中国移动统一信息平台技术规范样本.doc

资源描述

中国移动企业信息化一期工程统一信息平台技术规范（v1.0）中国移动通信集团企业目录 1 总则 1 1.1. 概述 1 1.2. 适用范围 1 1.3. 起草单位 2 1.4. 解释权 2 2 应用体系架构 3 2.1. 两级架构 3 2.2. 统一信息平台组成 4 2.3. 总体技术要求 5 3 展示平台 6 3.1. 域名规则 6 3.2. 登录步骤 7 3.3. 访问安全控制 7 3.3.1. 认证 8 3.3.2. 加密 9 3.3.3. 授权 9 3.4. 个性化展现管理 9 3.5. 内容应用聚集 10 3.6. 系统性能要求 10 4 网络和接入平台 11 4.1. 全国互联广域网组织结构 11 4.1.1. 全国互联广域网拓扑结构 11 4.1.2. 广域网互联承载网络选择 12 4.1.3. 全国互联广域网路由 13 4.1.4. 全国互联广域网网络安全 13 4.2. 集团企业统一信息平台网络组织结构 13 4.2.1. 集团企业统一信息平台局域网 13 4.2.2. 集团企业统一信息平台接入 15 4.3. 省企业统一信息平台网络组织结构 16 4.3.1. 省企业统一信息平台局域网 16 4.3.2. 省企业统一信息平台接入 18 4.4. IP地址计划 19 4.4.1. IP地址计划标准 19 4.4.2. IP地址计划方法 20 4.4.3. IP地址计划要求 21 5 安全管理平台 22 5.1. 网络管理及网络安全 22 5.1.1. 网络系统管理 22 5.1.2. 网络安全 22 5.2. 系统管理及系统安全 23 5.2.1. 系统管理 23 5.2.2. 系统安全 24 5.2.3. 数据管理和安全 26 5.2.4. 防病毒 27 6 系统和环境要求 28 6.1. 系统要求 28 6.1.1. 主机设备 28 6.1.2. 操作系统 28 6.1.3. 存放备份设备 29 6.1.4. 网络设备 30 6.1.5. 数据库 32 6.1.6. 展示平台软件 34 6.1.7. 开发工具 35 6.1.8. 系统文档 35 6.2. 机房环境要求 36 6.2.1. 机房环境条件 36 6.2.2. 接地要求 37 6.2.3. 空调及电源 37 1 总则 1.1. 概述现在中国移动通信集团企业已成为世界第一大GSM移动电话运行商，并已经从提供话音和基础数据业务单一业务运行者逐步转变为提供话音、数据、Internet及未来多媒体业务综合业务运行商。中国移动在企业信息化实践过程中逐步确立以BOSS、NMS、MIS为关键IT架构，在企业运行中起到十分关键作用。中国移动企业信息化一期工程建设首先要加强现有应用系统推广和新应用系统建设，使企业信息化水平上一个新台阶。和此同时，还必需进行应用系统平台集中化和WEB化改造，实现接入多元化，经过基础网络建设为扩展应用提供愈加好网络承载。在此基础上，考虑现在因为不一样信息系统服务于企业不一样管理方向而形成企业信息孤岛问题，需要进行企业IT应用和信息在表现层和应用层重整；同时为了使企业领导和职员更方便快捷地获取信息和知识，完成各自工作，需要进行企业IT能力和资源面向使用者角色重构。以上这些工作完成将使中国移动企业信息化建设从现在OA系统升级改造成为统一信息平台，为深入扩展成为企业门户打下基础。本规范是中国移动企业信息化一期工程统一信息平台建设基础技术依据，用于宏观规范和指导各省、自治区、直辖市企业统一信息平台建设，保障系统建设一致规范性。 1.2. 适用范围本规范适适用于中国移动通信集团企业及各省（自治区、直辖市）企业信息化一期工程统一信息平台建设。 1.3. 起草单位本业务规范由中国移动通信集团企业负责起草。 1.4. 解释权本规范增补、修订及解释权属中国移动通信集团企业。如中国移动在此之前文件和本规范有矛盾，按此规范实施。 2 应用体系架构 2.1. 两级架构中国移动统一信息平台是移动企业职员访问内部资源内容渠道和桥梁。