中国联通管理支持系统（uni-mss）技术规范1[1].0版.doc

中国联合通信有限公司管理支持系统（UNIMSS）技术规范（10版）（省分公司）征求意见稿中国联通计费、结算与信息系统部20044内部文件注意保密规范序列号032中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）I前言本规范是针对目前阶段建设中国联通省分公司管理支持系统的技术要求，主要包括建设目标、系统及体系结构、系统接口、系统技术要求等。本规范是针对目前阶段开发中国联通省分公司管理支持系统的技术要求，作为目前省分公司管理支持系统建设工作的指导依据。本规范将随着管理需求、管理手段、管理技术的改变而做进一步的修订完善。本规范起草单位中国联通计费、结算与信息系统部本规范修改和解释权属中国联通计费结算与信息系统部本规范由中国联通技术部归口管理中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）II目录一概述11项目背景12编制目的23适用范围24规范起草单位25规范解释权26参考文献2二建设目标及原则31总体建设目标311提供决策所需信息，提高决策水平312重组业务流程，提高管理水平313实现流程自动化，利用自动化增加生产力314通过虚拟团队构建，支持扁平化管理，增加企业运营效率415提高信息系统之间的共享和贯通，实现信息共享422004年建设目标43建设原则531物理集中、业务分布532统一规划、分步实施533建设、推广、维护并重54技术原则641实用性642统一性643灵活性644开放性645可靠性646安全性6三系统功能及体系结构7中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）III1MSS在UNIIT中的定位72MSS系统架构83MSS与相关系统的关系94MSS总体功能结构105系统功能1151统一展现平台1152管理信息服务1253协作办公1354内容管理1555通信服务1656流程管理1857信息整合19四系统接口191与总部MSS的接口1911公文传输1912文档、数据传输192对省分公司其它系统的接口2021系统类型2022接口方式20五组网方案201广域网组网方案202局域网组网方案2121省公司局域网2122地市分公司局域网223移动办公接入方案2331VPDN方式2332CDMA1X上网卡方式2333VPN方式244INTERNET接入方案255IP地址及域名规划25中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）IV六系统管理251网络管理262主机系统管理263数据库管理274应用管理27七安全管理271物理与环境安全272身份鉴别与认证283访问控制294安全操作与安全维护315防病毒3251防病毒技术和产品的部署3252防病毒实施的要点336安全监控3361监控的内容与流程3362入侵监测3463入侵检测系统的选择要求347安全审计3571风险评估3572日志审计368安全事件响应与恢复3681响应和恢复的关键因素3682通过冗余实现高可用性3683系统自动响应恢复能力37八系统技术要求371应用系统3711应用软件设计要求3712应用系统性能要求392系统软件要求40中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）V21操作系统4022数据库403设备要求4231主机设备4232存储设备4233网络设备434设备工艺要求4341机架要求4342机械加工工艺4443表面涂复处理4444机架电源4445可闻噪声及震动4446冷却、通风4547过压保护455机房环境要求4551机房温、湿度要求4552防尘要求4553防电磁干扰要求4654接地4655其它环境条件46中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）VI主要变更说明中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）1一概述1项目背景随着经济全球化趋势和中国加入WTO，中国电信市场的政府管制力度将越来越弱，市场更加开放，竞争更加激烈。国内外市场环境要求国内的公众电信运营企业在经营理念、管理模式上能有较高层次的飞跃，以求在电信运营商的国际化竞争中立于不败之地。中国联通作为国内唯一一家对所有电信业务拥有经营权的电信运营商，拥有全国范围内相当规模的公用电信网，经营多种基础电信业务和增值电信业务，形成移动（GSM/CDMA）、长途（193）、数据（165）、IP电话、市话、寻呼、增值业务等多种业务并存共同发展的格局。中国联通在全国31个省市建有分公司，为了有效的发挥公司内部资源，提高内部管理效率，提高经营管理水平，中国联通于2001年至2002年在联通总部以及广东、浙江和山东三个分公司进行了办公自动化系统的试点建设，目前已经建成运行。但由于系统建设基本上是以省级分公司为基本单元建立的，没有能够形成中国联通全国范围内的互连互通。2003年王建宙董事长、总裁对办公自动化系统的建设进行了批示，其中指出“OA已经远远超过了办公自动化的涵义。可以给这个系统起个名字，如果没有更好的名字的话，我建议定名为MANAGEMENTSUPPORTINGSYSTEM，简称MSS系统。MSS要建设成为中国联通统一的管理支持系统，其使用对象是全联通的管理人员。