,或其它流程的参与到流程的执行当中。布署是通过如下两个附加功能实现的:
分布式业务流程管理协调:支撑端到端的,全局,跨部门的流程协调。
接口管理:提供软件和硬件间的信息接口。
流程管理维护
当流程上线后,伴随而来的自然是管理维护的问题,这其中包括对流程的管理和监测。
流程活动监测功能使流程的使用者或管理者能够随时掌握流程的执行状态与过程,他们可以通过预警功能,设定流程要追踪的关卡,并得到系统主动回报相关信息,及时处理相关问题。
流程管理:管理者可以通过此功能触发流程,停止或者暂停流程,重新定义流程,改变流程路有,修改数据和消息,从新分配资源,进行绩效管理等。
控制面板:提供用户界面,展现业务流程管理的各项结果和指标
分析引擎:根据获取的历史数据,实时的技术指标以及KPI指标,对流程的运行进行负责的,规则驱动的分析。
事件管理:检测业务和技术事件,并对事件归类。根据需要对正在运行的流程或者分析发起事件。
由于在运营中,企业内外部各种状况不断出现,人员组织也会出现一些变更以及其他一些变化,流程的使用者或管理者需要随时掌握流程的执行状态与过程,因此他们就要求系统具备预警功能,同时可以让他们设定流程要追踪的关卡,并得到系统主动回报相关信息,及时处理相关问题。另外,服务器的流量与执行监控及流程存储(Process Repository)的数据维护功能也相当重要。同时,流程管理系统应该记录和收集事先定义的与流程有关的数据,并必须提供流程执行情况相关的KPI报表,让企业主管清楚哪些流程是在标准差内,哪些是在失控状态。
通信服务
包括电子邮件、VoiceMail、即时通信(IM)等形式的通信形式,帮助用户管理多种类、超大量的信息,并支持web、手机、邮件客户端等当今多样化的联系方式和信息需求。
讨论组
给员工提供一个交流的平台,实现了多人对多人的交流模式。通过工作流功能的帮助的可以将相关的人员加入到特定讨论组中,对相关的销售、项目、会议、活动等进行自由交流。大家可以按照不同的主题展开讨论,并可以对讨论的主题进行收集整理形成论坛精华,方便用户查看。主要包括下列操作:
发帖
可以根据相关主题发表自己的意见。
回帖
根据发贴的内容回复自己的观点。
分论坛管理
对论坛划分成不同的分论坛,并对分论坛的类别(可自定义)进行管理。
帖子管理
对论坛发布的信息进行管理,防止恶意攻击。
协同工作区
协同工作区提供一个基于团队或项目的视图,用于跟踪和管理业务流程处理过程中相关的内容和通信。它提供了捕获、组织、浏览与任一项目或流程相关的文件、会议、任务、电子邮件、讨论和公告的统一场所。相应的文件管理系统能够在一个单一的环境中提供所有的企业信息的管理,其中包括非结构化的内容,如文档、多媒体、电子邮件和语音邮件;并实现信息共享以及与企业业务流程和应用软件集成在一起,包括版本管理、集成的工作流以及自定义审批流程处理。
知识管理
知识资本是企业一种以知识为基础的无形资产,是企业核心竞争能力的源泉。能否有效地测量、管理和利用企业这种无形财富已成为现代管理的核心,成为企业发展成败的关键。它负责帮助企业对相关的知识资源进行高效、有序的管理,让所有人都能快速而方便地把自己掌握的经验技能以恰当的方式共享,同时访问到或学习到自己所需要的信息和知识,从而全面增强人员的技能素质和协同工作能力以获得企业整体的竞争能力。知识管理的主要内容包括对知识进行完全规范化的组织,并允许用户在任何地点和时间编辑、存储和创建相应类型的文档。所有沉淀的知识信息都可以经由协同办公界面(或统一接入界面)搜索并提供给适当的用户。并配合工作流服务实现与其他模块间(例如客户关系管理,人力资源管理,项目管理,财务管理等等)的数据共享。
日常事务管理
包括日程管理,流程管理,会议管理,办公用品管理以及公共服务等促进公司日常事务处理的管理环境。
日程管理: 提供在“智能”实时信息发布的环境中管理个人时间和组织资源的功能,以提高工作效率并优化整个企业的业务流程。提供简化的会议时间安排以及实时在线协作服务进行了集成,使用户可以直接通过他们的日历安排并参加 协同办公,提高企业对资源进行纵向安排的效率。日程管理帮助用户查找并预定资源,并能够根据其他用户和资源的可用性来访问并管理信息。
流程管理:将以业务为中心的流程全面自动化,支持设置、执行、管理和跟踪工作流程,扩展核心业务应用程序的触及范围。建立基于角色的配置权限,通过工作流集成来实现自动化业务流程。同时支持工作流完成时触发文件中的操作,如移动、删除、复制以及版本控制。
会议管理:会议管理提供实时在线协作系统,它使得员工可以进行在线安排会议资源, 包括人员、场地以及支持网络会议的网络资源;并提供相应工具如协作浏览、文档演示以及白色书写板,同时支持以文件形式沉淀会议记录。
办公用品管理:办公用品管理负责公司各类办公用品进行管理,包括录入品名,记录库存数量、价值等基本信息,以及删除某类办公用品。员工可对需要的办公用品提出向办公用品管理员进行申请。办公用品管理员核对员工的领用申请单,进行分配。可以查询到现有的办公用品的库存情况,根据情况进行办公用品申请。可根据时间段来统计办公用品的使用情况。
公共服务:提供对公司有用的各类综合服务,方便企业的日常工作。包括企业通讯录,车辆管理,服务电话等工具模块, 并支持自定义添加外挂公共服务,保证良好的可扩展性。
内部信息门户
联通内部信息门户,对于内部用户,它负责将复杂内部管理系统和业务系统的功能模块进行集成,通过企业门户实现系统的单点登录,实现对企业内部协同办公管理审批流程和财务、工程、统计等其他信息系统业务流程的有机集成,以及所有业务/管理系统信息的综合展现,提高员工工作效率。
SSO(单点登陆)
省分的用户可以通过单点登陆,利用省分的用户目录服务系统,为多个系统中存在的用户信息进行统一认证,用户只需要经过一个登录点完成登录企业门户,就可以在各个系统中来回自由切换和使用。
省分的用户还可以通过单点登陆,通过设置在总部的全国用户目录服务系统,经一点认证,访问权限许可的总部的系统。
单点登陆的要求:
1.需要将所有系统中用户资料管理和密码管理作为一个独立的服务来进行开发和维护;
2.各个系统都采用这个公共服务来进行用户资料和密码的提供。
通过该功能,用户一般利用桌面Web浏览器进行一次性登录,通过集成的安全控制,即可以完成通过单一用户界面访问多个应用系统和总部企业内部门户。
目录服务
目录服务主要为各业务/管理系统平台提供统一的系统应用管理、人员管理服务,其特性决定能够满足以下应用要求:
系统管理的安全性和一致性:在多应用系统环境中,管理员需要实现用户注册,修改,删除一次性完成,并且保证系统中用户身份唯一性、一致性以及安全性,并为实现单点登陆提供支持。
用户权限控制:实现用户、应用服务之间的信息存储、权限控制和权限委托。
目录数据与应用系统交互:通过应用授权管理程序在权限规则下能完成对目录服务对象属性的查询,修改;也可以通过目录数据共享来维护应用系统数据。
省分的目录服务包括该省分人员信息和总部人员信息。
统一安全服务
通过相应的网络安全配置,统一用户权限配置,集中的终端病毒管理(对内部员工),保障企业应用服务的连续性和信息的安全性。
表现层管理
对于企业内外门户, 提供管理展现内容和展现方式的工具。
内容管理
为具有权限的用户提供发布和修改来自不同应用系统的信息的工具, 并管理/维护相应的用户权限。
搜索服务
为用户提供内容检索服务,包括标题检索、全文检索以及文档关键字检索;便于用户根据主题和关键字进行信息查询,提高员工工作效率和客户体验满意度。
业务系统链接
从统一接触点为相应的业务系统提供链接。
企业应用集成架构(EAI)
企业应用集成平台(EAI)是将业务流程、应用软件和各种标准联合起来,在两个或多个企业应用系统之间实现无缝集成,使它们成为一个整体进行业务处理和信息共享,从而大大提高企业效率,为客户提供灵活的业务服务。企业应用集成平台是一种全方位集成的理念和思想,是系统之间集成的一种实现方式,并不特指某种特定的产品,它可以是由多个软件共同组成,实际上各个厂商及不同的产品的实现方式也会稍微不同。
首先,企业应用集成平台是企业级的。它提供的是面向整个企业的、跨部门的流程管理和自动化解决方案,需要企业管理和业务部门的共同作用和影响。其次,它面向的是企业的各类IT系统。可以是老系统,也可以是新上线的系统;可以是商用套件,也可以是自主开发的系统。目的是通过对应用系统整合,做到真正的“数据与应用分离,应用与流程分离”,最大化支持业务的灵活开展。最后,企业应用集成平台通过面向企业或部门的业务流程管理单元,对各类业务流程实施管理、调度和自动化处理,并采用各种技术调用松耦合的各类应用系统。除了通过配置流程来连接相关系统,还可以提供通过标准协议封装的点对点调用接口、消息代理来实现应用系统间的互联。
EAI 的架构组成
EAI的架构组成如下图所示:
图 5 35 EAI总体架构
EAI包括以下四个层次:
通信中间件层(Communications Middleware layer)提供了一个实施各种消息模式的架构,并且能够根据消息内容和上下文确定信息路由。本层的服务不仅在不同资源间建立了连接,而且具有安全保证、消息队列管理和保证网络协议相互转换的功能。这层包括:
基本的消息发送和连接
基于主题和内容的消息路由
事务管理和协调(同步的/非同步的)
与客户现有的中间件进行交互 (CORBA, DCOM, 等等)
格式转化层(Transformation and Formatting layer)负责转化数据和消息的内容及句法,以保证多个异构系统及数据源的数据能够相互转换。这层负责维护在各应用之间传递的一致的消息结构,以保证信息的内容可以被这些应用所理解。这层包括:
转换消息协议和格式的能力(一对一,一对多,多对一)
语法转化:数据单位间的句法转换(例如,把数据格式01 Aug 1999转换成19990801)
语义转换:根据数据定义和意义,对数据的内容进行转换,例如将英制转化为公制
应用连接层 (Application Connectivity layer) 通过一个可靠的事件驱动信息机制来为软件包(如, ERP, 其它的第三方软件)和客户的旧系统提供可重复使用的、松偶合的连接。这层包括:
为ERP等应用软件包等提供预制的应用适配器
通过开发工具包为原有应用提供安全客户适配器
到源系统去或者从源系统来的连接服务
通用技术(ORBs, CORBA的支持, EJB等)的连接器
通过发布/订阅的消息机制,来实现 “即插即用”的重新配置
业务流程管理层(Business Process Management layer) 负责定义和管理企业间和企业内部的跨应用系统的业务流程,这些服务不仅能够提供数据通信,也能把业务流程内容发送到其他应用系统中去。 这层包括:
集中可视的,跨应用的多步业务流程控制
实时的分析能力
对于多步流程进行类似于工作流程那样的协调
事务控制
处理流程状态信息,支持事务回退
图形化和基于源数据的流程及规则定义
除了上述EAI的四个层次,根据应用EAI的环境,EAI包括如下三个架构:
开发架构:包括开发人员在开发系统时所使用的工具和标准。例如:用户界面工具、逻辑设计和生成工具、编译器、测试工具、性能与容量测试工具、配置管理工具等等。
运行架构:是一揽子用以支持应用程序的运行服务和控制结构。值得注意的是,软件包已经提供了大部分运行架构的功能。
维护支持架构:是一揽子的工具、支持服务、程序和控制,以保证生产系统的顺利运行和操作。维护支持架构的主要用户是负责系统管理和支持的工作人员。例如,维护支持架构的功能包括让系统管理人员在正常环境中、出现故障时和故障发生后,起动和停止系统及内各种组件,并能够让操作员安排定时起动或取消本地与远程的批处理工作。
EAI的开发架构
EAI的开发架构如下图所示:
图 5 36 EAI开发架构
业务流程管理
工作流管理
当流程变得复杂并要求多个功能组参与时,可能会出现许多问题。 工作流管理工具就是用来解决这些问题的。通过流程的电子展现,说明要做什么、谁来做,提供定义、管理和执行自动业务流程的能力。工作流管理工具应该包括:
定义流程和规则的绘图工具和元数据
嵌套流程定义(支持流程和更高一级流程中的子流程循环),能够生成流程分组和多级结构。层级结构中的任何一点都应该可以重复使用。)
进/出条件
预置的工作流
所有层次都包含的服务
分析和设计
分析工具用来详细说明系统开发的需求。他们一般是模型和图表工具,提供图示系统需求的能力,还能够详细说明系统必须做什么。设计工具用来详细说明一个系统如何实施这些系统需求。 他们一般是图形工具,用图表表示系统是怎样由其中的关键组件构成的。分析和设计工具应该包括:
数据建模:EAI软件应该提供使用用户界面直观定义映射规则的工具。 还要提供对外部元数据的访问以加快映射设计。它应该提供使用用户界面直观定义转变规则的工具,这个工具或者从预置的规则库中进行转换,或者定义新转换运算法则
流程模型:EAI软件应该提供模拟功能来模拟流程的变更,进行影响评估和确认流程瓶颈(或者导出到第三方模拟工具中进行)
事件建模
重用支持
表现(界面)设计
影响分析
开发构建
构建工具用来编程和建造适配器和连接器。必须进行的客户化开发工作越多,这个组件的重要性就越大。构建环境必须支持业务规则开发、数据转变逻辑和从末端源应用中获取事件。构建工具应该包括:
源代码编辑器
编译器/连接器/翻译器
源代码调试器
可执行文件生成器
编码/对象库
开发客户应用界面或者修改现有界面的SDK 和工具包
资料库管理
资料库管理是主要的信息管理工具。稳定的EAI解决方案需要一个资料库管理工具来维护一个通用数据模型并支持应用适配器的发展。资料库应该是:
公开的,带有一个公开的接口和一个隐藏的数据模型。 在一些开发环境中可能会用上多个资料库。 一个资料库可以集成到一个高端设计工具中,另外一个可以集成到一个低端设计工具中,每个资料库都在各自领域中发挥自己最大的作用。资料库提供导入/导出功能是最关键的,在这个基础上才能开发合适的桥接/同步功能。
集成的,可以与能够充实、利用资料库的工具集成。
可扩展的,能够在未来获取更多种的信息。
可伸缩的,一个包含资料库的开发环境必须能够同时支持成千上万个用户和资料库关系。它还应该能够很容易的被小项目使用。 这是可用性的一个主要标准。
对象管理
对象管理工具提供查看对象、对象的方法和属性以及这些对象之间的相互依赖关系的能力。很多对象可以在一个EAI解决方案中被开发:数据对象定义、方法、转换对象、连接器等等。所有这些对象必须能够在EAI解决方案的开发环境中开发、定义版本和访问。
文件夹管理
文件夹管理是文本文件管理的一个结构化格式。因为在关系数据库管理系统(RDBMS)中的资料库管理对于文本文件管理的支持比较少,文件夹管理通常是资料库管理的一个扩展。
移植控制
移植控制工具控制可执行文件、数据和其他项在更改、测试和环境移植时的多个版本,例如从开发环境到测试环境,从测试环境到生产环境。
变更控制
变更控制工具监控和追踪企业内的组件或环境变更的信息。变更控制系统应该具备以下几个特点:
对于变更的可以采用各种方式进行描述
用不同方式对变更进行分类(变更影响的范围、优先权、变更的预期成本、授权等)
提供灵活的、可以定制的分类和报告机制,保证变更可以得到及时的处理
版本控制
版本控制工具在编写和测试代码时控制对源代码的访问,允许成生、维护多个代码版本。版本控制工具保证已经得到批准的业务流程能够得到开发并能够在实际环境中运行。版本控制工具对流程的修改进行追踪和记录,记录的信息包括审核信息。
EAI的运行架构
EAI的运行架构如下图所示:
图 5 37 EAI运行架构
业务流程管理
业务流程管理层负责定义和管理企业间和企业内部的跨应用系统的业务流程。 这些服务是必须的,因为只有依靠这些服务,EAI解决方案才能够在考虑每个应用系统固有的业务规则的基础上,实现业务流程级的应用程序集成。这些服务不仅能够提供数据通信,也能把业务流程内容发送到其他应用系统中去。业务流程管理层包括:
集中可视的,跨应用的多步业务流程控制。
实时分析能力
对于多步流程进行类似于工作流程那样的协调
事务控制
处理流程状态信息,支持事务回退
注意: 不是所有的集成方案都需要业务流程管理来支持。实现某些EAI解决方案也许不需要业务流程管理,但必须提供可重复使用的界面,并一个单独接口来实现与其他系统的集成。
工作流服务
工作流服务用于控制和协调在处理业务事件时所必须完成的任务。与以往传统的工作流服务不同,EAI工作流既强调企业内部的流程,又强调企业间的流程。工作流服务能够将流程中的任务按照正确的顺序传递给适当的参与者,并促使这些任务在规定的时间和预算内完成。工作流服务包括:
保持工作流任务的状态的稳定性
将跨越多个系统的任务集中执行
人工干涉,为用户提供一个人工更新事件状态的机制,包括人工取消任务和重新区分任务的优先次序
能够重新进入流程中已过去的点,根据新数据或已完成的事件来改变工作流
能够基于多流程任务或多输入参数(数据值)来触发事件
在输入事件/消息和输出事件/消息之间进行多对多映射
处理升级
灵活的分配流程的优先次序,即指不管接收的时间先后,能够灵活的分配事件流程的优先次序
分配任务间的相互关系, 即指能够把多个相关的流程任务连接在一个系统中,并评估一个任务的状态改变对其他相关任务的影响
例如:
在客户进行收支平衡转帐或要求查看帐户状态时,生成帐户状态报告并寄给客户
重新递交购买订单请求进行审批,部门经理可以对未决的购买订单请求设置“批准”或“拒绝”
将产品设计流程扩展到不同供应商的设计机构中
报告服务
报告服务协助简化报告和通信的生成和递送, 实现对业务流程运行状况的实时分析。这些服务帮助定义报告并生成电子报告,允许在线查看、打印和存档。报告服务也可以用提前定义好的模板支持应用数据的合并,来成生书面报告。报告服务包括:
多数据源的查询能力
实时报告(如提供实时的状态和标准,反映业务流程结果和业绩)
趋势分析
报告定义服务
报告生成服务
报告递送服务 (即指产生和打印标准报告的能力)
规则机制
业务规则机制用来在多个系统间实现业务流程的执行。此机制具有一定的智能,可以自动引导工作流的任务流程,决定下步需要执行的任务,这些智能主要依据已知的流程状态、是否有特定事件(数据)发生(产生)以及组织中的工作流处理流程等。它通过按照一定顺序执行物理接口来实现逻辑业务流程。一个业务规则引擎必须能够支持大量连续的、依靠前个任务成功完成而执行的任务。
应用连接
应用连接层通过一个可靠的事件驱动信息机制来为软件包(如, ERP, 其它第三方软件)和客户的旧系统提供连接。这个连接可能通过单向或双向的适配器完成,这个方向性是这样决定的:适配器能向目标应用程序执行读写两种功能(双向),或者单独的适配器被要求具备只读或只写功能(单向)。虽然理想上要求这些连接是可重复使用和松偶合的,但是实际上往往很难达到。 应用连接层提供:
为ERP等应用软件包提供预定的应用适配器
客户适配器开发工具包
进出源系统的连接服务管理
普通技术(如 ORBs, CORBA的支持,EJB等)的连接器
定制消息
定制消息能够实现独立于平台的应用间通信。定制消息服务扩展了在通信中间件层中的核心通信服务,加入了额外的功能,包括:
利用基本的消息传递能力在特定的系统中传递消息
特定的消息格式
特制的系统内部协议
利用目录服务和通信安全保障服务,建立一个完整的消息环境
定制消息服务应该包括:
数据库访问
ORB
EDI
大型机应用集成
具体应用集成
XML
由于EAI可能需要集成多种应用,EAI中的消息架构能够支持所有的消息模式就显得十分重要。
通信安全
通信安全服务将控制对企业应用程序和其他信息资源的访问。 应用连接层的通信安全服务应该包括:
验证
授权
API 服务
API 服务负责访问本地或远程的应用编程接口(API)。EAI解决方案必须能够调用其它应用提供的API,来与这些应用交互,以执行业务流程。
应用交互
应用交互服务通过应用适配器提供与其他应用程序间的连接和各应用间的通信和信息交换。应用交互服务包括:在程序执行过程中,把未经编译的计算机语言转换成机器码的服务 (如,语言翻译器, 虚拟机等);和应用可以直接使用的服务,用来执行系统级的功能(如环境确认,系统安全等)。
资源管理
资源管理服务负责一个单一数据源的并发控制和数据资料的完整性。数据的完整性是通过控制全部修改或全部不修改的机制来保证的。应用连接层中的资源管理服务是管理应用的,而不仅仅是简单的数据库或文件管理。资源管理服务使适配器能够管理数据源的连接并向业务流程层报告故障,这样就可以执行重试逻辑并采取适当的行动。
数据库服务
数据库服务负责提供对本地或远程数据库的访问,维护数据库中数据的完整,并支持在单一物理平台中或多个平台中存储数据。 这些数据库服务主要通过主要数据库管理系统(DBMS)的协议来实现。数据库服务包括:
访问
安全
存储
文件服务
文件服务负责提供对本地或远程文件的访问,并维护文件内部数据的完整性。 在应用连接层,文件服务使得EAI解决方案知道文件结构和每条记录的意思。
格式转化
格式转化层负责转化数据和消息的内容及句法,以保证多个异构系统及数据源的数据能够相互转换。这层负责维护在各应用之间传递的一致的消息结构,以保证信息的内容可以被这些应用所理解。格式转换层支持:
转换消息协议
语法转化:数据单位间的句法转换(例如,日期格式的转换)
语义转换:根据数据定义和意义,对数据的内容进行转换,例如将英制转化为公制
消息翻译
消息翻译服务能够把消息从一种格式翻译到另一种格式 。消息翻译服务包括:
将消息分解为便于管理的数量
EDI 翻译
能够执行日常的客户翻译程序
特定的应用翻译,例如, 能够在特定消息格式和普通/工业标准的消息格式间进行转换。(如,CORBA-其它格式)
消息映射。例如,能够把数据从一种消息格式映射到另一种格式中去。数据映射规则应该以元数据格式保存,以便于修改。消息映射工具应该提供对以下几种类型的字段映射的支持:一对一,一对多,多对一,多对多。
代码表应用服务
代码表应用服务能使应用程序生成、维护和使用外部储存的参数和数据检验规则。
数据翻译
数据翻译服务提供从一种应用格式到另一种应用格式的信息的映射和翻译。这些服务追踪翻译流程和翻译步骤。数据翻译服务包括:
数据字段映射 (映射服务帮助成生两个或多个数据结构间关系的逻辑表现。通过提供源应用元数据的可视性,支持数据的映射。)
文件映射 (即,能够映射出传入和传出文件中包含的数据字段。数据翻译工具应该包括对下列文件映射种类的支持: 一对一、一对多、多对一、多对多)
数据字段翻译
字符集转换
能够控制、改变业务数据,进行语法翻译和语义转换。(语法翻译是把一个数据单位转变成另一个,就是变为不同的数据或数字格式。语义转换就是根据数据定义或含义改变数据。)
这些翻译相当占用资源,所以必须全面检验在处理大量翻译时组件的适应能力。
例如:从旧系统结构和当前系统中映射客户姓名和地址域,更新CCDB;或者从CCDB映射到旧系统中。这一过程涉及到利用一个查询表把CCDB编码转变为旧系统的编码。
无此功能时产生的影响及考虑:
这个功能对于一个EAI解决方案来说至关重要。由不同系统支持的数据模型必须转变成一个普通数据模型,并在EAI工具中表现出来, 目的是为了在多于2个系统中成功的再次共享。把数据直接转化成目的应用格式会导致一个点对点整合,这与将来的整合需求不能保持一致。
通信中间件
通信中间件层提供了一个实施各种消息传输模式的架构,并且能够根据消息内容和上下文确定信息路由。本层的服务不仅在不同资源间建立了连接,而且具有安全保证、消息队列管理和保证网络协议相互转换的功能。通信中间件层包括:
在应用程序间传递消息流
支持同步和非同步的通信
基于消息主题或内容,分派消息到应用程序中
通过消息中介(如ORBs 或消息队列)提供服务
核心消息机制
核心消息机制服务帮助信息或命令在两个或多个接收者之间传递,并且支持多种消息类型,这些类型是与多个来源进行通信所必须的。大多数集成产品只支持一种单一的消息类型。 核心消息机制服务应该包括:
文件传输
远程过程调用
面向消息的请求/答复:请求/答复消息机制是一个直接的,应用程序到应用程序的通信模式。一个应用请求以一种消息的形式从一个应用程序被传递到另一个应用。通信方式可能是同步的-例如RPCs,或者非同步的(通过回叫信号程序)。在一个信息传递模型中,参与消息交互的两个应用系程序之间总保持着一个直接的连接。 例如:客户向一个已知的服务器发送请求,并等待答复。
面向消息的发布/定购:发布/定购 消息机制是一种特殊的数据传输机制,允许流程表达对特定消息的需求(如订阅)。应用程序发送(发布)一条消息后,此消息被传送到所有订阅它的流程中。这也叫做推动式的消息传输机制。例如:一条消息被发送(发布)给一个中介,然后由它给定购者传递消息备份 。
面向消息的消息队列:消息队列(也叫做存储-转发消息) 是一个非直接的应用程序到应用程序的通信模式,允许应用程序通过消息队列进行通信, 而不是通过直接的相互调用。消息列队是非同步的和无连接的,意味着当消息被发送时无需有接收者。此外,它还暗示支持可靠的,有保证的(非复制的)消息传递。(消息应该能够在列队中等待被分配目标应用,直到在一个预先确定的时间到来时,所有消息一起被转发到目标应用。)
流动
基于内容的路由机制:提供基于规则的能力来决定一个消息目的地,以及如何到达这个目的地。根据消息中的数据值分派消息。连续应用交互作用中返回的编码决定消息路由的顺序。短期消息路由- 无需在大型的业务流程中存储消息状态。管理那些为了实现业务流程而经过长时间路由到多个目的地的消息。
准实时传输(异步):客户发送消息到服务器,然后继续处理,而不是等待答复。主要用于批量和准实时处理。
实时传输 (同步):客户发送消息到服务器,然后停止处理,在继续前等待服务器的答复。主要用于实时处理。
批量(应该提供预定的批量数据转换功能)
单点传送
多点传送
核心消息机制给定了EAI解决方案被用来集成的应用程序范围,很重要的一点是:消息架构要能够支持所有必要的消息类型。
通信安全保障
通信中间件层上的通信安全服务是有关传输过程的消息安全问题。
传输服务
传输服务提供的协议服务负责传输和保护数据通信。传输服务负责建立、维护和终止流程间、程序间或企业间的端到端通信。传输服务包括:
消息传输
传输安全
安全化的传送(即,必须存在一个能够保证消息被接收到的确认机制。重发功能也要存在)。
安全化的排序机制
目录服务
一个完整的目录服务对可用的资源进行组织、分类以及命名,目的是提供一套有关客户、服务器、用户、应用和其他资源的全面信息。目录服务应该包括名称服务来支持逻辑名称的使用。 这些逻辑名称能够通过一个目录映射到应用程序或者物理机器地址中。
构件框架
构件框架服务为生成组件提供构架,这样一来这些组件可以在同一台电脑上或跨网络在多个电脑上的一个应用程序内部或多个应用程序间交流并共同工作。构件框架服务应该包括:
ORB协同工作的能力
远程访问
事件管理
事件管理在一个控制台上基于预置的过滤条件接收、记录、分类并显示事件消息。
资源管理
一个资源管理程序为一个单一数据源(如一个数据库或者一个文件系统)提供并发控制和并保持其完整性。通过确保对于数据源的一个数据更新已经得到了完全正确的执行或者根本未被执行来保证数据源的完整性。资源管理服务使用加锁机制、事务提交和事务回滚服务, 并与事务管理相集成。
事务管理
事务管理协调一台机器或同个网络中多台机器上的一个或多个资源管理器。事务管理保证一个事务的所有资源被更新,或者当任何资源上某个更新出现故障时,所有的更新都会被回滚。这项服务能使多个应用在保持完整性的同时共享数据。事务管理的任务在跨企业解决方案中变得越来越复杂。事务管理包括:
协调一台机器或同个网络中多台机器上的一个或多个资源管理器,确保一个事务的所有资源被更新,否则,进行回滚处理。
管理EAI工具和目标应用之间的事务。
事务分割
事务分割服务把一个应用中的单一逻辑事务映射到多个物理事务中。事务分割服务提供具有单一事务视图的应用。
