QB-╳╳-╳╳╳-╳╳╳╳
未命中数量 Number of 缓存中的HTTP请求未命cached HTTP 中的数量 miss Bandwidth Usage Ratio 系统出口带宽利用率情况,显示系统网络层面资源占用情况。 整型 — O R 出口带宽利用情况 请求处理的平均时间 整型 % M R Average 每个对象请求处理的平request 均时间 handling time per object 整型 ms M R
(2) 重定向设备性能管理
表14-8 重定向设备性能指标组
中文名称 DNS重定向报文回复时间 HTTP重定向报文回复时间 DNS解析请求总数 HTTP请求总数 GET请求总数 客户端发送数据包数 客户端发送字节数 发送至客户端数据包数 发送至客户端字节数 最大客户端连接数 当前客户端连接数
英文名称 DNS Redireciton time HTTP Redireciton time sysDNSStatNumberReqs HttpProfileStatNumberReqs HttpProfileStatGetReqs sysStatClientPktsIn sysStatClientBytesIn sysStatClientPktsOut sysStatClientBytesOut sysStatClientMaxConns sysStatClientCurConns 说明 数据类型 单位 ms 可选 限定 M 操作 限定 R 从系统接收到DNS请求整型 报文到回复重定向DNS报文的时间。 从系统接收到HTTP请整型 求报文到回复重定向HTTP 302报文的时间。 DNS解析请求总数 整型 HTTP请求总数 HTTP GET请求总数 系统从客户端接收的包数 系统从客户端接收的字节数 系统发送给客户端数据包数 系统发送给客户端字节数 系统最大客户端连接数 当前连接系统的客户端数 整型 整型 ms M R —— —— —— O O O R R R R R R R R R 整型 —— 整型 —— 整型 —— 整型 —— 整型 —— 整型 —— O O O O O O 37
QB-╳╳-╳╳╳-╳╳╳╳
14.3.3.
业务数据信息
业务数据信息的采集中期应支持灵活设置,建议设置为1小时以上。
表14-9 业务指标指标组
中文名称 缓存增益比 英文名称 说明 数据类型 整型 单位 可选 限定 操作 限定 R The gain of web cache贡献流量(出cache 向)与web cache抓取流量(入向)的比值;用于衡量web cache系统缓存能力的大小。 Cache Saving 当前缓存出流量和入流量的差值,用以衡量当前Cache的绝对服务性能 用户访问在Web Cache缓存系统直接命中的数值 整型 M 缓存节省流量 缓存访问命中率 缓存有效域名数量 整型 MB M R Cache Hitrate 整型 整型 % — M M R R Number of WebCache已缓存的网站valid domain 域名数量 names 15 安全要求
15.1. 网络安全性要求
? 与Internet互联,需将系统的网络安全从以下两个方面考虑:
? 网络应当划分合理的安全区域,如INTERNET区、业务功能区、操作维护区等,
并针对每个安全区域制定合理的访问控制策略,进行IP地址限制及端口限制。具体可参考《中国移动数据业务系统安全域划分边界整合及安全防护技术要求》;
? 与其它网络系统的连接需设置防火墙,并定义完备的安全配置策略进行隔离。 ? 网络应具备一定的冗余能力,带有关键性业务应用的网络链路应实现冗余,当
出现故障时应支持自动路由切换。
38
QB-╳╳-╳╳╳-╳╳╳╳
? 建立完善的外部专用防护手段,根据应用来考虑选择防火墙系统、入侵检测系
统、病毒防范系统、账号口令集中管理、第三方的日志审计、远程接入管理、防拒绝服务攻击、网页防篡改等。
? 系统之间以及和外部系统之间的连接采用特定的认证和访问控制鉴权方案; ? 能够完善的考虑各种业务流程的合理性,在符合已有的支撑网元的相关流程的同
时,不要存在其它安全问题(如由于流程考虑不周全或者逻辑顺序不符合要求引入业务漏洞等);
? 业务系统需使用加密技术对在互联网上传输的重要数据进行加密,并必须采取定期
备份或作数据容灾备份等措施来保证数据的安全;
? 业务系统应满足SOX相关安全规定及集团公司相关的安全规定。 15.2.