MSS应该是ERP和CRM的承载体，管理人员使用ERP和浏览CRM信息都应该通过MSS这个平台，MSS还应该可以从网络管理层直接取得信息，例如，公司领导可以随时从MSS了解各省分公司的CDMA爱尔兰情况，这些数据不必再去ERP转一下，可直接从网络管理层提取”。从王董事长的批示中可以看出，管理支持系统（MSS）是办公自动化（OA）系统的扩展和升华，不单纯是名称的改变，而是站在战略发展的高度把系统的建设方向和范围重新定位。以前提到的OA系统，如电子邮件、电子文件、甚至内部网络一类的服务，是企业实现信息化的基本需求。然而，MSS涵盖的范围将远超过OA。因此，中国联通决定统一规划建设全国范围内的MSS。2003年联通总部编制并通过了中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）2中国联通管理支持系统（UNIMSS）总体方案，明确了MSS的总体建设思路。为了更好的指导省分公司的近期MSS的建设，近期中国联通总部又组织编制了中国联通管理支持系统（UNIMSS）技术规范（省分公司）（以下简称“本规范”）。2编制目的本规范在对各试点系统实施及运行情况进行分析的基础上，结合总体方案的建设思路，提出MSS系统的总体建设目标和2004年建设目标及系统功能、体系结构，对MSS的组网方案、系统管理、安全管理及系统接口等方面进行规划，同时还对系统的建设提出要求，为中国联通MSS的建设起指导作用。3适用范围本规范是中国联通各省分公司进行MSS建设的基本依据。各省可依照本规范以及其它相关标准，结合本地实际情况建设本省的MSS。4规范起草单位本规范起草单位为中国联合通信有限公司计费、结算与信息系统部。本规范增补、修订权属中国联合通信有限公司计费、结算与信息系统部。5规范解释权本规范的解释权为中国联合通信有限公司总部。6参考文献中国联通综合管理信息系统技术规范（VER10）中国联通管理支持系统（UNIMSS）总体方案中国联通管理信息系统（OA）IP地址方案中国联通办公自动化系统建设方案域名与邮件技术规范中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）3二建设目标及原则1总体建设目标通过MSS的建设，使得中国联通在企业的发展过程中，固化现有的、不明确的流程，以有效的信息化手段推行标准化的信息分析和业务流程，提升企业管理效率和执行力水平，增强企业核心竞争力，支持企业战略和目标的贯彻和实现，促进联通在日益激烈的市场竞争中迈向国际一流的电信企业。11提供决策所需信息，提高决策水平目前联通的信息系统还不能为管理人员的决策提供全面高质量的管理信息。如何将准确、全面的管理信息整理和展现出来，为管理人员决策提供支持，是驱动MSS项目建设的一个战略目标。建设初期，MSS需要为各级管理层一站式地展现各方面的信息和报表，最终更能够进行各种综合的信息汇总和分析。12重组业务流程，提高管理水平目前联通企业内部流程还没有明确规划。每个决策者都站在一个相对片面的角度，却力图尽可能全面地考虑问题，难免造成疏漏。特别是中间管理层，对企业可能没有战略性的、宏观的思维，决策的制定绝大部分依赖个人经验或者受限于部门的利益。MSS项目为联通提供了一次去重新设计决策的流程机会，以强化跨功能配合，而且把这些流程一致部署到所有部门和地点。流程重组首先关注日常管理流程的自动化，下一阶段再进一步关注跨系统的企业支持性流程。13实现流程自动化，利用自动化增加生产力联通大部分省分公司的办公流程依赖于书面文件，一方面影响了诸如公文流转之类管理流程的操作效率。另一方面也影响了日常管理流程的效能，诸如组织决策所需的信息，以及中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）4跟踪决策的落实等。试点省分公司OA项目建设，已经充分地证明了公文流转和各种审批流程等日常管理工作的自动化缩短管理流程周期，提高了效率。相信随着MSS项目建设的进行，将进一步提高公司的工作效率。14通过虚拟团队构建，支持扁平化管理，增加企业运营效率成功的现代企业在运营和管理中大多利用虚拟团队。虚拟团队的工作焦点可以是某个项目、某个端到端流程、某个客户、某种技术等等。虚拟团队带来的优势是可以利用多部门/跨地区的资源及专业知识完成工作，提高企业的运营效率。如此的组织模式，需要组织具有高度的成熟度和灵活度。当联通逐步转化成国际型领导企业，虚拟团队的建立也是不可避免的。MSS项目为促成虚拟团队的建立提供了基础。15提高信息系统之间的共享和贯通，实现信息共享联通近年进行了快速的信息化，大力推动CRM、ERP和其他MIS系统，运用的模式是省分在总部订立的宏观框架下独立开发。这个模式简单而且能够配合联通目前管理的现实，但也引起一些问题，如信息分裂，系统难于管理。在现代化大型企业中，普遍有“共享服务”这个概念。这概念就是把部门间及系统间共同的需求，以统一的内部服务形式来实现。与各自建设比较，共享服务更能有效利用资源，提高一致性，逐步优化服务水平。22004年建设目标2004年MSS省分公司具体建设目标包括完成省分公司办公局域网、各地市分公司办公局域网以及省分公司与地市分公司之间MSS传输网的建设，实现总部、省分公司、地市分公司之间办公网络的连通；建设电子邮件系统，实现省分与总部及其他单位邮件系统的互联互通；建设公文管理系统，通过与联通总部信息交换平台的连接，实现全国范围内公文流转的电子化；中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）5建设与经营分析系统的接口，以展现经营分析报表，提供管理信息服务。