EAI的维护支持架构
EAI的维护支持架构如下图所示:
图 5 38 EAI维护支持架构
跨各层的服务
平台支持
平台支持是能够与多种应用平台进行交互的能力。
协议
两个设备间一致的数据格式;此协议决定了如下信息:
应用的错误检查类型
数据压缩方法
发送设备如何判断已经完成数据发送
接收设备如何判断已经接收了数据
适配器证实可以通过系统需要的协议与源和目的应用进行交互。
运营控制
运营控制服务用来确保按照需要和意向执行并控制生产环境中的系统运行。运营控制服务包括:
归档:EAI软件应该能够将旧的和完成的事件归档;
备份恢复管理;
制定时间表:EAI软件应该能够分析工作流的依赖关系,决定任务的时间表并正确地发送消息
负载均衡:EAI软件应能具有在单个或多个机器中保持负载均衡的能力。
故障控制
在EAI解决方案中,故障控制用来检测并更正所有EAI应用中出现的故障。既包括事务级的也包括系统级的故障。故障控制服务包括:
灾难恢复
高可用性
故障管理
恢复
事件管理
重新处理
故障控制应包含在适配器、翻译转化、消息通信和流程处理中。
监视服务
监视服务用来检查系统是否能够按照事先设定的服务水平持续的工作。监视服务包括:
性能管理(流程分析):EAI软件应该能够显示消息和数据在各个流程部分的传递情况,并可识别“热点”(此服务可能不需要)。
实时分析系统资源:EAI软件应该具有实时分析数据并产生通告的能力,例如通知延迟的事件(日期和延迟的天数)。系统不仅应能够监控系统间传递的信息,也应能够监控数据库中的数据。
通知
通知是一种当特定事件发生后,对用户或管理员提出建议的方法。此外,通知方式也是当某个业务流程完成后,通知最终用户的方法。通知的方法包括:
电子邮件
传真
寻呼
表达显示
表达显示构件主要在管理人员和系统生成的管理数据间建立了一个接口。数据可以生成各种输出格式。
测试
测试可以保证对分布环境的任何改变对这个环境不会造成负面的影响,只有期望的情况会发生,如更好的系统性能、提供可操作行等。
第三方应用支持
集成平台为维护支持架构提供一个通用的平台,它意味着在最底层为所有管理工具描述了一些通用的标准、接口、消息格式和文件日志格式。
安全管理
安全管理用来保证分布系统的物理和逻辑的安全。安全管理也可以记录正常或非法的接入、提供审核安全信息、弥补安全隐患并监视非授权的系统使用。
应用适配器必须应能够登录源及目的应用来进行工作。对EAI解决方案的接入级别必须特别的设定,使EAI只能对需要监视的数据表进行操作,另外,需要将密码写入适配器中,以便应用的安全级别改变后,这些适配器仍然可以使用。
系统集成架构
系统间集成关系包括总部MSS、BSS和OSS之间的横向集成关系和省分公司MSS、BSS和OSS之间的横向集成关系以及总部和省分的系统纵向集成关系。为了便于区分和说明系统间的集成关系,将总部和省分公司各个系统统一编码如下:
省分系统编码表
系统域
系统名称
系统编码
BSS域
客户关系管理系统
A1
合作伙伴管理系统
A2
综合计费帐务系统
A3
综合结算系统
A4
综合采集系统
A5
分析系统
A6
企业外部门户
A7
MSS域
企业决策平台
B1
企业资源计划系统
B2
协同办公系统
B3
企业内部门户
B4
OSS域
集成定单管理系统
C1
服务开通管理系统
C2
综合服务质量和性能管理系统
C3
综合告警监控系统
C4
综合故障单管理系统
C5
综合生产调度系统
C6
综合资源管理系统
C7
专业综合网管系统
C8
IT网管系统
C20
网元设备/EMS
C40
SDP平台
C0
第三方接入网关
C9
服务生成环境
C10
服务交付环境
C11
统一目录管理
C12
服务控制
C13
总部系统编码表
系统域
系统名称
系统编码
BSS域
客户关系管理系统
D1
合作伙伴管理系统
D2
综合结算系统
D4
综合采集系统
D5
分析系统
D6
企业外部门户
D7
MSS域
企业决策平台
E1
企业资源计划系统
E2
协同办公系统
E3
企业内部门户
E4
OSS域
集成定单管理系统
F1
综合告警监控系统
F2
综合生产调度系统
F3
网络规划设计系统
F4
综合资源管理系统
F5
专业综合网管系统
F6
IT网管系统
F7
网元设备/EMS
F8
SDP平台
F0
第三方接入网关
F9
服务生成环境
F10
服务交付环境
F11
统一目录管理
F12
服务控制
F13
总部横向系统集成
总部系统的横向接口关系如下图所示:
图 6 1 总部横向系统集成
各信息流所对应的源系统和目标系统、接口内容等详细信息如下表:
接口 标识
源系统
目标系统
接口内容
接口 频率
接口 方式
BSS内部接口
D1-D2
合作伙伴管理系统
客户关系管理系统
合作伙伴准入的产品目录
实时
自动
D1-D6
客户关系管理系统
经营分析系统
经营分析系统所需的客户关系管理类数据
定期
自动
D2-D5
综合采集系统
合作伙伴管理系统
详单涉及合作伙伴结算的信息
定期
自动
D2-D6
合作伙伴管理系统
经营分析系统
经营分析系统所需的合作伙伴管理类数据
定期
自动
D4-D5
综合采集系统
综合结算系统
国际漫游来访数据
实时
自动
D4-D6
综合结算系统
经营分析系统
经营分析系统所需的结算类数据
定期
自动
MSS内部接口
E2-E1
企业资源计划
企业决策支持平台
ERP分类汇总信息
定期
自动
E2-E4
企业资源计划
企业内部门户
员工基本信息
定期
自动
E3-E4
企业内部门户
企业协同办公
用户基本信息
定期
自动
OSS内部接口
F1-F5
集成定单管理系统
综合资源管理系统
服务资源申请信息,资源管理系统同时获得并保存网络资源与服务实例之间的对应关系
实时
自动
F1-F3
集成定单管理系统
综合生产调度系统
分配工单:开通工单信息
实时
自动
综合生产调度系统
集成定单管理系统
回单:开通工单处理结果
实时
自动
F2-F3
综合告警监控系统
综合生产调度系统
与省分系统不一洋,总部没有设置故障单管理系统,而是将故障管理功能并入综合生产调度系统因此综合告警系统发现的故障将直接在综合生产调度系统内生成工单,再由相应人员对此工单进行后续处理。
实时
自动
综合生产调度系统
综合告警监控系统
故障排除信息
实时
自动
F2-F5
综合资源管理系统
综合告警监控系统
告警管理系统需要从资源管理系统取得网络配置数据以便能够将告警和引起告警的网元设备关联起来
实时
自动
F2-F6
专业综合网管系统
综合告警监控系统
告警数据采集
实时
自动
综合告警监控系统
专业综合网管系统
告警清除
实时
自动
F3-F5
综合资源管理系统
综合生产调度系统
综合生产调度系统从资源管理系统取得网络配置数据
实时
自动
F4-F5
综合资源管理系统
网络规划设计系统
网络规划与设计需要从综合资源管理系统收集现有资源的数据,作为规划未来网络的基础
实时
自动
F5-F6
专业综合网管系统
综合资源管理系统
资源管理系统需要从专业综合网管系统得到动态更新的资源配置数据
实时
自动
BSS和MSS接口
D2-E2
合作伙伴管理系统
企业资源计划
全国性SP的结算信息
定期
自动
D4-E2
综合结算系统
企业资源计划
结算信息
定期
自动
D6-E1
经营分析系统
企业决策支持平台
各类汇总信息
定期
自动
BSS和OSS接口
F1-D1
客户关系管理系统
集成定单管理系统
IOM负责从CRM系统接收服务定单并进行后续处理(涉及一干的工单)
实时
自动
F3-D1
客户关系管理系统
综合生产调度系统
与省分系统不一洋,总部没有设置故障单管理系统,而是将故障管理功能并入综合生产调度系统因此综合告警系统发现的故障将直接在综合生产调度系统内生成工单,再由相应人员对此工单进行后续处理。
实时
自动
综合生产调度系统
客户关系管理系统
故障排除信息
实时
自动
F5-D1
客户关系管理系统
综合资源管理系统
资源管理系统需要从CRM系统取得产品及服务目录。
实时
自动
D1-F0
客户关系管理系统
SDP平台
产品目录信息
实时
自动
D2-F0
合作伙伴管理系统
SDP平台
合作伙伴准入信息
实时
自动
D5-F0
SDP平台
综合采集系统
详单
实时
自动
F1-D6
集成定单管理系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
F2-D6
综合告警监控系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
F3-D6
综合生产调度系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
F5-D6
综合资源管理系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
F6-D6
专业综合网管系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
MSS和OSS接口
F1-E1
集成定单管理系统
企业决策平台
按照DSS的要求提供数据
定期
自动
F2-E1
综合告警监控系统
企业决策平台
按照DSS的要求提供数据
定期
自动
F3-E1
综合生产调度系统
企业决策平台
按照DSS的要求提供数据
定期
自动
F5-E1
综合资源管理系统
企业决策平台
按照DSS的要求提供数据
定期
自动
F6-E1
专业综合网管系统
企业决策平台
按照DSS的要求提供数据
定期
自动
F3-E2
综合生产调度系统
企业资源计划系统
组织架构、员工信息
定期
手工
企业资源计划系统
综合生产调度系统
KPI统计和绩效信息
定期
手工
F5-E2
综合资源管理系统
企业资源计划系统
ERP负责管理设备订单、购买以及付款以及变更、折旧等。因此,ERP系统需要得到实时更新的网络资源视图,包括网元数量及种类。工程项目管理需要了解相关资源的状态变更信息
定期
手工
省分横向系统集成
省分系统的横向接口关系如下图所示:
图 6 2 省分横向系统集成
各信息流所对应的源系统和目标系统、接口内容等详细信息如下表:
接口 标识
源系统
目标系统
接口内容
接口 频率
接口 方式
BSS内部接口
A1-A2
客户关系管理系统
合作伙伴管理系统
积分兑换涉及与合作伙伴结算的信息
定期
自动
合作伙伴管理系统
客户关系管理系统
合作伙伴准入的产品目录
实时
自动
A1-A3
客户关系管理系统
综合计费帐务系统
客户/帐户/产品/产品实例信息 积分计算规则 信用度规则 营销活动产品配置信息
实时
自动
综合计费帐务系统
客户关系管理系统
帐户余额,帐单,消费明细(包括一定时段内的CDR详单) 缴费信息 欠费信息 信用度状态信息 积分信息
实时
自动
A1-A6
客户关系管理类系统
经营分析系统
经营分析系统所需的客户关系管理类数据
定期
自动
经营分析系统
客户关系管理系统
分析结果,包括目标市场和客户群信息,推荐产品和市场活动信息,客户价值信息,客户离网倾向预测信息,产品或套餐分析结果
定期
自动
A1-A7
客户关系管理系统
企业外部门户
客户基本信息,SSO认证信息
定期
自动
A2-A3
综合计费帐务系统
合作伙伴管理系统
帐户,帐务清单,消费详单,用于合作伙伴的结算处理和合作伙伴绩效考核
定期
自动
A2-A6
合作伙伴管理系统
经营分析系统
经营分析系统所需的合作伙伴管理类数据
定期
自动
A3-A4
综合结算系统
综合计费帐务系统
将总部下发的GSM/CDMA语音国内、国际漫游出访通话数据;国际漫游出访短信及国内CDMA1X漫游数据,漫游和长途摊分数据给计费系统
定期
自动
A3-A5
综合采集系统
综合计费帐务系统
详单数据
实时
自动
A3-A6
综合计费帐务系统
经营分析系统
经营分析系统所需的计费帐务类数据
定期
自动
A4-A5
综合采集系统
综合结算系统
详单数据
实时
自动
A4-A6
综合结算系统
经营分析系统
经营分析系统所需的结算类数据
定期
自动
MSS内部接口
B2-B4
企业资源计划
企业内部门户
员工基本信息
定期
自动
B3-B4
企业内部门户
企业协同办公
用户基本信息
定期
自动
B2-B1
企业资源计划
企业决策支持平台
ERP分类汇总信息
定期
自动
OSS内部接口
C1-C2
集成订单管理系统
服务开通管理系统
分解后的定单
实时
自动
服务开通管理系统
集成订单管理系统
定单的执行状态
实时
自动
C1-C6
集成订单管理系统
综合生产调度系统
分配工单:开通工单信息
实时
自动
综合生产调度系统
集成订单管理系统
回单:开通工单处理结果
实时
自动
C1-C7
集成订单管理系统
综合资源管理系统
服务资源申请信息
实时
自动
C2-C40
服务开通管理系统
网元设备/EMS
联机指令
实时
自动
网元设备/EMS
服务开通管理系统
网元开通状态
实时
自动
C3-C4
综合服务质量和性能管理系统
综合告警监控系统
QoS告警数据
实时
自动
C3-C5
综合故障单管理系统
综合服务质量和性能管理系统
服务质量数据
定期
自动
C3-C7
综合资源管理系统
综合服务质量和性能管理系统
网络配置数据
实时
自动
C3-C8
专业综合网管系统
综合服务质量和性能管理系统
性能数据采集
实时
自动
C4-C5
综合故障单管理系统
综合告警监控系统
告警清除
实时
自动
综合告警监控系统
综合故障单管理系统
故障单生成(含影响分析信息)
实时
自动
C4-C7
综合资源管理系统
综合告警监控系统
告警管理系统需要从资源管理系统取得网络配置数据以便能够将告警和引起告警的网元设备关联起来
实时
自动
C4-C8
专业综合网管系统
综合告警监控系统
告警数据采集
实时
自动
综合告警监控系统
专业综合网管系统
告警同步,告警清除
实时
自动
C5-C6
综合故障单管理系统
综合生产调度系统
分配工单:故障工单信息
实时
自动
综合生产调度系统
综合故障单管理系统
回单:故障工单处理结果
实时
自动
C5-C7
综合资源管理系统
综合故障单管理系统
资源配置数据
实时
自动
综合故障单管理系统
综合资源管理系统
网络资源的修改
实时
自动
C6-C7
综合资源管理系统
综合生产调度系统
综合生产调度系统从资源管理系统取得网络配置数据
实时
自动
C7-C8
专业综合网管系统
综合资源管理系统
资源管理系统需要从专业综合网管系统得到动态更新的资源配置数据
实时
自动
BSS和MSS接口
A1-B2
客户关系管理系统
企业资源计划
每日营业收入信息 卡类,手机等各类业务资源的销售收入信息 代理商的佣金应付信息
定期
自动
企业资源计划
客户关系管理系统
卡类,手机等各类业务资源信息
定期
自动
A2-B2
合作伙伴管理系统
企业资源计划
SP结算信息
定期
自动
A3-B2
综合计费帐务系统
企业资源计划
每日帐务实收款信息 每月帐务应收款信息
定期
自动
A4-B2
综合结算系统
企业资源计划
网间结算信息
定期
自动
A6-B1
经营分析系统
企业决策支持平台
客户类,市场类信息、卡类,手机等各类业务资源信息等决策支持平台所需数据或分析结果
定期
自动
A6-B2
企业资源计划
经营分析系统
统计信息
定期
自动
BSS和OSS接口
A1-C1
客户关系管理系统
集成订单管理系统
用户服务订单信息
实时
自动
集成订单管理系统
客户关系管理系统
服务订单状态信息和处理结果
实时
自动
A1-C3
客户关系管理系统
综合服务质量及性能管理系统
客户SLA信息
实时
自动
综合服务质量及性能管理系统
客户关系管理系统
客户SLA违例信息
实时
自动
A1-C5
客户关系管理系统
综合故障管理系统
客户标识 服务标识,故障类型等信息
实时
自动
综合故障管理系统
客户关系管理系统
故障通知 故障排除信息
实时
自动
A1-C7
客户关系管理系统
综合资源管理系统
产品及服务目录
定期
自动
综合资源管理系统
客户关系管理系统
码号资源信息
定期
自动
A1-C0
客户关系管理系统
SDP平台
产品目录信息同步,定制信息和用户信息同步
实时
自动
SDP平台
客户关系管理系统
定制信息和用户信息同步
实时
自动
A2-C0
合作伙伴管理系统
SDP平台
合作伙伴准入信息
实时
自动
A3-C0
综合计费帐务系统
SDP平台
帐户余额信息
实时
自动
A5-C0
SDP平台
综合采集系统
详单
实时
自动
A3-C1
综合计费帐务系统
集成定单管理系统
停开机工单
实时
自动
集成定单管理系统
综合计费帐务系统
停开机工单处理结果
实时
自动
A3-C3
综合服务质量及性能管理系统
综合计费帐务系统
SLA相关数据
实时
自动
A6-C1
集成定单管理系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
A6-C2
服务开通系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
A6-C3
综合服务质量和性能管理系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
A6-C4
综合告警监控系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
A6-C5
综合故障单管理系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
A6-C6
综合生产调度系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
A6-C7
综合资源管理系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
A6-C8
专业综合网管系统
经营分析系统
按照经营分析系统的要求提供数据
定期
自动
MSS和OSS接口
C1-B1
集成定单管理系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C2-B1
服务开通系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C3-B1
综合服务质量和性能管理系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C4-B1
综合告警监控系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C5-B1
综合故障单管理系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C6-B1
综合生产调度系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C7-B1
综合资源管理系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C8-B1
专业综合网管系统
企业决策支持平台
按照DSS的要求提供数据
定期
自动
C6-B2
综合生产调度系统
企业资源计划系统
KPI统计和绩效信息
定期
手工
企业资源计划系统
综合生产调度系统
组织架构、员工信息
定期
手工
C7-B2
综合资源管理系统
企业资源计划系统
ERP负责管理设备订单、购买以及付款以及变更、折旧等。因此,ERP系统需要得到实时更新的网络资源视图,包括网元数量及种类 工程项目管理需要了解相关资源的状态变更信息
定期
手工
总部与省纵向集成
总部与省分系统的纵向接口关系如下图所示:
图 6 3 总部与省纵向系统集成
各信息流所对应的源系统和目标系统、接口内容等详细信息如下表:
接口 标识
源系统
目标系统
接口内容
接口 频率
接口 方式
BSS内部接口
A1-D1
省客户关系管理系统
总部客户关系管理系统
全国性集团大客户信息
定期
自动
总部客户关系管理系统
省客户关系管理系统
全国性集团大客户信息 全国性产品目录信息
定期
自动
A3-D4
省综合计费帐务系统
总部综合结算系统
GSM/CDMA语音国内、国际漫游来访通话数据;国际漫游来访短信及国内CDMA1X漫游数据;国内、国际长途通话详单数据
定期
自动
A3-D5
总部综合采集系统
省综合计费帐务系统
全国性业务的消费详单,如宝视通、全国性SP
实时
自动
A4-D5
总部综合结算系统
省综合结算系统
GSM/CDMA语音国内、国际漫游出访通话数据;国际漫游出访短信及国内CDMA1X漫游数据;漫游及长途摊分数据
定期
自动
A6-D6
省经营分析系统
总部经营分析系统
经营类指标和报表
定期
自动
MSS内部接口
B1-E1
省DSS
总部DSS
省分DSS信息
定期
自动
B2-E2
省ERP
总部ERP
ERP合并信息
定期
自动
B3-E3
省协同办公
总部协同办公
非结构数据
不定期
手动
总部协同办公
省协同办公
非结构数据
不定期
手动
B4-E4
省企业内部门户
总部企业内部门户
目录信息同步
定期
自动
OSS内部接口
F1-C1
总部集成定单管理系统
省集成定单管理系统
跨省开通的定单施工完成后需要进行测试,总部IOM系统将测试工单发到各省IOM系统
实时
自动
省集成定单管理系统
总部集成定单管理系统
总部对定单施工完成后的测试状态进行追踪
实时
自动
F2-C3
省综合服务质量和性能管理系统
总部综合告警监控系统
汇总各省上报性能数据
定期
自动
F3-C5
总部综合生产调度系统
省综合故障单管理系统
跨省故障或与骨干网相关的故障可能需要总部的配合,因此将相关故障信息发送到总部综合生产调度系统内。
实时
自动
F3-C6
总部综合生产调度系统
省综合生产调度系统
定期下发作业计划,指导各省制定相应的作业计划 总部发起的一些工单调度或需要总部协调的工单转发类流程
实时
自动
F5-C7
省综合资源管理系统
总部综合资源管理系统
统计全国重要备品备件情况,为制定年度计划提供依据;协调跨省重要备品备件调度; 获取各省骨干网的资源信息
定期
自动
F7-C20
总部IT网管系统
省IT网管系统
收集需要跨省解决的问题,并转发给其他省进行解决
实时
自动
省IT网管系统
总部IT网管系统
总部统计各省IT资产状况以及配置变更情况 总部对全网IT系统关键指标进行监测
实时
自动
BSS和OSS接口
A1-F0
省客户关系管理系统
总部SDP平台
定制信息,用户信息同步
实时
自动
总部SDP平台
省客户关系管理系统
定制信息,用户信息同步
实时
自动
A3-F0
省综合计费帐务系统
总部SDP平台
帐户余额信息
实时
自动
数据架构
数据架构是为了实现企业数据的标准化、一致性、准确性和可靠性,充分发掘数据价值,有效支撑企业信息数据管理和经营决策分析,实现企业数据的统一管理和信息的透明共享而制定的规划体系。
系统数据架构
图 7 1 数据架构
数据是联通企业运营过程种积累的宝贵财富。数据存在于操作环境合分析环境中,操作环境支撑基本的业务运作,分析环境在整合、提炼操作环境数据的基础上支撑企业的决策分析需求。联通企业架构规划遵循了操作环境合分析环境分离的理念,有利于提升系统运行效率,改进客户感知,提高对企业决策分析支撑的及时性。
运营系统包括BSS中的CRM、PRM、综合计费帐务、综合结算、综合计费帐务、综合采集,OSS中的资源管理、服务保障、服务开通、SDP、专业综合网管以及MSS中的财务、人力资源等都位于操作环境。这些系统支撑基本业务运作,同时产生大量数据储存于相应的DBMS中。
分析环境中主要包括经营分析系统、决策支撑系统以及相应的OSS、MSS分析系统。生产环境中的数据经过ETL的整合提炼后,在分析环境中形成分析型存储,成为企业分析决策的基础,有效的支撑分析型系统的运行。
操作型系统之间的数据交互通过EAI完成,操作型系统和分析型系统之间还需要借助ETL。
数据分类
企业数据分类规范是企业数据标准的一个组成部分,即全部企业数据执行同一个数据分类标准。企业数据分类规范需要满足各种数据需求对数据组织的要求,并独立于具体的数据模型和数据分布。企业数据分类规范还要有利于数据的维护和扩充。
联通企业数据分类规范根据以下指导原则进行分类:
根据国际电信管理论坛(TMF)的SID分类框架对联通数据进行分类
需要结合联通实际情况进行调整,并与IT目标架构相互配合
具体的数据分类可作灵活处理
联通数据分类如下图所示,分为客户、市场营销、产品、服务、资源、合作伙伴和企业管理等七类数据。
图 7 2 数据分类
数据分类的详细注释以及所覆盖的主要实体/数据的表述,参见《中国联通IT系统数据架构数据分类和分布规范》。
数据分布
在对企业的数据分类有一个清楚的了解之后,还需要了解IT系统如何来产生与利用这些数据。这就涉及到了数据在系统中如何分布的问题以及在总部和省分如何分布的问题。通过了解数据的分布,可以清晰看到联通的七大类数据在BSS/OSS/MSS的各个系统中是如何存储和使用的。
对数据分布的详细表述,参见《中国联通IT系统数据架构数据分类和分布规范》。
数据CRUD
CRUD 是建立 (Create)、读取 (Read)、更新 (Update) 及删除 (Delete) 这四项操作的缩写。通过数据CRUD合理规划和设计,可以明确系统中的核心数据由哪些系统产生,哪些系统有权利去读取这些数据,这些数据的更新权和删除权又属于哪些系统,从而确保数据的安全以及在数据不一致时很容易确定以哪个系统的数据为准。
对数据CURD的详细表述,参见《中国联通IT系统数据架构数据分类和分布规范》。
数据模型
数据模型是指用实体、属性及其关系对企业运营和管理过程中涉及的所有业务概念和逻辑规则进行统一定义、命名和编码。数据模型是业务人员、IT人员和开发商之间进行沟通的一套语言。数据模型分为概念数据模型、逻辑数据模型和物理数据模型。
图 7 3 数据模型分类描述
企业数据模型是改进企业运营和数据系统的重要基础。企业数据模型是一个关于整个企业需要数据的完整模型,包含了整个企业所有IT系统(包括BSS、OSS和MSS系统)的业务实体、业务实体属性和业务实体间的关系,综合展现数据的定义以及数据之间的关系,并对新的数据要求具有良好的扩展性和包容性。中国联通企业数据模型并不直接针对任何系统,它是对联通所有数据的一个整理和规范。
企业数据模型不是一个单一的数据模型,而是一套数据模型体系。不同层次的复杂的数据需求需要通过不同层次的企业数据模型进行定义和规范。数据模型体系可以从两个维度来进行描述:一是从数据模型性质来看,该企业数据模型应该是概念数据模型、逻辑数据模型还是物理数据模型;二是从联通企业组织架构来看,该企业数据模型应该是企业级,还是系统级。
图 7 4 数据模型分类设计
联通企业级概念数据模型如下图所示,包括客户域、产品域、市场营销域、合作伙伴域、服务域、资源域等六个域。
图 7 5 数据概念模型设计
对联通企业级概念数据模型的详细表述,参见《中国联通IT系统数据架构企业数据模型规范》。
数据管控
数据在企业中的生命周期是指数据在支撑企业业务运作过程中的不同阶段和状态。一般来说,企业中的数据将经历从产生、处理、存储到应用、归档直至最终被删除的这样一个生命周期。在数据生命周期的所有阶段,企业必须完全按照组织的业务需要进行处理、管控、保护,以及提供数据访问。
数据管控是通过一定的管控流程和数据标准,实现对数据生命周期的管理和控制,进而实现对整个企业数据架构的管理和支撑。详细的数据管控规划参见《中国联通IT系统数据架构数据分类和分布规范》。
基础架构
总体概述
IT系统基础架构是应用系统架构的基础和保障。为了将应用、数据、服务器和存储设备等集中管理,减少IT 基础设施和应用系统的重复建设,有效降低维护成本,改进软硬件性能,并通过统一的备份和灾难恢复机制来增强可靠性和可用性,中国联通的IT系统将考虑采用数据中心的方式建设。IT系统基础架构主要包括基础设施、容灾架构、安全架构几个部分。
基础设施
