江苏省公众多媒体网络扩容升级项目技术建议书 75页

'江苏省公众多媒体网络扩容升级项目技术建议书 目录第1章.系统设计目标41.1系统背景41.2方案整体结构4第2章.网络整体结构设计62.1设计思想与设计原则62.2广域网拓扑结构62.3与骨干网的互连72.4路由策略与流量管理82.5地址分配102.6域名系统132.7NTPSERVER的设置15第3章.节点网络结构设计163.1省网管中心163.2省中心节点局域网设计173.3南京节点局域网设计183.4苏南节点局域网设计203.5苏中节点局域网设计223.6苏北节点局域网设计24第4章.网络管理中心264.1网络管理的具体实现264.2网络管理功能实现284.3系统资源性能管理294.4资产管理功能实现304.5安全管理功能实现304.6故障管理功能实现314.7用户管理功能实现32第5章.CINMS业务管理体系335.1CINMS总体介绍335.2江苏业务管理系统结构34 5.3认证授权355.4用户管理375.5信息源管理435.6认证授权管理445.7计费结算485.8资费系统505.9业务统计55第6章.网络安全监测中心57第7章.多业务互联657.1与声讯信息服务系统互联657.2与其他网络互联69 第1章.系统设计目标1.1系统背景此次系统扩容工程作为163网和169网的全面的扩容工程，将对省内163网和169网进行全面的扩容升级。包括：网络拓扑的优化，网络骨干的扩容，节点局域网的升级，主机设备的扩容升级，业务应用系统的扩容。达到优化网络结构，提高网络访问速度的目的。163网和169网作为省内提供信息服务的两大网络，在省内将增加网络骨干的带宽，使苏南节点将达到50M的带宽，其中使用一条34M的ATMPVC线路，8条2M线路，并具有将骨干的带宽扩展到ATM155M的能力。苏中、苏北节点骨干带宽达到16M，并具有向ATM155M的扩展能力。整个网络的拓扑结构采用以南京为中心的星型拓扑结构，每个节点采用多条线路与中心相连，保证不会因单条线路的失效而导致整个节点的服务中断。各节点的局域网局域网骨干采用具有第三层交换功能的以太网交换机，交换机具有10/100M自适应端口，并具有1000M以太网端口。各主要服务器以100M速率连接到交换机上，提高局域网的性能。扩容后，采用统一的用户管理和计费结算管理系统，使省网与国家163网和国家169网有机的结合在一起，可以进行169网的全国漫游和进行163网的全国漫游，同时也可进行与其它省份的计费结算。1.2方案整体结构本建议书针对江苏省公众多媒体网的扩容升级工程，详细阐述了在扩容升级中需要解决的技术问题和事实策略，并对扩容升级后的业务应用方面提出建议。在网络平台扩容升级的基础上，为充分发挥新平台的优势，提出更好的管理网络平台，保证系统的安全运营，提出了两个管理中心，即网络管理中心和业务管理中心。本建议书共分七章，重点对网络平台建设，网络管理，业务管理，网络安全，多业务互联，。第一章：系统设计目标。概要阐述了扩容升级的实现目标。第二章：系统网络设计。详细叙述了在网络平台的扩容升级中的广域网网络拓扑结构，域名系统的解决方案第三章：各节点的局域网设计方案和以及各局域网中虚拟网络的划分问题。第四章：网络管理中心。详细叙述了网络管理的几个重要方面及解决方案。第五章：业务管理中心。主要介绍公司的CINMS产品，以及在江苏省公众多媒体网业务管理功能方面的实现。第六章：网络安全监测中心。网络的安全是网络运营中的重要方面。在本章中重点介绍了在系统安全和管理方面的解决方案。 第七章：多业务网络互联。本章重点介绍了在与现有网络，尤其是与160，168网的互联方案，并就互联后提出了新的业务应用。 第1章.网络整体结构设计我们借鉴国内外大型ISP的成功经验，并结合江苏省网当前状况和未来发展趋势。我们提出如下设计方案。整个网络设计突出层次化、模型化、高可靠性的原则。1.1设计思想与设计原则江苏省网作为一个大型的骨干网络，从网络的伸缩及可扩张性、网络的可管理性等多个方面考虑。我们建议整个江苏省网建设，采用分层设计的原则。我们建议整个省网按二层设计的思路来进行设计。第一层，作为全网的骨干层，负责全网核心路由的交换，及与其它骨干网络互连的任务。主要包括南京。第二层，作为全网的接入层，负责省内各区域内的路由，并负责本区域层内的接入用户的互连。主要包括其余各地市节点。模块化设计.便于管理与实施，便于路由策略的制定。具体模型可参考层次化的划分，对骨干层和接入层的拓扑结构分别加以设计。由于本此工程准备把原163和169的网络平台完全统一到一个新的信息平台中去。并完全采用合法的IP地址来规划整个网络。因此本方案准备从广域网络的结构、与骨干网络互连、全网的路由策略、域名体系的规划、IP地址的划分、拨号用户类型的划分这几个需要从原方案进行改动的地方加以着重阐述。1.2广域网拓扑结构依据以上原则，江苏省公众多媒体网的网络拓扑设计为双星形结构，全省以南京作为全网核心层节点,建立全省的交换中心，其他各地市节点作为接入层，各地市节点以多种线路多种速率与省内核心层互联，其中苏州，无锡，常州节点以一条34MATMPVC线路与南京的核心层GSR相连，以2条4*E1的线路与南京核心层的7513路由器相连；镇江，扬州，南通，泰州节点以2条4*E1的线路与南京核心层的7513路由器相连。苏北节点以两条4*E1线路与南京节点核心层的7513路由器相连。南京节点同时也作为本地的接入层节点。具体拓扑如下 为保证网络的高可靠性，排除单故障点，各地市节点均配置两台以上的路由器用于省网骨干的连接，南京节点配置1台CISCOGSR12000、2台CISCO7513，4台CISCO7206路由器。其他节点各配置两台CISCO7507，省中心一台CISCO7507，网络管理中心一台CISCO7206，和一台CISCO4500。并且各市之间配置多条、多种中继。1.1与骨干网的互连与骨干网的互联指江苏省公众多媒体网与国家163骨干网的互联和国家169骨干网的互联。由于在江苏省内实行省内完全实施合法IP地址的方案，所以在与骨干网互连时要解决IP地址的流向问题。与骨干网的互连如下图所示：江苏省公众多媒体网骨干与163骨干网和169骨干网的互连在南京节点实现。省网骨干的GSR路由器和两台7513路由器通过4台7206与163骨干网和169骨干网互连。 具体连接方式为：由南京节点的两台路由器CISCO7513以快速以太网的方式上连至局域网交换机的VLAN1中。同时负责与163骨干网互连的两台CISCO7206路由器也以快速以太网的连接方式连接到局域网交换机的VLAN1上。负责与169骨干网互连的两台CISCO7206路由器，通过快速以太网的方式连接到局域网交换机的VLAN2上。在VLAN1上设置8台CISCOCACHEENGINE作为访问163骨干网和INTERNET上其它网络时，提高访问速度的网络设备。1.1路由策略与流量管理1.1.1域间路由协议江苏省公众多媒体网路由策略实施需考虑对163和169骨干网的影响由于在这次工程中，江苏省公众多媒体网完全采用合法地址,和169网络进行通信时,不通过网关设备,直接和169网内具有保留地址的服务器进行通信。因此在路由协议的实施中，江苏省公众多媒体网将把江苏省的合法地址段，广播到169骨干网之上。以保证江苏省公众多媒体网内的用户，可不通过网关设备直接访问169网络平台的信息。由此对整个169信息网造成的影响是，169核心骨干网络的路由器需要重新定义ACL控制策略，以允许江苏省的合法地址可以扩散到169网络平台上。同时各省的169路由器的ACL控制策略也需要重新定义，各省内的路由器既可采用动态路由协议将江苏省的合法地址散播到本省内，也可采用静态路由协议江苏省的合法地址段进行静态的路由指向，以保证外省169用户访问江苏省公众多媒体网，是通过169骨干网来访问，而不是通过163骨干网来访问。本此工程中，我们建议整个江苏省公众多媒体网作为一个自治域来规划。自治域号采用原有163网络分配的自治域号，这样和163骨干网互连时的改动较小。在和163骨干网以及169骨干网的边缘路由器间，采用BGP-4域间路由协议进行通信。具体实施策略如下：在南京节点的四台核心7206路由器上，分别配置BGP-4路由协议。其中两台CISCO7206负责与163骨干网的边界路由器进行通信，负责接收163网络的路由信息。在CISCO7206上需设置ACL，过滤保留地址的路由信息，并将其应用在BGP-4的通信过滤机制中，防止保留地址泄露到163骨干网上。其中两台CISCO7206负责与169骨干网的边界路由器进行通信，负责接收169网络的路由信息。在两台CISCO 7206上同样也需要设置不同的ACL，目的是过滤非江苏省内的合法地址，并将此过滤机制应用在BGP-4的通信过滤机制中，只允许属于江苏省内的合法地址交换到169骨干网络上，防止非江苏省内的合法地址泄露到169骨干网上。以免造成江苏省公众多媒体网成为163与169网络的通道。同时核心路由器（四台7206）相互做内部邻居指向，核心路由器就可通过IBGP的方式进行通信，这样通过IBGP的通信，南京节点的GSR，两台7513可从与169骨干网互连的CISCO7206获取从169骨干网络路由信息，可从与163骨干网互连的CISCO7206获取163骨干网络的路由信息。这样一来，核心路由器内均包含了163骨干网和169骨干网的路由信息，保证江苏省公众多媒体网的用户可以对整个信息网外的信息进行正常访问。1.1.1域内路由协议在江苏省公众多媒体网内，即整个自治域内，建议采用OSPF动态路由协议来完成域内路由的自动交换。具体配置策略为：整个江苏省公众多媒体网整体采用OSPF协议，对应于网络设计的两层结构，将整个路由区域也按两层结构进行划分：核心层和接入层。核心层的骨干路由器包括南京节点的GSR路由器，两台7513和于骨干互连的CISCO7206路由器，并划分到各地市的两台CISCO7507路由器，作为OSPF设计中的AREA0内，负责OSPF中的路由核心交换，将南京的两台7513和每个地市的两台CISCO7507作为负责和各区域通信的边界路由器ABR。OSPF接入层的区域划分按照节点进行，建议将每个地市节点划分为一个AREA，包括各节点的第三层交换机，专线接入路由器和各县市的路由器等。采用以上的路由策略出于以下因素：核心路由的稳定OSPF中AREA0区域作为整个域内路由的核心骨干区域，负责整个域内路由信息的交换任务。所有的非AREA0区域间若要进行访问均需要通过AREA0进行路由转发。因此为保证AREA0内的链路状态稳定，路由器的负载也保持在额定范围内，建议将核心层的骨干路由器划分到AREA0内。精简路由条目，降低路由器的CPU损耗各区域内的路由器只负责本区域内的路由信息交换，维护本区域内的路由表和路由信息库。在区域连接处ABR上，会保存有它所连接的两个区域的全部路由信息，在ABR上可通过区域间的地址统计ADDRESSSUMMARAZTION功能，将符合CIDR特性的连续地址段聚合成一个地址块，从而在核心层路由器上减少了相关的路由条目，降低路由器的CPU损耗，提高了网络的总体性能。提高了网络的可扩充性由于OSPF采用链路状态算法进行路由计算，造成每台运行OSPF的路由器都需要维护一个所有邻居的链路状态的数据库，这对路由器的内存、CPU等均有极大的损耗。因此，根据大多数网络建设的经验，一个OSPF区域最多容纳的路由器的数目在40之内。因此通过AREA的划分。确定了网络的核心层AREA0后，所有第二层的区域可任意划分，而每个区域内都可容纳20-30台路由器，从而扩展了网络规模。使网络具有良好的可扩充性。 若省内仍存在保留地址用户的情况对于169网络的某些原有专线用户,如果他们仍希望采用保留地址的方式访问169网络.对访问163网络没有要求.此时可通过在域内路由协议的设置中,把这类相关的保留IP地址广播到整个省内的路由器中,保证全省的其他合法地址用户可以访问这些保留地址的专线用户.同时在与169互联的两台7206上,把原江苏省169网的保留IP地址段,仍向169骨干网发布,以保证省内的保留地址用户可以正常出入169信息网.在与163互联的两台7206上，设置ACL,严格保证省内的保留地址不会散布到163骨干网络上.1.1.1流量管理ATMPVC和E1链路互为备份，目前采用OSPF协议的特性,对相同权值的路径采用负载均衡的方式进行流量管理.今后在CISCOIOS的新版本发布后,可实现在路由器内采用FEC和对路由器间的多条E1链路进行MultiLinkPPP捆绑的方式，来实现负载均衡的设置。在各地市节点的局域网环境中,采用局域网交换机的第三层路由交换的能力,和两台路由器之间采用OSPF动态路由协议,来完成对本地用户流量的负载均衡的能力.1.2地址分配1.2.1具体分配原则如下：全网全部采用合法IP地址。IP地址的规划原则如下：网络主干省网核心层由南京和各地市节点的骨干路由器组成，未来的网络建设会以各个地市节点的骨干层进行扩展,建立各个接入层结构。每个接入层都会连接一个或多个POP点.核心层是网络的高速连接基础结构。地址规划的基本思想通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此，核心层应象一个区域或一个节点一样，被分配一段连续的地址。更进一步，连接进某一区域的节点的IP地址范围应集中在该区域的地址范围附近。地址规划时应充分考虑CIDR和VLSM的设计思想。保证IP地址的最大利用率。1.2.2IP地址的具体分配核心层地址分配 所有属于核心层的路由设备（南京等所有地市的骨干层路由器），包括其中的广域网络IP地址互连，路由设备的端口，均按一段连续的IP地址规划。将其看作是一个单独的节点。根据实际需求和未来网络发展状况，分配4个/24地址，可提供248段网络互连的需求。接入层地址分配南京节点南京节点(包括网管中心和省业务中心节点)接入层地址分配28个/24即（1个/20+1个/21+1个/22）局域网分配1个/24根据具体VLAN划分不同的子网拨号用户分配15个/24可满足3600并发拨号用户需求,并可发展到3810个并发用户需求专线用户分配8个/24可满足112个专线用户需求（具体为2个/24用于6个/26用户，2个/24用于14个/27用户2个/24用于30个/28用户2个/24用于62个/29用户)广域网络互连分配2个/24可满足124段广域网络互连需求机动地址2个/24留待未来发展.