2004年省分公司MSS建设考核内容序号考核内容目标1展现经营分析报表提供管理信息服务2建设公文管理系统全国范围内公文流转电子化3建设电子邮件系统全国范围内电子邮件互通3建设原则由于MSS是一个面向全国的综合性信息系统，根据中国联通的相关精神，结合中国联通的实际情况，本系统在建设过程中应遵循以下原则31物理集中、业务分布中国联通MSS采用总部、省级两级集中建设的方式，即由总部和省分公司集中配置软硬件设备，实现应用和数据的集中，各地市分公司仅配备一定数量的客户端，并由指定人员对涉及本地市的功能进行系统设置与管理的分散维护模式。32统一规划、分步实施中国联通MSS涉及总部和31个省分公司，规模较大，具有一定的实施难度。需要实施全网统一的技术标准和比较统一的软硬件平台，并在运行中不断完善和改进，才能最终建成一个高可靠性的、高效运行的计算机网。这在客观上要求工程建设中做到全网统一领导、统一规划、统一技术标准、分步实施。33建设、推广、维护并重MSS的建设是一个系统工程，系统的前期建设、中期推广、后期维护工作都很重要。为了保证MSS的建设、推广、维护的顺利进行，应以计费、结算和信息系统部为技术核心建立相应的技术保障队伍，并明确与各业务部门的分工界面。中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）64技术原则41实用性在MSS应用软件开发时要充分考虑实用性，能够真正为工作带来便利，并应充分考虑利用原有软硬件资源。对于系统的界面和操作，要考虑不同用户的实际需要和用户层次，体现个性化。42统一性统一性是中国联通统一企业形象的重要体现，具体包括统一的系统建设规划、统一的流程规划、统一的界面展现规划等。43灵活性系统应能够适应中国联通的各项管理需求的发展变化，灵活地设计、调整业务处理流程和组织结构，参数驱动，流程自定义。44开放性由于MSS需要展现的信息除了内部系统外，更多的来自外部系统，因此在系统设计时，应充分考虑对数据标准和应用接口标准的支持，以使系统具有多样性和广泛的互连性。45可靠性MSS需要为中国联通各级管理层提供服务。系统的建设规划要充分考虑系统投入运行后即作为生产系统，一是要求应用系统首先应该是正确的；二是要求具有备份功能和措施，初期可采取系统备份、工作分摊的方案减少一次性投资；三是要求具有高的容错及故障恢复能力，即出现意外时能够隔离故障区，保护重要数据，通知管理人员做人工干预，避免灾难性后果发生。中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）746安全性系统中充分考虑用户、系统、网络方面的安全性要求，防止来自外部非法的访问。系统具有用户的身份认证和权限管理，对应不同的应用层次。既能保证不同用户高效、快速地访问控制授权范围内的系统资源，也能有效地阻止用户之间的非法侵入、非授权访问。对关键的设备和系统还有完善的安全性保护方案。三系统功能及体系结构本章主要对MSS的定位及总体功能架构进行说明，并对具体功能分别定义和描述，同时确定各项功能的实现优先级别，以指导各省分公司确定本省MSS功能。1MSS在UNIIT中的定位联通企业信息化系统（UNIIT）是在基础通信网及其管理网络之上，由企业资源计划（ERP）、客户关系管理（CRM）和管理支持系统（MSS）三个部分组成。系统体系结构如图GSMCDMA互联网长途数据寻呼交换机基站网关路由器传输HLR接入系统运行监督网络流量运行质量网络调度应急处理网络元素层网络管理层UNIITCRMERPERP财务）HR专业MIS呼叫中心大客户系统信用、防欺诈综合营帐综合结算财务管理资产管理采购管理项目成本管理预算库存管理统计分析MSS企业门户管理信息服务流程服务共享服务中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）831所示图31UNIIT体系结构图其中（1）ERP系统的中心任务是通过流程管理、资产管理、财务管理、采购管理、人力资源管理等进行成本核算，目标是优化内部资源、提高产品和业务质量；（2）CRM系统的中心任务是通过对客户提供优质服务以及对业务运营的支撑进而直接获得企业的利润；（3）MSS系统的中心任务是提供管理信息、促进企业管理流程的重组和自动化、提供共享服务。MSS的“使用对象是全联通的管理人员。MSS应该是ERP和CRM的承载体，管理人员使用ERP和浏览CRM信息都应该通过MSS这个平台，MSS还应该可以从网络管理层直接取得信息”。2MSS系统架构鉴于目前中国联通信息系统大多采用两级结构，各省分公司的管理相对独立，中国联通MSS分为总部系统和省分公司系统两级，各级系统既要针对自身的具体情况进行建设，又要遵守相同的技术规范，共同构成中国联通MSS。应用系统架构如图32所示。联通总部MSS系统省分公司MSS系统MSS传输网第一级第二级省分公司MSS系统中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）9图32中国联通MSS两级系统架构3MSS与相关系统的关系省分公司MSS存在与总部MSS以及与省分公司内部其它系统（如CRM、ERP、网管等）的接口。图33省分公司MSS与其它系统关系图其中省分公司MSS需要与总部MSS进行公文、文档、数据等信息交换。