XXXX网络综合业务运营支撑系统系统集成方案20150625

XXXX网络综合业务运营支撑系统

（BOSS）系统集成 附件1 技术建议书

XXXX信息技术股份有限公司

二零一五年三月

附件1技术建议书

目录

第一章 第二章

2.1

引言 .......................................................................................................3 总体设计 ...............................................................................................3 系统设计原则 ...................................................................................... 3 2.1.1 总体原则 ....................................................................................... 3 2.1.2 设计原则 ....................................................................................... 4 2.2 2.3 2.4

整体方案设计 ...................................................................................... 6 机房设计 .............................................................................................. 9 网络设计 .............................................................................................. 9 2.4.1 内网核心交换机 ......................................................................... 10 2.4.2 内网核心防火墙 .......................................................................... 11 2.4.3 公网核心交换机 ......................................................................... 12 2.4.4 公网核心防火墙 ......................................................................... 13 2.5 2.6

存储设计 ............................................................................................ 14 主机设计 ............................................................................................ 15 2.6.1 基本信息 ..................................................................................... 15 2.6.2 操作系统补丁 ............................................................................. 16 2.6.3 操作系统参数 ............................................................................. 16 2.6.4 内置存储设计 ............................................................................. 17 2.6.5 Cluster设计 ................................................................................. 17 2.7

数据库设计 ........................................................................................ 18 2.7.1 基本信息 ..................................................................................... 18

第三章

系统安全 .............................................................................................20

XXXX信息技术股份有限公司 2 / 23

XXXX网络综合业务支撑系统集成方案

第一章 引言

XX有线业务运营支撑系统要求设计和实施规模满足XX有线未来数年内1200万用户、高峰期高并发连接的业务运营支撑系统的技术要求。整合现有的数字电视业务、模拟电视业务、宽带业务以及高清互动业务。实现统一的客户资源管理、支持灵活多样的销售产品组合策略、多种计费和付费方式，统一的账务管理和结算管理等。发挥整合后的规模优势及品牌优势,建立以客户为中心的高效的企业服务流程,提升企业的整体品牌形象;并通过对售前、售中及售后各个环节的全流程管理,提供客户管理、市场营销、融合计费、清分结算及统计报表等服务能力，最终实现全网可管、可控、可运营的目标。

作为省网级的BOSS系统，系统的建设必须高起点、严要求，必须具有技术上的先进性和前瞻性。系统的建设必须本着遵循规划、遵照规范、着眼全局、整体设计、适度超前原则，同时参考其它成熟运营商的先进经验，努力打造出满足各地差异化需求以及未来新业务快速开展的新一代BOSS系统。

第二章 总体设计

2.1 系统设计原则 2.1.1 总体原则

系统性：在框架定义的前提下，要以模块化思想为指导，按照应用原则进行系统设计和架构规划。充分考虑到未来可能出现的新业务和可能出现的一些变化，解决现有实际需要的前提下，可灵活扩展本系统，使系统具备较强的适应能力。

可靠性：构成XX有线业务运营支撑系统必须具备高可用性；系统须确保7×24小时无故障工作。系统中所有关键系统及组件、模块均提供冗余备份，必须保证系统的某些模块发生故障时，不影响到其他模块的正常工作；

可扩展性：构成XX有线业务运营支撑系统必须具备可扩展的能力；系统间采用松散耦合架构。用户可以根据自己业务增长的实际情况，对相应的业务子系统进行升级和扩容；系统支持在规模、处理能力、存储容量、网络负载带宽、工作流程等方面的升级扩充，在线平滑升级；应该针对XX有线业务运营支撑系

XXXX信息技术股份有限公司 3 / 23

XXXX网络综合业务支撑系统集成方案

统现阶段和未来的需求，提供合理的完整的扩容方案和报价；

安全性：确保系统内部信息不被非法修改和非法获取，保证存储安全、设备安全、数据传输安全，必须明确系统各组件集成厂商和第三方设备提供商的职责范围；

标准化：为实现XX有线业务运营支撑系统之间的互连互通，以及提高本系统内各模块的可替换能力，系统必须采用标准化的接口；同时，被邀请谈判人所提供的系统必须以国际、国家标准及广电总局行业标准为规范，对于目前尚无可参照标准的部分，被邀请谈判人要作特别说明，并书面承诺在相关标准出台后，无偿对本次系统进行升级以符合新标准；