苏州节点苏州节点接入层地址分配24个/24地址段（1个/20+1个/21）局域网分配1个/25根据具体VLAN划分不同的子网拨号用户分配11个/24可满足目前2730并发拨号用户需求,并可发展到2794个并发用户需求专线用户分配8个/24可满足112个专线用户需求（具体为2个/24用于6个/26用户，2个/24用于14个/27用户2个/24用于30个/28用户2个/24用于62个/29用户)广域网络互连分配2个/24可满足124段广域网络互连需求机动地址2个/24和1个/25留待未来发展.无锡、常州节点无锡、常州接入层地址分配18个/24（共为18*2=36个/24地址）局域网分配1个/25根据具体VLAN划分不同的子网 拨号用户分配8个/24可满足目前2730并发拨号用户需求,并可发展到2794个并发用户需求专线用户分配6个/24可满足102个专线用户需求（具体为1个/24用于3个/26用户，1个/24用于7个/27用户2个/24用于30个/28用户2个/24用于62个/29用户)广域网络互连分配2个/24可满足124段广域网络互连需求机动地址1个/24和1个/25留待未来发展.苏中节点镇江、扬州、南通接入层地址分配11个/24共需3*11=33个/24局域网分配1个/25根据具体VLAN划分不同的子网拨号用户分配3个/24可满足目前510并发拨号用户需求,并可发展到762个并发用户需求专线用户分配4个/24可满足51--240个专线用户需求（具体为1个/24用于3个/26用户，1个/24用于7个/27用户1个/24用于15个/28用户1个/24用于31个/29用户)广域网络互连分配2个/24可满足124段广域网络互连需求机动地址1个/24和1个/25留待未来发展.苏北节点泰州、徐州、淮阴、盐城、连云港、宿迁接入层地址分配10个/24共需要6*10=60个/24地址。局域网分配1个/25根据具体VLAN划分不同的子网拨号用户分配2个/24可满足目前180-480并发拨号用户需求,并可发展到508个并发用户需求专线用户分配4个/24可满足51--240个专线用户需求（具体为1个/24用于3个/26用户，1个/24用于7个/27用户1个/24用于15个/28用户1个/24用于31个/29用户)广域网络互连分配2个/24可满足124段广域网络互连需求机动地址1个/24和1个/25留待未来发展. 按上述原则规划地址，全省IP地址共需要4+28+24+18*2+11*3+10*6=185个/24地址。考虑到未来业务的发展需求，可适当增加各地市的机动地址分配，这样至少还需要增加14至30个/24C类地址。这样，全网需要IP地址数目为200到220个C类合法地址，即大约1个B类地址的空间。1.1.1网络IP地址实际规划以上地址分配原则为全网对合法地址的需求分析，也是在全网的IP地址完全进行重新分配的前提下进行的地址规划。由上面的计算结果可看出，江苏省网对合法地址的需求量为将近一个B类的合法地址。而目前江苏省内已经分配的合法地址数目为128个C类地址，因此还需要申请128个合法的连续C类地址来满足本期扩容工程的需要。对于已有的IP地址分配，在新的网络建设中采用以下原则对于原合法地址的分配，保留专线用户的地址分配不变。把原各地市的合法地址网段，拨号用户地址网段等的IP地址分配，完全回收。分配给新的IP地址。具体IP地址分配，需要根据实际申请到的连续IP地址来划分。原则为，首先从新分配的IP地址段中，按各地市、核心层网络等相关的因素划分地址。在新申请的IP地址分配完后，再分配原有的合法C类地址给剩余的地市。各地市仅保留原有的163专线用户的合法地址。原169网的专线用户若不想更改为合法地址，可继续采用保留地址的方式。具体地址的数量需求参见2.5.2中所述。1.2域名系统江苏省公众多媒体网扩容工程在全省网内全部采用合法IP地址。同时又与163骨干网和169骨干网互联，为用户提供163和169的信息服务。这就对域名系统提出以下要求：省内的服务器域名163和169域名体系，全部为合法地址。外省163服务器的域名解析为合法地址外省169服务器的域名解析为保留地址根据以上需求，江苏省公众多媒体网在南京节点的一台E2服务器为全省设置一套域名系统，为省内用户提供163网和169网的域名解析服务。同时再用一台E2服务器做上一台服务器的SECONDRAY服务器。两台服务器在全网的作用起主从备份的功能。全省设两级域名服务器：省中心DNS服务器和各节点DNS服务器。南京节点的省顶级DNS服务器负责解析全省163和169的域名。南京节点省顶级DNS服务器作为全省163的PrimaryDNS服务器，配置有全省服务器的解析，包括163的域名和169的域名。并作为169顶级DNS服务器CNINFO.NET的SecondaryDNS服务器。在南京节点的顶级DNS服务器上，具有全省服务器的域名解析和外省169网顶级DNS服务器的地址。 各节点DNS服务器作为省中心DNS服务器的SecondaryDNS服务器，以提高响应用户解析请求的速度。用户端将第一DNS服务器设置为本节点的DNS服务器，第二DNS服务器设置为省中心的DNS服务器。用户解析流程省内用户访问省内163信息省内用户发出解析请求到本节点DNS服务器--》本节点DNS服务器负责解析地址--》本节点DNS服务器将结果返回给省内用户省内用户访问省内169信息省内用户发出解析请求到本节点DNS服务器--》本节点DNS服务器负责解析出合法地址--》本节点DNS服务器将结果返回给省内用户省内用户访问省外169信息省内用户发出解析请求到本节点DNS服务器--》由于本节点DNS服务器保留有其他省169顶级DNS服务器的地址，所以可将请求转发到外省169顶级DNS服务器上--》外省169网顶级DNS服务器负责将请求转发到最终解析地点，并获取最后的解析结果---》外省169网顶级DNS服务器把解析结果（保留地址）返回给省内DNS服务器--》省内DNS服务器将结果返回给省内用户省内用户访问省外163或Internet信息省内用户发出解析请求到本节点DNS服务器--》本节点DNS服务器负责将请求转发到163骨干网的顶级DNS服务器上--》163骨干网顶级DNS服务器负责将请求转发到最终解析地点，并获取最后的解析结果---》163骨干网顶级DNS服务器把解析结果（合法地址）返回给本节点DNS服务器--》本节点DNS服务器将结果返回给省内用户省外169用户访问省内169信息省外169用户发出解析请求到本地的169DNS服务器--》此169DNS服务器把请求转发至169骨干网顶级DNS服务器--》169骨干网顶级DNS服务器把请求转发至省中心DNS服务器上--》省中心DNS服务器解析出合法地址并把结果返回--》最终外省169用户获取到合法地址的解析结果省外169用户访问省内163信息省外169用户发出解析请求到本地的169DNS服务器--》此169DNS服务器把请求转发至169骨干网顶级DNS服务器--》169骨干网顶级DNS服务器把请求转发至163骨干网顶级DNS服务器上--》163顶级DNS服务器转发请求到省中心DNS服务器上--》省中心DNS服务器解析出地址并把结果返回--》最终外省169用户获取到正确地址的解析结果省外163用户访问省内169信息省外163用户发出解析请求到本地的163DNS服务器--》此163DNS服务器把请求转发到163骨干网的顶级DNS服务器上--》163顶级DNS服务器转发请求到省中心DNS服务器上--》省中心DNS服务器解析出地址并把结果返回--》 最终外省169用户获取到正确地址的解析结果。1.1NTPSERVER的设置在本期工程中，我们在南京节点设立一台NTPSERVER来作为全省的时钟源服务器，各地市节点的网络设备都通过NTP的通信方式，从南京节点的NTPSERVER获取到时钟同步信息。以保证全网的网络设备保持时钟同步。从而保证了接入层的计费认证信息，服务器的LOG日志等信息的统一性和正确性。具体的NTPSERVER的设置，采用一台NT服务器运行NTPSERVER，各地的服务器和网络设备做好指向。具体的NTPSERVER的设置符合总体技术要求和规范，为防止由于NTP主SERVER的时钟精度出现偏差，造成全网的网络设备的时钟都发生偏差。可通过对NTP主SERVER配置一个外部高精度的时钟源设备，保证NTP主SERVER的时钟的准确性。如果169国家骨干网或163国家骨干网中的已有NTP时钟源服务器，可将它作为本省NTPSERVER的上级服务器，本省NTPSERVER定时和上级NTPSERVER做时钟同步来实现，本省NTPSERVER的时钟的准确性。 第1章.节点网络结构设计江苏省公众多媒体通信网有十三个本地局域网，按本地网规模可分为省网管中心，省业务中心，南京节点，苏南节点，苏中节点和苏北节点五类。其中苏南节点包括苏州节点，无锡节点，常州节点；苏中节点包括镇江节点，扬州节点，南通节点，泰州节点；苏北节点包括淮阴节点，连云港节点，盐城节点，徐州节点，宿迁节点。1.1省网管中心省网管中心负责全省的网络管理和系统管理。省网管中心的设备包括全省网管工作站，网络备份服务器（HPOMINIBACK），全省一次性口令认证服务器（ACESERVER），安全服务器（ISSSERVER），防火墙服务器和CONCORD网管服务器，TOTALCONTROL网管服务器，局域网交换机和两台路由器组成。一台路由器为CISCO7206，采用一条CE1的线路与省内各节点的带外网管路由器分别以128K速率相连，另外一台路由器CISCO4500，通过一条2M的E1线路与南京机房的核心层路由器相连，作为网管的备份线路。局域网内的所有服务器与工作站全部采用单独分配保留IP地址。省网管中心的设备全部设置在防火墙的里面，以提高安全性。网管服务器可通过防火墙服务器的NAT功能，以地址转换的方式来访问INTERNET。在省网管中心设一台全省网管服务器，采用HPC200的工作站。安装HPOPENVIEWIT/O，IT/A等软件和CISCOWORKS。3COMTRANSEND安装在一台SUNE1上。CONCORD安装在一台SUNE2服务器上。HPOMINIBACKⅡ备份软件安装在HPD280服务器上。ACE口令认证服务器采用原有的SUNEnterprise1提供服务器的一次性口令认证，安装AECSERVER软件。安全服务器采用HPNETSERVER，安装ISS公司的INTERNETSCANER软件。省网管中心的VLAN划分为两个VLAN：VLAN1：全省网管服务器（2台）ACE口令认证服务器安全服务器防火墙内部端口CONCORD网管服务器TOTALCONTROL网管服务器VLAN2：防火墙外部端口路由器局域网端口在CISCO 7206路由器上，需要在与带外网管网互连的端口上，设置ACL。禁止其他163/169用户从7206访问网管网的设备，以保证数据网络的IP请求和数据包不会散播到网管网上。省网管中心局域网结构图见附图1。1.1省中心节点局域网设计省中心节点是全省的信息交换中心。省中心节点担负着全省的省级信息服务。省信息交换中心包括省WWW服务器，DNS服务器，导航服务器，省级应用服务器和省应用数据库服务器。担负着向省内和省外用户提供WWW服务，DNS服务，导航服务等重要业务。省中心的WWW服务器担负着向省内所有用户进行省级的信息发布业务和省外进行信息发布的重要作用，负载较大。所以建议负载分担的工作方式。采用两台SUNEnterprise450和两台SGIO200服务器作为WWW服务器，并采用其中两台O200服务器安装WEBFORCEDIRECTOR软件提供负载分担。省业务中心作为全省的信息发布中心，在省业务中心利用原有的服务器建立一个大规模邮件系统，提供企业电子邮件服务和免费电子邮件服务。省中心节点的设备配置如下：lWWW服务器：采用两台SUNE450和两台SGI公司的O200服务器提供WWW服务。两台SGI公司的O200服务器提供WWW负载分担服务，安装NETSCAPE公司的EnterpriseServer软件和SGI公司的WEBFORCEDIRECTOR软件。两台SUNE450提供WWW服务，安装NETSCAPE公司的EnterpriseServer软件。l数据库服务器：采用SUNE4500提供WWW的数据库服务。数据库服务器提供WWW服务后端的应用数据库。应用数据库保存有本地应用的数据。数据库软件采用SYBASE。并在此服务器上安装APPLICATIONSERVER。l应用服务器：采用HPNETSERVER，WINDOWSNT操作系统，安装相应的业务应软件。省中心节点的VLAN的划分：VLAN1：WWW服务器导航服务器应用服务器VLAN2：WEBMAIL邮件系统服务器。VLAN3：路由器局域网端口省中心节点VLAN划分示意图： 1.1南京节点局域网设计南京节点局域网负责全省的汇接和南京节点的信息服务和用户接入服务，以及南京本地网的网管和用户认证管理，全省的用户认证计费和漫游认证计费，同时也承担与国家163骨干网和国家169骨干网的互联，具有举足轻重的地位。南京节点局域网内同时有负责南京节点的交换机也负担着极其重要的任务，因此，放置两台高性能的交换机共同运行，做负载分担。南京节点的路由器数量较多，有一台GSR路由器，两台7513路由器组成省核心层，另有一台7513路由器作为南京节点的专线用户和信息源的接入。GSR路由器通过POS与核心层7513相连，7513路由器通过100M以太网与局域网交换机相连，南京节点的接入路由器通过100M以太网与交换机相连。在省网与国家163骨干网的两个出口出口处分别设置8台163CACHEENGINE，提高对163网和其他网络的访问速度。由于全省的用户数据集中存放在省中心的数据库中，建议将全省的用户计费认证服务器放在南京节点。省业务管理中心在省中心节点有全省认证计费服务器，全省数据库服务器。在省中心节点的数据库服务器中保存有全省的用户信息，信源信息，全省的计费信息等重要数据。省认证服务器负责漫游拥护的认证，信息层用户电子身份证的分发等重要工作。业务管理服务器负责全省的业务管理，包括全省的用户管理和计费结算的管理。省认证服务器和全省的数据库服务器在整个网络中的地位极其重要，所以全省认证服务器和全省数据库服务器互为双机热备份，保证不间断的提供服务。在南京节点配置防火墙系统，保护计费认证系统的安全性。