移动代理服务器规范

移动代理服务器规范

目 录

1. 范围... 1

2. 规范性引用文件... 1

3. 术语、定义和缩略语... 1

4. 业务描述... 2

4.1. 业务定义... 2

4.2. 业务特征... 2

4.3. 业务分类... 3

5. 系统结构和组网原则... 3

5.1. 系统结构... 3

5.1.1. 系统结构图... 3

5.1.2. 功能描述... 4

5.2. 网络结构... 4

6. 业务流程... 5

6.1. EC业务受理... 6

6.2. EC业务成员的变更... 6

6.3. MAS服务器注册... 7

6.4. MAS服务器认证鉴权... 7

6.5. MT短信业务流程... 8

6.6. MT彩信业务流程... 9

6.7. MO短信/彩信业务流程... 10

7. 编码原则... 10

8. 网管功能... 10

8.1. 配置管理... 10

8.2. 性能管理... 11

8.3. 故障管理... 11

8.4. 安全管理... 11

8.5. 升级维护... 11

8.6. 日志管理... 12

8.7. QOS管理... 12

9. 计费结算... 12

9.1. 计费类型... 12

9.2. 计费采集点... 12

10.3 结算... 12

10. 接口要求... 12

10.1. 接口1：MAS服务器与集团客户应用系统的接口... 13

10.2. 接口2：MAS服务器与行业应用网关A模块及其它通信网元的接口... 13

10.3. 接口3：MAS服务器与MAS统一服务平台的接口... 14

10.4. 接口4：MAS统一服务平台与BOSS的接口... 14

10.5. 接口5：MAS服务器与BOSS系统的接口... 14

11. 业务统计... 14

11.1. 统计功能要求... 14

11.2. 统计报表数据要求... 15

12. 网络安全... 15

12.1. 物理安全... 15

12.2. 网络安全... 15

12.2.1. MAS服务器网络安全... 15

12.2.2. MAS统一服务平台网络安全... 15

12.2.3. 数据传输安全... 16

12.3. 系统安全... 16

13. 设备要求... 17

13.1. MAS服务器设备要求... 17

13.1.1. 对主机设备的要求... 17

13.1.2. 对时间同步的要求... 17

13.2. MAS统一服务平台设备要求... 17

13.2.1. 对主机设备的要求... 17

13.2.2. 对存储设备的要求... 18

13.2.3. 对备份设备的要求... 18

13.2.4. 对时间同步的要求... 18

14. 编制历史... 19

前 言

本规范对MAS系统建设过程中需要规范的内容提出全面要求，是MAS系统建设所需要遵从的纲领性技术文件。

本规范主要包括业务定义、业务特征、组网结构、业务流程等内容。

本规范以中移有限技〔2007〕198号印发。

本规范由中国移动通信有限公司技术部提出并归口。

本规范由规范归口部门负责解释。

本规范起草单位：中国移动通信研究院。

本规范主要起草人：刘越、程亮、赵立君、余智欣、彭华、芦伟、任志强、徐锋、聂明、于绍晨。

1. 范围

本技术要求对MAS系统所作用的技术范畴提出规定，原则上在中国移动通信集团内部使用，用于在业务开展中为中国移动通信集团公司和省公司提供技术依据；适用于GSM网络、GPRS网络、3G网络和未来移动通信网络环境。

2. 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 [1]

QB-D-003-2005

《全网行业应用业务规范》 中国移动通信有限公司 [2]

QB-D-004-2005

《全网行业应用总体技术要求》 中国移动通信有限公司 [3]

QB-D-030-2005

《全网行业应用接口规范》 中国移动通信有限公司 [4]