经济合理性：保证整体系统的安全性、稳定性和合理性的前提下，提供性能价格比较高的软件；要求充分利用现有资源，降低建设成本，提高资金使用效率，降低系统建设成本，以最少的投资、最快的速度发挥系统的效益。

先进适用性：保证整体系统适用于业务需求的前提下，采用先进的系统架构及技术。系统总体设计具有一定的超前性，保证系统能够在业界具有领先地位。 2.1.2 设计原则

一、内置盘设计

所有内置盘的文件系统需镜像，由于内存足够大，建议主机SWAP空间为8－18G即可。

要求所有主机（包括逻辑分区）的 ’/’ 根目录为1G。 /var 2G /usr 2G /tmp 4G

由于内置盘较大，在划分了规划的文件系统之外，剩余的文件系统划分为一个或多个较大的文件系统，以存放临时性数据。

二、卷组、文件系统的设计 卷组内至少包含3块以上的逻辑盘；

文件系统、数据库逻辑卷必须进行二次条带划分卷组命名规则：VG+XXXX +YZZ，XXXX为数据内容简称，如BILL或ACC，YZZ为数字顺序编号，从00－99，Y为主机顺序号，ZZ为同一主机内的卷组顺序号；

逻辑卷命名规则：LV+XXXX+YZZ，XXXX为数据内容简称，如BILL或ACC，

XXXX信息技术股份有限公司 4 / 23

XXXX网络综合业务支撑系统集成方案

YZZ为数字顺序编号，从00－99；

数据库裸设备规则：除SYSTEM/REDO/CONTROL之外，数据文件一律为4G大小；

计费文件系统要求支持大于2G的文件； 三、主机参数及其修改命令 vmo -p -o maxclient%=5 vmo -p -o minperm%=5 vmo -p -o maxperm%=5 vmo -p -o maxfree = 2048 vmo -p -o minfree = 1290 vmo -p -o strict_maxclient=1 vmo -p -o strict_maxperm=1 网络参数调整：

/usr/sbin/no -o tcp_sendspace=655360 /usr/sbin/no -o tcp_recvspace=655360 /usr/sbin/no -o udp_sendspace=655360 /usr/sbin/no -o udp_recvspace=655360 四、ORACLE软件安装组件选项说明 /ACCOUNT （RAC） ORACLE SERVER核心 支持PROC 支持分区

取消其它组件,如JAVA/INTERMIDEA/XML/OEM等等没有用的组件 RPT 安装组件：(非RAC) 在以上基础上增加OLAP组件

中间件主机ORACLE CLIENT安装组件： oracle client proc 五、安装oracle的一些环境变量 ORACLE_BASE = /oracle/app/oracle

ORACLE_HOME = $ORACLE_BASE/product/11.0.2 NLS_LANG = AMERICAN_AMERICA.ZHS16GBK 六、主机、数据库用户权限的设计

