移动统一DPI设备技术规范LTE数据合成服务器设备规范v

HessenwasrevisedinJanuary2021移动统一DPI设备技术 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 LTE数据合成服务器设备规范v中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动统一DPI设备技术规范-LTE数据合成服务器设备规范TechnicalSpecificationofDeepPacketInspectionEquipmentforCMCC(LTEDataCombiningServerEquipmentPart)EquipmentSpecificationforChinaMobileNetlogSystem(SignalCollectionforGnPart)EquipmentSpecificationforChinaMobileNetlogSystem(SignalCollectionforGnPart)EquipmentSpecificationforChinaMobileNetlogSystem(SignalCollectionforGnPart)版本号：╳╳╳╳-╳╳-╳╳实施╳╳╳╳-╳╳-╳╳发布中国移动通信集团公司发布目　　录TOC\o"1-3"\h\z\u前言本规范对中国移动网内使用的深度包检测（DPI）设备的功能和性能提出要求，是部署统一DPI设备需要遵从的技术文件。本规范定义了LTE数据合成服务器设备的功能和性能要求，主要包括以下几方面内容：系统功能要求、性能指标和可靠性要求、接口要求、时间同步要求、网管要求、操作维护要求、网络安全要求。本规范是中国移动统一DPI设备系列规范之一，该系列规范的结构、名称或预计的名称如下：序号标准编号标准名称发布单位[1]中国移动统一DPI设备技术规范-LTE数据合成服务器设备规范中国移动通信集团公司[2]中国移动统一DPI设备技术规范-LTE数据合成服务器接口规范中国移动通信集团公司[3]中国移动统一DPI设备技术规范-LTE信令采集解析服务器接口规范中国移动通信集团公司[4]中国移动统一DPI设备技术规范-LTE信令采集解析服务器设备规范（软采分册）中国移动通信集团公司[5]中国移动统一DPI设备技术规范-LTE信令采集解析服务器设备规范（硬采分册）中国移动通信集团公司[6]中国移动统一DPI设备技术规范中国移动通信集团公司[7][8][9][10]本规范由中移技号印发。本规范由中国移动通信集团计划部提出。本规范起草单位：中国移动通信研究院。本规范主要起草人：张欢、梁燕萍、余立、祖国英、郗卓宁、邢喆本规范解释权：中国移动通信研究院。范围本规范适用于中国移动的深度报文检测（DPI）设备，供中国移动内部和厂家共同使用。本规范是中国移动进行DPI设备采购的技术依据。本规范定义了LTE数据合成服务器设备的功能和性能要求，主要包含系统结构、系统功能要求、接口要求、性能要求、时间同步要求、网管要求、操作维护要求、网络安全要求等内容。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。序号标准编号标准名称发布单位[1]《中国移动统一DPI设备技术规范》中国移动通信集团公司[2]TS3GPPEvolvedPacketSystem(EPS);MobilityManagementEntity(MME)andServingGPRSSupportNode(SGSN)relatedinterfacebasedonDiameterProtocol3GPP[3]TSEvolvedUniversalTerrestrialRadioAccess(E-UTRA);RadioResourceControl(RRC)ProtocolSpecification3GPP[4]TSEvolvedUniversalTerrestrialRadioAccess(E-UTRA);S1ApplicationProtocol(S1AP)3GPP[5]TSEvolvedUniversalTerrestrialRadioAccess(E-UTRA);X2ApplicationProtocol(X2AP)3GPP[6]TS3GPPEvolvedPacketSystem(EPS);EvolvedGeneralPacketRadioService(GPRS)TunnellingProtocolforControlPlane(GTPv2-C)3GPP术语、定义和缩略语“必须”、“推荐”/“建议”、和“可选”等词语在本标准中的使用需遵循以下指导。“必选”/“必须”项是指业务、产品和设备所必须提供的功能或性能要求；对应于RFC2119MUST，REQUIRED，SHALL。“推荐”/“建议”/“应”项是指在标准中未作强制要求，若业务、产品和设备提供的功能或性能要求被认为更佳；对应于RFC2119RECOMMENDED，SHOULD。“可选”/“可”项指参考性要求，是业务、产品和设备在目前阶段可不提供的功能或性能要求；对应于RFC2119MAY，OPTIONAL。必不能，不能，不得：表示绝对的禁止；对应于RFC2119MUSTNOT，SHALLNOT。不推荐，不建议：表示若业务、产品和设备按照所述内容制作，被认为略次；对应于RFC2119SHOULDNOT，NOTRECOMMENDED。规范中除了明确指明为“推荐”/“建议”、“可选”外，均为必须要求。词语解释ECIE-UTRANCellIdentifier，E-UTRAN小区 标识 采样口标识规范化 下载危险废物标识 下载医疗器械外包装标识图下载科目一标识图大全免费下载产品包装标识下载 eNBEvolvedNodeB，演进型节点BEPSEvolvedPacketSystem，演进型分组系统E-UTRANEvolvedUniversalTerrestrialRadioAccessNetwork，演进型通用陆地无线接入网GTPGPRSTunnelingProtocol，GPRS隧道协议IEInformationElement，信令消息中的信息单元IMEIInternationalMobileEquipmentIdentity，国际移动设备标识IMSIInternationalMobileSubscriberIdentity，国际移动用户标识IPInternetProtocol，IP协议LTELongTermEvolution，长期演进MMEMobilityManagementEntity，移动性管理实体MSCMobileSwitchingCenter，移动交换中心MSISDNMobileStationIntegratedServicesDigitalNumber，移动用户ISDN号码NASNon-AccessStratum，非接入层PCIPhysicalCellIdentifier，物理小区标识SDTPSharedDataTransferProtocol，共享数据传输协议S1-MMES1forthecontrolplane，控制平面S1接口S1-US1fortheuserplane，用户平面S1接口SGWServingGateway，服务网关TACTrackingAreaCode，跟踪区域码TEIDTunnelEndpointIdentifier，隧道端点标识全量数据全量数据包含了被采集链路的全部内容，包括控制面的全量信令数据及用户面的全量业务数据XDR数据XDR数据是指基于全量数据进行处理后，生成的供应用系统使用的信令及业务的详细记录。