资源描述
中国联通企业公布
-05-15实施
-05-15公布
中国联通IT系统BSS系统域
用户关系管理系统技术规范
China Unicom CRM Technical Specification
(V 1.0)
QB/CU 037-
中国联通企业企业标准
目 次
1 总则 1
1.1. 适用范围 1
1.2. 规范性引述文件 1
1.3. 略缩语 1
2 系统概述 3
2.1. 建设目标 3
2.1.1 建立统一用户视图 3
2.1.2 实现多渠道接入 3
2.1.3 完善渠道管理、提供渠道业务支撑 3
2.1.4 加强市场营销、销售活动管理 3
2.1.5 提供产品生命周期管理 3
2.1.6 提升订单处理能力 3
2.1.7 提供全方面用户服务 4
2.1.8 全程全网服务 4
2.1.9 综合业务支撑。 4
2.2. 建设标准 4
2.3. 系统定位 4
2.3.1 IT系统划分 4
2.3.2 CRM系统在BSS中定位 6
3 系统技术架构 7
3.1. 技术体系架构 7
3.1.1 设计标准 7
3.1.2 软件体系架构 8
3.1.3 接入层 9
3.1.4 业务逻辑层 10
3.1.5 数据层 11
3.1.6 关键技术 11
3.1.7 J2EE架构体系 11
3.1.8 工作流 12
3.1.9 交易中间件 13
3.2. 用户及权限管理 15
3.2.1 用户及权限管理架构 15
3.2.2 架构设计标准 15
3.2.3 系统技术架构 15
3.2.4 系统功效架构 17
3.2.5 身份认证 18
3.2.6 用户管理 19
3.2.7 权限管理 19
3.2.8 日志管理 20
3.3. 布署架构 20
3.4. 网络组织架构 22
3.4.1 网络组织概述 22
3.4.2 广域网结构 23
3.4.3 数据中心之间连接(纵向互连) 23
3.4.4 数据中心和外网连接 24
3.4.5 局域网结构 25
3.4.6 数据中心存放网络组织 26
3.5. 安全架构 27
3.5.1 安全目标 27
3.5.2 安全体系 28
3.5.3 应用层安全 28
3.5.4 数据传输 28
3.5.5 安全审计 29
3.5.6 身份认证 30
3.5.7 系统层安全 30
3.5.8 主机安全 30
3.5.9 数据库安全 30
3.5.10 终端安全 30
3.5.11 防病毒 31
3.5.12 备份容灾 31
3.5.13 网络层安全 32
3.5.14 访问控制 32
3.5.15 入侵检测 33
3.5.16 网络安全评定 33
3.5.17 其它网络安全要求 33
4 系统技术要求 34
4.1. 总体要求 34
4.2. 性能指标 35
4.2.1 业务功效指标 35
4.2.2 应用软件技术指标 36
4.2.3 系统备份指标 36
4.3. 系统安全和可靠性 36
4.3.1 系统可靠性 36
4.3.2 网络 36
4.3.3 主机 37
4.3.4 存放及备份 37
4.3.5 应用系统 38
4.3.6 系统安全性 39
4.3.7 网络安全 39
4.3.8 系统安全 40
4.3.9 应用系统安全 40
4.3.10 安全管理方法 41
4.4. 系统管理和使用要求 41
4.4.1 可维护性 41
4.4.2 易用性 42
4.4.3 可监控性 43
4.4.4 可管理性 43
4.5. 接口技术要求 44
4.5.1 接口通讯方法 44
4.5.2 接口内容要求 45
4.5.3 数据检验 45
4.5.4 数据压缩/解压 45
4.5.5 完整性要求 45
4.5.6 接口安全可靠性要求 46
4.5.7 接口安全 46
4.5.8 传输控制 46
4.5.9 接口实现技术 47
4.5.10 J2EE/EJB 47
4.5.11 Web Service 48
4.5.12 交易中间件 49
4.5.13 消息中间件 49
4.5.14 SOCKET 50
4.5.15 CORBA 50
4.5.16 文件 51
4.5.17 过程调用和共享数据表 52
4.5.18 接口技术比较 52
4.6. 相关软硬件设备要求 53
4.6.1 主机设备 53
4.6.2 网络设备 54
4.6.3 存放设备 55