XXXX信息技术股份有限公司 5 / 23

XXXX网络综合业务支撑系统集成方案

用户分层：至少包含系统管理（超级用户）、数据属主、程序运行、维护监控等用户层次，不同的平台软件、应用软件及维护人员使用不同的用户；

权限分层：分为系统权限和数据权限，根据系统管理和应用程序实际需要赋予相应权限；

所有主机和数据库需安装系统管理员日常监控时使用的用户toptea，可查看主机、数据库以及应用系统的日志文件。

2.2 整体方案设计

 同CAS的接口：发送授权指令给CA，完成数字电视服务开通的环节。

 同客服系统的接口。

 同内部财务系统、OA、外部税控系统、广电总局监管系统等必要的接口。

 同合作伙伴的接口：如代理商、CP/SP、运营合作伙伴等等。  对外封装数据与服务能力的接口：如同电子渠道统一运营管理平台、充值卡平台等系统的接口。

 同银行/第三方支付平台的接口、同能力平台接口：如统一支付。  同增值业务相关的接口：VOD、OTT、宽带等。

本次系统需要被集成设备清单如下：

XXXX信息技术股份有限公司 6 / 23

XXXX网络综合业务支撑系统集成方案

主机 用途 营帐数据库服务器 计费账务服务器 报表服务器 充值卡服务器 服务开通服务器 设备型号 型号配置 数量 备注 IBM Power740服务器 配置16*4.2GHz Power7处理器，256GB内存，IBM POWER P740 8*600GB硬盘，12*10/100/1000Mps以太网接口，8*8Gb FC卡，光驱，冗余电源，操作系统AIX 6.1；Power HA软件 IBM System x3650 M4 1*E5-2620 6核/32G 2*300G硬盘；3*100/1000Mbps以太网接口;冗余电源 IBM System x3650 M4 1*E5-2620 6核 2*300G硬盘；3*100/1000Mbps以太网接口;冗余电源 IBM System x3650 M4 1*E5-2620 6核/32G 2*300G硬盘；3*100/1000Mbps以太网接口;冗余电源 IBM System x3650 M4 1*E5-2620 6核/32G 2*300G硬盘；3*100/1000Mbps以太网接口;2*8GB FC HBA卡冗余电源 IBM System x3650 M4 2*E5-2650 8核/ GB内存 2*300G硬盘 3*100/1000Mbps以太网接口；2*8Gb FC卡 冗余电源 IBM System x3650 M4 2*E5-2650 8核/32 GB内存 2*300G硬盘 3*100/1000Mbps以太网接口 冗余电源 IBM System x3650 M4 2*E5-2620 6核/32 GB内存 2*300G硬盘 2*100/1000Mbps以太网接口 冗余电源 IBM System x3650 M4 1*E5-2620 6核 6*1T；2*100/1000Mbps以太网接口；冗余电源 IBM System x3650 M4 2*E5-2620 6核 32 GB内存 2*300G硬盘；3*100/1000Mbps以太网接口；2*8GB FC HBA卡；冗余电源 IBM System x3650 M4 2*E5-2620 6核 4 集群 IBM x3650 2 双机互备 代理商应用服务器 IBM x3650 2 负载均衡 营业web服务器 IBM x3650 2 负载均衡 接口服务器/备份/管理服务器 IBM x3650 2 双机互备 电渠数据库服务器 IBM x3650 2 双机热备 网厅/TV厅/短厅/微厅/自助语音/接口服务器 IBM x3650 2 网厅/TV厅/短厅/微厅/自助语音/运营管理应用服务器 IBM x3650 2 电渠开发测试服务器 IBM x3650 1 认证数据库服务器 IBM x3650 2 双机热备 认证服务器 IBM x3650 2 双机热备 XXXX信息技术股份有限公司 7 / 23

XXXX网络综合业务支撑系统集成方案

应用服务器 IBM x3650 开发测试服务器 IBM x3650 32 GB内存 2*300G硬盘；3*100/1000Mbps以太网接口；冗余电源 IBM System x3650 M4 2*E5-2620 6核 32 GB内存 2*300G硬盘；3*100/1000Mbps以太网接口；冗余电源 IBM System x3650 M4 1*E5-2620 6核 4*600G；2*100/1000Mbps以太网接口；冗余电源 2 负载均衡 1 开发测试、备份数据存放 网络设备 H3C S5120-52C-EI以太网交换机主机，交换容量256Gbps；支持48个10/100/1000 Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 S5120-24P-EI，交换容量250Gbps；24个10/100/1000Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 核心交换机 H3C S5120 2 接入交换机 H3C S5120 2 负载均衡服务器 防火墙 维护出口VPN设备 核心交换机 负载均衡服务器 防火墙 Emobile Emobile EspassIP 4500 EspassIP 4500 H3C SecPath F1000-E-SI主机,含12 GE Combo,H3C SecPath 电口支持10/100/1000Mbps自适应，2GB内存，F1000 含操作系统、Web管理 H3C SecPath H3C SecPath F100-C-SI 带VPN F1000 S5120-24P-EI，交换容量250Gbps；24个H3C S5120 10/100/1000Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 Emobile Emobile EspassIP 4500 EspassIP 4500 山石网科 山石网科千兆防火墙 ≥6个千兆口 存储备份 IBM SAN24B-5 IBM SAN24B-5 24口光纤交换机，默认24口激活（8G bits/s ） 磁盘阵列 磁盘阵列 IBM V5000 IBM V5000 双控制器, 16G Cache, 18*600G Disk, 8Gb FC主机接口，3年原厂标准服务。 IBM TS3100 IBM TS3100 2 个磁带机，2 个LTO5驱动器 26T非压缩磁带；3年原厂标准服务 IBM SAN24B-5 磁盘阵列 IBM V3700 IBM SAN24B-5 24口光纤交换机，默认8口激活（8G bits/s ） 磁盘阵列 IBM V3700 双控制器, 4G Cache,6*600G, 8Gb FC主机接口，3年原厂标准服务 2 2 1 2 2 2 SAN交换机 2 磁盘阵列 1 磁带库 1 SAN交换机 2 磁盘阵列 1 XXXX信息技术股份有限公司 8 / 23