作为数据及业务应用的总控中心,数据中心是提供关键业务应用的核心计算环境, 它对于企业的重要性无异于心脏之于人体。随着繁忙的业务处理给数据中心带来巨大的压力,数据中心的建设除了要确保关键业务7×24小时连续运行外,还应具备更高的灵活性和可扩展性,才能适应业务变化的步伐,为业务发展输送源源不绝的动力。
主机架构
图 8 1 主机架构
主机系统组成
如上图所示,对于关键业务应用系统, 数据库服务器均采用双机集群的方式, 应用服务器则采用多机集群方式。 主机系统设计原则应该符合下列特性:
动成长性,使 IT 环境能适应变化的业务需求,构造一个适应性的IT 架构。
简单化,简化应用和系统使减少系统和技术复杂性和实施风险。
模块化,以模块化的方式建设IT 基础设施。
标准化,使用基于标准的IT 组件和业务过程模块使IT 资产标准化。
集成化,统一和规范系统关系,使易于管理和改变IT 环境。
资源优化,资源可以灵活调整。
智能管理,管理简单智能。
持续、安全的运行,建立稳定、安全的基础设施,提高IT 的运行效率,才能够保障不断扩展的业务运作需求。
Unix 系统的稳定性和高效率,使得其成为数据库服务器的必然选择; 在应用服务器层, 对于电信级的应用需要,建议采用Unix 操作系统。 数据中心主机服务器将由以下的功能区域组成:
数据库服务器区域
应用服务器区域
Web 服务器区域(可与应用服务器合并)
管理服务器区域
测试开发服务器区域
培训服务器区域
主数据库服务器选型建议
服务器单机要求完全硬件冗余,支持故障隔离动态系统域,支持动态重新配置 (DR),支持联机升级,并行维护,固化操作系统内核,固化 I/O 驱动程序,保障端到端数据完整性(包括 ECC),支持冗余网络连接,支持冗余存储连接,支持群集架构;能够方便经济地纵向扩容。
每个系统的数据库服务器采用2 节点的群集架构。
每个系统的数据库分布在不同的机器上,系统将来的扩展以纵向扩展为主 (即在服务器内增加CPU或内存)。
应用服务器选型建议
单机可为中端服务器,支持CPU/内存板的动态重新配置 (DR),热 CPU 升级,冗余网络连接,热插拔磁盘,智能风扇,冗余热插拔电源,固化操作系统内核,固化 I/O 驱动程序,端到端数据完整性(包括 ECC),并支持群集。
每个系统的应用服务器采用2 个或者多个节点的群集架构。
每个系统的应用服务器分布在不同的机器上,系统将来的扩展以横向扩展为主,在服务器的配置上可以考虑满配置。
WEB服务器选型建议
单机可为中低端服务器,冗余网络连接,热插拔磁盘,智能风扇,冗余热插拔电源,并支持群集。 可采用多台中低端的服务器(或者Linux服务器),构成Web 服务器群集系统。(也可以采用原旧系统被替代的服务器)
Web 服务器采用2 个或者多个节点的群集架构。
Web 服务器分布在不同的机器上,系统将来的扩展以横向扩展为主,在服务器的配置上可以考虑满配置。
管理服务器选型建议
作为系统、网络、存储、备份管理的集中平台区域。(也可以采用原旧系统被替代的服务器)
采用1-2 台中低端的服务器,构成整体的管理服务器,不需要采用群集系统。
测试开发服务器选型建议
采用一台和生产系统相当的中高端服务器,支持动态分区,作为数据库服务器分区和应用服务器分区; 同时通过动态分配分区大小, 可以作为不同系统压力测试使用。(也可以采用原旧系统被替代的服务器)
形成集中的测试开发环境,不需要采用群集系统。
培训服务器选型建议
配置一台低端服务器作为培训系统使用。(也可以采用原旧系统被替代的服务器)
形成集中的培训环境,不需要采用群集系统。
应用系统设计要素
通用应用系统架构
图 8 2 应用系统架构设计
采用物理的三层架构(数据库层、应用层、WEB层)
采用网络负载均衡器来实现应用服务器(WEB)层的负载均衡
数据库层的扩展采用纵向的扩展
根据应用的特点,数据库层可采用主备的方式和并行的方式
应用和WEB则尽量采用并行的方式
应用和WEB层采用横向的扩展
群集系统的设计
群集(cluster)就是一组计算机,它们作为一个整体向用户提供一组网络资源。这些单个的计算机系统就是群集的节点(node)。一个理想的群集是,用户从来不会意识到群集系统底层的节点,在他/她们看来,群集是一个系统,而非多个计算机系统。并且群集系统的管理员可以增加和删改群集系统的节点。
图 8 3 群集系统设计
集群系统分为两类:
高可用(High Availability)集群,简称HA集群。这类集群致力于提供高度可靠的服务。高可用集群就是采用集群技术来实现计算机系统的高可用性。高可用集群通常有两种工作方式:
容错系统:通常是主从服务器方式。从服务器检测主服务器的状态,当主服务工作正常时,从服务器并不提供服务。但是一旦主服务器失效,从服务器就开始代替主服务器向客户提供服务。一般数据库集群 属于这种类型。
负载均衡系统:集群中所有的节点都处于活动状态,它们分摊系统的工作负载。一般Web服务器集群、数据库集群和应用服务器集群都属于这种类型。
高性能计算(High Perfermance Computing)集群,简称HPC集群。这类集群致力于利用提供单个计算机所不能提供的强大的计算能力。高性能计算是计算机科学的一个分支,它致力于开发超级计算机,研究并行算法和开发相关软件,不在这里讨论。
服务器系统的扩展设计
图 8 4 服务器系统扩展设计
数据库服务器采用纵向扩展为主。
应用服务器和Web 服务器采用横向扩展为主。
存储设计
存储技术的选择
针对于科学技术的不断发展和用户的不同应用的需要,出现了不同结构和特点的存储架构。目前得到广泛应用的存储技术主要有以下三种:
图 8 5 存储技术
从上图能够非常清楚地看到采用不同连接方式时应用程序、文件系统和磁盘存储所处的位置,有利于选择相应的存储体系结构,部署应用。
NAS
DAS
SAN
存储数据结构
集中式数据存储模式,将不同系统平台下文件存储在一台NAS 设备中,方便网络管理员集中管理大量的数据,降低维护成本。
分散式数据存储模式。网络管理员需要耗费大量时间奔波到不同服务器下分别管理各自的数据,维护成本增加。
集中式数据存储模式,将不同系统平台下文件存储在SAN 设备中的不同区域,方便管理员集中管理大量的数据,降低维护成本。
操作系统
独立的优化存储操作系统,不受服务器干预,有效释放带宽,可提高网络整体性能。
无独立的存储操作系统,需相应服务器或客户端支持。
无独立的存储操作系统,需相应服务器或客户端支持。
数据管理
管理简单,基于Web 的GUI 管理界面使NAS 设备的管理一目了然。
管理较复杂。需要第三方软件支持。由于各系统平台文件系统不同,增容时需对各自系统分别增加数据存储设备及管理软件。
管理简单, 基于Web 的GUI 管理界面可对SAN 实现统一的管理。
性能
性能受网络带宽的影响较大,而且数据在IP 传输过程中的频繁打包\拆包会造成数据传输效率的下降,在服务器和用户数较少时性能较好。
存储设备只能被直连主机所访问,性能最好。
采用专用网络连接主机和存储,数据以数据块的形式传输,传输效率极佳。在大规模数据中心可充分发挥存储系统的性能优势,比NAS 的性能更好。
扩充性
在线增加设备,无需停顿网络,而且与已建立起的网络完全融合,充分保护用户原有投资。
良好的扩充性完全满足24X7 不间断服务。
增加硬盘后重新做RAID 须宕机,会造成业务的中断。
具有近似无限的扩展能力,由于采用了网络结构,服务器可以访问存储网络上的任何一个存储设备,因此可以自由增加磁盘阵列、带库和服务器等设备,使得整个系统的存储空间和处理能力得以按客户需求不断扩大。而且这种扩充不会影响SAN 中的其它设备的正常工作。满足24X7 不间断服务的要求。
总拥有成本TCO
单台设备的价格高,但选择NAS 后,以后的投入会很少,降低用户的后续成本,从而使总拥有成本降低。
前期单台设备的价格较
便宜,但后续成本会增加,总拥有成本升高。
前期单台设备的价格较昂贵,但后续成本会较少,保护用户投资,总拥有成本降低。
FC 和IP 协议分析
SAN 多是采用FC 协议,这是一种专门为核心数据库、海量文件处理等对于存储IO 要求很高的应用度身定制的协议;而NAS 采用IP 协议,这是一种被广泛在各种数据传输应用的网络协议,由于其广泛部署,因此也被用来通过NAS 方式传输数据。NAS 设备与客户机之间主要是进行数据传输。目前在LAN/WAN 上传输的大量数据被分成许多小的数据块,由于每个IP 最大仅为1518 个字节,而一个FC 包最大可为128MB,因此通过TCP/IP 传输的处理过程需要占用宝贵处理器资源来中断和重新访问数据流。如果数据包的处理占用太多的处理器资源,则在同一服务器上运行的应用程序会受到影响。由于网络拥堵影响NAS 的性能,所以,其性能局限性之一是网络传输数据的能力。
当服务器在地理上比较分散很难通过远程连接进行互连时,直接连接存储是比较好的解决方案。基于IP 协议的网络附加存储是部门级的存储方法,它的重点在于帮助工作组和部门级机构解决迅速增加存储容量的需求,实现多用户的文件级共享。
基于FC 协议的SAN 主要用于存储量大的工作环境,SAN 的结构允许任何服务器连接到任何存储阵列,这样不管数据置放在那里,服务器都可直接存取所需的数据。由于采用了光纤接口,SAN 还具有更高的带宽。
SAN存储体系
建议核心系统建设时采用以SAN为基础的存储系统结构,它具有以下特点:
开放的标准,适合于服务器和存储设备之间的共享
SAN 标准最早就是为了多个服务器之间通过专用的高速网络来共享存储和更加有效地管理存储设备所设计,经过近十年的发展,已经成为非常完善的标准。各主流厂商均遵循开放的观念,保证各家设备之间的互连性。在物理连接上是采用已经成熟的光纤技术实现。
磁盘系统可以同时连接当今商业企业的主要计算机环境,包括HP-UX,Sun Solaris,IBM AIX,Mainframe MVS,multi-vendor NT 等。从而将容量巨大的信息快速传输给不同计算平台的使用者,还可以在开放系统环境之间构架信息通道,从而确保企业各部门依据需要分享即时信息。
高性能的数据存取
SAN 采用的链路连接是通过光纤,光纤本身具有抗干扰能力强,传输距离长,传输速度快的特点,目前具有的速度是GB级别的,而且最关键的是,基于SAN 架构,服务器和存储设备之间的协议是专为数据密集型存取所设计,是在服务器和存储器之间高速访问不可替代的技术。
具有高度的可扩充性
基于SAN 架构的存储设备,本身具有可扩充性。而且一旦SAN 架构构建以后,可以很容易增加存储设备,而且,这些存储设备均可以作为一个整体来共享,它们可以作为一个卷或多个卷来共享。
在SAN 的架构下,存储是独立于应用的。
具有无与伦比的可靠性
作为关键性应用中,设备的可靠性是必须考虑的。在SAN 架构中,主机和光纤交换机,和存储设备之间的连接均是冗余的,冗余的通路带来的好处,在正常情况下,是带宽的扩充,实现自动负载均衡,如果某一通路出现问题,它又可以作为另一选择路径,保证系统的可用性。
SAN 的存储设备内部,本身也考虑很多系统的高可用性,如磁盘通常是连接到两台光纤环路上或两个控制器上,内部的总线或连接也均是多通道的,电源,风扇等等均是冗余的。
基于SAN 的备份恢复、灾难恢复等多种解决方案
目前具有多种基于SAN 架构的解决方案,比较典型的是包括远程冗余解决方案和零停机时间备份。它可以通过异地远程的两台阵列实现数据的同步,独立于操作系统和应用,一旦某地的系统出现问题,可以很快地切换到异地,保证系统的应用。数据的备份和恢复也是一个数据密集型访问的应用,如果基于LAN,要占用大量的带宽,前台响应将极为缓慢,因此,在SAN 的架构下,可以实现LAN-free 的备份解决方案,Severless 的备份解决方案和零停机时间的备份解决方案。
当采用存储区域网络(SAN)标准对分布式的IT 环境进行存储整合后,可以使用户获取直接的投资回报及诸多的经济效益。
存储系统组成
图 8 6 存储系统组成
SAN交换机
在弹性的Fabric模型之中, 两个或更多交换机将位于Fabric 的中心(核心节点), 这些交换机用于与其他交换机(边缘节点)相互连接。 位于核心的交换机被看做核心而其他与之相连的交换机被看做边缘节点。 存储设备与服务器连接于边缘交换机的空闲端口。
一级存储
对于公司的关键业务支撑系统,应当选择最高水平的存储设备,作为核心数据载体。原因有:
企业核心财富在于企业的数据,任何设备都可以从其它厂商获得,而企业的数据是不可再生的,因此采用高可靠、高性能的存储就非常关键。
通常企业的主机都采用了集群技术作热备份,共用一个存储设备,而一旦存储不可用,主机系统再可靠也没有意义,因此,要求存储设备的可靠性高于主机,在存储系统中建议采用更多的可靠性设计。
由于存储系统采用机械方式工作,IT 系统的瓶颈通常都在存储这一端,因此,提高存储系统的性能对提高IT 系统的整体性能贡献很大。
对于未来容灾的考虑。高端的磁盘阵列一般在容灾方面又较好的支持。
从理论上看,存储系统的容量增加会远快于主机处理能力的增加,即使主机处理能力不变,每天都会有大量新的数据产生。很多企业都面临着存储容量控制、存储管理的问题,因此需要充份考虑未来系统的可扩展性和管理软件的功能。
二级存储
一般建议:
用于查询性能要求不高的在线数据存储, 以及一级存储的高速数据恢复
形成集中的测试开发存储环境
采用业界中端的高性能、大容量磁盘阵列
备份设计
备份方式的选择
当存储系统整合在逻辑上集中的磁盘阵列中后,为了确保数据的一致性和完整性,需要同时建立集中的数据备份系统,采用自动化备份磁带库,通过光纤通道连接到SAN 存储区域网中,实现大量关键数据LAN Free 的备份与恢复解决方案。
传统的备份模式,由于是通过网络在特定的备份时间里大规模的传输备份数据,网络带宽将被大大占用,而LAN 网络协议本身并不是为高流量数据传输而设计的。SAN 光纤技术的诞生就是为了适应数据中心高流量数据传输的需要,因此在完成了基于SAN 的数据集中存储后,应该充分利用SAN 的资源,搭建集中的备份系统。这种集中后的SAN 备份方案,能够很好的提高备份性能,磁带库易于被所有服务器共享,将繁忙的网络资源完全释放出来。在这种体系结构中,磁带库和磁盘阵列各自作为独立的光纤结点,备份时数据流直接从磁盘阵列传到磁带库内,备份的性能能够得到最佳的发挥。
基于SAN 的集中备份方式将提高整个系统数据保护的高可靠性、高性能、多平台互操作性、安全性和可扩展性。在SAN 备份的基础上,针对关键业务系统特殊的备份需求,可以进一步实施零停机的在线备份方案。
传统上利用磁带库进行数据备份和恢复的方法主要有两种:网络备份和直接连接备份。
网络备份模式需要使用一个专用的备份服务器。数据从目标主机通过网络传送到备份服务器然后再到和备份服务器直接相连的磁带库和磁带驱动器上。这种方法的主要缺陷是网络带宽经常会成为系统容量和性能的瓶颈;而且通过主局域网进行备份往往也会给业务网络性能带来负面影响。
在直接连接备份模式中,磁带驱动器是直接连到要备份的每一个服务器。这种方法虽然提供了高性能的磁带存储,但磁带库中磁带驱动器的数量是有限的,这就限制了所能备份的服务器的数量与数据容量;而且因为每个磁带驱动器是专门配属给某一个服务器的,当那个服务器不使用其专用磁带驱动器时,其他服务器也不能使用,这也造成了大量的资源浪费。
拥有可靠的备份和恢复方案是建立集中存储数据中心的目标,但可靠性仅仅是问题的一小部分。实际上,随着信息管理环境的扩展,系统对数据备份和恢复功能提出了新的要求。备份与恢复解决方案不仅必须具有可靠性,还应当满足电子业务时代用户对高可用性、可管理性和性能的要求。如果用户在备份过程中无法使用数据, 备份时间过长,那么损失将是巨大的。数据必须具有全天24 小时的可访问性,同时任何时候都必须受到最佳保护。
SAN 备份是从前面两种模式演化而来的。它充分结合了网络备份模式共享磁带驱动器和磁带库以及直接连接模式高速访问的优点。凭借在存储和服务器环境上丰富的专业知识和技术,推荐基于SAN 的备份解决方案,其结构如下图所示。
图 8 7 SAN备份模式
在SAN 备份模式中,磁带驱动器和磁带库通过一个高速光纤通道网络连接到各个主机。每个主机可以看到一个似乎是其专用的磁带驱动器。安装在每个主机上的备份软件管理着对磁带驱动器的访问,将来自多个主机的备份任务按顺序放入可用的磁带驱动器池。
高速的光纤连接将大大提高备份速度,利用SAN 的环境将磁盘阵列系统与磁带库系统很好的结合在一起,因此可以满足SAN 环境中各个应用与业务系统的不同的备份需求。而对于未来系统扩充后备份要求的进一步提升,利用SAN 的开放性,也可以很容易的直接添加新的备份设备。
零停机备份
基于SAN 的备份方式将极大地提高了整个系统的备份性能和数据安全性。对于企业的某些核心业务应用系统来说,和备份系统同时共享同一套数据库系统,在备份时,前端用户的访问性能会受到影响。而对于这些核心业务来说,应尽可能的避免任何干扰。
零停机备份与恢复解决方案是通过采用全面的数据镜像-分割备份,该操作允许将生产环境与备份和恢复环境分开,从而为最关键的业务应用提供了停机时间为零且不影响操作的数据保护。
备份策略与备份
备份策略介绍
为了构建一个良好的备份系统,除了需要配备有好的软硬件产品之外,更需要有良好的备份策略和管理规划来进行保证。备份策略的选择,要统筹考虑需备份的总数据量,线路带宽、数据吞吐量、时间窗口以及对恢复时间的要求等因素。目前的备份策略主要有全量备份、增量备份和差分备份。全量备份所需时间最长,但恢复时间最短,操作最方便,当系统中数据量不大时,采用全量备份最可靠。增量备份和差分备份所需的备份介质和备份时间都较全量备份少,但是数据恢复麻烦。
根据不同业务对数据备份的时间窗口和灾难恢复的要求,可以选择不同的备份方式,亦可以将这几种备份方式进行组合应用,以得到更好的备份效果。
全量备份(Full Backup) 所谓全量备份,就是对整个系统包括系统文件和应用数据进行的完全备份。这种备份方式的优点是数据恢复所需时间短。缺点是备份数据中有大量内容是重复的,这些重复的数据浪费了大量的磁带空间,无形中增加了数据备份的成本;再者,由于需要备份的数据量相当大,因此备份所需时间相对较长。
增量备份(Incremental Backup) 增量备份指每次备份的数据只是相当于上一次备份后增加的和修改过的数据。这种备份的优点很明显:没有重复的备份数据,节省磁带空间,又缩短了备份时间。但它的缺点在于当发生灾难时,恢复数据比较麻烦,需进行多次数据恢复才能恢复至最新的数据状态。
差分备份(Differential Backup) 差分备份就是每次备份的数据是相对于上一次全量备份之后新增加的和修改过的数据。差分备份无需每次都做系统完全备份,因此备份所需时间短,并节省磁带空间;另外,差分备份的灾难恢复也很方便,系统管理员只需两次备份数据,即全量备份的数据磁带与发生灾难前一天的备份数据磁带,就可以将系统完全恢复。
备份策略包括两个部分,一、操作系统和应用程序代码的备份策略,二、业务数据的备份策略。操作系统和应用程序代码的备份策略比较简单,一般可先对所有系统做一次全备份,然后每周对关键系统做一次全备份;此外,每台机器做过软件安装或系统升级后,应立刻做一次全量备份。
当操作系统和应用程序代码出现故障时,将全量备份的数据按照相应的办法恢复即可。
业务数据的日常备份策略可按如下制订:
每周在访问量比较小的时候做一次全量备份;
每天对业务数据做一次差分备份或增量备份;
每次业务数据做大幅度调整后应立即做一次全备份。
订制备份时间及备份方式
根据业务现状和系统环境,存储系统管理员在每天的夜间进行数据的增量备份;每周的星期日进行一次数据库的全备份。
每天增量备份的好处是减少了备份时间,提高了备份速度,可对每天的增量数据管理。将备份操作安排在夜间进行主要是因为夜间业务量相对较少,可以尽可能减少备份操作对业务系统的影响,如占用数据库服务器CPU,内存等系统资源。
每周全备份的好处是保存了所有数据,当发生系统灾难时,可以在最短的时间内完全恢复所有数据。
数据备份恢复流程
日常备份操作由备份系统自动完成,操作人员按照要求在备份服务器上制定备份策略,全存储区域网的备份由备份服务器统一管理。各客户端可以自行手工启动备份。备份服务器的数据(文件和数据库资料)直接进入磁带库,各客户端的资料由网络传到备份主服务器,进入带库,提高备份质量、保证数据安全。 在系统故障等需要进行数据恢复的情况下,由系统管理人员启动恢复进程,对数据进行恢复。
数据库的备份和恢复
在业务服务器上配备备份管理软件的数据库备份模块Online Backup Module,从而能够对数据库进行在线并行备份,数据库的备份在每次全备份时间超过两小时的情况下,应采用全备份与增量备份相结合的策略,每天进行增量备份、每周进行全备份。备份数据量很小时,可以采用每日全备份的方式进行,这样具有很高的可靠性和数据一致性。数据库的恢复可以达到实时恢复的能力。
数据库系统恢复时,由于备份的数据库保留了逻辑日志,因此可以恢复所有记录。一般情况,先恢复全备份,再恢复增量备份部分。
网络架构设计
网络整体设计
业务视角
数据中心建设的目标,是为了将应用、数据、服务器和存储设备等集中管理,减少IT 基础设施和应用系统的重复建设,有效降低维护成本,改进软硬件性能,并通过统一的备份和灾难恢复机制来增强可靠性和可用性。
网络系统作为数据传输的基础架构,必须为应用系统提供性能优异的数据传输通道,为应用系统的数据采集、数据交换提供高效、安全、可靠的连接。
数据中心的局域网将与DCN 骨干网络相连接,从而可以为全省各个地市州提供业务运营支撑和管理支撑。同时,还将和银行、邮政等外部系统建立连接,完成缴费,话费通知等业务。
技术视角
数据中心将来需要承载BSS, OSS, MSS 等核心应用,网络系统必须在性能、可靠性、安全性、管理性、扩展性等方面满足应用的需求。
中心局域网采用千兆以太网设计,核心交换机和核心路由器都支持千兆联接。服务器和核心交换机之间也采用千兆联接。
所有核心设备都采用双机热备,互为冗余的方式,防止单点故障的发生。交换机和交换机之间、服务器和交换机之间均采用双链路联接,防止单条链路或设备故障的发生。核心设备的关键部件(包括交换引擎、电源等)都必须具备冗余,以提高设备的可靠性。
网络系统必须具备足够的安全性,核心设备通过设置访问控制权限进行保护。核心网络和DCN网络之间通过千兆防火墙隔离,核心网络和外部网络之间通过百兆防火墙隔离。同时在千兆防火墙上制定严格灵活的访问策略,对可能出现的恶意攻击和入侵行为进行实时监测和自动防御。局域网中还应按照功能进行VLAN 的划分,通过VLAN 之间的隔离和对访问权限的控制对关键应用系统提供保护。
采用网管软件对整个网络进行管理,包括设备管理,网络性能检测,网络故障诊断等。
网络系统要具备良好的扩展性,随着应用的扩容能够通过添加设备或模块的方式实现无缝扩展,网络结构无需变化。
工程视角
根据数据中心中各个应用的功能,任务及性能要求,结合数据中心网络环境的具体情况,整个网络系统可以分成三个层次:SAN 存储层,核心网络层,汇接网络层。
SAN 存储层主要由光纤交换机和大容量存储设备(包含磁盘阵列和磁带库)组成,为服务器群提供稳定,高速,可靠的存储网络。同时,SAN 存储层还包含生产中心与灾备中心之间进行数据复制的光纤链路和DWDM 设备
核心网络层是整个局域网的骨干,负责为整个网络提供高性能和可扩展性,承担网络的主要交换功能,每秒将百万级以上的数据包从汇接网络层设备转发到服务器群或从服务器发送到汇接网络层设备。同时,核心网络层的结构还决定着整个网络在逻辑拓扑上的可扩展性和通信能力(包括速率)上的可扩充性。
汇接网络层主要由从核心网络向外连接的路由设备组成,其主要功能是负责将各个地域和各种类型的业务流聚集成更高速的数据流,送入核心网络层进行转发。包括连接DCN 网络的核心交换机,连接银行等外部系统的路由器等。
网络整体设计
企业数据中心建设的目标,是为了将应用、数据、服务器和存储设备等集中管理,减少IT 基础设施和应用系统的重复建设,有效降低维护成本,改进软硬件性能,并通过统一的备份和灾难恢复机制来增强可靠性和可用性。
数据中心将来需要承载BSS, OSS, MSS等核心应用,网络系统必须在性能、可靠性、安全性、管理性、扩展性等方面满足应用的需求。
网络系统作为数据传输的基础架构,必须为应用系统提供性能优异的数据传输通道,为应用系统的数据采集、数据交换提供高效、安全、可靠的连接。
图 8 8 网络整体设计
数据中心的局域网将与中国联通全国DCN 骨干网络相连接,从而可以为全国各省、区公司提供业务运营支撑和管理支撑。同时,还将和银行、邮政及其它第三方的外部系统建立连接,完成缴费,话费通知和其它增值业务。
建立数据中心的异地容灾中心,通过系统和数据备份以及容灾设计,在发生IT系统灾难时提供业务连续性保障。
网络拓扑架构
数据中心局域网采用千兆以太网设计,核心交换机和核心路由器都支持千兆联接。服务器和核心交换机之间也采用千兆联接。
所有核心设备都采用双机热备,互为冗余的方式,防止单点故障的发生。交换机和交换机之间、服务器和交换机之间均采用双链路联接,防止单条链路或设备故障的发生。核心设备的关键部件(包括交换引擎、电源等)都必须具备冗余,以提高设备的可靠性。
网络系统必须具备足够的安全性,核心设备通过设置访问控制权限进行保护。核心网络和DCN网络之间通过千兆防火墙隔离,核心网络和外部网络之间通过百兆防火墙隔离。同时在千兆防火墙上制定严格灵活的访问策略,对可能出现的恶意攻击和入侵行为进行实时监测和自动防御。局域网中还应按照功能进行VLAN 的划分,通过VLAN之间的隔离和对访问权限的控制对关键应用系统提供保护。
采用网管软件对整个网络进行管理,包括设备管理,网络性能检测,网络故障诊断等。
网络系统要具备良好的扩展性,随着应用的扩容能够通过添加设备或模块的方式实现无缝扩展,网络结构无需变化。
根据企业数据中心中各个应用的功能,任务及性能要求,结合网络环境的具体情况,整个数据中心网络系统可以分成三个层次:SAN 存储层,核心网络层,汇接网络层。
SAN 存储层主要由光纤交换机和大容量存储设备(包含磁盘阵列和磁带库)组成,为服务器群提供稳定,高速,可靠的存储网络。同时,SAN 存储层还包含生产中心与灾备中心之间进行数据复制的光纤链路和DWDM设备
核心网络层
核心网络层是整个数据中心局域网的骨干,负责为整个网络提供高性能和可扩展性,承担网络的主要交换功能,每秒将百万级以上的数据包从汇接网络层设备转发到服务器群或从服务器发送到汇接网络层设备。同时,核心网络层的结构还决定着整个网络在逻辑拓扑上的可扩展性和通信能力(包括速率)上的可扩充性。
汇接网络层
汇接网络层主要由从核心网络向外连接的路由设备组成,其主要功能是负责将各个地域和各种类型的业务流聚集成更高速的数据流,送入核心网络层进行转发。包括连接DCN 网络的核心交换机,连接银行和SP等外部系统的路由器等。所有业务系统的局域网络都通过汇接网络层接入核心网。
汇接网络层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
SAN 存储层
存储系统的建设是中国联通数据中心建设的一个重点。由于海量的数据需求,需要企业选择一种扩展性好、效率高和安全可靠的存储方案。存储区域网络(SAN)是存储系统的一种主要的建设方式。
随着新的存储连接技术如光纤通道(Fiber Channel)等的成熟而逐渐发展起来的存储区域网(Storage Area Network,即SAN)技术,提供了比传统存储模式更好的适应性和可用性,更强的集成管理能力和更优的性能,而且其开放架构受到众多存储设备厂家和网络公司的支持,被认为是最佳的存储方案选择。
图 8 9 SAN存储架构
