联通内部门户技术规范Word文件下载.docx
- 文档编号:7511936
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:67
- 大小:468.42KB
联通内部门户技术规范Word文件下载.docx
《联通内部门户技术规范Word文件下载.docx》由会员分享,可在线阅读,更多相关《联通内部门户技术规范Word文件下载.docx(67页珍藏版)》请在冰点文库上搜索。
5.2.1门户互联技术列举12
5.2.2推荐方式及性能对比13
5.3统一待办集成13
5.3.1概述13
5.3.2集成方式14
5.3.3表结构设计14
6单点登录实现15
6.1省分门户内的单点登录15
6.2集中应用系统接入各门户系统的单点登录16
6.3跨门户访问的单点登录18
6.4CDSSO功能实现的技术细节19
7网络组织20
7.1网络拓扑结构20
7.2门户系统与应用系统的网络层互连21
7.3IP地址及DNS规划22
7.3.1IP地址规划原则22
7.3.2DNS调整原则22
7.3.3NTP配置要求23
7.3.4邮件域名要求23
8门户系统技术要求24
8.1总体设计技术要求24
8.1.1系统设计要求24
8.1.2系统性能要求24
8.1.3系统监控设计要求29
8.1.4备份和恢复设计要求30
8.1.5安全性设计要求31
8.1.6接口要求32
8.1.7编码原则33
8.2门户对被集成系统的技术要求35
8.2.1C/S接入系统技术要求35
8.2.2B/S接入系统技术要求35
8.2.3域内应用系统集成的实现方式35
8.3主机设备37
8.4操作系统37
8.5存储备份硬件设备37
8.5.1存储设备37
8.5.2备份设备38
8.6数据库38
8.7门户平台软件39
8.8目录服务平台软件40
8.9机房环境要求40
8.9.1机房温、湿度要求41
8.9.2防尘要求41
8.9.3防电磁干扰要求41
8.9.4接地41
8.9.5其它环境条件41
9系统安全42
9.1系统的可靠性42
9.1.1系统可靠性、稳定性保障机制42
9.1.2硬件可靠性42
9.1.3软件可靠性43
9.1.4平台稳定性要求43
9.2网络接入安全43
9.2.1身份验证43
9.2.2拨号访问保护43
9.3信息传输的安全43
9.3.1完整性策略43
9.3.2数据机密性44
9.3.3网络可用性44
9.3.4设备审计44
9.3.5配置确认44
9.3.6监视记录网络的活动44
9.3.7入侵检测44
9.4应用系统的安全44
9.4.1主机系统安全44
9.4.2操作系统安全45
9.4.3病毒防范45
9.5数据安全45
9.5.1数据备份45
9.5.2数据恢复46
前言
本规范主要规定了中国联通企业内部门户系统门户子系统的技术规范,主要包括系统总体架构、总体功能、两级门户互联、单点登录、网络组织、技术要求和系统安全等内容。
中国联通企业内部门户系统的建设是企业信息化的重要组成部分,门户子系统是管理支持系统的重要组成部分。
本规范是针对开发、建设中国联通总部、省分公司内部门户系统的门户子系统的技术规范,作为总部及各省(直辖市、自治区)分公司门户系统建设工作的指导依据。
有关企业内部门户系统的规范主要包括:
✧《中国联通IT系统MSS系统域企业内部门户系统业务规范》,包括门户子系统部分和用户目录子系统部分。
✧《中国联通IT系统MSS系统域企业内部门户系统技术规范》,包括门户子系统部分和用户目录子系统部分。
✧《中国联通IT系统MSS系统域企业内部门户系统测试规范》
本标准由中国联通公司信息化部提出。
本标准由中国联通公司技术部归口。
本标准主要起草单位:
中讯邮电咨询设计院、中国联通信息化部
本标准主要起草人:
xxxxxx
本标准的修改和解释权属中国联通公司。
1总则
背景
随着经济全球化趋势和中国加入WTO,中国电信市场的政府管制力度将越来越弱,市场更加开放,竞争更加激烈。
国内外市场环境要求国内的公众电信运营企业在经营理念、管理模式上能上升到较高层次,以求在电信运营商的国际化竞争中立于不败之地。
中国联通作为国内唯一一家对所有电信业务拥有经营权的电信运营商,拥有全国范围内相当规模的公用电信网,经营多种基础电信业务和增值电信业务,形成移动(GSM/CDMA)、长途(193)、数据(165)、IP电话、市话、增值业务等多种业务并存共同发展的格局。
中国联通在全国31个省、市、自治区建有分公司,为了有效的发挥公司内部资源,提高内部管理效率,提高经营管理水平,中国联通逐步统一规划、建设全国范围内的MSS系统。
2003年联通总部编制并通过了《中国联通管理支持系统(MSS)总体方案》,制定了MSS的总体建设思路。
2004年,为指导同年进行的全国范围的MSS一期工程的建设,又组织编制并通过了《中国联通管理支持系统(MSS)技术规范》,其中明确了2004年的建设重点是实现公文流转、经营信息展现、电子邮件和基础网络设施等四个方面。