由于防火墙的性能主要与在它之上实施的安全策略的内容密切相关，如果安全策略设置得当，防火墙对通过它的业务流不会造成瓶颈。全省的用户采用集中认证的方式，即在南京节点设置4台RADIUSSERVER，作为全省的用户的认证，授权和计费服务器。4台服务器按各节点的用户量，分别负责部分地市的用户的认证，授权和计费。各地市的接入服务器指向一台READIUSSERVER作为主RADIUSSERVER，并选择另一台作为备份READIUSSERVER。整个南京节点的设备配置如下： lWWW服务器：采用两台SUNE450和两台SGI公司的O200服务器提供WWW服务。两台SGI公司的O200服务器提供WWW负载分担服务，安装NETSCAPE公司的EnterpriseServer软件和SGI公司的WEBFORCEDIRECTOR软件。两台SUNE450提供WWW服务，安装NETSCAPE公司的EnterpriseServer软件。l数据库服务器：采用SUNE4500提供WWW的数据库服务。数据库服务器提供WWW服务后端的应用数据库。应用数据库保存有本地应用的数据和160系统的数据。并在此服务器上安装POWERDYNAMO。lDNS服务器：配置三台DNS服务器.一台负责负全省的域名的解析作为全省的域名解析服务器,设备选用一台SUNENTERPRISE2。一台作为全省的域名服务器的备份服务器，设备选用一台SUNENTERPRISE2。一台负责南京本地的域名解析,设备选用一台SUNSPARC。lMAIL服务器：MAIL服务对服务器的要求是有较大的容量以及较好的连接处理能力。设备使用一台SUNEnterprise4500。承担本地用户的发送和接收邮件。l后台管理服务器：主要功能为本节点内的用户认证和对本节点的用户，信源等的后台管理和统计报表等。设备采用SUNEnterprise1。l网管工作站：网管工作站选用HPC200工作站。l高级信息制作工作站：采用原169的高级信息制作工作站，设备为SGIO2。l全省认证计费服务器：采用一台SUNEnterprise4500。为保证工作的高可靠性，与全省数据库服务器互为双机热备份。全省认证服务器负责用户的认证，信息层的用户电子身份证的分发。l全省数据库服务器：采用一台SUNEnterprise4500。为保证工作的高可靠性，与全省认证服务器互为双机热备份。全省数据库服务器负责保存全省的用户数据，信源数据和计费结算数据等。l全省认证服务器：负责全省用户的认证，授权和计费以及漫游用户的认证，授权和计费。采用4台SUNE450服务器，安装RADIUSSERVER。l高级信息制作工作站：采用原169的高级信息制作工作站，设备为SGIO2。l专线接入路由器：路由器采用原169的1台CISCO7513路由器。南京节点的VLAN划分如下：VLAN1：核心层7513-1的局域网端口核心层7513-2的局域网端口163CacheEngine163骨干互连路由器局域网端口VLAN2：核心层7513-1的局域网端口核心层7513-2的局域网端口169骨干互连路由器局域网端口 VLAN3：WWW服务器组DNS服务器MAIL服务器应用数据库服务器视频服务器防火墙服务器外部端口VLAN4：高级信息制作工作站业务开发工作站信息制作工作站VLAN5：全省计费服务器全省数据库服务器RADIUS服务器组防火墙服务器内部端口南京网管工作站LAN6：163接入服务器LAN7：169接入服务器LAN8：专线接入路由器南京节点VLAN划分示意图：1.1苏南节点局域网设计苏南节点包括苏州、无锡、常州节点每个节点有两台CISCO75系列路由器，采用一条34MPVC线路与省网的核心层相连，即与南京节点的GSR路由器相连。8条2MDDN线路与南京核心层的两台7513相连。另在每个节点配一台CISCO7206，作为专线用户的接入路由器。在苏州、无锡、常州节点的局域网设计中应充分考虑本地局域网的带宽和节点内服务器，路由器等设备的配置。综合以上情况，在苏州、无锡、常州节点的局域网，各配置一台3COM 公司的CB9000局域网交换机。各主要服务器以100M速率接入局域网，PC工作站可以以10M或100M速率接入局域网，路由器以100M速率接入。苏南节点的WWW服务器负载较大，建议负载分担的工作方式。选两台SUNEnterprise450作为WWW服务器，并采用SGI公司的两台O200服务器安装WEBFORCEDIRECTOR软件提供负载分担。局域网内的设备或端口按其功能的不同VLAN。局域网交换机采用具有第三层交换功能的交换机，采用第三层交换技术来解决VLAN之间的通讯。苏州、无锡、常州节点的设备配置：lWWW服务器：采用两台SUNE450和两台SGI公司的O200服务器提供WWW服务。两台SGI公司的O200服务器提供WWW负载分担服务，安装NETSCAPE公司的EnterpriseServer软件和SGI公司的WEBFORCEDIRECTOR软件。两台SUNE450提供WWW服务，安装NETSCAPE公司的EnterpriseServer软件。l数据库服务器：采用SUNE4500提供WWW的数据库服务（注：常州节点采用一台SUNE3500服务器）。数据库服务器提供WWW服务后端的应用数据库。应用数据库保存有本地应用的数据和160系统的数据。数据库分配保留IP地址。lDNS服务器：DNS服务器负责苏州本节点的域名的解析。设备选用一台SUNSPARC工作站。lMAIL服务器：MAIL服务对服务器的要求是有较大的容量以及较好的连接处理能力。设备使用一台SUNEnterprise4500（注：常州节点采用一台SUNE3500服务器）。承担本地用户的发送和接收邮件。软件采用NETSCAPE公司的MessagingServer软件。l网管工作站：网管工作站选用HPC200工作站。l高级信息制作工作站：采用原169的高级信息制作工作站，设备为SGIO2。l路由器：苏南节点的路由器采用原163网和169的两台CISCO7507路由器。由于在本次扩容工程中无锡和常州节点有两条34MPVC线路与省核心层路由器相连，故需在每台路由器上加一块VIP板和ATM155M的PortAdapter一个。如原路由器插槽数不够，可考虑将原有的接口板换成VIP板，并配置相应的PortAdapter。苏州、无锡、常州节点局域网结构图见附图4：苏州、无锡、常州节点的主机和网络设备按功能可划分为以下几个VLAN：VLAN1：WWW服务器组DNS服务器MALL服务器VLAN2：后台管理工作站网管工作站 系统维护工作站VLAN3：高级信息制作工作站业务开发工作站信息制作工作站VLAN4：163接入服务器VLAN5：169接入服务器VLAN6：路由器1的局域网端口VLAN7：路由器2的局域网端口VLAN8：专线接入路由器局域网端口苏州、无锡、常州节点VLAN划分示意图：1.1苏中节点局域网设计苏中节点包括镇江节点，扬州节点，南通节点和泰州节点。每个苏中节点采用8条2M线路通过路由器与省核心层互联。8条E1与南京核心层的两台7513相连。另在每个节点配一台CISCO7206，作为专线用户的接入路由器。在苏中四个节点的局域网设计中应充分考虑本地局域网的带宽和节点内服务器，路由器等设备的配置。综合以上情况，在苏中三个节点的局域网，各配置一台3COM公司的CB9000局域网交换机。各主要服务器以100M速率接入局域网，PC工作站可以以10M或100M速率接入局域网，路由器以100M速率接入。苏中四个节点的设备配置：lWWW服务器：苏中节点的WWW服务采用一台SUNE450和一台SGIO200服务器提供WWW服务。两台服务器采用负载分担的工作方式。分别在两台服务器上安装NETSCAPE公司的EnterpriseServer软件。l数据库服务器：采用SUNEnterprise3500提供WWW服务后端的应用数据库。数据库采用SYBASE软件。 lDNS服务器：DNS服务器负责本节点的域名的解析。设备选用一台SUNSPARC工作站。lMAIL服务器：MAIL服务对服务器的要求是有较大的容量以及较好的连接处理能力。设备使用一台SUNEnterprise3500，软件采用NETSCAPE公司的MessagingServer软件。承担本地用户的发送和接收邮件。l网管工作站：网管工作站选用HPC200工作站。l业务开发服务器：作为在Solaris平台上的业务应用的开发服务器。可用原有设备，SUNSPARC工作站。l高级信息制作工作站：采用原169的高级信息制作工作站，设备为SGIO2。l路由器：苏中节点的路由器采用原163网和169的两台CISCO7507路由器。泰州节点原只有一台7507路由器，所以在泰州节点增加一台CISCO7507路由器。如原路由器插槽数不够，可考虑将原有的接口板换成VIP板，并配置相应的PortAdapter。另在每个节点增加一台CISCO7206路由器作为专线接入路由器，接入专线用户。苏中节点局域网结构图见附图5：局域网内的设备或端口按其功能的不同VLAN。局域网交换机采用具有第三层交换功能的交换机，采用第三层交换技术来解决VLAN之间的通讯。苏中四个节点的主机和网络设备按功能可划分为以下几个VLAN：VLAN1：WWW服务器组DNS服务器MALL服务器VLAN2：后台管理工作站网管工作站系统维护工作站VLAN3：高级信息制作工作站业务开发工作站信息制作工作站VLAN4：163接入服务器VLAN5：169接入服务器VLAN6：路由器1的局域网端口VLAN7：路由器2的局域网端口VLAN8：专线接入路由器局域网端口苏中节点VLAN划分示意图： 1.1苏北节点局域网设计苏北节点包括淮阴节点，连云港节点，徐州节点，盐城和宿迁节点。每个苏北节点采用8条2M线路通过路由器与省核心层互联。分别以4条为一组接到南京的两台7513路由器上。根据苏北五个节点的实际情况，苏北五个节点的本地局域网，各配置一台Cisco公司的Catalyst5505交换机。各主要服务器以100M速率接入局域网，PC工作站可以以10M或100M速率接入局域网，路由器以100M速率接入。苏北五个节点的设备配置：lWWW服务器：苏北节点的WWW服务采用一台SUNE450提供WWW服务。安装NETSCAPE公司的EnterpriseServer软件。l应用服务器：苏北节点的应用服务器采用SUNE450。提供网上的业务应用。安装相关的应用软件。lDNS服务器：DNS服务器负责本节点的域名的解析。设备选用一台SUNSPARC工作站。lMAIL服务器：MAIL服务对服务器的要求是有较大的容量以及较好的连接处理能力。设备使用一台SUNEnterprise450，软件采用NETSCAPE公司的MessagingServer软件。承担本地用户的发送和接收邮件。l网管工作站：网管工作站选用HPC200工作站。l路由器：在每个苏北节点配置两台CISCO7507路由器与省核心层路由器相连。苏北节点的专线接入路由器采用原169网的路由器。苏北节点局域网结构图见附图六：局域网内的设备或端口按其功能的不同VLAN。局域网交换机采用具有第三层交换功能的交换机。苏北节点的主机和网络设备按功能可划分为以下几个VLAN：VLAN1：WWW服务器 应用服务器DNS服务器MALL服务器VLAN2：后台管理工作站网管工作站系统维护工作站VLAN3：业务开发工作站信息制作工作站VLAN4：163接入服务器VLAN5：169接入服务器VLAN6：路由器1的局域网端口VLAN7：路由器2的局域网端口VLAN8：专线接入路由器局域网端口苏北节点VLAN划分示意图： 第1章.网络管理中心江苏省公众多媒体网扩容工程的网络管理体系，采用带外网管的方式实现，即全部网管数据从另外的网管网传输。全省的服务器，路由器，交换机和接入服务器等设备配置一个以太网接口作为网管接口，与各节点的带外网管HUB相连，再通过各节点的带外网管路由器与省NIC/NOC相连。在本次工程方案设计中，我们采用HPOpenView、CISCOWORKS、CONCORD、和3COMTRANSEND多种软件相结合的方式，来满足用户在网络管理中的具体需求。基本网络管理，利用HPOPENVIEWNNM、CISCOWORKS、3COMTRANSEND实现系统资源性能管理，利用HPOPENVIEWIT/O模块来实现系统资产管理，利用HPOPENVIEWIT/O和IT/A模块来实现系统安全管理，利用HPOPENVIEWIT/O模块来实现。系统故障管理，利用HPOPENVIEWIT/O和CISCOWORKS及3COMTRANSEND实现系统用户管理，利用HPOPENVIEWIT/A模块来实现。1.1网络管理的具体实现江苏省网的网络管理实施，采用分级管理的方式进行。同时为保证网管数据流不占用业务数据网络的带宽，以及从安全的角度考虑，采用带外网管的方式进行网管数据的传输。1.1.1分级管理的实现本次网络管理的分级实现，主要是基于网络管理的基本平台HPOPENVIEW的SERVER端与它的智能AGENT的协调工作实现的。HPOPENVIEW作为网络管理的基本操作平台，它的网络管理模块NNM、IT/O、IT/A、OMINIBACK以及其他网管软件CISCOWORKS都是安装在它之上进行相关的网络管理。而HPOPENVIEW的IT/O、IT/A的AGENT均安装在需要被管理的服务器上，它和网管中心的网管服务器以CLIENT/SERVER的方式工作，AGENT负责收集自身的网络管理信息，同时可以根据管理员制定的触发器来智能的完成相应的事件操作，达到管理本地请求的目的。HPOPENVIEW的SERVER端作为网络管理的基本管理平台，安装在省网管中心的一台HPC200的服务器上。配置的部件有NNM模块、IT/O模块和IT/A模块，负责对整个省网进行网络管理、性能管理、网络资源管理以及安全管理。并在这台服务器上安装CISCOWORKS，来实现对CISCO网络设备的管理。同时在各地市节点配置一台HP C200服务器，安装IT/O模块，作为整个网络管理体系的第二级管理服务器。这些网管服务器只负责本地的网络管理工作,中心的管理服务器制定相应的策略下发到各地的网管服务器，各地的二级网管服务器通过这些由中心网管服务器制定的策略完成本地的网络管理。各地的网络管理服务器可设置过滤机制,只把相关的网络信息发送到中心第一级网管服务器上,使中心的网管服务器只收集必须的网络信息,减少对网络广域网线路带宽的占用。