综合网管门户系统技术建议书

辽宁通信综合结算系统－技术建议书哈尔滨信通股份有限公司第2页，共=numpages21-120页综合网管综合网管门户系统功能说明PAGE55PAGE目录258891背景介绍 1164191.1项目背景 1114861.2建设目标 293072功能描述 382042.1功能视图 3299352.2功能详细描述 448852.2.1门户安全 4174432.2.2个人工作台 25104082.2.3界面集成（应用导航、Web页面剪裁、专题视图） 3114072.2.4综合信息管理 32152192.2.5信息交流 33125682.2.6掌上运维 35212082.2.7系统管理 36189413系统技术架构 38251043.1技术架构图 38105623.2功能化实施 41198643.2.1门户安全 41149183.2.2个人工作台 42207033.2.3掌上运维 44312573.2.4界面集成、综合信息管理、信息交流、博客、系统管理都是IBM门户和Lotus组件提供 44283013.2.5门户接入规范 44233503.2.6内部消息系统 45102073.2.7短消息、Wap和彩信个性化订制 45306994硬件配置 46235204.1系统建设原则 4643894.2硬件组网及配置方案（建议配置） 47301014.3系统硬件选型依据 4811494.3.1业务量依据 48背景介绍项目背景统一运维信息门户是综合网管系统的核心IT基础设施。门户是进入所有运维支撑系统的统一通道，并提供多种接入方式，是网络运维人员的综合工作平台，是网络运维信息的综合呈现平台。门户不仅为网络部门各类管理和生产人员提供服务，还为其他部门、代维公司、设备厂家等提供信息服务。门户技术作为系统集成的重要技术之一，主要解决界面集成和终端访问渠道等方面的问题。通过门户技术可以把原来分散的、多样化的信息和应用访问方式集成起来，向用户提供基于角色的、个性化的、聚合的应用视图，以及多样化的用户访问途径，从而提升网管支撑系统的使用简便性、改善用户使用体验。建设目标根据项目背景的分析和描述，信息门户是重点建设的目标。希望通过综合信息门户平台的建设，为我企的业务发展和IT规划建设实现以下目标：（1）实现灵活的管理，满足个性化定制，提供统一的工作平台在统一控制管理的基础上，系统能为员工提供个性化的管理平台。员工可以根据自身工作性质和对企业资源的访问需求，设置个性化的访问界面，并通过这种个性化的服务，及时查阅、管理相关的信息。门户系统在信息提供的处理过程中，应能根据用户角色分类定义不同的信息传送内容。（2）实现信息系统的统一管理平台企业信息门户系统涉及到数据库服务器、应用服务器和与目前的业务运行支撑系统的连接。通过对系统的集中的管理，能够降低管理的成本，使系统管理更加有效。因此对于企业信息门户，集中管理是非常重要的。门户软件应提供统一的系统管理工具用以管理企业信息门户系统相关的所有软件组件。同时应尽量提供单一集成的软件平台，系统应内置主要的开发工具以及开发与部署环境，系统完整性将有助于系统管理与技术支持，并可有效减少系统技术接口、减少技术接口的开发与维护工作量，从而也可以有效减少系统成本。保证有效利用现有系统投资并加以整合应用，通过门户程序简化对各种复杂流程、内容以及应用的访问及整合，提高整个IT系统的效率。（3）建立统一的Web信息服务体系实现内容的统一管理。实现内容的创建，发布，审批，发布，搜索，个性化。可以针对企业业务的需求，实现及时的企业新闻信息、企业文化、信息简报等多种多样的Web内容管理。提供完整的基于门户系统的内容管理解决方案（基于WEB的内容管理、文档管理、搜索、），并提供内置的生产力组件，帮助用户快速进行基于门户的信息、内容构建，并实现内容文档的创建、发布和整个生命周期的管理。（4）提供基础架构服务提供一系列的负载均衡工具、用户身份管理工具、安全扩展组件、虚拟门户支持、我企设备支持等等，提供客户最大的灵活性、扩展性，便于客户安全、高性能的对门户应用进行开发、部署、管理。（5）提供基于企业业务需要的协作平台提供开箱即用的协作组件，为部门内外部员工提供灵活的人员查找功能及丰富的协作办公环境，并提供大量的协作集成门户程序，可以灵活、快速的集成诸如Domino、IBMLotusSametime等各类协作应用。