信令XDR基于所采集的控制面信令而生成的信令过程的详细记录业务XDR基于所采集的用户面业务数据而生成的业务传输过程的详细记录指标数据指标数据是根据数据合成服务器生成的XDR或者信令消息统计生成的各类KPI指标数据，例如：接通率、位置更新成功率等系统架构系统结构中国移动统一DPI系统架构图如下图所示。图1.统一DPI系统架构图数据采集层数据采集层包含采集解析服务器，主要功能是实现LTE系统Uu、X2、S1、S11、S10、SGs、S6a、S5/S8等接口及防火墙数据的接入和采集，对采集数据进行解析，生成各接口的原始XDR。数据采集层需要将原始XDR及原始码流数据上报给数据解码层。数据解码层数据解码层包含数据合成服务器，主要功能是对数据采集层上报的原始XDR进行分析、关联、回填及合成，并输出所需的目标XDR、文件及原始码流数据到应用层。数据解码层需要对原始码流数据进行存储，存储时长至少2天。应用层应用层包含各应用系统及指定系统。接口功能数据采集层与数据解码层之间的接口为IF1接口，采用SDTP协议，用于传输各接口原始XDR及XDR对应的原始数据。IF1接口定义请参考《中国移动统一DPI设备技术规范-LTE信令采集解析服务器接口规范》。数据解码层与应用层之间的接口为IF2接口，实现的功能包括：数据解码层向应用层上传处理后的单接口XDR、新生成的合成XDR及单接口XDR对应的原始码流数据。应用层向数据解码层反查单接口XDR对应的原始数据。数据解码层向日志上报网关上传指定系统所需数据或文件。设备功能要求数据处理功能概述数据合成服务器负责接收采集解析服务器上报的数据，对这些数据进行处理，然后将处理后的数据上报给应用层。针对LTE系统，数据合成服务器从采集解析服务器接收的数据类型包括：各接口信令XDR，包括Uu、X2、S1-MME、S11、S6a、SGs、S5/S8接口S1-U接口业务XDRMRXDR，这包括小区级MRXDR（Cell_MRXDR）及用户级MRXDR（UE_MRXDR）统一封装之后的原始数据，包括原始信令数据和原始业务包头数据防火墙数据数据合成服务器对以上数据进行处理，生成以下类型数据并上报给应用层：关联同一个端到端信令流程中各接口信令的合成信令XDR关联同一个业务传输过程的合成业务XDR对UE_MRXDR进行定位和用户信息回填后的合成UE_MRXDRCell_MRXDR，数据合成服务器对小区级MRXDR并不进行任何处理完成用户回填的完整的各接口信令XDR及S1-U接口业务XDR统一封装之后的原始数据，包括原始信令数据和原始业务包头数据XDR关联功能数据合成服务器可根据各接口信令过程及业务传输过程之间的相关性，对各接口信令XDR、业务XDR及MRXDR进行动态实时关联，从而将同一个用户的同一个业务过程对应的各接口XDR关联起来。该模块应具有灵活扩展能力，可根据网络的发展和业务的需求灵活扩展其他关联分析需求。关联功能至少可基于以下两种信息组合实现：用户身份标识系统可提取各接口XDR中的用户身份信息并对其进行实时关联，存储和更新MMEUES1APID-GUTI-用户面TEID-IMSI-IMEI-MSISDN之间的映射关系，从而可以将同一个用户对应不同接口的XDR关联起来。时间戳信息通过用户身份标识的关联，可以将同一个用户在不同接口上的XDR关联起来。此时，需要根据时间戳信息将该用户对应同一个业务过程的不同接口XDR进行关联。XDR回填功能数据合成服务器需要根据多接口XDR关联结果，回填各接口原始XDR中缺失的字段，生成完整的各接口XDR。需要回填的信息主要为用户身份标识信息，至少包括IMSI、IMEI和MSISDN；此外，还需要回填位置信息，这包括经度和纬度信息。例如：根据S1-MME接口采集到的IMSI信息，将其回填到所关联的Uu接口XDR的公共信息字段。MR数据处理功能数据合成服务器能够对采集解析服务器上报的UE_MRXDR进行处理，根据特定的定位算法计算该MR对应的地理位置信息，生成合成UE_MRXDR，其中位置信息指UE_MRXDR中的经度和纬度字段信息。