4.6.4 备份设备 55
4.6.5 操作系统 56
4.6.6 数据库系统 56
4.6.7 中间件要求 57
4.6.8 系统测试环境 58
4.7. 机房环境条件要求 58
前 言
中国联通用户关系管理系统系列规范由业务、技术、集成、数据模型和测试规范组成,各规范包含内容描述以下:
业务规范关键侧重以需求为出发点来展现系统归类、系统边界、系统交互和系统所应包含功效要求,业务规范内容涵盖了系统全部功效点。
技术规范关键从实现角度来规范系统技术架构、技术实现方法和系统性能指标等内容。技术规范不对业务功效点做具体描述,也不对系统间接口内容做具体叙述。
数据模型规范关键完成对业务规范所包含数据要求关键逻辑模型搭建和支撑,这些模型需要系统遵照,为规范中国联通系统建设提供对应数据模型标准。
集成规范关键描述了系统和系统之间交互步骤及接口信息等内容,集成规范是促进各系统能够协调工作关键保障。
测试规范侧重于对系统(含相关应用软件产品)测试进行规范,包含测试目标、测试范围、测试方法、测试用例设计、测试环境等。
本规范为用户关系管理系统技术规范。
规范附件全部为规范组成部分,如无特殊说明和本规范正文含有相同约束力。
本标准由中国联通企业业务支撑部提出并起草。
本标准由中国联通企业技术部归口管理。
本标准关键起草单位:中讯邮电咨询设计院、联通信息化:部中国联通业务支撑部
本标准关键起草人: 刘诚明、李旭、陈志超、王颖、杜志涛、梅斌、李吴剑、孙元涛
本标准解释权和修订权属于中国联合通网络通信。
1 总则
1.1. 适用范围
规范说明了CRM系统体系架构、用户及权限管理、系统布署、网络组织和安全架构,明确了系统性能指标、安全可靠性要求、系统管理和使用要求、接口技术要求、相关软硬件设备要求和机房环境条件要求。
1.2. 规范性引述文件
QB/CU 003- 《中国联通长途193/17911专业计费系统技术规范V1.0》
QB/CU 040- 《中国联通综合电信业务支撑系统综合营帐子系统技术规范V1.0》
QB/CU 030- 《中国联通综合电信业务支撑系统CDMA 专业计费子系统技术规范V1.0》
QB/CU 039- 《中国联通综合电信业务支撑系统统一用户资料子系统信息模型V1.0》
QB/CU 033- 《中国联通综合电信业务支撑系统短信专业计费结算子系统技术规范V1.0》。
1.3. 略缩语
缩略语
英文全称
汉字全称
API
Application Programming Interface)
应用程序接口
BSS
Business Support System
业务支撑系统
CDMA
Code Division Multiple Access
码分多址,扩频多址
CRM
Customer Relationship Management
用户关系管理
DBA
Database Administrator
数据库管理员
DRDB
Disk-Resident Database
基于硬盘数据库系统
EAI
Enterprise Application Integration
企业应用集成
FC-AL
Fibre Channel – Arbitrated Loop
光纤通道仲裁环路
IS-IS
Intermediate System to Intermediate System Routing Protocol
中间系统到中间系统路由选择协议
MSS
Management Support System
管理支撑系统
MMDB
Main Memory Database
内存数据库
MVC
Model-View-Controller
模型视图控制器
OSS
Operation Support System
运行支撑系统
RIP
Routing Information Protocol
路由信息协议
SCSI
Small Computer System Interface
小型计算机系统接口
SNMP
Simple Network Management Protocol
简单网络管理协议
SOAP
Simple Object Access
简单对象访问协议
STP
Spaning Tree Protocol
生成树协议
WAP
Wireless Application Protocol