完成包括界面自定义呈现、单点登陆、注入业务的模型导入、导出，独立系统管理内容接入、部分生产维护内容接入、外部演示、信息服务、信息应用等门户基本功能实施。功能描述功能视图门户的安全要求具有以下几个方面的功能：实现基于B/S和C/S架构的单点登陆功能，减少运维管理人员的工作量。加强用户的帐号管理、认证及授权功能，从而实现人的管理，减少由于帐号管理对系统的影响。加强用户的操作行为的审计功能，通过对用户的行为进行审计加强我企整体工作人员操作的合规性，从而提高安全性，减少安全隐患。功能详细描述门户安全在门户系统中，核心模块为集中接入管理，项目需求模块包含单点登录、帐户管理、认证、授权、日志审计。实现B/S和C/S架构的应用系统单点登录功能。在综合审计中，各个模块之间的关系如下：门户系统的集中接入管理平台产品功能模块分为帐户管理、认证管理、集中授权、集中审计四大部分。帐户管理帐号管理账号集中管理一般包括三个主要部分。账号管理服务器，提供账号管理服务和相关管理功能。集中的账号管理存储，用于存储内部的所有管理信息，包括所管理的设备、系统，各设备、系统下的所有从账号，从账号与主账号（主账号指访问我企集中认证平台的登录账号，从账号指被我企集中认证平台管理的资源、设备上的账号）的对应关系等。适配层，用于账号的收集和下发。即将不同的网络设备、操作系统以及应用系统的账号管理机制通过标准化接口，统一到统一的管理架构中。将集中账号管理系统发出的账号管理指令，包括账号收集、账号创建、账号删除、密码更改等，转换成操作系统或设备能够识别的指令，发送给操作系统或设备。将操作系统、设备返回的不同格式的信息，包括收集到的账号、命令执行结果等，转换成集中账号管理系统规定的统一格式，便于统一展现、管理。帐号管理的类型操作系统、网络设备帐号管理在对操作系统、网络设备的账号进行集中管理时，一般的产品将适配层实现为有代理（部署Agent）和无代理（Telnet/SSH等）两种方式。通过Agent，可以将不同的管理接口、协议，转换成统一的接口、协议，便于容纳、管理不同的设备、操作系统系统。数据库和应用系统帐号集中管理数据库可以视为一种特殊的应用系统；并且，对应用系统账号口令的管理，往往可以转化为对存储数据库中账号口令的管理。对于应用的集中账号管理，需要分情况来考虑。对于进行过改造的应用系统这种应用系统已经将身份认证、权限管理等功能移交给了，则本身不再保留账号，也不需要进行账号管理，而是由实现基于角色的集中访问控制。应用还没有进行过改造在应用内部还保持有自己的账号，但对我企可以提供账号口令管理接口（包括数据库接口或应用接口）。可以提供数据库接口的应用，我企对他们的集中账号管理，主要表现为账号同步：通常应用系统都有自己的数据库，用于存储自己的账号信息，因此集中账号管理系统对应用账号的管理，经常表现为数据库同步，即保持应用数据库与账号集中管理数据库中的账号数据的同步。可以提供应用接口的应用，对于不能开放、不易开放数据存储的应用系统，需要应用层面实现数据同步。由应用系统提供接口方式实现账号口令数据同步。对于不能提供接口的应用系统这种应用系统要求其做系统改造，提供对外接口。本期只实现用户自配置或自学习方式的SSO，不进行账号口令管理。如果需要在保留应用系统账号的情况下实现单点登录，则集中账号管理系统必须被应用系统保持从账号/密码的同步。如果应用系统数据库中的密码信息为加密存储，或存储的是加密后的摘要信息，则很难从应用系统中抽取账号密码，在这种方式下，同步通常是单向的。集中账号管理系统根据密码策略，自动更改用户在应用系统中的密码，而不从应用系统账号数据库中抽取密码。当然前提条件是应用系统必须开放其密码加密方法，或提供相关的密码写入接口供集中账号管理系统调用，否则无法实现从上至下的密码管理。生命周期管理提供对帐户生存周期的管理，帐户生命期管理是指对账号从产生到删除各存在状态进行管理，包括对账号属性的更改、口令的重设、账号使用情况的审计等等。个人维护管理普通用户通过portal首页面登录转到门户系统页面，进入个人信息维护页，可以维护自己的一些基本信息。可以修改登陆门户系统的用户名密码；也可以修改以自维护方式接入应用的用户密码等。可以手动的修改帐号口令，集中登录入口位置有帐号口令遗忘时重置功能，用户通过自服务修改口令时，系统应检查口令安全策略符合性，使之符合系统口令策略管理中定义的策略密码管理整个系统中的密码定期修改也关系到sox的内审，提供密码修改计划的功能。管理员可通过此计划自动生成符合强度的密码。