XXXX网络综合业务支撑系统集成方案

2.3 机房设计

2.4 网络设计

XXXX信息技术股份有限公司 9 / 23

XXXX网络综合业务支撑系统集成方案

2.4.1 内网核心交换机

2.4.1.1 IP规划

网络设备之间互联均采用vrrp，接口之间互联需求IP个数为6，采用29位掩码：与核心防火墙互联网段172.23.1.8/29，与负载均衡器互联网段172.23.1.24/29

2.4.1.2 接口规划

与负载均衡器互联采用trunk口模式，透传vlan2/vlan3，虚拟地址采用业务网段

与防火墙互联采用access模式，vrrp指向虚拟地址

与接入交换机采用trunk模式，透传vlan3，网关在核心交换机侧 业务规划预留30口，划分vlan2预留BOSS内网业务 2.4.1.3 VLAN划分

核心交换机划分成一个VLAN

序号 1 2 3 业务系统 BOSS区 宽带认证 电渠 VLAN名称 VLAN2 VLAN3 VLAN4 VLAN地址 10.12.251.168/24 10.12.251.166/24 10.12.251.167/24 2.4.1.4 双机热备 启用VRRP备份组 2.4.1.5 路由策略

配置静态默认路由指向核心防火墙

XXXX信息技术股份有限公司 10 / 23

XXXX网络综合业务支撑系统集成方案

2.4.2 内网核心防火墙

2.4.2.1 IP规划

网络设备之间互联均采用vrrp，接口之间互联需求IP个数为6，采用29位掩码：与核心交换机互联网段172.23.1.8/29，与CA互联地址待定 ，与出口交换机互联172.23.1.32/29，与公网防火墙互联172.23.1.40/29，与VPN设备互联172.23.1.48/29

2.4.2.2 接口规划

均采用access接口互联，需要互联接口有：CA/出口交换机/核心交换机/公网防火墙/VPN设备

2.4.2.3 域间策略

序号 1 2 3 4 5 业务系统 核心业务 公网互联 CA系统 内网出口 VPN 区域 Trust1 Trust2 Trust3 Trust4 Trust5 端口 安全级别 50 10 40 30 20 F0/5 F0/3 F0/2 F0/4 F0/6 Trust1 Trust2 待产品线提交应用策略 Trust2 Trust1 待产品线提交应用策略 Trust1 Trust3 与局方CA侧核实 Trust3 Trust1 与局方CA侧核实 Trust1 Trust4 待产品线提交应用策略 Trust4 Trust1 待产品线提交应用策略

XXXX信息技术股份有限公司 11 / 23

XXXX网络综合业务支撑系统集成方案

2.4.2.4 双机热备 启用VRRP备份组 2.4.2.5 路由策略

配置静态默认路由指向出口交换机

ip route-static 0.0.0.0 0.0.0.0 172.23.1.9 CA系统网段路由指向CA互联接口，地址待定 与前端业务路由指向

ip route-static 172.23.3.0 0.0.0.255 172.23.1.41

2.4.3 公网核心交换机

2.4.3.1 IP规划

网络设备之间互联均采用vrrp，接口之间互联需求IP个数为6，采用29位掩码：与核心防火墙互联网段172.23.1.48/29，与负载均衡器互联网段172.23.1.56/29

2.4.3.2 接口规划

与负载均衡器互联采用trunk口模式，透传vlan2，虚拟地址采用业务网段 与防火墙互联采用access模式，vrrp指向虚拟地址

业务规划预留10口，划分vlan2预留电渠、宽带认证内网业务 2.4.3.3 VLAN划分

核心交换机划分成一个VLAN

序号 1 业务系统 宽带认证、电渠 VLAN名称 VLAN2 VLAN地址 172.23.2.4/24 2.4.3.4 双机热备 启用VRRP备份组

XXXX信息技术股份有限公司 12 / 23

XXXX网络综合业务支撑系统集成方案

2.4.3.5 路由策略

配置静态默认路由指向核心防火墙

ip route-static 0.0.0.0 0.0.0.0 172.23.1.49

2.4.4 公网核心防火墙

2.4.4.1 IP规划

网络设备之间互联均采用vrrp，接口之间互联需求IP个数为6，采用29位掩码：与核心交换机互联网段172.23.1.48/29，与出口交换机互联172.23.1./29，与内网防火墙互联172.23.1.40/29