鉴于现在中国移动IT系统大多采取两级结构，各省企业管理相对独立，中国移动统一信息平台分为集团企业系统和省企业系统两级，各级系统既要针对本身具体情况进行建设，又要遵守相同技术规范，共同组成中国移动统一信息平台。图 1统一信息平台两级架构 2.2. 统一信息平台组成统一信息平台包含：应用系统、展示平台、网络和接入平台、安全管理平台多个部分组成。详见业务规范。图 2统一信息平台组成 2.3. 总体技术要求 1、系统集中化中国移动统一信息平台建设将遵照集中化建设标准。各省企业以省企业为单位集中建设和管理。已经采取分散方法建设省企业进行集中化改造。 2、平台WEB化统一展示平台和各个应用系统统一采取WEB方法建设。对于已经建成基于C/S结构系统，各级移动企业应完成将C/S系统转变为B/S系统改造。 3、接入多元化各级移动企业应结合本身业务特点，为用户提供GPRS、WLAN等多元化接入方法，扩展信息访问时效性，真正实现信息使用者在任何时间、任何地点，全部能实现对统一信息平台访问。 3 展示平台 3.1. 域名规则中国移动域名系统包含内部网域名系统和外部网域名系统。为CMCC在NIC注册唯一官方使用外部域名，其解析由CMNET负责。中国移动展示平台采取多级域名来标识。根域名定义为cmcc。省企业域名为：应用名.省份编码.cmcc 省份编码以下表：省（区、市）编码省（区、市）编码省（区、市）编码北京 bj 浙江 zj 贵州 gz 上海 sh 安徽 ah 云南 yn 天津 tj 福建 fj 西藏 xz 河北 he 江西 jx 陕西 sn 山西 sx 山东 sd 甘肃 gs 内蒙古 nm 河南 ha 青海 qh 辽宁 ln 湖北 hb 宁夏 nx 吉林 jl 湖南 hn 新疆 xj 黑龙江 hl 广东 gd 海南 hi 重庆 cq 广西 gx 江苏 js 四川 sc 集团企业域名为：应用名. hq.cmcc。各省企业需要增加对集团企业域名解析，集团需要增加对31个省企业域名解析。 3.2. 登录步骤用户登录过程以下图：图 3 展示平台登录步骤 3.3. 访问安全控制中国移动企业展示平台目标用户是集团企业和省企业内部职员，而展示平台所承载应用和内容信息大多数全部是企业敏感信息，安全传输是需要首先考虑问题。基于互联网/内联网网络应用安全问题，能够从以下三个方面考虑；而展示平台设计和布署，也应该从以下三个方面设计从而确保展示平台应用层系统安全。 3.3.1. 认证安全方面一个关键问题就是身份伪装，即部分人伪装成信息发送者或接收者。假如在通讯之前，强制验证对方身份，那么她人伪装机会就大为降低。在本期展示平台建设中，为支持集团企业和省企业之间互访，使用者访问展示平台采取静态密码认证方法，关键包含下列手段： § LDAP。展示平台利用外部目录服务系统作为本身认证机制，假如用户经过了外部目录服务认证，展示平台则认为此用户认证经过，许可进入展示平台。这种认证好处是充足利用已经有认证系统，投资较小。 § RADIUS。展示平台利用外部拨号认证系统作为本身认证机制，假如用户经过了外部拨号认证系统认证，展示平台则认为此用户认证经过，许可进入展示平台。这种认证好处是充足利用已经有认证系统，投资较小。 § UNIX。展示平台利用所安装UNIX环境认证系统作为本身认证机制，假如用户经过了UNIX认证系统认证，展示平台则认为此用户认证经过，许可进入展示平台系统。这种认证好处是充足利用已经有认证系统，投资较小。 § Microsoft Windows/NT domain。展示平台利用一台Windows domain认证系统作为本身认证机制，假如用户经过了它认证，展示平台则认为此用户认证经过，许可进入系统。这种认证好处是充足利用已经有认证系统，投资较小。用户名、密码命名规则以下： l 集团企业用户命名规则 name@cmcc，name为用户姓名汉语拼音全拼。 l 省企业用户命名规则 name@省份编码.cmcc，name为用户姓名汉语拼音全拼。 l 密码密码长度应在6位以上，由英文字母、数字组成。 3.3.2. 加密从展示平台到用户终端设备之间加密链路，是对正当用户（经过认证中国移动职员）经过展示平台和企业内部敏感信息之间交互关键保护，保障敏感信息不被盗用---被非法盗取信息经过加密，对于盗用者毫无意义。