总部MSS与省分MSS两级系统之间的信息交换统一采用总部MSS中的信息交换平台实现。信息交换平台项目由总部统一规划建设，各省分公司配合实施。具体接口标准参见中国联通管理支持系统（UNIMSS）信息交换平台技术及接口规范（总部将随后下发）。另外，省分公司MSS需要从省分公司内部其它系统（如CRM、ERP、网管等）获取各类管理信息，为管理人员提供服务，同时未来还需要提供统一的流程管理服务，与其它系统进行交互，促进业务的流程重组。总部MSS省分公司MSS省分公司CRM省分公司ERP网管系统中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）104MSS总体功能结构图34MSS总体功能结构图如图34所示，MSS采用多层结构，共分为接入层、展现层、业务层和基础设施层四层。（1）接入层用户使用多种办公设备（包括PC、PDA、手机等）及多种接入方式（INTRANET、INTERNET、VPN、VPDN、CDMA1X等）接入到MSS。（2）展现层提供一个企业内部信息交互及所有业务系统的统一展现入口。实现展现、认证授权、用户管理三大类服务。（3）业务层作为MSS的具体应用实现，又可分为基础信息服务和应用业务服务两个层次，其中基础应用业务服务基本信息服务通信服务协作办公流程管理接入层展现层业务层基础设施层基础网络及硬件设施统一展现信息整合认证授权管理用户管理接入（INTRANET、INTERNET、VPN、VPDN、CDMA1X）内容管理接口管理系统及安全管理管理信息服务PC、PDA、移动电话等专业管理中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）11业务服务层一般不独立存在，作为一些应用业务的支撑，如通信服务（电子邮件、短消息、即时消息等）、流程管理、信息整合等，而应用业务服务层则直接提供给用户具体的应用，如管理信息服务、内容管理、协作办公、专业管理等。其中专业管理系统由总部信息化办公室统一规划，相关专业管理部门主导推进，但须遵从MSS的总体架构，具体功能本规范暂不做详细说明。（4）基础设施包括基础网络及硬件设施等，保证MSS的正常运行、访问。此外，MSS还包括贯穿各个层次的系统及安全管理和接口管理。5系统功能MSS由统一展现平台、管理信息服务、协作办公、内容管理、通信服务、流程管理、信息整合等几部分构成。图35MSS功能图51统一展现平台为了让用户方便地使用MSS，需要提供一个一致的统一入口。具体包含以下功能统一展现平台管理支持系统管理信息服务通信服务协作办公内容管理流程管理信息整合统一展现平台统一展现管理认证授权管理用户管理中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）12511统一展现（1）定义实现对MSS的各种应用及信息内容在展示层面进行整合，并针对不同类型的信息为使用者提供个性化的展示内容。具体展现的内容包括管理信息、办公信息等。（2）功能描述在单个浏览器提供多个不同的模块对应多个不同的应用或信息源。分层次的个性化服务，将整个企业的领导和员工分为不同的域、组群、用户，实现企业级、部门级的个性化服务。512用户管理（1）定义实现省内MSS内部各业务系统用户的集中管理。（2）功能描述对用户的各项信息提供增、删、改等操作维护功能。要求系统支持LDAP，其中用户名、组织机构、职务、岗位、通讯地址、员工编码、手机、邮件地址必须按照总部统一规划进行规范。（总部将随后下发）513认证授权管理（1）定义提供集中的身份认证和授权管理。提供总部、省分两级集中认证，同时支持员工帐号和员工工号两种认证方式。（2）功能描述提供基于URL的资源访问控制，支持对内容/URL/内容的种类等进行过滤；提供基于角色的授权管理；提供详细的日志和报告功能；提供丰富的身份认证方式。514功能优先级统一展现平台的功能优先级定位为高优先级，建议省分在2004年建设，不作为2004年省分MSS建设的考核指标。但在系统建设过程中，必须严格遵守总部规范。中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）1352管理信息服务（1）定义管理信息服务主要根据各部门各级工作人员对信息的不同需要，将外部系统的各类管理信息采集到MSS中来，进行一站式地展现，并能进行临时性的信息汇总与分析，为各级管理人员的科学决策提供支持。管理信息服务提供的信息主要是管理人员需要了解的综合性的信息，具体包括企业各业务的经营信息、财务信息、网络资源信息、网络承载信息、客户投诉信息等。（2）功能描述信息采集使系统可以从外部系统采集管理信息。系统应提供信息录入功能，为建设初期相关业务系统没有建成或没有提供数据接口的情况下进行纸质报表的录入。信息展现将系统采集的信息展现给最终用户。系统应提供多种查询方式（定制查询、组合查询、模糊查询等），以多种形式展现信息（数字报表、图型报表）。信息汇总、关联与分析通过信息的积累，系统应提供关联信息汇总的功能，方便用户的查询。同时系统应提供简单分析功能，给领导的决策提供建议。信息审批对于部分需由MSS展现的关键信息或需上传到总部的信息，需要稽核并经过相关领导的审批，系统应提供信息审批的功能，以确认信息的可靠性。（3）功能优先级该项功能优先级高，作为2004年省分MSS建设考核指标之一，但2004年主要提供经营分析系统报表的简单展现，不要求具有汇总、关联与分析的功能。