2.4.4.2 接口规划

均采用access接口互联，需要互联接口有：CA/出口交换机/核心交换机/公网防火墙/VPN设备

2.4.4.3 域间策略

序号 1 2 3 业务系统 核心业务 内网互联 公网出口 区域 Trust1 Trust2 Trust3 端口 安全级别 50 40 10 F0/5 F0/3 F0/2 Trust1 Trust2 待产品线提交应用策略 Trust2 Trust1 待产品线提交应用策略 Trust1 Trust3 待产品线提交应用策略 Trust3 Trust1 待产品线提交应用策略

XXXX信息技术股份有限公司 13 / 23

XXXX网络综合业务支撑系统集成方案

2.4.4.4 双机热备 启用VRRP备份组 2.4.4.5 路由策略

配置静态默认路由指向出口交换机

ip route-static 0.0.0.0 0.0.0.0 172.23.1.9 CA系统网段路由指向CA互联接口，地址待定 与前端业务路由指向

ip route-static 172.23.3.0 0.0.0.255 172.23.1.41

2.5 存储设计

本期项目总共有两个阵列，分别用于BOSS数据库存储和电渠、宽带认证数据库

BOSS阵列：裸盘容量为18*600G磁盘，2块热备盘，余下分3个raid5组，每组磁盘数量分别为5 5 6，可用容量为4*600+4*600+5*500=7.8T

电渠、宽带认证阵列：裸盘容量为6*600G磁盘，1块热备盘，5块组成一个raid5组，可用容量为4*600=2.4T

应用 营帐数据库 报表服务器 营帐数据库 报表服务器 计费账务 充值卡 计费账务 充值卡 电渠数据库 电渠数据库 认证数据库 认证数据库 应用实际需求(G) 1500 1500 1000 500 500 500 500 500 RAID方式 raid5 raid5 raid5 raid5 raid5 raid5 raid5 raid5 raid5 raid5 raid5 raid5 物理空间容量 1500 1500 1000 500 500 500 500 500 生产存储 共享存储 共享存储 共享存储 共享存储 共享存储 共享存储 共享存储 共享存储 共享存储 共享存储 共享存储 共享存储 XXXX信息技术股份有限公司 14 / 23

XXXX网络综合业务支撑系统集成方案

2.6 主机设计 2.6.1 基本信息

操作系统版本 AIX 6.1 AIX 6.1 AIX 6.1 AIX 6.1 AIX 6.1 AIX 6.1 AIX 6.1 AIX 6.1 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 redhat6.5 主机名 bossdb1 bossdb2 billdb1 billdb2 dssdb1 dssdb1 czkdb1 czkdb1 serverapp1 serverapp2 proxyapp1 proxyapp2 bossweb1 bossweb2 bossapp1 bossapp2 chndb1 chndb2 chnser1 chnser1 chnapp1 chnapp1 chntest authdb1 authdb1 authser1 IP地址 172.23.2.2 172.23.2.3 172.23.2.4 172.23.2.5 172.23.2.6 172.23.2.7 172.23.2.8 172.23.2.9 172.23.2.10 172.23.2.11 172.23.2.12 172.23.2.13 172.23.2.14 172.23.2.15 172.23.2.16 172.23.2.17 172.23.3.2 172.23.3.3 172.23.4.4 172.23.4.5 172.23.3.4 172.23.3.5 172.23.3.6 172.23.3.7 172.23.3.8 172.23.4.2 主机型号/配置 IBM P740 8*3.86GHz/128GB IBM P740 8*3.86GHz/128GB IBM P740 8*3.86GHz/128GB IBM P740 8*3.86GHz/128GB IBM P740 4*3.86GHz/GB IBM P740 4*3.86GHz/GB IBM P740 2*3.86GHz/32GB IBM P740 2*3.86GHz/32GB IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/ IBM System x3650 M4 6核/ IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 用途 营帐数据库服务器 营帐数据库服务器 计费账务服务器 计费账务服务器 报表服务器 报表服务器 充值卡服务器 充值卡服务器 服务开通服务器 服务开通服务器 代理商应用服务器 代理商应用服务器 营业web服务器 营业web服务器 接口服务器/备份/管理服务器 接口服务器/备份/管理服务器 电渠数据库服务器 电渠数据库服务器 网厅/TV厅/短厅/微厅/自助语音/接口服务器 网厅/TV厅/短厅/微厅/自助语音/接口服务器 网厅/TV厅/短厅/微厅/自助语音/运营管理应用服务器 网厅/TV厅/短厅/微厅/自助语音/运营管理应用服务器 电渠开发测试服务器 认证数据库服务器 认证数据库服务器 认证服务器 XXXX信息技术股份有限公司 15 / 23