无线应用协议
WFMS
Workflow Management System
工作流管理系统
2 系统概述
2.1. 建设目标
CRM系统建设以用户为中心,面向全部用户、全部业务,提供售前、售中、售后全程、全网服务管理系统。CRM系统建设总体建设目标为:
2.1.1 建立统一用户视图
经过整合多种交互渠道,统计用户和中国联通接触历史,统一管理全部用户全方位数据资料,实现面向全部渠道用户信息展现正确性、立即性、一致性。为全部用户建立完整用户视图,实现全方面洞察用户,面向用户提供一致化服务,提升用户服务水平。
2.1.2 实现多渠道接入
支持用户经过营业厅、呼叫中心、用户经理、外部门户等多个渠道办理业务,实现统一门户,实现统一用户接触和统一用户感受效果。
2.1.3 完善渠道管理、提供渠道业务支撑
全方面提升对渠道分析、评定、考评等支撑能力,经过对分销渠道、直销渠道、互联网渠道全方面支撑,实现营销功效向社会渠道延伸。
2.1.4 加强市场营销、销售活动管理
提供对品牌统一计划和管理;有效支撑市场营销计划管理,跟踪市场营销活动过程,实施市场营销评定管理。有效地支撑管理销售机会从生成到最终形成订单全过程。提升销售工作效率,帮助销售人员立即了解必需信息,提升销售成功率。
2.1.5 提供产品生命周期管理
提供灵活产品配置,提供涵盖产品设计、预演、推出、跟踪、特征修改、退出整个生命周期管理。加紧产品推出周期,增强创新能力,提供产品绩效分析,提供多样化产品组合策略,提升中国联通市场竞争能力。
2.1.6 提升订单处理能力
提供含有高度灵活性、稳定性和扩展性订单处理功效,支持依据业务要求灵活定制步骤,同时确保订单处理步骤统一性,确保用户服务一致性。
2.1.7 提供全方面用户服务
不仅支持用户提议业务咨询、业务受理、投诉提议、信息查询等服务,而且加强了由中国联通发送主动服务,包含问卷调查、用户挽留 、用户回访、用户关心、业务促销、欠费催缴、话费通知等。增强了用户问题问题功效,提升用户需求处理速度。
2.1.8 全程全网服务
采取总部、省分两级系统布署方法,支持中国联通全程全网服务,包含跨省业务处理,实现一站式业务受理、一站式用户服务。
2.1.9 综合业务支撑。
除了对中国联通现有移动语音业务、数据及固网业务、增值业务支撑,CRM系统还需要对立即开通新业务提供灵活扩充,以应对技术和业务快速发展,支撑业务售前、售中、售后生命周期管理。同时,不仅提供个人用户业务支撑,而且提供集团用户业务支撑。
2.2. 建设标准
(1) 规范化标准
用户关系管理系统建设是一个系统工程,用户关系管理系统建设应遵从统一业务标准和技术标准。
(2) 可连续性标准
用户关系管理系统建设要充足考虑技术方案实用和优异、系统架构可连续发展。技术方案实用和优异才能延长系统生命周期,系统架构可连续发展才能充足支持市场需求瞬息万变。
(3) 平稳性标准
用户关系管理系统建设应该充足考虑现有系统情况,确保支撑系统正常业务支持,充足表现系统平稳过渡标准。
2.3. 系统定位
2.3.1 IT系统划分
中国联通IT应用系统架构从系统域角度上能够分为BSS、OSS、MSS三大系统域及企业集成平台,CRM在计划中定位以下图。
各系统域介绍以下:
业务支撑系统域(BSS):面向市场营销、用户服务等企业经营活动提供全方面支撑。关键包含面向全部公众用户提供统一展现中国联通企业形象外部门户支撑,面向用户提供统一售前售中售后支撑用户关系管理、实现全方面洞察用户及多种营销分析经营分析处理、实现合作战略共赢合作伙伴管理、实现综合业务和3G支撑综累计费帐务、结算和采集处理。
运行支撑系统域(OSS):面向服务和资源,提供综合运行支持,有力支撑保障中国联通综合业务运行。关键包含提供综合业务开通集成定单处理和服务开通处理、实现综合业务服务保障处理、为综合业务服务开通和保障提供支撑综合资源管理、支撑3G业务服务交付平台等。
管理支撑系统域(MSS):面向企业管理活动,提供有力支撑和保障。关键包含面向企业决议领导层提供有力支撑企业决议支持系统、全方面管理企业人财物资源ERP系统、支撑企业全部人员协同办公企业协同管理系统、面向企业内部人员提供统一登录认证内部门户服务支撑等。