53协作办公建设初期，协作办公主要实现公文管理、个人工作台。管理信息服务信息采集信息展现信息汇总分析信息审批中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）14531公文管理（1）定义公文是在实施行政管理、行业管理过程中所形成的具有规范格式和法定效力的公务文书。公文管理子系统能够实现公文的电子起草、审核、会签、签发、登记、批示、传阅等工作，处理反馈、催办、流程跟踪与统计、查询和归档等任务。（2）功能描述公文管理主要包括收文管理、发文管理和档案管理。收文和发文又可细分为公文起草、公文签报、公文传阅、公文统计、公文分类归档和公文查阅等。档案管理可分为档案的登记、查询、借阅等。要求可以自动跟踪文件的传递过程；具有时限要求，可以全程催办，提高公文的处理速度；与具体经办人员或部门的日程安排相结合，避免因个人出差而造成公文的积压；级别及权限的划分和严格的档案管理体系可以保证传阅和查询的高度安全保密；实现一对多的文件传递和跟踪。公文管理的工作流程应可以自行定义，以方便各专业部门不同工作流的需要。具体公文管理的流程定义、公文模板格式、总部与省分公司之间公文的交换规范参见总部相关的规范（总部将随后下发）。（3）功能优先级该项功能优先级高，作为2004年省分MSS建设考核指标之一，年末各省必须实现与总部公文交换的电子化。532个人工作台（1）定义个人办公以电子秘书为指导思想，建立一个相对独立的工作环境和文件处理系统，提供与个人的有关信息。（2）功能描述电子邮件实现电子邮件的起草和收发功能。待办事宜提供自动提醒和显示当前急需处理的审批、会签、签发、批示、办理等事宜。短信发送提供手机短消息发送的功能。日程安排用于安排个人的工作计划，提供按时间和类别两种分类方式。提供制定中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）15和修改工作安排日程表、对日程表进行删除管理、设置提示、查询统计个人空闲时间等功能。通讯录提供中国联通内部的个人、公用电话号码本。个人设置实现MSS中相关个人参数配置，如当用户出差、请假或其它原因暂时离开工作岗位时，提供对公文处理流程中的审批、会签、签发、批示、办理等权限的委托；提供手机短信提示的配置。（3）功能优先级该项功能优先级高，作为办公系统的基本功能，但不作为2004年省分MSS建设考核指标。54内容管理（1）定义MSS建设初期的内容管理主要实现联通企业内部信息的发布管理，未来可以实现联通内部真正意义上的内容管理，即包括文档管理、WEB内容管理和复杂类型内容管理等。（2）功能描述这里主要描述MSS建设初期所实现的内容管理功能企业介绍包括企业文化、企业业绩、企业发展史和合作伙伴等内容；规章制度用于将企业内部的有关人事、劳资、财务、保密和其它管理制度、工作准则及其它政策在企业内部发布，供员工随时查阅；公共信息主要提供日常办公和业务处理经常使用的信息，包括国际组织、常用网址、内部电话号码、常用电话号码、各省公司联系电话等；信息发布用于企业内部各部门发布相关信息，以部门为信息发布单位，具体对象包括本部门内部人员、本公司内部人员、各分公司等；新闻简报用于发布企业内部的新闻，主要包括企业内部普通新闻、科技动态简报、相关时事简报等。对科技简报提供分类、关键词和期号检索功能；电子期刊用于企业内部期刊的发布；电子论坛用于企业内部员工进行交流、沟通。（3）功能优先级中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）16该项功能优先级中，作为办公系统的基本功能，但不作为2004年省分MSS建设考核指标。55通信服务551电子邮件（1）定义邮件系统为联通各省分公司的全体正式员工每人提供一个邮件信箱，本信箱可以与INTERNET相互进行收发邮件。（2）功能描述邮件系统提供的基本功能包括支持客户端及WEBMAIL方式；接受邮件、发送邮件、回复邮件、转发邮件、删除邮件等基本邮件处理；收件箱、发件箱、已发送邮件、草稿、垃圾箱、自定义个人文件夹等的管理；公司及个人通讯录管理；邮件过滤功能；短信提醒功能。（3）功能优先级该项功能优先级高，作为2004年省分MSS建设考核指标之一。552短消息服务（1）定义提供手机短信发送功能。（2）功能描述提供与其它MSS功能的集成，实现系统自动发送手机短信通知的功能。通信服务电子邮件即时消息短消息服务信息推送中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）17提供用户在浏览器端向目标手机发送短信息的功能。具体要求如下支持群发操作；支持中英文；支持所有的手机类型；支持定时发送及有效时间；支持短信与MSS的其它组件（如公文、会议等）集成；对于用户在信息推送中订阅的信息，支持自动发送新消息的发布功能；（3）功能优先级该项功能优先级高。553即时消息（1）定义当用户在线工作时，系统可以将信息即时的发送到用户的工作终端上。（2）功能描述即时消息服务为用户提供消息提示和在线交流两种功能信息提示即在系统运行过程中，向下一个处理人发送待办提示。当其处理完毕后，系统可以自动或提示手动删除此条提示信息；提供用户管理提示信息的功能，如查看、删除等操作。在线交流提供类似ICQ的功能。支持对用户的注册功能支持用户在线提示功能支持即时输入信息支持查询检索功能（3）功能优先级该项功能优先级低，有条件的省分可以根据自身情况进行建设。