中国移动统一信息平台技术规范.docx

1、中国移动统一信息平台技术规范中国移动统一信息平台技术规范中国移动企业信息化一期工程统一信息平台技术规范（v1.0）中国移动通信集团公司1 总则1.1. 概述目前中国移动通信集团公司已成为世界第一大GSM移动电话运营商，并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。中国移动在企业信息化的实践过程中逐渐确立以BOSS、NMS、MIS为核心的IT架构，在企业的运营中起到十分重要的作用。中国移动企业信息化一期工程建设首先要加强现有应用系统的推广和新应用系统的建设，使企业信息化水平上一个新的台阶。与此同时，还必须进行应用系统平台

2、的集中化和WEB化改造，实现接入的多元化，通过基础网络建设为扩展的应用提供更好的网络承载。在此基础上，考虑目前由于不同的信息系统服务于企业的不同管理方向而形成企业的信息孤岛问题，需要进行企业IT应用和信息在表现层和应用层的重整；同时为了使企业的领导和员工更方便快捷地获取信息和知识，完成各自的工作，需要进行企业IT能力和资源面向使用者角色的重构。以上这些工作的完成将使中国移动的企业信息化建设从目前的OA系统升级改造成为统一信息平台，为进一步扩展成为企业门户打下基础。本规范是中国移动企业信息化一期工程统一信息平台建设的基本技术依据，用于宏观规范和指导各省、自治区、直辖市公司的统一信息平台建设，保障

3、系统建设的一致规范性。1.2. 适用范围本规范适用于中国移动通信集团公司及各省（自治区、直辖市）企业信息化一期工程统一信息平台建设。1.3. 起草单位本业务规范由中国移动通信集团公司负责起草。1.4. 解释权本规范的增补、修订及解释权属中国移动通信集团公司。如中国移动在此之前的文件与本规范有矛盾，按此规范执行。2 应用体系架构2.1. 两级架构中国移动的统一信息平台是移动企业员工访问内部资源内容的渠道与桥梁。鉴于目前中国移动IT系统大多采用两级结构，各省公司的管理相对独立，中国移动的统一信息平台分为集团公司系统和省公司系统两级，各级系统既要针对自身的具体情况进行建设，又要遵守相同的技术规范，共

4、同构成中国移动统一信息平台。 图 1统一信息平台两级架构2.2. 统一信息平台的组成统一信息平台包括：应用系统、展示平台、网络和接入平台、安全管理平台几个部分组成。详见业务规范。图 2统一信息平台组成2.3. 总体技术要求1、系统集中化中国移动统一信息平台的建设将遵照集中化的建设原则。各省公司以省公司为单位集中建设与管理。已经采取分散方式建设的省公司进行集中化改造。2、平台WEB化统一展示平台和各个应用系统统一采用WEB方式建设。对于已经建成的基于C/S结构的系统，各级移动公司应完成将C/S系统转变为B/S系统的改造。3、接入多元化各级移动公司应结合自身的业务特点，为用户提供GPRS、WLAN

5、等多元化的接入方式，扩展信息访问的时效性，真正实现信息的使用者在任何时间、任何地点，都能实现对统一信息平台的访问。3 展示平台3.1. 域名规则中国移动域名系统包括内部网的域名系统和外部网的域名系统。为CMCC在NIC注册的唯一官方使用的外部域名，其解析由CMNET负责。中国移动展示平台采用多级域名来标识。根域名定义为cmcc。省公司域名为：应用名.省份编码.cmcc省份的编码如下表：省（区、市）编码省（区、市）编码省（区、市）编码北京bj浙江zj贵州gz上海sh安徽ah云南yn天津tj福建fj西藏xz河北he江西jx陕西sn山西sx山东sd甘肃gs内蒙古nm河南ha青海qh辽宁ln湖北hb宁

6、夏nx吉林jl湖南hn新疆xj黑龙江hl广东gd海南hi重庆cq广西gx江苏js四川sc集团公司域名为：应用名. hq.cmcc。各省公司需要增加对集团公司的域名解析，集团需要增加对31个省公司的域名解析。3.2. 登录流程用户的登录过程如下图：图 3 展示平台登录流程3.3. 访问安全控制 中国移动的企业展示平台的目标用户是集团公司和省公司的内部员工，而展示平台所承载的应用与内容信息大多数都是企业敏感信息，安全传输是需要首先考虑的问题。基于互联网/内联网的网络应用安全问题，可以从如下三个方面考虑；而展示平台的设计与部署，也应该从如下三个方面设计从而确保展示平台的应用层系统安全。3.3.1.