QB-D-047-2006

《省行业应用网关提供全网行业应用的总体技术要求》 中国移动通信有限公司

3. 术语、定义和缩略语

下列术语、定义和缩略语适用于本标准：

MAS系统：提供MAS业务的完备系统，包括MAS统一服务平台、MAS服务器和MAS终端。

MAS统一服务平台：部署在移动侧，完成对各MAS服务器统一认证和业务控制的平台。

MAS服务器：部署在集团客户侧，与集团客户现有业务系统耦合的，提供统一通信能力、实现集团客户应用移动化，以及特定应用的服务器。

MAS终端：支持使用MAS系统应用的移动终端。

应用订购关系：指集团客户订购MAS应用所生成的订购关系，如集团客户申请开通OA短信业务时的所产生的订购关系。 缩写 全称 中文名称 CRM

Customer Relationship Management 客户关系管理 DMZ

Demilitarized Zone 隔离区 EC

Enterprise Customer 集团客户 ERP

Enterprise Resource Planning 企业资源规划

IAGW-A

Industry Application Gateway Access 行业网关接入模块

IAGW-M

Industry Application Gateway Management

行业网关管理模块 MAS

Mobile Agent Server 移动代理服务器 OA

Office Automation 办公自动化 SCM

Supply Chain Management 供应链管理 SI

Service Integrator 业务集成商

4. 业务描述 4.1. 业务定义

MAS业务指中国移动通过在集团客户（主要为拥有完备信息系统的集团客户）内部部署移动代理服务器，为集团客户提供的基于移动终端（包括短信、彩信、WAP、手机客户端等）的信息化应用服务。集团客户通过移动代理服务器将自己的应用延伸到移动终端。

MAS服务器作为沟通集团客户IT应用环境与移动网络之间的桥梁，对集团客户来说，提供面向移动网络的统一的界面和接口，并可衍生出结合移动终端和其它移动应用的新的应用系统，丰富集团客户应用；对中国移动来说，MAS服务器是众多集团客户应用的统一接入点，能更有效地为集团客户提供服务和支持，增加用户黏性，提升业务收入，发挥移动网络的优势，为集团客户提供更多的增值业务。

4.2. 业务特征

1、MAS终端用户可以使用短信、彩信、WAP、USSD、语音以及客户端等方式，通过MAS服务器访问集团客户的各种应用系统。

2、MAS服务器部署在集团客户内部，通过应用适配模块与集团客户现有业务系统耦合，将集团客户应用系统的使用环境扩展到移动网络。

3、MAS服务器提供灵活的自服务门户，集团客户管理员可根据相应权限进行操作和管理。

4、MAS服务器在MAS统一服务平台注册成功后，才能提供服务。

5、MAS服务器定期到统一服务平台进行认证鉴权，认证鉴权失败，MAS服务器将停止其相关业务模块的运行。

6、中国移动通过MAS统一服务平台对企业侧不同种类的MAS服务器进行统一的管理和控制。

7、MAS服务器与MAS统一服务平台之间的注册、认证鉴权与管理信息加密传输。

4.3. 业务分类

根据集团客户的不同应用，业务可以分为

1、ERP应用

2、OA应用

3、SCM应用

4、CRM应用

5、EMAIL应用

6、行业应用

7、其它应用

5. 系统结构和组网原则 5.1. 系统结构 5.1.1. 系统结构图

图5-1 MAS系统架构

MAS系统分为3个部分：MAS服务器、MAS统一服务平台和MAS终端。

5.1.2. 功能描述 a) MAS服务器

i） 管理功能：实现系统管理、系统维护、集团客户自服务/自管理、业务管理和插件管理功能。此外，统一服务平台接口实现与MAS统一服务平台的对接，系统数据库存放MAS服务器的管理数据和业务数据；与BOSS的接口实现向BOSS同步EC的业务签约信息，发送日对帐文件，以及更新黑/白名单信息。

ii） 通信能力接口：提供通信能力接口，与行业应用网关及其它通信网元连接；

iii） 业务处理部分：包括PUSHMAIL插件、B/S结构系统移动化插件、WebService

方式通信适配插件和数据库方式通信适配插件。为集团客户应用系统和MAS服务器中的应用插件提供统一的通信能力接口，同时实现应用系统和应用插件的移动化；

iv） 应用插件及应用接入：包括各种由SI提供的应用插件，这些应用插件实现独立的应用功能，或者为集团客户应用系统提供接入。应用插件北向接口（与集团客户应用系统之间的接口）由SI根据实际情况自行定义，应用插件南向接口为标准接口。