企业集成平台:面向BSS、OSS、MSS提供系统间集成平台。它能够将业务步骤、应用软件和多种标准联合起来,在两个或多个企业生产应用系统之间实现无缝集成,使它们成为一个整体进行业务处理和信息共享,从而大大提升企业生产效率。
2.3.2 CRM系统在BSS中定位
CRM系统是BSS关键系统之一,在BSS中定位以下:
(1) 外部门户:外部门户关键是面向公众用户,统一展现企业企业形象,提供企业产品介绍并能够进行对应业务处理统一接触点。
(2) 用户关系管理(CRM):经过多个接入方法为用户提供业务受理、查询服务、用户交费、推介咨询、申告投诉、用户提议、终端维修、信息公布和预约等服务。
(3) 合作伙伴管理:和合作伙伴和其它第三方关系管理全部功效。合作伙伴包含:服务/内容提供商(SP/CP)、服务提供合作伙伴(民航、保险、酒店、金融、商城、租车、旅游等)。
(4) 综合采集:从多种业务采集源读取服务使用统计。
(5) 计费帐务:完成多种业务计费处理,关键包含多个业务服务使用统计预处理、费用计算等。
(6) 综合结算:针对不一样业务完成相关漫游结算和网间结算和异地业务结算、和同SP之间结算。
(7) 经营分析:对用户帐务信息进行统一管理、查询、统计分析等工作。
3 系统技术架构
3.1. 技术体系架构
3.1.1 设计标准
技术体系架构对CRM系统建设计划实现起着关键作用。CRM技术体系架构设计应遵照以下标准:
(1) 构件化
构件是实现特定功效,遵照某一个构件模型约定并可独立布署和运行软件单元。
构件化技术为不一样用户定制要求提供了可能,把常见功效做成可供选择构件,软件各个功效模块能够独立地实现、升级,而不会影响系统整体,使用户含有更为灵活选择。
构件设计必需满足以下标准:
² 内聚性:构件代表一个抽象,有很高内聚力,必需提供所需特定操作、属性、事件和方法接口。
² 可重用性:构件要含有较高重用程度,分离功效构件,将可变部分数据化、参数化,以适合不一样应用需求。
² 封装化和接口标准性:构件要易于演化,数据和其结构是封装在一起,数据存放在数据构件对象中,能主动解释其结构。
² 颗粒度合理性:构件按构件粒度大小,自下而上能够分为数据结构构件,功效构件和子系统构件。
(2) 分布式
分布式体系结构把整个应用系统实施分成数个不一样部分而且实施在不一样主机中。组成系统构件实例能够布署在一台或多台主机上,功效实现和构件所在主机物理位置无关。
分布式体系结构关键是能够调用对象上方法或和驻留在不一样进程/计算机上服务进行通信。
系统应实现构件分布透明机制,构件化系统应能够分布布署在一台或多台物理主机上,构件所提供访问服务能够明确分布位置,服务使用者经过构件逻辑名称获取服务,和构件所在物理位置无关。
(3) 分层应用
分层应用是将组件等分隔到不一样层中,每一层中组件保持内聚性,而且大致在同一抽象等级。每一层全部应和它下面各层保持松散耦合,避免使较低等级依靠于较高等级。
经过分层,能够限制子系统间依靠关系,使系统以更松散方法耦合,从而更易于维护。分布式服务层依靠较低层,不过较低层细节不会显示在包含应用程序和业务逻辑层较高层中。应用程序开发人员在较高抽象等级工作时无须考虑诸如 TCP/IP 数据包和网络字节排序之类细节。它还能够在替换较低层时不对较高层造成任何影响。
在多层体系中,各层次根据以下方法进行划分,实现明确分工:
² 瘦用户:提供简练人机交互界面,完成数据输入/输出。
² 业务服务:完成业务逻辑,实现用户和数据库对话桥梁。同时,在这一层中,还应实现分布式管理、负载均衡、失败恢复、安全隔离等。
² 数据服务:提供数据存放服务。通常就是数据库系统。
(4) 松耦合
系统间、模块间功效依靠是不能够移除,不过能够减弱,将系统间、模块间依靠降到最低,就是松耦合。
松耦合系统目标有两点,一点是灵活性,另一点是当组成整个应用程序每个服务内部结构和实现发生改变时,它能够继续存在。
各个层次之间采取松耦合调用方法实现互联。构件间保持松耦合状态,服务具体实现方法对服务使用者透明。在构件内部所实现功效和结构保持高度逻辑相关性同时,确保构件间相互独立性。
(5) 业务和构件分离
要求系统以业务处理逻辑调用物理构件组,使多个业务自动并发处理。层次分明构件化体系,使得中国联通CRM系统业务逻辑集中实现同时实现关键构件、业务构件和服务构件分离。
3.1.2 软件体系架构
中国联通CRM系统根据业务逻辑划分为三层:接入层、业务逻辑层、数据层,图所表示。
3.1.3 接入层
接入层应用程序和服务端应用程序是相对独立。接入层只负责发送服务请求,服务怎样实现则完全由业务逻辑层负责。
接入层是系统和外部进行数据交换平台,由接入逻辑组成。接入逻辑分为界面逻辑和接口服务。对于系统使用者,提供多样化界面逻辑,实现对业务逻辑共享;对于和系统相联外部系统,向业务平台提供一组接口服务,包含协议转换、数据封装等功效,业务平台经过接口服务完成和外部系统数据交换。接入层存在,使内部系统改善和改变被掩盖起来,有利于确保关键业务系统安全和独立。
接入层实现了安全网关、认证和授权、应用适配、接入监控、接入分析等,含有以下关键特点:
² 支持多样化业务接入模式,多种接入方法业务功效实现全部经过业务逻辑层调用相关服务来实现。
² 服务提供统一计划、统一实施,实现统一监控、统一管理。
² 接入层提供批处理文件输入输出。
² 接入层提供WEB和GUI等接入方法,含有功效调用和对象调用等方法。
² 接入层支持CORBA、XML、消息封装等现在流行封装方法。
² 接入层支持Socket、FTP、HTTP、HTTP/S、IIOP、MQ等多个协议。
² 接入层支持同时、异步、异步消息订阅等传输模式。
接入层在实现上采取浏览器用户端。关键技术手段包含J2EE技术和.NET技术。在J2EE技术中,通常技术手段包含经过标准J2EE规范中JSP、HTML、DHTML、XSLT来展现WEB页面。在.NET技术中,通常技术手段包含经过ASP来展现WEB页面。
对于其它特殊用户端设备,必需依据不一样用户端设备来决定采取技术手段,以手机终端为例,在用户端能够采取J2ME技术来实现。
3.1.4 业务逻辑层
业务逻辑层是系统业务逻辑实现层,是系统最关键部分,它接收来自表现层功效请求,是实现多种业务功效逻辑实体。逻辑实体在实现上表现为多种功效组件。这些功效组件是对象化组件模块,可实例化,并经过继承重用;每个对象对外提供服务接口保持相对独立,利于开发和维护。
业务逻辑层由开放型应用中间件和多种业务功效组件组成,业务逻辑层把对数据库多种基础操作和业务步骤功效组件抽象出来,定义为对应编程接口。业务逻辑层能够支持符合特定需求应用,能够方便地支撑应用系统二次开发,有利于构建高效集成化应用环境。
系统应用集成表现在:数据集成、应用集成、步骤集成等。
² 数据集成依据业务步骤确定数据要求,建立完整信息模型,形成统一数据视图,向其它功效模块提供数据支撑。
² 应用集成经过对底层业务逻辑调用,完成系统间互动,能够有效地降低成本、增强系统灵活性和可扩展性。
² 步骤集成以步骤驱动技术为关键,经过步骤和服务有机配合实现不一样系统之间分工合作。步骤集成使企业能够以用户为中心,实现个性化、定制服务,能够依据市场需要实时地调整经营策略,更有效地提升企业竞争力,适应快速改变市场。
通用服务包含日志管理、异常处理、系统监控、认证鉴权功效,通用服务内容是各个业务逻辑中不可缺乏部分。
业务逻辑是实现MVC(Model-View-Controller 模型-视图-控制)架构设计思想,它是一个交互界面结构组织模型。MVC开发模式能够分离数据访问和数据表现,让开发人员能够开发一个可伸缩性强、便于扩展控制器,来维护整个步骤。
业务逻辑层关键是经过EJB、JMS、JAVA BEAN、CORBA、中间件技术等实现比较复杂业务逻辑和数据库存放工作,能够经过容器进行事务管理,而且能够对业务逻辑层组件进行生命周期管理。
3.1.5 数据层
数据层存放并管理多种系统数据。应用系统最终功效映射为对数据库中表和统计操作,数据层实现对多种数据库和数据源访问,并使得业务逻辑层设计和实现更集中于系统本身功效。
数据层由数据访问层和数据源组成,数据源包含:数据库、内存数据、消息队列、磁盘文件等。数据访问层负责封装对数据源访问,并使得业务逻辑层设计和实现更集中于系统本身功效。
数据访问层存在屏蔽了业务逻辑层对底层数据存放形式依靠,使应用系统能够适应多个类型数据库。
3.1.6 关键技术
CRM 系统能够使用以下关键技术对系统建设进行支撑。
3.1.7 J2EE架构体系
综合目前企业级应用采取多种技术架构,J2EE技术架构含有良好技术积累,在各企业级应用中已经得到验证。J2EE技术架构已经被软件行业主流厂商所采取,为企业级应用提供了良好承载平台。