7、认证安全方面的一个主要问题就是身份的伪装，即一些人伪装成信息的发送者或接受者。如果在通讯之前，强制验证对方的身份，那么别人伪装的机会就大为减少。在本期展示平台的建设中，为支持集团公司和省公司之间的互访，使用者访问展示平台采用静态密码的认证方式，主要包括下列手段： LDAP。展示平台利用外部的目录服务系统作为本身的认证机制，如果用户通过了外部目录服务的认证，展示平台则认为此用户认证通过，允许进入展示平台。这种认证的好处是充分利用已有的认证系统，投资较小。 RADIUS。展示平台利用外部的拨号认证系统作为本身的认证机制，如果用户通过了外部拨号认证系统的认证，展示平台则认为此用户认证通过，允许进入展

8、示平台。这种认证的好处是充分利用已有的认证系统，投资较小。 UNIX。展示平台利用所安装UNIX环境的认证系统作为本身的认证机制，如果用户通过了UNIX认证系统的认证，展示平台则认为此用户认证通过，允许进入展示平台系统。这种认证的好处是充分利用已有的认证系统，投资较小。 Microsoft Windows/NT domain。展示平台利用一台Windows domain认证系统作为本身的认证机制，如果用户通过了它的认证，展示平台则认为此用户认证通过，允许进入系统。这种认证的好处是充分利用已有的认证系统，投资较小。用户名、密码命名规则如下： 集团公司用户的命名规则namecmcc，name为用户

9、姓名汉语拼音全拼。 省公司用户的命名规则name省份编码.cmcc，name为用户姓名汉语拼音全拼。 密码密码长度应在6位以上，由英文字母、数字组成。3.3.2. 加密从展示平台到用户的终端设备之间的加密链路，是对合法用户（通过认证的中国移动员工）通过展示平台与企业内部敏感信息之间交互的重要保护，保障敏感信息不被盗用-被非法盗取的信息经过加密，对于盗用者毫无意义。对于中国移动内部的敏感信息，例如统计查询等应用，应根据情况考虑展示平台到用户终端设备之间的加密问题。3.3.3. 授权应用访问授权解决的问题是，当用户成功登录系统后，可以访问那些应用。如果用户越权登录，展示平台应该拒绝他的连接请求，并

10、将该用户的操作记录在日志中；管理员可以通过分析日志了解系统的工作情况。3.4. 个性化展现管理（1）多种信息格式展现功能作为企业资源的访问渠道，其内容展现应支持多种访问设备，包括： 台式机/便携机 PDA 移动电话等。同时，展示平台的内容展现应支持不同的信息浏览工具软件，并提供不同的信息展现描述格式，如HTML、WML、cHTML等。（2）个性化内容展现管理功能用户在成功地登录系统后，展示平台负责根据预先设之的需要展现的内容定义，从相应的应用或信息源，形成相应的桌面内容展现给用户。展示平台在信息提供的处理过程中，可根据用户角色分类定义不同的信息推送内容。在鉴别访问者的用户角色后，系统将自动根据

11、规则设置推送信息。员工可以自行订阅需要获取的信息，系统将根据用户的设置定期向用户发送被订阅的信息。此外，员工可以针对自身喜好，定制信息浏览的界面布局，创建自己的个人工作台，以方便浏览。个性化服务主要包含以下内容： 系统角色管理； 模板/主题风格； 布局管理； 内容的选取与定制。除了用户能够自己来构造个性化的桌面环境，还可以由展示平台的管理者来为用户配置。3.5. 内容应用聚集中国移动集团公司展示平台建设，是以将企业分散的应用和内容进行聚合，方便集团员工访问为目的。系统主要应支持如下的应用/信息类型： 基于HTML和XML的静态数据。 基于Web的内容和服务提供者 聚集模块应该提供应用编程接口（

12、API）以方便实现其他的内容聚集，方便聚集其它类型的内容、服务提供应用源。在内容应用聚集的实现过程中，系统通过对下列信息的管理，实现在展示平台中提供一定的访问处理手段，并使不同角色/权限的用户在角色/权限允许的范围内访问相应的内容和应用资源： 用户的安全信息 用户对应用资源的访问策略和权限信息 系统的资源配置信息3.6. 系统性能要求各系统在并发用户数在最高峰值时，响应时间不超过10秒（除去网络延迟因素）。4 网络和接入平台企业统一信息平台的网络组织由两级系统构成：集团公司统一信息平台的网络组织，负责集团公司展示平台及应用系统的网络服务和集团公司到各省的广域网连接；省公司统一信息平台的网络组织