b) MAS统一服务平台

MAS服务器部署在各企业，MAS统一服务平台通过接口3与MAS服务器进行通讯，完成对各MAS服务器的管理和控制，通过接口4与BOSS系统系统进行通讯。主要功能包括如下：

i） 注册及认证鉴权：所有的MAS服务器在启动时必须到MAS管理平台进行注册，并且在运行过程中定期到MAS管理平台进行认证鉴权；

ii） 业务管理：对MAS服务器所支持的业务能力及相应通信能力进行管理，对业务性能进行统计分析；

iii） 升级维护管理：完成MAS服务器软件模块的升级维护通知、MAS统一服务平台地址切换、FTP服务器及目录通知等；

iv） 从BOSS同步EC信息及MAS业务信息，将MAS服务器注册信息同步到BOSS。

c) MAS终端

通过行业应用网关与MAS服务器之间实现短信、彩信收发，或者通过GPRS连接到MAS服务器访问集团客户应用。

5.2. 网络结构

MAS系统的网络结构如下：

图5-2 MAS系统在网络中的位置

MAS服务器：部署在企业内部，通过广域网与行业网关、MAS统一服务平台、BOSS系统进行通讯。

MAS统一服务平台平台：部署在移动机房，通过中国移动内部网络与BOSS通讯，通过广域网对各MAS服务器进行管理。

MAS终端：MAS终端通过移动网络使用MAS系统所提供的各种业务。根据需要，可能需要安装客户端软件。

接口1：MAS服务器与集团客户应用系统的接口；

接口2：MAS服务器与行业应用网关的接口；

接口3：MAS服务器与MAS统一服务平台之间的接口；

接口4：MAS统一服务平台与BOSS系统的接口；

接口5：MAS服务器与BOSS系统的接口。

6. 业务流程

本章所描述流程原则上由行业应用网关提供通信能力，包括短信，彩信、USSD、WAP等。现阶段，对于行业网关不具备的通信能力，暂由相关网元实现。

6.1. EC业务受理

图6-1 业务受理流程

流程描述：

1 EC的业务受理申请文件上传给BOSS系统；

2 BOSS受理业务，并进行MAS资源管理和调度

3 BOSS系统将业务订购关系发送给行业网关M模块

4 行业网关返回成功处理响应给BOSS

5 BOSS将MASID、密码及集团客户基本信息同步给MAS统一服务平台

6 BOSS将业务订购关系同步给MAS统一服务平台

7 BOSS返回处理响应。

6.2. EC业务成员的变更

以下流程基于EC已在BOSS开户的前提。

图6-2 EC业务成员变更流程

1 EC的业务成员变更信息同步到BOSS系统，EC可以直接将业务成员变更信息发送到BOSS，或者在MAS服务器上生成业务签约信息文件，由MAS服务器代替EC进行业务变更信息同步；

2 BOSS更改业务签约信息；

3 BOSS系统将更改后的业务订购关系发送给行业网关M模块

4 行业网关M模块返回成功处理响应给BOSS

5 BOSS返回处理响应，根据业务受理申请文件的来源，将响应返回给EC或MAS服务器

6.3. MAS服务器注册

在MAS服务器启动时，需要到MAS统一服务平台进行注册方可使用。

图6-3 MAS服务器注册流程

流程描述：

1 集团客户MAS服务器以BOSS分配的MASID、密码向MAS统一服务平台发起注册请求，在注册请求中携带MAS服务器的硬件信息（MAC地址）；

2 MAS统一服务平台对MASID、密码进行匹配；

3 MAS统一服务平台向MAS服务器返回注册响应。

具体的注册消息格式以及处理过程参见《MAS服务器设备规范》和《MAS系统接口规范》。

6.4. MAS服务器认证鉴权

MAS服务器注册成功后，以规定的时间间隔向MAS统一服务平台周期性地进行认证鉴权。只有通过鉴权的MAS服务器才能够正常使用业务，在MAS统一服务平台返回的响应中，包含MAS服务器可支持的业务和可使用的通信能力。MAS服务器根据业务能力许可，进行业务能力控制。

