中国移动统一信息平台技术规范.doc

中国移动统一信息平台技术规范22020年4月19日文档仅供参考中国移动企业信息化一期工程统一信息平台技术规范(v1.0)中国移动通信集团公司目 录1 总则 11.1. 概述 11.2. 适用范围 11.3. 起草单位 21.4. 解释权 22 应用体系架构 32.1. 两级架构 32.2. 统一信息平台的组成 42.3. 总体技术要求 53 展示平台 63.1. 域名规则 63.2. 登录流程 73.3. 访问安全控制 73.3.1. 认证 83.3.2. 加密 93.3.3. 授权 93.4. 个性化展现管理 93.5. 内容应用聚集 103.6. 系统性能要求 104 网络和接入平台 114.1. 全国互联广域网组织结构 114.1.1. 全国互联广域网拓扑结构 114.1.2. 广域网互联承载网络的选择 124.1.3. 全国互联广域网的路由 134.1.4. 全国互联广域网的网络安全 134.2. 集团公司统一信息平台的网络组织结构 134.2.1. 集团公司统一信息平台局域网 134.2.2. 集团公司统一信息平台接入 154.3. 省公司统一信息平台的网络组织结构 164.3.1. 省公司统一信息平台局域网 164.3.2. 省公司统一信息平台接入 184.4. IP地址规划 194.4.1. IP地址规划原则 194.4.2. IP地址规划方法 204.4.3. IP地址规划要求 215 安全管理平台 225.1. 网络管理及网络安全 225.1.1. 网络系统管理 225.1.2. 网络安全 225.2. 系统管理及系统安全 235.2.1. 系统管理 235.2.2. 系统安全 245.2.3. 数据管理和安全 265.2.4. 防病毒 276 系统和环境要求 286.1. 系统要求 286.1.1. 主机设备 286.1.2. 操作系统 286.1.3. 存储备份设备 296.1.4. 网络设备 306.1.5. 数据库 326.1.6. 展示平台软件 346.1.7. 开发工具 356.1.8. 系统文档 356.2. 机房环境要求 366.2.1. 机房环境条件 366.2.2. 接地要求 376.2.3. 空调及电源 371 总则1.1. 概述当前中国移动通信集团公司已成为世界第一大GSM移动运营商,并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。

中国移动在企业信息化的实践过程中逐渐确立以BOSS、NMS、MIS为核心的IT架构,在企业的运营中起到十分重要的作用中国移动企业信息化一期工程建设首先要加强现有应用系统的推广和新应用系统的建设,使企业信息化水平上一个新的台阶与此同时,还必须进行应用系统平台的集中化和WEB化改造,实现接入的多元化,经过基础网络建设为扩展的应用提供更好的网络承载在此基础上,考虑当前由于不同的信息系统服务于企业的不同管理方向而形成企业的信息孤岛问题,需要进行企业IT应用和信息在表现层和应用层的重整;同时为了使企业的领导和员工更方便快捷地获取信息和知识,完成各自的工作,需要进行企业IT能力和资源面向使用者角色的重构以上这些工作的完成将使中国移动的企业信息化建设从当前的OA系统升级改造成为统一信息平台,为进一步扩展成为企业门户打下基础本规范是中国移动企业信息化一期工程统一信息平台建设的基本技术依据,用于宏观规范和指导各省、自治区、直辖市公司的统一信息平台建设,保障系统建设的一致规范性1.2. 适用范围本规范适用于中国移动通信集团公司及各省(自治区、直辖市)企业信息化一期工程统一信息平台建设1.3. 起草单位本业务规范由中国移动通信集团公司负责起草。

1.4. 解释权本规范的增补、修订及解释权属中国移动通信集团公司如中国移动在此之前的文件与本规范有矛盾,按此规范执行2 应用体系架构2.1. 两级架构中国移动的统一信息平台是移动企业员工访问内部资源内容的渠道与桥梁鉴于当前中国移动IT系统大多采用两级结构,各省公司的管理相对独立,中国移动的统一信息平台分为集团公司系统和省公司系统两级,各级系统既要针对自身的具体情况进行建设,又要遵守相同的技术规范,共同构成中国移动统一信息平台 图 1统一信息平台两级架构2.2. 统一信息平台的组成统一信息平台包括:应用系统、展示平台、网络和接入平台、安全管理平台几个部分组成详见业务规范图 2统一信息平台组成2.3. 总体技术要求1、系统集中化中国移动统一信息平台的建设将遵照集中化的建设原则各省公司以省公司为单位集中建设与管理已经采取分散方式建设的省公司进行集中化改造2、平台WEB化统一展示平台和各个应用系统统一采用WEB方式建设对于已经建成的基于C/S结构的系统,各级移动公司应完成将C/S系统转变为B/S系统的改造3、接入多元化各级移动公司应结合自身的业务特点,为用户提供GPRS、WLAN等多元化的接入方式,扩展信息访问的时效性,真正实现信息的使用者在任何时间、任何地点,都能实现对统一信息平台的访问。