经过一年的实施,已基本实现了一期的建设目标,同时也为联通MSS的后期建设打下了坚实的基础,创造了良好的信息化环境。
2005年联通总部制定了新的建设任务,其中一个重点就是建设门户系统,为MSS、ERP提供统一的接入、认证和安全管理平台,为用户提供个性化的展现平台。
企业信息门户的实施是MSS系统建设过程中一个重要目标任务。
为规范门户系统的建设,中国联通总部组织制定了中国联通企业内部门户系统技术规范,本文件为中国联通IT系统MSS系统域企业内部门户系统技术规范门户子系统部分(以下简称“本规范”)。
编制目的
为了在前期的基础上更有效指导企业内部门户系统建设实施工作,中国联通有限公司特制定本规范。
与本规范配套使用的还有《中国联通IT系统MSS系统域企业内部门户系统业务规范门户子系统部分》(主要提出了企业内部门户系统应具备的功能需求和相关要求),将共同指导、约束企业内部门户系统建设实施的相关工作。
本规范可作为中国联通总部及各省分的内部门户系统建设实施项目的设计、开发、验收的相关依据。
适用范围
本规范指导并规范中国联通各省分公司进行门户子系统的建设。
各省可依照本规范以及其它相关规范、标准,结合本地实际情况建设总部及省分的门户系统。
文档结构
第一部分:
总则,描述本文的背景、编制目的、适用范围、文档结构、规范起草单位、解释权与修订权、名词解释和缩略语等内容;
第二部分:
概述,对规范的定位进行了概括性描述;
第三部分:
系统总体构架,从软件逻辑架构、两级门户架构及物理模型三方面进行了概括性描述;
第四部分:
门户系统总体功能,对门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行了介绍;
第五部分:
两级门户互联,概要说明了门户互联的方式,并详细介绍了几种互联技术方法,并针对全国门户、省分(总部)门户待办集成的细节做出了规范要求;
第六部分:
单点登录实现,分别从门户内部、跨门户及全国门户三个方面的流程及CDSSO技术细节进行深入阐述和要求;
第七部分:
网络组织,对于网络拓扑结构、门户系统与应用系统的网络互联、IP地址及DNS规划等几个方面做出了说明和规范要求;
第八部分:
门户系统技术要求,对主机、存储、安全、门户软件等几个方面作出了要求,对于集成应用系统的用户管理、展现及单点登录提出具体的技术要求和可选方案;
第九部分:
对总体系统的可靠性,网络安全性,信息安全性,应用系统的安全性,数据安全性进行了相关说明并提出了相关要求。
规范起草单位
本规范起草单位为中国联合通信有限公司信息化部、中讯邮电咨询设计院。
本规范增补、修订权属中国联合通信有限公司信息化部。
规范解释权
本规范的解释权为中国联合通信有限公司信息化部。
参考文献
《中国联通IT系统总体技术体制v1.0》
名词解释和缩略语
BSS:
BusinessSupportingSystem,业务支持系统。
EAI:
EnterpriseApplicationIntegration,企业应用集成。
ERP:
EnterpriseResourcePlanning,企业资源计划。
LDAP:
LightweightDirectoryAccessProtocol,轻量级目录访问协议。
MSS:
ManagementSupportingSystem,管理支持系统。
Portal:
门户,在本规范中指企业内部门户,是用户和管理支撑系统、业务系统之间的桥梁。
门户系统将企业分散的应用和信息进行聚合,实现应用关联和信息共享,供决策支持服务。
Portlet:
是基于应用系统的展现端组件,通过与应用系统的接口获得应用数据和操作功能。
Portlet可以是Portal系统的一部分,由Portal系统提供工具和运行环境实现Portlet的生成、运行、授权、维护等管理工作。
SSO:
SingleSign-on,单点登录,即用户登录后不需要再次提供认证信息就可以访问相关各应用系统。
CDSSO:
CrossDomainSSO,跨域的单点登录,即在两个独立的安全域之间实现的单点登录。
TAM:
TivoliAccessManager提供集中式的认证/授权/审计功能,并实现对门户及各种后台子系统的单点登陆。
包括PolicyServer和WebSeal两个主要的组件。
TIM:
TivoliIdentityManager提供集中式的账户生命周期管理,通过TIM可以实现对各种后台子系统的账户管理,包括Domino/AD/ERP等系统的帐户信息。
IDI:
IBMDirectoryIntegrator通过各种标准的连接器与各种账户注册表进行连接,并通过流水线对数据进行处理,从而实现账户数据的同步。
IDS:
IBMTivoliDirectoryServer基于LDAP标准的LDAP目录服务器,用户信息存储在这个目录服务器中,并可以根据联通公司的需求来灵活的定义用户的属性信息.
