GA∕T 608-2019 公安信息网网络管理系统基本功能要求(公共安全).pdf

《GA∕T 608-2019 公安信息网网络管理系统基本功能要求(公共安全).pdf》由会员分享，可在线阅读，更多相关《GA∕T 608-2019 公安信息网网络管理系统基本功能要求(公共安全).pdf（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 ICS 35.240.01 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXXXXXX 代替 GA/T 608-2006 公安信息网网络管理系统基本功能要求 Basic functional requirements for management system of information network for public security（报批稿）XXXX-XX-XX 发布 XXXX-XX-XX 实施 中华人民共和国公安部 发 布 GA/T XXXX-XXXX I 目 次 目次.I 前言.II 1 范围.1 2 术语和定义、缩略语.1 2.1

2、术语和定义.1 2.2 缩略语.1 3 网络管理系统体系结构.2 3.1 总体体系结构要求.2 3.2 一级管理域的范围.3 3.3 二级管理域的范围.3 3.4 三级管理域的范围.3 3.5 四级管理域的范围.3 4 网络管理系统的总体结构.3 4.1 网络管理系统的功能组成.3 4.2 网络管理系统的分层结构.4 5 网络管理系统的功能要求.5 5.1 资源管理.5 5.2 网络监控.8 5.3 告警管理.10 5.4 流程管理.11 5.5 系统管理.13 5.6 系统接口.15 5.7 数据分析层功能.15 6 网络管理系统的运行要求.18 6.1 系统运行环境.18 6.2 性能指标

3、.19 6.3 其他指标.20 附 录 A（规范性附录）公安信息网各级网络管理系统的基本功能要求.21 参考文献.25 GA/T XXXX-XXXX II 前 言 本标准按照GB/T 1.1-2009给出的规则起草。本标准代替GA/T 608-2006公安信息网络管理系统技术规范；本标准与GA/T 608-2006相比，主要内容变化如下：将“全国公安信息网网络管理系统的体系结构”由原先的三级管理域修改为四级管理域，并针对修订部分进行了相应描述（见3.1,2006年版的第4章）；增加了“网络管理系统的总体结构”（见第4章）；对第5章，除将原标准中第5章中的部分内容保留之外，新增部分功能。本标准由

4、公安部科技信息化局提出。本标准由公安部通信标准化技术委员会归口。本标准起草单位：公安部科技信息化局、公安部第一研究所、新华三技术有限公司、北京星网锐捷网络技术有限公司、中兴通讯股份有限公司、华为技术有限公司、迈普通信技术股份有限公司、网强信息技术（上海）有限公司、东华软件股份公司、北京广通信达科技有限公司。本标准主要起草人：赵晓丹、李丹、郑青江、杨擎中、卿运洋、周鹏、周琨、周国勇、辛蓉、师启君、岳巍、蒋庆生、王菲、郑海龙、陈妍、黄晓利、杨松涛、徐海云、黎泽良、刘清华、徐振星、周建国。本标准所代替标准的历次版本发布情况：GA/T 608-2006。GA/T XXXX-XXXX 1 公安信息网网络

5、管理系统基本功能要求 1 范围 本标准规定了公安信息网网络管理系统所应遵循的基本功能和性能运行基本要求。本标准适用于全国各级公安信息网网络管理系统的建设和应用。2 术语和定义、缩略语 2.1 术语和定义 下列术语和定义适用于本文件。2.1.1 公安信息网 information network for public security 连接全国各级公安机关的专用信息网络，由三级主干网和接入网组成。其中，公安部至省级公安机关的网络为公安信息网一级网；省级公安机关至所辖地市级公安机关的网络为公安信息网二级网；地市级公安机关至所辖县级公安机关的网络为公安信息网三级网；县级公安机关至基层所队的网络为公安

6、信息网接入网。2.1.2 管理域 management domain 网络管理系统能够管理的对象集合。2.1.3 叠加网络 overlay network 一种在物理网络上叠加虚拟化网络的技术模式，实现在统一的物理网络上承载虚拟的多张逻辑网络。2.1.4 虚拟网络 virtual network 一种在物理网上利用网络虚拟化功能实现的满足多台设备间互联的逻辑网络。2.1.5 网络业务编排 network business arrangement 根据需求将各种网络服务单元进行抽象后有序组织和排列，形成若干个网络服务模型，通过网络服务模型应用实现网络业务快速部署和动态调整。2.2 缩略语 GA/

7、T XXXX-XXXX 2 下列缩略语适用于本文件。ACL：访问控制列表 （Access Control List）CE：用户边缘设备 （Customer Edge）DNS：域名系统 （Domain Name System）FTP：文件传输协议 （File Transfer Protocol）HTTP：超文本传输协议 （Hypertext Transfer Protocol）LDAP：轻量目录访问协议 （Lightweight Directory Access Protocol）MIB：管理信息库 （Management Information Base）MPLS：多协议标签交换 （Multi