对于中国移动内部敏感信息，比如统计查询等应用，应依据情况考虑展示平台到用户终端设备之间加密问题。 3.3.3. 授权应用访问授权处理问题是，当用户成功登录系统后，能够访问那些应用。假如用户越权登录，展示平台应该拒绝她连接请求，并将该用户操作统计在日志中；管理员能够经过分析日志了解系统工作情况。 3.4. 个性化展现管理（1）多个信息格式展现功效作为企业资源访问渠道，其内容展现应支持多个访问设备，包含： l 台式机/便携机 l PDA l 移动电话等。同时，展示平台内容展现应支持不一样信息浏览工具软件，并提供不一样信息展现描述格式，如HTML、WML、cHTML等。（2）个性化内容展现管理功效用户在成功地登录系统后，展示平台负责依据预先设之需要展现内容定义，从对应应用或信息源，形成对应桌面内容展现给用户。展示平台在信息提供处理过程中，可依据用户角色分类定义不一样信息推送内容。在判别访问者用户角色后，系统将自动依据规则设置推送信息。职员能够自行订阅需要获取信息，系统将依据用户设置定时向用户发送被订阅信息。另外，职员能够针对本身喜好，定制信息浏览界面布局，创建自己个人工作台，以方便浏览。个性化服务关键包含以下内容： § 系统角色管理； § 模板/专题风格； § 布局管理； § 内容选择和定制。除了用户能够自己来结构个性化桌面环境，还能够由展示平台管理者来为用户配置。 3.5. 内容应用聚集中国移动集团企业展示平台建设，是以将企业分散应用和内容进行聚合，方便集团职员访问为目标。系统关键应支持以下应用/信息类型： § 基于HTML和XML静态数据。 § 基于Web内容和服务提供者 § 聚集模块应该提供给用编程接口（API）以方便实现其它内容聚集，方便聚集其它类型内容、服务提供给用源。在内容应用聚集实现过程中，系统经过对下列信息管理，实现在展示平台中提供一定访问处理手段，并使不一样角色/权限用户在角色/权限许可范围内访问对应内容和应用资源： § 用户安全信息 § 用户对应用资源访问策略和权限信息 § 系统资源配置信息 3.6. 系统性能要求各系统在并发用户数在最高峰值时，响应时间不超出10秒（除去网络延迟原因）。 4 网络和接入平台企业统一信息平台网络组织由两级系统组成：集团企业统一信息平台网络组织，负责集团企业展示平台及应用系统网络服务和集团企业到各省广域网连接；省企业统一信息平台网络组织，负责省企业展示平台及应用系统网络服务，省会到地市企业节点、地市企业节点到县级节点网络组织，负责提供地市企业职员到省企业统一信息平台和集团企业统一信息平台网络访问。 4.1. 全国互联广域网组织结构 4.1.1. 全国互联广域网拓扑结构中国移动企业统一信息平台全国互联广域网包含从集团企业到省企业、从省企业到地市企业两级结构。依据中国移动企业统一信息平台业务架构，全国互联广域网采取两层星型结构。省企业之间网络通信访问经过集团企业进行路由。应充足考虑网络可扩展性，易于管理，确保服务质量、安全可靠及和其它网络互联互通。依据各个不一样省份业务量情况，到各个省网络带宽能够不一样。整个企业统一信息平台网络拓扑结构示意图以下：图 4 全国互联网络拓扑结构示意 4.1.2. 广域网互联承载网络选择广域网网络建设标准以下：对于新建系统，提议统一一个IP承载网络。对于原有生产系统，因为现在系统已运行稳定提议其仍由原有网络承载。 IP网络广域网承载网络上能够选择三种方法：（a）采取TDM电路实现网络连接，中国移动自有省际传输网络可通达各省会城市（不含西藏），中国移动各省自有传输网络很多已建成，以上电路均能够作为中国移动互联选择。（b）中国移动省内MDCN网。（c）采取IPSec VPN技术，利用现有CMNET组网，具体实现方法能够考虑采取现在OA连接方法。现在，集团企业到省企业广域网承载将选择自有传输网络。现有 CMNET/VPN作为备份。省内广域承载网由省企业自行建设。 4.1.3. 全国互联广域网路由为了实现中国移动企业统一信息平台互联互通互访，需要实现中国移动整个企业内部IP路由互通。