合成UE_MRXDR的格式要求请参考《中国移动统一DPI设备技术规范-LTE数据合成服务器接口规范》。数据合成服务器能够接收和处理网管数据，获取其中的基站位置信息用于MR定位功能，具体接口可参考《中国移动网络管理北向接口标准化技术规范》。XDR合成功能将对应同一个端到端信令流程或业务传输过程的各接口XDR进行信息合并，去除冗余字段，并填加附加字段，生成合成XDR，从而呈现用户端到端的信令流程或一个完整的业务传输过程，并上报至应用层。除关键的端到端事件信息外，合成XDR中还需要指示合成该XDR所涉及的各接口XDR的XDRID，方便通过合成XDR快速检索各接口原始XDR，以满足应用层对不同接口的详细分析需求。合成XDR需要添加经度和纬度的位置信息，具体位置信息可通过所关联的UE_MRXDR中的位置信息获得。至指定系统数据生成功能数据合成服务器能够根据采集解析设备实时上报的XDR数据及原始码流数据，实时生成指定系统所需的日志文件或消息并上报给日志上报网关，用于支持指定系统所需功能，这包括日志上报、日志重报、用户在线状态查询及告警事件上报接口功能。KPI指标统计功能数据合成服务器能够根据单接口XDR及合成XDR进行实时KPI指标统计，并根据订阅需求，将该KPI指标周期性实时上报给特定应用系统。KPI合成和上报的周期可以配置，最小周期为5分钟。订阅的空间粒度至少包括：MME、TAC、eNB、ECGI、终端、用户等维度。上报KPI的接口格式参见《中国移动统一DPI设备技术规范-LTE数据合成服务器接口规范》相关要求。至上网日志查询系统数据生成功能数据合成服务器能够根据采集解析设备实时上报的XDR数据及原始码流数据，实时生成上网日志查询系统所需的数据格式并进行上报，用于支持上网日志查询系统所需功能。数据传输功能数据合成服务器支持通过SDTP协议接收采集解析设备上报的XDR数据和原始码流，数据接口符合《中国移动统一DPI设备技术规范-LTE信令采集解析服务器接口规范》。数据合成服务器能够将处理后的数据及新生成的数据通过与应用层之间的接口传输给应用层，具体的接口规范请参考《中国移动统一DPI设备技术规范-LTE数据合成服务器接口规范》。数据存储功能数据合成服务器需要对采集解析设备上报的原始码流数据进行存储，存储时长至少两天。数据共享功能数据合成服务器需提供各种数据的共享功能，这包括经过回填的完整的单接口XDR、合成XDR及原始码流，用于供第三方系统进行查询及调用。防火墙采集前置机数据采集功能防火墙日志采集前置机应支持周期性生成防火墙NAT日志文件，并以FTP的方式实时或准实时上报到数据合成服务器，此时，数据合成服务器为Server，防火墙日志采集前置机为Client，要求数据合成服务器可以适应防火墙日志采集前置机的上传周期配置。数据合成服务器可以依据XDR中用户的私网IP地址、起至时间等信息来关联对应的防火墙NAT日志文件，从而可以获得NAT后的用户IP地址和端口信息。记录类型关键信息防火墙NAT日志时间；源私网IP、源私网端口；目标IP、目标端口；NAT后的IP地址和端口接口质量监测功能为了便于定位统一DPI设备和系统的故障，为各层之间的接口通信提供实时监控手段，数据合成服务器应具备接口质量监测功能，以实现性能数据异常波动的告警输出，所监测的接口应包括IF1、IF2接口等。具体功能要求如下。接口质量验证检查点包括但不限于：接口文件名称——接口文件缺失，应主动告警（如声光电告警或短信提示）；接口字段格式——接口字段格式有异样，应主动告警；接口数据填充——接口数据未解析，应主动告警；接口文件延迟（消息时间戳与上传时间的差值）——接口文件延迟时间差值大于一定值，应主动告警；接口数据波动（如与7天前或前一天相比）——接口数据波动差值大于一定值，应主动告警；数据采集范围——与系统静态配置数据的匹配完整性检查（如MSC、BSC/RNC、LAC/CI覆盖率检查）差值大于一定值，应主动告警。