经过J2EE框架图,我们把J2EE整个框架分为表现(Web)层、接入层,业务逻辑(EJB)层、数据层。
表现层:关键就是经过Servlet,JSP等技术进行服务器端Web组件编程,而且协调和用户端之间,和业务逻辑层之间数据传输。在B/S结构中,实现手段包含:J2EEJSP,HTML,DHTML,XSLT等技术,.NETASP来实现WEB页面。
接入层:接入层为最终用户提供统一用户接触服务平台;同时为其它外围系统和机构提供实时、定时批处理接口。接入层支持面对面、语音、短信、网站、邮件、传真等接入方法。接入层实现技术包含:SOCKET、FTP、HTTP、HTTP/S、IIOP、MQ等技术、也包含CORBA、WEB SERVICE等接口实现技术。
业务逻辑层:关键是经过EJB,JMS,CORBA等技术来实现比较复杂业务逻辑和数据库存放工作,并能够经过容器管理事务,并能够对业务逻辑层组件进行生命周期管理。
数据层:数据层关键经过JDBC, EJB中实体BEAN等技术实现对于数据库操作。
在架构实现手段中,现在最为主流实现技术是开发统一框架,应用系统是在统一框架上实现。主流开源框架包含:Struts,Spring,Hibernate等开源框架。
3.1.8 工作流
工作流是业务步骤(Business Process)计算机化或自动化。电信企业内部有很多繁琐复杂业务步骤,这些步骤组成了电信企业日常运行活动。经过现代技术手段将这些步骤自动化,并对其进行有效地管理是工作流管理需要处理问题。
工作流管理最终目标全部是为了缩短企业运行周期、改善企业内(外)部步骤、优化并合理利用资源、降低人为差错和延误,以提升劳动生产率。电信企业实施工作流管理能够提升企业运行效率、改善企业资源利用、提升企业运作灵活性和适应性。
工作流管理应能提供以下三个方面功效支持:
² 建造功效:对工作流过程及其组成活动定义和建模;
² 运行控制功效:在运行环境中管理工作流过程,对工作流过程中活动进行调度;
² 运行交互功效:指在工作流运行中,系统和用户(业务工作参与者或控制者)及外部应用程序工具交互功效。
工作流管理模型以下图:
步骤定义工具:步骤定义工具是工作流管理一个关键组成部分,可视化步骤定义工具方便性、易用性能够大大降低步骤设计难度。
² 步骤定义工具支持拖动图形或控件方法来定义步骤,经过步骤定义工具图形窗口将各图形拖到绘图区,设计复杂步骤。
² 步骤定义工具提供图形属性自定义功效,能够自由定制和业务紧密相关活动节点。
² 使用步骤定义工具能够随时创建步骤事件,并公布到数据库中。
² 步骤定义工具提供正当性校验功效,校验节点属性设置是否正确,预防步骤无法正确流转。
工作流引擎是工作流管理关键。它实现具体业务处理过程。工作流引擎含有以下功效:
² 解释过程定义 ;
² 控制工作流实体状态;
² 依据过程定义定义规则或条件,在节点间导航。
管理和跟踪工具关键包含以下功效:
² 管理和跟踪工具能够对每个步骤节点做超时限制,定时对节点进行检验。对超时步骤或节点依据步骤中定义超时处理措施进行对应处理;
² 检测系统中新任务、超时任务,异常任务等,以定义方法(mail,手机短信等)发送给对应责任人;
² 能够实时查询到步骤实例流转状态和所处节点,而且能够跟踪节点步骤实例数量。
工作流在应用系统实际使用中,能够采取第三方产品,也能够自主开发步骤管理功效。
3.1.9 交易中间件
交易中间件适适用于联机交易处理系统,关键功效是管理分布于不一样计算机上数据一致性,保障系统处理能力效率和均衡负载。
交易中间件是在企业分布式运算环境中开发和管理三层结构用户/服务器型关键任务应用系统强有力工具,它含有分布式事务处理和应用通信功效,并提供完善多种服务来建立、运行和管理关键任务。
交易中间件应支持:
² 能够在多线程环境中运行,并支持大量并发用户访问;
² 能够确保在分布式计算环境中关键性数据资源完整性;
² 应对标准安全性保障方法提供补充,如网络节点认证、应用系统正当性认证、终端用户身份认证、数据加密;支持SSL,HTTPS,PKI,X509等安全协议。
² 应提供在故障发生时实时故障恢复能力,从而有效地确保数据高可用性;