全国互联广域网IP路由协议采取EIGRP、OSPF、IS-IS、RIP协议或静态路由。因为各省企业网络系统情况各不相同，提议网络平台路由设计采取分层控制标准，即：集团企业负责从集团企业到省企业路由、各省企业负责省企业内部路由，包含能够采取各自认为适宜路由协议和路由聚集；在集团企业和省企业路由接口处，经过静态路由定义控制两层路由之间互通。 4.1.4. 全国互联广域网网络安全为了保障集团企业和各省企业统一信息平台网络安全，在集团企业统一信息平台和各省企业统一信息平台广域网接口应设置防火墙进行安全隔离。 4.2. 集团企业统一信息平台网络组织结构 4.2.1. 集团企业统一信息平台局域网集团企业统一信息平台局域网是集团企业企业统一信息平台关键，连接多种功效服务器，完成对集团企业统一信息平台支撑，其拓扑结构以下：集团企业统一信息平台局域网设计应满足以下要求：合理划分统一信息平台网络接入功效、信息展示功效、应用互联功效和内部关键数据管理功效，确保各个部分之间相互独立和安全；物理上采取星型结构，各个功效服务器经过100M或千兆连接；采取TCP/IP协议；应充足考虑网络稳定性、带宽、QoS、安全可靠性和和其它网络互联互通。 4.2.1.1. 集团企业统一信息平台用户访问接入区用户访问接入区提供集团企业统一信息平台接入系统网络承载。在局域网结构设计上，用户访问接入区应依据实际情况考虑和网络其它部分进行分区划分。用户访问接入区能够采取100M或1000M接口连接各个服务器。 4.2.1.2. 集团企业统一信息平台展示平台区企业职员可经过展示平台区网络直接访问展示平台服务器。在局域网结构设计上，展示平台区和其它部分进行分区划分。展示平台区能够采取100M或1000M接口连接各个服务器。 4.2.1.3. 集团企业统一信息平台应用系统区应用系统区提供集团企业统一信息平台内部应用系统网络承载。在局域网结构设计上，应用系统区应依据实际情况考虑和网络其它部分进行分区划分。应用系统区能够采取100M或1000M接口连接各个服务器。 4.2.2. 集团企业统一信息平台接入集团企业统一信息平台局域网应提供以下多种网络接入方法，并确保以后扩展能力。 Intranet接入：集团企业统一信息平台局域网应提供到集团企业大楼局域网接口，满足集团企业职员使用桌面终端访问统一信息平台要求。集团企业统一信息平台局域网到集团企业大楼局域网能够采取100M或1000M带宽接口。 PSTN/ISDN接入：集团企业统一信息平台应提供PSTN/ISDN接入能力，满足中国移动职员经过PSTN/ISDN拨号访问统一信息平台要求。集团企业统一信息平台PSTN/ISDN接入能够采取数字中继电路或模拟电话线。 GPRS接入：集团企业统一信息平台应提供到中国移动GPRS网络接口，满足中国移动职员经过GPRS访问统一信息平台要求。集团企业统一信息平台局域网能够采取专线并使用专用APN号连接GPRS网络，经过VPN确保传输安全。 SMS接入：集团企业统一信息平台应提供到中国移动SMS系统接口，满足中国移动职员经过短信系统和统一信息平台互连。 Internet接入方法：集团企业对外提供统一Internet接入企业统一信息平台方法，使用VPN技术访问统一信息平台。用户能够首先经过GPRS、WLAN、PSTN/ISDN等方法接入Internet，再经过Internet接入企业内部网络。 GPRS、PSTN/ISDN、Internet接入用户身份认证采取RADIUS协议，并支持动态密码认证方法。 4.3. 省企业统一信息平台网络组织结构 4.3.1. 省企业统一信息平台局域网省企业统一信息平台局域网是省企业企业统一信息平台关键，连接多种功效服务器，完成对省企业统一信息平台支撑，其拓扑结构以下：省企业统一信息平台局域网设计应满足以下要求：合理划分统一信息平台网络接入功效、信息展示功效、应用互联功效和内部关键数据管理功效，确保各个部分之间相互独立和安全；物理上采取星型结构，各个功效服务器经过100M或千兆连接；采取TCP/IP协议；应充足考虑网络稳定性、带宽、QoS、安全可靠性和和其它网络互联互通。 4.3.1.1. 