业务逻辑合理性验证检查点：信令数据完整性。IPv6/IPv4的支持功能LTE数据合成服务器需支持基于IPv6和IPv4协议的原始XDR的接收、合成、上报等功能要求。其他功能数据合成服务器还需要实现以下功能：对消息进行解码，需要进行缓存；对于未知消息需要突出显示并告警上报。对于短信、彩信及具体的业务内容进行屏蔽（短信内容置0、彩信内容清空），对外呈现与内部存储均不得出现相关内容；系统可提供单独的扰码可选字段，该字段通过不可逆的加扰算法，对用户号码进行加扰处理；对未能正确合成的XDR进行保存，并支持对未正确合成的XDR的查询功能，未正确合成的XDR也需要上报到共享层；对未能正确回填的XDR进行保存，并支持对未正确回填的XDR的查询功能；未正确回填的XDR也需要上报到共享层；性能指标和可靠性要求准确性和完整性要求XDR合成的数据准确性不低于99%（包括长通话）；XDR关联合成成功率不低于99%，合成失败的XDR比例不高于1%；号码回填准确性不低于%；MR位置信息回填准确性不低于%；时间同步精度要求小于5ms；业务信令数据生成的准确性要求为<10-5；所有性能指标误差率不超过1%。备注：性能指标误差率：在指定的统计时间内，通过数据合成服务器采集到的性能指标，结果记为Data1；通过三方测试工具测量数据的同时间段，在相应的接口采集对应的信令消息并进行统计，结果记为Data2。(Data1-Data2)/Data2即为性能指标的统计误差。处理性能要求数据合成服务器从接收到原始单接口XDR到完成关联回填并上报至应用层的处理时延要小于10秒。数据合成服务器从接收到合成所需要的全部原始单接口XDR到生成合成XDR并上报至应用层的处理时延要小于10秒。数据合成服务器能够处理来自采集解析服务器信令面不低于1Gbps的数据流量以及用户面不低于10Gbps的数据流量。数据合成服务器从接收到采集解析服务器上报的原始码流到将其转发给应用层的处理时延要小于5秒。数据合成服务器从接收到采集解析服务器上报的原始码流到能够提供对原始码流的反查能力的时延要小于1分钟。数据合成服务器对应用层的原始码流反查请求命令的响应时延要小于5秒。数据缓存要求数据合成服务器支持对所有输入及输出数据的缓存功能，缓存时间不小于1小时。可靠性要求数据合成服务器应采用高可用结构、容错结构或其它可靠性技术。系统的硬件与软件相互配合，提供对系统故障的管理能力。系统的平均稳定运行保障可用时间（MTBF）应大于1年。系统设计寿命应大于10年。系统的故障能隔离在模块内，不具备扩散性。软件要求对操作系统的要求如下：操作系统应采用开放的系统，同时具有较高的可靠性、容错能力，系统不易崩溃和破坏，具有良好的故障恢复能力。操作系统应具有较强的网络功能，应能支持通用的网络协议，应支持对不同机型互联。操作系统应能满足实时要求，具有同时进行联机事务处理的能力。操作系统应具备升级能力，并能做到向后兼容。操作系统应支持多个终端进行操作，支持多用户进程。操作系统应同时支持字符界面和图形界面。对应用软件的要求如下：在保证技术先进性的前提下，采用成熟技术进行开发，并尽可能与硬件同步。以信令数据分析处理软件技术为平台核心应用技术，实现完善的信令数据分析处理体系，实现海量数据的接收、处理、分发的平台软件功能。支持多个远端工作站。多层处理结构，分布式处理，模块化设计，高内聚，低耦合，故障隔离，无存储瓶颈和处理瓶颈，具有良好的可扩展性，可平滑扩容。系统具有良好的开放性，应能实现纵向联网和横向联网。硬件要求数据合成服务器设备要求可靠、稳定，平均重大故障时间间隔应>1年，故障平均修复时间<1h。硬件设备应有较高的可靠性和容错能力。为了适应系统的容量增加，硬件设备应具有较强的扩展能力，并应具备升级和向后兼容的能力。要求支持局域网和广域网混合相连。