多个服务器主机通过光纤接口设备连接到光纤互连设备,而光通道的互连设备又通过光纤与多个光纤接口的磁盘设备或磁带库设备相连。这种存储网络的直接结果是:主机系统与存储设备均可以双向灵活扩展,整个系统可以形成存储共享的有机整体。同时,光纤的通道又为数据访问提供了单通道200MB/S的访问能力,大大高于传统的SCSI技术所提供的通道能力。
在中国联通数据中心SAN存储架构中,整个系统有大量数据的存取需求时,数据完全可以通过SAN网络在相关服务器和后台的存储设备之间高速传输,对于LAN的带宽占用几乎为零,并且极少占用主机的资源(光纤接口相对于传统SCSI接口具有绝对的优势)。而且服务器可以访问SAN上的任何一个存储设备,提高了数据的可用性。
SAN对于数据中心的优势主要体现在:
集中式管理:分布式的设备,包括主机系统、存储系统、交换机和光纤适配器等等,均可以集中管理。整个系统的数据备份和恢复工作也可以统一集中控制, 确保了数据的安全性。
企业级备份:备份程序得到简化,磁带子系统可以被多个主机服务器所共享,而且备份时不会占用局域网LAN带宽,即所谓LAN-Free备份。而业务数据容量通常比较大, LAN-Free的备份使整个系统不会被阻塞。
高可用性和灾难恢复:可以在多台服务器和存储设备上建立任意两点间的连接。能形成一个被多个服务器通过多条路径访问的共享存储池,从而导致了更高的可用性,保证业务不间断。
数据共享:分布式服务器可以访问一个大的集中管理的存储子系统来运行各种数据共享应用。
旧有设备投资保护:通过组成高可用性能的SAN存储架构,可用大大提高旧有设备的数据的安全级别,保障在基本上不增加大量投资的前提下,继续适应原有的设备。
多平台支持:能迅速、方便地建立、整合和管理其多平台的存储环境,对异构存储局域网拥有无限的扩展能力、管理能力和百分之一百的可用性。
广域网链接
中国联通DCN
在未来的IT系统规划中,维护、管理、计费的统一和融合,实现基于业务、用户、服务质量等多重因素的统一的运营支撑系统。关键业务的集中使得各个网络之间纵向互连以及网络之间的横行访问的系统会越来越多,而且对带宽以及网络稳定性方面的需求也逐渐增强。因此需要整合现有网络传输平台,利用现代数据通信技术规划组织的可统一管理调度的专用数据通信网络(DCN),作为支撑系统的统一网络平台,并进行统一管理和控制。N形成从总部到省分、到地市、到县区的支撑系统承载平台,支撑全国级、区域级或者省分级应用系统。
在从总部到省分的统一DCN平台上,按照系统形成BSS、MSS、OSS三个逻辑平面,在开放的业务平台上,能够实现业务的统一开发和控制。各平面相对独立地对路由策略、访问控制等进行规范管理。
数据中心与DCN网的链接
企业数据中心将成为BSS、OSS、MSS系统的中心机房,实现应用集中、数据集中和管理集中。
数据中心内部
中国联通总部数据中心和省分数据中心内部,BSS、OSS、MSS系统集中部署在数据中心,实现应用集中、数据集中和管理集中。
总部数据中心和省分数据中心将通过DCN进行连接。BSS、OSS、MSS三个平面之间将遵循隔离原则,仅根据业务需求允许特定的数据访问。因此,在数据中心内部,BSS、OSS、MSS各个系统之间将基于业务需求制定数据访问策略,遵循严格的访问控制,并利用局域网技术进行隔离和访问控制。
在局域网范围内,网络的VLAN 划分十分重要。如果没有划分VLAN,在通常情况下,当一个网段中的机器数目超过50 时,很容易在网络中引起广播风暴,会造成网络性能的急剧下降,同时许多用途的机器同处于一个网段中,存在较多的安全隐患。通过划分VLAN 可以很大程度的增强网络安全性,提高网络的整体性能。
在数据中心的网络架构设计中,可以在数据中心的局域网内部采用VLAN的方式,对各个应用的服务器网段进行隔离,并根据业务需求设定网段之间的访问控制策略。为保证各系统的隔离,各级传输平台路由器为不同系统划分不同的子端口,各子端口设置自己的路由;传输平台局域网交换机对不同的系统划分VLAN并与传输平台路由器的子端口对应以实现各系统的独立传输。
在数据中心内部,不同的应用服务器位于同一局域网中,可以使用VLAN进行隔离并采用访问控制列表实现访问控制。在核心交换机的第三层路由模块上对VLAN 的权限进行控制,设置相应的控制列表,可以实现不同的VLAN 对不同的服务器具有相应不同的访问权限。在核心交换机前端部署防火墙,可以对任何一个VLAN 的访问实行访问控制。
业务系统通过DCN连接
中国联通各个业务系统之间的安全传输可以通过MPLS VPN技术实现,实现各业务之间的真正隔离,为各业务提供安全的通信平台。
总部和省分的业务应用系统将通过构建在DCN之上的系统传输通道(如MPLS VPN)进行连接。在业务应用系统内部的总部与省分之间、省分与地市之间,需要按照业务需求制定访问控制策略,并进行协议类型和流量的控制。
MPLS(Multiprotocol Label Switching)即多协议标记交换。MPLS是属于第三层交换技术,引入了基于标记的机制,它把选路和转发分开,由标签来规定一个分组通过网络的路径。标签作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径沿途通过交换标签(而不是看IP 包头)来实现转发;当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。
MPLS的一个重要应用是VPN,通过在内部专用网络上建立隧道,并使用隧道作为传输通道,使各VLAN之间在逻辑上相互隔离,从而实现用户内部网络各VLAN之间的安全互联。采用MPLS VPN实现业务之间的隔离,业务VPN之外的用户无法攻击VPN内部的网络。MPLS VPN还可以和现有的各种安全技术(如IPSec等)无缝配合,实现数据传输安全。基于三层的路由隔离的MPLS VPN,利用BGP扩展协议自动扩散VPN成员信息,适用于广域网、城域网及其它规模比较大的网络。
在中国联通IT架构网络规划中,业务是从总部到省、市的垂直管理,建议采用MPLS VPN技术建立各个业务VPN,例如计费VPN、网管VPN、OA VPN等,实现各个业务之间整体上的业务隔离。对于业务之间的互访或者数据共享需求,可以在各个业务中设置数据共享区,配置为专门的共享VPN,从而实现限定范围的、安全的业务互访和数据共享。
每个数据中心都拥有相应的容灾中心,数据中心将和容灾中心都通过核心路由器连接到DCN 网络,实现数据采集和管理。在数据中心(容灾中心)网络架构中,利用防火墙把核心层关键服务器区同DCN网隔离,在防火墙上实施一定的安全策略,提供适当的访问控制,保证关键服务器区的安全性。
DCN与外网的链接
第三方连接网络是指业务操作的流程中,需要与第三方进行数据上的读取,而建立的数据通讯网络链路,主要包括与银行、邮局、SP等应用系统的接入。
原则上,只允许在省分节点提供外网对DCN网的访问,即所有外网(包括各地市第三方网络)对DCN网的访问只能通过省级节点进行。这样就可以减少数据中心与外网/外单位的连接,并通过对外网连接点利用防火墙、入侵检测等工具进行严格的安全控制和安全监控,以确保全省DCN的安全。
对于在地市层面存在第三方接入DCN的需求而无法使用省连接点的情况,需要接入申请方提供安全解决方案,并按照中国联通业务安全接入相关的策略和流程,经过严格的审批、测试之后,才允许接入DCN。
网络管理
随着数据中心网络系统的建成和将来网络应用水平的不断提高,网络的维护将成为网络管理的重要问题之一,例如排除网络故障困难、维护成本上升等,这就需要通过建立网络管理系统来解决这些难题。另一方面网络的性能成为日益关注的重点,一般的方法是通过增强网络的静态配置来提高性能,例如增强网络服务器的处理能力,采用高速局域网、网络交换等技术扩展网络带宽等;实际上,利用网络管理系统对运行中的网络进行统计、监控和分析,并以此为依据,采用划分网段、负载平衡等动态措施更能有效地提高网络的性能。
对于本网络系统平台来说,有核心层、汇聚层等各个层次。有核心交换机、接入交换机,核心路由器、边界路由器,千兆防火墙、百兆防火墙爱等网络设备。对于如此复杂的环境,如果没有一个有效而集中的工具进行管理,势必带来管理的分散、混乱和管理工作的难度。因此需要一套工具来克服这些复杂性,从而经济有效地控制、管理整个网络中的网络设备。
网络管理包括:配置管理、性能管理、故障管理、安全管理和记帐管理。
配置管理:
配置管理的目的在于随时了解网络系统的拓扑结构,网络节点的状态,包括连接前静态设定的和连接后动态更新的状态。配置管理包括客体管理、状态管理和关系管理等三个方面。
性能管理:
性能管理包括工作负荷监测、概要功能、软件管理功能和时间管理等功能。
故障管理:
故障管理负责在系统运行时对异常情况的检测、隔离和更正。故障管理包括警报告管理、事件报告管理、日志控制功能、测试管理功能等几个方面。
安全管理:
安全管理包括安全特性的管理和确保管理信息的安全。
计帐管理:
计帐管理的目的是使服务提供者提供一致的方式表示、记录和报告计费信息,并且能和其他服务提供者交换计费信息。
网络安全设计
数据中心局域网的网络安全至关重要。
在中国联通IT架构的网络层安全中,主要利用VLAN或者MPLS VPN实现网络和业务的安全隔离,使用防火墙系统实现网络层的安全访问控制。
参见“安全架构”中的“网络安全”一节。
容灾架构
容灾建设目标及原则
容灾建设目标
数据是现代企业正常运转的重要依据和企业发展的宝贵资源。如何确保数据安全成为了企业是否具有核心竞争力的体现。对电信行业来说更是如此。当企业因为信息化带来快捷的服务决策和方便管理时,也必须面对着数据丢失的危险。数据的丢失会中断企业正常的商务运行,造成巨大的经济损失。电信业的大部分业务必须依赖于数据处理。数据是否安全成为了电信的命脉。如果没有了数据,电信业务将全部处于瘫痪状态。如果电信的计算机系统非正常停止运转,除了造成巨大的经济损失外,更为重要的是,有可能会失去用户的信任以及一系列赖以生存发展的市场。
从广义上讲,任何提高系统可用性的努力,都可称之为容灾, 比如说本地主机集群,当某台主机出现故障,不能正常工作时,其他的主机可以替代该主机,继续进行正常的工作;另外还有本地的数据备份系统(磁盘冗余或磁带备份),可以帮助在生产系统中数据出现故障的时候迅速从备份介质中恢复正确的数据。平时讲到容灾,尤其是值得重视的容灾,一般来说都是远程容灾。
所谓远程容灾,是指在企业的IT系统中必然有一部分(尤其核心部分)是非常重要的,一般叫它生产中心,人们往往给生产中心配备一个容灾中心,该容灾中心是远程的,与生产中心在物理上是分开的。在生产中心内部,已经实施了各种各样的数据保护。但不管怎么保护,当火灾、地震这种灾难发生时,一旦生产中心瘫痪了,容灾中心会接管生产,继续提供网络服务。在生产中心和容灾中心之间,有一个同步的数据对应关系,以保证生产中心有的信息,容灾中心也有。
本地数据备份,只是指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程;而异地数据同步,是指将生产中心的数据通过某种方式同步至备份中心的介质上,它是一切容灾系统的基础。本地数据备份的目的在于保障系统的高可用性,即操作失误或系统故障发生后,能够保障系统的正常运行;异地数据备份, 则是在生产中心发生严重故障的时候,保障数据能够在异地恢复。
建立容灾系统的目的不是备份,而是恢复。灾难恢复的成功与否决定着灾难袭击后公司的生存与否。不但将给企业带来巨大的经济损失,而且还会影响企业的声誉,降低企业的竞争力。其系统一般由生产系统、可接替运行的后备系统、数据备份系统、备用通信线路等部分组成。在正常生产和数据备份状态下,生产系统向备份系统传送需备份的数据。灾难发生后,当系统处于灾难恢复状态时,备份系统将接替生产系统继续运行。此时重要营业终端用户将从生产主机切换到备份中心主机,继续对外营业。对于电信行业来说,其关键业务应用,如计费系统,客户服务系统,运营帐务系统等,必须要防范地震、火灾等自然灾难, 保持业务运行的连续性。
总而言之,建立数据备份和容灾方案的目的是使企业:
具备具备应付各种灾难特别是区域性与毁灭性灾难的能力;
具备较为完善的数据保护与灾难恢复功能;
保证灾难降临时数据的完整性及业务的连续性,并在最短时间内恢复业务系统的正常运行,将损失降到最小。
容灾技术原则
备份容灾系统,是通过多种技术和管理手段相互配合、集成实现的。它必须符合各省分公司的业务需求,并紧密结合现有的系统环境。在进行容灾技术选择时,首先需要明确该技术在备份容灾系统中的作用,它实现的功能,以及这些功能需要系统其它部分怎样的配合。在进行技术选择时,应参考下面的基本原则:
成熟稳定
容灾技术本身应当十分成熟、稳定;经过大量实际生产环境的验证;容灾技术本身不能成为新的系统安全隐患。
可扩展性和集成能力
选择的容灾技术,应当符合备份容灾系统分步建设的建设原则,系统规模、范围和功能可以逐步扩大,并可和新技术良好集成。
开放性
系统应遵循行业的标准或建议,采用标准的、开放性的技术。
相对透明
备份容灾系统应该是一个相对独立的系统。部署备份容灾系统应当尽量不对生产系统做大的变更。它应当是一个相对独立的技术,不干扰生产系统运行;生产系统的变更, 同样应尽量不影响备份容灾系统的结构和运行。
容灾建设原则
在设计容灾系统的过程中,除技术因素外必须全面考虑风险控制、可实施性等各个方面,建议遵循简单、有效、可靠、自动、应用无关性的前提下,确保核心业务系统的稳定、可靠运行,进而实现容灾系统的建设。
可持续发展
联通备份容灾系统的建设要充分考虑技术方案的实用和先进,系统架构的可持续发展。技术方案的实用和先进才能延长系统的生命周期,系统架构的可持续发展才能充分支持联通业务系统发展的要求。
平滑过渡
联通备份容灾系统的建设应当充分考虑现有系统的状况,保证支撑系统的正常业务支撑。联通备份容灾系统的系统功能,可以逐步分阶段实现,充分体现平滑过渡。
综合利用节约投资
从经济角度考虑,最佳的容灾解决方案不一定是最适用的容灾解决方案,如何选择一个适合不同系统业务要求,性价比好的解决方案是备份容灾建设中需要考虑的一个重要方面。同时由于备份容灾系统的启用概率很低,如何合理的综合利用备份容灾系统设备在备份容灾的建设中必须加以考虑。从运营方式来说,可以划分为主备中心和双中心两种模式。主备中心运营方式下备中心可承担辅助生产任务。生产中心承担主要生产任务,容灾中心主要承担容灾功能或仅承担辅助生产任务功能,如:承担软件开发、性能测试、个性化统计或临时的统计分析功能,或用于一些对运营时效性影响不大的系统, 比如经营分析系统/决策分析系统,此种运营方式称为“主备中心”运营方式。 对于“主备中心”运营方式中容灾中心的综合利用,应考虑现有系统架构,移植成本,新架构投资对比,以及系统性能和维护成本等因素,采取因地制宜原则的原则,制订具体方案。 而在双中心下,两中心均承担生产任务,管理上由省分集中管理。生产中心和容灾中心均承担生产任务,两中心负荷分担,互为容灾,任务分割可按照系统功能域或地域划分。此种运营方式简称为“双中心”运营方式。 对这两种模式可以从设备投资分析、资源利用率分析、应用软件设计分析、人员组织、管理维护分析等方面进行对比。
容灾系统综述
灾难的定义
系统灾难是指IT系统发生重要业务数据丢失或者使业务系统停顿过长时间(不可忍受)的事故。可能引发系统灾难的因素包括:
系统软、硬件故障,如:软、硬件缺陷、数据库或其他关键应用发生问题、病毒、通信障碍等;
机房环境突发性事故,如:电源中断、建筑物倒塌、机房内火灾等;
人为因素,如:因管理不完善或工作人员操作不当、人为蓄意破坏、暴力事件等;
自然灾害:如火灾、地震、洪水等突发而且极具破坏性的事故。其特点是突发性、高破坏强度、大范围。在灾难性事故的影响下,计算中心机房的硬件设备会部分或完全损坏,造成业务的停顿。
灾难恢复指标
灾难恢复就是在IT系统发生系统灾难后,为降低灾难发生后造成的损失,重新组织系统运行,从而保证业务连续性。其目标包括:
保护数据的完整性、一致性,使业务数据损失最少;
快速恢复业务系统运行,保持业务的连续性。
灾难恢复的目标一般采用RPO和RTO两个指标衡量。
恢复时间指标
恢复时间目标(Recovery Time Objective- RTO)是业务系统发生故障而造成业务中断后业务能够容忍的停顿时间。一般来说,恢复时间(RTO)越短,那么灾难恢复方案的成本就越高,而由于灾难造成的业务损失就越小;反之,恢复时间(RTO)越长,灾难恢复方案的成本较低,而由于灾难造成的业务损失就较大。
恢复点指标
恢复点目标(Recovery Point Objective- RPO)是灾难发生后业务能够容忍的数据丢失量,确定信息数据必须在设定的RTO内恢复到哪个时间点的信息,以确保业务职能顺利运作,通常对RPO的支持水平用于衡量和数据恢复有关的业务连续性技术。一般来说,恢复数据目标越小,方案的成本越高,但是由于灾难造成的业务损失就越小;反之,恢复数据目标越大,方案的成本较低,但灾难造成的业务损失也较大。
容灾技术架构
容灾技术的理论级别
容灾技术方案的七个理论级别:7 Tiers for Disaster Recovery Solution,是指根据国际标准SHARE 78 的定义,容灾技术方案可以根据以下主要方面所达到的程度而分为七级,
备份/恢复的范围
灾难恢复计划的状态
应用站点与备援站点之间的距离
应用站点与备援站点之间是如何相互连接的
数据是怎样在两个站点之间传送的
允许有多少数据被丢失
怎样保证更新的数据在备援站点被更新
备援站点可以开始备援工作的能力
即从低到高有七种不同层次的灾难恢复解决方案。如下图所示,该七个理论级别的容灾的技术方案分别是:
图 8 10 容灾级别
Tier 1 - “卡车”运送访问方式
Tier 2 -卡车运送访问方式+热备份站点
Tier 3 - 电子链接方式
Tier 4 - 数据库镜像和日志方式
Tier 5 - 两点两阶段提交
Tier 6 - 无数据丢失
Tier 7 - 无数据丢失和应用自动切管
以上七个理论级别的容灾的技术方案的特点和区别,可以参照如下描述:
RTO
RPO
灾备中心
备份方式
数据更新/恢复
主机
Tier 1
72hrs 以上
24hrs
无
磁带
磁带
关机
Tier 2
24-72hrs
24hrs
专有的
磁带
磁带
关机
Tier 3
12-24hrs
文件级
专有的
电子
文件,定时的
活动
Tier 4
4-12hrs
日志级
专有的
电子
文件或日志,时间段
活动
Tier 5
< 60min
交易级
专有的
电子
数据,软件
活动
Tier 6
< 60min
交易级
专有的
电子
数据,系统/硬件
活动
Tier 7
< 60min
交易级
专有的
电子
数据,系统/硬件
活动
Tier 1 - PTAM“卡车”运送访问方式 (Pickup Truck Access Method)
Tier 1 的灾难恢复方案必须设计一个严格的数据备份方案,能够备份所需要的信息并将它递送存放在异地,然后根据恢复的具体需求,有选择地建立备份平台,但不提供数据处理的硬件。
PTAM 是一种被用于许多中心的备份的标准的方式,数据在完成写操作的一些时候,将会被送到远离本地的地方,同时准备有数据恢复的程序。在灾难发生后,一整套安装需要在一台未开启的计算机上重新完成。系统和数据可以被恢复并重新与网络相连。这种灾难恢复方案相对来说成本较低(仅仅需要传输工具的消耗以及存储设备的消耗)。但同时有这样的问题,那就是难于管理,即很难知道什么样的数据在什么样的地方。
Tier 2 - PTAM 卡车运送访问方式+备份站点 (PTAM + spare site)
Tier 2 相当于Tier 1 再加上备份中心能力的进一步的灾难恢复。热备份中心拥有足够的硬件和网络设备去支持关键应用的安装需求,这样的应用是十分的关键的,它必须在灾难发生的同时,在异地有与生产环境相类似的硬件提供支持。这种灾难恢复的方式依赖于PTAM 方法去将日常数据放入仓库,当灾难发生的时候,数据再被移动到一个备份的中心。虽然移动数据到一个备份中心增加了成本,但却明显降低了灾难恢复时间。
Tier 3 - 电子链接方式 (Electronic Vaulting)
Tier 3 是在Tier 2 的基础上用电子链路取代了卡车进行数据的传送的进一步的灾难恢复。接收方的硬件必须与主中心物理地相分离,在灾难发生后,存储的数据用于灾难恢复,由于热备份中心要保持持续运行,增加了成本。但消除了传输工具的需要,提高了灾难恢复速度。
Tier 4 - 数据库镜像和日志方式 (Batch/Online Database Shadowing & Journaling)
Tier 4 是在Tier3 的基础上,以数据库远程备份为基础。灾难恢复具有两个中心同时处于活动状态并管理彼此的备份数据,允许备份行动在任何一个方向发生。接收方硬件必须保证与另一方平台物理地分离,在这种情况下,工作负载可能在两个中心之间分享,中心1 成为中心2 的备份,反之亦然。在两个中心之间,彼此的在线关键数据的拷贝不停地相互传送着。在灾难发生时,需要的关键数据通过网络可迅速恢复,通过网络的切换,关键应用的恢复也可降低到小时级。
Tier 5 - 两点两阶段提交 (Two-Site Two-Phase Commit)
Tier 5 在Tier 4 的基础上管理着被选择的数据(根据单一commit 的范围在本地和远程数据库中同时更新数据),也就是说,在更新请求被认为是满意之前,Tier 5 需要生产中心与备份中心的数据都被更新。Tier5 为关键应用使用了双重在线存储,在灾难发生时,仅仅传送中的数据被丢失,恢复时间被降低到分钟级。
Tier 6 - 无数据丢失 (Zero Data Loss)
Tier 6 可以实现零数据丢失率,同时保证数据立即自动地被传输到恢复中心。Tier6 被认为是灾难恢复的相当高的理论级别,通过使用文件系统或存储硬件底层的数据同步/异步镜像功能,保证数据的实时一致性和完整性。
Tier 7 - 无数据丢失和应用自动切管 (Zero Data Loss + App Automatic takeover)
Tier 7 在Tier 6 的基础上,在本地和远程的所有数据被更新的同时,利用了双重在线活动的主机,备份数据和完全的网络切换能力,实现应用程序的实时监控和接管。Tier7 是灾难恢复中最昂贵的方式,但也是需人工干预最少,速度最快的恢复方式。
容灾数据复制方案
根据备份容灾系统的灾难恢复能力,可将备份容灾系统分为三类:数据级容灾、应用级容灾、业务级容灾。数据级别容灾的关注点在于数据,即灾难发生后可以确保用户原有的数据不会丢失或者遭到破坏。该级别灾难恢复时间较长,仍然存在风险,尽管用户原有数据没有丢失,但是应用会被中断,用户业务也被迫停止。数据级容灾较为基础,通常有以下几种方式。
数据复制方式
容灾数据复制方式有以下几种:
通过交易数据复制实现数据复制的方案
基于数据库数据复制实现数据复制方案
通过操作系统级软件工具实现数据复制方案
基于高端存储的数据复制方案
通过交易数据复制实现容灾的方案:
图 8 11 交易数据复制方式
通过对应用程序的修改,将主中心执行的业务操作在备份中心也执行一遍,从而实现主备中心数据的一致。
采用这种方案,优点是:
对主、备中心之间的数据传输带宽要求比较低,通常可以用低速网络,所以通常可以做到很远距离的容灾。
对存储设备没有特殊要求。
缺点是:通常需要修改应用。
基于数据库数据复制实现容灾
图 8 12 数据库数据复制方式
目前的主流数据库,如Oracle Sybase、Infomix、SQL Server 等都具有数据远程复制功能。可以从主中心数据库把数据发到备中心数据库。
这种数据备份方式优点有:
在实现单个数据库的远程备份时实现方便。
对通信带宽要求比较低。
缺点有:
保护的数据有限,只能保护数据库数据;
一旦发生灾难,丢失的数据量比较大,一般在几十兆~100 兆;
备份中心要求有专门的数据接收主机,操作系统的版本与生产机相同,维护较复杂;
对于IT 环境比较复杂的数据中心,如果采用基于数据库的容灾方式,当未来需要将更多的子系统纳入容灾环境时,就会遇到灵活性和扩展性的问题。
通过操作系统级软件工具实现容灾
图 8 13 操作系统软件数据复制方式
通过与UNIX 操作系统集成的远程镜像软件,如Mirror Disk/UX, Volume Replicator 及类似软件等,可以实现远程数据的同步或异步拷贝,它通过本地主机和远程主机的配合,由本地主机将写到本地存储的数据通过网络传送到远程,由远程主机镜像复制到远程数据中心的存储上,异步方式下容灾距离可以达到数千公里。
这种容灾方式的优点是:
与存储完全无关;
容灾距离远。
缺点是:
采用主机实现数据拷贝,占用主机CPU 资源较多,大约10%~30%左右。尤其是主机业务最繁忙时,数据复制任务也达到最繁忙,可能造成系统宕机;
对主、备中心之间的通讯线路的速度和质量要求很高;
备份中心要求有专门的数据接收主机,操作系统的版本与生产机相同,当主数据中心有多种类型主机时需要在备份中心也采购多台各种类型的主机;
数据的复制的安装实施需要在所有主机分别进行配置,当主机较多时,实施和维护的复杂度较高。而且系统维护难度大;
数据复制软件通常都具有兼容性问题,适用范围有限。
这种数据同步方式通常在小型特殊场合使用。
基于高端磁盘阵列数据复制的容灾方案
图 8 14 硬件数据复制方式
如果用户的磁盘阵列本身就具备容灾数据复制功能,那么就通常不会考虑前面的三种解决方案,磁盘容灾方案也是目前业内最流行、最成熟可靠的容灾解决方案。
一些高端磁盘阵列可以提供自动数据复制功能,生产中心的磁盘阵列可以自动将数据实时复制到备份中心的磁盘阵列。一旦生产中心发生故障,可以在备份中心启动应用服务器,保证业务处理的正常运行。
以上方案的优点是:
与主机无关,对应用完全透明。
实施和维护方便,数据一致性程度高。
可以实现双向数据拷贝,降低灾难后切换回主中心的停机时间。同时,可以通过配置对等节点的远程集群,将两个数据中心做成互为备份。
是目前最常用的容灾方案,金融、电信、制造业的大型数据中心,只要有高端磁盘阵列,一般都会考虑这种方案。
以上方案的缺点是:
需要采用价格昂贵的高端存储,两地存储必须采用同构模式。
同时,目前基于高端存储的数据同步技术还大多应用与同构的存储设备之间,对于异构设备间的数据交换,业界存在虚拟存储技术的探讨。虚拟存储技术是由虚拟存储系统的管理平台负责存储池内所有数据的管理,安装在虚拟存储管理平台上的数据复制软件,组成虚拟存储系统虚拟硬盘之间复制的容灾解决方案。虚拟存储与智能存储技术类似也可以通过同步、异步数据方式在实现数据一致性保护。虚拟存储容灾解决方案与存储子系统的类型和业务系统服务器的平台无关,具有较好的灵活性,适合作为多业务系统数据中心的容灾解决方案。
其主要优势集中在以下几个方面:
支持异构平台:虚拟存储技术消除了存在于异构存储设备之间的差异,能够允许不同的存储系统组成一个存储池,而不管这些存储资源所处的存储域的位置、大小、类型、制造商和连接方式如何,并把它们作为一个单一资源,从单一逻辑视图中进行管理。
支持存储硬件的自由扩展:基于虚拟存储可以使用标准的、现存的设备来产生高可用的、可升级的、高效能存储解决方案,这种解决方案允许企业通过虚拟技术充分利用来自任何供应商的资源。
按需定制容量:虚拟存储具有即时提供存储空间的功能。
备份容灾功能:通过虚拟存储平台上的数据复制软件完成数据的远程同步或异步的数据复制。
虚拟存储的成功案例目前还比较少。
以上方案的对比见下表:
容灾分类
数据复制方法
主机CPU
适用环境
描述
交易数据复制
中间件软件
<5%
异构主机
异构存储
对数据传输网络带宽要求低,需要修改应用。
数据库数据复制
数据库本身的复
制功能。
<5%
同构主机
异构存储
相同数据库
设备投资节省。灾难发生时会丢失较多数据,只能保护数据库内的数据,远程数据中心必须配置主机参与数据拷贝过程。
镜像软件复制
HP MirrorDisk/UX 等磁盘镜像软件。
~10%
同构主机异构存储