13、，负责省公司展示平台及应用系统的网络服务，省会到地市公司节点、地市公司节点到县级节点的网络组织，负责提供地市公司员工到省公司统一信息平台和集团公司统一信息平台的网络访问。4.1. 全国互联广域网组织结构4.1.1. 全国互联广域网拓扑结构中国移动企业统一信息平台的全国互联广域网包括从集团公司到省公司、从省公司到地市公司的两级结构。根据中国移动企业统一信息平台的业务架构，全国互联广域网采用两层星型结构。省公司之间的网络通信访问通过集团公司进行路由。应充分考虑网络的可扩展性，易于管理，保证服务质量、安全可靠及与其它网络的互联互通。根据各个不同省份的业务量情况，到各个省的网络带宽可以不同。整个企业统

14、一信息平台网络拓扑结构示意图如下：图 4 全国互联网络拓扑结构示意4.1.2. 广域网互联承载网络的选择广域网网络建设的原则如下：对于新建的系统，建议统一一个IP承载网络。对于原有生产系统，由于目前系统已运行稳定建议其仍由原有网络承载。IP网络广域网承载网络上可以选择三种方式：（a）采用TDM电路实现网络连接，中国移动自有的省际传输网络可通达各省会城市（不含西藏），中国移动各省自有的传输网络很多已建成，以上电路均可以作为中国移动互联的选择。（b）中国移动省内MDCN网。（c）采用IPSec VPN技术，利用现有的CMNET组网，具体实现方式可以考虑采用目前OA的连接方式。目前，集团公司到省公司

15、广域网承载将选择自有传输网络。现有的 CMNET/VPN作为备份。省内的广域承载网由省公司自行建设。4.1.3. 全国互联广域网的路由为了实现中国移动企业统一信息平台的互联互通互访，需要实现中国移动整个企业内部IP路由的互通。全国互联广域网的IP路由协议采用EIGRP、OSPF、IS-IS、RIP协议或静态路由。由于各省公司网络系统的情况各不相同，建议网络平台的路由设计采取分层控制的原则，即：集团公司负责从集团公司到省公司的路由、各省公司负责省公司内部的路由，包括可以采取各自认为合适的路由协议和路由聚集；在集团公司和省公司路由的接口处，通过静态路由定义控制两层路由之间的互通。 4.1.4. 全

16、国互联广域网的网络安全为了保障集团公司和各省公司统一信息平台的网络安全，在集团公司统一信息平台和各省公司统一信息平台的广域网接口应设置防火墙进行安全隔离。4.2. 集团公司统一信息平台的网络组织结构4.2.1. 集团公司统一信息平台局域网集团公司统一信息平台局域网是集团公司企业统一信息平台的核心，连接各种功能服务器，完成对集团公司统一信息平台的支撑，其拓扑结构如下： 集团公司统一信息平台局域网的设计应满足如下要求：合理划分统一信息平台的网络接入功能、信息展示功能、应用互联功能和内部核心数据管理功能，保证各个部分之间的相互独立和安全；物理上采用星型结构，各个功能服务器通过100M或千兆连接；采用

17、TCP/IP协议；应充分考虑网络的稳定性、带宽、QoS、安全可靠性以及与其它网络的互联互通。4.2.1.1. 集团公司统一信息平台的用户访问接入区用户访问接入区提供集团公司统一信息平台接入系统的网络承载。在局域网结构设计上，用户访问接入区应根据实际情况考虑与网络其它部分进行分区划分。用户访问接入区可以采用100M或1000M接口连接各个服务器。4.2.1.2. 集团公司统一信息平台展示平台区企业员工可通过展示平台区网络直接访问展示平台服务器。在局域网结构设计上，展示平台区与其它部分进行分区划分。展示平台区可以采用100M或1000M接口连接各个服务器。4.2.1.3. 集团公司统一信息平台应用

18、系统区应用系统区提供集团公司统一信息平台内部应用系统的网络承载。在局域网结构设计上，应用系统区应根据实际情况考虑与网络其它部分进行分区划分。应用系统区可以采用100M或1000M接口连接各个服务器。4.2.2. 集团公司统一信息平台接入集团公司统一信息平台的局域网应提供以下各种网络接入方式，并保证今后的扩展能力。Intranet接入：集团公司统一信息平台局域网应提供到集团公司大楼局域网的接口，满足集团公司员工使用桌面终端访问统一信息平台的要求。集团公司统一信息平台局域网到集团公司大楼局域网可以采用100M或1000M带宽接口。PSTN/ISDN接入：集团公司统一信息平台应提供PSTN/ISDN