8、-Protocol Label Switching）PE：服务商边缘路由器 （Provider Edge）QoS：服务质量 （Quality of Service）RAID：磁盘阵列 （Redundant Arrays of Independent Disks）SDN：软件定义网络 （Software Defined Network）SNMP：简单网络管理协议 （Simple Network Management Protocol）SSH：安全外壳协议 （Secure Shell）VLAN：虚拟局域网 （Virtual Local Area Network）VPN：虚拟专用网络 （Virtua

9、l Private Network）VSI：虚拟交换实例 （Virtual Switching Instance）VTEP：VXLAN 隧道端点 （VXLAN Tunnel End Point）VXLAN：可扩展虚拟局域网 （Virtual Extensible LAN）3 网络管理系统体系结构 3.1 总体体系结构要求 公安信息网网络管理系统按照部、省、市和县四个层级分管理域进行部署（对于直辖市单位，按照部、市和县三个层级分管理域部署），各级网络管理系统对本层级范围内的网络进行管理。各级网络管理系统分别设置相应的系统接口，通过系统接口交换相关数据。根据具体情况，网络管理系统可以酌情减少部署层

10、级。公安信息网网络管理系统的体系结构如图 1 所示。GA/T XXXX-XXXX 3 图 1 公安信息网网络管理体系结构 3.2 一级管理域的范围 在公安部设立一级网络管理中心，管理域为公安一级网、公安部机关局域网、公安部北京城域网以及公安部京外直属单位的接入网。3.3 二级管理域的范围 在各省级公安机关设立二级网络管理中心，管理域为各省、自治区、直辖市、新疆生产建设兵团所辖的公安二级网络、公安厅（局）机关局域网及省级直属单位接入网。3.4 三级管理域的范围 在各地市级公安机关设置三级网络管理中心，管理域为该地市级公安三级网、公安局机关局域网络等接入网。3.5 四级管理域的范围 在各县级公安机

11、关设置四级网络管理中心，管理域为该县级公安接入网、公安局机关局域网络和基层所、队等接入网。对于网络结构简单的县，允许将其接入网纳入三级网网络管理系统，系统通过分区域管理功能实现对所辖设备的管理。4 网络管理系统的总体结构 4.1 网络管理系统的功能组成 公安信息网网络管理系统的功能组成如图 2 所示，各级网络管理系统应具备的功能（包括必备功能和可选功能）见附录 A。GA/T XXXX-XXXX 4 图 2 网络管理系统功能组成 4.2 网络管理系统的分层结构 4.2.1 总体结构 网络管理系统的结构自下而上分为采集层、数据层、功能层、数据分析层和展示层五级。采集层主要是通过各种协议或接口对被管

12、理设备（包括交换机、路由器等网络设备）进行性能、告警、配置以及日志等数据的收集，为上层业务功能的处理提供数据支撑。数据层主要保存上层功能和应用分析所需要告警、性能、拓扑、配置等原始采集数据。功能层和数据分析层是网络管理系统的核心部分，功能层主要明确和具体实现网络管理系统的各项主体单项能力，数据分析层主要利用所采集的各项数据实现各项关联性分析、预测和溯源。展示层是网络管理人员的综合工作平台，它为网络管理人员提供综合信息的个性化展现界面，保证相关人员全面地掌握网络基础设施的运行服务情况。4.2.2 采集层 采集层定义公安信息网监控采集的对象，包括公安信息网的各级局域网，城域网和广域网所有网络设备等

13、。数据采集的策略包括系统默认策略和用户自定义策略，网络管理系统应支持自动对网络设备采用默认策略进行数据采集，并支持不同时段采用不同的数据采集策略的功能。数据采集的方式应支持 SNMP 或 SSH 等采集手段。GA/T XXXX-XXXX 5 4.2.3 数据层 网络设备采集数据及采集方式应满足以下要求：a）告警数据：按照预先定义的规则，通过设备自动上报和系统定期轮询两种方式获取告警信息；b）性能数据：根据采集策略定期或实时采集设备性能数据，支持按照时间段进行数据采集；c）拓扑数据：自动收集并动态更新网络设备拓扑关系数据；d）配置数据：自动获取具有可读性配置文件的设备数据；e）日志数据：自动收集