只支持同步方式,所以建议在10 公里范围内采用,采用DWDM 设备扩展后,可支持〈100 公里的距离。缺点是需要消耗主机CPU 资源,而且对通信质量要求高。
磁盘卷复制软件Volume Replicator 等。
10~30%
与磁盘镜像原理相同,但需要通过主机网络传输磁盘IO,大量占用主机带宽和CPU。不支持一些主机或数据库集群。
存储硬件级复制
高端磁盘阵列本身的远程数据拷
贝
无
异构主机同构存储
HP XP , EMC Sysmetrix, IBM Shark 系列同构存储之间的数据拷贝方式,光纤直连方式可以支持到数十公里,采用CNT 设备扩展后距离
不受限制。是采用较广的容灾方式,必须采用高端存储设备。
存储远程互联
主中心和容灾中心远程存储连接方式有三种:
为采用超长波GBIC,实现通过交换机互连。这种方案支持最多35 公里的光纤距离。如果存储采用两根光纤,主机LAN 采用两根光纤,则总共需要至少四根光纤。
为采用高密度分波多工(DWDM) 或粗波分复用(CWDM )设备连接。这种方案支持100 公里的连接距离,可以在1~2根物理光纤上,传输8 个逻辑通道,供存储SAN 或主机LAN 网使用。
为采用CNT边界路由器,将存储信号转换到高速IP 或ATM 链路上传输,一般建议采用40Mb/s 以上的带宽。该方式可以支持数千公里的容灾距离。
这三种方式各有优缺点:
超长波GBIC 单模光纤直连
DWDM 或CWDM
CNT边界路由器
传输距离
35 公里以内
100 公里以内
数千公里
传送时延
主要由两地距离决定。时延相对较小。
主要由两地距离决定。时延相对较小。
和链路带宽,距离,路由设备都有很大关系
对应用性能影响(同步方式下)
较少
较少
可能会有影响,看IP 链路情况
主机是否可以访问异地存储
可以
可以
可以
对链路要求
裸光纤
裸光纤
IP 链路
对链路的利用
不支持复用,需要较多裸光纤。也不支持和千兆网共用裸光纤
可以在裸光纤上开通多条 通道,供容灾的FC 连接以及千兆局域网连接使用。提高裸光纤的利用率
不需要占用裸光纤资源。可以利用ATM, E1/E3, 千兆网等多种网络资源。
案例情况
极少
较多
较少
数据同步方式的考虑
在生产中心和备份中心, 数据同步存在两种方式: 同步方式 vs 异步方式。
同步方式的原理是:
图 8 15 同步方式
如上图所示,本地IO 和远程IO 是串行执行,本地IO 需要等待远程IO 返回后,才返回服务器。同步方式会对主机性能有一定的影响。
异步数拷贝原理如下:
图 8 16 异步方式
同步和异步有以下区别:
同步可以保证主备中心数据完全一致,而异步则会在灾难时有少量数据丢失。
同步对主机I/O 性能有一定影响,视传输距离、方式而定。异步对主机性能的影响很小
同步数据复制,要求每个IO 都必须到远程绕一圈后才算结束,在以下方面存在性能瓶颈:
在非容灾状态,或异步情况下,主机只要写一个磁盘阵列的Cache 就算IO 结束了。而同步方式要求串联写两个磁盘阵列的Cache,才算IO 结束,单位IO时间长。
主、备中心之间,通常只有1~2 根光纤。同步方式下,这就相当于在高速的主机和存储间,放了一个非常窄的通道。这可能成为整个系统的瓶颈,配置高速磁盘阵列、支持大量主机接口、非常高的IOPS 值,等等,一切都不能充份发挥其能力。
主、备中心之间,有几十公里的距离,这又造成了系统延时,对性能的影响是明显的。
在高IO 负载的情况下,如果本地IO 不能即使传送到远方,即远程带宽小于本地带宽,同步复制会出现性能“拐点”,即“性能雪崩”,此时性能会急剧下降80%以上。
由于以上的原因,同步对系统性能产生明显影响,具体影响的程度,与应用状况、通信带宽、距离、系统架构等多方面因素相关,很难给出一个精确的计算结果。
对于业内主要的磁盘阵列厂商(HP、IBM、EMC),选用异步方式并不意味着放弃同步方式,而是同时具备了实现同步的能力;而定位于只采用同步则意味着无法实现异步。 因为对某些厂商而言,从同步升级到异步非常困难。容灾的实施是为了避免风险,而如果只有同步复制方式,则会带来更大的风险。一旦系统上线后,发现出现性能雪崩、或批处理时间大量延长、系统超高负荷,而此时升级到异步又非常困难,则整个容灾项目就会失败。
容灾应用切换方案
应用级容灾是在数据级容灾的基础上,再把执行应用处理能力复制一份,也就是说,在备份站点同样构建一套应用系统。应用级容灾系统能提供不间断的应用服务,让用户应用的服务请求能够透明地继续运行,而感受不到灾难的发生,保证信息系统提供的服务完整、可靠、安全。一般来说,应用级容灾系统需要通过更复杂的软硬件配置才能实现,它可以使企业的多种应用在灾难发生时进行快速切换,确保业务的连续性。
容灾站点应用架构分类
对于异地容灾中心, 其应用架构可以分为以下三类:
冷站备份:具有计算机设施所需的电子和物理部件但是没有装备计算机设备的备份设施。这种站点在用户不得不将其主要计算地点移至备用站点的事件中做好接收更换设备的准备,在发生故障时需要临时安装必要的软件和加载数据。此种架构可满足RTO在24小时以上的应用系统需求,投资较低, 维护简单。
温站备份:在重大中断事件中支持重新配置IT 运行、配备了部分IT 和电信设备、环境得到调节的工作场所。站点拥有完全配置的计算机硬件、软件和同步数据,一旦发生灾难,通过人工干预实现切换到备份站点,服务器投入工作。此种架构可以满足RTO在1~24小时的应用系统需求,投资较高,维护比较复杂。
热站备份: 装备有硬件和系统软件用于灾难事件的完全可以运行的离站数据处理设施。站点拥有完全配置的计算机硬件、软件和同步数据,通过远程集群实现容灾,一旦出现服务故障则可快速进行切换。此种架构可以满足RTO在1小时以内的应用系统需求,投资高,维护复杂。
网络恢复方案
在应用级容灾中, 网络恢复技术方案主要有以下四种:
域名服务器(DNS)
图 8 17 域名服务器网络恢复方案
所有的应用需根据主机名来访问,而不是直接根据主机的IP 地址来访问。在所有的客户端端上设置2 个域名解析服务器,一主一备。如果客户端采用DHCP 服务器分配IP 地址,只需在DHCP 服务器上增加备份的域名解析服务器记录就可以了。
生产中心和灾备中心各自安排一台域名解析 服务器,负责所有主机的域名解析。在任何情况下,主域名解析服务器的内容都是和备份域名解析服务器的内容保持完全同步。
当出现中断,决定将某些业务应用从生产中心切换到灾备中心时,需要在主备2 台服务器上进行相应的配置文件修改,并重新启动域名解析应用,使之生效。
注:当客户端将名字解析为IP 地址后,一般来说这个对应关系会在本地的缓存里保存一段时间,在这段时间内,如果需要再次访问这个主机,则不重新向域名解析服务器发送请求,而代之以本地缓存 里的信息。所以,采用这种方式要合理设置域名解析服务器上的超时参数,以免在灾难发生后的很长一段时间内,服务器仍试图向原主机发送业务请求。
路由+地址转换
图 8 18 路由+地址转换网络恢复方案
在灾备中心的服务器接入交换机上作基于目的地址的NAT 转换,这时从生产中心的服务器来看,灾备中心的服务器是另一个不同的IP 地址,这样可以进行数据交换;而从客户端来看,生产中心和灾备中心的服务器是同一个IP 地址,任何一个都可以进行访问。
四层交换机
图 8 19 四层交互机网络恢复方案
将四层交换机放置在客户端的出口处,对于客户端来说,访问的始终是一个虚拟地址,这个虚拟地址由四层交换机进行判断解析,始终将之映射到现在正常工作的服务器上。
考虑到负载及冗余性问题,建议如果采用这种方法,应该在每个应用模块上都配置2 个四层交换机。
IP STANDBY
图 8 20 IP STANDBY网络恢复方案
在正常的时候,生产中心和灾备中心使用不同的IP 地址空间,一旦发生灾难,管理员手工调整网络设置和灾备中心的IP 地址设置(灾备中心使用原生产中心的IP 地址空间),使应用恢复。
以上四种网络恢复方法比较如下:
域名解析
路由+地址转换
四层交换机
IP Standby
实现的恢复时间
30 分钟
10 分钟
10 分钟
30 分钟-60 分钟
对应用系统改造的工作量
大
无
无
无
对网络结构改造的工作量
无改造,需新增DNS 服务器
很大,对今后扩
容不利
很大
无
技术成熟度
成熟
不成熟
不成熟
成熟
实施案例
多
无
无
多
切换工作量
一般,需预先计划
少,有时需手动关闭网络
少
大
管理维护难易
简单
难
简单
简单
可测试性
可测试,但很复杂-操作系统平台
可测试,但很复杂-应用系统平台
可测试,但很复杂-应用系统平台
可测试
设备成本
两台DNS 服务器
无
很大,新增四层交换 设备
无
比较说明:
域名解析
该方案需要对应用程序做一定的修改,将目前所有通过直接IP 访问的应用程序更改成通过主机名访问的方式。
该方案存在客户端缓存的超时问题,即灾难发生后,在超时时间内,客户端可能仍试图连接原来映射的生产中心IP 地址,导致连接不通。但可以改变域名解析服务器中设置来调整,时间越短则带宽消耗越大,可以设置为15~30 分钟。
切换时,要先确定切换设备清单,需要15 分钟更换配置文件,5 分钟重起服务,并且两地都需要同样的操作,因此,需要预先计划。
域名解析方案的一个优点是切换时可以单机切换,不需要同一VLAN 一起切换。缺点是客户端设置麻烦, 对于拥有众多个人用户的电信企业并不适用。
路由+地址转换
技术上虽可行,但方案的网络实施有很大的工作量,且导致网络IP 规划和网络设置上非常复杂,以后网络维护将带来很大难度。
四层交换机
需要在主备中心增加四层交换机,设备投资很大;而且网络配置复杂,维护量大。
IP Standby
即手工修改IP 地址的方案,该方案需要临时修改主机地址、修改网络配置、启动应用系统,切换工作量大。要求同一个VLAN 下的设备一起切换。
对于单台主机,手动修改IP 地址需要5-10 分钟,而手动更改网络设备的配置,也需要10 分钟,因此,当执行切换的技术人员较少时,切换的时间比较长。
第三方网络链接
第三方连接网络是指业务操作的流程中,需要与第三方进行数据上的读取,而建立的数据通讯网络链路。包括银行等系统的接入。
由于生产中心和灾备中心同时都连接到DCN 网络,因此,凡是通过DCN 网络连接的第三方系统,都不需要做任何改变。
如果是生产中心直接和第三方连接的链路(不通过DCN 网络,比如银行等),希望在灾难发生时,继续能够进行数据通讯,则需要同时具有网络连接到生产中心和备份中心,实现冗余。
业务级容灾
业务级容灾主要通过对系统的业务数据、应用环境、边缘设备、网络组织及其它相关系统等整个业务系统的流程环节进行容灾,从而实现对整个业务流程的保护。业务级容灾将建立远端的容灾系统中心,生产中心数据实时或非实时地复制到容灾中心。
正常情况下,系统的各种应用运行在生产中心的系统上,数据同时存放在生产中心和容灾中心的存储系统中。当生产中心由于发生灾难无法工作时,则将处理业务的所有相应系统,以及网络、数据线路切换至备份容灾中心,从而保证业务的持续运行。
业务级容灾相对投资较高,要求提供业务连续性的应用平台(主机、存储、网络)、数据、传输线路、基础设施等所有环节的灾难备份。
容灾中心规划
备份容灾系统的建设目标选择,主要应从以下几个方面来考虑:
具体数据类型与目标的灾难保护:从系统正常运行的角度分析各种业务数据,作出重要性与可恢复性要求的评估,并由此制定备份容灾系统的数据灾难保护策略。
业务的连续性:对系统各种业务的连续性与管理流程进行分析评估,根据子系统的对联通业务的不同影响程度,从而可考虑分别采用不同的备份容灾方式。
灾难可恢复性:对于突发性灾难这样的重大事件,有时受灾地区并不苟求所有系统的所有应用必须立即恢复运营,故可按实际需求进行分析,配备相应的设备,保证重要系统和应用恢复运行。
灾难发生后的业务可恢复时间指标:通常将灾难的发生分为两类,一类是可以预计具体时间的灾难,如损害性极大的台风,计划内的大面积电力系统检修等;另一类是不可预计突发性的灾难,如地震、恐怖袭击,主机系统的非计划性宕机等。应针对两种不同灾难,并根据不同业务系统的各自特点,确定不同业务系统的灾难恢复时间。在实际的建设过程中,各省分公司可根据实际情况采取分步骤的方式逐步的完成建设目标。
容灾系统需求
容灾系统的需求, 最主要取决与各种系统本身对该企业的重要程度,即由于灾难的发生而无法正常进行时对企业本身的损失情况。这种损失可能是可以量化的,例如单据的丢失、计算的错误而导致的直接损失;也可以是无形的损失,例如客户满意度及竞争优势的丢失。通过对可量化和不可量化损失的综合考虑,得出各种核心系统由于灾难受损的可容忍程度及损失的决策依据。体现在IT 系统上,是三个指标:
数据恢复点目标(RECOVERY POINT OBJECTIVE):体现为该流程在灾难 发生后,恢复运转时数据丢失的可容忍程度;
恢复时间目标(RECOVERY TIME OBJECTIE):体现为该流程在灾难发生后,需要恢复的紧迫性也即多久能够得到恢复的问题;
在考虑不同的系统的容灾需求的时候,主要考虑RTO和RPO两个指标。这两个指标可能相差非常之大,各个系统本身对这两个目标的优先程度也会随着业务需求的不同而有所差异。有的系统可能要求数据丢失的程度较小,但恢复时间可以较长,而另一些系统可能要求短时间内恢复,但数据的丢失程度可以放大一些。这两个指标直接影响所使用的容灾策略及技术方案,并指导企业的投入成本。可以用下图表示:
图 8 21 业务冲击分析曲线
在该图中,横坐标为灾难持续时间,纵坐标为灾难损失,在某一程度以下属于可接受的程度,即横虚线所示。这种可接受决策应该由有关部门在考虑多种因素后综合考虑后做出。对于在中国联通IT系统架构涉及的相应系统,将给出在系统层面上关RTO/RPO的一些建议:
业务支撑系统域(BSS):面向市场营销前端和客户服务等业务经营活动提供支撑,主要包括市场营销和销售管理、订单处理、客户问题管理、产品管理、合作伙伴关系管理、计费结算与采集处理、以及各种经营性的分析处理等。
系统
RTO(小时)
RPO(小时)
备注
一类
二类
三类
一类
二类
三类
CRM
2
2
8
2
2
4
由于CRM提供的功能是直接面向客户体现中国联通服务水平和服务内容的关键业务,该系统业务的中断会给联通带来巨大的影响和损失,因此要考虑其业务功能在尽可能短的时间内恢复处理,保证CRM系统的业务连续性。
CRM系统的功能覆盖了售前、售中和售后整个销售环节,提供全方位的管理和服务。因此CRM系统的数据具有极高的安全级别,其RPO指标越接近灾难发生点越好。
PRM
24
24
24
2
2
4
合作伙伴关系管理(PRM)的功能范围涵盖与SP/CP和服务提供合作伙伴的关系管理和联盟管理的所有功能。PRM的重心不在于处理实时业务, 因此RTO时间可以较长;同时,PRM系统数据的重要性与CRM相同,其RPO指标越接近灾难发生点越好。
经营分析系统
72
72
~
72
72
~
经营分析系统是充分利用业务系统产生的大量宝贵的数据资源,实现对数据的分析处理,为经营工作提供及时、准确、科学的信息支撑的关键系统。
经营分析系统业务处理属于BSS系统后台处理功能,其业务中断对客户业务受理不产生直接影响,同时其数据可以从其它业务系统再生, 因此该系统RTO/RPO都可以比较大。
综合采集系统
2
2
4
2
2
4
综合采集系统是支持联通全业务的原始话单采集,为其他系统提供统一的标准化话单的关键系统。
由于综合采集系统提供的数据是综合计费帐务系统业务处理的前提和基础,同时综合计费帐务系统的系统恢复级别也比较高。综合采集系统的数据来源于各类网元设备,对于后付费系统,由于设备原则上都会对原始话单进行备份处理,因此该系统的数据在一定时间内可以从原设备上从新采集。但是对于预付费系统,由于采集必须实时进行,否则使用信息不可再生,所以系统RTO/RPO越接近灾难发生点越好。
综合计费帐务系统
2
2
4
2
2
4
综合计费帐务系统是为中国联通的全业务运营提供高效、准确的计费帐务支撑的关键系统。
综合计费帐务系统从业务功能上讲提供了后台处理,但是对于预付费用户的计费功能的中断,容易造成话费透支及产生坏帐,直接影响公司的收入。由于预付费的采集必须实时进行,否则使用信息不可再生,所以系统RTO/RPO越接近灾难发生点越好。
企业外部门户
2
2
4
4
8
8
企业外部门户提供一个展现公司形象,提供产品介绍并办理相应业务的统一接触点。
企业外部门户业务处理属于BSS系统功能,其系统中断对客户业务受理产生直接影响,同时其数据部分可以从其它业务系统再生, 因此该系统RTO较小,RPO可以比较大。
综合结算系统
24
24
48
24
24
48
综合结算系统是满足中国联通不断发展的业务对结算要求的关键系统。
综合结算系统的业务处理属于后台处理,对客户的业务受理不产生直接影响,业务连续性要求相对较低;综合结算系统存储的数据是各类结算的原始、中间以及结果数据,这些数据在一定范围内具有可以再生的特点,所以该系统的RTO/RPO都可以比较大。
运维支撑系统域(OSS):在整个运维工作中,OSS功能架构必须要覆盖不同管理级别之间的运维管理和生产指挥功能,它包括集成订单管理系统,服务开通管理系统,综合告警监控系统,综合故障单管理系统,综合生产调度系统,综合服务质量及性能管理系统,综合资源管理系统和IT网管系统。
系统
RTO
(小时)
RPO
(小时)
备注
一类
二类
三类
一类
二类
三类
集成订单管理系统
2
2
4
1
1
2
集成定单管理功能提供与BSS系统以及客户自服务系统的连接。它完成定单接受与确认,定单分解,定单管理以及异常单管理功能。
该系统业务的中断会给联通带来巨大的影响和损失,因此要考虑其业务功能在尽可能短的时间内恢复处理,保证BSS中面向客户系统能够正常工作。复杂的定单通过服务构建单元、被分解为OSS相关服务,这样跨域和跨平台的开通请求就可以在分解后分发到相应的系统进行处理并能够进行跟踪管理,该数据不具有可再生行,因此该系统的RTO/RPO指标越接近灾难发生点越好。
服务开通管理系统
4
4
8
1
2
4
服务开通管理系统负责对网络设备进行自动开通,系统将接收来自于集成定单管理的开机工单和或指令,并进行处理后形成具体网元能够识别的指令后,通过网元接口,发送给指定的网元设备。
服务开通管理系统的重心不在于处理实时业务, 因此RTO时间可以较长;同时,服务开通管理系统数据的重要性与CRM相同,其RPO指标越接近灾难发生点越好。
综合告警监控系统
24
24
24
4
4
8
综合告警管理提供跨专业告警采集、处理和呈现功能,同时将告警信息进行跨专业相关性分析并进行实时告警展现。
综合告警管理系统从业务功能上讲提供了后台管理功能,系统中断不影响业务处理;告警信息可以重新从网元采集,具有再生性质, 因此该系统RTO/RPO都可以比较大。
综合故障单管理系统
24
24
24
4
4
8
综合故障单管理系统根据故障的类型产生并派单到各部门(班组)或区域维护站进行处理,并负责对故障单进行跟踪、反馈、统计、分析等工作。同时对故障单进行关联、合并,达到高效处理故障的目标。
综合故障单管理系统从业务功能上讲提供了后台管理功能,系统中断不影响业务处理;故障单信息可以重新从网元采集,具有再生性质, 因此该系统RTO/RPO都可以比较大。
综合生产调度系统
4
4
8
1
1
2
综合生产调度系统是运维工作的重要支撑部分,目的是快速传递并全面反馈各种运维管控信息,实现快速服务开通、快速故障定位和服务恢复以及快速日常维护管理,从而提高对市场业务的支撑力度,提高整体服务水平、服务质量。
综合生产调度系统的重心不在于处理实时业务, 因此RTO时间可以较长;同时,综合生产调度系统数据不可再生,其RPO指标越接近灾难发生点越好。
综合服务质量及性能管理系统
24
24
48
24
24
48
综合服务质量及性能管理系统服务质量管理监视、分析和控制服务性能,以便尽快恢复符合客户SLA或KQI描述的特殊性能要求,并生成相应的服务质量测量报告。
本系统重心在于正常运行情况下对服务质量的监督/分析,因此该系统RTO/RPO都可以比较大。
IT网管系统
2
4
8
4
8
24
IT网管负责对运营商内部所有IT支撑系统(如计费、CRM、结算、综合资源管理、ERP、各类网管系统等)的日常运行维护、系统升级、参数配置变更、故障排除等工作提供支持。
本系统负责数据中心的正常运营,因此应该在其它关键业务系统启动后尽快恢复工作;原系统参数对于新环境的恢复要求并不高, 所以系统RPO要求可以允许一定数据的丢失。
综合资源管理系统
24
24
48
24
24
48
综合资源管理系统负责管理服务设计、分配以及端到端的服务模型用以提供对客户的服务。设计与分配功能为客户服务保留必要的网络资源(物理以及逻辑)。
综合资源管理系统的业务处理属于后台处理,对客户的业务受理不产生直接影响,业务连续性要求相对较低;系统存储的数据由各类网元采集产生,这些数据在一定范围内具有可以再生的特点,所以该系统的RTO/RPO都可以比较大。
管理支撑系统域(MSS):MSS注重以先进的信息手段提升管理水平、加强管理支撑,提高企业信息化管理的透明度,帮助企业准确决策。MSS的主要功能可以划分为4个功能模组,分别为ERP, 企业协同办公,决策支撑系统和企业内部门户。
系统
RTO(小时)
RPO(小时)
备注
一类
二类
三类
一类
二类
三类
ERP
24
24
48
4
4
8
企业资源计划通过信息系统对信息进行充分收集整理、有效传递,以财务为核心衡量企业在人、财、物方面的资源,以及运营所涉及的各种活动,从而力求资源的最佳分配,以实现企业经营效率的最大化。
企业资源计划系统的业务处理属于后台处理,对前台的业务受理不产生直接影响,业务连续性要求相对较低;系统存储的数据在一定范围内具有可以再生的特点,所以该系统的RTO/RPO都可以比较大。
企业协同办公
4
4
8
4
4
8
企业协同办公将用户从虚拟的“办公孤岛”(割裂的OA系统)中解放出来, 利用协作工具将日常办公环境无缝集成起来(包括通信管理, 文件服务,流程管理等等), 并实现办公流程与业务流程(ERP、CRM等系统)的有效连接,以实现工作效率的最大化。
企业协同办公系统的操作属于后台处理,对前台的业务受理不产生直接影响,业务连续性要求相对较低;系统存储的数据属于非结构化数据,在一定范围内具有可以再生的特点,所以该系统的RTO/RPO都可以比较大。。
决策支撑系统
72
72
~
72
72
~
决策支撑系统是在现有市场分析、计划分析和运维分析的基础上,为总裁及总管级领导提供综合分析结果,并通过三方面的动态关联分析,为高层领导制定相关决策提供全面的支撑。
决策支撑系统业务处理属于MSS系统后台处理功能,其业务中断对客户业务受理不产生直接影响,同时其数据可以从其它业务系统再生, 因此该系统RTO/RPO都可以比较大。
企业内部门户
24
24
24
24
24
24
企业内部门户负责将复杂内部管理系统和业务系统的功能模块进行集成,通过企业门户实现系统的单点登录,实现对企业内部协同办公管理审批流程和财务、工程、统计等其他信息系统业务流程的有机集成,以及所有业务/管理系统信息的综合展现。
企业内部门户业务处理属于MSS系统功能,其系统中断对客户业务受理不产生直接影响,同时其数据变化较慢,可以从其它业务系统再生, 因此该系统RTO/RPO都可以比较大。
由此可见, 从RTO/RPO的角度来讲, 系统可以分为4类:
RTO/RPO都很小的系统, 如CRM;
RTO很小, RPO要求相对宽松的系统, 如企业外部门户;
RTO要求相对宽松, RPO很小的系统, 如服务开通管理系统;
RTO/RPO要求都很宽松的系统, 如企业决策系统。
对于省分系统, 按照应用和数据的重要性特征按上面给出的4类系统进行划分:
SHAPE \* MERGEFORMAT
图 8 22 系统容灾方案
不同等级的省分,因为系统对于恢复的需求不同, 所以系统所属象限有可能会有变化, 但是系统特征相对关系应该相似。
省分划分
容灾系统的建设, 需要大量的人力/物力的投入,因此,生产系统所能够产生的经济效益也是容灾系统建设是需要考虑的一个重要因素。这里将采用联通经营绩效考核结果为地区分类:
一类地区:北京、上海、天津、江苏、浙江、广东、辽宁、山东;
二类地区:河北、吉林、黑龙江、海南、河南、湖北、湖南、安徽、福建、江西、重庆、四川、广西、云南、山西、陕西;
三类地区:西藏、内蒙古、宁夏、新疆、青海、甘肃、贵州。
系统解决方案(按系统/省分划分)
一个容灾系统需要从软件到硬件进行多方面的投入。一个完整的容灾方案,大概要投资几百万,甚至上千万的人民币。对联通而言,无论是传统业务系统,还是新建业务系统,投资都要讲究回报,投资到容灾系统上的回报,就是那部分提高了的系统可用性给企业带来的额外收益。一般情况下, 容灾中心系统的处理能力,不超过生产中心系统的70%。具体情况,还应该考虑提供服务的水平与投资之间, 以及与损失之间的关系。
容灾方案可供选择的范围很大,但所有的容灾方案都必须考虑的因素包括恢复时间、实施与维护容灾策略所需的投入和相应系统的价值等。从技术上考虑,容灾恢复时间的需求越短,所需的实施成本就越大,实施难度也就越高。从价值上考虑,同样的系统,经济效益优先的省分应该采用恢复时间更小的解决方案。
灾难恢复方案的成本是根据以下两点得出的:
* 客户需要在多快的时间内恢复数据
* 不能继续业务处理将带来多少损失
恢复数据所需的时间越少,业务处理服务中断的时间就越短,所需的方案成本就越多。另一方面,不能进行业务处理的时间越长,由此带来的损失就越大。最优的方案就是,方案成本曲线和业务停止带来的损失的曲线的交集:成本/时间窗口。
图 8 23 最优容灾方案
结合上述因素,及前面提到的4类系统, 根据三类省分的现实需求,给出近期容灾解决建设方案的建议:
数据复制可选方案列表
应用站点可选方案列表
A. 智能高端存储
1.热站备份
B. 操作系统卷复制
2.温站备份
C. 数据库复制
3.冷站备份
D. 交易数据应用级复制
E. 异地磁带/低端阵列数据备份
系统类型
省份
数据复制可选方案
应用站点可选方案
1
一类省份
A
热站备份,温站备份
二类省份
A, B, C
温站备份,冷站备份
三类省份
A, B, C
温站备份,冷站备份
2
一类省份
A, B, C
热站备份,温站备份
二类省份
A, B, C
温站备份,冷站备份
三类省份
A, B, C, E
温站备份,冷站备份
3
一类省份
A, B
温站备份,冷站备份
二类省份
A, B
温站备份,冷站备份
三类省份
A, B, E
冷站备份
4
一类省份
A, B, C, E
温站备份,冷站备份
二类省份
A, B, C, E
冷站备份
三类省份
A, B, C, E
冷站备份
目前省分的划分是以目前各省分的经营绩效考核结果为主要依据。 随着联通业务的发展,如果某二类省分的业务规模已经达到一类省分的水平,那么按照容灾等级应与经济规模相对应的原则,应该考虑容灾水平的升级。
容灾管理
容灾技术架构解决了容灾的技术问题,当灾难发生时,除了具有设备,硬件和数据,还需要有相应的流程和人员来成功的执行灾难恢复工作,才能使容灾站点的投入达到效果。除了在灾难发生后的采取的具体流程外,在日常的流程中,也需要保证有相应的人员进行数据备份,容灾系统测试等工作,保证灾备系统在灾难发生时可以投入使用。这一切都需要企业建立一个完整的容灾管理机制,即容灾计划,包括容灾人员的组织,容灾日常流程,灾难恢复流程,容灾测试,人员培训,以及容灾计划本身的更新等多个环节。
容灾相关组织
当发生灾难时,需要有人作出是否启用容灾中心的决定以及进行容灾系统切换及回切工作。在平时,需要有人组织和完成日常管理、预警、演习、测试、培训,和容灾计划的更新等工作。
容灾需要有一个包括决策组、执行组、行政组的完整组织机构。建立了容灾中心,系统维护的工作量增加很多,不能忽视需要增加相应的专职工作人员进行维护,在系统切换时保证人员到位。