运维安全性要求
? 严格按照《中国移动帐号口令管理办法》管理系统的帐号、口令。
? 系统通过网管网支持与4A平台的接口,完成Cache系统运营维护过程中账号管理、
认证管理、授权管理和安全审计的数据交互功能。Cache系统与省4A平台之间支持的接口协议包括但不限于:FTP、Telnet、Socket等。
? 网络和服务器系统应能定期检查安全漏洞及病毒,根据扫描的结果更正网络安全漏
洞和系统中的错误配置; ? 进行远程维护(管理)时应
? 通过VPN、令牌等方式进行接入认证。
? 维护(管理)操作数据流应经过加密,禁止明文传输。
系统应具有完善的日志功能,能够记录系统异常情况及其它安全事件。审计日志应至少保存3个月。包括:
? 应用系统日志
- - - -
用户的创建、删除等操作。
用户登录和退出的日期和具体时间及IP地址等信息。 成功的和被拒绝的系统访问活动的记录。 成功的和被拒绝的数据与其它资源的访问记录。
39
QB-╳╳-╳╳╳-╳╳╳╳
- -
成功的和被拒绝的管理操作记录。 用户操作记录。
? 数据库日志
- - - - - - - - - -
创建、修改和删除数据库用户的操作; 创建、修改和删除任何数据库存储结构的操作; 创建、修改和删除任何数据库对象的操作; 创建、修改和删除表的操作; 创建、修改和删除索引的操作; 启用、关闭审计功能的操作;
赋予、撤销某个账户数据库权限的操作;
赋予和撤销某个角色或账户对于某个对象权限的行为; 目录和数据库配置的变更; 数据应该包括失败的连接;
? 操作系统日志
- -
系统登录记录。包括登录主机的IP地址、用户名、时间等; 成功及失败的登陆事件。
15.3. 设备安全性要求
WebCache系统支持接入防火墙系统、入侵检测系统、病毒防范系统、账号口令集中管理、第三方的日志审计、远程接入管理、防拒绝服务攻击、入侵检测、病毒防护等外部系统,共同建立完善的防护手段,具备如下防护功能:
? 具有入侵检测的功能,监控可疑的连接、非法访问等,采取的措施包括实时报警、
自动阻断通信连接或执行用户自定义的安全策略;
? 具有漏洞扫描功能,提供侧重于―事前阶段‖的全自动安全风险评估功能。并定期提
交风险评估报告和相应的整改措施,将网络系统的运行风险降至最低;负载均衡设备的操作系统需要专业定制化,不应具有通用操作系统的安全漏洞;
? 具备防病毒功能,系统应该提供防病毒软件提供病毒预防,查杀病毒功能,并且在
开机时,自动防护应该常驻在系统内存,当从磁盘、网络等处读取文件时,防病毒工具会自动侦测文件的安全性,若文件内含病毒,会立即警告,并作适当的处理。
40
QB-╳╳-╳╳╳-╳╳╳╳
同时还应该提供在线和自动升级功能,可自动下载最新的病毒码,并在下载完后自动完成病毒码安装更新;设备应具有访问控制的功能,对用户或操作维护人员的访问及相关权限具有管理机制;设备应支持《中国移动安全功能和配置规范》; ? 支持简易安全网关功能,防止SQL注入、Cookie修改、强制浏览等攻击;负载均衡
设备支持通过检测网络五元组(协议类型、源地址、目的地址,源端口、目的端口)对数据包进行过滤,屏蔽掉恶意URL,满足用户绿色上网的需求;负载均衡设备在网络层应提供安全防护,能够抵御DoS攻击和SYN Flood攻击。
? 设备关键硬件的配置,应全部为双备份,或有适当冗余,系统应能自动控制倒换; ? 设备应具有安全保密机制,关键数据(如管理员密码等)应加密传输和存储; ? 设备应具有防止篡改和差错校验机制,重要数据都应有健全的校验机制; ? 当对设备操作系统或应用系统的安全漏洞进行补丁加载时,应尽量不影响设备正常
的工作;
? 当有非法访问或系统安全性受到破坏时必须告警。
? 缓存系统软件进程应支持异常保护机制,异常停止后应能自动启动。
? 用户必须通过WebCache系统调度才可访问缓存服务器的资源,而无法直接通过
URL对缓存资源进行访问,避免cache系统成为Open Proxy,或者被迅雷等客户端记忆发布成为全网服务源,造成带宽和系统性能的浪费。
16 编制历史
版本号 1.0.0 1.1.0 更新时间 2010-03-28 2013-06-04 2013-07-09 主要内容或重大修改 完成1.0.0版本 根据全网集采需求进行修订 根据各部门反馈意见修订
41