系统的硬件性能优良、运行平稳可靠，并可以保证长时间的连续工作。系统主要硬件的容量和性能指标（包括内存容量、处理器主频、硬盘容量、通信网带宽）应能适应整个系统处理能力、通信传输量、数据存储量和用户实际需求等各方面的要求。系统应根据实际需要配备各类外设：磁带机或磁带库、光盘机、活动硬盘等设备。可扩展要求数据合成服务器应具备良好的可扩展性，能够适应系统容量的扩大和管理内容的增加，包括软硬件平台、系统结构、功能设计、管理对象。随着纳入平台对象的扩展、管理功能的增加，要求系统具有灵活的扩展性。随着采集方式的多样化，数据合成服务器应当能够处理底层不同采集方式按照IF1传送的原始信令数据，通过必要的接口和功能适配，扩展对更多采集设备的适应能力。部署要求系统的部署要充分考虑到各个逻辑单元的松耦合，各个单元模块可以独立部署在单独的物理实体上，对于采集规模较小或小型试验点也可以根据实际情况部署在同一物理实体上。并且要保证各模块有较强的可扩展性，要充分考虑各模块中的功能点可以动态加载。部署时要考虑性能冗余、系统的安全性、可靠性、网络传输速率等。需要主机支持热备，系统支持集群，系统支持负载均衡，核心网络设备支持热备。冗余能力要求系统需具备冗余能力，采用集群处理方式，单台设备故障时，数据处理能够自动切换，不影响系统整体数据处理。接口要求参见《中国移动统一DPI设备技术规范-LTE数据合成服务器接口规范》。时间同步要求数据合成服务器需满足《中国移动时间同步网总体技术要求》中的相关要求。数据合成服务器能够以统一的时间同步工作，以保证网管和信令监测、采集的有序进行。数据合成服务器需支持NTP协议，能通过IP连接，以NTP方式取得时间信号。数据合成服务器能接受网管系统的指令，修改本地的工作时间。数据合成服务器修改时间的过程不对系统产生启动或小启动的影响，不影响业务和信令采集的正常进行。数据合成服务器的时间同步周期可按运营者要求设置为每60秒取一次时间，或可设置为按NTP协议的要求自动同步。当数据合成服务器与网络时间源的时间误差超过某一时间阈值时，系统应不进行自动同步时间，并提供相应告警。按运营者需要，该阈值应可设置。在时间源和网络工作正常的条件下，系统应保证与网络时间源之间的时间偏差不大于100ms。要求系统各模块之间的时间应保持同步，时间戳误差不超过5ms，系统的统计时间误差不超过1s。网管要求数据合成服务器应具备内部网管实现自管理功能，内部网管对数据合成服务器以及应用提供网管功能，内部网管系统通过接口与外部网管系统对接，外部网管系统是中国移动全国网管系统监控中心管理，外部网管系统通过内部网管系统实现对数据合成服务器设备的集中监控和管理。接口协议需遵循《中国移动数据业务系统通用网管接口技术规范》的规定。对外应以数据合成服务器编码作为全局唯一标识，方便外部网管系统对数据合成服务器进行统一管理和维护。数据合成服务器编号参见《新业务系统通用技术要求》中定义的业务平台（设备）编码规则。配置管理配置管理指对被管网元的安装、指配、连接以及系统异常时的重新配置和恢复配置功能。配置管理提供收集、鉴别、控制来自网元的数据和将数据提供给网元的一组功能，包括保障、状况和控制、安装功能。通过SNMP协议可以对网元设备进行设置，从而实现对设备上相应功能模块的配置。配置功能应具有以下功能：保障功能系统中应有网络中设备投入业务所必须的数据，一旦设备投入业务，系统中就应有其数据。网管中心应创建并维护一个数据库，其中包含网络设备（包括设备部件以及相应端口）、软件、网络业务、操作级别、负责维护设备的人员等配置信息。控制设备的状态，如开放业务、停业务、处于备用状态或恢复等。状况和控制功能系统应能在需要时监视网元的状况并实行控制。如检查网元的服务状态，改变网元的服务状态和配置，启动诊断测试等。安装功能系统对网中设备的安装起支持作用。如增加或改变网元时，网管中心的数据库要及时地把网元的信息装入和更新。