14、各种网络流量分析日志和用户操作日志等数据；f）流量数据：定期自动获取设备端口的状态与流量信息。4.2.4 功能层 功能层定义网络管理系统所应具有的功能需求，主要包括网络资源、网络监控、告警管理、流程管理、系统管理、系统接口等六大功能模块。4.2.5 数据分析层 数据分析层基于数据层和功能层的相关数据，在满足海量网络数据处理效率的同时，利用数据算法、网络应用建模和机器学习等手段，实现更智能的网络管理和分析功能。数据分析层的主要功能包括网络质量分析、网络流量分析、流量预测、应用流量分析、应用特征分析、用户行为分析、故障溯源、报表分析等。4.2.6 展示层 展示层对网络管理系统各功能模块进行界面与关

15、键信息整合，实现对资源、监控信息以及运维流程的综合展现。管理人员通过展示层能够实时掌握网络整体运行状态，及时发现故障、告警等信息，并能够进行相应的业务操作。展示层功能主要包括告警呈现、性能呈现、拓扑视图以及报表展示等。监控数据可以通过自定义方式在统一页面进行展示。可支持用户在权限允许范围内定制首页展示内容，支持不同风格主题，并可通过拖拉的方式定制展示布局。支持大屏监控等扩展功能，需满足告警、性能、拓扑等实时监控呈现，并支持不同分辨率下的呈现。5 网络管理系统的功能要求 5.1 资源管理 5.1.1 设备管理 设备管理功能应包括以下内容：a)支持对网络设备的增加、修改、删除、自动发现、导入导出等

16、功能；b)支持对各类网络设备的基本信息维护（包括网络设备基本信息和配置信息）；c)支持网络设备可视化面板管理模式，可在面板中直接对相关端口进行操作等；d)支持网络设备中 SNMP、SSH 参数的批量修改功能；e)支持对网络设备管理工具（例如 Ping、SSH、Traceroute 等）的集成；f)支持网络设备的统一视图和自定义分组功能。系统可提供多种自定义分组能力，如按照设备类型、设备名称、所在子网、制造商、IP 地址、位置、联系人等条件定义设备分组。GA/T XXXX-XXXX 6 5.1.2 链路管理 链路管理功能应包括以下内容：a)接入线路状态监控功能。提供对接入线路的监视，包括链路通断

17、情况、端口配置、带宽利用率、丢包率等，并在拓扑图上显示；b)链路接口信息采集功能。通过 SNMP 协议分析手段，自动发现链路接口。支持接口基本信息、配置信息以及设备间的映射关系等信息的自动收集和手动配置；c)接口信息分组管理功能。支持对管理对象（设备、接口）按照接口速率、接口名称、接口别名、是否有链路等条件定义接口分组。5.1.3 IP 地址管理 IP 地址管理功能应包括以下内容：a）支持按照地址和机构、联系人、归属单位、物理地点等方式对 IP 地址进行分段、分层管理，支持 IP 地址自动扫描发现功能；b）支持 IP 地址分配信息统计，提供网管地址管理、业务地址管理、启用与禁用管理、IP 地址

18、使用量管理；c）支持批量操作功能；支持 IP 地址回收信息统计，已回收 IP 可自动进入 IP 资源池；d）支持子网过滤功能，子网列表分为全部和所有当前已存在子网列表；e）支持 IP 地址监控告警，能够实现针对擅自更改地址监控管理、使用未经分配地址监控管理、告警信息管理；f）支持 IP/MAC 绑定操作，防止用户随意修改 IP 地址，做到 IP 地址的统一管理；g）支持 IP 地址变更统计，能够实现 IP 地址变更管理、变更历史记录查询等；h）支持 IP 地址注销信息统计，能够记录 IP 注销信息和注销历史记录；i）支持接入历史查询，IP 接入记录包括接入位置、上线和下线时间等信息；j）系统提

19、供 IP 地址分区域、分机构统计的功能。5.1.4 VPN 管理 5.1.4.1 MPLS VPN MPLS VPN 的管理功能应包括以下内容：a）支持 VPN 的部署管理，包括 VPN 链路的批量部署、拆除以及查询、过滤和删除等；b）支持对 VPN 的资源管理，支持 PE、CE、VPN 等资源的增加、导入和自动发现；支持对 PE、CE 详细信息的查看，支持 PE 上 VPN 和 VRF 信息的查看；支持 VPN 的配置管理、自定义分组；c）支持对 VPN 的性能监控，支持 PE-CE 链路的质量监控，包括网络的时延、抖动、丢包率等指标；d）支持对 VPN 的流量监控，包括 PE-CE 间流量

20、监控，VPN 业务流量监控；支持流量的实时查询和报表统计；e）支持对 VPN 的连通性审计和配置审计。连通性审计可以基于 VPN 或链路进行端到端的逐跳检测；配置审计是将设备当前的实际配置信息与网管配置进行比较，审计结果会在变更信息页面进行显示；f）支持在 P 和 PE 设备上进行 QoS 策略配置，针对 VPN 的不同业务进行带宽保障；g）支持多种拓扑视图：包括管理域内的 MPLS VPN 网络的全网拓扑（MPLS 网络中全部网络设备的物理连接关系）、VPN 接入拓扑视图（单个 VPN 所包含的设备拓扑关系）、VPN 业务拓 GA/T XXXX-XXXX 7 扑视图（单个 VPN 内部所有