LTPA:
LightWeightThirdPartyAuthentication,轻量级第三方认证(LTPA)的认证机制,LTPA定义了存储在客户端上的令牌格式,运行在不同机器上的WEB应用程序使用LTPA实现用户认证信息的传递。
iFrame:
主浏览器窗口的一个子窗口。
从运行在它上面的软件的来看,iFrame是属于它自己的窗口,能够独立于包含自己的窗口之外而独立运行。
NTP:
网络时间协议(NetworkTimeProcotol)。
它的目的是在互联网上传递统一、标准的时间。
具体的实现方案是在网络上指定若干时钟源网站,为用户提供授时服务,并且这些网站间应该能够相互比对,提高准确度。
11 概述
企业信息门户系统包括门户子系统和用户目录子系统。
对于“中国联通企业信息门户系统”的理解,可以从以下几个方面予以直观定义:
(1)是直接面向全部的联通员工(含各级领导,以下同)的内部信息服务界面,以支持日常管理工作为目的;
(2)是联通员工接触企业信息资源(获取必要的企业信息和数据、以及操作相关的应用系统)的统一入口、统一渠道,并根据登陆门户系统的员工角色来呈现相应的信息服务功能界面;
(3)从用户(即联通员工)体验的角度,对单点登录(SSO)的支持是门户系统的典型特征;
(4)对企业机构组织及员工信息,以及应用系统和信息数据资源的访问权限进行统一管理,以确保企业信息和IT系统的安全性;
(5)从技术实现上讲,门户系统要解决企业信息内容和应用系统的聚集,即把企业信息通过有机的集中手段来展现、提供给用户。
门户子系统和用户目录子系统共同实现中国联通企业信息门户系统。
12 系统总体架构
本部分将从系统软件逻辑架构、两级门户架构及物理模型三个方面对内部门户系统进行概括性描述。
12.1 省分(总部)门户系统逻辑架构
图3-1联通企业信息门户系统层次划分示意图
图中系统的描述了联通企业信息门户系统的层次划分:
●用户端:
中国联通信息门户系统的客户端目前考虑主要对普通的PC浏览器提供访问支持。
在条件成熟时,可以对部分用户经常需要访问的应用:
如办公系统、邮件系统等提供PDA和手机等移动终端访问的支持。
●接入层:
接入层是直接接受用户访问请求的应用层,它的功能主要包括:
用户的认证、用户动态信息访问请求的转发、对于静态内容的缓存等。
接入层的主要作用一方面是提高系统效率,另一方面是保障门户系统的访问安全,防止非授权的非法访问。
●应用层:
用以提供用户管理服务和门户服务的应用。
主要是门户服务引擎和用于整合一系列后端应用的Portlet,另外在这一层还包括储存用户信息的目录服务器以及存放门户所需数据的数据库。
●应用系统层:
主要是中国联通目前已有和准备将来建设的后端应用系统。
12.2 两级门户体系架构
无论总部门户、省分门户还是全国门户,域内体系架构都按照省分或总部协同办公系统逻辑架构统一建设。
为了实现互连互通的业务目标,各级门户要综合考虑实现门户互访的技术要求,下图是两级门户体系架构的示意图。
图3-2MSS系统两级门户体系架构示意图
由图3-2可以看出,为了实现两级门户体系,需要考虑以下的技术要点:
●总部门户、省分门户和全国门户使用一致的门户平台和统一认证平台产品;
●总部门户、省分门户和全国门户域内的结构按照总部门户、省分门户和全国门户体系结构设计实现;
●用户身份的确认也是通过两个单点登陆平台的CDSSO模块来实现,单点登陆系统的CDSSO模块会按照一对一的原则对应到存储在本地用户目录中的远程用户;
●用户通过门户中提供的特殊连接,实现跨门户的互访;
●省分、总部、全国门户系统中用户信息需要同步;
●针对Portal中iFramePortlet,采用WebSEAL的CDSSO方式来实现;
●针对WSRP,全国Portal和总部Portal,省Portal之间采用LTPA方式,所有的Portal服务器采取相同的LTPAKey,相同的域名,和时钟同步。
采用LTPA来实现Portal和Portal之间的身份传递,WebSEAL和Portal集成也为LTPA的方式。
12.3 省分(总部)门户系统参考物理架构
门户系统物理构架需要考虑以下要求:
●物理架构设计的原则是高性能,高可扩展性和高可用性相结合。
●物理架构只作为实施阶段的参考,不强制严格按照本架构实现。
具体物理架构图参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。
13 门户系统总体功能概述
本部分将就门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行阐述。
13.1 门户系统应用
门户系统负责提供用户访问的安全控制手段、个性化内容展现、内容管理和门户相关服务功能等应用,具体包括:
13.1.1 用户管理
提供企业门户用户信息的管理手段,并与统一访问控制管理的人员目录管理机制相结合,为实现通过门户系统访问内部资源的单一登录机制提供人员信息基础。
13.1.2 认证管理
提供支持多种认证方式,包括静态密码、动态密码、数字证书等,对用户访问进行身份认证。
同时,可以直接利用已有系统中的用户账户信息,进行身份认证。
13.1.3 访问策略管理
为用户访问门户系统提供信息访问权限控制、访问渠道管理等多种功能,并为个性化服务提供访问策略控制定义。
13.1.4 安全管理
提供防侵入、防病毒等手段,保证企业内部资源的安全。
同时,提供负载均衡、容灾等机制,保证系统的高效性和安全可靠性。
13.1.5 个性化服务
在系统统一控制管理的基础上,为员工提供个性化的管理平台。
访问者可以根据自身工作性质和对企业资源的访问需求,设置个性化的访问界面,并通过这种个性化的服务查阅、管理相关的信息。
13.2 企业应用集成
企业应用集成包括分布在中国联通总部和各省分公司现有的信息系统,主要包括OA、邮件、经营分析等系统。
13.3 统一的用户目录管理
统一企业信息资源管理主要实现对企业内部所有的人员、组织、工作组、角色、应用系统等信息的统一保存和管理,为门户系统提供认证、访问授权和资源管理服务。
统一信息资源管理一般通过LDAP技术以目录服务的形式实现。
关于目录对象的具体定义、目录服务的管理和集成,参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。
13.4 用户认证及访问权限控制
13.4.1 用户认证流程
用户认证即用户登录到系统中,系统确认登录信息有效后,为其提供一个合法的身份。
TivoliAccessManager的WebSeal组件是所有应用系统的统一的认证入口。
根据不同的安全需求,可以采用不同的认证方式进行用户身份的认证。
Ø
通过目录服务存储的用户ID和口令来认证用户身份;
采用X509v3电子证书,电子证书存放在客户端,通过调用客户端的证书进行身份认证。
对于系统认证的方式可以根据现有系统的安全需求,采用某一种认证方式,或者使用多种认证方式以保证系统访问的安全性。
鉴于现有应用系统的用户接入主要采用内网接入的方式,因此用户认证主要采用用户ID和口令的方式,部分安全级别较高的应用系统可以采用二次认证的方式。
用户认证通过WebSeal组件进行统一认证,用户进入系统的认证流程如下:
图4-1用户认证流程
说明:
(1)用户通过用户ID+密码进行系统登录。
(2)WebSeal组件通过LDAP提供的接口从LDAP服务进行用户身份认证;
(3)LDAP认证服务将用户认证信息返回到TAM策略管理组件,该组件根据用户角色决定用户能够使用的应用功能及个性化定制;
(4)TAM策略管理模块把用户可以使用的相应的功能及个性化定制内容返回给门户系统;
(5)门户系统将用户可见的应用功能可内容展现到用户浏览器中。
(6)用户通过门户系统访问在门户上集成的应用系统时通过WebSeal组件完成单点登陆认证,具体单点登陆认证实现参见《中国联通IT系统MSS系统域企业内部门户系统技术规范_用户目录子系统部分》。
13.4.2 访问权限控制
用户的权限包括对应用的访问权限和操作权限。
访问权限用于控制不同用户对系统数据和功能的访问范围,可以根据用户所在的用户组或角色来控制用户在系统中的访问权限。