554信息推送（1）定义中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）18对于MSS里的信息，用户可以按自己的要求订阅。当所订阅的信息更新时，系统可以采用即时消息、邮件、短消息等多种方式发送给用户。（2）功能描述支持订阅配置支持消息推送功能信息推送服务应与其它MSS功能集成，其它MSS功能模块可以调用信息推送的发送功能，将信息推送给用户。（3）功能优先级该项功能优先级低，有条件的省分可以根据自身情况进行建设。56流程管理（1）定义流程管理主要针对联通企业内部工作流程，通过流程管理平台实现流程的自动化。内部流程可以分为日常管理流程和企业支持性流程，其中日常管理流程是指那些已经明确规定和不需要跨应用系统的支持性流程，如公文流转、会议室管理、车辆管理等，这类流程应优先考虑的；企业支持性流程通常都横跨多个应用的支持性流程，如采购流程，由于涉及到流程的重组，可以放到下一阶段实行。（2）功能描述流程定义通过流程定义工具进行流程模板定义、环节属性定义及权限分配。流程监控列出当前运行的流程实例列表，显示流程的流水号、该流程各环节任务的状态。显示各环节任务的接受时间、完成时间、接受人（可以是多个）、完成人。并为管理员提供异常情况处理功能。流程统计对流程的运行数据进行统计查询。可以根据流程、任务、人员和时间段进行查询，包括流程和任务的执行次数、平均时长、员工的任务量以及其它一些流程数据的报表。系统接口提供多种接口方式用于与其他系统接口，使得其他系统可以方便的进行工作流调用。（3）功能优先级中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）19该项功能优先级高，是2004年省分MSS建设内容，但主要实现协作办公的流程支撑。57信息整合（1）定义通过信息整合平台实现异源异构数据的获取、处理，提供给不同层次的应用系统。管理信息服务系统可以通过信息整合平台获取信息。（2）功能描述支持对异构异源数据的获取；支持对数据的处理（格式转换、清洗、校验等）；响应应用系统的数据请求，提供相应数据供应服务。（3）功能优先级该项功能优先级低。四系统接口1与总部MSS的接口具体接口规范参见中国联通管理支持系统（UNIMSS）信息交换平台技术及接口规范。（总部将随后下发）11公文传输总部与各省分公司之间进行公文传递时，利用信息交换平台来实现。12文档传输指除公文外的需要在总部与各省分之间或者各省分之间传递的各种格式的信息，例如文档、新闻、期刊等。该部分信息的传递，也利用信息交换平台来实现。中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）202对省分公司其它系统的接口21系统类型MSS需要与ERP、CRM、网管以及部分专业管理系统交互。2004年主要实现与经营分析系统的接口，以展现经营分析报表。22接口方式对于报表展现，可以采用以下几种方式，各省分公司可以根据自身情况选择接口方式。（1）简单连接在这种方式下，MSS只提供应用系统对外服务的一个入口链接。（2）结果数据提供在这种方式下，MSS将应用系统需要在MSS中展现的内容，通过约定交换的数据格式进行数据交换。由MSS负责展现结果数据。五组网方案1广域网组网方案由于联通已经建成了自己的骨干网，所以在MSS的建设过程中应当充分利用现有的骨干网。但是考虑到MSS的相对独立性和系统的重要性，所以在使用骨干网的同时，应当建立安全和相对独立的逻辑专用网（中国联通MSS传输网）。目前，联通总部已经建成了用于连接总部与省公司的MSS传输网，用于总部与省公司之间的管理信息传递，而各省分公司负责建设用于连接省公司与各地市分公司的MSS传输网，以实现全省范围内部的管理信息传递。在建设时，总部到省分、省分到地市采用不同物理管线的冗余线路建设方式。具体实现可以采用一种传输方式的多条线路进行备份，也可以采用不同的传输方式的传输线路进行备份。中国联通MSS广域网组网如51所示。中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）21图51中国联通MSS广域网组网示意图由于MSS将同ERP及其他专业管理系统共用广域网传输平台，省分局域网建设中应设置相应的子网进行安全控制，同时为了防止从INTERNET可能进入的攻击者，只在总部和省分设立MSS的INTERNET出口，并做好安全防范工作。在具体的网络使用中，要充分利用网络的带宽，不能让带宽成为系统发展过程中的制约因素，同时在具体使用上要尽量节约带宽资源。2局域网组网方案下面参照各试点系统的情况，分别给出省分公司及地市分公司的组网方案，作为系统建设的参考。21省公司局域网由于MSS采用集中处理模式，业务负荷较重，各服务器的处理性能要求较高，对局域网具有信息传输量大、转发速率快的要求，因此省公司MSS局域网宜采用快速以太网或千兆以SISISISIVLAN1VLAN2VLAN3VLAN4MSS传输网总部SISIVLAN1VLAN2VLAN3VLAN4省分地市SISISISIVLAN1VLAN2VLAN3VLAN4PSTN移动办公INTERNETINTERNETINTERNETPSTN移动办公移动办公CDMA1XCDMA1XMSS传输网中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）22太网组网方案，即以快速以太网交换机作为局域网的核心，各类服务器采用快速以太网连接至核心交换机，其它设备如办公终端、打印机等设备则以快速以太网连接到接入交换机上。