19、接入能力，满足中国移动员工通过PSTN/ISDN拨号访问统一信息平台的要求。集团公司统一信息平台的PSTN/ISDN接入可以采用数字中继电路或模拟电话线。GPRS接入：集团公司统一信息平台应提供到中国移动GPRS网络的接口，满足中国移动员工通过GPRS访问统一信息平台的要求。集团公司统一信息平台局域网可以采用专线并使用专用APN号连接GPRS网络，通过VPN保证传输安全。SMS接入：集团公司统一信息平台应提供到中国移动SMS系统的接口，满足中国移动员工通过短信系统与统一信息平台互连。Internet接入方式：集团公司对外提供统一的Internet接入企业统一信息平台的方式，使用VPN技术访问统

20、一信息平台。用户可以首先通过GPRS、WLAN、PSTN/ISDN等方式接入Internet，再通过Internet接入企业内部网络。GPRS、PSTN/ISDN、Internet接入的用户身份认证采用RADIUS协议，并支持动态密码认证方式。4.3. 省公司统一信息平台的网络组织结构4.3.1. 省公司统一信息平台局域网省公司统一信息平台局域网是省公司企业统一信息平台的核心，连接各种功能服务器，完成对省公司统一信息平台的支撑，其拓扑结构如下： 省公司统一信息平台局域网的设计应满足如下要求：合理划分统一信息平台的网络接入功能、信息展示功能、应用互联功能和内部核心数据管理功能，保证各个部分之间的

21、相互独立和安全；物理上采用星型结构，各个功能服务器通过100M或千兆连接；采用TCP/IP协议；应充分考虑网络的稳定性、带宽、QoS、安全可靠性以及与其它网络的互联互通。4.3.1.1. 省公司统一信息平台的用户访问接入区用户访问接入区提供省公司统一信息平台接入系统的网络承载。在局域网结构设计上，用户访问接入区应根据实际情况考虑与网络其它部分进行分区划分。用户访问接入区可以采用100M或1000M接口连接各个服务器。4.3.1.2. 省公司统一信息平台展示平台区企业员工可通过展示平台区网络直接访问展示平台服务器。在局域网结构设计上，展示平台区与其它部分进行分区划分。展示平台区可以采用100M或

22、1000M接口连接各个服务器。4.3.1.3. 省公司统一信息平台应用系统区应用系统区提供省公司统一信息平台内部应用系统的网络承载。在局域网结构设计上，应用系统区应根据实际情况考虑与网络其它部分进行分区划分。应用系统区可以采用100M或1000M接口连接各个服务器。4.3.2. 省公司统一信息平台接入省公司统一信息平台的局域网应提供以下各种网络接入方式，并保证今后的扩展能力。Intranet接入：省公司统一信息平台局域网应提供到省公司局域网的接口，满足省公司员工使用桌面终端访问统一信息平台的要求。省公司统一信息平台局域网到省公司局域网可以采用100M或1000M带宽接口。PSTN/ISDN接入

23、：省公司统一信息平台应提供PSTN/ISDN接入能力，满足中国移动员工通过PSTN/ISDN拨号访问统一信息平台的要求。省公司统一信息平台的PSTN/ISDN接入可以采用数字中继电路或模拟电话线。GPRS接入：省公司统一信息平台应提供到中国移动GPRS网络的接口，满足中国移动员工通过GPRS访问统一信息平台的要求。省公司统一信息平台局域网可以采用专线并使用专用APN号连接GPRS网络，通过VPN保证传输安全。SMS接入：省公司统一信息平台应提供到中国移动SMS系统的接口，满足中国移动员工通过短信系统与统一信息平台互连。Internet接入方式：由集团公司统一规划。GPRS、PSTN/ISDN、

24、Internet接入的用户身份认证采用RADIUS协议，并支持动态密码认证方式。4.4. IP地址规划4.4.1. IP地址规划原则中国移动企业统一信息平台的IP地址规划应该结合地域、业务的特点，兼顾近期需求与远期的发展，进行全国统一规划。集团公司及各省公司IP地址的分配原则应符合中国移动已颁布的行业相关标准。根据中国移动通信集团企业内部网IP地址划分。各省、自治区、直辖市IP地址分配范围见下表：中国移动企业内部计算机网络IP地址范围区域名称地址范围网络地址1集团公司2北京3上海4广东5湖北6江苏7浙江8福建9辽宁10山东11河南12四川13黑龙江14河北15陕西16天津17安徽18湖南19吉

