图10-1 MAS系统接口示意图
其中,
IF1 -- MAS服务器与集团客户应用系统的接口
IF2 -- MAS服务器与行业应用网关A模块及其它通信网元的接口
IF3 – MAS服务器与MAS统一服务平台的接口
IF4 -- MAS统一服务平台与BOSS系统的接口
IF5 – MAS服务器与BOSS系统的接口
10.1. 接口1:MAS服务器与集团客户应用系统的接口
MAS服务器提供与集团客户应用系统进行通讯的接口。集团客户应用系统通过此接口可以获得移动通讯能力,从而实现应用系统的移动信息化,使终端用户能使用集团客户应用系统。
具体详见《移动代理服务器(MAS)系统接口规范v1.1.0》接口1部分。
10.2. 接口2:MAS服务器与行业应用网关A模块及其它通信网元的接口
MAS服务器提供与行业应用网关A模块或其它通信网元进行通讯的接口,须支持以下接口类型:
l CMPP接口,支持集团客户SMS业务功能接入。支持中国移动CMPP2.0和CMPP3.0短消息接入协议。
l MM7接口,支持集团客户MMS业务功能接入,支持中国移动MM7 VAS彩信接入协议。
l 通过UAP接口,支持集团客户USSD业务功能的接入;
l 通过Le接口,支持与LSP之间交互,实现定位功能;
l 通过CMPOP/CMSMTP,实现与终端之间的邮件收发;
其他接口,对于行业应用网关不能提供的通信能力,参见相关通信协议。
目前阶段,MAS服务器与行业应用网关之间的接口还实现QOS管理功能,实现对连通性、成功率和时延等服务质量的管理。
10.3. 接口3:MAS服务器与MAS统一服务平台的接口
MAS统一服务平台与MAS服务器之间的接口支持注册和认证鉴权功能,并可根据业务需求开通网管功能。
网管功能包括:升级维护、日志管理、配置管理、性能管理、故障管理、安全管理等功能。
具体详见《移动代理服务器(MAS)系统接口规范v1.1.0》接口3部分。
10.4. 接口4:MAS统一服务平台与BOSS的接口 当EC在BOSS订购应用业务、或者订购的应用业务到期及变更时,BOSS会将EC在BOSS的应用订购关系同步给MAS统一服务平台。
此外,MAS服务平台接受BOSS网关的统一管理。
接口详细定义参见BOSS系统相关规范。
10.5. 接口5:MAS服务器与BOSS系统的接口
用于MAS服务器向BOSS系统同步EC的业务签约信息,并发送日对帐文件,或者当个人用户通过短信主动发起加入业务白名单/退出黑名单时,MAS服务器向BOSS同步更新后的黑/白名单信息。
详见《省BOSS与EC行业应用签约信息文件接口》。
11. 业务统计
MAS统一服务平台必须提供按时间段、业务类型、集团客户等不同维度的业务统计功能。
11.1. 统计功能要求
1、 支持参数化报表生成,提供一种参数化生成报表的描述方式。
2、 统计报表支持柱状图、折线图和饼图,在统计报表中可选。统计报表中至少需要呈现统计数据,柱状图、折线图和饼图作为备选图。并表明统计说明和图例。
3、 支持保存功能,可以保存为HTML格式。
11.2. 统计报表数据要求
在统计分析时,MAS统一服务平台定期形成日、周、月、年报表,每种类型的报表包括以下类别的报表:
1、 MAS业务报表
集团客户总数、应用业务总数、新增应用业务数、通信业务(短信、WAP等)的业务量(上行条数、下行条数)、集团客户应用业务成员数等。
2、 故障报表
故障种类、故障原因、故障级别、故障数量等。
12. 网络安全
网络安全问题分布在不同的层次和不同的方面,要保证整个系统的网络安全,不能单独的采用某种安全措施,必须综合各种安全措施,以保证本系统满足SOX方案审计要求。
12.1. 物理安全
1、 MAS服务器要求放置在企业现有网络域的DMZ(隔离区)区, MAS服务器物理系统的安全控制符合企业对应用系统的规范要求;
2、 MAS统一服务平台放在中国移动自有的机房,符合机房相关设备的物理安全要求;
12.2. 网络安全
12.2.1. MAS服务器网络安全