图6-4 MAS服务器认证与鉴权流程

流程描述：

1 在MAS服务器注册成功后，以规定的时间间隔向MAS统一服务平台周期性地进行认证和鉴权，在认证鉴权请求中包含MASID、密码以及相关硬件信息；

2 MAS统一服务平台根据MAS服务器硬件信息、MASID、密码等对MAS服务器进行鉴权；

3 鉴权后，MAS统一服务平台向MAS服务器返回鉴权结果及业务能力许可信息。

具体的认证鉴权消息格式以及处理参见《MAS服务器设备规范》和《MAS系统接口规范》。

经过上述的业务受理、MAS服务器注册、MAS服务器认证鉴权流程后，与集团客户相关的业务订购信息在BOSS、行业网关、MAS统一服务平台、MAS服务器中得到同步。

6.5. MT短信业务流程

图6-5 MT短信业务流程

流程描述：

1 EC应用系统向MAS服务器提交发送短信的请求

2 MAS服务器根据认证鉴权过程中从MAS统一服务平台获取的业务能力许可信息，判断对该EC应用具备短信通信能力，将短信转发给行业网关A模块

3 IAGW-A向IAGW-M发起鉴权请求，包括EC用户鉴权、业务鉴权和订购关系鉴权

4 IAGW-M根据从BOSS获取的业务订购关系，返回鉴权结果

5 如果鉴权成功，IAGW-A将短信下发给终端用户

6 用户向IAGW-A返回状态报告

7 IAGW-A向MAS服务器发送状态报告

8 MAS服务器记录消息状态

9 EC应用在后续过程中，可能需要获取消息的发送状态，向MAS服务器发起查询；MAS服务器也可主动向EC返回状态报告，此时本步骤省略

10 MAS服务器向EC返回相关状态报告。

6.6. MT彩信业务流程

图6-6 MT彩信业务流程

流程描述

1 EC应用系统向MAS服务器提交发送彩信的请求

2 MAS服务器根据认证鉴权过程中从MAS统一服务平台获取的业务能力许可信息，判断对该EC应用具备彩信通信能力，将彩信转发给行业网关A模块

3 IAGW-A向IAGW-M发起鉴权请求，包括EC用户鉴权、业务鉴权和订购关系鉴权

4 IAGW-M根据从BOSS获取的业务订购关系，返回鉴权结果

5 如果鉴权成功，IAGW-A将彩信转发给MMSC

6 MMSC将彩信发送给终端用户

7 用户向MMSC返回状态报告

8 MMSC向IAGW-A返回状态报告

9 IAGW-A向MAS服务器发送状态报告

10 MAS服务器记录消息状态

11 EC应用在后续过程中，可能需要获取消息的发送状态，向MAS服务器发起查询；MAS服务器也可主动向EC返回状态报告，此时本步骤省略

12 MAS服务器向EC返回相关状态报告。

6.7. MO短信/彩信业务流程

图6-7 MO短信/彩信业务流程

流程描述

1 用户发送短信/彩信给IAGW-A

2 IAGW-A向IAGW-M发送鉴权请求

3 IAGW-M向IAGW-A返回鉴权结果

4 如果消息鉴权成功，该消息将被转发给MAS服务器

5 MAS服务器向行业网关返回状态报告

6 MAS服务器向集团客户应用转发该消息

7 集团客户应用根据内部业务逻辑处理该消息

7. 编码原则

参照行业网关规范中关于业务代码的编码规则定义。

8. 网管功能

MAS服务器通过网管接口与管理系统连接，管理系统对MAS服务器提供远程操作管理的功能。通过可视化的人机交互界面，系统管理人员和系统维护人员可对MAS系统进行集中的操作和管理。MAS服务器支持灵活的管理策略，可以设置管理系统的IP地址，以及是否向管理系统上报告警信息。