在HPOPENVIEW中可对不同等级的管理员，设置不同的等级权限，增强了网络管理上的安全性。同时在各地需要管理的网络设备上安装相关的AGENT，其中CISCO的网络设备自身已经安装了相应的AGENT软件，只需要进行相关配置即可通过网络管理软件对它进行管理。3COM的TOTOALCONTROL是通过它的网管卡来收集网络管理信息，并通过网络管理的设置和3COM的TRANSEND网络管理平台进行通信，达到对拨号服务器的网络管理。ASCEND的MAXTNT通过网管端口，与ASCEND提供的网管软件AscendAccessControl进行通信，实施对ASCEND拨号服务器的网络管理。在这些传统的网络管理软件平台上，我们又配置了CONCORD的网络管理分析系统，提高对网络管理数据的详细分析处理能力，并支持多种报表的输出。1.1.1带外网管的实施具体带外网管的实施，可先参见下图所示：由上图可见，由网管中心的7206和各地市的2511路由器通过DDN线路互连，构成一个独立的传输网络。各地市的服务器以及路由器都配置了双网卡，其中一块网卡的IP地址设置为带外网的IP地址，并把这些网卡直接和负责带外网络管理的2511的本地以太口在交换机的独立的VLAN上，或通过一个独立的HUB来实现网络管理信息的互通。在这里需要指出的是，南京节点由于GSR12008本身不具有以太端口，无法和本地的局域网交换机直接互连，因此只能通过采用POS技术和7513路由器的POS端口直接互连，通过7513与局域网交换机相连，同时采用静态路由指向的方式来实现网络管理信息的流向正确。 各地的2511路由器的异步端口，采用八口电缆线，直接和本地的路由设备的CONSOLE端口连接，以RS232的通信方式对路由设备进行管理。通过此方式可实现在TCP/IP网络中断的情况下，或路由设备运行异常的情况下，远程进行维护操作。整个带外网管的实施方案，主要是基于这两个原则来设计。首先，建立了一个独立与业务数据网络的网络管理信息传输通道，使网络管理的信息流不依赖公用的数据网络。其次，通过各地市节点的2511路由器的RS232接口与本地的路由设备的CONSOLE口的互连，可实现远程对各地路由设备的控制，不依赖TCP/IP网络的互连。1.1网络管理功能实现对网络管理功能实现，我们主要采用HPOpenViewNodeManager来实现。HPOpenView最初为网络管理设计的，其最基础的产品是OpenViewNetworkNodeManager(NNM)，NNM是网络和系统管理的基础和平台，NNM与第三方的管理应用集成在一起，可以形成强大的综合的管理环境。我们利用NNM模块主要实现如下功能.自动发现和监控网络节点可自动发现网络节点、自动产生网络拓扑图，并对网络事件进行处理。分布式和可伸缩分布式及可伸缩结构可为用户指定域分配采集器，采集器可向分布在广域网上的一个或多个管理器报告发现设备的情况与设备变化的情况，只有重要的数据才被传往管理器，这样减少了全网的信息流量，从而最大限度地节约网络带宽。NNM支持分层管理，并且没有层次的限制。可以集成数百个HPOpenView解决方案合作伙伴开发的应用程序，以满足用户特定的网络，系统，应用及数据库管理之需求。灵活的数据库选项既可以使用NNM普通文件数据库或相关的SQL数据库(Oracle或CA-Ingres)NNM的发现过滤，拓扑过滤，图象过滤功能使用户可以根据自己的需要，选择要发现监控的对象，定制MAP，按一定的共同特征将被管对象进行分组易于使用的GUI网管需求分析和解决方案动态监测网络－NNM的自动发现和监控机制能够发现网络节点，检测网络网络连接，生成和保持TCP/IP网络图，通过色彩确定网络设备的运行状态，使用OpenViewWindows的Pan和Zoom的功能在保持总图象的同时，着重于大型子图的关键区域。通过MIB浏览器了解外围设备的工作状况，对不能监视的外设，可通过在被管节点上扩展SNMP子代理，在管理站上装载其MIB的方式对其进行监视。使用预定义的MIB应用或创建MIB查询应用监视网络连接的通信速率，信息流量等。 网络诊断－NNM具有网络诊断功能，可以测试基本的连接，经过路由的连接，SNMP连接。测试手段有ping，remoteping，路由表检查等被管对象的分组管理－NNM有图象过滤功能，通过此功能可以定制MAP，只将感兴趣的节点放在MAP上。可以将不同的管理责任赋予不同的管理员，每个管理员定义自己要管理节点的MAP，如一个网络管理员只对网关，路由器，交换机等网络设备感兴趣，在他定义的MAP中只要保留这些节点，其它节点可通过图象过滤功能过滤掉。支持任何主流数据库－NNM目前支持Oracle和CA-Ingres，对其它数据库的支持可采用变通方法，NNM产生的数据先输出到普通文件，再通过数据库厂商提供的装载工具或编写转换程序，将数据装入数据库。高度可扩展性－NNM的伸缩和分布特性完全满足高度可扩展性和多层次的要求。通过合理部署NNM的采集和管理角色，在网络规模有较大扩展时，网管的性能不会受影响。NNM可以通过multi-tier的方式支持多层次的管理模型。高度集成性－由于网络环境的日益复杂，没有一家计算机软件厂商能提供管理大型复杂的网络环境的所有可能的解决方案，因此，为了提供完整的解决方案，HPOpenView产品致力于把来自HP，网络设备提供商，和独立软件商的管理应用集成起来。HP公布了NNM的API，并提供NNMDevelopersToolkit给第三方厂商开发可集成到NNM的管理应用。只要采用NNM的API开发的管理应用都可无缝集成。与三城市中心网管产品及部中心网管产品的无缝连接－在两个层次上实现无缝连接，首先是物理网络设备的无缝连接，第二是网管软件的无缝连接。1.1系统资源性能管理对系统资源性能管理功能需求解决方案，我们采用OpenViewIT/O模块。IT/Operations是集中的系统问题管理工具，能自动发现系统中出现的问题，提醒系统管理员注意，及时解决问题。通过这个特征，我们可以配置IT/O监视某些与系统性能和资源有关的变量，及时发现网络系统中存在的性能问题：通过配置，IT/Operations可以监视管理员所定义的关键系统资源的使用情况。例如，CPU的利用率、交换区的利用率、内存的利用率、网卡的使用情况及文件系统的使用情况等，会通知IT/O的系统管理员注意这些变化。IT/O可以对被监视的性能资源变量设置阀值，当所定义的变量超出阀值时，IT/O的智能Agent能够立即向指定的管理中心发出报警信息，同时在本地执行指定的命令程序。IT/Operations管理员可定义某些关键进程和服务，并这些进程的状态进行监控。对于用户定义的各种日志文件，IT/Operations可进行监控和分析。当日志文件中出现用户指定的信息时，IT/O的智能Agent能够立即向指定的管理中心发出报警信息，同时在本地执行指定的命令程序。1.2资产管理功能实现资产管理功能的实现，我们主要采用HPOpenViewIT/Operations,HPIT/Administration. 由HPOpenViewIT/Operations（IT/O)和HPIT/Administration（IT/A）结合提供的UNIX平台上的资产管理解决方案，能够帮助用户在分布式多机种环境下，从单点有效地管理企业的所有资产。针对用户的需求，该方案所能提供的功能实现如下：IT/A可以自动地搜集、验证、跟踪和管理被管对象的资产信息的各个方面。在资产管理数据库里包括有硬件，如CPU、MEMORY、网卡等，以及应用软件的详细信息。IT/A集中配置系统、用户、小组、核心程序、软件、文件系统和外设，所有管理目标均可加入、删除、修改和拷贝。当有新的设备加入，如新增一台主机或是新增一种外设时；当设备的位置移动时；当设备的配置变化时，允许用户修改和更新资产信息以确保资产数据的准确性和完整性。IT/A可以用图形预示变化，有助于在错误形成之前就捕获。IT/O提供了多种机制如自动动作发生、问题相关帮助信息指导等用于处理紧要问题。智能Agent甚至能够校正动作而不需管理员干涉。从而可以实现对所辖城市中心主机及外设状态控制功能。ITA和ITO可以管理操作系统资源的不同方面，从操作系统的配置到操作系统的进程管理等。可以实施中心主机操作系统的升级。在被管理节点装有HPIT/OperationsAgent。智能Agent搜集各种各样的信息、状态和数值，当客户端处于某些条件时，IT/O将发送特定的作业到客户端，按照设置在客户端执行。1.1安全管理功能实现安全管理功能的实现，我们采用HPOpenViewIT/Operation1.HPOpenView网管产品可以按照不同网络管理员、网络操作员等不同用户定义不同的管理对象和管理区域，而且超级管理员可以为其他系统网络管理员和操作员定义操作和管理规则，实现管理自动化和规范化。2.IT/Operations可以监视管理员所定义的文件包括系统文件和用户文件)的使用情况。例如，系统日志文件、口令与帐户文件、faillogin文件、/etc目录下关键文件等文件的变化，会通知IT/O的系统管理员注意这些变化。3.HP-UX操作系统提供的ACL访问权限控制机制能进一步丰富对文件访问权限的定义，如：读写、执行、创建、删除和查找等。HP-UXC2安全系统具备普通系统所没有的安全特性，包括更严格的用户认证和密码系统、系统安全审计、终端访问控制、基于时间的访问控制、文件的访问控制列表ACL)等，提供更高的系统安全性。4.IT/Operations管理员可定义某些关键进程和服务，对这些进程进行监控。通过这种特征，用户可以监视一些不安全的网络服务，如应用系统交易进程、rlogin、uucp、rcp等，及时发现问题。通过配置， IT/Operations可以监视管理员所定义的文件(包括系统文件和用户文件)的使用情况。例如，系统日志文件、口令与帐户文件、faillogin文件、/etc目录下关键文件等文件的变化，会通知IT/O的系统管理员注意这些变化。5.HPOpenViewIT/Operation4.0提供网络传输数据保护功能，在管理站和被管节点之间的通信可以进行压缩和加密。这样做，一方面可以降低管理任务对网络带宽的占用，另一方面，可以保障管理信息的保密性、完整性以及管理站和被管节点的验证。1.1故障管理功能实现故障管理功能的实现，我们主要采用HPOpenViewIT/Operation,CISCOWORKS1.这些网管产品将会监测收集各种网络运行信息，当发生故障时将会自动给出报警信息。应用程序故障：应用程序的故障可能由于各种原因引起，如系统资源，程序本身问题，网络通讯等，HPOpenView各个产品能够对应用程序所用资源进行监控，并且用户还能结合应用程序特点利用OpenView提供的网管API对应用程序进行监控。存储设备故障：对存储设备如磁盘、磁带等发生的读、写失败等故障，操作系统会给出报警警告，而HPOpenViewIT/Operation能收集到操作系统的报警信息。系统崩溃和周边设备故障：这些故障现象HPUX操作系统本身就提供监测功能，而这些监测现象HPOpenViewIT/Operation可以收集并采取解决措施。2．.故障处理功能：对传送到HPOpenView网管服务器的各种网管信息,这些信息通知网管员的方式可以有多种方式，具体有各种颜色显示的屏幕信息(以表示告警级别）、声音报警和BP机自动呼叫等。对发生的事件和故障可以有自动和手工两种处理方式，OpenView智能Agent可以对发生的事件采取自动解决办法，这些方法可以是系统命令、批处理程序和应用程序等，当采用自动处理不能解决时可以发信息给网管员以采取手工解决方式。1.2用户管理功能实现用户管理功能的实现，我们采用HPOpenViewIT/Administration。HPOpenViewIT/Administration为UNIX和PC环境提供了统一的 系统管理，使用IT/Administration可以控制并配置大量的多机种系统。IT/Administration为在不同的平台上集中运行各种系统管理工作提供了单一直观的界面。它提供了：用户和帐号的管理可精确定义管理员责任中心策略的统一实施硬件及软件的库存管理用户帐号的集中和分散管理－通过IT/Administration的前三个功能的结合使用可对用户帐号进行集中式或分散式管理。系统管理员可以很方便地进行帐号的集中式管理，例如，把一个新用户加进数十个系统，选择“AddUser”，填写适当的模板，将创建的用户拖放到适当的域内。IT/Administration就会把该用户扩展到域内的每一个被管理的系统。IT/Administration支持对系统管理的分级方法，高级系统管理员定义管理员责任，包括每个管理员的能力和许可范围，通过这种方式高级管理员可授权下级管理员进行某域的帐号管理工作。从控制点管理所有资源－通过硬件和软件的库存管理和中央管理数据库可实现对所有资源的管理，例如软件的更新，简单地执行一个查询，查找需要更新的系统，拖放软件图标到需更新的系统集合上，所有的用户软件就被更新了。用户的灵活管理机制－可通过中心策略的统一实施达到用户的灵活管理。例如，一个组织机构可能要求只有某些特定的小组方可访问某些应用程序，或者它可能需要新用户的身份证号码符合特定部门的指定范围。灵活的口令管理－通过用户帐号管理功能可实现 第1章.CINMS业务管理体系本章简要描述CINMS业务管理体系的功能，具体的实现原理和系统结构参考附件“CINMS2.0技术白皮书”。1.1CINMS总体介绍CINMS是公司专门针对163和169而独立研制开发的管理系统软件，旨在为用户提供“统一用户、统一认证、统一计费”的163/169管理平台。它具有以下特点：标准化/开放性、中国特色、可伸缩性、业务扩展性、本地化从经营管理的角度考虑，163/169由三方组成——网络用户、服务提供商（信息源）和邮电部门自身，CINMS实质上就是要处理三方之间的关系：1、网络用户：系统资源和服务的消费者2、服务提供商：为网络用户提供服务（WWW、E-MAIL等）并收取费用。3、邮电部门：邮电部门承担多种角色：ISP、业务管理者、服务提供商图：CINMS系统功能结构图用户管理提供大容量、高可靠性、方便移植和管理的用户管理系统。信息源管理对各种应用系统进行统计的认证和计费管理。认证授权验证用户身份的合法性，控制用户对不同服务的不同访问权限，支持漫游认证/授权，提供统一的认证接口。