为保证局域网的安全可靠，应设置两台核心交换机。重要的服务器应配置双网卡，通过局域网线路分别连接到两台核心交换机上，实现网络链路的备份，消除系统的单点故障。同时考虑与INTERNET统互联，以及移动办公用户的接入等问题，整个局域网组网方案如图52所示。图52联通省公司MSS局域网组网示意图22地市分公司局域网各地市分公司MSS由所属省公司统一规划建设。由于MSS采用集中建设的方式，因此各地市分公司仅配备网络设备和一定数量的办公终端。具体网络组织如图53所示MSS传输网省公司MSS地市图53联通地市分公司MSS局域网组网示意图MSS传输网SISIPSTN移动办公终端INTERNETCDMA1X省分公司MSS总部地市分公司中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）233移动办公接入方案针对联通总部、省分、地市工作人员经常出差的特点，MSS应支持移动办公的功能，使得用户可以在异地远程接入访问公司内部MSS，获取办公信息。结合联通的网络资源情况，可以采用以下几种移动接入方式有多种。省分公司可以根据自身情况选择建设。31VPDN方式通过165网VPDN（VISUALPRIVATEDIALUPNETWORK，虚拟私有拨号网络）的方式，在联通总部设置VPDN用户认证管理服务器，移动办公用户通过拨叫统一接入号码，接入本地165网，经165网访问MSS内部用户认证管理服务器，经认证后访问MSS。具体连接如图54所示。图54移动办公通过VPDN连接示意图这种方式具有安全、经济、可靠等特点，但受限于165网的覆盖情况。32CDMA1X上网卡方式该种方式是CDMA1X无线网络与VPDN的结合，通过笔记本加CDMA1X上网卡进行无线拨号，通过VPDN的方式接入到MSS，经用户身份安全认证后访问内部网络。具体连接如图55所示。移动用户165网虚拟通道VPDN用户认证管理服务器应用服务器终端电话线电话拨号以太网MS系统内部局域网中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）24在试点省分的应用推广中发现CDMA1X移动办公接入对应用的推广起了很好的作用。图55移动办公通过CDMA1X上网卡连接示意图33VPN方式在MSS内部设置VPN网关，连接到INTERNET。移动办公人员先通过拨号或CDMA1X上网卡连接到INTERNET，再启动VPN隧道连接到VPN网关，经安全认证通过后，访问MSS资源。移动办公VPN方案如图56所示图56移动办公通过VPN方式连接示意图这种方式具有安全、可靠等特点，但需要增加VPN网关的投资。移动办公用户165网VPDN用户认证管理服务器应用服务器终端CDMA1X上网卡拨号以太网MS系统内部局域网CDMA1X分组网移动办公用户165网VPN用户认证管理服务器应用服务器终端CDMA1X上网卡拨号以太网MS系统内部局域网CDMA1X分组网电话拨号用户PSTNVPN网关中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）254INTERNET接入方案因为MSS中包含有网络机密和商业机密信息，且管理信息网络将逐步成为企业办公和行政管理的重要基础设施，所以MSS在与INTERNET的互连中注意网络安全和信息保密两个因素。同时，为了防止从INTERNET可能进入的攻击者，只在总部和省分设立MSS的INTERNET出口。原则上，企业邮件服务器所在的网络不直接与INTERNET相接，即与INTERNET相连的机器与MSS要从物理上隔开，但这样，无法完成内部邮件与外部邮件收发信箱的统一及管理信息在INTERNET上动态发布等功能。鉴于目前的防火墙技术和产品已较成熟，在选择安全可靠、符合要求的防火墙产品系统和加强网络系统安全管理的前提下可考虑采用防火墙的方式通过联通165网实现与INTERNET的互联，如图57所示。图57MSS与INTERNET互连示意图5IP地址及域名规划具体参见中国联通管理信息系统（OA）IP地址方案和中国联通办公自动化系统建设方案域名与邮件技术规范。内部服务器内部用户INTERT代理/邮件转发服务器内部网络停火区外部网络以太网防火墙以太网防火墙路由器中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）26六系统管理系统管理主要包括网络管理、主机系统管理、数据库管理、应用系统管理等。在建设时以系统的可用性管理为主。1网络管理实现省内MSS内部局域网及MSS传输网的监视和管理，包括运行管理可自动发现网络节点，自动产生网络拓扑图，自动生成和保持TCP/IP图象，持续监测网络设备状态，通过色彩确定网络设备状态，获取实时及历史网络信息等。故障管理实现对异常操作的监测，隔离和纠正。当发现网元故障/网络状态异常时，系统启动测试管理功能，进行故障诊断、定位测试，以便采取适当维护行动，最大限度地降低故障对网络运行的影响。同时，提供完整的差错日志，通过日志进行差错追查。配置管理实现对系统的各种网络设备进行资源配置、参数设置、功能定制等功能。性能管理性能管理用来对网络设备的有效性评价，包括获得设备的性能参数，如吞吐量、响应时间、是否过载等。通过监控，获取有关系统运行的信息及统计数据，并能在此基础上，提供系统的性能统计，如网络设备的可用率，故障率等。