3 展示平台3.1. 域名规则中国移动域名系统包括内部网的域名系统和外部网的域名系统为CMCC在NIC注册的唯一官方使用的外部域名,其解析由CMNET负责中国移动展示平台采用多级域名来标识根域名定义为cmcc省公司域名为:应用名.省份编码.cmcc省份的编码如下表:省(区、市)编码省(区、市)编码省(区、市)编码北京bj浙江zj贵州gz上海sh安徽ah云南yn天津tj福建fj西藏xz河北he江西jx陕西sn山西sx山东sd甘肃gs内蒙古nm河南ha青海qh辽宁ln湖北hb宁夏nx吉林jl湖南hn新疆xj黑龙江hl广东gd海南hi重庆cq广西gx江苏js四川sc集团公司域名为:应用名. hq.cmcc各省公司需要增加对集团公司的域名解析,集团需要增加对31个省公司的域名解析3.2. 登录流程用户的登录过程如下图:图 3 展示平台登录流程3.3. 访问安全控制 中国移动的企业展示平台的目标用户是集团公司和省公司的内部员工,而展示平台所承载的应用与内容信息大多数都是企业敏感信息,安全传输是需要首先考虑的问题基于互联网/内联网的网络应用安全问题,能够从如下三个方面考虑;而展示平台的设计与部署,也应该从如下三个方面设计从而确保展示平台的应用层系统安全。

3.3.1. 认证安全方面的一个主要问题就是身份的伪装,即一些人伪装成信息的发送者或接受者如果在通讯之前,强制验证对方的身份,那么别人伪装的机会就大为减少在本期展示平台的建设中,为支持集团公司和省公司之间的互访,使用者访问展示平台采用静态密码的认证方式,主要包括下列手段:§ LDAP展示平台利用外部的目录服务系统作为本身的认证机制,如果用户经过了外部目录服务的认证,展示平台则认为此用户认证经过,允许进入展示平台这种认证的好处是充分利用已有的认证系统,投资较小§ RADIUS展示平台利用外部的拨号认证系统作为本身的认证机制,如果用户经过了外部拨号认证系统的认证,展示平台则认为此用户认证经过,允许进入展示平台这种认证的好处是充分利用已有的认证系统,投资较小§ UNIX展示平台利用所安装UNIX环境的认证系统作为本身的认证机制,如果用户经过了UNIX认证系统的认证,展示平台则认为此用户认证经过,允许进入展示平台系统这种认证的好处是充分利用已有的认证系统,投资较小§ Microsoft Windows/NT domain展示平台利用一台Windows domain认证系统作为本身的认证机制,如果用户经过了它的认证,展示平台则认为此用户认证经过,允许进入系统。

这种认证的好处是充分利用已有的认证系统,投资较小用户名、密码命名规则如下:l 集团公司用户的命名规则name@cmcc,name为用户姓名汉语拼音全拼l 省公司用户的命名规则name@省份编码.cmcc,name为用户姓名汉语拼音全拼l 密码密码长度应在6位以上,由英文字母、数字组成3.3.2. 加密从展示平台到用户的终端设备之间的加密链路,是对合法用户(经过认证的中国移动员工)经过展示平台与企业内部敏感信息之间交互的重要保护,保障敏感信息不被盗用---被非法盗取的信息经过加密,对于盗用者毫无意义对于中国移动内部的敏感信息,例如统计查询等应用,应根据情况考虑展示平台到用户终端设备之间的加密问题3.3.3. 授权应用访问授权解决的问题是,当用户成功登录系统后,能够访问那些应用如果用户越权登录,展示平台应该拒绝她的连接请求,并将该用户的操作记录在日志中;管理员能够经过分析日志了解系统的工作情况3.4. 个性化展现管理(1)多种信息格式展现功能作为企业资源的访问渠道,其内容展现应支持多种访问设备,包括:l 台式机/便携机l PDAl 移动等同时,展示平台的内容展现应支持不同的信息浏览工具软件,并提供不同的信息展现描述格式,如HTML、WML、cHTML等。

2)个性化内容展现管理功能用户在成功地登录系统后,展示平台负责根据预先设之的需要展现的内容定义,从相应的应用或信息源,形成相应的桌面内容展现给用户展示平台在信息提供的处理过程中,可根据用户角色分类定义不同的信息推送内容在鉴别访问者的用户角色后,系统将自动根据规则设置推送信息员工能够自行订阅需要获取的信息,系统将根据用户的设置定期向用户发送被订阅的信息另外,员工能够针对自身喜好,定制信息浏览的界面布局,创立自己的个人工作台,以方便浏览个性化服务主要包含以下内容:§ 系统角色管理;§ 模板/主题风格;§ 布局管理;§ 内容的选取与定制除了用户能够自己来构造个性化的桌面环境,还能够由展示平台的管理者来为用户配置3.5. 内容应用聚集中国移动集团公司展示平台建设,是以将企业分散的应用和内容进行聚合,方便集团员工访问为目的系统主要应支持如下的应用/信息类型:§ 基于HTML和XML的静态数据§ 基于Web的内容和服务提供者§ 聚集模块应该提供应用编程接口(API)以方便实现其它的内容聚集,方便聚集其它类型的内容、服务提供应用源在内容应用聚集的实现过程中,系统经过对下列信息的管理,实现在展示平台中提供一定的访问处理手段,并使不同角色/权限的用户在角色/权限允许的范围内访问相应的内容和应用资源:§ 用户的安全信息§ 用户对应用资源的访问策略和权限信息§ 系统的资源配置信息3.6. 系统性能要求各系统在并发用户数在最高峰值时,响应时间不超过10秒(除去网络延迟因素)。

4 网络和接入平台企业统一信息平台的网络组织由两。