数据业务系统入网规范V1101Word下载.docx
- 文档编号:16518530
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:25
- 大小:31.87KB
数据业务系统入网规范V1101Word下载.docx
《数据业务系统入网规范V1101Word下载.docx》由会员分享,可在线阅读,更多相关《数据业务系统入网规范V1101Word下载.docx(25页珍藏版)》请在冰豆网上搜索。
该规范主要应用于数据类业务系统在入网承担业务前,应该完成的相关工作和遵循的相关要求。
数据类业务系统入网分为新建系统入网及原有系统扩容、改造、软件升级两类,此两类情况所对应的入网规范既有相同要求的也有不一致要求,本规范将详细对两类情况做描述,以规范数据类设备入网工作。
第一章总则
一、数据类业务系统入网规范内容
数据类业务系统入网承担业务,分为新建系统入网和原有系统扩容、改造、硬件升级两类,两类情况的设备入网前必须进行主要设备清单核查、设备安装情况检查、设备功能检查验收、主备倒换测试、系统备份测试、性能测试(含业务压力测试)、安全情况测试、传输链路检查、网管功能测试、计费测试等。
要求对于每个测试项目都形成书面文档,各方面签字确认后方能安排入网工作。
二、入网规范的提供
原则上入网规范由网管中心根据设备规范提供。
设备入网前,工程建设办公室应组织入网割接方案讨论会,网络部、计划部、网管中心、业务管理部门参加会议并提出意见。
入网方案达成一致意见后,由网管中心启动割接入网申请,网络部批复后网管中心组织入网割接工作。
第二章数据类业务入网要求
一、入网许可证要求
现网已有的设备,数据业务系统厂家需要提供当前运行设备、软件的当前版本号以便于管理;
增值业务系统没有纳入入网许可证管理范围的可以向网管中心进行软件版本报备,报备批准后纳入管理范围。
新的软件或硬件入网,应由工程办下发入网需求文,技术方案审核后方可入网测试。
二、设备清单核对
(1)网管中心人员要对数据类业务设备清单进行核对,核查现场设备是否与清单对应。
(2)清单核对时,要细化到CPU、内存、磁盘等,确认入网设备属于集团许可入网设备范围内。
三、设备安装情况检查
(1)设备的安装、布线、标签等,要满足《中国移动机房规范(V1.0)》。
(2)对于新建数据类业务系统重点检查以下项目:
编号
内容
检查结果
1
设备机柜标准化,机柜通透率高于50%
2
单机柜总功率小于5000瓦
3
对于以主机、服务器、工作站为主要设备的数据业务系统,需要配置键盘、鼠标、显示器时,应以系统为单位集中配置KVM(Keyboard、Video、Mouse)设备,每套系统根据设备数目可以选择配置1到2台KVM设备。
KVM设备应选择折叠式液晶显示器配置,采用抽屉式安装,并带有锁定装置。
集装架内不应使用CRT显示器。
4
设备电源要求采用通过空开引入,且为双路供电
5
电源集装架应有接地点,并配置供设备接地用的接地汇流排。
6
对所有机架的空开和接地汇流排增加防护罩
7
设备必须有安全接地
8
设备信号线、电源线是否分开捆扎,捆扎是否整齐美观
9
设备及线路标签准确且符合通信机房标签标准,对于线缆标签,尽量使用标签打印机打印标签或覆盖保护膜标签。
当使用覆盖保护膜标签缠绕在电缆时,透明的“尾巴”覆盖在白色的打印区上,透明的尾端应有足够的长度,至少能够缠绕电缆一圈或一圈半。
10
设备走线采用上走线方式。
11
线缆在机柜内布放时不能绷紧,应留有适当余量,绑扎力度适宜,布放顺直、整齐,不应交叉缠绕。
12
尾纤在走线架上布放时应用专用尾纤槽或套管保护;
13
尾纤布放时,应尽量减少转弯,需转弯时应弯成弧形。
ODF架内的尾纤必须盘绕整齐、规范,尾纤的弯曲半径应不小于40毫米。