25、林20云南21江西22广西23重庆24贵州25海南26山西27甘肃28内蒙古29宁夏30青海31西藏32新疆4.4.2. IP地址规划方法集团公司和各省公司在自己所拥有的IP地址段中，提供一个1/8C类地址段，用于互访。采用CIDR（Classless inter-domain route，无类域间路由）与可变长子网掩码技术分配IP地址网段，充分合理利用IP地址资源。4.4.3. IP地址规划要求 IP地址的划分应体现地域特性与业务特性，相同地域的地址应连续； 各个部分的IP地址段要注意安全和隔离，对与外界连接的企业IP地址要严格做好安全控制； 便于网络互联，有利于简化路由表的设置，提高路由效

26、率； 提高IP地址的利用率； 满足网络安全的需要； 有利于网络扩展。5 安全管理平台5.1. 网络管理及网络安全5.1.1. 网络系统管理实现全国中心与省公司节点之间广域网络、省内企业统一信息平台的广域网络、全国中心和各省中心局域网的监视和管理，包括：运行管理：可自动发现网络节点，自动产生网络拓扑图，自动生成和保持TCP/IP图象，持续监测网络设备状态，通过色彩确定网络设备状态，获取实时及历史网络信息等。故障管理：实现对异常操作的监测，隔离和纠正。当发现网元故障/网络状态异常时，系统启动测试管理功能，进行故障诊断、定位测试，以便采取适当维护行动，最大限度地降低故障对网络运行的影响。同时，提供完

27、整的差错日志，通过日志进行差错追查。配置管理：实现对系统的各种网络设备进行资源配置、参数设置、功能定制等功能。性能管理：性能管理用来对网络设备的有效性评价，包括获得设备的性能参数，如吞吐量、响应时间、是否过载等。通过监控，获取有关系统运行的信息及统计数据，并能在此基础上，提供系统的性能统计，如网络设备的可用率，故障率等。安全管理：系统采取多层次的安全防护措施，如多级用户权限管理，保证对网络设备的安全访问。5.1.2. 网络安全网络系统应支持访问控制、安全检测、攻击监控、加密通信等一系列安全功能，应提供完整的网络监控、报警和故障处理功能。网络系统应具有入侵检测的功能，可监控可疑的连接、非法访问等

28、，采取的措施包括实时报警、自动阻断通信连接或执行用户自定义的安全策略；网络系统应能定期检查安全漏洞，根据扫描的结果更正网络安全漏洞和系统中的错误配置；使用加密技术对传输的数据加密；通过路由设备对网上用户做访问控制：针对网络节点，通过IP地址的过滤，做访问控制；针对网络应用，通过对应用的源和目的地TCP端口号，对网络应用做访问控制；路由验证：保证网络路由表的安全性，防止对路由表的非法更改等等。 5.1.2.1. 防火墙整个统一信息平台应在防火墙的安全保护之下，如果需要可采用多道防火墙，每道防火墙应使用不同的产品。防火墙的安全策略应严格的管理和控制，要经过测试，对防火墙的策略要定期加以修订和补充。

29、5.1.2.2. 入侵监控系统应具有有效的入侵监控，入侵监控应包括对网络的实时监控、对主机系统的实时监控、和对数据库系统等实时监控。监控系统应该是自动的，发现入侵之后，应具有自动阻止入侵和提供报警功能。监控系统应能够与防火墙等其他安全系统有效的结合。但是监控应尽量减少对系统资源的占用。5.2. 系统管理及系统安全5.2.1. 系统管理系统管理主要目的是保证企业统一信息平台的稳定、可靠运行；减轻系统维护人员的工作负担，提高工作效率；实时掌握各级节点系统资源的利用情况，为升级扩容提供数据依据。系统管理主要包括：主机系统管理、数据库管理、统一信息平台应用系统管理、安全管理等。5.2.1.1. 主机系统管理实现对各级节点主机系统资源利用情况的监视，包括系统上用户管理；主机资源（如CPU、内存等利用率情况等）的监视；操作系统监视；文件系统监视；日志文件的监视；进程监视以及性能监视等。系统管理主要能够获得如下信息：1） CPU的空闲时间；2） 内存的利用率；3） I/O的等待；4） 主机关于硬件错误记录的日志报告；5） 系统备份的正常运行和性能；6） 备份使用的存储设备的存储量；7） 各种系统软件包括操作系统、Cluster系统等的运行状况；8） 文件系统