决策组作出是否启用容灾中心的决定,应由单位分管相关工作的领导牵头组成,相关部门负责人作为组员。
执行组的主要工作是在出现紧急情况的时候,迅速根据事态的发展作出正确判断并及时向决策组报告,同时建议最佳解决方案。执行组成员应由各个部门的技术、业务经验丰富的工作人员担任,可以专职或兼职,但是专职人员不得少于一定数量。执行组应由专职技术人员,如:主机管理员、存储管理员、网络管理员、数据库管理员、中间件管理员、机房环境管理员、值班管理员等组成。执行组负责容灾系统的日常维护,演习、预警、灾难恢复期间的系统方面的灾情的评估、切换/回切的具体操作等。执行组可以细分为:业务恢复组;部门恢复组;计算机恢复组,损坏评估组,安全组,设备支持组,用户支持组,计算机备份组,异地数据存储组,软件组,通讯组,应用组,市场和客户关系组等。
行政管理组负责为其他职能部门作好所需的后勤保障工作,包括运输、安全保卫、资金、人员调配、信息发布和公共关系等。一般由具有足够资源调度授权的经理担任组员,如负责运输、财务、人事、安全保卫、公共关系相关人员、外部服务商、供应商联络人员、行政助理等。
在组织建设中,还需要编制容灾组织结构职责及通知手册,应至少包含以下内容:各组成员及集成商、设备供应商、各个工作人员的联系方式以及优先次序,确定有效确认通知手段、后备人员等。
日常管理流程
日常管理工作的核心是保证容灾系统的应用、软硬件平台持续可用,可以随时进行应用切换及业务接管,包括数据审查、系统维护、系统监控、软件版本管理、容灾计划更新等内容。如果日常管理工作不到位,出现容灾中心的数据和生产中心不一致现象,难以保证在切换时能够正常接管工作。
数据审查保证容灾系统在必要的时候能够及时接管生产系统。容灾系统与生产系统的数据须保持一致性、完整性,应在容灾系统中建立起与生产系统的数据同步审查机制,并通过数据核对帮助生产系统发现可能出现的问题,进一步完善和优化生产系统和容灾系统。容灾中心业务组人员通过手工或者程序脚本的方式,定期与生产系统进行数据的核对,根据预定义的指标检查数据的一致性、完整性,及时发现问题、分析原因、编写报告,必要时发起容灾测试流程。
系统维护是为了保证容灾系统接管生产系统时,不会因为IT因素、基础设施问题而发生接管失败,是对生产系统与容灾系统运行的IT基础设施所进行的日常例行检查、维护工作。
系统监控的目的是帮助系统组/业务组成员对生产系统及其容灾系统的运行情况进行监控,对故障进行快速准确定位。
软件版本管理是指在生产系统运行过程中,由于功能完善、增加等原因需要对软件版本进行更新、变换,所以应对生产系统及其容灾系统的软件版本进行管理,保证容灾系统按既定目标顺利接管业务,避免由于版本不一致造成的数据错误、业务接管失败。
容灾变更管理的目的是控制、管理容灾系统中的变更行为,确保容灾变更平稳实施。容灾计划应反映系统的需求、执行的流程和规则。因为商业需求、新技术的不断升级以及新的内部和外部规则的变化,IT系统也会随之改变。所以,要确保灾难恢复计划的有效性,就必须定期的检查和修改计划。一般来说,当每年或当计划涉及到的内容有重大改变时,灾备计划需要作相应的检查,而有些内容更需要作频繁的检查,如人员的联系途径等。
以下是至少需要定期检查的几个方面:
a) 运行环境要求
b) 安全要求
c) 技术程序
d) 硬件、软件和其它的设备
e) 各项目组的成员名称及联系方法
f) 关键信息记录(电子或书面文档)
容灾预警流程
预警流程可以分为六个主要步骤:风险上报、风险评估、风险决策、风险告知、风险警备、发起系统切换、预警总结。
风险上报主要包括风险信息获知、收集、上报。风险获知后,应验证风险的真实性,并保证风险信息收集的完整。风险信息包括风险发生的时间、原因、影响范围、影响程度、现状、发展趋势等。IT部门根据上报资料做出全面评估,形成评估报告。报告内容包括造成灾难的几率、影响程度、发展趋势等。
风险决策指的是领导组根据风险评估报告决定后续的处理,包括提前启动切换,进入风险警备状态,保持正常状态,继续关注风险。
风险告知就是行政管理组将有关风险的信息对内对外及时发布。该工作在领导组对风险进行决策后进行。有效的风险告知机制可以保证统一口径和澄清谣言。
风险警备是指领导组告知全体人员系统进入预警状态后,各人员应随时待命,密切关注风险的发展,必要时及时成立指挥中心,以便快速投入灾难恢复工作。
发起系统切换是指领导组做出切换系统的决策后,系统进入备灾状态,直接进入“灾难恢复启动”步骤。执行组通知各责任工作组成员赶赴容灾中心现场,协调各组按既定流程恢复业务运行。
预警总结是指执行组应对风险原因、处理经过、损失程度和范围等做出综合评估;对预警状态中瞒报、漏报、迟报信息及其他失职、渎职行为的组织和人员追究责任,并根据需要,完善相应的流程、制度等。
容灾演习
容灾系统建设完成后,必须不定期进行容灾演习。根据在演习过程中是否真正进行系统的切换,容灾演习可以分为模拟演习与真实演习。
模拟演习主要是为了检验在发生实际灾难后,参与灾难恢复的相关人员是否能够根据规划好的灾难恢复流程,有序可控地进行灾难恢复工作。真实演习不仅要检验灾难恢复流程的有效性,而且要验证容灾系统是否能够实现正常的切换和回切。演习主要步骤包括:制定演习计划、审批演习计划、演习启动、消息发布、演习切换、验证、演习回切、总结。
演习是灾难恢复计划的最好验证手段。演习过程中,应详细记录各个重要环节的时间点,用于考核容灾系统和生产系统的各项指标。演习后应及时总结经验,对发现的问题应及时解决,需要修改或优化的流程要限期进行修改和完善。
恢复流程
恢复流程是一种主要考虑在灾难发生后,如何快速有效的恢复IT系统的策略。策略的制定应当考虑商业影响分析中所涉及的风险,而且在系统设计和实施的阶段中,它与系统的架构设计相集成。在设计恢复流程时,应考虑下面的情况:
1) 系统恢复:
系统恢复应针对于关键应用主机,如集中式和分布式
2) 网络恢复:
网络恢复计划主要针对以下方面:
a) 关键商业应用系统的内部局域网和网络设备的支持
b) 外部广域网和电信服务
c) 待恢复系统和终端用户间的通讯
3) 启动各灾难恢复小组:
灾难恢复管理组负责协调恢复过程中所涉及的各个项目组。在异常情况下,准确快速的决定会起到关键的作用。管理组将负责包括财务决定在内的所有决定。成功的灾备计划,即使在关键的成员不能工作的情况下,也可以恢复并维持业务的运转。
4) 最终用户恢复
最终用户的恢复计划,在传统的灾备计划中常常被忽略掉,合理的灾备计划为终端用户提供了一种可工作的机制。
容灾测试
容灾计划的测试是容灾方案准备过程中的一个关键要素。测试可以暴露灾难恢复计划的不足之处,测试也可以帮助评估运维人员的快速响应能力和效率,灾难恢复计划的每一个要素都必须测试,保证其恢复过程的准确性,保持系统的现时性。测试包含对容灾系统的数据、功能、性能等方面的测试验证,以保证容灾系统可实现数据保护和业务接管。
测试方式尽可能采用测试脚本,避免人为误操作。测试环境尽可能与生产系统隔离。在不发生系统变更时,最好每月测试一次,否则须即时测试。生产变更可能包括:
主要操作系统升级
重要应用软件的改变
主要硬件变动
人员变动
测试的很重要的一个原则是不中断生产系统,采用独立或并行的方式进行,如果是并行则可以与生产环境比较结果。
测试的第二个原则是按模块进行,即将庞大的系统分解开来,按模块独立测试,而非一开始就动员全体综合测试。由于各模块相对独立,测试时可以分解成一个一个模块进行的,这样的难度较小,也易于组织与管理。
容灾培训
容灾培训是对容灾演习和测试的有力补充,主要目的是明确灾难恢复计划中各成员的责任,培训内容包括:
计划的目的
跨项目组的协调和沟通
汇报制度的流程
安全要求
项目组特有的流程
成员的责任
如果没有做好培训,难以保证相关人员及时学习到相关的知识和技能并及时更新。通过容灾培训,可确保相关人员及时准确地了解系统结构,熟悉测试、演习、灾难恢复流程,明确自身职责,沟通、协作顺畅,提高工作技能和灾难应对能力。
培训计划由执行组与人力资源部门共同制订和执行。培训内容主要包括:容灾基础培训、容灾流程培训、容灾技术培训。
养兵千日,用兵一时。以上七个方面好比一个链条上的七个环节,任何一个环节的缺少都可能导致容灾中心形同虚设,任何一个细节的忽视,都可能导致容灾中心在关键时刻不能发挥应有的作用。投资巨大的容灾系统,在关键时刻起到作用才是值得的。
安全架构
综述
中国联通IT安全目标是从业务、应用和数据的角度保证业务连续性, 系统和数据的机密性、完整性和可用性。
中国联通安全覆盖的范围包括的通信网、各业务系统、支撑系统,涉及公司业务运作的所有信息(通信网、业务系统、各支撑系统上、涉及网络、市场等的各类重要信息)。
中国联通安全工作的目标是对涉及公司业务运作的所有信息资产进行保护,包括通信网和业务系统、支撑系统上的各类重要信息进行保护。
根据业务安全需求,中国联通安全框架如下图所示:
图 8 24 中国联通安全框架
中国联通安全框架以安全战略为指导,以安全管理为基础,通过安全基础架构提供的安全应用服务,并以安全技术运维和用户身份和访问管理来支持业务应用安全和数据安全。
安全战略为安全建设提供指导
设计整体的安全建设要求,和3-5年的安全建设规划;建立安全指导原则以使整个企业理解和管理业务安全风险;定义安全组织、安全策略,明确企业需要遵守的法律法规和行业标准;描述满足业务安全需求的安全框架。
身份和访问管理
提供管理用户及其身份的解决方案;降低与用户管理相关的成本;建立用户目录,提供企业单点登陆服务。
应用安全架构
提供企业集成安全架构的要求;提供在开发过程中管理安全工具、标准和流程;提供基础的应用安全服务。
安全运维
实施安全监控和安全变更管理;支持对技术环境安全运行和维护的流程。
安全基础架构
提供网络和边界安全保护;在业务架构设计和实施中集成安全。
安全管理
建立安全组织,实现可审计性和安全的高效运行;提供管理安全目标和策略、用户沟通和符合性管理的安全管理框架。
中国联通安全框架从建设内容的角度,分为安全技术架构和安全管理架构。
中国安全管理架构是安全管理和安全运作的框架,包括安全组织和管理、安全策略体系管理、集成安全运作、安全意识教育和培训四个模块的内容。
图 8 25 中国联通安全管理架构
安全策略以与业务战略和IT战略相一致的安全战略为指导,通过制定一套清晰的指导方针、规范和标准,在整个企业范围内对系统安全策略的发布和落实来保证对系统安全的承诺与支持。
安全组织架构为安全策略的执行和安全建设运行管理提供组织和人员上的支持。通过安全业务流程划分,定义安全职责和安全工作岗位,明确安全责任,并通过安全审计和考核监控安全工作的绩效指标。
集成安全运作通过IT系统用户身份和访问管理、安全监控、变更管理和配置管理,保证为业务和IT提供安全运行和维护方面的保证。
安全意识教育和培训通过提高用户安全意识和安全技术水平,确保所有人员意识到系统安全的威胁和利害关系,并具有在日常工作过程中支持组织安全方针的能力,应对用户进行安全程序和正确使用信息处理设备的培训,以尽量降低可能的安全风险。
安全技术架构保护业务资产安全的技术或者物理基础设施。安全技术架构为业务应用提供给本的安全服务,这些服务包括认证、授权、完整性、机密性、可审计性、探测、修补等。中国联通技术架构按照层次分为网络、平台、应用、技术运维四个层面,根据各个层次对安全服务的需求不同,安全技术(产品)分布在这四个层面。
图 8 26 中国联通安全技术体系
中国联通安全框架可以作为安全建设的基本框架,同时可用于检查安全建设、设计安全构架时的完整性。在规划新业务运营的计划、设计、建设和运营必须考虑、整合各种安全元素。
安全基础架构
安全基础架构提供一系列的安全基础设施(包括安全解决方案、安全工具和安全能力)为业务提供安全的物理环境、网络环境、系统环境和应用环境。
物理安全
物理安全是指中国联通信息资产所处的物理环境的安全。物理安全涉及的是硬件设施方面的安全问题,是指计算机与网络的设备硬件自身的安全和信息系统硬件的稳定性运行状态。物理安全方面的威胁主要包括电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障等。物理安全保护方式有加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份等。
通过实施物理安全控制可以防止对中国联通物理资源的非授权物理访问,控制物理风险,降低信息资产破坏造成的损失。
建筑物访问
数据中心所在建筑应该提供充分的安全措施保护在非工作时间的整体设施和机房的安全,如门卫、报警门等。
所有的紧急出口都应该用保险栏杆隔离保护。
制定建筑物安全手册,明确安全警卫的职责、物理安全流程、参观者管理流程、门禁卡管理流程和物理访问控制等。
计算机设施的访问
机房应该位于带门锁和门禁保护的封闭房间内,防止对计算机设备的非法物理访问。
在可能的情况下,使用电子访问控制系统,只有佩戴电子门禁卡的人员才能进出机房。所有员工都有责任监控和询问无卡人员对机房的访问。
严格控制进入机房的人员,维护人员的访问列表,根据其访问级别授予访问权限。
对外部人员或者没有访问权限的中国联通员工,如需进入机房,需要特别的审批流程,并进行备案。
对所有人员的机房进出进行记录,包括人员姓名、单位、访问原因、进出时间等。
数据中心物业安全
禁止在机房内进食和饮水,禁止携带食品和饮料进入机房。
机房垃圾应该置于专用的垃圾容器内,并定期清除。
液体清洁剂、油等液体应该置于专门的容器内,并远离计算机设备。
机房应该保持洁净无尘,通道和安全出口应该保持通畅。
机房内应该安装应急灯或者手电筒,在电力供应故障时可以提供照明。
防火
禁止在机房内吸烟,禁止使用厨房设备,包括咖啡炉。
易燃、易爆品应该远离机房。
机房内应该正确安装火灾和烟雾探测装置。烟雾探测器应该部署在所有的关键机房,包括部署电气设备、电话、UPS、应急发电机、空调的区域。
机房应该使用本地消防部门推荐的防火设备,包括防毒面具、小型灭火器。对于大型机房,应该根据实际需求部署大型的防火系统。
对机房工作人员进行灭火设施的使用培训,并定期进行消防演习,熟悉火灾处理流程和人员责任。
防水
所有机房都应该备有防水遮盖材料(如塑料布),在天花板漏水的情况下保护设备。
计算机设备应该远离供水管道或者位于供水管道的下方,防止水管爆裂对设备造成损害。
对所有人员培训如何应对水灾和泄露威胁。
空调和电力供应
提供备份的通风计划,在空调系统故障时启用。
部署电力保护设备,防止电力故障(电涌、高压脉冲等)对计算机设备造成破坏。
电气仪表板应该部署在安全的区域,并保证清晰显示。
对人员培训如何监控环境,包括温度、湿度、电力供应质量等,并对异常情况进行响应和处理。
保护无人看管的工作站
配置屏幕保护程序在挂起10分钟后启动,并设定口令保护。
在可能的情况下,工作站管理者可以使用物理键盘锁定设备,防止非法使用。
网络安全
网络安全规划
数据中心网络被划分成三个层次,即外网层、中间层以及核心层:
外网层:Internet、第三方
中间层:DMZ、DCN、接口区
核心层:核心数据库、业务应用和中间件
网络安全的实现是通过MPLS VPN实现业务隔离,通过VLAN实现内部网络隔离,通过防火墙实现访问控制。 三层之间的互访关系为:
核心层的安全级别最高。只有DMZ区能够受限访问核心层的业务应用,并建议基于IP地址和端口进行访问控制。核心层内部的各个业务系统使用VLAN进行网络隔离,并严格控制应用之间的数据访问。
中间层包括DMZ和接口区, 可以受限制的访问内网服务器层,同时可以接受来自外网层的合法访问。DMZ对外提供服务,需要通过防火墙进行隔离。严格禁止从外部通过DMZ区对内部的访问。接口区的接口服务器为第三方对核心区的数据需求提供可信的中转,禁止从第三方网络直接访问核心层。
外网层是受限制的访问中间层的,但不能访问内网服务器层。
防火墙
设计范围
任何数据中心内网到外界的连接都应设置防火墙的保护。数据中心的连接包括:
与Internet DMZ区(外部DMZ)的连接
与Intranet DMZ区(内部DMZ)的连接
与DCN的连接
与银行、SP以及合作伙伴的连接
防火墙架构
防火墙的架构中将不同的网络环境分成几大类,每一类的网络代表不同的信任等级及不同的访问权限。
核心业务系统网络:包含了全部的内部网段。所有BSS、OSS和MSS的业务应用系统连在这些网段上。由外至内的连接需要严格的控制。这部分网段也可分为多个,如为每个应用系统划分不同的VLAN进行网络隔离,避免应用系统之间的相互干扰。除此之外,还包括了专为备份服务的备份网段和专为监控服务的管理网段。
DCN网络:DCN网络应该视作的内部网络,但是由于它连接总部和各省分DCN网络,出于安全性的考虑应设置连接的权限访问应用系统。
与第三方相连的网络:第三方网络包括如银行、邮局、SP及合作伙伴等的网络。对这些网络,应设置接口区,由接口服务器完成对内部的通信,并严格按照实现设计的应用需求控制由外至内的连接,不允许有其它应用无关的连接。
Intranet DMZ网络:为联通员工提供WEB服务的网段。在此网段中放置提供企业员工访问的WEB服务器。进入该网段的连接必须限制在必须的服务协议上,如HTTP,HTTPS等。
Internet DMZ网络:为公众提供服务的网段。通常在此网段中放置提供公众访问的WEB服务器,电子邮件的SMTP网关等。进入该网段的连接必须限制在必须的服务协议上,如FTP,HTTP,HTTPS,SMTP等。
公网internet:没有任何信任度。
防火墙的管理
作为重要的访问控制设备,防火墙的管理应该遵循以下原则:
默认拒绝一切:默认配置拒绝任何流量。按照应用需要设置访问控制列表,拒绝任何没有明确需要的流量。
最小权限:只为用户或应用分配必要的访问策略,防止滥用。
杜绝旁路:防火墙能够控制有经过防火墙的网络连接。任何其它旁路方式都可能导致防火墙访问控制的失效。
变更管理:遵循系统原有的网络安全设计。任何对防火墙访问控制策略的变更都必须经过申请和批准。
对防火墙的配置和管理,建议划分单独的管理区域或者使用防火墙设备的管理端口。除了利用防火墙自身的管理客户端之外,还应考虑纳入中国联通统一网管体系,实现对设备的几种管理和监控。
防火墙的配置
下面的标准防火墙规则应该在全部的防火墙上配置:
所有网络连接缺省应该设为拒绝,然后在根据需要开启规则。
拦截所有源地址或目标地址是防火墙的网络通信包
拦截所有从Internet和外部网络来的ICMP(Internet Control Message Protocol)网络通信包,如ping和traceroute
所有从Internet来的网络通信包的源地址只能是DMZ网段的地址,以及被允许的通信协议,如HTTP,HTTPS等
所有从DCN或银行/邮局来的网络通信必须限制在指定的目标地址和制定的端口号或服务。
开启防火墙日志功能,并对日志进行定期审计。
网络入侵检测
入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。基于网络的入侵检测系统(NIDS)通过嗅探的方式截获通过网络上所有的数据包,通过特征分析、异常统计分析等方法,实时发现网络攻击和异常安全事件。
一般网络入侵检测系统担负着保护整个网段的任务。一般来说,在防火墙之外的检测器采用基于网络的入侵检测系统,负责检测来自Internet的攻击。
安全事件监控的主要目标是对不同信息系统的日志记录进行收集、存储、关联、分析和归档,识别用户非法行为,遵从现有的法律法规,降低欺诈风险,减少潜在损失。建议在数据中心的关键网段部署基于网络的入侵检测系统,实现对服务器的网络级的实时安全监控。
网络设备的安全
访问控制列表及其管理
访问控制列表是路由器本身具有安全机制中最有特点的一个功能,许多安全配置都基于访问控制列表功能进行的。本部分针对设备的访问控制列表功能进行总体的描述,并描述访问控制列表具体实施和配置等问题。同时考虑访问控制列表对部分设备性能有一定影响,访问控制列表的实施必须慎重,最好获取厂家的建议后实施。
路由协议的安全性
路由协议是数据网络最常用的技术,大部分的路由协议都会周期发送组播或广播PDU来维持协议运作。组播和广播模式自身就存在严重安全隐患,而且路由协议的PDU携带有敏感的路由信息。一旦路由协议PDU被窃听或冒充后,不对的或被恶意篡改的路由信息将直接导致网络故障,甚至网络瘫痪。路由协议运作过程中的安全防护是保证全网安全的重要一环。
路由协议的安全性主要考虑路由认证、源地址路由检查和黑洞路由管理三个方面进行阐述。
网络设备安全审计
为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。建议相关安全审计信息应包括设备登录信息和设备事件信息日志,同时,要求提供SYSLOG服务器的设置方式。
网管安全
网络管理的对象是网元设备及设备之间电路,对网元设备管理还包括设备的附属资源,如端口、板卡和插槽等。网管系统通过SNMP、FTP、TFTP和Telnet等方式获得设备的资源、性能、故障等信息,对网络设备进行统一的管理。
要求采用SSH协议来取代Telnet进行设备的远程登录,SSH与Telnet一样,提供远程连接登录的手段。因为SSH传送的数据(包括帐号和密码)是被加密的,且密钥会自动更新,可以极大提高了连接的安全性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。
应用规范:
网管系统选择时应注意尽量选择具有流量监控功能的网管软件对全部的交换机端口进行监控和管理。
网管系统推荐使用V2版本的SNMP协议,尽量不要使用漏洞较多的SNMP V1协议。
网管系统的密码一定要具有足够的强度。
不同的业务系统之间、主机和设备之间尽量使用不同的密码。在实施统一身份认证之前,对于重要的系统和设备,有条件的可以考虑部署动态口令解决方案。
重要的主机、网络设备可以在其自身加一些访问控制列表,只允许网管服务器进行访问。
网管系统具有较强的用户权限管理,清晰定义访问级别和访问权限,对用户使用网管的操作进行记录和审计。
系统平台安全
系统平台安全包括操作系统安全、桌面工作站和笔记本安全、主机安全访问控制和数据库安全。
操作系统安全
为了保证服务器的安全,修补可能发生的漏洞,操作系统需要重新审查,加强权限的限制,关闭不必要的服务。
操作系统管理策略
除系统管理员之外,设置单独的安全管理员(或组)。
制定文档化的系统安全规范、标准和操作程序。
定期进行系统安全审计。
制定对安全事件的响应和处理程序。
制定系统及应用软件安全认证方法。
Root权限只对管理员开放。拒绝root从远程系统登录。鼓励系统管理员使用正规的用户帐号登录,然后通过su为管理工作取得root权限。
创建定期改变root密码的程序,并定期并安全地将这些变换告知授权用户。
用安全的办法传递密码。不要在任何文件中hardcode密码
执行定期系统备份及测试备份的程序。将备份保存在安全的不同的物理工作区。
发生系统中断时确保系统已准备好正常关机。
对敏感数据加密。
操作系统安全审计
安装口令检查程序,定期检查root,用户或特殊帐号的低安全性密码。
确保没有用户在系统上使用任何密码破解程序或软件,并且确保任何用户的主目录下没有此类程序。
适当监测和设置系统或敏感文件的文件所有权。
常规性地监测授权的setuid文件。
常规性地监测授权的setgid文件。
规则性地审查syslog,wtmp及安全工具日志,及时发现非法活动
规则性地审查重要的系统日志文件。
将重要机器的日志安全地转移到其他的网络系统。
每周检查一遍系统日志文件及档案文件。
确定安全管理员审查了所有安全违例事件。
周期性地对系统进行全面的安全审查。
桌面工作站、笔记本电脑安全保护
物理安全
用户有责任保证其管理的桌面工作站和笔记本电脑的物理安全,防止非授权访问和信息窃取
离开工作站时,需要注销用户登录,或者使用屏幕锁定。笔记本电脑用户需要使用电脑防盗锁,在除办公地点外的其它场合禁止使笔记本电脑处于无人照管的状态。
设置加电口令、BIOS口令或者硬盘口令保护。
用户安全
用户名和密码不可以用各种形式张贴或记录在工作区域
用户名和密码不可以用普通的文本文件储存
登录的脚本不可以包括密码
电脑启动后必须输入密码进入
密码
密码必须至少8位
密码必须包含大、小写字母字符和数字字符
网络安全
远程文件传输命令必须严格管理
必须通过防火墙,才能访问Internet
文件系统
必须安装防病毒软件,如Symantec的Antivirus软件。打开防病毒软件的实时监控功能,并且保持病毒库更新。
作为文件服务器的电脑不可以作为普通工作站来用。
未经许可的软件不得私自安装在电脑上。
重要数据需要加密存放,并设定严格的访问控制策略。
主机访问控制
第三方的主机访问控制软件可以在操作系统的安全功能之上提供了一个安全保护层。通过从核心层截取文件访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。
主机访问控制软件提供用户认证、口令管理和质量控制、访问控制、特权程序和进程的保护以及日志审计等安全功能。
建议在数据中心关键应用服务器上安装主机访问控制软件。
数据库系统安全
数据库安全包括数据库管理系统的安全和数据的安全两大方面。
数据库管理系统为用户及应用程序提供数据访问,并具有对数据库进行管理、维护等多种功能。数据库系统也是一种系统软件,它和其他软件一样需要安全保护。数据库的安全包括以下方面:
物理上的数据完整性:预防数据库数据物理方面的问题,如掉电,以及当被灾祸破坏后能重构数据库。
逻辑上的数据完整性:保持数据的结构,比如,一个字段的值的修改不致于影响其他字段。
元素的完整性:包含在每个元素中的数据是准确的。
可审计性:能够追踪到谁访问过或修改过数据库的元素。
访问控制:允许用户只访问被批准的数据,以及限制不同的用户有不同的访问模式,如读或写。
用户认证:确保每个用户被正确地识别,既便于审计追踪,也为了限制对特定的数据进行访问。
可获用性:用户一般可以访问数据库以及所有被批准访问的数据。
数据库加密:根据需求对数据库进行文件级、记录级或者数据级的加密。
选择与安全需求对应安全级别的数据库管理系统。
应用程序安全
应用程序安全是指对应用程序进行保护,保证应用程序正常的工作状态,对应用的安全保护着重于应用程序的机密性、完整性和可用性。
机密性:保证信息只被授权对象访问。
完整性:保证信息的正确性、可信和完整性。
可用性:保证应用程序的功能在需要时可用。
应用安全包括技术和流程方面的安全,以保证应用程序不受安全威胁。所有的威胁都应该考虑,但对于应用安全而言,人员相关的威胁是最主要的,如安全责任、误用和滥用等。
基于Web的应用往往会成为企业安全防线中最薄弱的环节。不安全的应用程序会导致系统宕机、生产效率降低、敏感信息暴露等严重损失。因此,安全应该成为每一个应用程序软件的一部分:
保证交付软件的质量满足客户安全需求
防止软件交付后安全方面的重大变更
避免法律方面的责任
应用安全风险评估
应用安全风险评估的目标是识别关键的信息资产,分析潜在威胁和存在的安全弱点。风险评估是定义应用程序安全需求的基础,为安全控制措施的选择和安全系统的设计提供依据。风险评估的步骤包括:
识别业务应用中有价值的资产
评估应用的潜在安全威胁,根据威胁的潜在影响进行评级
分析运作环境和程序代码中的安全弱点
分析可能的攻击类型和利用的安全弱点
分析每种攻击的频率、潜在损失以及可能对其它环境造成的影响
分析控制方法、成本和限制条件
安全需求
设计安全解决方案为应用程序提供安全保护,必须首先理解应用的安全需求。根据应用和相关数据重要性,应用需要不同的安全机制。安全需求必须基于风险评估,并且在设计阶段开始之前确定。
安全需求必须覆盖风险评估中识别的各种安全风险,并且与应用程序的其它需求进行协调和集成考虑。安全需求中不仅包括软件功能方面的安全需求,还应包括物理安全、管理流程、系统管理等非软件方面的需求。