8.1. 配置管理

MAS服务器管理：包括增加/删除、设置、浏览MAS服务器配置信息（基本配置信息、软件配置信息、硬件配置信息），浏览修改MAS服务器应用配置信息等。

MAS服务器组管理：每个MAS服务器都有所属的MAS服务器组，系统管理员可以根据MAS服务器的位置、类型、服务对象对MAS服务器进行分组管理，主要管理功能包括增加\\删除\\更改自定义组、分配组权限（即管理和操作权限）、查看MAS服务器组详细信息、增加\\删除组下面的MAS服务器等操作。

8.2. 性能管理

对MAS服务器设备性能数据、业务性能数据进行收集统计，为相关部门决策和分析提供数据支持。

管理系统可以自定义采集周期收集MAS服务器业务性能统计数据，进行准实时的业务性能数据查看、历史业务性能统计数据查看、报表输出等。

8.3. 故障管理

系统管理员可以通过管理系统对MAS服务器发出的告警进行管理，包括：当前告警管理、历史告警管理、告警屏蔽、告警数据通知等功能。

1、 当前告警管理

当前告警是指没有确认和恢复的告警。管理员可以通过管理系统对MAS服务器发出的告警进行管理，提供告警浏览、查询、统计等操作，并对告警进行确认或恢复操作。告警浏览支持翻页、排序功能，每页显示的记录数可在配置文件中设置，默认按产生时间降序排列，支持按MAS服务器的设备名称、发生时间、告警类型进行自定义排序。

2、 历史告警管理

历史告警是指已经被确认并已恢复的告警。提供历史告警浏览、查询、统计等操作，告警浏览支持翻页、排序功能，支持按设备名称、发生时间等进行自定义排序。

3、 告警屏蔽

可根据预先设定的屏蔽规则屏蔽一定级别的告警信息，但不能屏蔽重大告警信息。

4、 告警数据通知

系统管理员可以设定告警信息的通知方式，包括声、光、短信等。系统可以自动将告警信息通过短信、邮件等方式通知集团客户MAS服务器维护人员。

8.4. 安全管理

MAS系统支持分级权限管理，系统可以对访问设备资源的用户进行分角色、分级别的权限管理。对于针对MAS服务器的安全入侵行为，要能够生成事件告警，并上报给管理系统。系统管理员可强制注销在线的MAS服务器。

8.5. 升级维护

在MAS统一服务平台上提供特定MAS服务器与升级补丁对应列表，MAS统一服务平台能够根据列表上载最新的升级补丁，并自动向相应的MAS服务器发布最新的升级补丁信息，企业MAS服务器管理员根据升级补丁信息可以登录MAS统一服务平台下载升级补丁并升级MAS服务器。