21、CE 之间的逻辑连接关系）等。5.1.4.2 IPsec VPN IPsec VPN 的管理功能应包括以下内容：a）支持 IPsec VPN 的设备的增加、修改、删除、查看等功能；b）支持 IPSec VPN 的部署和拆除功能，支持设备参数、安全提议模板化管理；c）支持 IPSec VPN 的隧道管理，可以查看隧道的详细信息，支持历史隧道信息查询，对于隧道的建立、断开等事件进行记录；d）支持 IPsec VPN 的拓扑管理，直观显示 VPN 设备的连接关系，支持拓扑中显示设备状态、隧道状态以及隧道流量信息；支持 IPSec 设备隧道建立和断开时的告警功能；e）支持VPN相关性能指标的统计，包括

22、IPsec隧道的平均数、IPsec隧道发送/接收速率(packets/s)、IPsec 隧道出/入方向丢包率(%)等。5.1.5 虚拟化网络管理 虚拟化网络管理功能应包括以下内容：a)支持虚拟化网络拓扑展示，支持虚拟化网络拓扑物理和逻辑连接关系，可以展示虚拟网络内部链路逻辑关系；b)支持虚拟化网络角色标识，当主设备出现故障，拓扑中的主角色会随着虚拟化网络设备角色切换而改变；c)支持虚拟化网络的告警管理。支持网络及其成员设备的主控引擎、板卡、电源、风扇的可用性告警，并支持虚拟链路告警；d)支持虚拟化设备配置的统一管理，包括备份、部署以及软件的升级。5.1.6 VXLAN 管理 VXLAN 管理功

23、能应包括以下内容：a)支持对 VXLAN 设备进行查询、导入、同步、删除、全局配置和查询 VSI 详细信息等操作；b)支持 VXLAN 管理，支持对 VXLAN 进行查询、增加、删除、部署、拆除等操作；c)支持 VXLAN 拓扑管理：支持物理承载网络和叠加网络的拓扑一体化呈现，支持手工修改拓扑；d)支持 VXLAN 业务的监控，以饼图、柱状图等多种形式展现设备状态、设备数量、VXLAN 业务MAC 地址数量和隧道业务承载量信息；e)支持 VXLAN 隧道管理：支持对隧道流量信息进行加入监控、移除监控和查看已监控隧道等操作。5.1.7 网络业务编排 网络业务编排功能应包括以下内容：a)可视化的网

24、络业务编排：提供常用的网络结构模型，管理员可以根据实际网络结构创建网络模型，定义网络角色，依据当前业务规划和部署拖拽服务单元，以所见即所得的方式构造业务的逻辑拓扑结构，并构建业务属性；b)支持网络业务自动化部署：依据网络设备配置数据，支持对网络业务逻辑拓扑配置的冲突检查和定时部署功能。5.1.8 关键网络服务器管理 关键网络服务器管理主要对象为 DNS 服务器、DHCP 服务器等用于支持网络业务的服务器，应具备GA/T XXXX-XXXX 8 以下功能：a)基本信息登记管理：支持对服务器的 IP 地址、服务器名称、设备型号、硬件配置（CPU、内存、硬盘）、软件配置（操作系统）、所属地域及业务部

25、门、机器存放位置、维护负责人（姓名、联系方式）、用途、提供服务范围（如一级网、二级网或三级网）、对外服务的端口号等信息的登记、注册、变更等功能；b)关键性能指标管理：可以定期监测服务器的性能指标，如服务器硬件资源（CPU、内存、硬盘）用率、服务响应时间和通断状态等。5.2 网络监控 5.2.1 拓扑监控 拓扑监控功能应包括以下内容：a)支持网络拓扑在本管理域内的自动探测功能，可自动搜寻网络(包括局域网和广域网)中活动的结点，自动识别设备类型、连接关系以及设备配置的变化信息，并按照拓扑构成的逻辑层次形成网络拓扑；b)支持手工添加、删除、修改各种网络管理对象，支持拓扑的设备搜索定位功能；支持拓扑节