计费结算提供实时计费，并在资源的提供者和使用者之间进行费用结算处理，支持漫游结算。资费管理提供计费方式和模型，提供零活的优惠策略。收费管理提供对用户的费用管理。可以管理用户的预交费、已收费用、欠帐等，作为费用管理的解决办法。业务统计对业务数据进行统计和分析，输出各种报表和图表，辅助决策。 1.1江苏业务管理系统结构CINMS是一个灵活的平台，而不是一个固定的产品，可构造出多种系统结构，集中、分布或综合。针对江苏的网络规模、用户数量和管理特点，我们认为全省“分布接入、集中管理、分布受理”的方式将提供最高性价比。具体方案如下：一、南京节点作为全省的认证计费中心1、设置一对高档服务器+大容量磁盘阵列，作为CINMS中心服务器，安装中心管理软件，实现全省的用户管理、计费结算、统计分析和业务管理。由于两台服务器构成HA结构，可以保证所有软件的可靠运行。2、设置4台SUNE450服务器，作为全省RADIUS服务器，实现全省拨号接入认证。由于网络接入是用户的基本要求，RADIUS的备份将以最小的代价带来基本的可靠性要求，是一种性价比非常高的方案。3、利用HP的OmniBack备份业务系统的全部数据，保证即使系统严重故障，数据也不会丢失，从而是系统可以得到恢复二、地市节点其他节点只设接入服务器，负责本地接入，接入服务器的RADIUS指向为南京节点的全省RADIUS认证服务器。由于CINMS支持分布式远程管理，而且有基于WEB的管理工具，所以各个节点仍然可以在本地完成所有业务管理工作，例如：开户、销户、查询/修改、出帐、收费、统计等等。 1.1认证授权流程如下： 1.1用户管理用户管理是整个系统管理的核心，对用户信息进行登记，为整个业务管理系统形成并维护一个统一的用户数据库，供其他系统使用。CINMS系统的用户管理具有管理灵活、用户量大、稳定可靠、对外接口灵活等特点，可以满足国内163/169网用户管理的需要。同时，提供LDAP接口，可为其他支持LDAP的系统提供统一用户管理。CINMS为系统管理员提供统一的维护工具，对成员数据库进行方便的查询和修改及安全控制。1.1.1江苏用户管理系统结构由于江苏采用集中的管理模式，全部用户数据集中在省业务管理中心，但由于CINMS的用户管理系统支持分布式远程管理，任何节点的管理员都可以在网上远程地管理本节点的用户，用户也可以在网上管理自己的信息。1.1.2用户管理内容（一）用户管理包括用户档案数据管理，用户注册开户，用户数据安全，各类用户统计等。用户数据存储在LDAP和数据库中。（二）数据备份用户数据库（包括用户业务申请表的全部内容）应有整体的实时备份、应汉化，且能进行中文信息的处理，对用户的开户应能即买即通，并提供查询功能。（三）数据操作 对全省用户进行增、删、改，查的功能。对本地用户的数据进行增、删、改，查的功能。通过设置权限对数据库进行安全管理，且除普通录入方式外，还应具有WEB中文界面方式WEB中文界面方式应包括用户业务申请表的全部内容、且用户能通过WEB中文界面查询本帐户的各项信息记录、费用、详细使用情况，修改本帐户的密码。（四）数据查询对用户数据库进行一个或多个字段的联合查询（五）数据统计和分析能对全省用户的各种信息进行统计和分析；各节点局应能对数据库中的本地用户的各种信息进行统计和分析；在线用户统计用户数量的分类统计用户上网情况统计业务收入统计1．用户统计部分在某一时间范围内（每天，每月，指定时间段），分以下几种情况进行费用统计：某个帐号用户按用户类型分别统计按接入方式（PSTN/ISDN）分别统计按各地市分别统计全省总费用2．上网情况的统计：在某一时间范围内（每天，每月，指定时间段），分以下几种情况进行费用统计：（一）主叫用户按主叫号码统计上网情况（每次上网的上下网时间，时长）全省每个用户上网总时长，总次数，平均上网时长，最大上网时长，汇总数（所有用户的上网总时长，总次数，平均上网时长，最大上网时长）各地市所有用户的上网总时长，总次数，平均上网时长，最大上网时长。 （二）普通帐号用户某个帐号用户上网情况明细表（每次上网的上下网时间，时长）全省每个用户上网总时长，总次数，平均上网时长，最大上网时长，汇总数（所有用户的上网总时长，总次数，平均上网时长，最大上网时长）按用户类型分别统计A。全省所有用户的上网总时长，总次数，平均上网时长，最大上网时长。B。各地市所有用户的上网总时长，总次数，平均上网时长，最大上网时长。按用户接入方式（PSTN/ISDN）分别统计A。全省所有用户的上网总时长，总次数，平均上网时长，最大上网时长。B。各地市所有用户的上网总时长，总次数，平均上网时长，最大上网时长。（三）对于漫游用户按用户类型分别统计A。全省所有用户的上网总时长，总次数，平均上网时长，最大上网时长。B。各地市所有用户的上网总时长，总次数，平均上网时长，最大上网时长。（四）对于专线用户某个用户的上网情况明细表（数据流入量，流出量，总量，费用）统计所有用户的数据流量（流入量，流出量，总量，费用）对于专项业务，提供公免帐号（不收费）。3．各地市的统计（查看，打印）在某一时间范围内（每天，每月，指定时间段），分以下几种情况进行费用统计：A．按用户类型B．按接入方式统计分析后可将数据存储到数据库表中或转储到文本文件中。数据的保留期限可根据用户的要求自由设定。给用户提供查询界面1.1.1用户组管理 系统的用户数量非常庞大，每个用户都有不同的权限和计费方式，如果管理员逐个定义每个用户的属性，工作量将是不可想象的。为此，CINMS提供用户组的管理，以使管理员负担大大降低，同时对用户进行分组归类，可提供高效率而灵活的管理。根据用户组的结构和性质，可将用户组分成两大类：（1）相同属性的用户组：拥有相同的权限和计费方式的一组用户。管理员可以定义一系列常用的用户组，新开户的用户加入用户组后，就自动具有相应的属性，一旦修改用户组的属性，全部用户属性都相应变化，不需要逐个定义用户。（2）层次关系的用户组（即父子关系）：允许多个用户分成一组，每个用户（子用户）可以链接到“主用户”。链接用户非常有用，可以向一个主用户来收取多个用户的费用。将相关的用户组成为一个收费统一体。当系统收费时，它可以配置成将每个子用户的收费相加并记在主用户头上，同时允许主用户对子用户进行授权和属性的设置。用户组的设置，可根据具体需求灵活设置，系统管理员可以随时定义新的用户组，为其定义任意访问权限和任意计费方式的组合，且新的用户组实时生效。根据邮电部规范及用户需求，可定义以下几类用户组主叫用户（GUEST用户）：通过主叫号码上网和计费，不需要认证密码；不提供电子邮件服务。当采集的主叫号码非法（比如“000”或其它非法字符/数字），RADIUS认证时认为非法而拦截住。国内帐号用户（国内有权）：需要帐号和密码，通过帐号收费；可访问169网，但不可以通过169访问163和INTERNET，提供电子邮件服务国际帐号用户（国内有权）：需要帐号和密码，通过帐号收费；可访问169网及163和INTERNET，提供电子邮件服务。公免用户：根据具体要求设置访问权限，不收费，提供电子邮件服务。卡用户：父用户：可自行开子用户并对子用户进行授权。按父用户的帐号进行收费。子用户：由父用户控制的用户。漫游用户：有漫游权限的用户。有固定IP的用户：分配给用户一固定IP。信息层用户：通过其它ISP开户的用户，根据协议可上网进入本系统并访问信息。而江苏用户提出的用户类型为：主叫用户：只能访问省内163、169网以及全国169网，没有电子信箱。国内帐号用户：只能访问省内163、169网以及全国169网，有电子信箱国际帐号用户：可以访问163网以及169网，有电子信箱当然还可以根据需求定义更多的用户组，也可以随时更改用户组的属性，以适应灵活的业务发展需要。 1.1.1专线用户管理因为专线用户和普通帐号用户在接入方式和用户属性上有比较大的区别，所以可将专线用户单独拿出来管理，也可以定义专线用户组，通过用户组管理。专线用户可根据使用目的分为：普通专线用户：信息提供商：通过专线提供信息服务。数据的采集：通过ROUTER采集数据，对数据进行分析处理，处理后的数据可存储到数据库或文件中。对NETFLOW同样支持。对专线用户的管理同样拥有上述用户管理的功能。1.1.2用户卡管理为了经营方便和用户使用方便，CINMS提出用户卡管理的概念。所谓“用户卡”是一种可供上网的卡片，用户购买后可以用卡上的帐号和密码上网。用户卡分为多种类型，不同的用户卡有不同权限和计费方式。“用户卡”实质是用户类型的扩展，每一种用户卡就是一种特殊的用户类型，因此，CINMS支持的用户卡非常灵活，可随着业务的扩展不断推出新的用户卡。目前，CINMS支持的用户卡属性有：定额、自动过期、可否开户、可否转帐等。利用这些属性，可以定义出多种用户卡，供不同场合使用。例如：1、定额卡：用户卡有一定金额，用户可以利用卡号和密码上网，但金额用完后，卡自动作废，不能转换成正式帐号。定额卡适于移动用户使用，比如：出差用户购买定额卡，即买即通、临时使用、用完作废，非常方便和快捷。2、试用卡：用户卡有一定金额，用户可以利用卡号和密码上网，在金额用完前随时可以转换成正式帐号，剩余金额转到正式帐号中，并可以在网上自己完成开户。试用卡适于在业务拓展期发展用户使用，免费或有偿发送试用卡，如果用户不满意，金额用完作废；如果用户满意，可随时转换成正式帐号，且不需到营业厅办理手续，双方都非常方便。3、续款卡：用户卡有一定金额，不是供用户上网用的，而是供用户把卡的金额转到用户的帐号上。这样，用户不需要定期到营业厅交费，而邮电也可以广泛发售续款卡，免去收费的手续。系统为用户卡业务提供一套工具，包括：用户卡类型定义、用户卡生成、用户卡使用查询，用户卡自动产生和注销等。1.1.3管理员管理 从用户的角度考虑，要能使一个系统真正的运行和使用好，除了开发商提供良好的技术支持以外，还应对使用者进行培训，协助用户建立起一支专门的技术队伍，对这个系统进行管理和维护，同时制定一套完整的管理体制，对所有操作管理员进行管理。这样，整个系统才能在一个合理完善的机制下，安全有效地运行并发挥出更好的作用。根据一定的管理规范对各级操作管理员进行管理。1.1.1.1管理内容包括：职责分配及授权：对各级操作/管理员进行受权，管理范围，任务的确定，并分配一管理帐号和密码口令。管理申请：对操作/管理员进行某项操作的验证。工作情况记录：每日的操作记录，异常情况记录，处理情况记录。工作汇总及绩效评定：统计分析操作/管理员的工作情况。1.1.1.2管理员的划分按级别分为省中心管理员（最高级别）：对全省所有用户及相关信息进行管理。地州市管理员：只能对本地市的用户及相关信息进行管理。县级管理员：只能对本县级的用户及相关信息进行管理。按职责分为：用户管理：开户，修改用户信息，查询用户信息；资费管理：用户帐单，总帐单，各种报表；系统管理：参数设置，系统配置，检测维护；网络管理：网络设备，数据，使用情况　管理员管理：管理所有操作员或管理员。它的权限级别应最高。咨询服务管理：用户提出的疑问及错误进行检测跟踪和解决，跟踪调查用户使用情况和需求，为以后完善和提高系统功能积累经验。管理员的权限有：对本地服务器具有操作权。允许远程登录服务器。操作权是一般用户还是超级用户。状态有：1现在有效（USED）2．注销（但未过注销期）3．失效（已过注销期）4．暂时禁用（CLOSE）管理帐号和权限之间是多对多的关系。即一个管理员可拥有几种权限和职责。 1.1.1用户费用监控自动暂停控制：一旦用户的余额低于预设值，则系统会将该用户自动设置为暂停状态，直至用户交费。用户在线实时监控：如果用户的余额低于预设值，系统可以将该用户立即拆线，保证系统的计费准确和实时。1.1.2用户管理工具CINMS为系统管理员提供了方便灵活、功能强大的后台用户管理手段，使用CINMS的后台用户管理工具，管理员可以对用户进行各种管理：用户类型管理、用户卡管理、用户开户/销户、用户暂停/恢复、用户信息查询、用户信息修改、用户信息统计1.2信息源管理信息源是系统中的服务提供者，也称服务提供商。它是系统中被用户访问、产生费用和收入的地方。1.2.1WWW信息源管理WWW信息源如果系统希望通过CINMS统一认证、计费、导航或统计，就需要在CINMS的信息源管理系统中登记，记录如下主要信息：WWW信息源信息：信息源名称、提供公司、公司联系地址、注册时间等等；连接方式：主机域名、IP地址、需认证或计费的URL、专线接入/专线类型和速率、主机托管、服务器空间租用/占用硬盘；信息分类：WWW浏览信息分类（书籍/报刊/杂志、新闻/政治、/艺术、邮政/邮电、金融/商业、科技/技术、文化/教育、体育/旅游、生活/服务等），WWW应用系统分类（例如：数据库查询、股票交易、网络服务、电子商务等）认证：通过设置，可选择由CINMS认证访问的权限级别。计费：可按数据流量、访问次数进行计费，也可采用包月制费用。服务提供商可以有自己的用户帐号（信息层用户帐号），这些用户帐号可以由服务提供商自己管理，也可以交由CINMS统一管理。1.2.2信息源管理工具CINMS为系统管理员提供基于WEB的信息源管理工具，管理功能：开户/销户：注册/删除信息源查询/修改：查询和修改信息源的属性统计/分析：针对信息源的种类、属性进行分类统计信息源管理工具是基于WEB方式，可以支持分布式的远程管理与维护。 1.1认证授权管理认证授权管理主要是要验证用户身份的合法性，控制用户对不同服务的不同访问权限，并要求支持漫游认证/授权。163/169系统中的服务多种多样，每种服务都有自己的访问控制规则，作为一个统一管理的系统，CINMS需要为所有服务提供认证/授权，如果增加新的服务，CINMS也要能为其提供认证。为此，CINMS提供基于LDAP的认证接口，由于LDAP是一种国际标准协议，因此可以与任何支持LDAP的应用连接。目前，CINMS可以提供的认证授权有以下几种：1、拨号接入认证：对应于邮电部163/169规范的网络层认证2、WWW认证：对应于邮电部169规范的信息层认证。3、E-MAIL认证：用户访问E-MAIL时，系统对用户的身份进行验证。4、其他应用系统的认证：对于已具有用户管理和认证的应用系统，可以通过LDAP与CINMS连接，不需自己管理用户系统，而由CINMS统一管理。需要强调的是，用户对各种服务的的权限是相互独立的，用户可以分别选择对各种服务的权限，支付不同的费用，用户权限可以随时更改。这样将给经营带来非常大的灵活性，可以把更多的用户吸引到163/169上，扩大了潜在用户的范围。