中国移动企业信息化一期工程
统一信息平台技术规范
()
中国移动通信集团公司
目 录
1 总则............................................................................................................................................1
. 概述....................................................................................................................................1
. 适用范围............................................................................................................................1
. 起草单位............................................................................................................................2
. 解释权................................................................................................................................2
2 应用体系架构............................................................................................................................3
. 两级架构............................................................................................................................3
. 统一信息平台的组成........................................................................................................4
. 总体技术要求....................................................................................................................5
3 展示平台....................................................................................................................................6
. 域名规则............................................................................................................................6
. 登录流程............................................................................................................................7
. 访问安全控制................................................................................................................7
. 认证........................................................................................................................8
. 加密........................................................................................................................9
. 授权........................................................................................................................9
. 个性化展现管理............................................................................................................9
. 内容应用聚集..............................................................................................................10
. 系统性能要求..............................................................................................................10
4 网络和接入平台......................................................................................................................11
. 全国互联广域网组织结构..........................................................................................11
. 全国互联广域网拓扑结构..................................................................................11
. 广域网互联承载网络的选择..............................................................................12
. 全国互联广域网的路由......................................................................................13
. 全国互联广域网的网络安全..............................................................................13
. 集团公司统一信息平台的网络组织结构..................................................................13
. 集团公司统一信息平台局域网..........................................................................13
. 集团公司统一信息平台接入..............................................................................15
. 省公司统一信息平台的网络组织结构......................................................................16
. 省公司统一信息平台局域网..............................................................................16
. 省公司统一信息平台接入..................................................................................18
. IP 地址规划 .................................................................................................................19
. IP 地址规划原则.................................................................................................19
. IP 地址规划方法.................................................................................................20
. IP 地址规划要求.................................................................................................21
5 安全管理平台..........................................................................................................................22
. 网络管理及网络安全..................................................................................................22
. 网络系统管理......................................................................................................22
. 网络安全..............................................................................................................22
. 系统管理及系统安全..................................................................................................23
. 系统管理..................................................................................................................23
. 系统安全..............................................................................................................24
. 数据管理和安全..................................................................................................26
. 防病毒..................................................................................................................27
6 系统和环境要求......................................................................................................................28
. 系统要求......................................................................................................................28
. 主机设备..............................................................................................................28
. 操作系统..............................................................................................................28
. 存储备份设备......................................................................................................29
. 网络设备..............................................................................................................30
. 数据库..................................................................................................................32
. 展示平台软件......................................................................................................34