法兰盘的背面接出本机房侧的尾纤,正面接本机房设备侧的尾纤。
尾纤在架内必须绑扎整齐。
对于纯跳线架,设备侧与业务侧的尾纤不能合在一起,分别在架的左右侧走线,光纤配线架应可靠接地。
14
DDF端子板的上端口接本机房设备侧的线缆,下端口接传输系统侧的线缆或跳线。
面对配线架,接线从左到右,由上到下,线缆在架内必须绑扎,裁减整齐,设备侧与传输侧的线缆不能合在一起,分别在架的左右侧走线。
端子上的每根线应有20-30毫米的冗余度,弯曲适中。
对于屏蔽线,每个头子的焊点应饱满、有光泽,无虚焊、漏焊,地线套管与头子、屏蔽线应压接紧凑,头子与端子应拧接牢固,数字配线架应可靠接地。
15
要求标签的标示必须清晰、简洁、准确、统一。
16
设备标签应能够全面涵盖所描述设备的各项具体信息,但又要尽量做到简洁、清晰、规范。
适用于中国移动数据机房机器设备及客户主机等设备。
张贴于设备表面醒目位置。
17
设备标签应包含但不限于以下项目:
设备所属工程名称:
设备型号:
设备用途:
设备名称:
测试结果:
□合格□不合格
厂家签字:
(3)对于原有数据类业务系统扩容改造升级的重点检查以下项目:
四、设备业务功能测试
(1)设备业务功能测试,要全面涵盖系统的所有功能。
设备入网前严格按照数据类业务功能逐条测试。
(2)对于新建设备,要严格按照设备入网测试手册部分,逐条测试。
对于扩容系统,如只是配件更换(比如添加内存、添加硬盘等),可以只测试基本功能。
如果涉及增加硬件较多,或者涉及软件版本升级,升级当天需要进行基本功能测试和针对扩容部分功能的测试,入网前要比照设备验收手册功能部分,逐条测试。
对于现网设备无法测试的项目,要求说明并双方签字确认。
(3)对于经过多期工程建设的系统,建议在功能测试中,按照原有功能部分、N期项目新增功能部分、N+1期工程项目新增功能部分分类,以便一目了然的分清功能的来源。
(4)功能测试项目要包括:
编号、测试项目、测试目的、预置条件、测试步骤、预期结果、测试结果等。
模板如下:
测试编号:
测试属性:
□必测□选测
测试项目:
测试分项目:
(此条可选)
测试目的:
预置条件:
测试步骤:
预期结果:
备注:
填写测试结果
用户代表签字:
代表签字:
五、系统安全项目检查
(1)系统的安全性方面,要求网管中心进行检查,安全检查须有安全管理同志参加并负责并对相关项目把关。
(2)安全方面的检查项目主要包括:
防火墙策略、防火墙版本、主机安全补丁加载情况、主机端口情况、防病毒措施、帐号密码的管理等。
其中,主机、路由器、交换机、防火墙的安全加固要求见《湖北移动安全规范》的要求。
(3)设备割接入网后,设备管理员密码要立即回收,其他密码在初验后回收。
(4)设备入网安全检查前基本表格如下,各专业可根据本专业情况进行补充修改。
设备应具有访问控制的功能,对用户或操作维护人员的访问及相关权限具有鉴别机制
设备应具有安全保密机制,关键数据(如管理员密码等)应加密传输、存储
设备应具有防止篡改和差错交验机制,重要数据都应有健全的校验机制
设备应支持AAAA系统的管理(包括:
帐号口令管理、认证、授权、审计)
设备应具有日志功能并可以审计用户的操作
设备可以防止自身受到的拒绝服务攻击
设备应具备尽可能隐藏其自身无需公开的信息的能力
设备制造者应具有严格的安全保障制度,如:
弱点管理、文档完备、功能测试、隐蔽通道分析等;
设备应支持对流经其自身的流量进行控制的能力
对设备操作系统或应用系统的安全漏洞进行补丁加载时,应具有不影响设备正常工作的机制
支持按用户分配账号,与设备运行、维护等工作无关的账号,应能够删除或锁定。
对于采用静态口令认证技术的设备,应支持数字、小写字母、大写字母和特殊符号4类字符构成的口令。
应支持配置口令复杂度。
在配置了复杂度后,设备自动拒绝用户设置不符合复杂度要求的口令。