26、点统计功能，统计节点数、链路数、设备数；支持集成一些常用网络管理工具，如 PING、Traceroute、Telnet 等；c)支持多种方式表现网络拓扑视图，如树状视图、表格视图、网状拓扑视图等，可按照不同管理域，以分层方式直观清晰地组织和显示被管网络的拓扑结构，支持以地理图片为背景图，将网络节点直接显示于地图上；d)支持线路、网络设备的工作状态的展示功能，可查看当前拓扑的物理设备、链路产生的性能和告警事件，支持使用不同粗细的线条表示链路的物理带宽大小；e)支持链路流量的实时显示，可以选择流入流量、流出流量、流入/流出总流量等组合显示方式；可自定义流量显示刷新的时间间隔，但最小时间间隔不应大于

27、 10s；f)网络故障和告警要直接显示在拓扑视图的相应设备处以及相关的子网视图中，告警状态可以按照自定义的传播策略传递给相关的网络对象；g)在拓扑视图上可以査看设备的网络标识、IP 地址、软硬件型号、版本、网络接口参数等基本配置信息；h)提供添加网络设备资源面板功能，资源面板包含物理节点和链路，端口运行状态，图形化展示设备运行状态。5.2.2 性能监控 5.2.2.1 性能监控的目标 性能监控的目标是掌握网络资源的利用情况，并通过对各种性能参数的提取，反应网络的实际运行质量，为网络优化提供决策支持。5.2.2.2 监测网络设备性能指标项 监测网络设备的主要性能指标应包括以下内容：a)CPU 负

28、荷；b)工作温度；c)内存利用率；d)端口流入/流出流量；GA/T XXXX-XXXX 9 e)端口流入/流出带宽利用率；f)端口流入/流出包数量；g)端口丢包率；h)端口误包率。5.2.2.3 性能监控的主要功能 在进行网络性能监测时，系统应具备以下功能：a)系统内置网络维护所必需的常用性能指标表达式，比如端口流量和端口带宽利用率等计算公式；b)提供性能指标表达式的定义工具，以便维护人员定义新的性能指标；c)设置性能采集任务的启动和停止；d)灵活配置性能采集时间、性能阈值和告警；1)系统可根据不同的性能指标设置不同的阈值条件，指标超过阈值后自动发送性能告警，系统支持性能指标阈值/告警的批量设

29、置和修改功能；2)系统支持“梯度”告警，即一个性能指标可根据不同的阈值条件设置不同的告警级别，最多可支持 4 个不同级别的告警；3)支持告警压缩和过滤功能，以防止系统产生过多的告警或告警误报。e)支持以图形方式来展现性能数据：1)提供实时的性能数据采集和显示功能，最小的采集周期为 5s；2)对路由器、交换机等网络设备，支持各个端口的流量在一个图表上进行排序显示；3)系统以曲线、直方图、表格等显示方式对性能历史数据进行展现。支持具有历史数据显示曲线的放大和缩小功能，可查看不同时间粒度的性能数据细节；4)数据可保存为文本、超文本或者图片文件。5.2.3 配置监控 配置监控功能应包括以下内容：a）对

30、网络设备的配置进行存储、备份、对比、恢复等；b）对网络设备的配置文件进行自动备份并可设置基准备份周期，按照周、月的备份计划执行备份任务；c）当配置文件发生变化时会与初始配置文件进行比对并产生告警；d）可保存配置文件在必要的时候对设备进行恢复。5.2.4 日志监控 日志监控功能应包括以下内容：a)日志监控：图形化展示按事件级别统计的日志数量及日志时间走势图；b)日志检索：1）可根据设备类型、日志类型、统计时长等要素进行日志检索；2）支持对日志的过滤条件配置，并按照配置的条件（比如时间、日志级别、日志来源等）来保存日志；3）将日志映射为网络管理系统的告警级别，可根据级别来产生相应的告警。c)日志告

31、警：支持根据日志的关键字及日志级别进行告警。GA/T XXXX-XXXX 10 5.3 告警管理 5.3.1 告警分类 系统应通过对故障事件进行分类，并接照分类来告警。告警管理功能支持以下的故障类型：a)设备宕机、链路中断等网络设备故障；b)网络性能阈值告警；c)轮询产生的告警，包括配置变化、状态变化等；d)支持日志和事件升级为告警，包括操作日志、系统日志等；e)系统支持告警类型的自定义。5.3.2 告警级别 系统告警级别分为“紧急（Critical）”、“严重（Major）”、“次要（Minor）”、“警告（Warning）”、“不确定（Indeterminate）”、“正常（Normal）

32、”六种。在配置各级网络管理系统的过程中，系统可根据实际需求确定每一类告警的严重级别，对一些告警级别宜按照以下要求设置：a)设备、链路或者网络设备端口中断的告警级别为“紧急”；b)链路带宽使用超过 40%为“警告”，超过 50%为“次要”，超过 70%为“严重”，超过 90%“紧急”；c)端口丢包超过 1%为“警告”，超过 3%为“次要”，超过 5%为“严重”，超过 10%为“紧急”。d)对于低于上述告警阀值的情况可酌情定义为“不确定”或“正常”。除上述建议的告警阈值以外，结合业务或者端口的特殊需要，可以对每个链路或端口的阈值进行单独调整。5.3.3 告警规则 告警规则监测功能应包括以下内容：a