. 开发工具..............................................................................................................35
. 系统文档..............................................................................................................35
. 机房环境要求..............................................................................................................36
. 机房环境条件......................................................................................................36
. 接地要求..............................................................................................................37
. 空调及电源..........................................................................................................37
1 总则
. 概述
目前中国移动通信集团公司已成为世界第一大 GSM 移动电话运营商,并已
经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、
Internet 及未来多媒体业务的综合业务运营商。中国移动在企业信息化的实践过
程中逐渐确立以 BOSS、NMS、MIS 为核心的 IT 架构,在企业的运营中起到十
分重要的作用。
中国移动企业信息化一期工程建设首先要加强现有应用系统的推广和新应
用系统的建设,使企业信息化水平上一个新的台阶。与此同时,还必须进行应用
系统平台的集中化和 WEB 化改造,实现接入的多元化,通过基础网络建设为扩
展的应用提供更好的网络承载。在此基础上,考虑目前由于不同的信息系统服务
于企业的不同管理方向而形成企业的信息孤岛问题,需要进行企业 IT 应用和信
息在表现层和应用层的重整;同时为了使企业的领导和员工更方便快捷地获取信
息和知识,完成各自的工作,需要进行企业 IT 能力和资源面向使用者角色的重
构。以上这些工作的完成将使中国移动的企业信息化建设从目前的 OA 系统升级
改造成为统一信息平台,为进一步扩展成为企业门户打下基础。
本规范是中国移动企业信息化一期工程统一信息平台建设的基本技术依据,
用于宏观规范和指导各省、自治区、直辖市公司的统一信息平台建设,保障系统
建设的一致规范性。
. 适用范围
本规范适用于中国移动通信集团公司及各省(自治区、直辖市)企业信息化
一期工程统一信息平台建设。
. 起草单位
本业务规范由中国移动通信集团公司负责起草。
. 解释权
本规范的增补、修订及解释权属中国移动通信集团公司。如中国移动在此之
前的文件与本规范有矛盾,按此规范执行。
2 应用体系架构
. 两级架构
中国移动的统一信息平台是移动企业员工访问内部资源内容的渠道与桥梁。
鉴于目前中国移动 IT 系统大多采用两级结构,各省公司的管理相对独立,
中国移动的统一信息平台分为集团公司系统和省公司系统两级,各级系统既要针
对自身的具体情况进行建设,又要遵守相同的技术规范,共同构成中国移动统一
信息平台。
图 1 统一信息平台两级架构
集团公司统一信息平台
省公司统一信息平台省公司统一信息平台
广域网(数据通信网)
。。。
第一级
第二级
. 统一信息平台的组成
统一信息平台包括:应用系统、展示平台、网络和接入平台、安全管理平台
几个部分组成。详见业务规范。
图 2 统一信息平台组成
展示平台
访问安全控制
个性化展现管理
内容应用聚集
安
全
管
理
平
台
台式机、便携机、PDA、移动电话等
领导、员工、合作伙伴
基本业务管理
网
上
教
育
财
务
人
力
资
源
统
计
查
询
项
目
管
理
网
络
和
接
入
平
台
统
一
信
息
平
台
OA扩展应用
资
源
预
定
O
A
核
心
应
用
电
子
报
销
办
公
用
品
申
领
文
档
管
理
搜
索
引
擎
电
子
招
投
标
. 总体技术要求
1、系统集中化
中国移动统一信息平台的建设将遵照集中化的建设原则。各省公司以省
公司为单位集中建设与管理。已经采取分散方式建设的省公司进行集中化改
造。
2、平台 WEB 化
统一展示平台和各个应用系统统一采用 WEB 方式建设。对于已经建成
的基于 C/S 结构的系统,各级移动公司应完成将 C/S 系统转变为 B/S 系统的
改造。
3、接入多元化
各级移动公司应结合自身的业务特点,为用户提供 GPRS、WLAN 等多
元化的接入方式,扩展信息访问的时效性,真正实现信息的使用者在任何时
间、任何地点,都能实现对统一信息平台的访问。
3 展示平台
. 域名规则
中国移动域名系统包括内部网的域名系统和外部网的域名系统。
为 CMCC 在 NIC 注册的唯一官方使用的外部域名,其解析
由 CMNET 负责。
中国移动展示平台采用多级域名来标识。根域名定义为 cmcc。
省公司域名为:应用名.省份编码.cmcc
省份的编码如下表:
省(区、市) 编码 省(区、市) 编码 省(区、市) 编码
北京 bj 浙江 zj 贵州 gz
上海 sh 安徽 ah 云南 yn
天津 tj 福建 fj 西藏 xz
河北 he 江西 jx 陕西 sn
山西 sx 山东 sd 甘肃 gs
内蒙古 nm 河南 ha 青海 qh
辽宁 ln 湖北 hb 宁夏 nx
吉林 jl 湖南 hn 新疆 xj
黑龙江 hl 广东 gd 海南 hi
重庆 cq 广西 gx
江苏 js 四川 sc
集团公司域名为:应用名. 。
各省公司需要增加对集团公司的域名解析,集团需要增加对 31 个省公司的
域名解析。
. 登录流程
用户的登录过程如下图:
图 3 展示平台登录流程
. 访问安全控制
中国移动的企业展示平台的目标用户是集团公司和省公司的内部员工,而展
示平台所承载的应用与内容信息大多数都是企业敏感信息,安全传输是需要首先
考虑的问题。基于互联网/内联网的网络应用安全问题,可以从如下三个方面考
虑;而展示平台的设计与部署,也应该从如下三个方面设计从而确保展示平台的
应用层系统安全。
开始
认证
结束
用户输入要访问的展示平台域名
员工与统一信息平台交互
失败
成功
员工退出系统
个性化展现管理、加载桌面
DNS解析,将请求指向对应的展示平台
. 认证
安全方面的一个主要问题就是身份的伪装,即一些人伪装成信息的发送者
或接受者。如果在通讯之前,强制验证对方的身份,那么别人伪装的机会就大为