XXXX网络综合业务支撑系统集成方案

IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 IBM System x3650 M4 6核/32 authser1 authapp1 authapp1 authtest 172.23.4.3 172.23.3.9 172.23.3.10 172.23.3.11 redhat6.5 redhat6.5 redhat6.5 redhat6.5 认证服务器 应用服务器 应用服务器 开发测试服务器 2.6.2 操作系统补丁

操作系统版本与HA版本:  AIX-6100-06,PowerHA 5.5 软件基本包：

 bos.adt.base bos.adt.lib bos.adt.libm bos.perf.perfstat  bos.perf.libperfstat bos.perf.proctools rsct.basic.rte 补丁包：

 IZ10223、IZ88711、IZ43548  Redhat linux 6.5

2.6.3 操作系统参数

主机核心参数 系统参数 maxuproc iostat ncargs 配置值 5000 TRUE 512 默认值 备注 内存参数 maxclient% minperm% maxperm% maxfree minfree strict_maxclient strict_maxperm 8 5 8 2048 1290 1 1 网络参数 udp_recvspace udp_sendspace tcp_recvspace tcp_sendspace rfc1323 tcp_nodelayack ipignoreredirects ipsrcrouterecv 10485760 10485760 655360 262144 1 1 1 1 FTP选项 XXXX信息技术股份有限公司 16 / 23

XXXX网络综合业务支撑系统集成方案

nonlocsrcroute ipqmaxlen sb_max 1 512 41943040 IO参数 j2_dynamicBufferPreallocation 128 j2_nBufferPerPagerDevice 512 UNLIMIT参数 fsize core cpu data rss stack nofiles fsize_hard cpu_hard data_hard stack_hard rss_hard nofiles_hard -1 2097151 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 oracle要求 oracle要求 其它设置 系统时区 时钟同步 网卡设置（media_speed） crontab上限值 BEIST-8 时钟服务器IP 1000_Full_Duplex 2000 交换机也配置 2.6.4 内置存储设计

主机名称 (ALL) (ALL) (ALL) (ALL) (ALL) (ALL) (ALL) (ALL) 文件系统名称 / /usr /var /tmp /opt /home /nmon /oracle 大小(G) 2 8 8 8 8 2 2 20 卷组 rootvg rootvg rootvg rootvg rootvg rootvg rootvg rootvg 备注 主机nmon监控 数据库软件 2.6.5 Cluster设计

集群名称 节点名 bossdb1 物理地址 172.23.2.2 172.23.2.3 172.23.2.4 172.23.2.5 浮动地址 资源 存储 集群软件 Hacmp/rac Hacmp/rac hacmp hacmp 备注 boss_cluster Bossdb2 billapp1 Bill_cluster billapp2 172.23.2.20 存储 存储 172.23.2.21 存储 XXXX信息技术股份有限公司 17 / 23

XXXX网络综合业务支撑系统集成方案

dssdb1 dss_cluster dssdb1 czkdb1 czk_cluster czkdb1 chndb1 Chn_cluster chndb2 authdb1 auth_cluster authdb1 172.23.2.6 172.23.2.7 172.23.2.8 172.23.2.9 172.23.3.2 172.23.3.3 172.23.3.7 172.23.3.8 172.23.3.11 172.23.3.10 172.23.2.23 172.23.2.22 存储 存储 存储 存储 存储 存储 存储 存储 hacmp hacmp hacmp hacmp Rhcs Rhcs Rhcs Rhcs 2.7 数据库设计 2.7.1 基本信息

bossdb1 Bossdb2 billapp1 billapp2 dssdb1 dssdb1 czkdb1 czkdb1 chndb1 chndb2 authdb1 authdb1 实例名 Bossdb Billdb Dssdb Czkdb authdb 据库对象 SYSTEM SYSAUX UNDO1 TEMP01 Redo1... dRedo12 wwd controlfile 大小 8G 16G 32 32 1G 设备名 system.dat sysaux01.dat~sysaux02.dat redo01.dat~redo12.dat 1G contrl01.dat~contrl03.dat 2.7.1.1 用户设计