² 能够适应业务需求不停改变,在产生增加或降低用户机、应用程序、服务器节点等环境改变时,对整个系统影响减至最小;
² 能够支持多个目前主流开发工具和语言,同时提供给用基础构件,使开发人员专注于业务步骤实现上,从而使应用开发工作简便易行;
² 能够支持异种操作系统平台、异种数据库平台之间互操作性;
² 支持多个负载均衡算法,还能够采取硬件来进行负载均衡;
² 含有开放体系结构,支持最新XML标准。
3.2. 用户及权限管理
3.2.1 用户及权限管理架构
3.2.2 架构设计标准
建立用户及权限管理架构目标是确保系统中数据只能被经过授权正当用户访问,假如没有有效身份认证和用户、权限管理手段,业务系统安全性将无法得到确保。由此可见,身份认证及用户权限管理是联通BSS系统信息安全体系基础。
系统用户管理及权限架构关键处理系统使用安全认证对内、外部用户对系统资源、应用、数据等进行相关访问处理、监控手段。系统用户及权限管理系统关键是对BSS系统多种安全信息进行统一维护管理,并提供给其它子系统全部安全控制服务。
用户及权限管理架构需满足以下要求:
(1) 预防用户假冒:
提供多个认证和授权方法,而且能够和其它第3方专业认证系统结合起来,如CA,radius,RSA SecurID,SecureComputing等。
(2) 确保系统可用性:
在开放业务给外部用户时(如对外统一服务门户),需采取技术手段(如采取SSL VPN网关)使内网、外网相互隔离,只开放其所需服务,这么用户端只能经过授权使用所开放服务,除该服务之外其它服务全部无从访问,从而降低了对内网系统进行攻击路径,达成了对内部网络资源最大保护。
(3) 可管理性:
对CRM系统提供全部权限管理事件相关日志纪录,并提供对日志维护、查询、统计功效。
(4) 可监控性:
系统提供对权限管理事件相关监控手段。
3.2.3 系统技术架构
依据联通IT计划标准,CRM等系统逻辑上全部有各自用户、权限、身份认证管理模块,由各自系统负责对对应数据域进行维护。
用户及权限管理架构以业务系统(即CRM\Billing\其它业务系统)为边界进行划分,侧重描述应用逻辑布署,架构关键设计思绪为:
² 表现层:遵照系统技术架构设计标准,表现层定义了各业务系统接触渠道层。
² 认证管理:各系统逻辑上实现各自用户认证管理功效,虚框部分表示各系统可采取实现分别认证管理、也可考虑采取统一认证管理方法实现上述功效。技术架构对认证管理业务功效进行要求,对具体实现方法不做限定。采取分系统实现认证管理时,为了确保用户跨系统登陆需求,应实现跨系统登录认证流转功效。具体鉴权和用户管理功效依靠于各业务系统“用户及权限管理数据域”。
² 用户及权限管理数据域:各系统逻辑上实现各自用户用户信息及权限管理功效,为了确保系统间融合性和连接性,各系统间需确保用户管理信息实时同时。对于跨系统登录请求,各业务系统需支持对用户二次鉴权功效,以满足用户跨系统登录认证需求,而且实现了分散维护、集中管理、数据共享业务目标。
3.2.4 系统功效架构
用户及权限管理架构可分为三个层次:
(1) 用户及权限管理层:负责身份管理和访问策略管理。角色权限管理包含用户信息管理,包含同意和生成用户数据,和定义角色属性和权限结合等。用户授权管理包含对用户赋权、修改、授权等业务操作。用户生命周期管理指对用户产生到注销整个过程信息管理。
(2) 用户及权限管理控制层:控制层负责管理和审核保护用户及权限管理策略在整个系统中实施,支持任何类型用户身份认证方法,控制已验证用户对任何资源访问。访问控制和单点登录模块支持Web单点登录,进行基于Web分布式管理,分系统授权,保护应用程序和操作系统资源。个人信息访问控制模块保护个人身份信息和实施隐私管理。监控和审核用户活动模块实时监控事件,以检测可能出现资源滥用或攻击。
(3) 用户及权限管理基础技术层:基础技术层定义了构建用户及权限管理功效架构可选部分技术组件。如LDAP用户管理、Web Service、SSO、SSL安全技术、CA认证技术等。
3.2.5 身份认证
身份认证和管理技术应该亲密结合企业业务步骤,预防关键资源不被非法访问。身份认证用于处理访问者物理身份和数字身份一致性问题,为其它安全技术提供权限管理依据。
可依据实际建设需要结合采取以下多个身份认证方法:
(1) 用户名/ 密码认证:
只要能够正确输入用户名和密码,系统就认为操作者是正当用户。可采取和其它认证方法结合方法进行身份认证系统建设。
(2) IC卡认证:
IC 卡是一个内置集成电路芯片,芯片中存有和用户身份相关数据, IC 卡由专门厂商经过专门设备生产,是不可复制硬件。IC卡由正当用户随身携带,登录时必需将IC卡插入专用读卡器读取其中信息,以验证用户身份。然而因为每次从IC卡中读取数据是静态,经过内存扫描或网络监听等技术还是很轻易截取到用户身份验证信息,所以还是存在安全隐患。
(3) 动态口令认证:
动态口令技术是一个让用户密码根据时间或使用次数不停改变、每个密码只能使用一次技术。它采取动态令牌专用硬件,内置电源、密码生成芯片和显示器,密码生成芯片运行专门密码算法,依据目前时间或使用次数生成目前密码并显示在显示器上。认证服务器采取相同算法计算目前有效密码。用户使用时只需要将动态令牌上显示目前密码输入用户端计算机,即可实现身份认证。因为每次使用密码必需由动态令牌来产生,只有正当用户才持有该硬件,所以只要经过密码验证就能够认为该用户身份是可靠。而用户每次使用密码全部不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒正当用户身份。
(4) 生物特征认证:
生物特征认证是指采取每个人独一无二生物特征来验证用户身份技术。常见有指纹识别、虹膜识别等。生物特征认证基于生物特征识别技术,受到该技术成熟度影响,采取生物特征认证技术含有较大不足。
(5) USB Key 认证:
基于USB Key 身份认证方法采取软硬件相结合、一次一密强双因子认证模式,USB Key 是一个USB 接口硬件设备,它内置单片机或智能卡芯片,能够存放用户密钥或数字证书,利用USB Key 内置密码算法实现对用户身份认证。
多个身份认证技术特点比较:
认证技术
特点
安全隐患
关键产品
用户名/密码方法
简单易行
保护非关键性系统,
不能保护敏感信息
集成在多种应用软件中
IC卡认证
简单易行
很轻易被内存扫描或网络监听
等黑客技术窃取
IC加密卡等
动态口令
一次一密,
较高安全性
使用烦琐,有可能造成
新安全漏洞
动态令牌等
生物特征认证
安全性最高
受到成本和稳定性原因影响,
含有一定不足。
指纹认证系统等
USB Key认证
安全可靠,
成本低廉
依靠硬件安全性
3.2.6 用户管理
CRM系统用户管理模块,负责对直接操作本系统用户信息管理。为了确保系统间融合性和连接性,各系统间需确保用户管理信息实时同时,以确保分散维护、集中管理、数据共享业务目标。
用户管理技术要求为以下内容:
(1) 用户管理信息:指对系统用户信息管理,用户信息包含用户名、密码、用户权限信息、用户使用期及用户附加信息等。
(2) 用户信息维护:提供灵活方便配置操作界面,实现用户信息增加、修改、删除及查询功效;
(3) 用户分级管理:依据用户接入渠道、岗位、服务对象等业务要素,设置用户等级。
(4) 用户分类管理:将用户分为系统维护用户(如系统管理员)、系统使用用户(如营业人员等)等。
(5) 用户操作管理:建立用户等级和数据集(即业务资源)对应关系。如用户查询等级:依据用户等级对对用户资料(包含:资料、帐单、详单、消费、存款等各类数据集)查询进行限制。
3.2.7 权限管理
权限管理是对系统维护及使用权限管理,关键包含对操作该系统人员进行授权管理。授权指是能够许可对应用户访问应用程序和能够对组适用户配置文件实施复杂授权。
系统应从多层次上进行权限管理,配置相关权限参数。对系统、功效和数据等分类配置使用权限参数,供权限配置使用。
(1) 用户角色管理:角色由系统管理员统一管理,将系统中若干管理及操作权限制订为一个角色,经过对用户指定角色方法,给予用户对应管理和操作权限。角色能够由一个或多个角色组合而成,角色也能够由一个或多个角色组合单项权限而成。
(2) 权限管理:权限管理是对用户对业务系统可使用原子功效及管理方法管理,权限区分授权权限和使用权限等,权限设置必需由被授权系统管理员完成,管理员不能设置大于本身权限权限。
(3) 角色和权限对应:角色是多种原子功效集合,系统应提供角色功效,以方便授权及修改权限。各级系统管理员有权对本级所属角色进行增加、修改、删除,可经过组合系统原
展开阅读全文