33、)监测各级主干网络链路的通、断事件；b)监测各级主干网络路由器的端口工作状态异常（包括上行、下行）；c)接收设备厂商定义的 Trap（陷阱）故障事件；d)监测网络设备的配置异常变动情况。5.3.4 告警处理 告警处理功能应包括以下内容：a)系统根据不同的告警类型和级别提供声光告警、电子邮件、短消息等多种告警通知方式；b)系统提供实时（延迟时间5S）的告警显示功能；以时间顺序（最新的告警显示在最前面）显示符合过滤条件的所有告警信息，并将某一条告警记录和拓扑图关联起来，以便准确定位发生故障的设备在拓扑图中的位置；c)系统提供对历史告警信息的统计和分析功能，分别按照时间段、IP 地址、告警类型、告警

34、级别、告警数量等条件进行统计；d)对告警事件进行过滤、相关性分析、传递、关联等处理，将处理过的事件保存在网管数据库中。告警处理规则包括：1）按照时间段、IP 地址、设备类型和告警级别进行过滤的规则；2）按照一定时间段内同一设备和告警内容以及给定告警次数的压缩规则。e)故障管理实时监视网络运行过程中所出现的故障，确定故障位置，应尽量给出故障原因；GA/T XXXX-XXXX 11 f)提供故障分析和解决方案的记录以及查询功能。系统提供告警智能分析的功能包括：1)提供端口故障需关联呈现端口信息、故障信息、链路拓扑信息、历史流量信息、维护经验等，便于管理员快速排查；2)系统提供根据告警自动分析影响的

35、网络范围，如上联设备故障，导致下级设备离线，在系统中可自动给出根因故障。5.4 流程管理 5.4.1 服务台 服务台用来建立面向普通用户的开放访问窗口，用户可以通过自助服务向导和知识搜索功能自助解决故障和问题，并与运维团队沟通及提交服务请求，实时跟踪服务进度，做出满意度反馈和服务质量评价。自助服务台让用户能够使用自助服务，有效地将 IT 支持前移，减轻 IT 组织的工作量，减少运维团队收到的请求数量。服务台功能应包括以下内容：a)支持运维人员的个性化功能，在每个运维人员的工作区中，提供和自己相关的运维工作内容；b)支持配置管理、变更管理、请求/事件/故障、问题管理、知识库管理等运维功能；c)支

36、持用户通过自助的方式发起服务请求和故障报修，并能够跟进请求的处理进度；d)支持对工单的满意度反馈，反馈的内容可以自定义，包括个性化标签、分数和评星。5.4.2 事件管理 事件管理是流程管理的核心，不论是故障申告、故障处理流程，最先触发的都将是事件管理流程，事件请求可以是通过 Web、Email、监控告警或是电话等多种来源发起。事件管理应包括以下功能：a)支持事件管理流程运转的基本功能；b)支持事件时间创建功能，创建事件记录时自动记录创建时间、创建日期和事件流水号；c)支持将事件记录自动分派和查询功能。5.4.3 问题管理 问题管理应包括以下功能：a)支持问题管理流程运转的基本功能；b)支持对问

37、题记录的跟踪和监控和事件、问题和已知错误的区分；c)支持自动分派问题记录到组或个人；d)支持对问题记录定义严重等级和影响等级；e)支持向问题记录输入描述和解决方案信息。5.4.4 变更管理 通过标准化流程来控制和管理整个网络发生的变更。变更管理记录并跟踪所有网络中发生的变更，并对所有要求的变更进行分类，评估变更请求的风险、影响和业务收益。变更管理流程的运转包括变更请求录入、变更分类与优先级设置、变更处理、变更升级与通知、变更结束与审计等。变更管理应包括以下功能：a)支持变更管理流程运转的基本功能；b)创建并记录变更请求：系统应支持信息的输入，并确保只有授权的人员方可提交变更请求；GA/T XX

38、XX-XXXX 12 c)审查变更请求：系统应支持对变更请求进行预处理，过滤其中完全不切实际的、不完善的或之前已经提交或拒绝的变更请求；d)变更请求的归类和划分优先级：系统应支持基于变更对服务和资源可用性的影响决定变更的类别，依据变更请求的重要程度和紧急程度进行优先级划分；e)支持对变更请求的全程跟踪和监控，支持在变更全程控制相关人员对变更请求的读、写、修改、访问；f)支持将变更请求分派到合适的授权人员；g)支持对变更请求的审批流程，并支持对变更请求的通知和升级处理；h)支持提供可定制的管理报表，如按类型、级别对变更进行统计和分析、变更实施的成功率、失败率等。5.4.5 配置项管理 配置管理是