在这个子功能中，用户定义不同从系统的密码修改计划，其中包含了若干计划要素，例如，用户定义密码修改对象、修改时间、定期的时间间隔、密码修改方式、新密码的存放方式、通知方式，并将用户制定的密码修改计划存储起来，形成待执行计划。帐户同步管理正向同步方式即帐户与口令管理系统平台账号发生变化后推送到应用系统中。正向连接器负责与某一应用系统进行通信，该连接器存在帐户与口令管理系统服务器端并能够向相应的资源发送请求；相应的资源定义了该连接器向其发送请求应该使用的协议，正向连接器安装在帐户与口令管理系统服务器端。系统不需要部署Agent。双向同步方式即实现应用系统账号发生变化后推送到帐户与口令管理系统中，则需要在应用系统方部署Agent。双向连接器包含两部分，一部分是安装在帐户与口令管理系统服务器端的连接器，另一部分是安装在各资源上的代理，连接器与代理进行通信，由代理执行服务开通操作。代理同时还监听资源上的变化，一旦发生变化，代理将向帐户与口令管理系统发送通知消息。因此，一个双向的连接器允许数据流向两个方向，就像下面的示意图中演示的那样。用户账号的变化在双方任何系统上发生。例如在数据库中用触发器实现，在应用系统中通过Agent截获解析用户账号操作行为，发送消息到集中认证服务器。认证管理认证实现分为两种方式：统一身份认证：原有资源放弃原有认证方式，将认证请求统一转发给系统的认证模块，由帐户口令管理系统进行统一认证，将认证结果返回给各个系统。网络设备认证：网络设备的认证可以通过Radius方式直接接管认证，需要在接入设备上配置AAA认证。帐户口令管理系统提供Radius认证服务器，响应网络设备的认证请求。对于目前通用的网络设备，建议采用这样的认证模式。主机操作系统认证：对于主机的认证可以直接修改主机SH，接管认证。也可以修改操作系统PAM模块，对于Windows系统，还可以通过修改JINA模块来接管操作系统的认证。要实现统一认证，必须安装Agent，对原有系统有影响，不建议使用。应用系统认证：可以通过调用认证接口的方式实现统一的身份认证，要实现统一认证，必须安装Agent，进行系统改造，对原有系统有影响，不建议使用。二次认证：原有资源保留认证模块，由帐户口令管理系统传递认证信息给各个资源系统，进行二次认证，只是此过程对于客户为透明，结合SSO技术完成第二次认证过程。统一身份认证方式在网络设备上需要进行配置，在主机操作系统上需要安装Agengt，在应用系统上需要安装Agent并且改造原有程序。网络设备上比较易于使用Radius方式，因此建议在网络设备上采用AAA认证，而在主机和应用系统上结合二次认证的方式。身份认证的方式基于用户名/口令的认证方式基于用户名/口令的认证方式是最常用的一种技术，也是现在中国我企中普遍使用的认证方式，无论是数据网中的系统管理、业务管理、办公自动化系统还是远程登录，都是基于用户名和口令的方式认证。基于动态口令的认证方式。每次登录时的口令是随机变化的，每个口令只能使用一次，彻底防止了各种窃听、重放、假冒、猜测等攻击方式，从而能够保证用户的安全。动态口令的实现，一般是由用户端的动态口令产生器和安全认证服务器两部分组成，用户端产生的口令与安全认证服务器保持一致，同步动态变化，而且口令无法预测和跟踪。这就使得用户口令既无法被窃取，而且又能解决常规口令频繁变换所带来的问题。基于智能卡的认证方式智能卡具有硬件加密功能，有较高的安全性。每个用户持有一张智能卡，智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。进行认证时，用户输入PIN（个人身份识别码），智能卡认证PIN，成功后，即可读出智能卡中的秘密信息，进而利用该秘密信息与主机之间进行认证。基于智能卡的认证方式是一种双因素的认证方式（PIN＋智能卡），即使PIN或智能卡被窃取，用户仍不会被冒充。智能卡提供硬件保护措施和加密算法，可以利用这些功能加强安全性能。基于生物特征的认证方式生物测定技术根据人体自身的生物特征来识别个人的身份。常见的生物特征包括指纹、掌纹、虹膜、脸像、声音、笔迹等。目前，有很多的生物测定技术可用于身份认证。这种认证方式以人体惟一的、可靠的、稳定的生物特征为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。