操作权限是控制用户组或角色的对系统中资源的访问操作权限,操作权限由系统管理员来定义系统中的用户组或角色,并分配其相应的系统操作功能和访问页面。
为更好的集中管理各系统中用户的访问权限,需要将系统的访问权限由TivoliAccessManager系统统一进行管理,而系统的访问权限主要是通过管理用户的属性,也就是管理用户所在的用户组或角色,来控制用户在系统中的访问权限。
而对于操作权限,即用户组或角色的权限分配由原系统各自分配和管理。
为规范新建系统实现统一授权管理,需要在统一用户管理的基础上,将各系统用户所在的用户组或角色信息,以用户属性的方式加载到统一用户目录中,然后由门户系统提供统一的用户授权页面,根据各系统中用户所属的用户组或角色,以实现用户访问门户系统的统一用户访问授权管理。
14 两级门户互联
本部分将概要说明门户互联的方式,详细介绍几种门户互联技术实现方法及对比,并针对全国门户、省分(总部)门户待办集成的细节作出规范要求。
门户互联访问类型
门户系统间的互连,主要是指某个用户通过本地门户访问异地的门户,主要支持下面几种情况的门户互访:
1)总部用户能够通过总部门户访问各省分门户,并通过省分门户访问省分的办公自动化、经营分析等系统的数据和信息。
2)总部用户能够通过总部门户访问全国门户中的集中应用。
3)省分用户能够通过省分门户访问全国门户中的集中应用。
在进行门户互访时需要解决的主要问题就是跨域单点登录,即需要在两个门户之间建立互相信任机制,通过这种信任机制允许对方系统的用户访问归属地的应用。
门户互连实现技术
14.1.1 门户互联技术列举
链接直接跳转
链接直接跳转是指在需要访问到其他门户网站上的信息时直接跳转到另一个门户网站。
用户在进行跨门户的跳转时,不同门户之间的用户信息的传递通过跨域的单点登录(CDSSO)来实现。
链接跳转是门户互联互通时最基本的一种互连方式,各省的门户均应实现与全国门户的链接跳转方式的互联,即各省用户能够通过连接跳转的方式跳转到全国门户中,全国门户能够识别用户的身份,并授予相应的访问权限。
总部门户需要实现与全国门户以及各省门户的链接跳转式的互联互通。
iFrame
各级门户之间通过Portal提供的iFramePortlet实现远程门户内容在本地门户的展现。
WSRP
WSRP是业界标准的门户之间互联的标准,WSRP可以实现在一个门户上调用另一个远程的门户上运行的portlet。
它有两个步骤:
1)服务提供者将本地的portlet以WSRP的方式发布出来。
2)服务使用者在远程portlet目录中浏览相应的服务,并将选中的服务添加到本地门户中。
总部或者省分用户在需要在本地显示全国门户上特定Portlet内容时,可以使用WSRP方式。
与链接跳转不同的是WSRP在显示源于其他门户上的信息时,仍然是在本地门户系统上进行,而链接方式将客户导引到远程的门户系统上。
通用Web服务
通用Web服务与WSRP类似,也是在本地的门户上调用远程门户上的内容,他们的区别是WSRP是对远程门户上界面信息的远程调用,而通用Web服务是通过web服务方式,调用远程服务的数据以及流程。
RSS
RSS(RichSiteSummary)是当前流行的一种信息发布格式,众多的公共网站都对该协议提供了支持。
RSS是通过xml的格式,发布内容的摘要和内容,供其它的RSS客户端进行远程的调用。
各省分需要发布到总部或全国门户上的内容,以及总部希望发布到各省门户上的内容可以使用RSS进行发布。
具体实现方式是内容的提供方以RSS格式提供内容,在使用方的门户上部署RSSportlet,将远程数据源上的RSS内容提供给门户的用户。
统一开发Portlet分别部署
由总部或者总部指定的部门统一开发连接特定应用的portlet,然后由各省的管理员部署到全国及各省的门户系统中,并根据本省系统的实际情况进行参数配置。
统一开发portlet分别部署能够有效重用开发资源,并且运行时有较高的运行效率。
WSRP、通用Web服务、RSS方式等方式都是在各个省分公司通过远程调用的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联通 内部 门户 技术规范