减少。在本期展示平台的建设中,为支持集团公司和省公司之间的互访,使用者
访问展示平台采用静态密码的认证方式,主要包括下列手段:
LDAP。展示平台利用外部的目录服务系统作为本身的认证机制,如果用
户通过了外部目录服务的认证,展示平台则认为此用户认证通过,允许进
入展示平台。这种认证的好处是充分利用已有的认证系统,投资较小。
RADIUS。展示平台利用外部的拨号认证系统作为本身的认证机制,如果
用户通过了外部拨号认证系统的认证,展示平台则认为此用户认证通过,
允许进入展示平台。这种认证的好处是充分利用已有的认证系统,投资较
小。
UNIX。展示平台利用所安装 UNIX 环境的认证系统作为本身的认证机制,
如果用户通过了 UNIX 认证系统的认证,展示平台则认为此用户认证通过,
允许进入展示平台系统。这种认证的好处是充分利用已有的认证系统,投
资较小。
Microsoft Windows/NT domain。展示平台利用一台 Windows domain 认证
系统作为本身的认证机制,如果用户通过了它的认证,展示平台则认为此
用户认证通过,允许进入系统。这种认证的好处是充分利用已有的认证系
统,投资较小。
用户名、密码命名规则如下:
集团公司用户的命名规则
name@cmcc,name 为用户姓名汉语拼音全拼。
省公司用户的命名规则
name@省份编码.cmcc,name 为用户姓名汉语拼音全拼。
密码
密码长度应在 6 位以上,由英文字母、数字组成。
. 加密
从展示平台到用户的终端设备之间的加密链路,是对合法用户(通过认证的
中国移动员工)通过展示平台与企业内部敏感信息之间交互的重要保护,保障敏
感信息不被盗用---被非法盗取的信息经过加密,对于盗用者毫无意义。对于中国
移动内部的敏感信息,例如统计查询等应用,应根据情况考虑展示平台到用户终
端设备之间的加密问题。
. 授权
应用访问授权解决的问题是,当用户成功登录系统后,可以访问那些应用。
如果用户越权登录,展示平台应该拒绝他的连接请求,并将该用户的操作记录在
日志中;管理员可以通过分析日志了解系统的工作情况。
. 个性化展现管理
(1)多种信息格式展现功能
作为企业资源的访问渠道,其内容展现应支持多种访问设备,包括:
台式机/便携机
PDA
移动电话等。
同时,展示平台的内容展现应支持不同的信息浏览工具软件,并提供不同
的信息展现描述格式,如 HTML、WML、cHTML 等。
(2)个性化内容展现管理功能
用户在成功地登录系统后,展示平台负责根据预先设之的需要展现的内容定
义,从相应的应用或信息源,形成相应的桌面内容展现给用户。
展示平台在信息提供的处理过程中,可根据用户角色分类定义不同的信息推
送内容。在鉴别访问者的用户角色后,系统将自动根据规则设置推送信息。员工
可以自行订阅需要获取的信息,系统将根据用户的设置定期向用户发送被订阅的
信息。此外,员工可以针对自身喜好,定制信息浏览的界面布局,创建自己的个
人工作台,以方便浏览。
个性化服务主要包含以下内容:
系统角色管理;
模板/主题风格;
布局管理;
内容的选取与定制。
除了用户能够自己来构造个性化的桌面环境,还可以由展示平台的管理者来
为用户配置。
. 内容应用聚集
中国移动集团公司展示平台建设,是以将企业分散的应用和内容进行聚合,
方便集团员工访问为目的。
系统主要应支持如下的应用/信息类型:
基于 HTML 和 XML 的静态数据。
基于 Web 的内容和服务提供者
聚集模块应该提供应用编程接口(API)以方便实现其他的内容聚集,方
便聚集其它类型的内容、服务提供应用源。
在内容应用聚集的实现过程中,系统通过对下列信息的管理,实现在展示平
台中提供一定的访问处理手段,并使不同角色/权限的用户在角色/权限允许的范
围内访问相应的内容和应用资源:
用户的安全信息
用户对应用资源的访问策略和权限信息
系统的资源配置信息
. 系统性能要求
各系统在并发用户数在最高峰值时,响应时间不超过 10 秒(除去网络延
迟因素)。
4 网络和接入平台
企业统一信息平台的网络组织由两级系统构成:
集团公司统一信息平台的网络组织,负责集团公司展示平台及应用系统的网
络服务和集团公司到各省的广域网连接;
省公司统一信息平台的网络组织,负责省公司展示平台及应用系统的网络服
务,省会到地市公司节点、地市公司节点到县级节点的网络组织,负责提供地市
公司员工到省公司统一信息平台和集团公司统一信息平台的网络访问。
. 全国互联广域网组织结构
. 全国互联广域网拓扑结构
中国移动企业统一信息平台的全国互联广域网包括从集团公司到省公司、从
省公司到地市公司的两级结构。
根据中国移动企业统一信息平台的业务架构,全国互联广域网采用两层星型
结构。省公司之间的网络通信访问通过集团公司进行路由。
应充分考虑网络的可扩展性,易于管理,保证服务质量、安全可靠及与其它
网络的互联互通。
根据各个不同省份的业务量情况,到各个省的网络带宽可以不同。
整个企业统一信息平台网络拓扑结构示意图如下:
图 4 全国互联网络拓扑结构示意
. 广域网互联承载网络的选择
广域网网络建设的原则如下:
对于新建的系统,建议统一一个 IP 承载网络。
对于原有生产系统,由于目前系统已运行稳定建议其仍由原有网络承载。
IP 网络广域网承载网络上可以选择三种方式:
(a)采用 TDM 电路实现网络连接,中国移动自有的省际传输网络可通达
各省会城市(不含西藏),中国移动各省自有的传输网络很多已建成,以上电路
均可以作为中国移动互联的选择。
(b)中国移动省内 MDCN 网。
(c)采用 IPSec VPN 技术,利用现有的 CMNET 组网,具体实现方式可以
集团公司统一信息平台
(北京)
中国移动企业信息化系统
广域承载网络
省公司统一信息平台
地市节点地市节点 地市节点地市节点
省公司统一信息平台
中国移动香港公司
(深圳)
省内传输网
或省内MDCN
省内传输网
或省内MDCN
PSTN PSTN
地市节点地市节点 地市节点地市节点
考虑采用目前 OA 的连接方式。
目前,集团公司到省公司广域网承载将选择自有传输网络。现有的
CMNET/VPN 作为备份。省内的广域承载网由省公司自行建设。
. 全国互联广域网的路由
为了实现中国移动企业统一信息平台的互联互通互访,需要实现中国移动整
个企业内部 IP 路由的互通。
全国互联广域网的 IP 路由协议采用 EIGRP、OSPF、IS-IS、RIP 协议或静态
路由。
由于各省公司网络系统的情况各不相同,建议网络平台的路由设计采取分
层控制的原则,即:集团公司负责从集团公司到省公司的路由、各省公司负责省
公司内部的路由,包括可以采取各自认为合适的路由协议和路由聚集;在集团公
司和省公司路由的接口处,通过静态路由定义控制两层路由之间的互通。
. 全国互联广域网的网络安全
为了保障集团公司和各省公司统一信息平台的网络安全,在集团公司统一信
息平台和各省公司统一信息平台的广域网接口应设置防火墙进行安全隔离。
. 集团公司统一信息平台的网络组织结构
. 集团公司统一信息平台局域网
集团公司统一信息平台局域网是集团公司企业统一信息平台的核心,连接各
种功能服务器,完成对集团公司统一信息平台的支撑,其拓扑结构如下:
集团公司统一信息平台局域网的设计应满足如下要求:
合理划分统一信息平台的网络接入功能、信息展示功能、应用互联功能和内
部核心数据管理功能,保证各个部分之间的相互独立和安全;
物理上采用星型结构,各个功能服务器通过 100M 或千兆连接;
采用 TCP/IP 协议;
应充分考虑网络的稳定性、带宽、QoS、安全可靠性以及与其它网络的互联
互通。
. 集团公司统一信息平台的用户访问接入区
用户访问接入区提供集团公司统一信息平台接入系统的网络承载。
在局域网结构设计上,用户访问接入区应根据实际情况考虑与网络其它部分
进行分区划分。
用户访问接入区可以采用 100M 或 1000M 接口连接各个服务器。
统一信息平台
统一信息平台
服务器
其它应用
服务器
S un S un …
存储及备份设备
网
上
教
育
O
A
核
心
应
用
O
A
扩
展
应
用
统
计
查
询
…财
务
人
力
资
源
电
子
招
投
标
项
目
管
理
. 集团公司统一信息平台展示平台区
企业员工可通过展示平台区网络直接访问展示平台服务器。
在局域网结构设计上,展示平台区与其它部分进行分区划分。
展示平台区可以采用 100M 或 1000M 接口连接各个服务器。
. 集团公司统一信息平台应用系统区
应用系统区提供集团公司统一信息平台内部应用系统的网络承载。
在局域网结构设计上,应用系统区应根据实际情况考虑与网络其它部分进行
分区划分。
应用系统区可以采用 100M 或 1000M 接口连接各个服务器。
. 集团公司统一信息平台接入
集团公司统一信息平台的局域网应提供以下各种网络接入方式,并保证今后
的扩展能力。
Intranet 接入:集团公司统一信息平台局域网应提供到集团公司大楼局域网
的接口,满足集团公司员工使用桌面终端访问统一信息平台的要求。集团公司统
一信息平台局域网到集团公司大楼局域网可以采用 100M 或 1000M 带宽接口。
PSTN/ISDN 接入:集团公司统一信息平台应提供 PSTN/ISDN 接入能力,满
足中国移动员工通过 PSTN/ISDN 拨号访问统一信息平台的要求。集团公司统一
信息平台的 PSTN/ISDN 接入可以采用数字中继电路或模拟电话线。
GPRS 接入:集团公司统一信息平台应提供到中国移动 GPRS 网络的接口,
满足中国移动员工通过 GPRS 访问统一信息平台的要求。集团公司统一信息平台
局域网可以采用专线并使用专用 APN 号连接 GPRS 网络,通过 VPN 保证传输安
全。
SMS 接入:集团公司统一信息平台应提供到中国移动 SMS 系统的接口,满
足中国移动员工通过短信系统与统一信息平台互连。
Internet 接入方式:集团公司对外提供统一的 Internet 接入企业统一信息平台
的方式,使用 VPN 技术访问统一信息平台。用户可以首先通过 GPRS、WLAN、
PSTN/ISDN 等方式接入 Internet,再通过 Internet 接入企业内部网络。
GPRS、PSTN/ISDN、Internet 接入的用户身份认证采用 RADIUS 协议,并
支持动态密码认证方式。
. 省公司统一信息平台的网络组织结构
. 省公司统一信息平台局域网
省公司统一信息平台局域网是省公司企业统一信息平台的核心,连接各种功
能服务器,完成对省公司统一信息平台的支撑,其拓扑结构如下:
省公司统一信息平台局域网的设计应满足如下要求:
合理划分统一信息平台的网络接入功能、信息展示功能、应用互联功能和内
部核心数据管理功能,保证各个部分之间的相互独立和安全;
物理上采用星型结构,各个功能服务器通过 100M 或千兆连接;
采用 TCP/IP 协议;
应充分考虑网络的稳定性、带宽、QoS、安全可靠性以及与其它网络的互联
互通。
. 省公司统一信息平台的用户访问接入区
用户访问接入区提供省公司统一信息平台接入系统的网络承载。
在局域网结构设计上,用户访问接入区应根据实际情况考虑与网络其它部分
进行分区划分。
用户访问接入区可以采用 100M 或 1000M 接口连接各个服务器。
. 省公司统一信息平台展示平台区
企业员工可通过展示平台区网络直接访问展示平台服务器。
在局域网结构设计上,展示平台区与其它部分进行分区划分。
展示平台区可以采用 100M 或 1000M 接口连接各个服务器。
. 省公司统一信息平台应用系统区
应用系统区提供省公司统一信息平台内部应用系统的网络承载。
在局域网结构设计上,应用系统区应根据实际情况考虑与网络其它部分进行
分区划分。
应用系统区可以采用 100M 或 1000M 接口连接各个服务器。
. 省公司统一信息平台接入
省公司统一信息平台的局域网应提供以下各种网络接入方式,并保证今后的
扩展能力。
Intranet 接入:省公司统一信息平台局域网应提供到省公司局域网的接口,
满足省公司员工使用桌面终端访问统一信息平台的要求。省公司统一信息平台局
域网到省公司局域网可以采用 100M 或 1000M 带宽接口。
PSTN/ISDN 接入:省公司统一信息平台应提供 PSTN/ISDN 接入能力,满足
中国移动员工通过 PSTN/ISDN 拨号访问统一信息平台的要求。省公司统一信息
平台的 PSTN/ISDN 接入可以采用数字中继电路或模拟电话线。
GPRS 接入:省公司统一信息平台应提供到中国移动 GPRS 网络的接口,满
足中国移动员工通过 GPRS 访问统一信息平台的要求。省公司统一信息平台局域
网可以采用专线并使用专用 APN 号连接 GPRS 网络,通过 VPN 保证传输安全。
SMS 接入:省公司统一信息平台应提供到中国移动 SMS 系统的接口,满足
中国移动员工通过短信系统与统一信息平台互连。
Internet 接入方式:由集团公司统一规划。
GPRS、PSTN/ISDN、Internet 接入的用户身份认证采用 RADIUS 协议,并
支持动态密码认证方式。
. IP 地址规划
. IP 地址规划原则
中国移动企业统一信息平台的 IP 地址规划应该结合地域、业务的特点,兼
顾近期需求与远期的发展,进行全国统一规划。
集团公司及各省公司 IP 地址的分配原则应符合中国移动已颁布的行业相关
标准。根据中国移动通信集团企业内部网 IP 地址划分。各省、自治区、直辖市
IP 地址分配范围见下表:
中国移动企业内部计算机网络 IP 地址范围
区域名称 地 址 范 围 网络地址
1
集团公司
2
北 京
3
上 海
4
广 东
5
湖 北
6
江 苏
7
浙 江
8
福 建
9
辽 宁
10
山 东
11
河 南
12
四 川
13
黑龙江
14
河 北
15
陕 西
16
天 津
17
安 徽
18
湖 南
19
吉 林
20
云 南
21
江 西
22
广 西
23
重 庆
24
贵 州
25
海 南
26
山 西
27
甘 肃
28
内蒙古
29
宁 夏
30
青 海
31
西 藏
32
新 疆
. IP 地址规划方法
集团公司和各省公司在自己所拥有的 IP 地址段中,提供一个 1/8C 类地址段,
用于互访。
采用 CIDR(Classless inter-domain route,无类域间路由)与可变长子网掩码
技术分配 IP 地址网段,充分合理利用 IP 地址资源。
. IP 地址规划要求
IP 地址的划分应体现地域特性与业务特性,相同地域的地址应连续;