基于数字证书的认证体系数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据：身份验证机构的数字签名可以确保证书信息的真实性；用户公钥信息可以保证数字信息传输的完整性；用户的数字签名可以保证数字信息的不可否认性。目前在网上传输信息时，普遍使用X.509V3格式的数字证书。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全，其中包括IPSec（IP安全）、SSL、SET、S/MIME等。随着《电子签名法》的颁布实施，基于PKI数字证书的数字签名也将发挥越来越重要的作用。数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题：数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。认证方式选择可以根据需求选择不同的认证方式，认证方式主要针对主账号，在选择身份认证方式时，需要考虑如下原则：足够安全。即认证方式不容易被模仿（包括认证凭证的复制、认证过程的重放）或攻击（包括DOS攻击）。成本适当。安全和成本常常成反比，但是对于企业来说，既不能为了降低成本而采用不安全的认证方式，也不能为了片面追求安全而不顾成本，而是要针对不同价值的系统以及其中账号权限的不同选择不同的认证手段。使用方便。所有东西都是给人用的，如果因为使用不便而招致反感，则所有的安全措施都形同虚设。提供开放的API接口，便于将认证方式集成到平台。建议本期我企使用一次性短信口令及静态密码的方式进行认证管理。后期再为相关人员增加如令牌的动态认证方式。单点登录技术实现SSO应能实现“一点登录，全网漫游，一点退出，处处退出”。实现“一次一密”的登录验证方式。在对各类资源的访问中，一般分为C/S，B/S两种访问：C/S分为命令行方式，通用客户端方式。B/S访问：针对各种应用的访问场景，在SSO实现时可以分为两种方式：模拟提交方式：不支持认证改造的B/S系统或C/S应用。Cookie方式：支持认证改造的B/S系统,需要应用修改造认证接口以TOKEN的形式传递用户信息其中模拟提交方式无需原有应用做任何改造，无需在原有系统安装任何Agent。本期使用模拟方式。C/S访问：命令行方式：可以通过系统提供TelnetD、FtpD方式转发Telnet、Ftp请求进行SSO；可以视为特殊的C/S应用，通过调用客户端（Command、CRT等），进行登录信息代添方式进行SSO。通用C/S（Windows、X－Windows图形化）客户端方式：可以视为通过普通C/S应用，调用客户端方式，进行登录信息代添方式进行SSO。B/S系统的Web化模式：可以通过原有系统的改造，调用统一的认证接口方式实现SSO，也可以原有系统不进行改造，由系统通过模拟登录页表单提交或模拟HTTP请求的相关技术进行登录。整体方案的SSO功能需要结合这几种访问情况提供综合解决方案，即提供各种访问模式的SSO适配器，配合集中接口服务器，实现各个资源的SSO。单点登出技术实现所谓单点登出是指在系统退出的时候，关闭系统对被管建立的所有的连接。因此单点登出的管理范围应该涵盖整个系统系统所管理的所有的被管资源。单点登出的实现方式：当系统被退出时，系统立即关闭所有的当前运行的窗口时，将当前用户所有从账户、被管理设备的地址等信息进行记录，并且切断所有从账户的连接进程，使从账户全部退出从系统。切断操作可以由中的审计管理来完成。身份的限制和识别管理员可以根据时间、IP地址段、访问类型等情况自行制定访问策略，并且可以通过角色授权方式，授权给相应的用户。如下图集中授权灵活的角色授权模式平台的设计是基于角色(RBC)的授权模型，通过角色将权限及用户（自然人）分离开来，通过角色与用户的指定，角色与权限的配置，实现用户与访问权限的逻辑分离，使得授权过程方便灵活。管理员可以灵活的对角色进行收回和下放工作。基于角色的授权模型，本身就是一个角色容器，用户可以采用后分类的方法将用户角色进行细分，例如角色容器分为管理员角色、普通用户角色、被管资源角色等。如下图：角色容器角色容器资源角色容器管理员角色容器普通用户角色超级管理员角色容器用户可自行分配角色的使用规则，给角色分配相应的使用权限，例如用户可以分配只能管理资源的角色组，或者分配只能管理人员的角色组等。并且给不同的组定义不同的权限。当然人员的组织关系发生变动的时候，通过修改赋予不同的角色信息就可以改变人员的身份。从而避免对用户身份本身的增、删、改操作。