省企业统一信息平台用户访问接入区用户访问接入区提供省企业统一信息平台接入系统网络承载。在局域网结构设计上，用户访问接入区应依据实际情况考虑和网络其它部分进行分区划分。用户访问接入区能够采取100M或1000M接口连接各个服务器。 4.3.1.2. 省企业统一信息平台展示平台区企业职员可经过展示平台区网络直接访问展示平台服务器。在局域网结构设计上，展示平台区和其它部分进行分区划分。展示平台区能够采取100M或1000M接口连接各个服务器。 4.3.1.3. 省企业统一信息平台应用系统区应用系统区提供省企业统一信息平台内部应用系统网络承载。在局域网结构设计上，应用系统区应依据实际情况考虑和网络其它部分进行分区划分。应用系统区能够采取100M或1000M接口连接各个服务器。 4.3.2. 省企业统一信息平台接入省企业统一信息平台局域网应提供以下多种网络接入方法，并确保以后扩展能力。 Intranet接入：省企业统一信息平台局域网应提供到省企业局域网接口，满足省企业职员使用桌面终端访问统一信息平台要求。省企业统一信息平台局域网到省企业局域网能够采取100M或1000M带宽接口。 PSTN/ISDN接入：省企业统一信息平台应提供PSTN/ISDN接入能力，满足中国移动职员经过PSTN/ISDN拨号访问统一信息平台要求。省企业统一信息平台PSTN/ISDN接入能够采取数字中继电路或模拟电话线。 GPRS接入：省企业统一信息平台应提供到中国移动GPRS网络接口，满足中国移动职员经过GPRS访问统一信息平台要求。省企业统一信息平台局域网能够采取专线并使用专用APN号连接GPRS网络，经过VPN确保传输安全。 SMS接入：省企业统一信息平台应提供到中国移动SMS系统接口，满足中国移动职员经过短信系统和统一信息平台互连。 Internet接入方法：由集团企业统一计划。 GPRS、PSTN/ISDN、Internet接入用户身份认证采取RADIUS协议，并支持动态密码认证方法。 4.4. IP地址计划 4.4.1. IP地址计划标准中国移动企业统一信息平台IP地址计划应该结合地域、业务特点，兼顾近期需求和远期发展，进行全国统一计划。集团企业及各省企业IP地址分配标准应符合中国移动已颁布行业相关标准。依据中国移动通信集团企业内部网IP地址划分。各省、自治区、直辖市IP地址分配范围见下表：中国移动企业内部计算机网络IP地址范围区域名称地　址　范　围网络地址 1 集团企业 2 北　京 3 上　海 4 广　东 5 湖　北 6 江　苏 7 浙　江 8 福　建 9 辽　宁 10 山　东 11 河　南 12 四　川 13 黑龙江 14 河　北 15 陕　西 16 天　津 17 安　徽 18 湖　南 19 吉　林 20 云　南 21 江　西 22 广　西 23 重　庆 24 贵　州 25 海　南 26 山　西 27 甘　肃 28 内蒙古 29 宁　夏 30 青　海 31 西　藏 32 新　疆 4.4.2. IP地址计划方法集团企业和各省企业在自己所拥有IP地址段中，提供一个1/8C类地址段，用于互访。采取CIDR（Classless inter-domain route，无类域间路由）和可变长子网掩码技术分配IP地址网段，充足合理利用IP地址资源。 4.4.3. IP地址计划要求 l IP地址划分应表现地域特征和业务特征，相同地域地址应连续； l 各个部分IP地址段要注意安全和隔离，对和外界连接企业IP地址要严格做好安全控制； l 便于网络互联，有利于简化路由表设置，提升路由效率； l 提升IP地址利用率； l 满足网络安全需要； l 有利于网络扩展。 5 安全管理平台 5.1. 网络管理及网络安全 5.1.1. 网络系统管理实现全国中心和省企业节点之间广域网络、省内企业统一信息平台广域网络、全国中心和各省中心局域网监视和管理，包含：运行管理：可自动发觉网络节点，自动产生网络拓扑图，自动生成和保持TCP/IP图象，连续监测网络设备状态，经过色彩确定网络设备状态，获取实时及历史网络信息等。故障管理：实现对异常操作监测，隔离和纠正。