备注 户认表空间 UOP_UIF2 UCR_UIF2 UTOPTEA UCR_IOM UCR_OLCOM TURNDATA BS_UCR_UIF2 BS_UCR_UIF2 BS_TOPTEA BS_OSS_DIOM BS_OLCOM BS_IMPORT 权限 CONNECT RESOURCE CREATE VIEW CREATE SYNONYM SELECT ANY TABLE XXXX信息技术股份有限公司 18 / 23

XXXX网络综合业务支撑系统集成方案 ULCU UIF_CRM4_BI SELECT_CATALOG_ROLE EXECUTE ANY PROCEDURE DEBUG CONNECT SESSION BS_ILCU BS_CRM_ISTA 2.7.1.2 数据表空间

使表空间名称 TBS_CRM_DEF TBS_CRM_DPARAM TBS_CRM_IPARAM TBS_CRM_DUSR1 TBS_CRM_IUSR1 小用设备 应用类缺省表空间 应用类参数表空间 应用类参数的索引表空间 应用类用户资料数据表空间 应用类用户资料的索引表空间 说明 24 8 8 144 72 2.7.1.3 数据库参数 数据库参数 sga_max_size db_block_size db_cache_size db_keep_cache_size java_pool_size shared_pool_size large_pool_size log_buffer sga_target pga_aggregate_target workarea_size_policy undo_management undo_retention cluster_database cluster_database_instances log_archive_dest_1 db_recovery_file_dest db_recovery_file_dest_size db_file_multiblock_read_count db_writer_processes 35G 8k 25G 5G 50M 7G 200M 300M 35G 5G AUTO AUTO 5400 TRUE 2 LOCATION=/archcrm1' /archcrm1 200G 16 8 XXXX信息技术股份有限公司 19 / 23

XXXX网络综合业务支撑系统集成方案 open_cursors open_links open_links_per_instance background_core_dump shadow_core_dump max_dump_file_size timed_statistics statistics_level db_files job_queue_processes compatible query_rewrite_enabled processes parallel_adaptive_multi_user parallel_max_servers recovery_parallelism fast_start_parallel_rollback fast_start_mttr_target log_parallelism remote_login_passwordfile resource_limit distributed_lock_timeout control_files audit_file_dest background_dump_dest core_dump_dest user_dump_dest 800 10 10 full full 5M TRUE TYPICAL 1000 8 10.0.0.0 TRUE 2000 TRUE 8 6 FALSE 300 2 EXCLUSIVE TRUE 700 3个不同文件系统的文件 /oraclelog/crm1/adump /oraclelog/crm1/bdump /oraclelog/crm1/cdump /oraclelog/crm1/udump