1.1.1网络层（拨号接入）认证/授权CINMS的拨号接入认证/授权对应于邮电部规范中的网络层认证/授权。含义：用户拨号上网时，系统对用户的身份进行验证。协议标准：基于RADIUS体系。用户权限级别：根据用户能访问的网络范围。邮电部规范规定的级别分为三种：GUEST用户：无需注册，可访问全国169，但不能访问163和国际INTERNET网内有权用户：需要注册，可访问全国169，但不能访问163和国际INTERNET网外有权用户：需要注册，可访问全国169、163和国际INTERNETCINMS可以提供更多、更灵活的拨号接入权限级别，例如：可以限制用户只能访问163、不能访问Internet；只能访问本省169、不能访问其他省的169等等。 1.1.1.1CINMS网络层认证/授权系统结构RADIUS认证系统由四个主要元素构成：用户username@realm、NAS（接入服务器）、RadiusServer、用户数据库。利用RADIUS协议可以设计出多种系统结构。CINMS采用树状的RADIUS分布式系统，这种系统结构清晰、模型简单、实现容易、可伸缩能力强。可以灵活构造出多种业务模型（比如：完全集中式，集中式，分布式，综合式），分别适应于多种情况。1.1.1.2江苏网络层认证/授权业务模型鉴于江苏省的特点和用户数量，我们建议采用混合的业务模型。南京节点共设四台RADIUS服务器，这四台RADIUS服务器地位相同。全省所有的接入服务器按地域划分，分别把四台服务器中的两台作为第一和第二认证服务器。以达到负载均衡的效果。 1.1.1.1网络层认证/授权特殊功能用户唯一性：限制同一帐号同时上网的最大人数主叫认证：限制用户上网时可以使用的主叫号码定额帐号：规定用户帐号定额，使用费用达到定额后，帐号自动失效实时拆线：当用户余额低于阀值时，自动将用户拆线，并暂停、注销用户。上网时长反馈：认证通过后显示用户余额和最大上网时长固定IP分配：对特殊拨号用户分配固定IPRADIUS错误分析：提供RADIUS性能监测模块，提供错误信息表和日志文系统测试：提供四种Radius测试程序，帮助管理员检测RADIUS工作1.1.2信息层(WWW)认证/授权CINMS的WWW认证/授权对应于邮电部规范中的信息层认证/授权。定义：用户访问网上WWW信息源时，系统对用户的身份进行验证、判断用户是否有权访问此类信息。只有169有信息层认证/授权，163没有这个概念。协议标准：基于国际标准的COOKIE机制和HTTP、RADIUS协议。1.1.2.1信息层权限等级在信息层，CINMS可以为网上信息源发布的信息条目提供1～256级权限控制（默认为三级）。且CINMS信息访问等级全网一致，相应的，用户也可有1～256级信息层权限（在用户注册时设定）。享有n级信息层权限的用户只能访问级别不大于n的信息。用户和WWW信息源在信息平台注册时，CINMS为运营方系统管理者提供了指定各种等级的方便的管理接口。 1.1.1.1信息层认证/授权技术采用“电子身份证”技术解决此问题：用户首先从各省中心领取“电子身份证”（即Cookie），身份证表明用户身份和权限；访问WWW时浏览器首先出示“电子身份证”表明身份和权限；WWW以此为据识别用户、判断权限并计费。“集中式发证，分布式验证”系统结构如下图所示：利用上述系统，全国可构成一个整体的信息层认证系统。1.1.1.2江苏信息层认证结构江苏省发证中心设在省业务中心的CINMS服务器上，用户访问WWW计费信息前，需到发证中心领取身份证；用户访问时携带身份证；WWW服务器根据身份证识别用户身份、判断权限，并将计费数据存放至省业务中心的CINMS数据库服务器。1.1.2E-MAIL认证/授权定义：用户访问E-MAIL时，系统对用户的身份进行验证。 一般E-MAIL系统都有自己的用户管理和认证系统，我们开发与一些E-MAIL系统的用户管理和认证的接口，由于各种E-MAIL系统的接口不同，开发速度慢、成熟性差。为此，我们采用LDAP接口，支持NETSCAPE的MESSAGINGSERVER1.1.1应用层认证/授权定义：用户访问网上其他应用系统时，系统对用户的身份进行验证、判断用户是否有权访问此应用系统。CINMS通过国际标准的LDAP将所有应用系统的认证统一起来，避免每个应用系统开发自己独有的认证/授权功能。1.2计费结算CINMS2.0针对163/169的经营模式设计一个灵活、强大的计费结算系统：·实时：实现实时计费，实时监控用户费用余额，与认证系统配合控制透支·多类型：可对各种不同类型的用户和服务提供商提供计费，且类型可扩展·灵活：分布式体系结构，支持集中和分布计费，分别适合不同的用户使用·精确的清算：提供用户与ISP、服务商与ISP、ISP各节点之间的清算·付款：支持多种付款方式1.2.1计费结算系统结构计费结算系统分为几个组成部分：1）计费数据采集：采集事件，生成原始计费数据，供计算费用使用。2）资费政策制订：灵活制订各种资费政策，以适应灵活经营的需要。3）计费数据处理：根据资费策略和原始计费数据计算出用户的访问费用。本系统提供多种资费算法供用户选择，同时提供灵活的接口，使用户能增加算法和改变算法。4）费用清算：计算用户与ISP、服务提供商与ISP、ISP各节点间的费用管理，输出费用帐单。5）收费系统：向用户收费，向服务提供商付费，部门之间进行费用结算。 1.1.1江苏集中计费方案CINMS2.0本身的设计非常灵活，既可分布计费也可集中计费。我们针对江苏的系统规模和特点采用全省集中计费的方案：计费采集器：放置在需要计费的服务系统上，负责采集用户的访问，并存储到计费数据库中。计费数据库：存放原始计费数据，计算费用，并输出结算帐单计费结算监控台：为管理员提供对系统的监控工具，包括：资费策略制订、收费管理、计费系统运行监视、计费系统参数调整等1.1.2计费数据的采集各种系统服务的计费模式都不同，计费数据的采集方式和数据格式也不同。1、拨号用户网络接入费定义：指用户拨号上网，占用163/169网络资源所付的费用计费方式：访问时长x费率（计费单位是分钟，不足一分钟的按一分钟计）包月制：定期交纳一定费用数据采集点：用户拨号的认证服务器（RADIUS服务器）2、专线用户网络接入费定义：指用户通过专线上网，占用163/169网络资源所付的费用。CINMS只计算163/169的网络接入费，用户租用专线的费用由邮电部门收取，不在CINMS计费范围内。计费方式：数据流入量x流入费率+数据流出量x流出费率（费率的参考参数是接入方式、接入速率）包月制：定期交纳一定费用 数据采集点：用户专线连接的接入路由器记录专线的流入和流出数据量3、WWW信息服务费定义：指用户访问收费WWW信息源的费用。计费方式：信息服务费的计费方式分两种：（1）包月制：定期交纳一定费用，无限制访问（2）计次计费：信息服务费＝访问次数×费率（用户访问一个URL计为一次）（3）计量计费：信息服务费＝访问数据量×费率数据采集点：（1）包月制：无需采集计费数据（2）计次计费：对于A类信源，计费信息采集点在WWW前的PROXY服务器；对于B类信源，计费信息采集点在WWW服务器上。（3）计量计费：对于A类信源，计费信息采集点在WWW前的PROXY服务器；对于B类信源，计费信息采集点在WWW服务器上。4、其他系统的计费CINMS的计费结算系统具有较强的扩展性，对于无计费的应用系统，都可以通过开发CINMS计费插件，通过CINMS的计费结算体系统一管理，既方便了用户交费，也减轻了服务提供商的开发和维护负担。当然，CINMS也允许有计费能力的系统独立计费，与CINMS的计费不冲突。1.1资费系统原始计费数据只含有计费所需的信息，基本是类似“谁，在何时，访问什么服务”的数据，并不含任何费用。要计算费用，必须定义各种服务的费率、计费公式、各种情况下的优惠率等资费参数。CINMS系统提供的计费参数包括费率、余额控制和优惠三大类，利用这些参数的调整，可以完成各种灵活的计费方式，供不同的应用系统计费使用。1.1.1费率参数CINMS对每种服务都可以定义以下费率：押金：开始使用一种服务时必须交纳的押金，一旦取消这项服务即退还。例如：拨号接入帐号押金￥100，销户退还。启动费用：开始使用一种服务时必须交纳的押金，但与押金不同，取消服务不退还。例如：申请E-MAIL转BP服务￥100，取消不退周期费用：按一定计费周期交纳的固定费用，不随使用量变化。例如：使用E-MAIL转手机￥50/月，无论使用多少次。单位费率：根据使用量按单位量度收取费用，例如：拨号接入￥20/小时，WWW信息￥0.10/次。 这里需要强调的是，对使用量的定义不局限于上网时长等简单的范畴，可以包括上网时长（对拨号）、访问次数（WEB）、通话时长（IPPHONE服务）、磁盘空间（E-MAIL）等。使用量的单位是由管理员来指定的，可以是分钟、小时等时间单位，也可以是K、M等字节量单位。分段费率：按使用服务的单位量度收取费用，但使用的总量不同时，费率也不同。例如：占用磁盘空间2M以下免费，2M~100M时￥10/M，100M以上￥5/M费用上限：使用一项服务的最高费用，超过上限后免费。例如：拨号超过1000小时/月后免费费用下限：使用一项服务的最低费用，即使使用费用没有达到下限，也要按费用下限收取费用。例如：拨号每月最少￥100/6小时，低于￥100按￥100收取，高于￥100收取实用费用由于这些费率及其组合的方式非常多，CINMS能够提供的计费方式也是非常多的，对不同的服务可以适用不同的计费方式，而且各种服务的费率相互不影响，一个用户享受多种服务时，费用累计。有了灵活的费率，系统增加新的服务，都可以迅速与原有服务统一计费和收费。1.1.1余额控制参数1、暂停阀值如果用户的使用量达到或者超过该阀值时，系统立即启动暂停控制功能，将该用户的状态设置为暂停状态，从而禁止该用户对系统资源进行再次访问，直至用户交费为止。2、警告阀值当用户的使用量超过警告阀值时，系统启动警告系统对该用户进行警告，警告操作可以由管理员进行配置，可以是一封善意的信笺，也可以是严重的暂停动作。1.1.2优惠参数CINMS系统提供的高级参数包括各种优惠参数的设置。对于CINMS系统提供的优惠参数功能，可以提供按照使用量的不同分段进行优惠。下面以时长为例来对系统提供的优惠功能做详细的说明。1、优惠策略系统对用户上网是否进行优惠提供两种判断策略：1）对按照上网时刻是否在优惠期间，来判断是否进行优惠计算举例说明：如果用户在晚8点45分上网，晚10点整下网，系统设置优惠时段是晚9点开始，则对该用户的本次上网不按照优惠计算，即使该用户本次上网有些时段跨越了优惠的时间段。如果用户在早6点45分上网，早10点整下网，系统设置优惠时段是早7点以前，则对该用户的本次上网按照优惠计算，虽然该用户本次上网有些时段跨越了不进行优惠计算的时间段。2）根据上网时间段和优惠时间段进行交叉计算根据上网时段和优惠时段进行交叉计算，得到用户实际上网在不同时段内的计算公式，然后对每个时段进行分别计算，最后得到用户的实际费用。 例如：某用户在早6点45分上网，晚10点整下网，系统设置优惠时段是早7点以前，和晚9点以后。则系统将该用户的上网时间段分为三个部分来进行计算。第一个部分是从早6点45分到早7点整，这部分的费用计算按照早7点以前设置的优惠费率来进行计算。另一部分是从早7点到晚9点整，按照正常的费率来进行费用计算。第三部分是从晚9点到晚10点整，这段时间按照晚10点以后设置的优惠率来进行计算。所以对该用户的本次上网费用计算，是按照三部分来进行计算的，每一部分的费率都不一样。2、参数设置CINMS系统可以进行设置的优惠参数有：按照每天不同时段，设置不同优惠率。例如：每天从0点到7点优惠50%.按照不同的工作日（星期），设置不同的优惠率。例如：在周六优惠50%可以对不同的节假日设置不同的优惠率。例如：10月1日优惠50%1.1.1资费管理方式CINMS资费管理提供了方便简洁的管理工具，管理员可以利用这个工具对所有资费参数进行灵活配置和管理。管理系统采用HTML方式来实现，可以灵活地对资费参数的增删改操作。由于系统的是实时计费系统，所以系统对所修改的参数可以可以同时设置有效时刻，即可以实现在线修改费率。1.1.2计费数据处理原始计费数据在各计费采集点采集到后，传送到省中心计费结算数据库中存储，计费系统综合原始计费数据和资费参数进行费用计算，这个过程成为计费数据的处理。CINMS对本省采集到的原始计费信息的处理分为两种方式：定期计费处理、事件触发计费处理。一、定期/实时计费处理系统可以定期地对原始计费数据进行处理。定期间隔越小，实时性越强，但消耗的系统资源越大。二、事件触发计费处理在特殊情况下，也可以根据需要由系统管理员主动启动计费处理系统。但为了减小系统负担，一般不建议频繁启动。1.1.3结算系统1.1.3.1结算产生的原因1、收费方式用户向其开户节点交费服务提供者的费用由其注册节点付费用户和服务提供商不直接交易，而是都通过163/169计费结算系统完成间接交易 2、用户漫游163/169的部分业务提供用户漫游功能，及用户可以跨越地域范围、访问其他节点的服务，因此需想被访问节点交纳费用。目前163/169提供的主要服务中，有漫游问题的包括：拨号用户漫游（邮电部规范称网络层漫游）、WWW漫游访问（邮电部规范称信息层漫游）。其他服务（专线用户、E-MAIL）等暂无漫游问题。但今后发展其他业务也可能出现漫游问题。CINMS会同样对待，统一结算。用户漫游时：费用由上访的漫游结算系统共同完成，但为了灵活经营的需要，可以根据运营局的统一业务标准，选择以下三种方式之一计算费用：根据接入节点的费率，由接入节点计算费用。根据全网统一的费率，由中心计算费用根据开户节点的费率，由开户节点计算费用1.1.1.1结算的解决方法由于收费方式引起的结算靠分帐解决，CINMS可以针对每个用户、每个服务提供商、每个漫游节点，分别统计帐单和总费用，可以实现用户与163/169、163/169与服务提供商、163/169内部各节点或部门之间的结算。由于漫游引起的结算相对比较复杂，需要漫游双方协作完成，以下主要分析漫游结算。而目前163/169主要业务中产生漫游的主要有拨号接入漫游和WWW漫游。由于用户的拨号接入（网络层）漫游和WWW（信息层）漫游，产生用户注册节点、用户登录节点、用户访问信息源的注册节点之间的费用结算关系，请参考下图：1、网络层漫游计费结算2、信息层漫游计费结算 1.1.1收费系统CINMS系统满足了管理员对收费方面管理的缺陷，提供了简单的收费管理功能。