当发觉网元故障/网络状态异常时，系统开启测试管理功效，进行故障诊疗、定位测试，方便采取合适维护行动，最大程度地降低故障对网络运行影响。同时，提供完整差错日志，经过日志进行差错追查。配置管理：实现对系统多种网络设备进行资源配置、参数设置、功效定制等功效。性能管理：性能管理用来对网络设备有效性评价，包含取得设备性能参数，如吞吐量、响应时间、是否过载等。经过监控，获取相关系统运行信息及统计数据，并能在此基础上，提供系统性能统计，如网络设备可用率，故障率等。安全管理：系统采取多层次安全防护方法，如多级用户权限管理，确保对网络设备安全访问。 5.1.2. 网络安全网络系统应支持访问控制、安全检测、攻击监控、加密通信等一系列安全功效，应提供完整网络监控、报警和故障处理功效。网络系统应含有入侵检测功效，可监控可疑连接、非法访问等，采取方法包含实时报警、自动阻断通信连接或实施用户自定义安全策略；网络系统应能定时检验安全漏洞，依据扫描结果更正网络安全漏洞和系统中错误配置；使用加密技术对传输数据加密；经过路由设备对网上用户做访问控制：针对网络节点，经过IP地址过滤，做访问控制；针对网络应用，经过对应用源和目标地TCP端口号，对网络应用做访问控制；路由验证：确保网络路由表安全性，预防对路由表非法更改等等。 5.1.2.1. 防火墙整个统一信息平台应在防火墙安全保护之下，假如需要可采取多道防火墙，每道防火墙应使用不一样产品。防火墙安全策略应严格管理和控制，要经过测试，对防火墙策略要定时加以修订和补充。 5.1.2.2. 入侵监控系统应含有有效入侵监控，入侵监控应包含对网络实时监控、对主机系统实时监控、和对数据库系统等实时监控。监控系统应该是自动，发觉入侵以后，应含有自动阻止入侵和提供报警功效。监控系统应能够和防火墙等其它安全系统有效结合。不过监控应尽可能降低对系统资源占用。 5.2. 系统管理及系统安全 5.2.1. 系统管理系统管理关键目标是确保企业统一信息平台稳定、可靠运行；减轻系统维护人员工作负担，提升工作效率；实时掌握各级节点系统资源利用情况，为升级扩容提供数据依据。系统管理关键包含：主机系统管理、数据库管理、统一信息平台应用系统管理、安全管理等。 5.2.1.1. 主机系统管理实现对各级节点主机系统资源利用情况监视，包含系统上用户管理；主机资源（如CPU、内存等利用率情况等）监视；操作系统监视；文件系统监视；日志文件监视；进程监视和性能监视等。系统管理关键能够取得以下信息： 1） CPU空闲时间； 2）内存利用率； 3） I/O等候； 4）主机相关硬件错误统计日志汇报； 5）系统备份正常运行和性能； 6）备份使用存放设备存放量； 7）多种系统软件包含操作系统、Cluster系统等运行情况； 8）文件系统限额。 9）系统上用户管理信息。 5.2.1.2. 数据库管理关键实现对数据库系统运行情况监视。数据库监视内容包含：数据库可用性情况、文件系统、表及日志空间、数据库死锁等故障情况、用户连接情况和数据库运行性能等。 5.2.1.3. 应用管理实现对应用软件系统运行情况监视。关键包含：应用系统可用性、日志和运行性能等。 5.2.2. 系统安全系统安全包含系统可靠性、系统安全、防病毒、系统漏洞扫描及数据安全等 5.2.2.1. 系统可靠性统一信息平台关键是为企业内部职员服务，它将成为职员访问企业内部资源单一接入点，所以其可靠性是建设过程中关键。 5.2.2.1.1. 主机系统可靠性主机可靠性关键表现在主机硬件可靠性和操作系统可靠性。硬件系统应冗余配置，确保系统无单一故障点，必需时可采取HA结构，发生故障后能够快速切换，确保7×二十四小时不间断运行。操作系统应是现在业界流行操作系统，应适合于关键业务运行。 5.2.2.1.2. 应用系统可靠性整个应用软件系统应能够连续不间断工作，出现故障应能立即告警，应含有完整操作权限管理功效和完善系统安全机制。 5.2.2.2. 主机系统（操作系统）安全应用服务器主机操作系统在安全性上应该能够达成C2安全等级。系统应含有访问权限识别和控制功效，对系统管理员必需授予不一样等级管理权限。要确保只有授权人员或系统能够访问某种功效，获取系统数据，有非法访问或系统安全性受到破坏时必需告警。