认证
认证是指系统鉴别用户身份并验证的过程。一旦用户通过认证,则用户被确认为应用的正常授权用户。认证是任何应用程序对用户访问进行授权之前的必要步骤。
常用的认证技术包括口令、证书、Kerberos认证、智能卡、令牌、生物测定技术等。
弱认证:仅用户名和密码的认证。
强认证:使用令牌卡、生物测定技术与传统认证相结合的双因素认证或者三因素认证叫做强认证。
授权和访问控制
对文件的非授权访问可以威胁系统和数据的完整性和机密性。授权是指对访问主题授予特定的访问权限,如读、写、执行等权限。
授权经常根据访问控制列表(ACL)来完成。ACL可以存储在数据库或者目录服务器中。LDAP是一种常用的授权信息存储方式。
访问控制是基于预先定义的安全策略,来监视系统访问、识别访问请求、记录访问、授权或拒绝访问的一组安全机制和过程。对数据资源的访问控制的粒度可以根据与特定的资源、服务和文件来定义,包括:
数据访问方式(数据库权限,只读表空间等)
磁盘使用率
系统资源使用率
用户行为
最小权限原则
最小权限原则是指应在保证正常业务功能的情况下,限定访问主体获得最小的访问特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。
最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权,而角色允许主体以参与某特定工作所需要的最小特权去访问系统或数据。在应用程序内部,只有程序中需要那些特权的最小部分才拥有特权。
机密性
机密性是指保证数据不被非授权用户(或程序)访问。
数据加密
数据加密有两种类型:对称加密和非对称加密。
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥。
非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
应用程序通过以下方式为用户和程序提供安全通信:
可信通道:为应用程序之间通信提供加密的通道,如SSL
可信路径:为安全功能提供安全的路径,如用户建立过程。
加密密钥管理:包括密钥生成、分发、存储、访问、销毁。
支持安全服务,例如对日志记录和其它管理数据进行加密。
不可否认性
不可否认性是指是指通信者不能在通信过程完成后否认对通信过程的参与。不可否认性可以通过一种或者几种安全技术的结合可以实现。在认证、授权和日志审计中,可以使用以下技术:
数字证书:数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。
PKI:PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构——认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
数字签名:数字签名是指通过某种密码运算生成一系列符号及代码组成电子密码进行签名,利用发送者唯一的消息来实现对原始报文的鉴别和不可抵赖性。
数据完整性
数据完整性是保证数据库和其它文件职能被授权用户访问和修改,防止在本地存储或者网络传输的数据受到非法篡改、删除和破坏。数据完整性方面的威胁有:
人员误操作
数据传输错误
软件弱点或病毒
硬件故障,如磁盘错误
自然灾害,如火灾、水灾
数据完整性相关的安全控制包括:
通过安全机制限制数据访问
实施严格的认证
设计安全用户界面,防止非法数据输入
使用加密技术
传输数据使用错误探测和纠正技术
定期进行数据备份
使用防病毒软件
控制对服务器和管理工作站的物理访问
记录系统管理流程和维护活动
建立灾难恢复计划
可用性
高可用性(High availability)是指系统在长时间内持续稳定工作的能力,保证系统服务随时可用。网络集中的应用程序包括多个模块部分,需要基于备份、容错处理、数据存储和访问来规划高可用性。
对任何系统的高可用性,需要强调系统设计的各个部分在投入使用之前都必须经过严格测试。
高可用性可以通过安全编程实践、负载均衡、软硬件容错、系统监控等技术来实现。
高可用系统符合以下特征:
健壮性:系统能够应对和处理已知的攻击和其它形式的弱点利用,例如数据库可以设计防止失控的查询
资源分配:定义用户配置,限制分配的资源。应用程序应该保证不为用户分配额外的资源。
容错:即使在故障的情况下,应用程序应保持正确的运行。
可扩展性:在用户数或者进程增加时,系统必须保持良好的性能
灵活性:管理员必须拥有充分灵活的用户管理方式。
服务优先:应用程序必须对提供的服务设定优先级别。
易用性:系统的安全功能不能以损失用户功能为代价。
日志和审计
在数据中心的应用程序服务器上所发生的所有事件都必须有详细的日志记录,并进行定期审计。这些事件包括系统用户登陆和注销,应用程序用户的登陆和注销、数据库系统用户的登陆和注销、关键数据的读取、修改和删除、系统维护记录、日志管理等。
安全日志分析工具可以自动收集和分析系统的日志记录,帮助管理员及时发现非授权访问、系统异常行为等违法策略的行为。对安全日志分析工具需要考虑以下功能需求:
管理员必须确保在reboot时日志功能已被启动
系统设置成一旦日志记录文件空间被耗尽,则所有应审计的进程都将被挂起,直到有足够存储空间被释放为止
系统中必须有专门处理日志数据分析和归档的相应过程
管理员必须定期检查日志记录,及时发现想破坏系统安全性的企图
数据安全
数据资产列表
数据安全规划首先需要整理完整的数据资产列表,并根据数据的关键程度、敏感程度等确定数据的保护级别。
数据资产列表除了明确数据的所属业务、数据类型、逻辑位置和物理位置、所有者和管理者等基本信息之外,还需要明确:
关键业务数据可接受的恢复时间
所恢复的动态数据的更新要求
总数据集大小及卷和配额树的大小
文件数及文件大小
目录结构
数据类型和数据压缩
信息的价值决定了所用的保护技术,根据数据的安全等级和数据特点采取相应的技术保护措施。
中国联通应该定义信息和数据分级分类标准,根据数据的敏感程度和重要性对数据进行分级,并要求各业务部门和省分管理和维护数据资产列表。
数据访问
在中国联通企业安全架构中定义关于数据访问的通用方法,并针对每种应用的数据定义不同的安全要求。在可能的情况下,需要记录关键数据的访问需要进行严格的认证和授权,并进行日志记录。
用户分配
实现访问管理首先需要根据业务需求,定义可以访问资源的用户,并为用户定义资源的访问权限。定义资源的访问者和访问权限,身份认证与访问管理解决方案能够提供自动化的流程和工具来建立用户、禁止或者删除、分配权限,并进行口令管理。
应该明确定义企业应用用户管理流程,并结合已有的身份和访问管理解决方案,实现自动化和统一的用户管理和权限分配。通过自动化访问权限的快速实施,降低管理成本。还可以通过集成工作流纳入审批流程。
访问控制
对应用、数据库(存储或者备份介质)系统及其中的敏感数据的访问需要严格的控制策略。访问控制的基本原则是最小权限原则(Least Privileges,不为用户分配要求以外的权限)和需者方知原则(Need-to-Know,只有工作需要才能获得信息的访问权),这样分配给系统中的每一个程序和每一个用户的特权应该是它们完成工作所必须享有的特权的最小集合。
访问控制的目标是保护信息和信息系统及其它资源的机密性、完整性和可用性。访问控制保证经过认证的授权用户只能够访问授权访问的资源。通过配置用户的角色和资源控制,访问控制能够管理用户对数据的访问方式和权限范围。有效的访问控制系统可以记录用户所有的通讯和对数据的访问活动,保证安全审计的需要。
在企业中可以应用的访问控制技术包括口令、加密密钥、令牌、智能卡、生物识别技术等。
中国联通需要建立身份和访问控制系统,向企业业务应用和资源访问提供用户鉴别、认证、安全会话管理、授权服务。统一的访问控制还能够提供企业单点登陆或者简化登陆。
数据管理
根据信息产业部颁布的《电信服务规范》以及相关的法律法规和电信行业标准,中国联通需要对各种数据依照相关要求进行保留。中国联通需要根据这些需要遵守的法律法规制定相关的数据保留标准和策略,定义各种数据保留的周期和保存方式,并制定数据相关的灾难恢复标准和相关的指标。
根据数据保留周期的不同,数据保留方式包括在线保存和脱机保存。在线保存是指保存在应用系统的在线存储介质中。脱机保存是指通过磁带备份或者远程存储等手段对数据进行离线保存。一般需要长期保存的数据需要采用脱机保存方式。
数据管理生命周期包含从数据生成到数据销毁的整个过程,包括数据保留、数据归档、数据销毁三个阶段。有效的数据管理需要定义需要保存数据类型和保存周期,保证数据的访问安全并在数据保存周期到期后安全地销毁。
数据备份通常可分成在线备份和脱机备份两大类。在线备份目的是备份应用程序或者数据库系统,用于在发生故障时快速对系统进行恢复。脱机存储的目的是保存在线存储的副本或者系统产生的重要数据和文件资料。
通常的备份介质包括磁带和磁盘两类。磁带备份技术是最成熟、可靠的保全数据的方法。磁带是最便宜的数据存储介质;磁带是可移动的存储介质,其容量是无限的,只是与所使用的磁带数量有关,同时磁带可以脱机保存,确保了数据的安全性。磁盘备份,可大大提高备份和恢复的速度,有助于提高用户生产效率,减少因为系统故障引起的停机时间;更快的备份,可以满足现在乃至将来迅速增长的备份需求。采用高可用磁盘技术的可靠恢复,降低了由于存储介质导致的数据丢失风险。
保护数据的目的是在需要时可以予以恢复。数据恢复分为三类:
恢复意外删除或者破坏的文件
从存档数据中恢复较长时间以前的一个或多个文件
出现灾难时恢复文件系统
对关键数据的访问和操作应该进行详细的日志记录,并进行定期的安全审计,及时发现关键数据相关的非法访问、恶意修改和破坏等安全事件。
应用架构和安全开发
应用安全架构可以保证信息系统以安全的方式部署在一个安全架构之上,以实现保证企业资产信息保密性、完整性和可用性的目标。系统的安全不能仅依靠基础架构来保证,单一安全服务也无法实现长期的和多层次的安全保护。要实现深度的安全保障,应将系统架构与多种安全机制和技术结合在一起。每个应用系统如果有相应的层次的安全机制保护,就可以保证当局部组件或者流程发生安全问题时,不会危及整个企业的信息安全。 典型的安全机制包括加密,访问控制,数字公正和授权等等,如下图所示:
图 8 27 中国联通应用安全架构
所谓安全架构组件都是部署方便的、可以重用的服务组件。采用安全架构组件的好处是可实现各个安全组件的统一和标准化。
身份和访问管理服务
企业如果想有效的控制员工或者外部人员对企业系统和信息的访问,就要在人员注册的流程中保证准确的建立人员的身份。身份和访问管理服务帮助企业完善身份和注册机制的执行。另外,单点登陆和访问控制也是典型的身份和访问管理服务。
单点登陆服务通过建立单一的用户会话,为用户提供一个可以重复利用的通用界面,指用一次登陆就可访问多个系统和应用。
访问控制指只允许授权的用户、程序、流程和系统访问特定资源。访问控制是通过认证和授权服务的结合实现的。
选用何种提供身份和访问管理服务的技术是由企业的具体需求和资源控制粒度决定的,可以是简单的基于用户的访问控制也可以是基于动态角色的访问控制。
认证服务
所谓认证是识别和保证一个实体的真实性。应用系统和业务能力与认证服务共同保证企业资源。认证服务保护对系统和数据的访问,并保证服务器和系统与有权限的实体对话。 认证服务的实现可以基于以下方式:
基于密码、个人身份号码(PIN)等
基于Token设备,智能卡
基于生物特征,如指纹,声音等
仅采用某一种认证方法进行认证的认证服务叫做因素认证。如果需要更加强大的认证,则可需要至少两个认证因素。认证服务有如下类型:
用户ID/密码:最简单和常用的单一因素身份验证方法。用户ID/密码认证存在很多不同的标准和技术。其优点是简单易行成本低。单纯的用户ID/密码验证只是基本的验证。安全的体系架构在使用用户ID/密码验证的时候必须对用户ID/密码加密后再传送。基于密码的认证的主要弱点在于通过社会工程学和强制性技术就可以攻破用户ID和密码。因此,必须引导用户为自己选择比较强壮复杂的密码,并适当引入密码监控的流程。
Token和一次性密码:典型的双因素认证服务,使用硬件设备生成一次性密码用来验证密码拥有者的身份。也可以用软件程序生成这样的一次性密码。
证书:用于个人用户和系统,是公钥基础设施的一部分。详见公钥基础设施的部分。
生物测定:采用测量和统计分析生物数据的技术实现。在信息技术中,生物测定通常指测量和分析人体特征的技术,如指纹、虹膜、声音、脸部特征等,用于对个人用户的认证。
智能卡:和信用卡大小一样的设备,用来存储信息。卡内有集成电路,设有安全内存和硬件支持的安全功能。芯片中存储了数据和各种应用程序,数据和程序可更新。更高一次层的安全机制保证无论是卡的持有者或发放者都无法进行未授权的访问。智能卡的典型应用包括银行卡、旅行卡、校园卡、门禁卡,也可以实现电子购物、付费等。智能卡的验证必须要有个人身份号码(PIN),也属于双因素认证的认证机制。
授权服务
认证服务是保证某一实体的确切身份,而授权服务负责维护各个实体的访问权限。授权是指系统用来确认一个实体访问系统和资源权限的机制。授权服务在根本上是通过预先定义的访问标准、数据或系统功能的限制实现粒度控制。
访问标准中定义了访问特定系统和资源所需的各项属性。可以将很多不同类型的访问标准综合起来制定授权决策。访问标准中定义哪些属性是由各个应用系统的安全需求决定的。访问标准可以基于以下属性定义:
实体属性:访问限制可能是由要求访问实体本身的属性决定的。属性可以是实体的角色,或是实体的某一其它特性。例如:
- 只有具有人力资源角色的用户可以修改系统中的薪水信息。
系统属性:访问限制可能是由系统进行的交易的类型决定的,或者是由系统操作的数据的性质决定的,例如:
- 在银行系统中,银行职员如需从一个账户中转移资金到贷款账户中,则应有访问某客户账户和贷款记录的权限。
环境属性:访问限制可能是由时间和地点决定的。授权服务可以决定是否指在某特定时间段给与特定实体访问权限,或是决定处于某一逻辑或物理位置的用户是否具有访问权限。举例:
- 银行账户交易只允许在工作时间发生
- 某应用系统根据使用的网络的来限制对敏感数据的访问
访问标准以访问控制列表(ACL)的形式存储。ACL记录了联系着实体身份和特定系统资源的数据,以及各个实体对资源访问权限的类型。ACL可以在防火墙、网络服务器、应用服务器、数据库和网络上实现。
加密服务
加密服务采用加密技术在数据传输和存储过程中保护信息的安全。加密机制由加密算法和密钥两个部分。即使知道算法,如果没有密钥,也无法对信息进行解密。加密服务可以通过对称密码系统和公钥密码系统或者两者的结合方式实现。
对称密码系统:在对称密码系统中,密钥在交易的两个实体间共享。密钥加密成功关键在于在通信的过程中,没有第三方获取到密钥。为了使加密有效,必须有相应的支撑机制,保证生成唯一的密钥,支持密钥的存储,发放,收回,替代和修复。由于每对通信都要求一个唯一的密钥,大型企业中密钥的数量会非常大,难于管理。
公钥密码系统: 又称不对称密码系统,包括一对数学上相关的密钥,一个是公共密钥,一个私有密钥。与对称密钥系统不同的是,私有密钥不是两个实体共享的。想要加密信息发送给私钥持有者的人都可以使用公钥来加密信息,私钥是私有的,仅供持有者解密信息用。企业的每个个人都要有一对密钥,公钥密码系统更适用于企业。但是加密解密的过程要比单一对称密钥系统慢很多。因此,当加密性能是关键的情况下,如在数据传输中,适合采用对称密钥系统。
由于对称密码系统的密钥存储以及传输安全性问题,大部分的企业都采用对称密码系统和公钥密码系统结合的方式。比如,可在在通信建立的初期,用来安全的传送一个双方共享的临时密钥,再用这个密钥来加密/解密其余的信息。这是在email,互联网和TCP/IP安全中经常用的方法。
数字证书和不可否认性服务
数字证书是保证电子信息,如文档或文件,在某一时刻具备了某些内容,并且之后未经改动的一系列流程。不可否认性服务采用数字证书机制提供不可被破坏的证据,证明特定的行动或交易的发生。不可否认性服务有如下功能:
不可否认信息源:使消息的发送方不能否认曾发送该信息。
不可否认提交:使消息传送代理不能否认其已经将信息递交传送。
不可否认传递:使得消息接收者不能否认已经接受了该消息。
组成数字证书和不可否认性服务的核心组成部分包括数字签名、散列算法(Hash算法)、时间戳、数字证书等。
在电信行业中,数字签名技术可以实现以下服务:
帮助电信企业节省成本,改善服务。中国联通可以借助数字签名机制开展在线服务,发展新用户,节省采用第三方验证机制的成本。
以减少客户对为授权修改其业务的指控。中国联通可通过数字签名证实客户授权了某项业务修改。
公钥基础设施(PKI)
公钥基础设施(PKI)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。PKI主要有如下作用:
保证B2B交易的安全性
商务交易在互连网上的扩展,要求一种成本较低的保密性机制来保证Business to Business的交易安全
供应链整合产生了向合作伙伴,供应商和客户在一定程度上开放内部系统的需求
PKI可以实现原无关系的双方进行安全的交易。
保证高价值B2C交易的安全性
高价值的B2C应用需通过PKI减轻客户对于身份欺诈和个人信息泄露等的不安。
保证与安全交易相关的法律法规的一致性
保护企业资产的私密和完整性
自动文件和文件夹进行加密/解密,对敏感信息加以限制保护,防止电子欺诈和窃听
对电子邮件加密防止信息泄露.
为无线市场提供更有力的安全保护
移动数据市场蓬勃发展的需要成熟的安全技术
移动商务交易的安全管理需要无线PKI解决方案以及客户服务器公钥证书
PKI 由证书授权机构CA,注册授权机构RA,证书管理系统CMS和或LDAP目录网络组成。中国联通可根据实际情况选择开发和维护自己的PKI解决方案或者外包给第三方。
目录服务
所谓目录是一种特殊的数据存储,其特殊性在于,用户很少对这个数据存储进行更新或者写的操作,大部分的操作都是从数据存储中读取数据。应用LDAP协议的目录服务可以简化企业内部资源共享和通信。LDAP协议定义了应用系统与目录服务器之前的信息传递语言,可以简化信息的交互,便于目录信息在企业全局范围内的共享。这样,企业中的不同应用系统,在不同地理位置的员工,都可以方便的从同一个目录中获取信息。
目录服务通常有如下用途:
典型用户
描述
认证
存储认证和授权凭证
允许多个系统在单一位置验证用户凭证。
资源管理
管理目录相关的设备,如服务器,打印机,网络设备等。
用户数据存储
存储用户信息包括电子邮件,办公地点等
应用数据存储
存储应用系统的设置信息
元目录
将不同的目录或者数据存储中的数据同步到一个统一的中央存储中,或在不同的目录间同步。
Web服务
Web服务“Web service”是指采用一系列标准互联网技术,保证在互联上以一定的标准实现服务功能的应用软件。提供Web服务的基本的互联网协议和标准包括:
连接 (HTTP) - 互联网的数据传输协议。
表现 (XML) - 独立于平台,语言上中立的数据表现格式。
交易 (SOAP) – 基于XML,可扩展的信息交换协议。
描述 (WSDL) – 基于XML的协议语言,由IBM和Microsoft联合开发。
查找 (UDDI) - 定义Web服务提供商宣传其服务和消费者查找其所需服务的机制。
Web 服务实现内部系统,外部系统,内部与外部系统间,企业间和设备间互联,这种互联在Web服务出现前是不可能实现或很难实现的。Web服务使企业与客户,合作伙伴,供应商安全的集成在一起,而不需了解其系统的细节。Web服务还可允许企业利用已有的IT投资,通过通用的技术,标准和工具实现与客户的互联。
安全问题是企业部属web服务的最大忧虑。下面的表格部署Web服务前必须要解决的安全问题:
安全需求
描述
解决方案
安全通信信道
通信必须是安全的(在传输或管理层),应防止第三方窃听和盗取动心数据,有要允许合法的访问者处理通信消息
SSL (Secure Socket Layer) & TLS (传输层安全)安全协议与HTTP结合 保证Web通信的安全
验证处理方身份
必须由能够验证处理方身份的机制,避免影响交易的安全性
SAML (Security Assertion Markup Language):实现认证和授权信息交换的标准
验证请求方身份
认证过程必须确定申请方的身份,并且申请方不能否认其在交易中的参与
XACML (XML Access Control Markup Language) 是实现对授权策略定义的标准。
XKMS (XML Key Management Standard) 是提供数字证书和密钥管理的标准
管理安全权限
必须实施管理控制机制来管理不同实体应具备的安全权限
WS (Web Services)-Security Extensions是提供认证授权,信任管理相关的安全功能的标准
日志服务
日志服务提供了一个集中的安全事件数据库。一个完善的安全架构会采用日志服务来记录安全策略和标准中规定的所有安全事件。一旦出现入侵事件,可通过日志进行事件追踪,并为事件调查提供证据。日志记录主要有2种方式:
集中式事件日志记录:事件日志的作用是记录重要事件的发生。所谓事件,可以是用户的一次登陆,对文件的一次修改,或者对用户权限的一次修改等。集中的日志存储提供一个集中的安全事件,错误报告,系统预警,诊断消息和状态消息的采集点。事件日志在维护系统安全中起着重要作用,可供追踪用户针对系统的各种行为和操作。集中式事件日志的好处是可以更方便的进行信息关联和分析。这些安全事件信息是来自不同的设备和系统,如入侵检测系统,定制的应用系统,操作系统,网络路由器,web/应用服务器等。集中的事件日志的传送可以通过SNMP事件管理实现。SNMP事件可以通过接口传送给企业运行管理系统进行集中存储。
分布式事件日志记录:在一个分布式的日志环境中,每个设备或者应用将日志写入自己的日志文件中。可采用日志扫描工具,以设定的时间周期,到各个系统和设备中采集重要的时间数据并生成报告。
企业系统众多,每天都会生成大量的日志数据,日志分析工具要具备如下功能,才可以实现全面的有效的日志审核:
从不同的系统采集审核日志(操作系统,数据库,入侵检测系统,防火墙,路由器和应用系统等)
对事件进行优先级排序,识别需要采取补救措施的事件并及时补救
对事件数据进行标准化,关联,生成报表,生成预警等操作。事件数据还可以通过配置,在探测到系统中异常活动时自动触发进行响应。
安全开发
开发安全的系统必须使用全面的、集成的安全开发方法。在系统开发的各个阶段都应采用安全开发方法以保证满足系统的机密性、完整性和可用性需求。这里指的系统可以是操作系统、应用程序、网络、数据库或者独立服务器、Windows域等。
安全开发为企业的系统开发生命周期(SDLC)的规划、分析、设计、构建、测试和部署各个阶段提供了高层次的安全需求。
规划:根据业务需求和企业安全策略,为新系统定义高层次的安全需求
分析:理解安全环境,识别详细的安全需求和安全设计的范围,制定安全测试方法和计划
设计:设计安全架构,定义开发安全需求
构建:开发和构建安全的系统,执行代码安全检查,提供安全的运行环境
测试:执行安全测试,并修正发现的问题
部署:安全地部署和迁移,并对用户进行培训
身份与访问管理(I&AM)
身份管理是指在数据中心系统中用户数字身份创建、维护、使用和终止的一系列过程、工具和社会约定,该数字身份从广义上而言,不仅仅是个人的,而是系统和服务的,主要用于确保不断扩展中的系统及应用能被安全访问。
身份管理与安全、信任和隐私管理之间有着密不可分的联系。一直以来,身份管理已经成为系统安全环境中的核心部分,主要用于维护账号信息,以控制用户登录访问系统或一些应用。一个管理员负责分发账号,这样资源访问就可以得到严格约束和监控,因此访问控制是身份管理的关键。
中国联通实施统一的身份和访问管理解决方案,对企业有以下益处:
改善用户管理、访问权限处理和数据质量
通过增强数据质量、实施正确的用户和访问权限管理流程,可以在安全和效率方面得到提升。
也包括在不同的应用实施基于角色的访问控制、基于HR数据来实施书面访问权限工作流程。
在现有平台环境中集中用户认证和授权 .
尽可能依靠通用的认证和授权的基础设施组件(如Microsoft Active Directory)来控制用户访问权限,减少管理工作量。这种方法对同构网络和相对简单的环境更为有效,但必须考虑性能影响和不同应用的认证模型带来的限制。
依赖成熟的身份和访问管理方案.
对复杂的异构网络或者高风险的环境,为了提供更高水平的安全性,身份和访问管理技术方案可能需要对安全策略的高度遵循,从而能够减少管理工作量、降低开发和维护成本。
资源管理
资源是网络身份管理系统实施安全保护的核心。企业内部的资源包括需要限制授权用户访问的内部服务器、业务应用、数据库、技术设施服务、工作站、网络设备等。
为了实现有效的安全访问管理,需要根据各种资源的业务访问需求、敏感程度、关键程度等对资源进行分类和分级,对资源的访问粒度进行细分,从而为控制各种用户角色对资源的访问策略奠定基础。
身份管理
访问控制的基础是定义用户对资源的访问策略。企业用户管理的一个有效解决方案就是基于角色的访问控制,根据不同的业务需求对资源访问对象分组,每组访问对象就是一个访问角色,并根据角色对资源访问进行授权。
基于角色的系统安全控制是通过分配和取消角色来完成用户权限的授予和取消,并且提供了角色分配规则和操作检查规则。安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。
用户身份管理向用户提供身份注册和密码管理、用户配置管理,还可以向第三方业务伙伴或者其它企业中的其它业务单元提供委托管理。
用户部署
用户部署将用户对系统、应用和资源的访问实现自动化管理。通过自动化访问权限的快速实施,降低管理成本。还可以通过集成工作流纳入审批流程。
用户部署服务利用企业身份和策略数据库包含的用户信息,加速用户管理、认证和访问授权。其中包括电子邮件、电话服务、应用程序、人力资源应用程序、企业及功能性应用程序系列、Internet 和 Extranet 访问以及帮助台服务。
用户部署服务还有包括解除供应和重新供应。当雇员离职或职务变动时,用户部署服务能提供对用户身份的禁用或删除,同时更改或撤销访问权限。
访问管理
访问管理服务为集成的应用和Web服务提供用户鉴别、认证、安全会话管理、授权服务。通过集中化的认证、授权和会话管理,应用开发人员可以在应用中集成这些访问管理模块,而不需重新开发。
大多数厂商提供的身份和访问管理技术解决方案(如Thor、RSA、CA、IBM、Sun、Oracle、HP、Mircosoft等)都包含标准的访问管理模块供应用程序集成。
技术架构
身份和访问管理的技术架构如下:
图 8 28 身份和访问管理技术架构
身份和策略数据库:用来存储身份和身份属性数据、审核数据、配置信息、策略等。用户包括企业员工、客户和合作伙伴等。通常目录服务或者数据库可以提供统一的用户身份存储、策略和日志信息,作为集中的用户部署信息库,是认证和访问控制服务的基础。
身份和访问管理:可以提供身份生存周期管理服务,例如密码管理、工作流和同步逻辑。并提供一组客户和管理员附加组件,用于简化身份管理架构的交互和管理。其中包括自服务和授权管理。同时,可以在不同的身份管理系统间交换与身份相关的安全数据。
访问控制:根据既定的身份和策略数据库实现认证和授权。
支持性安全技术:如PKI技术、认证技术(智能卡、令牌、生物认证)、加密技术等。
流程管理
认证和访问管理涉及的流程如下图所示:
图 8 29 认证与访问流程管理
身份管理
身份管理流程管理企业内所有人员的身份,也包括所有与该身份相关的属性。身份管理可以是自助的、委托的、全集中的,或者是混合的模式。由于成本低效率高,自助管理和委托管理为大部分企业采用。.