各个部分的 IP 地址段要注意安全和隔离,对与外界连接的企业 IP 地址
要严格做好安全控制;
便于网络互联,有利于简化路由表的设置,提高路由效率;
提高 IP 地址的利用率;
满足网络安全的需要;
有利于网络扩展。
5 安全管理平台
. 网络管理及网络安全
. 网络系统管理
实现全国中心与省公司节点之间广域网络、省内企业统一信息平台的广域
网络、全国中心和各省中心局域网的监视和管理,包括:
运行管理:可自动发现网络节点,自动产生网络拓扑图,自动生成和保持
TCP/IP 图象,持续监测网络设备状态,通过色彩确定网络设备状态,获取实时
及历史网络信息等。
故障管理:实现对异常操作的监测,隔离和纠正。当发现网元故障/网络状
态异常时,系统启动测试管理功能,进行故障诊断、定位测试,以便采取适当维
护行动,最大限度地降低故障对网络运行的影响。同时,提供完整的差错日志,
通过日志进行差错追查。
配置管理:实现对系统的各种网络设备进行资源配置、参数设置、功能定
制等功能。
性能管理:性能管理用来对网络设备的有效性评价,包括获得设备的性能
参数,如吞吐量、响应时间、是否过载等。通过监控,获取有关系统运行的信息
及统计数据,并能在此基础上,提供系统的性能统计,如网络设备的可用率,故
障率等。
安全管理:系统采取多层次的安全防护措施,如多级用户权限管理,保证
对网络设备的安全访问。
. 网络安全
网络系统应支持访问控制、安全检测、攻击监控、加密通信等一系列安全功
能,应提供完整的网络监控、报警和故障处理功能。
网络系统应具有入侵检测的功能,可监控可疑的连接、非法访问等,采取的
措施包括实时报警、自动阻断通信连接或执行用户自定义的安全策略;网络系统
应能定期检查安全漏洞,根据扫描的结果更正网络安全漏洞和系统中的错误配置;
使用加密技术对传输的数据加密;通过路由设备对网上用户做访问控制:针对网
络节点,通过 IP 地址的过滤,做访问控制;针对网络应用,通过对应用的源和
目的地 TCP 端口号,对网络应用做访问控制;路由验证:保证网络路由表的安
全性,防止对路由表的非法更改等等。
. 防火墙
整个统一信息平台应在防火墙的安全保护之下,如果需要可采用多道防火
墙,每道防火墙应使用不同的产品。防火墙的安全策略应严格的管理和控制,要
经过测试,对防火墙的策略要定期加以修订和补充。
. 入侵监控
系统应具有有效的入侵监控,入侵监控应包括对网络的实时监控、对主机
系统的实时监控、和对数据库系统等实时监控。监控系统应该是自动的,发现入
侵之后,应具有自动阻止入侵和提供报警功能。监控系统应能够与防火墙等其他
安全系统有效的结合。但是监控应尽量减少对系统资源的占用。
. 系统管理及系统安全
. 系统管理
系统管理主要目的是保证企业统一信息平台的稳定、可靠运行;减轻系统
维护人员的工作负担,提高工作效率;实时掌握各级节点系统资源的利用情况,
为升级扩容提供数据依据。
系统管理主要包括:主机系统管理、数据库管理、统一信息平台应用系统
管理、安全管理等。
. 主机系统管理
实现对各级节点主机系统资源利用情况的监视,包括系统上用户管理;主
机资源(如 CPU、内存等利用率情况等)的监视;操作系统监视;文件系统监
视;日志文件的监视;进程监视以及性能监视等。系统管理主要能够获得如下信
息:
1) CPU 的空闲时间;
2) 内存的利用率;
3) I/O 的等待;
4) 主机关于硬件错误记录的日志报告;
5) 系统备份的正常运行和性能;
6) 备份使用的存储设备的存储量;
7) 各种系统软件包括操作系统、Cluster 系统等的运行状况;
8) 文件系统的限额。
9) 系统上用户的管理信息。
. 数据库管理
主要实现对数据库系统运行情况的监视。数据库监视的内容包括:数据库
可用性情况、文件系统、表及日志空间、数据库死锁等故障情况、客户连接情况
以及数据库的运行性能等。
. 应用管理
实现对应用软件系统运行情况的监视。主要包括:应用系统的可用性、日
志以及运行性能等。
. 系统安全
系统安全包括系统可靠性、系统安全、防病毒、系统漏洞扫描及数据安全等
. 系统的可靠性
统一信息平台主要是为企业内部员工服务的,它将成为员工访问企业内部资
源的单一接入点,所以其可靠性是建设过程中的重点。
. 主机系统可靠性
主机的可靠性主要体现在主机硬件的可靠性和操作系统的可靠性。
硬件系统应冗余配置,保证系统无单一故障点,必要时可采用 HA 结构,发
生故障后能够快速切换,保证 7×24 小时不间断运行。
操作系统应是目前业界流行的操作系统,应适合于关键业务的运行。
. 应用系统的可靠性
整个应用软件系统应能够连续不间断工作,出现故障应能及时告警,应具有
完整的操作权限管理功能和完善的系统安全机制。
. 主机系统(操作系统)的安全
应用服务器主机的操作系统在安全性上应该能够达到 C2 安全级别。
系统应具备访问权限的识别和控制功能,对系统管理员必须授予不同级别的
管理权限。要保证只有授权的人员或系统可以访问某种功能,获取系统数据,有
非法访问或系统安全性受到破坏时必须告警。
系统应具有日记功能,以便掌握系统的运行状态。
系统应提供审计功能。
应对主机系统提供漏洞扫描、入侵监控和病毒防范机制。
对主机系统尽心必要的安全设定,如屏蔽系统上不必要的服务,提供必要
入侵探测、防病毒等安全工具。加强主机上的用户,特别是特权用户管理等。
. 应用系统安全
应用系统的用户管理、权限管理应充分利用操作系统和数据库的安全性,结
合统一资源管理系统的建立,建议统一应用系统用户的权限和访问控制。应用软
件运行时须有完整的日志记录。应用软件要防止消耗过多的系统资源而使系统崩
溃。
. 系统漏洞扫描
统一信息平台应提供对主机系统和网络系统安全漏洞扫描功能。扫描系统
能够发现系统存在的安全漏洞,并能提供相应的报告和相应的解决方法。
. 数据管理和安全
数据是统一信息平台的核心,所以数据的安全是保证统一信息平台运行的
基础。数据的安全包括数据存储的安全、数据传输过程中的安全,数据的一致性
等。
系统应采用先进的存储系统来存储数据,存储系统具有很好的扩展性、支
持多种 RAID 格式,支持数据备份、容灾等多种数据保护方式。并在系统存在问
题时,提供有效的数据恢复机制。
系统应具有完备的数据备份功能,备份系统应能够与存储系统的有效结合。
备份系统应支持全备份、增量备份、差异备份等多种备份策略,支持 LAN、
LAN-Free 和 Server-Less 备份方式。备份系统能够保证数据的一致性,备份数据
的可恢复性,对必要系统的可提供实时备份功能。
存储系统应有良好的备份策略和恢复计划。系统数据和业务数据可联机备份、
联机恢复,恢复的数据必须保持其完整性和一致性。
为保证数据传输过程中的安全,应考虑在数据传输过程中增加对数据传输的
加密。实现数据传输不被非法复制、修改。可采用技术如 SSL、IPSec-VPN 等。
. 防病毒
统一信息平台由大量的用户访问,防病毒应是统一信息平台的安全内容建
设的重点。统一信息平台的防病毒系统能够防止以 http、https、邮件等多方式的
病毒入侵。防病毒系统应具先进的检测、清除病毒的能力;病毒码和扫描病毒引
擎的自动更新功能;并能够提供报警机制等功能。