系统管理员可通过MAS统一服务平台控制MAS服务器的关机、重新启动等维护操作。

8.6. 日志管理

MAS服务器定期主动向MAS统一服务平台上报日志，系统管理员可以对日志进行分析统计和管理，以便于迅速定位、解决问题。

8.7. QOS管理 QOS管理包括三个方面：

1） MAS服务器与MAS统一服务平台、集团客户应用系统、行业应用网关的连接通断状态；

2） 业务处理成功率；

3） 业务处理时延。

上述信息从MAS服务器及相关通信网元获取，管理系统根据获取的信息处理后得到为集团客户服务的QOS指标。

9. 计费结算 9.1. 计费类型

MAS业务的计费类型包括功能费和通信费。

1、功能费：

n 定义：为集团客户及其个人用户开通某种应用服务的权限时，向其收取功能费。

n 计费方式：包月或按次。

2、通信费：

n 定义：用户使用移动公司提供的通信服务，需要缴纳通信费，如：短信、彩信等。

n 计费方式：按用户使用通信服务的业务量进行计费。

9.2. 计费采集点

用户使用MAS业务的功能费在BOSS产生，通信费仍然在原有各计费采集点产生。

10.3 结算

MAS业务的结算由BOSS负责，具体结算模式参考MAS业务商务模式。

通信费结算参考现有结算模式。

10. 接口要求

MAS系统接口示意图如下：

MAS系统

集团客户应用系统

MAS服务器

IAGW-A及其它通信网元 BOSS IF3 IF2 IF5 IF44

MAS统一服务平台 IF1

图10-1 MAS系统接口示意图

其中，

IF1 -- MAS服务器与集团客户应用系统的接口

IF2 -- MAS服务器与行业应用网关A模块及其它通信网元的接口

IF3 – MAS服务器与MAS统一服务平台的接口

IF4 -- MAS统一服务平台与BOSS系统的接口

IF5 – MAS服务器与BOSS系统的接口

10.1. 接口1：MAS服务器与集团客户应用系统的接口

MAS服务器提供与集团客户应用系统进行通讯的接口。集团客户应用系统通过此接口可以获得移动通讯能力，从而实现应用系统的移动信息化，使终端用户能使用集团客户应用系统。

具体详见《移动代理服务器（MAS）系统接口规范v1.1.0》接口1部分。

10.2. 接口2：MAS服务器与行业应用网关A模块及其它通信网元的接口

MAS服务器提供与行业应用网关A模块或其它通信网元进行通讯的接口，须支持以下接口类型：

l CMPP接口，支持集团客户SMS业务功能接入。支持中国移动CMPP2.0和CMPP3.0短消息接入协议。

l MM7接口，支持集团客户MMS业务功能接入，支持中国移动MM7 VAS彩信接入协议。

l 通过UAP接口，支持集团客户USSD业务功能的接入；

l 通过Le接口，支持与LSP之间交互，实现定位功能；

l 通过CMPOP/CMSMTP，实现与终端之间的邮件收发；

其他接口，对于行业应用网关不能提供的通信能力，参见相关通信协议。

目前阶段，MAS服务器与行业应用网关之间的接口还实现QOS管理功能，实现对连通性、成功率和时延等服务质量的管理。

10.3. 接口3：MAS服务器与MAS统一服务平台的接口

MAS统一服务平台与MAS服务器之间的接口支持注册和认证鉴权功能，并可根据业务需求开通网管功能。

网管功能包括：升级维护、日志管理、配置管理、性能管理、故障管理、安全管理等功能。

具体详见《移动代理服务器（MAS）系统接口规范v1.1.0》接口3部分。

10.4. 接口4：MAS统一服务平台与BOSS的接口 当EC在BOSS订购应用业务、或者订购的应用业务到期及变更时，BOSS会将EC在BOSS的应用订购关系同步给MAS统一服务平台。

此外，MAS服务平台接受BOSS网关的统一管理。

接口详细定义参见BOSS系统相关规范。

10.5. 接口5：MAS服务器与BOSS系统的接口

用于MAS服务器向BOSS系统同步EC的业务签约信息，并发送日对帐文件，或者当个人用户通过短信主动发起加入业务白名单/退出黑名单时，MAS服务器向BOSS同步更新后的黑/白名单信息。