系统应含有日志功效，方便掌握系统运行状态。系统应提供审计功效。应对主机系统提供漏洞扫描、入侵监控和病毒防范机制。对主机系统尽心必需安全设定，如屏蔽系统上无须要服务，提供必需入侵探测、防病毒等安全工具。加强主机上用户，尤其是特权用户管理等。 5.2.2.3. 应用系统安全应用系统用户管理、权限管理应充足利用操作系统和数据库安全性，结合统一资源管理系统建立，提议统一应用系统用户权限和访问控制。应用软件运行时须有完整日志统计。应用软件要预防消耗过多系统资源而使系统瓦解。 5.2.2.4. 系统漏洞扫描统一信息平台应提供对主机系统和网络系统安全漏洞扫描功效。扫描系统能够发觉系统存在安全漏洞，并能提供对应汇报和对应处理方法。 5.2.3. 数据管理和安全数据是统一信息平台关键，所以数据安全是确保统一信息平台运行基础。数据安全包含数据存放安全、数据传输过程中安全，数据一致性等。系统应采取优异存放系统来存放数据，存放系统含有很好扩展性、支持多个RAID格式，支持数据备份、容灾等多个数据保护方法。并在系统存在问题时，提供有效数据恢复机制。系统应含有完备数据备份功效，备份系统应能够和存放系统有效结合。备份系统应支持全备份、增量备份、差异备份等多个备份策略，支持LAN、LAN-Free和Server-Less备份方法。备份系统能够确保数据一致性，备份数据可恢复性，对必需系统可提供实时备份功效。存放系统应有良好备份策略和恢复计划。系统数据和业务数据可联机备份、联机恢复，恢复数据必需保持其完整性和一致性。为确保数据传输过程中安全，应考虑在数据传输过程中增加对数据传输加密。实现数据传输不被非法复制、修改。可采取技术如SSL、IPSec-VPN等。 5.2.4. 防病毒统一信息平台由大量用户访问，防病毒应是统一信息平台安全内容建设关键。统一信息平台防病毒系统能够预防以http、https、邮件等多方法病毒入侵。防病毒系统应具优异检测、清除病毒能力；病毒码和扫描病毒引擎自动更新功效；并能够提供报警机制等功效。 6 系统和环境要求 6.1. 系统要求 6.1.1. 主机设备主机设备关键用作统一信息平台接入，集中认证等应用。鉴于各省企业统一信息平台访问量差异很大，集团企业和各省企业应依据自己统一信息平台业务量大小和应用软件需要等原因设置主机设备数量，对于业务量较大应用功效应配置单独服务器主机，业务量较小若干种应用功效能够合设一套/一台主机设备。主机设备基础技术要求以下： 1. 主机系统应采取UNIX或ＷＩＮＤＯＷＳ等操作系统。并支持汉字内码，符合中国相关汉字字符集定义相关国家标准。 2. 主机系统需7×二十四小时连续运行，所以要求其含有很高安全可靠性。移动企业统一信息平台应采取Cluster技术等安全可靠性技术。 3. 主机硬盘、网络接口、网络连接及电源均应考虑足够冗余； 4. 支持电源、I/O设备、存放设备等硬件设备热插拔； 5. 主机系统设备应含有合适扩充能力，包含CPU扩充、内存容量扩充及I/O能力扩充等；并可支持CPU板级升级和群集内节点数平滑扩充。 6. 因为统一信息平台关键提供Web访问，所以主机系统应满足大容量并发用户要求，即应支持大容量http等。 7. 可靠性：系统整机平均无故障时间（MTBF）不低于8000小时。 8. 接入局域网方法：应提供10/100/100Ethernet网络接口。 6.1.2. 操作系统操作系统要求以下： 1. 关键业务应用主机采取64位UNIX操作系统，并可兼容以往32位应用系统； 2. 操作系统支持虚拟内存管理，支持多用户、多任务、多进程和多线程； 3. 支持完全对称多处理器（SMP）； 4. 支持群集（cluster）； 5. 操作系统应最少达成C2级安全标准； 6. 提供完整软件开发环境； 7. 操作系统应提供图形化系统管理工具； 8. 支持在线诊疗和软硬件自动错误统计，在电源故障或其它紧急情况可提供自保护和自恢复； 9. 支持汉字大字符集等相关国家标准。 6.1.3. 存放备份设备 6.1.3.1. 存放设备存放设备关键指磁盘阵列，关键实现移动企业统一信息平台数据联机存放。 1. 