可以利用该功能实现对用户的帐目管理，包括预交费管理、已收费查询和欠帐管理等功能。CINMS的收费方式包括多种：1、定期交费：用户先使用后交费，定期交纳上网费用2、预付款：用户先交纳预付款，上网费用不断从预付款中扣除，预付款用完后用户需续款，否则帐号将被暂停，直到续款位置。3、电话主叫托收：将用户的上网费用计到用户登记电话的电话费上，在用户交纳电话费时统一交纳。4、续款卡：用户可以购买一种特殊的用户卡－续款卡，上网后输入卡号、密码、需要续款的帐号后，卡上的金额可以转到用户帐号上。由于续款卡可以象电话磁卡一样广泛发售，用户不需到营业厅就可以续交费用，对用户、对经营者都非常方便。5、信用卡：随着电子商务系统的成熟，还可以通过信用卡交纳。1.1.2计费系统监控台计费系统监控台是系统管理员和用户访问计费系统的接口，监控台基于Browser/WebServer/Database结构，支持分布式、远程管理。监控台对系统管理员、用户和服务提供商都有权限限制，系统管理员只能访问自己管理范围内的部分，用户和服务提供商只能访问自己的信息。一、系统管理员接口1、计费参数调节：通过图形化界面调节资费系统中所有计费参数2、出帐：输出和分发费用结算帐单，以便根据这些帐单收取和支付费用。3、收费：预交费管理、已收费查询和欠帐管理等功能 4、查询：查询用户和信息源的费用帐单和所有计费记录明细表。5、统计：系统为网络运营者提供计费统计手段，对业务收入进行分析。二、用户接口帐单：用户收费帐单可以发送到用户指定的E－MAIL。查询：用户可以在网络上远程查询自己一定时期内的计费总帐单，以及上网和访问信息源的计费记录明细表。三、服务提供商接口帐单：服务提供商帐单可以发送到用户指定的E－MAIL。查询：信息源可以在网络上远程查询自己一定时期内的计费总帐单，以及被访问的计费记录明细表。1.1业务统计CINMS的数据库中记录了用户、信源、费率和计费等原始信息，通过对数据库的不同种类的查询和统计，即可针对用户信息、信息资源、和计费帐单，为系统管理者或网络运营者提供各种统计报表，还可以按照网络运营者提出的各种需求进行开发，生成统计报表，以使系统运营者可以从各种角度对网络业务进行统计和分析，辅助制订新的运营策略。CINMS可以对各种原始数据进行统计，统计结果可以以数据报表或统计图形的形式显示、输出或打印。业务统计可分为短期和长期两种，短期统计是对原始数据进行统计，主要反映近期内的业务状况；长期统计是对一段时间内的统计数据进行分析，为分析业务的发展状况和趋势提供参考。1.1.1统计报表种类一、在线用户统计在线用户数量统计：各节点在线用户数量，全省在线用户总数，各节点用户数量占全省在线用户的比例。网络接入端口占用率：各节点NAS端口占用率，全省NAS端口占用率。二、用户数量的分类统计统计各节点/全省分类用户的数量、各节点分类用户占全省的比例、统计各节点/全省各类用户的比例。统计不同时间段内各个节点/全省开户的用户数量和类别、各节点/全省开户用户数量随时间的变化趋势、各节点/全省不同时间段开户用户数量的比例。用户分类：PSTN/ISDN/专线用户、不同接入速率的专线用户、帐号用户与非帐号用户、A/B/C三类拨号用户、信息层不同权限的用户、定额帐号与非定额帐号、其他在用户属性中可区分的用户类别。三、用户上网统计统计在一定时间段内：各节点/全省用户上网次数和时长，各节点上网次数/时长占全省总数的比例，及用户上网次数和时长随时间的变化； 统计在一定时间段内：各节点/全省不同类别用户上网次数和时长，各类别用户上网次数/时长的比例，及不同类别用户上网情况随时间的变化；统计在一定时间段内：各节点/全省用户访问不同信息源的次数，不同类别的信息源被访问的次数，各节点访问信息源次数占全省总数的比例，及用户访问信息源情况随时间的变化。四、业务收入统计统计在一定时间段内：各节点/全省不同类别的业务收入及其比例，各节点分类收入与全省总收入的比例，及分类业务收入随时间的变化。统计在一定时间段内：各节点/全省不同用户的访问收入及其比例，各个节点收入占全省总收入的比例，及不同用户访问收入随时间的变化。统计在一定时间段内：各节点/全省不同类别信息源被访问的收入及其比例，各节点收入占全省总收入的比例，及信息源访问收入随时间的变化。业务收入分类：总收入、开户费、网络接入费及不同类别用户的网络接入费、信息源访问费及不同类别的信息源访问收入、本省访问收入和漫游访问收入1.1.1报表输出方式打印输出、文件输出、输出到Internet/Intranet1.1.2决策支持CINMS不但提供简单的统计功能，还能够基于统计进行一定的分析，并可以与其他系统配合，为运营者提供更高层次的决策支持。决策系统是以提高决策者的决策能力及决策水平为目的，辅助他们以更高的效率完成一系列任务，为重大决策制定提供依据，依据决策者的考虑产生备选方案，综合各种外界因素可能产生的影响，发挥决策者的主观能动作用——直觉、经验及判断，最终做出更好、更优、更及时的决策。1.1.3满足电总统计功能CINMS完全满足电总关于169的统计规范 第1章.网络安全监测中心1.1.1安全需求分析随着INTERNET的不断发展及网络商业用途的增加，网络安全得到了越来越多的重视。作为基于INTERNET技术的信息平台，作为对外服务的公用服务网络，中国公众多媒体信息网的安全性问题亦需要放在一个重要的位置。169网，提供统一的通信平台和综合的网上商务服务。它面对千家万户，从安全的角度看，这样一个庞大、综合、动态的网络环境有以下特点：网上商务不断发展；网络设备会随时间增减、替换；网上协议、应用程序本身不安全；网上用户水平参差不齐；不可避免的硬操作；系统配置的不断变化；分别来自内外部的有目的黑客攻击；其它无法预料的因素网络安全的程度必然是动态变化的，所以网络安全不可能是一个静态的结果，需随着网络环境的变化，并综合各种可能的影响安全的因素来制订整个网络的安全策略。根据169网的网络构造，可以把网络安全问题具体定位在以下四个层次：层次一：物理层物理层的安全主要由硬件设备及机房的设计来保证，即关键设备或部件采取冗余设计。层次二：网络结构的安全该层次的安全主要由网络拓扑结构设计及网络协议的选用来保证，通过设计双路由或环型网络结构，使整个网络不会由于局部的故障而导致瘫痪层次三：操作系统这一层次的安全问题来自网络内部采用的各种操作系统，如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序带来的威胁。层次四：应用程序该层次的安全威胁来自网络自身的防火墙的配置、内外Web站点的服务、网上交易、拨号服务、E-mail服务、传真服务及对数据库的保护。 在这里我们主要描述操作系统及应用层的安全问题。另外，作为一个公众信息服务网络，还必须考虑信源及用户的安全性，我们将从防火墙的设计、数据的存贮及传输等方面予以阐述。网络主干核心层是网络的高速连接基础结构。地址规划的基本思想1.1.1网络安全设计目标通过对169、163网安全需求的了解，采用适当的安全策略，可达到以下安全目标：关键设备获得最大可靠性通过一系列的冗余设计，任何一点的单点失效都不会导致全网的瘫痪具备网络监控、分析和自动响应功能找出经常发生问题的根源所在建立必要的循环过程，确保隐患时刻被纠正控制各种网络安全危险确保网络安全领域的相关指数正常攻击分析和响应误操作分析和响应漏洞分析和响应配置分析和响应漏洞形式分析和响应认证和趋势分析具体体现在以下各方面：防火墙得到合理配置内外WEB站点的安全漏洞减为最低网络体系达到强壮的耐攻击性各种操作系统，如E-mail服务器、WEB服务器、Notes服务器、拨号服务器的操作系统配置合理，将受黑客攻击的可能降为最低对网络访问作出有效响应，保护重要应用系统不受黑客攻击和内部人员误操作的侵害1.1.2安全策略安全策略的实施，在本期工程中，我们主要采用了CHECKPOINTFIREWALL-1、ISS、ACESERVER等安全产品。具体的设置为，在网管中心和南京节点设置了软件防火墙系统，实施对认证数据的安全保证。ISS和ACESERVER均设置在网络管理中心。其中ISS的INTERNETSCANER部署在一台服务器上，对全网的相关服务器进行安全扫描，S3模块则需要安装在需要进行安全扫描的服务器自身，进行操作系统一级的安全扫描。 1.1.1.1操作系统安全操作系统的安全问题是当前网络安全中最为重要的，也是最复杂的。为提高操作系统的安全性，我们在系统设计中综合采用以下对策：（1）通过防火墙或路由器中ACL(ACCESSCONTROLLIST)的设计，禁止非法访问；在本次江苏省网方案中，我们在接入服务器和路由器上都可以进行ACL过滤；在本次方案中，将采用软件产品与路由器的ACL相配合的方式,以保证系统的安全：在路由器上打开ACL功能，限制用户对非对外公开网段内服务器和其他设备的访问，如认证计费网段，网管网段，内部管理主机的访问；采用软件防火墙CHECKPOINTFirewall-1，对网管网段和全省认证计费服务器提供更高层次的安全保护。并在此防火墙服务器上安装ESAFE的VIRIUSFIREWALLSCANER，提供网络上病毒检测及防护能力CHECKPOINTFirewall-1CheckpointFirewall-1是一种灵活、全面的解决安全问题的软件系统。它由集合在OPSEC（OpenPlatformforSecureEnterpriseConnection）上的几个组件构成。Firewall-1将各种应用分配给各个组件。处于应用层网关的Firewall-1与OPSECSERVER是client/server的关系。Firewall-1module接获连接后向OPSECSERVER发出请求，OPSECSERVER处理后将结果返回，Firewall-1根据此结果决定此连接是否可行。另外，Firewall-1还具有IP包过滤的功能。OPSEC可安装几个不同功能的模块。包括实时监控模块，控制模块，认证模块，地址编译模块，反欺骗模块，路由器管理模块等。模块中的logviewer可对所有通过此网关的连接提供直观的跟踪，监视，计费信息，同时显示出所有网络事件，包括安全策略的改动，死机等。SystemStatusViewer可提供实时的监听，报警功能。所有在此防火墙保护下的主机状态和其接受和发送的数据包内容一目了然。控制模块可将Firewall-1的负载分配到几台Server上，获得最高的处理能力。编译模块为使用保留IP的内部主机提供完全的Internet接入。Firewall-1支持IP地址的静态转换。反欺骗模块可根据对应数据包IP地址的物理源地址检测出欺骗性的IP数据包。路由器管理模块可根据集中的安全规范确定路由器的允许接入的列表。ISS安全系统另一方面，从全网的安全角度出发，我们提出ISS的网络安全方案。该方案将随机检测弱点和实时监控事件有机结合，能够提前预测并控制网络风险。可适应性安全管理模型针对网络的安全威胁和进攻弱点，通过监控、检测和响应，实时地强制实施群体安全策略，提供端到端的完整安全解决方案。本方案中选择ISS的产品：InternetScaner（包括IntranetScanner, FirewallScaner,WEBScaner）和SystemSecurityscanner。InternetScanner该产品的时间策略是定时操作，扫描对象是整个网络。它可在一台单机上对已知的网络安全漏洞进行扫描。截止InternetScanner5.01版本，InternetScanner已可对500中以上的来自通信、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上的每一个IP隐藏的漏洞，其扫描不对网络进行任何修改或造成任何危害。InternetScanner包括三个独立的部分：WebSecurityScanner:针对WEB站点的漏洞扫描；FirewallScanner:针对放火墙漏洞的扫描；IntranetScanner:针对通信和服务的漏洞扫描。InternetScanner每次扫描的结果可产生详细报告，报告对扫描到的漏洞按高、中、低三个风险级别分类，每个漏洞的危害和补救方法都有详细说明。SystemSecurityScannerSystemSecurityScanner自动全面检测操作系统的配置，找出其漏洞，黑客通常利用这些漏洞非法进入您的系统。SYSTEMSECURITYSCANNER测试filepermissions,fileownership,网络服务配置，accountsetups,programauthenticity以及通常与用户有关的安全漏洞，例如：可猜的密码。SYSTEMSECURITYSCANNER也会寻找黑客攻破您的系统的迹象。SYSTEMSECURITYSCANNER提供直观的图形用户界面(GUI)，简化主机安全评估的过程，您可以通过译成密码的命令从一中心站点(centrallocation)配置、控制多主机的扫描。个人扫描的结果被译成密码传回在控的GUI以便观看。SystemSecurityScanner全面评估漏洞、支持分布式安全扫描，为您提供所需的工具确保系统具有良好的安全性。InternetScanner和SystemSecurityScanner能预先了解网络中存在的问题，根据它们扫描的结果可对内部网填补安全漏洞，在安全事件发生之前减弱其发生的可能性。本次工程中，在省网管中心配置FirewallScanner，并配置WEBScaner，对主要的服务器安装SystemSecurityScanner。向用户直接提供服务的主机必需加强安全管理，其功能应尽量单一，关闭不必要服务进程；尽量避免提供服务的主机和进行系统管理的主机共享硬件，以防用户攻击服务系统成功后进入管理系统，造成更大的损失；尽量避免使用或设置不经授权即可访问的系统资源，例如：匿名FTP；加强密码管理，提醒或强制管理员定期修改密码，禁止使用安全性不高的密码；加强系统管理员的安全意识。为提高主要服务器的口令的安全性，尤其是超级用户（ROOT 用户）的口令安全，在省网管中心设置一套ACE口令卡系统，管理全省服务器的的口令。ACE一次性口令认证系统通过网络管理中心的ACE服务器以及用户手中的令牌卡，来实施一次性安全口令认证机制。