如下图：权限的划分和界定平台能够充分的对内部权限和外部权限进行集中管理。所谓内部权限就是指平台内部的权限信息。外部权限为平台被管资源的权限，例如主机的权限、网络设备的权限、应用系统的权限等。平台可以通过管理内部权限和外部权限，实现对被用户的细粒度的授权，但是当内部权限与外部权限发生冲突的时候，以内部权限为准。例如：平台管理员授权用户A有打印的权限（内部权限），但是实际上此用户在打印机上有查询、修改、打印的权限（外部权限）。因此当此用户通过平台操打印机的时候，以平台管理员授予的内部权限为准。细粒度的集中授权实现细粒度的内外资源权限管理。其中包括，资源的定义、修改、删除，资源组的定义与划分，资源的分配管理。资源权限的划分粒度可与各被管系统内部应用相匹配，并可由认证平台进行限制。例如系统可以实现对主机和网络设备权限的集中下发和收集，细粒度到文件属性的读写操作，指令可执行的程度。基于资源的定义授权：系统资源：至少包括资源名称、版本、IP地址、连接方式应用资源：至少包括资源名称、连接方式资源可按照树状结构进行组织，如按照业务系统组织或者按照地域组织可以通过其他系统（例如网管系统）交互获得资源信息基于角色的定义授权：提供角色的创建、权限绑定、变更、删除的管理，在系统保存资源上的角色，同时角色会被同步到资源中支持多个角色组合成为一个角色组支持基于角色的集中授权，所有权限按照角色方式进行管理统一操作及定制：为普通操作人员和管理人员提供一个基于Web方式的统一操作界面；授权管理服务器依据登录人员的不同身份，返回定制的维护管理界面及相关的应用程序、网络资源列表；用户终端只能使用集中操作代理服务器提供的应用程序，通过集中操作代理服务器访问网络资源列表中系统资源和应用资源。集中授权的实现方式与集中账号管理类似，网络设备和主机系统的集中授权，与应用系统的集中授权有所不同，需要分别采用不同的技术。但是对于一个完整的集中授权管理系统来说，应该屏蔽这些技术上的差异，给管理员呈现一个统一的管理界面，实现对网络设备、主机、应用系统的集中授权管理。授权粒度取决于资源上的粒度。对于网络设备：基本上都是固件，很难在其中新增加其它软件，因此对于网络设备来说，如果原有软件已经支持基于角色的授权管理，当然方便纳入下基于角色的集中授权管理，但是如果原有软件不支持基于角色的授权管理，则很难加上这个功能。不过从另一个角度来说，网络设备的不同级别管理功能，是通过不同级别的帐号实现授权的，因此对网络设备的集中授权管理，可以转化为对设备不同级别从账号的集中管理，而通过将从账号赋予角色，实现基于角色的集中授权管理。对于操作系统：很少有主机操作系统直接支持基于角色的授权管理，因此对于主机的授权管理，通常也转化为对主机账号的集中管理、集中授权。对于应用系统：本期主要实现基于应用系统账号的集中管理和集中授权，未来可以通过应用系统的逐步改造实现角色的授权管理，由于基于角色的授权管理具有明显的优越性，并且基于角色的应用集中授权也相对容易实现，因此未来我企集中认证平台将主要采用基于角色的集中授权对应用进行集中授权管理。对于进行过改造的应用系统经过改造后，在应用内部已经没有对角色的权限管理，根据要求规定的认证、授权规范，采用集中认证、集中授权模块提供的接口，将整个应用纳入管理范畴。如果应用还没有进行过改造，在应用内部还保持有自己的账号，但对我企平台可以提供授权管理接口。对于不能提供接口的应用系统，通常也转化为对应用系统账号的集中管理、集中授权。集中授权的建议集中授权是通过建立针对每个人的账号，并对账号进行集中管理设置实现的，我企平台集中授权的粒度，取决于被管资源对外提供角色的权限粒度。因此建议网络设备：通过对Radius的支持，实现集中授权操作系统：通过对操作系统各类账号的集中管理、分配实现集中授权应用系统：实现细粒度授权，需要通过系统改造，开放授权接口，系统改造量大。本期建议，通过对应用系统各类账号/各个账号的集中管理、分配实现集中授权建议的授权模式为：分散的资源内部细粒度授权（根据需求进行账号梳理，定义各类角色账号提供给我企平台）集中的访问授权管理（我企平台统一给操作人员分配被管资源上的角色账号）支持基于我企平台主账号的角色管理支持委托机制集中审计集中审计管理主要审计人员的账号分配情况、权限分配情况、账号使用（登录、资源访问）情况等。在各主机、网络设备、应用系统的访问日志记录都采用统一的账号、资源进行标识后，集中审计能更好地对账号的完整使用过程进行追踪，从而有效的将操作行为与自然人进行关联，访问跟踪。