第三章 系统安全

系统安全性要求 

系统安全

 重要核心系统，重要部件需要集群化部署或有热备部署方案。  系统严禁非授权远程访问通道。 

数据安全

 关键数据的存储和传输须设计加密能力。

 数据查询应对不同的人员设定不同的级别，每人只能查询与自己相关

的数据。

 系统各功能模块仅允许依据权限管理访问相应数据。

XXXX信息技术股份有限公司 20 / 23

XXXX网络综合业务支撑系统集成方案

 存储设备应采用磁盘阵列方式或磁盘镜像技术。 系统维护性要求 

系统应充分考虑各种容错机制，具体要求如下：

 整个系统应能连续7×24小时不间断工作，应用软件中的任一构件更

新、加载时，在不更新与上下构件的接口的前提下，不影响系统运转和服务。

 应提供成熟的、容错性和易恢复性俱佳的系统。在应标书中应明确指

明其系统的MTTR和MTBF指标（分软、硬件）。  系统应具备完善的检测功能，确保数据的准确性。 

需满足XX有线业务运营支撑开发、测试、预发布、生产平台的多环节管理设定场景：

 平台将建立安全域界定，系统平台划分为开发平台、测试平台、预发

布平台、生产平台；

 所有软件系统平台，OS、RUNTIME环境一致，各应用的代码编译、

部署、版本更新都由系统管控；

 各系统开发的产品经测试平台功能验证后，先把预发布平台现有应用、

配置版本归档，然后升级到新的版本；

 预发布平台功能、稳定性验证后，生产平台将需要变更的项目归档，

在经过严格授权验证后，在规定的时间段执行版本更替操作；  如任一环节发现异常，在上述各平台上已发布的应用软件都会被具备

类似SVN版本回退、diff对比、版本更替的功能所管控版本变更；

本期项目从网络层面建议区分内防护，通过防火墙进行数据隔离。所有边界都部署防火墙作为边界访问控制设备，保障系统的安全。爬虫集群部署在DMZ区域，与内部的其他集群隔离，避免外部网络攻击的风险。

用户流量清单查询，只接受省客服系统的请求，不接受个人的查询请求。系统维护人员进行测试、故障排除等场景需要进行用户流量清单查询的，必须走4A金库审批流程。

XXXX信息技术股份有限公司 21 / 23

XXXX网络综合业务支撑系统集成方案

数据处理的日志，应上传业支部一级4A系统供审计使用。

网络层安全

网络系统应支持访问控制、安全检测、攻击监控、加密通信等一系列安全功能，应提供完整的网络监控、报警和故障处理功能。

 对网络状况进行风险分析

 提高全体人员的网络安全意识和防范技术

 加强对各种访问的审计工作，详细记录对网络和主机的访问行为，形

成完整的系统日志

 网络系统具有入侵检测的功能，可监控可疑的连接、非法访问等，采

取的措施包括实时报警、自动阻断通信连接或执行用户自定义的安全策略

 网络系统能定期检查安全漏洞，根据扫描的结果更正网络安全漏洞和

系统中的错误配置

 使用加密技术对传输的数据加密  物理链路的冗余

 系统与外部系统的连接须设置防火墙

访问控制/身份认证

访问控制业务防止对资源的非授权使用，它包括不允许以非授权的方式使用已授权的资源。当一个用户（通信进程、应用或人员）的身份被识别以后（通常是通过认证来实现的），访问控制将决定什么样的资源能够被该用户所访问。

通过对员工的管理和权限的管理来进行访问控制，包括： 角色管理

对使用系统的各种人员的基本信息进行管理，为使用者分配唯一的ID，ID不能重用，不能删除。对ID的密码加密存储（加密算法不可逆）。使用者需要使用工号、密码登录系统，经过验证后才能使用系统的功能，并且只能操作其权限

XXXX信息技术股份有限公司 22 / 23

XXXX网络综合业务支撑系统集成方案

范围内的功能及数据，密码在网络上加密传送。对密码可以设定有效期限及必须更改密码的标志，确保员工密码的安全。

权限管理

系统提供分层次授权的功能，在授权时提供是否可以授权的选项，如果不是，则被授权人只能使用被授予的权限，而不能把权限再授给下一级。如果是具有的授权的权利，则被授权人可以把权限授给下一级。

系统详细记录授权过程和权限的历史记录。对于被授权人的权限和角色，记录授权人、授权时间。记录被授权人曾经拥有过的以及现在拥有的权限、角色。

应用系统安全管理

应用系统的用户管理、权限管理应充分利用操作系统和数据库的安全性；应用软件运行时须有完整的日志记录，并提供日志审计功能。

应用系统的用户一般包括以下几类：应用系统管理员用户、部门管理员用户、一般业务用户、审计用户、Power User。

应用系统管理员用户和各个部门管理员用户不可以访问数据库业务数据，他们的权利是通过应用系统安全管理页面设定各个部门的查询功能分配以及建立用户、岗位并进行用户的岗位分配和岗位功能指定。

在系统中建立针对前端用户的审计功能，记录每个用户访问的数据模型，使用的数据库用户，登录用户，以及具体的查询条件、查询内容和使用时间。并提供审计人员通过图形界面进行审计的功能。

安全审计

安全审计模块实现统一管理各平台的审计信息的功能。系统提供管理员使用监视、报警和报告用户活动信息。有了这些信息，安全管理员将可以在出现可能对业务系统造成负面影响的袭击和问题之前，立即做出反应。

XXXX信息技术股份有限公司 23 / 23