6 系统和环境要求
. 系统要求
. 主机设备
主机设备主要用作统一信息平台接入,集中认证等应用。鉴于各省公司的
统一信息平台的访问量差别很大,集团公司以及各省公司应根据自己统一信息平
台业务量的大小和应用软件的需要等因素设置主机设备的数量,对于业务量较大
的应用功能应配置单独的服务器主机,业务量较小的若干种应用功能可以合设一
套/一台主机设备。
主机设备的基本技术要求如下:
1. 主机系统应采用 UNIX 或WINDOWS等操作系统。并支持中文内码,符
合我国关于中文字符集定义的有关国家标准。
2. 主机系统需 7×24 小时连续运行,因而要求其具有很高的安全可靠性。移动
企业统一信息平台应采用 Cluster 技术等安全可靠性技术。
3. 主机的硬盘、网络接口、网络连接及电源均应考虑足够的冗余;
4. 支持电源、I/O 设备、存储设备等硬件设备的热插拔;
5. 主机系统设备应具有适当的扩充能力,包括 CPU 的扩充、内存容量的扩充
及 I/O 能力的扩充等;并可支持 CPU 的板级升级和群集内节点数的平滑扩充。
6. 由于统一信息平台主要提供 Web 访问,所以主机系统应满足大容量并发用
户的要求,即应支持大容量的 http 等。
7. 可靠性:系统整机平均无故障时间(MTBF)不低于 8000 小时。
8. 接入局域网方式:应提供 10/100/100Ethernet 网络接口。
. 操作系统
操作系统要求如下:
1. 关键业务应用主机采用 64 位 UNIX 操作系统,并可兼容以往的 32 位应
用系统;
2. 操作系统支持虚拟内存管理,支持多用户、多任务、多进程和多线程;
3. 支持完全对称多处理器(SMP);
4. 支持群集(cluster);
5. 操作系统应至少达到 C2 级的安全标准;
6. 提供完整的软件开发环境;
7. 操作系统应提供图形化的系统管理工具;
8. 支持在线诊断和软硬件的自动错误记录,在电源故障或其他紧急情况可
提供自保护和自恢复;
9. 支持中文大字符集等相关国家标准。
. 存储备份设备
. 存储设备
存储设备主要指磁盘阵列,主要实现移动企业统一信息平台数据的联机存
储。
1. 磁盘阵列设备是移动企业统一信息平台中数据联机存储的关键资源,
要求有很高的安全可靠性。
2. 根据实际需要,磁盘阵列设备应可与多种厂家的主机系统相连。
3. 磁盘阵列设备应能够提供多种与主机系统的连接方式,如 SCSI-2、
FC-AL 等。
4. 磁盘阵列设备应支持多种 RAID 存储方式,包括 RAID 0+1、RAID 5
等。
5. 磁盘阵列设备应具有较强的平滑扩充能力,包括系统存储容量的扩充
及 I/O 能力的扩充等。
6. 磁盘阵列设备应支持磁盘热插拔。
7. 磁盘阵列应支持先进的 SAN 存储技术等。
. 备份设备
企业统一信息平台中的备份设备一般指大容量的磁带库或光盘库等,主要
用于系统数据的脱机备份。
1. 根据实际需要,可采用数据库实时备份或增量备份、差异备份等备份
策略。
2. 备份设备要求有良好的安全可靠性。
3. 根据实际需要,备份设备可与多种厂家的主机系统相连。
4. 备份设备应能够提供多种与服务器主机的连接方式,如 SCSI-2、
FC-AL 等。
5. 备份设备应具有较强的平滑扩充能力,包括系统设备容量的扩充及
I/O 能力的扩充等。
6. 设备应支持 SAN 技术,以便备份系统支持 LAN-free/Serverless 备份
方式。
. 网络设备
. 核心交换机
网络核心交换机应满足下述要求:
1) 千兆网交换机,提供 10Gbps 级 ~ 100Gbps 级的背板带宽;
2) 支持多层交换,其多层交换能力要达到 10Mpps 级别;
3) 支持 TCP/IP 协议;
4) 支持 OSPF、IS-IS、RIP、BGP 等多种路由协议,支持多路由的
负载均衡;
5) 支持 HSRP/VRRP 热备份协议;
6) 支持 IP Multicast 技术,支持 IGMP、MOSPF、PIM 等多种 IP
Multicast 路由协议;
7) 支持 STP 协议;
8) 支持 VLAN 划分和 VLAN TRUNK 协议;
9) 提 供 强 大 的 QoS 管 理 功 能 , 支 持 标 准 和 IP
Precedence/DSCP 标准,提供第二层和第三层的 QoS 支持;
10) 支持 SNMP 和 SNMPv2 协议;
11) 高可靠性要求,对关键模块如中心引擎、电源、风扇等要求
支持冗余备份,系统板、关键 I/O 板、电源、风扇等考虑冗余,并可热插
拔;
12) 要求平均无故障时间应大于 8000 小时,可用性不小于
%;
13) 具有较强的端口扩展能力。
. 接入交换机
接入交换机应满足下述要求:
1) 提供 Gbps 级的背板带宽,具有千兆接入能力;
2) 支持 STP 协议,支持基于 VLAN 的 STP,以避免单点失误,并
提供负载均衡;
3) 支持 VLAN 划分和 VLAN TRUNK 协议;
4) 支持 标准,提供第二层的 QoS 支持;
5) 支持 IP Multicast 技术;
6) 支持 SNMP 和 SNMPv2 协议;
7) 平均无故障时间应大于 8000 小时,可用性不小于 %;
. 广域网路由器
广域网路由器应满足下述要求:
1) 提供 1Gbps 以上的背板带宽,提供 1Mpps 以上的 IP 包转发速度;
2) 支持多种接口类型,灵活满足不同的接入要求;
3) 支持 OSPF、IS-IS、RIP、BGP 等动态路由协议和静态路由协议,
支持多路由的负载均衡;
4) 支持 IP Multicast 技术,支持 IGMP、MOSPF、PIM 等多种 IP
Multicast 路由协议;
5) 支持 HSRP/VRRP 热备份协议;
6) 支持 SNMP 和 SNMPv2 协议;
7) 主干路由器要求具有较高的可靠性,系统板、关键 I/O 板、电源、
风扇等考虑冗余,并可热插拔;要求平均无故障时间应大于 8000 小时,
可用性不小于 %
. 防火墙
防火墙可以采用主机加防火墙软件或专用的防火墙设备,应满足下列要求:
1. 支持动态和静态的内部网与外部网之间的地址转换、映射;
2. 能有效地实现内部网到外部网的单向访问控制,可以禁止
外部网对内部网的访问;
3. 能侦测、过滤或跟踪非法访问企图,能自动实时告警,并
生成相应日志记录;
4. 能对常用的服务(例如、、Rlogin 等)的访问权限进行有
效控制和管理;能对经过防火墙的网络流量进行统计和
管理,并定期生成相应报告文件;
5. 支持 SNMP 和 SNMPv2 协议;
6. 具有友好的图形界面。
. 数据库
应根据各级企业统一信息平台需要处理的业务量、用户数、数据库组织策
略等进行数据库系统的规划。
数据库系统的基本技术要求如下:
1. 支持 ANSI/ISO SQL-89、ANSI/ISO SQL-92 标准;
2. 支持中文汉字内码,符合双字节编码;
3. 支持主流厂商的硬件平台及操作系统平台;
4. 数据库系统应具有良好的伸缩性;
5. 支持主流的网络协议(如:TCP/IP、IPX/SPX 等);
6. 具有良好的开放性,支持异种数据库的互访:
1) 实现对文件数据和桌面数据库数据的访问;