39、描述、跟踪、控制和汇报网络中所有设备或系统的管理流程。设备和系统被称为配置项。通过该管理流程实现对所有配置项的有效管理，跟踪和控制以支持硬件管理和软件管理成功运行。配置管理流程所管理的配置项包括硬件、软件和网络设备、服务合同、客户端等 IT 基础架构中所有应控制的组成部份。所有的数据存在配置管理数据库中。配置项管理功能应包括以下内容：a）支持对配置项的登记和管理；b）支持对配置项属性的记录，如序列号、版本号、购买时间等；c）支持配置项间关系的建立和维护；d）支持配置项及其关系的可视化呈现；e）支持对配置项变更的审计信息的记录和查询；f）支持配置项的状态管理；g）支持针对配置项的统计报表。5.4

40、.6 知识库 通过运维知识管理实现运维知识的分类梳理整合，为服务保障提供经验指导。知识管理的主要内容包括网络运作资料（如故障处理知识库、业务开通案例库、运维作业指导书等）和网络信息资料（如网络图、资料表以及变更记录和日常的各项规章制度）。知识管理功能应包含以下内容：a）知识的采集与知识库更新。系统提供多种知识源采集接口，支持从 Web 界面录入、文件导入等方式进行知识的采集，从而实现专家经验和智慧的积累；b）知识的管理。系统自动提供用户集中管理各种维护知识的界面，知识的类型至少包括文章、文件附件和提问等内容，支持知识按照不同的类别进行管理；c）知识的查询。知识库中的数据是分门别类保存的，系统提

41、供灵活的查询方式，目前支持的查询方式主要包括：单一条件查询、组合条件查询、关键字查询等；d）知识的联动。支持知识管理的互联网化功能，包括知识评论、点赞、收藏、分享等操作；支持告警信息与知识库联动，可根据告警信息的关键字自动查询相关知识信息；支持在告警管理中直接将告警处理信息转为知识信息，进入知识审批。5.4.7 自定义流程 网络管理系统要提供可视化流程引擎，使用图形化的方法绘制流程，而无需编程。所有设定的流 GA/T XXXX-XXXX 13 程可以伴随网络管理流程的变化快速更新及重组，实现对流程的执行、监控和管理。自定义流程应包含以下功能：a)支持图形化的流程设计功能，提供所见即所得的设计方

42、式，定义流程的环节、输入/输出、角色、行为和表单；设计完成的流程图可被立即部署，并为其他流程提供输入/输出接口；b)支持由事件管理、变更管理流程自动启动预定义流程，与事件管理流程、变更管理流程相结合，根据相关联的服务目录或变更类别自动启动预定义流程；c)支持自定义的流程环节设置，可设定每个流程环节的输入/输出、操作角色、行为、填报表单等；d)提供通知抄送功能，在当前审批环节时，系统自动向后续环节的审批人发出通知；e)可灵活设置用户的多级领导作为流程中的审批角色，提供人员资料中可扩展为审批角色的增补表单；f)支持图形化的流程跟踪视图，提供跟踪流程处理进度，能够自动标志当前流程所处环节。5.5 系

43、统管理 5.5.1 登录授权 系统支持基于统一安全认证的单点登录，实现统一界面登录，统一用户权限分配，统一用户资源分配。支持根据不同用户设置单独的资源视图保证管理安全性。系统支持不同的登录授权机制，支持用户名/密码、LDAP 和数字证书等认证方式，推荐采用数字证书的方式。5.5.2 帐号管理 帐号能够进行管理维护，应包括增加、删除、修改、查询用户信息。用户帐号信息应包括：用户帐号、用户密码、密码有效期、用户所属角色、附加说明等。系统管理员可以根据需要对用户进行分组，并为不同的用户或用户组分配角色。5.5.3 安全策略 安全策略应能够根据需要灵活设置，具体应包括以下内容：a)对于系统的登录管理，

44、应支持设置非法登录的次数及锁定时间、系统管理用户的帐号有效期、登录超时退出时间以及帐号锁定规则等功能；b)支持系统管理用户密码设置策略的自定义，限制系统管理用户设置的密码长度不少于 10 位，并且密码至少应由大小写字母、数字和特殊字符组成；c)应提供限制系统管理用户设置的密码长度、密码组成等；d)支持系统管理用户登录的 IP 管理策略，支持访问地址控制，保证用户访问的安全；e)对数据库中的用户名、密码等敏感信息，应采用较为安全的密码技术进行防护；f)支持对用户的操作进行详细的系统日志记录。5.5.4 权限管理 权限管理用于管理系统本身的相关用户及其权限，认证本系统各级管理及操作人员的身份以及控