配置管理功能需要包括：帐号管理机制：系统管理员可以创建、删除和修改用户帐号，并可以规定帐号允许使用的功能；用户可修改自己的登录密码；可以禁止或启用帐号，帐号应纳入4A管理；日志机制：用户执行系统的某项功能动作能记录在日志表中；用户可查看本帐号的历史操作日志；管理员可查看所有帐号的操作日志，日志记录可以根据需要转换为文本格式输出到外部系统以便进行日志审计；备份机制：管理员可以对系统配置数据进行备份；可以指定周期性自动备份的属性；清除机制：管理员可以手工清除过期数据，可以指定周期性自动数据清除的属性。信令采集设备的链路管理功能网管必须支持通过SNMP开启或关闭指定链路的采集功能，并支持配置链路的通信IP和端口信息。设备状态管理所有网络设备的实时状态必须监控，并且提供历史状态查询。所有网络设备都必须要有告警功能，设置必要的告警条件。对产生的故障告警及事件信息进行记录，以便用户对历史告警进行查询。定期进行告警日志的维护及删除。告警信息需要包括：程序异常告警CPU忙告警内存不足告警硬盘满告警网络中断告警网络流量高告警硬盘i/o负荷高告警性能管理性能管理指实时监视数据合成服务器的指标，例如服务器的性能指标，并能定期或按需根据历史数据做出资源利用与性能变化的各种统计分析报表。应能以直观的形式对性能数据进行显示，并能对收集的各性能数据进行分析，从而对系统性能进行优化。监视网络性能，定期收集网络中所有网元设备的性能参数统计数据。监视各接口的网络带宽资源情况，记录带宽峰值，并能根据预先设定的阀值进行带宽预警。监视数据合成服务器的应用、进程运行情况，监测数据库的运行状态，对于工作异常的应用、进程进行告警。统计数据合成服务器处理与合成相关的性能指标，按指定时间粒度统计如下指标，时间粒度最小支持15分钟，区分各接口统计，其中MRXDR需要单独统计。接收的原始XDR数；回填完成的原始XDR数；回填未完成的原始XDR数；合成成功的原始XDR数；合成失败的原始XDR数；合成XDR数（不区分接口）； 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 安全管理功能向网络用户（主管部门）提供防止无权用户使用网络的安全手段。安全管理有下列五种基本的安全业务：认证机制：鉴权是对实体的身份的确认核实。这一功能指交互作用的网络实体，在相互怀疑和在出现第三方时，应能相互向对方证明自己的身份。系统使用时必须经过用户验证，只有合法用户可以使用本系统。授权机制：对用户使用业务的允许，授予实体执行某些操作的权利。这些授权，是系统的安全政策规定的一部分，它通过对访问的控制来实施。当前用户必须具有足够的权限才能使用系统的各项功能。访问控制：防止资源的无权使用，包括防止以无权的方式来使用资源。机密性：机密性防止无权实体得到通信实体间传送的消息的内容。系统配置专业的防病毒软件，支持病毒库的自动升级，防止病毒入侵，保证系统和数据的安全。完整性：完整性防止对存储的数据或实体间传送的信息的无权修改。安全管理支持与中国移动4A系统对接。另外，数据合成服务器需采用SHA256加密方式存储采集网关、应用系统的LoginID账号对应的密码，用于链路认证。金库要求参见《中国移动上网日志留存系统“金库模式”实施指导 意见 文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见 》第五节。接口检测与校验数据合成服务器自身需要支持各子平台侧完成接口的链路状态校验。校验内容包含采集层校验及上报校验，即数据合成服务器的南向接口IF1与北向接口IF2。验证不同功能层的设备数据传送的准确性。按照指定时间粒度发送数据校验数据报文，数据报文包含时间戳、校验粒度起至时间、该时间粒度内传送数据包总量等，时间粒度可选（1分钟、5分钟、15分钟、60分钟可选）。支持检测IF1接口与IF2接口的链路传输状态，并在链路传输异常时进行告警；上层功能层可根据校验数据报文对接口进行校验和完善。