对于采用静态口令认证技术的设备,应支持按天配置口令生存期功能。
在配置了口令生存期后,设备在口令超过生存期的用户登录时,应提示并强迫该用户设置新口令。
对于采用静态口令认证技术的设备,必须支持口令修改,口令修改后不影响设备中业务的正常使用,支持静态口令加密存放。
设备应支持对不同用户授予不同权限。
设备日志应支持对用户登录/登出进行记录。
记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
对于具备TCP/UDP协议功能的设备,应支持列出当前开放端口列表以及设备和其他设备连接情况
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
18
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。
19
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
20
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
21
操作系统支持按用户分配账号,支持用户组分类。
22
系统支持增加、删除、锁定、修改账号功能操作系统应支持对不同用户和用户组授予不同权限。
23
具有对数据库账号的管理功能,包括删除或修改用户名和密码的功能。
24
具有对数据库默认帐号的密码进行修改或锁定无用的数据库默认帐号的功能
25
具备通过角色来对数据库用户进行授权的功能
26
具有对数据库账号、数据库系统存储结构、数据表、索引以及对象的创建、修改和删除进行日志记录的功能。
27
具备通过补丁升级消除软件安全漏洞的能力
28
具备对数据文件进行备份以及恢复的功能
专业名称
检查项目序号
检查项目名称
检查细项简述
检查结果是否符合检查要求
防火墙安全策略
1.检查防火墙安全策略的配置,查看是否配置有源地址和目的地址都设置为any的安全策略。
2.检查防火墙安全策略的配置,是否能从外网任意地址访问内部地址,且不限制端口范围或允许访问的端口包括:
20、21、22、23、3389、5631、5632。
3.是否配置了防火墙管理地址,限制能远程登陆防火墙的设备。
4.是否禁止telnet方式配置防火墙,是否设置了SSH方式配置防火墙。
5.是否打开防火墙的日志记录选项。
对互联网开放服务的设备管理
1.检查是否有公司对外提供服务的系统清单(系统包括:
网站、FTP服务器等),系统清单包括系统名称、www网址、IP地址。
2.是否制定了安全应急预案
日志审计
1.检查系统设备是否具备记录日志的功能
设备开放的服务与端口管理
1.是否打开端口7
2.是否打开端口9
3.是否打开端口13
4.是否打开端口37
5.是否打开端口25
6.是否打开端口79
7.是否打开端口512-514
8.远程访问系统内部主机时应该使用SSH进行访问
5
3.登陆系统核对帐号清单是否与系统中的账号一致
4.系统管理员是否清楚账号是谁负责使用,以及账号的权限和功能
5.检查帐号的密码复杂度设置是否符合要求
安全补丁
1.检查UNIX主机、Windows中是否已安装最新版本的安全补丁
Windows终端安全检测
1.检查终端上是否安装防病毒软件
□合格
□不合格
安全管理员签字:
网管中心签字:
六、传输线路检查
如果涉及到直接连接传输:
(1)要根据设计要求,核对系统对外连接传输链路带宽是否一致。
(2)对系统对外连接的传输链路进行质量测试,包括:
在链路两端FTP较大的文件,检验传输速度;
用不同大小的包进行较长时间的PING,检验链路的时延和丢包率情况。
(3)要求有电路调单和系统端口的对应关系,并将信息提交给传输专业。
七、主备倒换测试