2) 实现对大型异种数据库的访问;
3) 能够将原有异种数据库向本数据库无损失移植;
4) 实现和高级语言互连的能力;
5) 支持 ODBC、X/OpenCLI、JDBC 等标准;
6) 支持分布式事务及两阶段提交功能;
7. 具有支持并行操作所需的技术(如:多服务器协同技术、事务处理的
完整性控制技术等);
8. 支持网络上同构或异构数据库之间数据的有效传输和冗余性复制;具
有多种复制功能模块;(如:实时复制、定时复制、双向复制、多点
方式下的 N 向复制、复制转发,复制范围可整表复制或表中部分行复
制或修改单元复制);
9. 支持联机分析处理(OLAP);支持联机事务处理(OLTP);支持决
策支持的建立,要求能够实现数据的快速装载、高效的并发处理和交
互式查询,以达到信息深层挖掘的目的;
10. 支持 C2 或以上级安全标准、多级安全控制;
11. 支持数据库存储加密、数据传输通道加密(包括:B/S、C/S)及相应
冗余控制;
12. 提供 Web 服务接口模块,对客户端输出协议支持 HTTP、SSL 等;
13. 支持联机存储和备份功能(如:磁带方式、光盘方式);
14. 可靠性:数据库软件系统应具有强的容错能力、错误恢复能力、错误
记录及预警能力。
15. 具有自动备份,日志管理等功能,对任何被保护的数据资源,如系统
文件、应用程序文件、数据库文件等的访问、拷贝或修改等操作都应
详细记录下来。任何非法存取操作应立刻有告警反映到主控台上。
16. 数据库、表大小等技术参数可灵活设置,支持对多媒体数据及大数据
量处理的技术需求;
17. 应避免数据库死锁的出现,一旦死锁能够自动解锁;
18. 具有快速的并发客户查询速度,并发控制稳定可靠,多线索多进程;
19. 开发工具易使用、开发效率高、维护方便、具有将客户/服务器结构的
应用向 Web 应用转化的工具;
20. 支持数据库分区技术;
21. 支持多种 CASE 工具。
. 展示平台软件
1. 展示平台软件的设计应符合本规范体系结构的要求,使系统具有良好
的灵活性、可操作性和可扩展性。
2. 展示平台应具良好的安全性和可靠性。保证数据不被非法盗用和修改,
保证数据的一致性;对非法登录或系统故障等事故能采取多种检查和
处理手段;采用故障检查、告警和处理机制,保证数据不因意外情况
丢失和损坏。
3. 展示平台软件应能提供中国移动集团公司展示平台和省公司展示平
台的互联。
4. 实时性:实时完成大容量并发用户的处理。
5. 易操作、易管理:应具有良好的客户操作界面、详细的帮助信息;系
统参数的维护与管理通过操作界面实现。
6. 整个展示平台应能够连续 7*24 小时不间断工作,展示平台中的任一
模块更新、加载时,在不更新与上下模块的接口的前提下,以不影响
业务运转和服务为原则。
7. 展示平台软件的技术文档应规范、正确、完整、一致和有效。
8. 展示平台客户化、其应用的开发过程中,能够及时处理可能出现的新
需求。
9. 系统运行中软件开发商在任何时候对展示平台软件进行补充、修改后,
都应提交相关的详细技术文档。
10. 支持中文大字符集等相关国家标准中规定的汉字字符处理。
. 开发工具
开发工具应满足以下要求:
1.开发工具要求具备开放性,先进性,可移植性,高性能等特点;
2.要求支持面向对象或者面向过程的开发方式;
3.支持中文大字符集等相关国家标准中规定的汉字字符处理。
. 系统文档
对系统的文档资料要求如下:
1.提供的技术文件应与提供的软、硬件设备相一致,技术文件应该全面、
完整、详细;
2.提供的技术文件应能够满足软、硬件设备安装、使用、维护、应用开发
的需要;
3.应用软件文档应该包括:
1)软件需求说明书
2)系统总体设计说明书
3)系统概要设计说明书
4)详细设计文档
5)应用软件清单
6)测试计划、测试方案
7)测试报告
8)试运行报告
9)维护手册
10)操作手册
4.应提供完整的、准确的源代码,源代码文档要求有详尽的说明和注释;
5.文档和资料应提供电子文档和纸面文档,文件格式为 Word 文档或 PDF
文档或其他可视化文件。
. 机房环境要求
. 机房环境条件
企业统一信息平台的机房环境条件要求如下:
1. 机房附近不应有易燃易爆品、污染气体、强电磁场、强震动源、强噪声
源及所有危害系统正常操作或运行的因素。
2. 门窗
机房所有门窗应密封,以减少尘埃及噪音等外来干扰,统一信息平台及走道
之大小应足够让系统在安装时运输之用。
3. 地板
机房须采用防静电活动地板,机房内电力电缆(包括地线)和通信电缆尽量
采用下走线方式。装修后机房净高应不小于 2500mm。活动地板下作防尘处理。
地板距地面高度 200mm-350mm。
4. 照明
参考《电子计算机机房设计规范》(GB50174-93)要求,主机房照度应℃300
Lx,控制室照度应℃300 Lx;同时设机房疏散照明、安全出口标志灯,其照度应
℃。
5. 安全消防
1) 采用七氟丙烷气体等消防措施;
2) 机房内材料、设施使用防火耐用材料;
3) 机房内吊顶上下及活动地板下均应设置探测器;
4) 机房内配备手动或自动灭火设备,手动灭火器应放置在机房的显眼处,
且方便存取;
5) 机房安全出口不少于两个,且要保持畅通,不可放置杂物;
6) 机房应有紧急照明设备;
7) 可以采用防火隔离措施;
8) 符合建筑物消防设备规定,如《建筑设计防火规范》等。
6. 天花板
1) 不能用易燃及易脱落尘埃或脱落微粒的物质做吊顶;
2) 吊顶宜选用不起尘的吸声材料。
7. 墙壁
1) 机房墙壁采用防尘材料;
2) 隔墙可采用玻璃隔断。
8. 机房环境要求
机房内常年设置恒温恒湿机房专用空调机。设备开机时主机房的环境要求如
下:
1) 温度:夏季、23±2℃,冬季、20±2℃;
2) 相对湿度:45%~65%;
3) 温度变化率:℃5℃/h,不结露;
4) 防尘:静态条件下测试,空气中℃℃m 的尘粒数,应少于
18000 粒/升。
9. 机房承重
机房楼板的荷重最小按 600Kg/m2 考虑(不包括电源部分)。
10. 场地监控及门禁
建议机房内设置场地监控系统,对设备提供 24 小时全天候监控,并根据需
要设置门禁系统。
11. 其他要求
机器设备的四周应留有足够的散热空间,避免阳光直射。
. 接地要求
机房要求有良好的接地系统。其中:
1. 交流工作接地:接地电阻不大于 2 欧姆;
2. 安全保护接地:接地电阻不大于 2 欧姆;
3. 直流工作接地:接地电阻按计算机系统具体要求进行;
4. 防雷接地:按现行国家标准《建筑防雷设计规范》执行。
. 空调及电源
1. 空调
要求机房空调系统具有供风、加热、加湿、冷却、去湿和空气除尘能力,以
满足以上的机房环境要求。
2. 电源
1) 企业统一信息平台的每个节点都需要可靠的电源,可采用直流电源也
可采用 220V 或 380V 交流电源,但要求从 UPS 引接;
2) 企业统一信息平台机房内配备至少两台 UPS,互为热备份。在无外电
供应的情况下能为设备供电不少于 30 分钟;
3) UPS 电源应符合 GB7620-87 的标准。
以上未提及的项目,应按照国家标准《电子计算机机房设计规范》
(GB50174-93)和中国移动专门的机房设计规定执行。