对账号分配情况的审计 包括主账号与自然人的对应关系，主账号与从账号的对应关系，主账号的创建时间、创建人，从账号的创建时间、创建人，将主账号分配给从账号的分配时间、分配者，主、从账号的有效期、密码更改规则等。对登录过程的审计 包括什么人用什么账号在什么时间登录了什么系统，什么时间登出，在此系统上执行了那些指令等。对身份认证的审计 包括成功的身份认证统计，失败的身份认证统计等。对于失败的身份认证，给出详细的时间戳、登录位置（IP或MAC地址）、登录凭证、请求身份认证的系统等信息。对登录后用户行为的审计 如果集中授权模块能够达到实体内部资源级，或者应用经过改造后能够向集中审计模块提供日志记录，或者应用系统向集中审计模块提供详细的应用日志记录，则集中安全审计模块还可以对登录后的用户行为进行审计，包括用户访问了哪些资源、对资源进行了什么操作等，在此基础上可以实现对误操作过程的追溯。对数据库的审计 包括对数据库的登陆和所有的操作，支持FTP、telnet/SSH、SQL等，可以完全记录并回放针对数据库的所有操作，包括SQL内执行的DELETE、INZERT等操作。审计范围审计的覆盖范围不仅包括对认证平台本身操作的审计，还包括对各被管系统访问、操作的审计。本期的审计范围是接入平台进行帐号管理的100个网元的用户操作行为审计，应用系统和其它设备放在后期进行审计。审计方式网络审计基于网络的审计支持大部分的网络访问协议。图形化审计支持对其发布的应用系统操作进行矢量图形录像和回放，通过审计系统与Citrix系统结合，可以轻松的实现对图形化操作行为和专用客户端操作行为的审计。对于矢量图形录像的检索，目前系统可以提供基于IP、用户名、时间、应用类型的检索标签，实现对操作行为比较准确的定位。实时告警用户通过登录到其他系统，协议分析网关从平台中取得用户的角色信息并根据角色信息获取用户的访问权限，根据访问权限定义高危的操作以及非授权的访问，并且实时向平台提供用户访问的应用的信息，根据策略对用户的访问进行调整。利用先进的事件窗技术对命令进行实时分析，当越权执行某些特定命令或者使用特权的时候进行告警，防止对业务系统造成影响。根据需要并且可以提供多种告警方式,比如邮件告警、短信告警、屏幕告警等。分析预警通过审计系统的预警功能，系统能够及时发现非法操作，并可通过多种方式包括界面显示、发送Email、发送短信、派发工单等向管理人员发送预警，从而达到及时响应和处理的目的。预警规则定义系统提供细粒度的审计预警规则管理功能，用户可以根据自己的具体情况对所有日志字段进行设置，产生预警规则。规则定义支持与、或、非逻辑运算，可以得到各种复杂的规则定义。审计预警响应方式预警信息可通过多种响应方式通知相关审计管理人员，通知方式包括图形化界面显示、发送Email、手机短信、工单等方式。报表管理系统日志的呈现采用WEB方式进行集中展现。例如:按查询条件对日志进行查询，用户访问跟踪。当天的数据存储于动态缓存的检索时间小于2秒。根据审计对象，产生指定时间周期（日、周、月、季度、年）的报表。报表自动产生，报表内容可以根据用户需求进行差别化定制。除了自动产生静态报表外，还可以由用户配置产生动态报表。报表支持包括打印和输出各种格式的文件，如PDF、Word、Excel、HTML等等。多种报告进行关联呈现，由浅入深、从面到点反应当前审计结果。如：全部服务器日志综合统计报告特定服务器日志统计报告特定服务器特定日志内容报告。审计系统通过静态、动态报告反应当前审计结果；静态报告以时间分为日报、周报、月报、定制；以类型分为：上网审计报告、系统与网络运维报告、应用审计报告。呈现方式：PDF、Excel、E-Mail。动态报告可以设置审计区域、审计对象、审计时间等。规则报表根据定义的规则对Sims安全日志，网络行为日志、网元日志、数据库审计日志、（包括数据表、视图、过程、索引、函数,数据库链接）、用户行为日志等进行查询统计后形成报表，报表的格式有pdf，html，excel三种，展现形式有表格、柱形图、饼图。SOX报表SOX报表功能主要是满足SOX法案要求的报表。综合审计系统内置了29类SOX的报表模板，用户只需先选择法案条款，然后输入设备IP、时间等信息就可生成满足SOX法案内审要求的统计报表。可直接供内审工作使用。报表的格式有pdf，html，excel三种，展现形式有表格、柱形图、饼图。