(1)验收测试方案要包括主备倒换测试内容。
(2)要求厂家提供文档,说明系统在每个网元发生故障时,倒换前后业务流在系统网络内部的变化情况。
(3)要求对系统所有主备设备、主备模块进行倒换测试,包括主备防火墙的倒换测试、主备四层交换机的倒换测试、主备二三层交换机的倒换测试、主备主机系统的倒换测试、主备电源的倒换测试。
测试时,一方面要测试业务是否正常,观察系统是否有告警;
另外一方面,要参照厂家提供的文档,检查业务流是否与文档中标识的一致。
(4)对于负载均衡的主机设备,要求测试每一台主机发生故障的情况下,业务是否被均匀的分配到其他主机上。
(5)对于暂时存在的单电源主备设备,要求主备设备的电源连接到不同输入电源中。
系统内各关键设备均应配置冗余,保证所有设备无单点故障;
各设备冗余应采用主从热备份或负载均衡热备份方式工作;
任何设备间的连接应配备冗余,确保各设备间的连接非单点故障
设备应支持冗余连接工作状态的实时监控和转换能力,确保在单条连接故障时,设备可感知并采取相关处理,保证业务不中断。
心跳网卡必须单独设一个子网或直连,并且必须有两块或以上的心跳网卡:
双机运行的核心是在双机中的节点之间发送和接收心跳信息,双机协调者查找来自每个节点的心跳信息,如果在指定的时间内未收到心跳信息,双机协调者将重组双机。
如果心跳和数据在同一个网络子网上传送,数据堵塞可能会引起心跳超时,导致不应该发生的双机重组。
双机软件必须能对节点中的主机硬件(CPU、内存等)、磁盘阵列及其连线、网络、操作系统和应用进行侦测,并确保侦测的正确性
双机软件必须能够自动切换:
某一主机如果确认对方故障,则正常主机除继续进行原来的任务,还将依据各种容错备援模式接管预先设定的备援作业程序,并进行后续的程序及服务。
若采用软件负载均衡方案,要求负载均衡软件必须支持双机,不能存在单点故障,且负载均衡软件所在的双机进行切换不能中断业务。
若采用硬件负载均衡,即负载均衡器,要求支持双机,且能实现对应用透明切换,双机切换时间少于20秒。
在集群系统中,能侦听数据链路的故障,并能及时切换,切换时间少于10秒。
在集群系统中,负载均衡器(或负载均衡软件)能对业务节点进行有效监控,能及时发现业务节点的故障,并能进行故障隔离。
支持在配置文件修改后的确认和回滚机制,支持应用软件配置文件的在线修改,不能通过重新启动进程甚至重启系统来使配置修改的生效。
必须支持灵活的负载均衡算法,如轮询(RoundRobin)、比率(Ratio)、优先权(Priority)、最少的连接方式(LeastConnection)等,在某台服务器的处理能力降低时(如4CPU的服务器,在运行中,有1个出现故障从而导致性能下降),能自动调整负载均衡算法。
八、系统备份测试
(1)设备入网前测试方案要包括系统备份测试内容。
(2)要求对合同中规定了系统备份进行全面的测试。
九、性能测试
(1)压力测试方案:
谈判时就要提出压力测试方案,并要求厂家应答满足。
(此条在谈判要求中同时提出)。
(2)新建数据类业务系统,或者容量标称值达到新高的现网系统,要求必须进行性能测试。
(3)性能测试要求厂家提供测试环境与测试手段。
(4)对于扩容后达到新高的现网系统,也要求必须进行现网测试。
(5)性能测试要充分研究现网的业务模型,测试时参照现网业务模型进行测试。
(6)测试时系统的运行环境,要与现网一致,要求在外网进行测试,包括传输环境、日志级别、报表是否打开等。
(7)在进行性能测试时,一方面要测试系统的标称容量有没有达到,另外一方面,条件允许是,测试达到标称容量后,要进一步加大压力,测试系统的实际最大处理能力。
(8)性能测试要包括稳定性测试,即在系统标称硬件处理能力下,系统连续运行72小时以上的系统运行情况。