45、制各级用户的访问权限。通过安全管理功能，满足各级网管人员对系统的分权限访问与操作需求，需要强化系统的身份管理，保证系统的安全性与保密性。权限管理包括以下内容:a)用户角色管理。公安信息网网络管理系统根据用户职能的不同将系统中的用户划分为三种角GA/T XXXX-XXXX 14 色，每种角色对应不同的权限。这三种角色是：1）系统管理员：系统管理员负责系统的总体管理，具有最高权限，可根据需要对系统的配置和功能进行调整；2）一般网络管理员：一般网络管理员负责公安信息网网络管理系统的日常维护和局部管理，在其负责的区域内根据需要可对系统的部分配置和功能进行调整，其权限比系统管理员小，监控的范围和对象有限

46、；3）普通网络用户：普通网络用户只能享受系统对其开放的功能。无权更改系统的任何配量和功能，权限最低。b)用户权限管理。用户权限是指用户对系统提供功能的执行权利，公安信息网网络管理系统需要设置如下的功能执行权限：1）数据管理的权限：管理数据查询、增加、修改和删除的权限；2）网元管理的权限：对网络管理设备的操作权限；针对不同的网络设备发送控制命令的权限限制；3）用户资料管理的权限：用户査询、增加用户、修改用户资料、删除用户资料的权限；4）网络管理系统功能模块的使用权限；5）系统用户通过 WEB 访问网络管理系統的权限。c)设备权限管理。关于路由器、交换机的 SNMP 读写口令，应只有负责设备维护的

47、网络管理员掌握，以保证安全。5.5.5 系统日志 系统日志管理功能应包括以下内容：a)操作日志管理：自动对管理人员在系统中的操作进行日志记录；b)日志保存格式：日志可以保存成文本格式，并支持定时和手工转储功能；c)日志查询功能：系统的业务操作日志，比如新增 VPN，新增网元设备，删除链路信息，修改客户信息等。查询条件涉及到事件类型、操作对象、操作时间等。查询结果以列表的形式进行展示。日志保留了网络管理系统业务操作的痕迹，在网络管理系统中不可或缺。5.5.6 备份恢复 系统应提供统一的数据备份恢复管理功能，对系统数据库中的数据进行自动的备份，并可在意外情况发生后进行数据的恢复。数据备份功能应包括

48、以下内容：a)提供以数据类别和时间两种备份类型进行备份，可以根据配置定时对一类或多类数据进行自动备份；b)可以选择多个数据库或者数据库表等数据对象进行备份；c)提供备份的日志以便进行备份管理。数据恢复功能应包括以下内容：a)提供按类别和时间两种恢复类型进行数据恢复；b)提供恢复日志以便进行恢复管理。5.5.7 个性化管理 个性化管理功能应包括以下内容：a)支持个性化设置，在界面上定制用户的单位名称、系统名称和用户标志；GA/T XXXX-XXXX 15 b)支持按照不同管理员的首页展示定制，能让用户在一个页面上配置多个显示模块（比如“拓扑图”，“告警信息”，“关注设备的性能指标”等），不同用户

49、展示不同内容组合；c)支持多种排列方式。在使用过程中，用户也可以随时切换而不需要重启服务。所有组件支持拖拽的方式实时调整位置和排列。5.6 系统接口 系统接口应包括以下三个方面内容：a)网络管理系统与被管理对象间的南向接口系统提供与管理对象间的南向接口，包括与路由器、交换机等网络设备的数据采集接口，以及与具有 SNMP 协议模块的设备接口，能够接收主流设备厂商的故障报警信息；b)网络管理系统与其他第三方系统的北向接口，供安全管理平台、公安大数据分析平台等第三方系统调用；c)上下级网络管理系统的级联接口。系统支持分级功能，上下级网络管理系统之间通过接口实现数据同步和功能调用。5.7 数据分析层功

50、能 5.7.1 网络质量分析 网络质量分析功能应包括以下内容：a)支持 724h 网络质量监测能力，可以对关键链路、应用、网络的丢包、时延、抖动等服务质量指标进行监测；b)支持丰富的监测指标，并支持多维度监测数据的对比查看；c)支持网络服务的定义能力，包括：语音、视频、数据、实时应用、流媒体应用、网页浏览、网络管理协议、信令等；并支持根据需要进行网络服务的自定义能力；d)支持自定义网络服务的等级，可根据不同的等级提供不同的网络质量检测的阈值；e)支持在网络质量下降时提供告警提醒功能，当网络质量下降时，可通过告警信息及时提醒管理员；f)支持网络质量告警策略设置，为避免偶然的网络质量下降导致的告警