1、 MAS服务器满足防病毒,防网络攻击要求;
2、 MAS服务器应满足所在企业对应用系统的网络安全要求;
12.2.2. MAS统一服务平台网络安全
网络安全方面应当支持访问控制、安全检测、攻击监控、操作审计等一系列安全功能,应提供完整的网络安全监控、报警和故障处理功能。
1、 网络应具备一定的冗余能力, 带有关键性业务应用的网络链路应实现冗余,当出现故障时应支持自动路由切换。
2、 网络应当划分合理的安全区域,如INTERNET区、业务功能区、数据库区、外部系统区等,并针对每个安全区域制定合理的访问控制策略,进行IP地址限制及端口限制。
3、 网络系统和服务器系统应具有入侵检测的功能,可监控可疑的连接、非法访问等,采取的措施包括实时报警、自动阻断通信连接或执行用户自定义的安全策略。 4、 网络和服务器系统应能定期检查安全漏洞及病毒,根据扫描的结果更正网络安全漏洞和系统中的错误配置;
5、 使用加密技术对在互联网上传输的重要数据进行加密;
6、 进行远程维护(管理)时应
1) 通过VPN、令牌等方式进行接入认证。
2) 维护(管理)操作数据流应经过加密,禁止明文传输。 3) 远程维护(管理)操作须接入第三方独立的审计系统进行审计,对操作内容进行存储。
12.2.3. 数据传输安全
MAS服务器通过VPDN方式连接到行业网关和MAS统一服务平台等设备,从IP链路上保证数据传输的安全。MAS服务器应提供稳定的VPN连接能力。
12.3. 系统安全
1、 系统应关闭不必要的服务,不安装不必要的软件。
2、 系统应在必要并经测试验证稳定运行的基础上,安装厂商发布的最新版本安全补丁,病毒代码库等。 3、 系统应具有防病毒能力。防病毒软件应具备全面查杀病毒、病毒特征码自动更新的功能;
4、 系统应具备访问权限的识别和控制功能,对应用管理员、系统管理员、数据库管理员根据不同的应用需求提供多级密码。系统应能自动实现下列控制:
? 防猜测口令功能,例如,系统登陆时需要输入验证码,或者当口令输入错误达到一定次数系统自动将帐号锁定并告警。
? 具有验证密码复杂度功能,密码复杂度应达到:密码长度大于8位;密码是大小写字母、数字,以及特殊字符混合使用。
? 应当具有定期强制修改密码功能,强制用户每3个月进行一次密码更改工作。
5、 系统应具有完善的日志功能,能够记录系统异常情况及其他安全事件。审计日志应至少保存1年。包括:
? 应用系统日志
1) 用户的创建、删除等操作。
2) 用户登录和退出的日期和具体时间及IP地址等信息。
3) 成功的和被拒绝的系统访问活动的记录。
4) 成功的和被拒绝的数据与其他资源的访问记录。
5) 成功的和被拒绝的管理操作记录。
6) 用户操作记录。
? 数据库日志
1) 创建、修改和删除数据库用户的操作;
2) 创建、修改和删除任何数据库存储结构的操作;
3) 创建、修改和删除任何数据库对象的操作;
4) 创建、修改和删除表的操作;
5) 创建、修改和删除索引的操作;
6) 启用、关闭审计功能的操作;
7) 赋予、撤销某个账户数据库权限的操作;
8) 赋予和撤销某个角色或账户对于某个对象权限的行为;
9) 目录和数据库配置的变更;
10) 数据应该包括失败的连接;
? 操作系统日志
1) 系统登录记录。包括登录主机的IP地址、用户名、时间等;
2) 成功及失败的登陆事件;
3) 系统事件;
13. 设备要求
13.1. MAS服务器设备要求 13.1.1. 对主机设备的要求
1、 主机的处理能力要求满足的所有业务应用和一定用户规模的需求,系统设计时应考虑30%的性能冗余;
2、 内存容量的配置要考虑到主机正常运行状态下的内存利用率不应大于70%,保证系统在业务高峰时仍具有较强的抗冲击能力;
3、 主机应支持1000Mb/s或100Mb/s等高速连接接入企业局域网;
4、 主机的硬盘、网络接口、网络连接及电源均应考虑足够的冗余;
5、 支持电源、I/O设备、存储设备的热插拔;
6、 主机系统设备应具有适当的扩充能力;