自助身份管理
自助身份管理将一定的终端用户管理流程自动化,用户不用求助于部门,可以自己维护自己的帐户。对管理效率的提高和支撑成本的降低是显而易见的。终端用户自助管理的内容如下:
自助注册:用户可将自己的信息注册在不同的系统和应用上。
自助登陆:用户可以通过自助流程自动发出访问系统或应用的申请。
修改密码:用户可自行修改密码。
档案管理:终端用户可自行管理其档案。
委托管理
对于可以访问企业部分系统和应用的外部用户,如合作伙伴等,企业往往需要调配资源对外部用户身份和访问的进行管理。通过身份和访问管理解决方案,企业可以将耗时费力的用户管理流程安全的委托给下属部门、合作伙伴或者客户去完成。这些外部用户,虽然没有全部的行政管理权限,但可以使用系统的用户管理功能。从而加快的批准外部用户访问企业资源的时间,也降低了企业的IT管理开销。委托功能通常包括:
管理用户或者用户组: 委派用户管理的流程给下属部门、合作伙伴和用户。
批准:委派批准的权力给下属部门、合作伙伴和用户。
资源管理流程
资源管理流程管理系统环境中所有的资源以及资源的各个相关属性,包括注册某项资源以及管理与这项资源相关的安全档案。资源管理流程可以分为安全管理和资源部署两个部分。
应用安全管理
应用安全管理负责将应用系统注册到身份和访问管理系统中去,并配置该应用系统的各项安全档案和指标。
资源部署
资源部署流程将如打印机、网络设备等资源注册到身份和访问管理系统中,并建立这些资源的档案。建立档案包括定义与该项资源相关的各种需求、使用成本等。权限管理会利用这些资源信息来决定某项资源是否可被某个身份访问。资源部署流程允许企业感觉某一实体的身份发放各个资源的安全访问权限。
权限管理
权限管理流程决定哪些资源和系统可以被某一身份访问。在实现这一功能之前,用户的身份必须建立起来,身份被赋予了相应的角色,并且资源和应用系统也已经注册到系统中。权限管理采用基于角色的访问控制流程,一个实体在企业中的角色 决定了这个实体可以访问哪些系统和资源。对许可的管理流程,包括如下三类活动:
获知该身份的角色和职责
获知应用或资源的安全档案
有效建立和维护每个角色与资源或应用系统的许可影射关系
符合性监控流程
符合性监控流程监控各个流程组件,使其符合安全策略和审计要求。符合性监控可以解决以下问题:
某一特定身份可以访问哪些系统和资源,访问权限如何(如:这个身份可以对某一资源进行哪些操作)
为什么此身份需要访问这项资源或系统(如:谁是批准人)
都有哪些身份可以访问某一特定的资源或者系统(谁可以看到敏感数据)
安全运维
安全运维为业务运营提供日常的安全运行和维护支持,运维人员需要维护网络、服务器、数据库和应用环境。安全运维活动包括安全监控、补丁管理、配置管理、变更管理、事件响应、备份和恢复等。良好的安全运维需要清晰的操作流程、高素质的运维人员和完整而明确的文档记录。
安全运维管理负责建立监控安全相关事件和事件发生后举措的流程和制度。安全运维必须与整体安全战略一致,在安全管理框架下监管和验证安全符合性。
安全监控
安全监控作为持续改进型安全过程的重要环节,为安全过程的改进提供需求和过程证据。
安全监控管理定义监控哪些事件。通常,被监控的事件会按照其危险程度被分类。需监控事件和忽略事件的划分是很重要的。如果过度监控事件,可能会导致事件过多,造成系统和网络拥塞。由于系统安全模式和环境会不断发生变化,安全漏洞也会发生变化,因此被监控事件的列表应时常更新。
安全监控的手段包括:
弱点管理
弱点管理包括弱点的识别以及弱点的控制。
弱点识别的主要方式是弱电扫描。弱点扫描是在互联网环境下针对UNIX、Windows系列系统、路由器等网络设备,以及防火墙和IDS等安全装置,自动远程检测和分析系统安全弱点,并提供弱点检测报告和解决方案,从而有效检查网络系统的可靠性和安全性,了解目前网络中的安全现状。
弱点扫描技术与防火墙、入侵监测系统互相配合,能够提供很高安全性的网络。
通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全弱点,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全弱点和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和主机监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击的发生,做到防患于未然。
入侵检测
入侵检测不仅仅是工具的选择,作为一种分析事件记录和网络数据包以提供检测、响应、毁坏情况评估及起诉支持功能的一种技术,入侵检测系统(IDS)已成为全面的信息保护计划中的一部分。有效的使用IDS,除了所选择的产品要具备先进的检测技术和检测方法外,还要求良好的部署策略,有效的操作与使用方法,合理的事件响应流程,最终实现围绕企业的安全策略,制订审计和检测策略,通过IDS产品及相关的服务来帮助组织解决安全问题。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息。
事件响应
事件响应和分析是事件管理中的一个重要部分,主要任务是对通过对日志记录和安全监控发现实时事件进行集中收集,并根据这些事件由相关负责人员进行事件响应处理和分析。
这种事件响应和分析还在某个业务内部范围内,是一种基础的事件响应机制。主要目的就是保障业务的安全运行,在存在安全事件的情况下能够最小化事件损失。
一旦发现了信息安全遭到破坏的可能,或者已经确定出现了信息安全问题,应立刻对问题展开调查。安全问题调查和事故响应战略的建立是为了支持调查的进程。安全管理部门必须为安全事件响应团队清晰的定义角色,流程和培训计划。一个有效的安全事件响应团队需要:
关于如何处理安全事故的清晰流程。
评估事件带来的风险和应采取的短期措施的指导原则。
在处理安全紧急问题时关键的决策链细节。
中国联通需要定义整体的安全事件响应流程,也需要为特定的业务制定响应机制。
变更管理和配置管理
变更管理管理流程,用于控制和管理变更请求(RFCs)。变更请求是通过对IT基础设施或IT服务的一部分进行变更,来改善服务质量,降低服务被中断的风险。变更管理还包括控制和管理继变更请求得到批准后的变更的实施。
配置管理管理流程,包括规划、确认、控制、维护和核实服务中的配置项,通过记录和报告它们的状态,支持变更管理和评定改变这些配置项对IT服务的潜在影响。
安全配置管理接受变更管理请求,通过对安全问题管理库和系统安全配置管理库的维护,进行补丁、系统安全加固的管理,从而实现安全配置的管理。
安全补丁管理
安全补丁和版本管理的管理是指对操作系统、应用软件和网络设备的安全补丁认证和加载、软件功能变更、新版本的确定、版本更新等项工作的管理。
补丁管理系统的建立需要有统一的管理,制定统一的流程和制度,需要实现在一定的技术手段下,把工作对应到相应的人员,明确规定针对补丁的跟进和发布、补丁的获取、补丁的测试、补丁的加载、补丁的验证以及补丁的归档管理,使补丁管理工作成为日常安全管理工作的一个部分,并能够做到定期审核,专人监督,有效结合应急和恢复机制,使系统、应用和设备的补丁管理工作正常、有序、高效进行。
灾难恢复和业务连续性
如果企业具有定义完善的灾难恢复计划计划和业务连续性规划,就可在发生意外情况的时候,将企业数据丢失等安全风险降到最低。根据不同系统的重要性和恢复的成本,安全管理部门负责制定整体的灾难恢复解决方案。在安全战略中定义的最重要的资产应该得到最优先的保护。灾难恢复方案的成本要与所保护的系统,信息和业务的价值挂钩。
灾难恢复是指当系统,网络或其它组件发生故障或遭遇灾难时, 有效的恢复系统和数据。灾难恢复计划指出恢复系统组件所需的步骤,并指出如何配置软硬件。
业务连续性规划支持在发生灾难时保留和恢复关键的业务流程。建立业务连续性解决方案的时候,要对企业的系统和服务按照其重要程度进行优先级排序。对不同重要程度的系统或服务,会有不同级别的容灾方案,通常可分为如下几类:
冷站备份方案(Cold Site):企业明确灾难发生后恢复业务运行所需的设备,但并不提前购置这些设备。只备份数据。当灾难发生时, 企业需购置所需设备,然后在通过备份数据恢复数据到新建立的系统中,恢复业务运行。这种容灾方案的成本是最低的,但是恢复时间却是最长的。
温站备份方案(Warm Site):在温站备份方案中,企业在备份数据的同时,也购置了灾难发生时恢复业务所需的硬件设备。但企业并不使用这些设备。当灾难发生时,可以立即配置这些设备并恢复数据。这种容灾方案的成本显然高于冷备方案,因为企业提前购买设备,并且如果灾难不发生,这些设备就处于闲置状态,但是这种方案的恢复时间也比冷备方案小的多。
热站备份方案(Hot Site):热站备份方案中,企业不但备份数据,购置容灾设备,还配置设备,使容灾站点完全处于可运行状态,与运行中的生产系统无二。当灾难发生时,容灾站点可以立刻接管受灾站点的全部工作。这种方案是非常昂贵的,适用于发生灾难时,生产系统必须立刻恢复的情况。
业务连续性规划中应该覆盖如下基本的场景:
容灾站点建在同一城市的不同地点。当有可能发生火灾,爆炸等灾难。
容灾站点建在同一国家的不同城市。当有可能发生区域性灾难,如洪水等。
容灾站点建在其它国家。当国家政局不稳定,随时出现政府变动的情况下。
安全管理
安全管理保证在企业安全战略定义范围内的资产在适当的控制下得到有效的保护。安全管理定义信息安全管理的方法,发起和管理企业范围内安全工作,最小化信息安全风险,满足企业,客户和法律法规的需求,支持企业的业务目标。
安全管理承担整个企业安全的管理责任。安全管理定义,建立和维护安全组织架构,制定安全管理结构。例如,安全管理决定是否下放安全功能,是否定义报告结构。
一个完善的安全管理体制包含如下组成部分:
图 8 30 安全管理
安全组织架构
在明确了安全战略并获得高层管理者的认可后,安全管理的下一步工作就是定义,建立和维护安全组织架构。安全组织架构定义的重要工作之一是定义评估标准,辅助安全管理人员跟踪工作执行情况。首先要定义关键绩效指标(KPI) ,而后对指标进行长期的维护和修改。
中国联通安全工作管理采用统一领导、分级管理、分级负责的原则。根据现有网络结构和运行模式,选择和开发适合的安全组织架构。
安全组织架构解决的具体问题和主要功能如下:
明确关键安全功能
明确当前安全职位的人员组成
定义安全管理领导人员的职责
定义安全组织架构和功能
定义安全组织架构的各个角色和职责
定义在企业内的安全部署
定义安全策略,流程和指导原则
定义安全组织架构
管理和检查日常安全操作
与其它业务单元协调
向高层领导汇报
在企业中,安全应该有专人来总体负责,全程负责信息的安全工程,从建立,实施到维护。并向高层领导汇报。
要求各安全岗位工作人员必须具备较高的政治素质和与岗位相适应的业务技术能力。建立安全技术培训计划,通过各种培训方式,提高各级管理人员和专业人员安全技能,降低安全操作风险。
安全策略和标准
安全策略和标准是所有与安全相关活动的基础,其作用是在企业范围内实现安全技术和安全运维的一致性,从而减少安全事故发生的机率,产生的影响和造成的损失。安全制定和标准一经确立,将为安全架构的其它环节提供决策依据。
安全策略
安全策略通常与采用的技术无关,不是非常具体的,直接关心的是风险。安全策略建立安全操作的指导原则和流程,并明确指出违背以定义的安全策略将受到的惩罚。一条策略可以是:所有用户访问系统必须有唯一的用户名。安全策略在涉及具体安全操作的的描述上,不可出现语义不清等,信息混淆的情况。
安全策略要寻求如下几个元素间的平衡:
安全级别
用户使用方便性
成本
安全策略如果没有协调好以上3个元素之间的平衡,安全策略的执行效果就不能保证。通产企业中会有多套安全策略供不同的员工使用。因为不是所有的制度都适用于所有的员工。距离来说,终端用户不可能去关心网络和服务器运行的安全细则。企业应将安全策略按其受众分为如下一些类型:
系统安全策略 提供企业所有系统的实施和维护中的安全要求,包括:应用系统,数据库,操作系统,安全设备,网络设备。对象为系统和数据库管理员,网络工程师,系统开发人员等。
网络安全策略 可以是系统安全策略的一部分,也可以独立出来,单独针对网络设备,如路由器,交换机,代理和防火墙等。
用户安全策略 终端用户往往不是技术人员,此类制度应该是最简单和教育性的。用户安全策略的内容应与用户的日常行为直接相关,如用户如何使用密码,如何处理数据和如何保护他们自己的电脑等。
用户许可使用策略 虽然也是适用于普通的用户的,但是注重的不是数据系统等企业资产的安全保护,而是一些法律性的安全策略。此类安全策略往往由企业的法律部门制定,而不是安全管理部门。可接受用户制度规定如何使用企业资源,以防止版权侵害,和其它非法行为,如在线赌博等。
个人隐私保护制度 此类制度用于广大的消费者。但是企业员工应该熟悉个人隐私保护制度的条款。
企业所需安全策略不仅限于以上的种类,例如如果企业有较多的合同代理商,可以设定专门的代理商访问系统的安全制度。
安全标准
安全标准定义了执行安全政策所需的强制性需求。标准可以是独立于系统的,也可以是不独立于系统的。例如,一个认证的标准可以适用于各个平台,可能包括“所有用户必须有唯一的用户标识,各格式必须为<姓><名>”。而一个windows特定的标准可能为:“用户帐户必须有密码永远不过期的检查栏未钩选。”
企业在不同领域会有很多不同的标准。下面列出的标准种类是应在安全架构中考虑的:
操作系统安全标准
个人电脑安全标准
网络设备安全标准
防火墙安全标准
无线安全标准
认证安全标准
审核和日志标准
数据分类标准
安全指南
安全指南定义了执行某项安全策略时建议的行为。安全指导原则不是强制性的,但应该尽可能广泛的执行。指导原则通常为某一特定场景定义,帮助指导特定的行为。例如:“所有成功的登陆都应该被日志记录和监控”
安全操作流程
安全操作流程为安全人员提供实现安全策略、标准和指南所需的具体的操作规程。例如,生成一个UNIX用户的流程,包括生成用户标识,原址目录和被分配的权限等。
安全意识
安全意识对企业安全至关重要。安全的信息流中最薄弱的环节就是人的环节。企业必须有一套安全意识规划,并在员工,合作伙伴和客户间充分宣贯。安全意识规划的目的影响员工的日常安全行为。安全意识的宣贯通常要强调:
安全重要性。
安全策略体现在个人身上的权利和义务。
个人应采取的保护性行动。
有效的安全规划会增加信息安全的明显度和重要性,并保证每个个人意识到信息安全是企业文化的重要部分。安全意识规划应随着企业业务能力的提升不断更新。
安全符合性管理
安全符合性保证信息安全能力的完整性,安全符合性包含了企业员工执行的所有用以保证安全制度和标准的生成,执行,评估,更新的功能。安全制度和标准只有被执行了才能体现出价值。安全符合性的工作就是通过安全审计和安全考核来支持安全制度和标准的执行,不但包括安全制度和标准执行情况的审核,也负责审核结果带来的后续工作。
安全审计
安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况,发现安全隐患的过程。安全审计的范围应包括与公司网络信息系统安全有关的所有范畴,包括各类网络与信息资产、组织与人员(管理层、员工、用户、第三方等)和业务流程等。
管理审计应侧重管理层面检查所有人员(包括第三方)是否履行其在公司业务流程中承担的职责,管理人员是否其职责范围内确保公司的安全策略和控制措施得到有效落实。
技术审计应检查安全策略和控制措施中技术层面的落实情况。技术审计应由经验丰富的授权人员利用专业技术手段和适当的审计工具进行,如漏洞扫描、渗透测试等。
资产责任人应为安全审计提供支持,对安全审计中发现的问题进行分析,确定并采取必要的整改措施。管理层应跟踪督促责任人按期完成整改。安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况,发现安全隐患的过程。
安全审计可由公司内部审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验。当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。审计方与被审计方应保持相对独立,即不能自己审计自己的工作,以确保审计结果的公正可靠。
安全考核
安全考核要求根据安全审计内容制定关键绩效指标(KPI),并通过安全审计对部门和人员的安全KPI进行评定,将安全考核纳入部门和人员的工作绩效考核体系,从而提高各级管理生产及管理人员安全意识,不断促进安全防范及管理工作深入进行。
规范体系框架
中国联通IT系统规范标准体系框架分为两层:总体规范和系统规范。
总体规范主体分为五大部分,分别从IT系统架构、IT集成架构、IT实施演进、IT数据架构、IT基础架构方面进行规划设计,指导后续系统域规范和系统规范的制定。
系统规范由业务规范、技术规范、数据模型规范、测试规范等方面组成。
规范体系
总体规范
总体规范从整体上描述中国联通系统体系架构中的各个方面,主要包括IT系统架构规范、IT集成架构规范、IT实施演进规范、IT数据架构规范、IT基础架构规范等方面内容。
IT系统架构规范主要包括总部和省分系统功能架构,侧重于从总体方面描述系统功能框架,并且从BSS、OSS、MSS三个系统域的角度对系统域规范和系统规范的制定提供整体方向上的指导。
IT集成架构规范主要是定义IT系统架构中主要系统之间的详细集成关系。
IT实施演进规范对目标IT系统架构的演进路线和实施策略提供整体方向上的指导。
IT数据架构规范从数据分类、数据分布、数据CRUD规划、数据模型和数据管控等方面进行阐述,它包括企业数据模型规范和企业数据仓库相关规范等,为规范企业数据管理,建设企业级数据仓库提供整体方向上的指导。
IT基础架构规范从基础设施、容灾、安全等方面为IT系统建设提供指导依据。
总体规范与系统域规范和系统规范之间的关系是:
总体规范中的IT系统架构规范是制定BSS、OSS、MSS系统域总体规范的依据;
总体规范中的IT实施演进路线以及IT基础架构规范是制定各系统技术规范与实施规范的依据;
总体规范中的IT数据架构规范是制定相关系统数据模型规范的重要依据;
系统规范
系统规范包含业务规范、技术规范、数据模型规范、测试规范几个部分。
系统业务规范侧重于对目标系统需要满足业务功能和流程进行详细的描述。
系统技术规范侧重于从技术架构实现的角度阐述如何完成对系统业务规范中的定义的业务功能进行支撑,同时定义系统内部接口关系。
系统测试规范侧重于对系统(含相关应用软件产品)的测试进行规范,包括测试目标、测试范围、测试方法、测试用例的设计、测试环境等。
系统数据模型侧重于描述一些关键系统的核心逻辑模型,这些模型需要系统遵循,为规范中国联通的系统建设提供相应的数据模型标准。
中国联通IT系统标准规范体系具体如下表所示:
规范类别
规范名称
IT系统总体规范
中国联通IT系统总体技术体制
中国联通IT系统数据架构规范 总册
中国联通IT系统数据架构 数据分类和分布规范 分册
中国联通IT系统数据架构 企业数据模型规范 分册
中国联通IT系统数据架构 企业数据仓库规范 分册
中国联通IT系统数据架构 编码规范 分册
中国联通IT系统基础架构规范 总册
中国联通IT系统基础架构 基础设施规范 分册
中国联通IT系统基础架构 容灾架构规范 分册
中国联通IT系统基础架构 安全架构规范 分册
中国联通IT系统集成架构规范
CRM系统规范
中国联通IT系统BSS系统域 客户关系管理系统(CRM)业务规范
中国联通IT系统BSS系统域 客户关系管理系统(CRM)技术规范
中国联通IT系统BSS系统域 客户关系管理系统(CRM)测试规范
中国联通IT系统BSS系统域 客户关系管理系统(CRM)数据模型规范
PRM系统规范
中国联通IT系统 BSS系统域 合作伙伴关系管理系统(PRM)业务规范
中国联通IT系统 BSS系统域 合作伙伴关系管理系统(PRM)技术规范
中国联通IT系统 BSS系统域 合作伙伴关系管理系统(PRM)测试规范
中国联通IT系统 BSS系统域 合作伙伴关系管理系统(PRM)数据模型规范
综合计费帐务系统规范
中国联通IT系统 BSS系统域 综合计费帐务系统 业务规范
中国联通IT系统 BSS系统域 综合计费帐务系统 技术规范
中国联通IT系统 BSS系统域 综合计费帐务系统 测试规范
中国联通IT系统 BSS系统域 综合计费帐务系统 数据模型规范
经营分析系统规范
中国联通IT系统 BSS系统域 经营分析系统 业务规范
中国联通IT系统 BSS系统域 经营分析系统 技术规范
中国联通IT系统 BSS系统域 经营分析系统 测试规范
中国联通IT系统 BSS系统域 经营分析系统 数据模型规范
综合结算系统规范
中国联通IT系统 BSS系统域 综合结算系统 业务规范
中国联通IT系统 BSS系统域 综合结算系统 技术规范
综合采集系统规范
中国联通IT系统 BSS系统域 综合采集系统 业务规范
中国联通IT系统 BSS系统域 综合采集系统 技术规范
企业外部门户系统规范
中国联通IT系统 BSS系统域 企业外部门户系统 业务规范
中国联通IT系统 BSS系统域 企业外部门户系统 技术规范
中国联通IT系统 BSS系统域 企业外部门户系统 测试规范
企业决策支持系统规范
中国联通IT系统 MSS系统域 企业决策支持系统 业务规范
中国联通IT系统 MSS系统域 企业决策支持系统 技术规范
中国联通IT系统 MSS系统域 企业决策支持系统 测试规范
中国联通IT系统 MSS系统域 企业决策支持系统 数据模型规范
企业资源计划系统规范
中国联通IT系统 MSS系统域 企业资源计划系统 业务规范
中国联通IT系统 MSS系统域 企业资源计划系统 技术规范
中国联通IT系统 MSS系统域 企业资源计划系统 测试规范
企业协同办公系统规范
中国联通IT系统 MSS系统域 企业协同办公系统 业务规范
中国联通IT系统 MSS系统域 企业协同办公系统 技术规范
中国联通IT系统 MSS系统域 企业协同办公系统 测试规范
企业内部门户系统规范
中国联通IT系统 MSS系统域 企业内部门户系统 业务规范
中国联通IT系统 MSS系统域 企业内部门户系统 技术规范
中国联通IT系统 MSS系统域 企业内部门户系统 测试规范
集成订单系统规范
中国联通IT系统 OSS系统域 集成订单系统 业务规范
中国联通IT系统 OSS系统域 集成订单系统 技术规范
中国联通IT系统 OSS系统域 集成订单系统 测试规范
中国联通IT系统 OSS系统域 集成订单系统 数据模型规范
服务开通系统规范
中国联通IT系统 OSS系统域 服务开通系统 业务规范
中国联通IT系统 OSS系统域 服务开通系统 技术规范
中国联通IT系统 OSS系统域 服务开通系统 测试规范
中国联通IT系统 OSS系统域 服务开通系统 数据模型规范
综合服务质量和性能管理系统规范
中国联通IT系统 OSS系统域 综合服务质量和性能管理系统 业务规范
中国联通IT系统 OSS系统域 综合服务质量和性能管理系统 技术规范
中国联通IT系统 OSS系统域 综合服务质量和性能管理系统 测试规范
中国联通IT系统 OSS系统域 综合服务质量和性能管理系统 数据模型规范
综合故障管理系统规范
中国联通IT系统 OSS系统域 综合故障管理系统 业务规范
中国联通IT系统 OSS系统域 综合故障管理系统 技术规范
中国联通IT系统 OSS系统域 综合故障管理系统 测试规范
中国联通IT系统 OSS系统域 综合故障管理系统 数据模型规范
综合生产调度系统规范
中国联通IT系统 OSS系统域 综合生产调度系统 业务规范
中国联通IT系统 OSS系统域 综合生产调度系统 技术规范
中国联通IT系统 OSS系统域 综合生产调度系统 测试规范
中国联通IT系统 OSS系统域 综合生产调度系统 数据模型规范
综合告警监控系统规范
中国联通IT系统 OSS系统域 综合告警监控系统 业务规范
中国联通IT系统 OSS系统域 综合告警监控系统 技术规范
中国联通IT系统 OSS系统域 综合告警监控系统 测试规范
中国联通IT系统 OSS系统域 综合告警监控系统 数据模型规范
综合资源管理系统规范
中国联通IT系统 OSS系统域 综合资源管理系统 业务规范
中国联通IT系统 OSS系统域 综合资源管理系统 技术规范
中国联通IT系统 OSS系统域 综合资源管理系统 测试规范
中国联通IT系统 OSS系统域 综合资源管理系统 数据模型规范
IT网络管理系统规范
中国联通IT系统 OSS系统域 IT网络管理系统 业务规范
中国联通IT系统 OSS系统域 IT网络管理系统 技术规范
中国联通IT系统 OSS系统域 IT网络管理系统 测试规范
中国联通IT系统 OSS系统域 IT网络管理系统 数据模型规范
xx专业网络管理系统规范
中国联通IT系统 OSS系统域 xx专业网络管理系统 业务规范
中国联通IT系统 OSS系统域 xx专业网络管理系统 技术规范
中国联通IT系统 OSS系统域 xx专业网络管理系统 测试规范
中国联通IT系统 OSS系统域 xx专业网络管理系统 数据模型规范
SDP系统规范
中国联通IT系统 OSS系统域 SDP系统 业务规范
中国联通IT系统 OSS系统域 SDP系统 技术规范
中国联通IT系统 OSS系统域 SDP系统 测试规范
中国联通IT系统 OSS系统域 SDP系统 数据模型规范
新业务支撑规范
中国联通 IT系统 3G业务支撑总体技术要求
网络设备技术要求
中国联通WCDMA数字蜂窝移动通信网计费体制和设备要求规范
中国联通WCDMA 数字蜂窝移动通信网Bx接口技术要求和测试规范
规范版本管理
针对整个规范标准体系框架的二层结构,规范标准体系版本管理采用二级管理模式,即总体规范版本、系统规范版本。
规范版本的变更需要随着系统建设的过程逐步的修正和完善,版本变更遵循以下的主要原则:
总体规范版本变更:总体架构发生变化,主要系统间的接口发生大的变化;
系统规范版本变更:系统的相关业务规范、技术规范、测试规范、数据模型发生了变化。
同时,如果对于一些新的业务出现带来的重大变化,需要整体协调的对总体规范、系统规范进行同步的修改和完善,保证整个规范体系的一致性和正确性,不能采用增加一个补充规范来说明对原有相关规范进行的修改。
PAGE
PAGE 1
身份和访问管理
认证服务
授权服务
加密服务
PKI
目录服务
Web服务
安全开发
数字签名和抗抵赖服务
应用安全架构
自助身份管理
委托身份管理
资源开通
应用安全管理
HR
其它
合作伙伴
用户帐户
身份管理
资源管理
执行管理
许
可
管
理
安全组织架构
安全管理
安全操作
容灾和
业务连续性
用户安全管理
安全意识
安全
策略和标准
中国联通省分二级IT能力蓝图
工作组管理
通用接入服务
市场
客户交互管理
统一客户管理
产品/产品集管理
服务交付管理
服务水平管理
服务保障管理
资源管理
合作伙伴关系管理
综合收费/催缴
统一
计费
综合采集
收入保障
商业智能
综合结算处理
企业协同
企业资源计划
服务控制和执行
渠道管理
销售机会管理
市场推广活动管理
市场营销
销售
销售团队管理
产品和服务创建
产品和服务开发
产品管理
定价管理
产品绩效分析
批价
计费和帐单
关系管理
合作伙伴订单管理
结算管理
售后服务
协同
相互培训
合作伙伴销售和渠道营销
帐户管理
欠费管理
收费管理
结算协议
结算处理
客户忠诚度
客户信用度
客户和帐户层次管理
客户合同协议管理
客户分析
盈利增强
合作伙伴洞察
市场和竞争者洞察
产品方案配置
订单处理
客户自助服务
客户接触管理
客户投诉管理
安全统一服务
表现层管理
数据仓库
报表
通信服务
客户和帐户资料管理
供应和
库存管理
主管信息
财务和
会计管理
人力资源管理
工程项目管理
企业绩效管理
服务创建和执行
服务代理
第三方接入网关
服务控制
集成定单管理
服务开通管理
网络故障管理
网络测试和诊断分析
错误告警管理
网络性能管理
数据预处理
资源管理
资源分配管理
网络拓扑管理
计费数据收集
防欺诈和控制
收入流失监测和控制
流程管理
内容管理
日常
事务管理
搜索引擎
知识库管理
在线学习
知识管理
资源
数据分析
中国联通总部二级IT能力蓝图
通用接入服务
市场
客户交互管理
统一客户管理
产品/产品集管理
服务交付管理
服务保障管理
资源管理
合作伙伴关系管理
综合收费/催缴
统一
计费
综合采集
收入保障
商业智能
综合结算处理
企业协同
企业资源计划
服务控制和执行
销售机会管理
市场推广活动管理
销售团队管理
产品和服务创建
产品和服务开发
定价管理
产品绩效分析
关系管理
结算协议
结算处理
盈利增强
市场和竞争者洞察
产品方案配置
订单处理
客户投诉管理
安全统一服务
表现层管理
数据仓库
报表
供应和
库存管理
主管信息
财务和
会计管理
人力资源管理
工程项目管理
企业绩效管理
服务创建和执行
服务代理
第三方接入网关
服务控制
集成定单管理
服务开通管理
数据预处理
资源管理
资源分配管理
网络拓扑管理
防欺诈和控制
收入流失监测和控制
流程管理
通信服务
合作伙伴订单管理
结算管理
售后服务
协同
相互培训
合作伙伴销售和渠道营销
帐户管理
客户和帐户资料管理
客户和帐户层次管理
市场营销
销售
客户分析
合作伙伴洞察
产品管理
网络故障管理
网络性能管理
网络测试和诊断分析
错误告警管理
工作组管理
服务水平管理
计费数据收集
内容管理
日常
事务管理
搜索引擎
知识库管理
在线学习
知识管理
资源
数据分析
客户合同协议管理