详见《省BOSS与EC行业应用签约信息文件接口》。

11. 业务统计

MAS统一服务平台必须提供按时间段、业务类型、集团客户等不同维度的业务统计功能。

11.1. 统计功能要求

1、 支持参数化报表生成，提供一种参数化生成报表的描述方式。

2、 统计报表支持柱状图、折线图和饼图，在统计报表中可选。统计报表中至少需要呈现统计数据，柱状图、折线图和饼图作为备选图。并表明统计说明和图例。

3、 支持保存功能，可以保存为HTML格式。

11.2. 统计报表数据要求

在统计分析时，MAS统一服务平台定期形成日、周、月、年报表，每种类型的报表包括以下类别的报表：

1、 MAS业务报表

集团客户总数、应用业务总数、新增应用业务数、通信业务（短信、WAP等）的业务量（上行条数、下行条数）、集团客户应用业务成员数等。

2、 故障报表

故障种类、故障原因、故障级别、故障数量等。

12. 网络安全

网络安全问题分布在不同的层次和不同的方面，要保证整个系统的网络安全，不能单独的采用某种安全措施，必须综合各种安全措施，以保证本系统满足SOX方案审计要求。

12.1. 物理安全

1、 MAS服务器要求放置在企业现有网络域的DMZ（隔离区）区， MAS服务器物理系统的安全控制符合企业对应用系统的规范要求；

2、 MAS统一服务平台放在中国移动自有的机房，符合机房相关设备的物理安全要求；

12.2. 网络安全

12.2.1. MAS服务器网络安全

1、 MAS服务器满足防病毒，防网络攻击要求；

2、 MAS服务器应满足所在企业对应用系统的网络安全要求；

12.2.2. MAS统一服务平台网络安全

网络安全方面应当支持访问控制、安全检测、攻击监控、操作审计等一系列安全功能，应提供完整的网络安全监控、报警和故障处理功能。

1、 网络应具备一定的冗余能力， 带有关键性业务应用的网络链路应实现冗余，当出现故障时应支持自动路由切换。

2、 网络应当划分合理的安全区域，如INTERNET区、业务功能区、数据库区、外部系统区等，并针对每个安全区域制定合理的访问控制策略，进行IP地址限制及端口限制。

3、 网络系统和服务器系统应具有入侵检测的功能，可监控可疑的连接、非法访问等，采取的措施包括实时报警、自动阻断通信连接或执行用户自定义的安全策略。 4、 网络和服务器系统应能定期检查安全漏洞及病毒，根据扫描的结果更正网络安全漏洞和系统中的错误配置；

5、 使用加密技术对在互联网上传输的重要数据进行加密；

6、 进行远程维护（管理）时应

1） 通过VPN、令牌等方式进行接入认证。

2） 维护（管理）操作数据流应经过加密，禁止明文传输。 3） 远程维护（管理）操作须接入第三方独立的审计系统进行审计，对操作内容进行存储。

12.2.3. 数据传输安全

MAS服务器通过VPDN方式连接到行业网关和MAS统一服务平台等设备，从IP链路上保证数据传输的安全。MAS服务器应提供稳定的VPN连接能力。

12.3. 系统安全

1、 系统应关闭不必要的服务，不安装不必要的软件。

2、 系统应在必要并经测试验证稳定运行的基础上，安装厂商发布的最新版本安全补丁，病毒代码库等。 3、 系统应具有防病毒能力。防病毒软件应具备全面查杀病毒、病毒特征码自动更新的功能；