如果出现异常则告警。支持按照指定时间粒度的统计数据合成服务器的接收或发送流量，时间粒度可选（1分钟、5分钟、15分钟、60分钟可选）。具体指标包括：IF1接口接收的SDTP协议的包数IF1接口接收的SDTP协议的字节数IF2接口发送的SDTP协议的包数IF2接口发送的SDTP协议的字节数具体的统计标准为：包数：即IF1/IF2接收或发送的帧数，指类型为XDRRawDataSend_Req、notifyXDRData_Req、XDRRawDataQuery_Resp等数据传输请求类型的SDTP包头中的totalcontents值，若一个IP包里带2个SDTP包，每个SDTP包中包含2个content，算4个包。不包括login，心跳等管理消息的包。流量：IF1/IF2接收或发送的接收字节数，指类型为XDRRawDataSend_Req、notifyXDRData_Req、XDRRawDataQuery_Resp等数据传输请求类型的SDTP及以上层流量，不包括login，心跳等管理消息的包流量。包含通用包头和专用包头及payload的字节数，不包含长度指示字段。操作维护要求可管理性系统应提供完善的审计功能，对系统关键数据的每一次增加、修改和删除都能记录相应的修改时间、操作人和修改前的数据记录；系统的审计功能应提供根据时段、操作员、关键数据类型等条件组合查询系统的审计记录；应用软件的权限控制应要按照逐级管理的原则控制。可维护性系统应支持通过统一的图形界面访问系统各组件、接口的版本信息及相应的功能说明；系统出现异常错误报告时，必须能够提供详细的异常信息和明确的错误编号，并能在系统的相应维护手册中查到错误处理方法与步骤；当系统负荷加大时，应在不更改整个系统架构的前提下，确保服务的正常运行；系统必须支持各组件的单独升级，实现在线升级功能。应用软件中的任一模块更新、加载时，在不改变与上下模块接口的前提下，应不影响业务运转和服务。易用性系统必须提供统一的图形用户界面风格；系统应支持同时打开多个管理窗口以对不同任务进行并行的操作；在导致系统数据发生变化的操作执行之前，系统应明确提示用户确认；当系统正在执行用户提交的请求而无法返回时，应明确标识系统处于繁忙阶段；系统功能菜单应按照功能域、功能组的分类方法进行组织；对于操作员无权限使用的菜单功能，系统应不显示该菜单或将其设置为不可用状态；系统应提供在线帮助功能，对于每一个操作功能都能查找到相应的使用说明；操作员登录系统后，系统应能主动提醒等待该操作员处理的任务。网络安全要求组网方面遵循安全域划分的原则，系统应具备清晰的网络边界，参考《中国移动支撑系统安全域划分与边界整合技术要求》。防火墙的部署遵循防火墙部署的原则，参考《中国移动防火墙部署总体技术要求V1.0.0》。其它网络安全要求说明如下：需要支持网络级安全：能通过防火墙实施一定的安全策略；需要支持系统级安全：支持关闭平台不必要的服务，减少可能引起安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 的原由；需要支持应用级安全：具备必要的防病毒软件；采取一定的认证和授权机制，杜绝无权操作人员进行操作，规范管理人员的行为；需要支持配置及修改各管理用户的管理范围；应对于关键的服务器进行冗余备份；需要有用户级权限管理，管理整个平台的用户级别；需要能够对访问平台的客户进行IP、MAC地址等限制；需要提供几类不同的备份/恢复策略，如系统级、应用级和数据级；需要提供操作人员的详细操作日志；系统需要具备统一方便的自动升级策略。编制历史编制历史版本号更新时间主要内容或重大修改完成初稿修改规范名称，更新系统架构图，增加数据存储功能，数据共享功能及至指定系统数据生成功能增加的KPI指标统计功能补充处理性能相关要求增加至上网日志查询系统数据生成功能更新系统架构图