在全省各地市的NT服务器上，配置INTERSCANER，实施各地市节点的病毒检测。1.1.1.1应用层安全应用层的安全问题主要包括系统接入安全（主要由验证系统，即用户的认证/授权系统保证）、数据安全（主要依靠数据的加密和签名保证），以下详细阐述在这两方面的详细解决方案。（1）认证/授权系统认证/授权是系统的第一道防线，也是最重要的防线，因为黑客要攻击系统，首先要成功地接入系统。因此，认证/授权系统设计的严密性，以及认证/授权系统本身的安全性是至关重要的。在CINMS系统中，我们设计网络层和信息层两个层次的认证/授权：网络层认证/授权定义：在用户接入网络时，对用户身份的验证过程。网络层验证主要针对拨号用户，例如：当用户拨叫接入号码169时，系统要求用户输入用户名和密码，并查看用户权限、为用户授以相应的访问权限。网络层认证采用国际通用的RADIUS协议，RADIUS是为分布式认证设计的协议，在设计中已经考虑了一定的安全性，在认证信息传输中，对关键数据（主要指密码）进行加密传输，防止数据在传输中被截获。加密算法在RADIUS协议中定义（可参考RFC2058），这是一种基于对称密钥的加密算法，即：在NAS和RADIUSSERVER之间、或两个RADIUSSERVER之间共享密钥，数据传输时用此密钥加密和解密。网络层授权在接入服务器NAS上完成，在NAS上通过Filter的方式限制用户访问权限。信息层认证/授权定义：当用户访问信息资源或信息服务时，对用户身份的识别和验证。信息层验证对拨号用户和专线用户同样适用。信息层认证/授权采用COOKIE机制，配合数字签名技术，保证系统安全性。数据安全数据安全技术数据安全通常分为数据的安全性和数据的可信性两方面：数据安全性指数据在产生、存放、传输等各个环节中不被窃取，而在网络系统中，由于数据经常在公共信道中传输，传输加密各为重要。这方面主要依靠数据加密技术保证。 目前加密技术从密钥的形式上可分为基于对称密钥的加密算法（例如：DES）和基于非对称密钥的加密算法（例如：RAS）。对称密钥加密基于对称密钥的加密算法中，加密和解密使用相同的一个密钥、或相互可以解算的一对密钥。由于加密和解密密钥可以相互推算，一旦加密密钥泄密，黑客就可以得到解密密钥，截取到数据后能够将密文恢复成明文。可见，对称加密中密钥的管理非常重要，密钥本身的存放和传输都要非常安全。同时，由于通信的每一对设备间都需要一对加密/解密密钥，密钥的数量将非常大，给密钥的分发和管理带来困难。不过，对称密钥加密算法简单，加密和解密速度快，目前仍然被广泛地使用。非对称加密基于非对称密钥的加密算法中，加密和解密使用不同的密钥、且两个密钥不可相互解算，因此，密钥的安全性更高。但同时，非对称加密算法相对复杂得多，速度也慢得多。目前常用的RAS算法就是一种非对称密钥的加密算法，分为PublicKey（可以对外公开的密钥）和PrivateKey（必须保密的密钥）。在加密过程中，使用PublicKey加密，PrivateKey解密。RSA将提供较高的系统安全性和较容易的密钥管理。数据可信性指数据的真实性，即系统要防止数据在产生、存放、传输过程中不能被篡改。这方面主要依靠数字签名技术保证。对应于对称和非对称加密，数字签名中的签名密钥和检验密钥也可以分为对称或非对称。本次方案中，我们主要采用了两种签名技术：基于对称密钥的MD5算法，基于非对称密钥的RAS算法。系统中的数据安全本次江苏省网系统中，我们综合了上述各种技术，均衡各种技术的安全程度和效率，对系统的关键数据在产生、存储、传输各个环节中进行安全保护。本系统中有大量用户注册数据、信息源注册数据、计费结算数据、信息数据和应用系统数据，其中信息数据和应用系统数据因业务的发展有很大不同，其数据安全防范措施也有所不同，但数据安全技术仍然是前文所述的几种。下面仅针对系统管理数据（包括用户注册数据、信息源注册数据、计费结算数据）,详述各种安全保护措施。系统的各种管理数据中，由于用途不同，其安全保护目的也有所不同。其中，对部分数据需进行加密，防止被黑客窃取，这种数据主要包括用户的密码；对部分数据需进行签名，防止数据被篡改，这部分数据主要包括用户的电子身份证。用户密码的安全用户的密码是用户通过认证/ 授权系统验证、进入系统的关键数据，因此是黑客经常攻击的数据。我们采用数据加密技术，在存储和传输中给予保护：存储加密：用户密码存储在用户数据库中，采用UNIXPASSWORD的加密方式进行加密，即使系统管理员也不能得到其明文形式。传输安全：用户密码传输主要发生在网络层和信息层认证时，用户登录、输入用户名和密码。在网络层认证时，用户密码在NAS与其对应RADIUSSERVER之间传输，采用RADIUS协议定义的对称密钥加密算法进行加密。信息层认证时，用户将密码输入登录界面、传递给发证服务器（WWWSERVER），可以在用户端Browser中采用SSL协议加密，也可以在登录系统中依靠专用程序、在客户端进行加密。电子身份证的安全电子身份证（COOKIE）是用户经过系统验证通过后，系统为用户发放的用于标明其身份的证件。对它的保护重点在于防止被“伪造”，因此主要采用签名技术。存储环节的保护电子身份证存储于用户的客户端Browser中。COOKIE的存储分为两种：驻留COOKIE和非驻留COOKIE。驻留COOKIE存放于客户机的硬盘上，Browser关闭后仍然存在，用户多次上网只需在信息层登录一次，直至COOKIE有效期为止。非驻留COOKIE存放于内存中，Browser关闭后消失，用户每次上网都要进行一次信息层登录。我们建议采用非驻留COOKIE，以减少其被仿造的机率。传输环节的保护电子身份证分为两种：GobCookie和LocCookie。GobCookie全国有效，采用RAS算法进行签名（非对称密钥签名），LocCookie每个省内有效，采用MD5算法进行签名（对称密钥签名）。用户访问信息源时，信息源检验用户LocCookie中的MD5签名，如果签名正确，才允许用户访问；如果签名错误，则认为身份证被伪造，拒绝提供服务。密钥管理前文所提供的各种加密和签名算法中，涉及大量密钥，这些密钥本身的保密性比一般数据更加重要，系统必须提供完整的密钥管理，保证密钥在存储和传输中的安全。系统中有以下几类密钥需要管理：GobCookie中签名所需的密钥（非对称）。根据邮电部的规范，GobCookie中的签名/验证密钥每省一对，由全国中心的密钥管理服务器产生和发放，并定期更换；各个省中心定期到全国中心的密钥管理服务器提取自己的签名密钥（RSA中的PrivateKey）和验证密钥（RSA中的PublicKey），每个省中心仅仅知道自己的签名密钥，验证密钥对外公开； 省中心为用户发放本省的LocCookie之前，首先要到全国密钥管理服务器提取GobCookie发放省的验证密钥（RSA中的PublicKey）验证GobCookie的真实性。LocCookie中签名所需的密钥（对称）根据邮电部的规范，LocCookie中的密钥每省一个，由省中心产生、发放和定期更新；省内各个节点及信息源定期提取密钥，用于签名和验证。各个省中心RADIUSSERVER之间的密钥（对称）全国的网络层认证/授权体系是一种基于RADIUS的分布式结构，在处理跨省漫游认证时，需要两个省的省中心RADIUS进行通信，传递认证信息（包括用户密码）。其通信加密是RADIUS协议中规定的一种对称密钥的加密算法，每个省中心两两之间共享一个密钥，即：N个省共需N＊（N－1）／2个密钥。全国中心的密钥管理服务器定期产生、发放和更新这些密钥，每个省中心定期提取与其他省中心的密钥（N－1个）。 第1章.多业务互联1.1与声讯信息服务系统互联1.1.1160座席与169/163数据库信息共享声讯信息服务系统建设较早，并以国内高速增长的电话网作为构建基石，其用户群普及到电话网上的每一个终端用户，长期以来拥有众多的使用者，但由于电话网多数用户终端设备（主要为电话、传真）与计算机终端相比较为单一化和简单化，不适合获取多种类型的信息，因而其服务方式较为单一；同时由于现有的声讯服务平台在全国范围内分布较广，但结构松散，未能实现大面积的联网，由于未能形成一个完整的网络体系，各平台提供服务的对象范围、信息来源、信息量等受到了限制。多媒体信息网由于采用分布结构同时网络联系紧密，作为一个大型的信息容器与传输介质便于从外界获取信息并发布信息，但由于国民经济条件、技术水平、教育程度及其它多方面原因的限制，虽然网上用户数呈指数上升但由于基数小，用户总数仍处于较低的水平。通过联网可充分发挥多媒体网信息资源丰富、多元化的优势，同时能够吸纳声讯信息服务网上的众多用户。从服务角度来讲，通过两网的互联，使得两网的信息能够更好的融合与相互利用，并可利用双方各自的技术特点派生出多样化的新兴边缘业务。信息网与160声讯信息服务系统互联，以达到信息共享、用户共享的目的。对于信息网，160系统一方面是信息源，160数据库作为信息源接入信息网；另一方面，160系统座席又是信息网的用户，拥有信息网上的用户帐号，可以代160系统的用户查询信息网上的信息。物理连接如果160系统与信息网平台物理距离较近，可以将160系统以局域网的方式接入信息网平台；如果160系统与信息网平台物理距离较远，则需在160系统中设立路由器、通过专线接入。IP地址160系统采用由本网统一分配的合法IP 地址进行内部编址，以便两网之间的互访和控制。域名信息网按照统一的域名规范为160系统分配域名，以便信息网将160系统的信息纳入全网信息导航系统。安全控制由于信息网与160系统网络结构、管理方式、安全体系等有所差别，信息网和160系统应通过网关进行隔离，以保证两网相互的安全控制。160座席可以在信息网的安全控制下，访问信息网上的信息资源；信息网上的授权用户可访问160系统资源。业务管理对于信息网，160系统一方面是信息源，信息网按照信息源管理系统对160数据库进行注册、管理、计费和结算；另一方面，160系统座席又是信息网的用户，信息网为其分配用户帐号和访问权限，通过用户管理系统对160用户帐号进行认证、授权、计费和结算等管理。在江苏省通信网中，已将160子系统和计算机子系统统一编址，因此两网之间可以直接访问，共享信息。160子系统对信息网及Chinanet/Internet的信息访问具有以下特点：160坐席以一个特定的身份访问信息网上的信息；160坐席对信息网上的访问范围受控，一般情况下，话务员仅可访问非娱乐性信息；160坐席对Chinanet/Internet的访问范围受控，禁止访问敏感的Web站点；更为重要的是，由于160和计算机两子系统紧耦合，通过两网的资源共享，可发挥双方的优势，派生多种新兴边缘业务。1.1.1169/163查询168声讯内容要实现169/163访问168声汛信息，必须要对168节点进行改造，改造后可以实现计算机用户方便快捷地享用原168 声讯平台提供的股评、大众娱乐、信息查询等服务。计算机用户进入该站点后，就可以连接到“168信息服务”页面，在该页中168的各类信息已按信息种类分栏，当用户点击感兴趣的相应信息时，就可以听到该信息的语音播放。对168的语音文件的访问从技术上讲可以通过以下两种方式来实现：方式一：图4-2Web浏览器访问168语音文件（1）如上图所示，对声讯平台的所有设备可以保持不动，通过一条网线或者是路由器上的一个以太网口与169平台相连。在169平台一侧增加一台数据网关，配置IPX协议，运行相应的软件，以实时和非实时的方式地将168的ADPCM压缩格式的语音文件转换成浏览器可以识别的声音文件（如RA格式），从而可以播放给用户听。方式二： 图4-3Web浏览器访问168语音文件（2）如上图所示，这种方式是基于InternetPhone的实现原理，系统中配置一台ITS（InternetTelephoneServer），它通过音频线与一台模拟输出的语音节点相连，用户端配置了声卡，音箱和InternetPhone的客户端软件，他通过浏览器点播了某一条语音信息之后，Web服务器将该项申请转发给ITS，ITS通过相应软件将该申请转换成TCP/IP的包之后，通过局域网送给语音节点，语音节点则启动相应业务流程，直接调用168的语音文件，并将之送回给ITS，ITS再把该条信息封装成TCP/IP的数据包后，传送到用户端，用户再通过客户端软件将它还原成语音之后播放出来。比较而言，第一种方式实现简单，投资较少，是一种较好的选择方案，但用户在听到语音之前会有稍许的时延，而第二种方案则采用了当前最新的技术，不仅可以通过ITS本身提供的API接口通过局域网实现对IP的控制，而且基本上可以将168中的所有节目（包括一些娱乐节目）搬上用户的浏览器。当然，这种方式的投资相对来说也要大得多。我们建议采用第一种方式。应该指出的是，如果所有的语音文件都采用实时转换的方式，一方面并发用户数受到很大的限制，另一方面对系统的负荷也会有一定的影响。所以，我们建议，对于一些固定的语音文件，如一些歌曲，科普知识可以以非实时的方式事先转换成RA格式的文件之后存放于AOD服务器上，而对于一些如股评、专家热线的内容则通过实时转换的方式。这样不仅方便了用户（减少了时延），也充分利用了系统有限的资源。1.1与其他网络互联目前，社会上有各种信息服务提供者，为了实现信息资源的有效利用，充分发挥邮电在通信和信息领域的整体技术实力，本方案为江苏省多媒体通信网提供良好的第三方平台及异种数据库接入能力。同江苏多媒体通信网相连的其它平台我们采用如下方案。采用由本网分配的合法IP地址此种平台可能是本网的信源或企业的内部网(INTRANET)，在内部采用本网的域名与路由策略。可通过专线方式(DDN，X.25，FR) 连入公众多媒体通信网，本网设计时充分考虑了与异种数据库的连接。并可根据用户需求采用FIREWALL将信源或内部网隔离，为其提供充分的安全保障。 江苏省公众多媒体网(163,169)技术建议书第75页附图一：省网管中心局域网结构图： 江苏省公众多媒体网(163,169)技术建议书第75页附图二：省中心局域网结构图： 江苏省公众多媒体网(163,169)技术建议书第75页附图三：南京节点局域网结构图： 江苏省公众多媒体网(163,169)技术建议书第75页附图四：苏南节点局域网结构图： 江苏省公众多媒体网(163,169)技术建议书第75页附图五：苏中节点局域网结构图： 江苏省公众多媒体网(163,169)技术建议书第75页附图六：苏北节点局域网结构图'