4、 系统应具备访问权限的识别和控制功能，对应用管理员、系统管理员、数据库管理员根据不同的应用需求提供多级密码。系统应能自动实现下列控制：

? 防猜测口令功能，例如，系统登陆时需要输入验证码，或者当口令输入错误达到一定次数系统自动将帐号锁定并告警。

? 具有验证密码复杂度功能，密码复杂度应达到：密码长度大于8位；密码是大小写字母、数字，以及特殊字符混合使用。

? 应当具有定期强制修改密码功能，强制用户每3个月进行一次密码更改工作。

5、 系统应具有完善的日志功能，能够记录系统异常情况及其他安全事件。审计日志应至少保存1年。包括：

? 应用系统日志

1) 用户的创建、删除等操作。

2) 用户登录和退出的日期和具体时间及IP地址等信息。

3) 成功的和被拒绝的系统访问活动的记录。

4) 成功的和被拒绝的数据与其他资源的访问记录。

5) 成功的和被拒绝的管理操作记录。

6) 用户操作记录。

? 数据库日志

1) 创建、修改和删除数据库用户的操作；

2) 创建、修改和删除任何数据库存储结构的操作；

3) 创建、修改和删除任何数据库对象的操作；

4) 创建、修改和删除表的操作；

5) 创建、修改和删除索引的操作；

6) 启用、关闭审计功能的操作；

7) 赋予、撤销某个账户数据库权限的操作；

8) 赋予和撤销某个角色或账户对于某个对象权限的行为；

9) 目录和数据库配置的变更；

10) 数据应该包括失败的连接；

? 操作系统日志

1) 系统登录记录。包括登录主机的IP地址、用户名、时间等；

2) 成功及失败的登陆事件；

3) 系统事件；

13. 设备要求

13.1. MAS服务器设备要求 13.1.1. 对主机设备的要求

1、 主机的处理能力要求满足的所有业务应用和一定用户规模的需求，系统设计时应考虑30%的性能冗余；

2、 内存容量的配置要考虑到主机正常运行状态下的内存利用率不应大于70%，保证系统在业务高峰时仍具有较强的抗冲击能力；

3、 主机应支持1000Mb/s或100Mb/s等高速连接接入企业局域网；

4、 主机的硬盘、网络接口、网络连接及电源均应考虑足够的冗余；

5、 支持电源、I/O设备、存储设备的热插拔；

6、 主机系统设备应具有适当的扩充能力；

7、 主机系统平均年无故障率应大于99%；

13.1.2. 对时间同步的要求

1、 MAS服务器的时钟必须与MAS统一服务平台同步。

2、 时间同步精度达到100毫秒。

3、 同步源来自MAS统一服务平台。

4、 设备具备自动在线时间校准功能及偏差告警功能。

13.2. MAS统一服务平台设备要求 13.2.1. 对主机设备的要求

1、 要求采用标准机架规格主机或主流小型机平台的主流机型，支持多处理器, 采用64位处理器； 2、 要求组成双机系统。当其中一台主机发生故障时，可将其上的应用自动地切换到备机上； 3、 双机系统中的每个主机都应同时处于工作状态，并根据配置的情况运行相同或者不同的应用（或应用模块），以保证主机资源的充分利用； 4、 主机的处理能力要求满足的所有业务应用和一定用户规模的需求，而且需考虑全部系统的开销及应用切换时的性能余量。系统设计时应考虑30%的性能冗余；

5、 内存容量的配置要考虑到主机正常运行状态下的内存利用率不应大于70%，保证系统在业务高峰时仍具有较强的抗冲击能力；

6、 主机应支持1000Mb/s或100Mb/s等高速连接接入企业核心局域网；

7、 主机的硬盘、网络接口、网络连接及电源均应考虑足够的冗余；

8、 支持电源、I/O设备、存储设备的热插拔；

9、 主机系统设备应具有适当的扩充能力，包括CPU的扩充、内存容量的扩充及I/O能力的扩充等；并可支持CPU模块的升级和群集内节点数的平滑扩充；

10、 主机系统平均年无故障率应大于99.99%。

13.2.2. 对存储设备的要求

存储设备主要指磁盘阵列，实现数据的联机存储。

1、 磁盘阵列设备要求有很高的安全可靠性；

2、 磁盘阵列设备应可与多种厂家的主机系统相连；

3、 磁盘阵列应能配合多机高可用群集系统的需要； 4、 磁盘阵列采用ULTRA SCSI 接口或FC-AL接口，并可提供多通道、双电源及冗余风扇；

5、 磁盘阵列设备应具有较强的平滑扩充能力，包括系统存储容量的扩充及I/O能力的扩充等；

6、 磁盘阵列应支持先进的存储、备份方式。

13.2.3. 对备份设备的要求

备份设备一般指磁带等，主要用于数据的脱机备份。

1、 备份设备要求有良好的安全可靠性；

2、 备份设备可与多种厂家的主机系统相连；

3、 磁带库要求支持ULTRA SCSI 或SCSI-2或FWD SCSI或FC-AL接口。大型的磁带库设备要求提供冗余的数据接口和机械手设备；

4、 备份设备应具有较强的平滑扩充能力，包括系统设备容量的扩充及I/O能力的扩充等；

5、 应支持先进的存储、备份方式。

13.2.4. 对时间同步的要求

1、 时间同步精度达到100毫秒。

2、 同步的源来自中国移动时间同步网。

3、 设备具备自动在线时间校准功能及偏差告警功能

14. 编制历史 版本号 更新时间

主要内容或重大修改 1.0.0

2006－09－11 1.0.0版本 2.0.0

2007－11－20

对应新MAS架构修订

本文来源：https://www.bwwdw.com/article/dqh3.html