平台自管理帐户与口令管理系统自管理是指对系统自身进行的管理，包含运行状态管理、日志管理、数据管理、系统软件版本管理、配置管理等多个方面的内容。运行状态监控本系统可以像对其他IT系统的被管对象一样，管理自身系统平台，可提供以图形界面的方式监控系统自身设备及应用的状态。对于本系统的一些重要进程，实施实时监控，当出现进程异常退出时，系统可将其自动重启，以保证系统的正常运行。也可以手动对进行进行重启。日志管理本系统对各个系统组建采用日志管理的方法，保证网络和网管系统的安全、可靠和稳定运行，及时发现、及时预防故障隐患，避免系统运行事件的发生。数据管理系统能够定义规则来维护系统中的各种数据的存储周期，如历史性能数据、历史告警信息、配置数据等，并提供对数据的定时备份、清理功能。系统能保存日志文件，在系统出现故障后，保证数据恢复，并可选择自动恢复，以减少手工操作。软件版本管理系统提供便利的升级手段，包括自动升级和手工升级两种方式。自动升级指在指定的服务器中提供升级软件，同时提供升级版本号，各下属公司在软件调用时自动进行检测，自动予以更新。配置管理系统能够定义规则来维护系统中的各种数据的存储周期，如历史性能数据、历史告警信息、配置数据等，并提供对数据的定时备份、清理功能。个人工作台个人工作台最大的意义在于系统将用户关心的信息主动推送到用户面前。用户可以根据个人的喜好进行设定自己最关心的功能，通过个人工作台了解最新的信息，办理所有未办的事情。个人工作台是在PortalServer上开发的个性化业务portal组件，遵循JSR168规范，包括portlet应用、和基础服务接口、集成扩展商业组件。运维功能接入电子运维系统通过开发具体功能的Portlet，实现无缝的接入门户系统，电子运维中的已处理工单、待处理工单、作业计划、报表都可以通过开发相应的portlet接入门户系统。待办事宜集中了该登录用户需要处理的各项事务。待办工单由系统自动提供的等待用户处理的工单，并可以在此启动一个新的工单流程。系统从发起方和受理方的角度分开待办的工单。待办个人工作计划待办的个人工作计划可分为当天个人工作计划和未完成工作计划，点击相应的工作计划，用户可以查看该工作计划，并直接进行处理。待办作业计划待办的作业计划可分为当天作业计划和未完成作业计划，点击相应的作业计划，用户可以查看该作业计划，并直接进行处理。已处理事宜可按照类型分类或按日期分类查看已处理的事务列表，每个文档以图标及简要的文字显示出该事务的摘要信息，并可以打开该文档窗口。跟值班管理、工单管理子系统相关联，可以看到已经完成的所有工作。已办理工单只针对已经归档的工单，大体可分为两类：本人创建的工单，本人处理过的工单，这些工单只能查看，不能修改。已完成个人工作计划只针对当天，具有事务性的已经完成个人工作计划。已完成作业计划只针对当天，具有事务性的已经完成作业计划。消息管理系统提供发送即时消息的功能。消息管理类似于Email管理，分为起草、发送、接收、已发消息查询四大功能；消息的内容包括消息类型、接收人、抄送人、标题、内容体、附件、短信提醒，消息的类型包括普通，公告，绿色通道，短信。消息的交流包括四种形式异步发送、双人同步发送、多人同步发送，群组发送。创建消息创建一个新的消息，可以将创建的消息保存为草稿，也可以选择接收人、抄送人进行发送。创建消息时，需要选择消息类型、接收人或者部门、抄送人或者部门、是否发送短信，输入消息标题、消息内容。消息发送消息可以发给一个人、多个人或者发给一个群组。消息发出以后，接收人通过自己的消息箱可以看到需要自己的接收的消息，并且消息发送人和消息接收人可以进行在线交流。 系统组织中的一个部门可以看作一个群组，并可以根据实际业务需要定义虚拟组。草稿箱保存尚未发送的起草的消息，对于起草的消息，可以进行修改后发送。收件箱用来接收发送给自己的消息。已发送箱用来查询曾经发送过的消息。消息的导入导出提供对消息的导入导出功能，可以把消息导出到Excel文件，也可将Excel文件中的消息导入的系统中。日程安排系统提供日历化日程安排表，来安排每天的事件、私人约会和任务，一方面，用户可以查询每天的日程安排，另一方面，经过设置系统会自动提醒用户每天的日程安排。日程安排的内容包括事件名称、起止时间、地点、事件具体内容，并且支持事件的细分，可以将一个大的事件按照阶段细分成小的事件。个人收藏夹收藏一些个人爱好的网站链接信息，点击该链接可以直接访问该网站，方便用户的使用。提供对个人收藏夹的基本维护功能。个人信息管理用户可以修改个人相关的信息，包括登陆密码、联系方式等。