2主机系统管理实现对MSS内部主机系统资源利用情况的监视，包括主机资源（如CPU、内存等利用率情况等）的监视；操作系统监视；文件系统监视；日志文件的监视；进程监视以及性能监视等。系统管理主要能够获得如下信息CPU的空闲时间；内存的利用率；I/O的等待；主机关于硬件错误记录的日志报告；中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）27系统备份的正常运行和性能；备份使用的存储设备的存储量；各种系统软件包括操作系统、CLUSTER系统等的运行状况；文件系统的限额。3数据库管理主要实现对数据库系统运行情况的监视。数据库监视的内容包括数据库可用性情况、文件系统、表及日志空间、数据库死锁等故障情况、客户连接情况以及数据库的运行性能等。4应用管理实现对应用软件系统运行情况的监视。主要包括应用系统的可用性、日志以及运行性能等。七安全管理1物理与环境安全在联通各级管理信息系统中，物理与环境安全主要考虑以下因素。（1）设备放置安全将设备放置在合适的位置，将人员在设备区域的穿行降低到最低程度；设备放置采用标准机房环境；将设备按照不同的保护级别安放；采取必要的控制措施，降低盗窃、火灾、爆炸、烟尘以及电磁辐射等等情况的可能性。（2）供电应当防止设备出现电源故障，防止其它供电不正常现象。除了参考设备的供电需求，还要考虑以下问题中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）28多回路供电，以防止某个回路出现问题，造成断电事故；核心设备至少采用两路供电，有条件的可以采用三路供电。不间断电源（UPS），UPS电源应符合GB762087的标准；备用发电机。（3）通信线路安全通信线路支持信息传输，其安全与否关系到管理信息系统的可用性，完整性和保密性。应当通过安全控制措施保证其安全。可以考虑以下方面将通信线缆以暗线方式置入地下；用管道保护线缆，防止被切断；将通信线缆与电力线缆隔离，防止相互干扰；有冗余线路保护,总部到省分、省分到地市要求采用不同物理管线的冗余线路。（4）安全区域划分为防护设备隔离安全区域，通过物理分隔明确区域划分。对安全区域按照保护级别实行全方位的控制，减少来自人员和自然的威胁。2身份鉴别与认证在联通MSS中，身份鉴别与认证是保证系统信息安全的第一道技术防线。从机制上划分，用户身份的鉴别和认证有三种类型。一个实际的鉴别和认证机制可以是其中之一，也可以是混合使用。这三个类型包括所知通过某个个体知道的内容进行鉴别，比如口令、个人识别码PIN、或者加密的密钥等。所持通过某个个体所持有的实体，比如令牌，IC卡等。所具有通过某个人体所具有的特征和能力，比如指纹、视网膜、面部特征、签名等。对于联通MSS来说，可依据实际需要选择不同的身份鉴别与认证机制。（1）基于所知的身份鉴别与认证措施典型的基于所知的鉴别和认证方法就是“用户名口令”机制。口令机制是最容易实现和成本最低的用户鉴别和认证机制。中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）29（2）基于所持的身份鉴别与认证措施基于所持的鉴别和认证都是将比较长的口令、密钥、证书等鉴别要素储存在一个TOKEN或者一个IC卡上；或者通过机制让TOKEN上能够产生动态的口令；或者将证书保存在固定的设备中，那么限制只能从指定设备来发起某些访问。通过被鉴别对象拥有这个卡来鉴别其身份。通常在一个信息系统中如果要实现基于所持的鉴别时，都会同时实现基于所知的鉴别和认证（比如，PIN），这样就形成了双重鉴别或者成为强认证机制。（3）基于所具有的身份鉴别与认证措施基于所具有的身份鉴别和认证可靠性较高，通常造价也比较昂贵。这类措施通常与物理访问控制相结合使用。属于这类身份鉴别与认证的具体措施有包括指纹、眼球、声音等等生物认证方式。2004年要求至少实现用户名、工号认证。3访问控制在联通MSS实际应用中，访问控制包括物理访问控制和逻辑访问控制。物理访问控制在上文已作说明，这里主要分析对信息系统的逻辑访问控制。（1）访问控制的准则基于鉴别的访问控制通常考虑访问控制是基于用户鉴别的访问，被鉴别的对象可以是具体的用户也可以是用户的进程。基于角色的访问控制建议考虑基于不同角色的授权。个体与角色关联，不同的角色会被授权拥有一定的访问权限。基于角色的管理可以解决基于用户鉴别访问控制中的管理复杂性问题。地点联通MSS可以增加对于访问地点的控制。比如，重要的服务器和网络设备可以禁止远程访问，仅仅允许本地的访问，这样可以增加安全性，当然会增加投资，同时也会降低系统性能。时间中国联通管理支持系统（UNIMSS）技术规范（省分公司）（征求意见稿）30可以在一些系统中增加了时间因素的控制，来增加访问控制的适应性。比如限制在一天的某些时间或者一周的某几天采用不同的控制规则。服务限制MSS中重要的子系统如公文、经营分析子系统禁止外部对系统的FTP等访问。（2）访问控制策略访问控制规则应注意考虑以下各项区分必须执行的规则与可选的或有条件则应执行的规则；所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提；对由信息系统和管理人员引起的用户许可的变化的相应调整。（3）访问控制产品的选择要求防火墙是目前最常用的访问控制产品，各地在选择防火墙时应注意满足下列要求防火墙有配置向导，降低配置的复杂程度；支持状态检测包过滤；支持透明网桥工作模式、路由工作模式和NAT工作模式；访问控制和流量过滤的策略支持用户自定义；支持DMZ的连