磁盘阵列设备是移动企业统一信息平台中数据联机存放关键资源，要求有很高安全可靠性。 2. 依据实际需要，磁盘阵列设备应可和多个厂家主机系统相连。 3. 磁盘阵列设备应能够提供多个和主机系统连接方法，如SCSI-2、FC-AL等。 4. 磁盘阵列设备应支持多个RAID存放方法，包含RAID 0+1、RAID 5等。 5. 磁盘阵列设备应含有较强平滑扩充能力，包含系统存放容量扩充及I/O能力扩充等。 6. 磁盘阵列设备应支持磁盘热插拔。 7. 磁盘阵列应支持优异SAN存放技术等。 6.1.3.2. 备份设备企业统一信息平台中备份设备通常指大容量磁带库或光盘库等，关键用于系统数据脱机备份。 1. 依据实际需要，可采取数据库实时备份或增量备份、差异备份等备份策略。 2. 备份设备要求有良好安全可靠性。 3. 依据实际需要，备份设备可和多个厂家主机系统相连。 4. 备份设备应能够提供多个和服务器主机连接方法，如SCSI-2、FC-AL等。 5. 备份设备应含有较强平滑扩充能力，包含系统设备容量扩充及I/O能力扩充等。 6. 设备应支持SAN技术，方便备份系统支持LAN-free/Serverless备份方法。 6.1.4. 网络设备 6.1.4.1. 关键交换机网络关键交换机应满足下述要求： 1）千兆网交换机，提供10Gbps级～ 100Gbps级背板带宽； 2）支持多层交换，其多层交换能力要达成10Mpps等级； 3）支持TCP/IP协议； 4）支持OSPF、IS-IS、RIP、BGP等多个路由协议，支持多路由负载均衡； 5）支持HSRP/VRRP热备份协议； 6）支持IP Multicast技术，支持IGMP、MOSPF、PIM等多个IP Multicast路由协议； 7）支持STP协议； 8）支持VLAN划分和802.1Q VLAN TRUNK协议； 9）提供强大QoS管理功效，支持802.1p标准和IP Precedence/DSCP标准，提供第二层和第三层QoS支持； 10）支持SNMP和SNMPv2协议； 11）高可靠性要求，对关键模块如中心引擎、电源、风扇等要求支持冗余备份，系统板、关键I/O板、电源、风扇等考虑冗余，并可热插拔； 12）要求平均无故障时间应大于8000小时，可用性大于99.99%； 13）含有较强端口扩展能力。 6.1.4.2. 接入交换机接入交换机应满足下述要求： 1）提供Gbps级背板带宽，含有千兆接入能力； 2）支持STP协议，支持基于VLANSTP，以避免单点失误，并提供负载均衡； 3）支持VLAN划分和802.1Q VLAN TRUNK协议； 4）支持802.1p标准，提供第二层QoS支持； 5）支持IP Multicast技术； 6）支持SNMP和SNMPv2协议； 7）平均无故障时间应大于8000小时，可用性大于99.99%； 6.1.4.3. 广域网路由器广域网路由器应满足下述要求： 1）提供1Gbps以上背板带宽，提供1Mpps以上IP包转发速度； 2）支持多个接口类型，灵活满足不一样接入要求； 3）支持OSPF、IS-IS、RIP、BGP等动态路由协议和静态路由协议，支持多路由负载均衡； 4）支持IP Multicast技术，支持IGMP、MOSPF、PIM等多个IP Multicast路由协议； 5）支持HSRP/VRRP热备份协议； 6）支持SNMP和SNMPv2协议； 7）主干路由器要求含有较高可靠性，系统板、关键I/O板、电源、风扇等考虑冗余，并可热插拔；要求平均无故障时间应大于8000小时，可用性大于99.99% 6.1.4.4. 防火墙防火墙能够采取主机加防火墙软件或专用防火墙设备，应满足下列要求： 1. 支持动态和静态内部网和外部网之间地址转换、映射； 2. 能有效地实现内部网到外部网单向访问控制，能够严禁外部网对内部网访问； 3. 能侦测、过滤或跟踪非法访问企图，能自动实时告警，并生成对应日志统计； 4. 能对常见服务（比如WWW、e-mail、FTP、Telnet、Rlogin等）访问权限进行有效控制和管理；能对经过防火墙网络流量进行统计和管理，并定时

展开阅读全文