通讯簿可以存储与用户通信的人或单位的信息，比如职务、电话号码、地址、电子邮件地址、Internet电子邮件地址等；输入了联系人的电子邮件地址，就可以给联系人直接发送邮件。员工还可在此模块发送会议安排及任务，与资料管理中的相关模块关联。短信发送通过统一运维门户的首页，选择短信的接收人，输入短信内容，发送即可。选择接收人时，可以选择系统中的一个部门，默认给部门中的所有人发送。在线用户显示所有当前在线的人员，查询他们的登录历史记录，并且可以给他们发送消息进行交流。登录用户的信息，包括以下字段：账号，姓名，所在公司，手机，上线时间，详细。点击“详细”可以进入“通用用户展示模块”，察看该人详细信息。绿色通道绿色通道主要是为了方便员工向相关部门提出合理化建议而设置的模块。本模块功能是基于即时消息模块的，发送的合理化建议作为消息被发送到相关部门的默认接口人的消息箱中，由此接口人根据情况进行转派，回复。根据系统设置，员工发送合理化建议的时候，可以选择是否匿名。配置管理该模块提供系统门户展示的内容进行快速配置的功能。快速通道配置用来配置在系统门户上展现的快速通道的内容以及相关登陆用户及密码。实现快速通道及相关用户名、密码的增加、删除、修改功能。个性化配置用来配置在系统门户上展现的相关Portlet，以及Portlet的风格。每个用户可以根据自己的关心内容来定义自己的系统门户上展现的内容。管理者视图本模块从管理者的角度出发，提供了一个供管理者对一定范围内、各类型的流程进行业务统计和状态监控，以及浏览全省组织结构的视图。管理者试图包括：任务监控和组织结构两大部分。任务监控通过任务监控模块，方便管理者跟踪监控工单、任务的完成情况，并可输入时间等条件来查询某类工单的完成情况。组织结构通过组织结构模块，方便管理者查看组织结构及人员的分配情况，对于业务专家，形成专门的专家列表，方面对于业务专家的了解。界面集成应用导航门户的导航显示页面链接及到外部URL的链接，客户端/服务器模式的应用系统可以通过创建应用程序链接实现统一调用。Web页面剪裁门户可集成EOMS、话务网管、数据网管等各种后端系统，在门户的同一呈现界面中显示不同系统的多个界面，通过门户提供统一的界面风格。门户需提供Portlet组件等技术手段剪裁、抓取应用系统的内容嵌入到门户页面中，完成不同应用系统的界面集成。Portlet应遵循最新的JSR168和OASIS组织制定的Web服务远程访问规范（WSRP）。在门户中，可根据需求以各种形式集中呈现各系统的相关界面内容，包括分不同标签、不同子网页、同一网页中的不同显示窗、不同滚动条等。专题视图门户利用上述应用导航、Web页面剪裁和界面集成能力，根据不同主题灵活实现各类专题视图，当前要求实现的各类专题视图包括但不限于：1）运维综合呈现视图例如基于拓扑的网络综合信息呈现，包括资源、告警、性能等信息；以仪表盘、统计图表等方式呈现网络运行关键指标等。2）技术支援视图3）应急通信保障视图4）互联互通视图5）合作伙伴视图综合信息管理信息公告服务系统提供信息公告发布功能，主要为用户提供了公告撰写、发布、阅读、查找历史记录、打印等功能，公告的内容包括与运维相关的新闻和信息等。授权用户可以使用这项功能，快速实现信息的发布。信息呈现服务门户可接收EOMS、话务网管、数据网管等系统传来的数据，并根据用户需要分析、处理工作生成KPI指标等。门户可以Excel表格、图表、仪表盘等形式灵活呈现KPI指标等。门户呈现的信息可分为个人指标定制、KPI制作发布、生产分析月报制作等功能。个人指标定制按照用户个性化需求生成不同时间纬度、地理纬度的指标数据，并提供数据导出的功能。原始数据通过门户平台从内部网管支撑系统取得。KPI制作发布提供日、月、节假日KPI指标配置、修改、审核、展现的功能。生产分析月报按照预先定制的月报模板，自动从网管支撑系统中提取数据运算并插入到模板中，实现月报的自动生成，同时提供对生成月报的编辑、导出、发布的功能。信息订阅服务信息订阅系统是一个信息主动发送服务系统。信息订阅系统使运维人员能够及时、全面地获得准确的网络信息，并及时做出应对，提高工作效率。用户通过门户进行信息的订阅，选择关注的内容进行订阅。门户通过信息前转接口，将信息以短信、彩信、邮件形式发送给订阅用户。订阅内容通过门户可以订阅EOMS工单信息通知、公告信息通知、各网管系统的告警、指标统计信息，通过短信、彩信、邮件传送信息。订阅设置用户可