(9)对于数据网设备,要求系统在达到标称处理能力时,系统的CPU、内存等关键指标,利用率要在70%以内。
(10)性能测试时,同时要关注磁盘的I/O情况、数据库运行情况、带宽利用率情况等。
(11)如入网前没有条件进行性能测试,要求厂家提供设备环境进行测试,提供测试报告以供审核。
十、网管手段
(1)设备割接入网前,必须完成接入网管系统的工作,特别是告警(业务预警)、报表等功能。
(2)网管中心对数据业务系统网管功能进行验收测试,要求数据业务系统做到可管理,纳入集中管理集中维护体系。
(3)设备割接入网前,必须完成与双向支撑平台的接口调测工作,保证业务支撑系统访问正常。
(4)设备本身的OMC、报表系统要进行相关的测试工作。
设备应至少提供SNMP、IPFIX、Syslog、FTP、Telnet管理通信接口;
设备逻辑管理接口应支持标准开放的管理接口,标准符合《中国移动数据网设备网管接口技术规范》及《中国移动数据网设备网管接口数据要求》;
设备各系统及网管系统应使用正版软件,提供软件正版序列号;
设备网管模块在正常运行或异常情况下,都不能对设备的正常运行产生任何影响,插板式设备应配置独立的网管模块;
设备应提供人机指令和可视化菜单界面两种操作方式。
指令执行前应有确认功能,便于网管人员进行有效性检查。
设备应支持命令批处理操作。
设备管理接口应支持SSH功能,设备CONSOLE口登陆方式应支持口令认证功能;
设备应支持完备的日志管理功能,设备支持syslog功能,支持日志的本地保存和远程保存,本地日志应保存在非易失性的介质上,系统重启或宕机时日志数据不会消失。
对于主机类设备输出的日志应分为系统日志和应用(业务)日志两大部分。
系统日志包括以硬件和操作系统层面的事件为主,业务日志以与业务有关的事件为主。
日志中应有事件类别(通过一个唯一性字段来区分)、主体、起始时间、事件简述和事件详细描述,其中事件详细描述可以通过设备/软件供应商提供资料在后台实现。
日志信息在网元侧的输出时延不大于2秒。
设备应根据该设备实现的具体业务,提供业务管理功能、业务告警功能、业务保障工具和业务QoS管理功能。
对影响或可能影响业务运行的事件,设备要支持自动输出告警信息,并对告警信息进行按类别编号,按重要程度分级。
设备硬件故障告警应能够定位到端口,设备软件故障告警应定位到进程(包括对集群设备的监控和告警)
告警信息在网元侧的输出时延不大于2秒,同时具备传入集中网管要求
设备中各部件及第三方部件发生故障告警时,设备应能够通过统一的网管接口进行告警上报。
定时输出设备硬件性能指标(如CPU、内存、磁盘空间使用率等)、业务量及业务性能指标,性能指标可以传送至集中网管,输出时间颗粒度可调,最小不大于5分钟,延时不大于1分钟
具备性能数据统计功能,支持自定义报表的输出。
十一、维护文档
(1)设备割接前,厂家要提供或更新以下维护文档:
系统错误代码说明,系统日志说明,告警功能说明,常见故障处理SOP,操作维护手册,系统配置说明,应用软件部署情况、应急预案等。
(2)设备装机光盘等,应要求厂家移交给维护单位,并提供列表文件。
十二、数据类业务入网前割接方案及入网后保障方案的制订
对于原有业务系统扩容改造升级工作,数据类业务系统入网前厂家必须提交割接入网方案及测试方案,割接入网方案应充分说明割接入网工作对业务的影响范围,割接方案应内容祥实,有具体的操作步骤与验证措施,割接入网的每个环节有测试项目来验证,割接入网过程中出现的问题应有详细的倒回方案。
新建数据类业务系统入网方案如未正式部署业务,割接入网方案重点描述设备入网对现网其他设备的影响,系统本省的业务测试可以在设备入网后组织实施。
入网后保障方案
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据业务 系统 入网 规范 V1101