1、數(shù)據(jù)一致性要求CRM和BOSS解耦后，業(yè)務(wù)運營支撐系統(tǒng)與業(yè)務(wù)平臺間交互更加復(fù)雜，數(shù)據(jù)跨系統(tǒng)分布情況凸顯，大量關(guān)鍵數(shù)據(jù)分別存儲在兩個或多個系統(tǒng)中，數(shù)據(jù)入口和出口不一致，多系統(tǒng)同時對數(shù)據(jù)進行操作，增加數(shù)據(jù)不一致風(fēng)險。為此，數(shù)據(jù)一致性管理提出了如下建設(shè)目標：確?？缦到y(tǒng)分布的數(shù)據(jù)在CRM、BOSS及相關(guān)網(wǎng)元間的一致性。確?？缦到y(tǒng)業(yè)務(wù)流程在CRM、BOSS及相關(guān)網(wǎng)元間的業(yè)務(wù)一致性。根據(jù)數(shù)據(jù)的業(yè)務(wù)特性，采用適當手段，提升數(shù)據(jù)同步的實時性。本規(guī)范通過對CRM、BOSS及相關(guān)網(wǎng)元間的數(shù)據(jù)分布和數(shù)據(jù)交互關(guān)系的分析，對不同情況產(chǎn)生的數(shù)據(jù)差異問題，采用不同的數(shù)據(jù)一致性保障手段，對數(shù)據(jù)一致性保障手段定義、適用范圍等進

2、行闡述，并對實現(xiàn)原則等提出明確技術(shù)要求。數(shù)據(jù)一致性原則數(shù)據(jù)一致性管理是針對CRM、BOSS系統(tǒng)及相關(guān)網(wǎng)元間存在的數(shù)據(jù)差異問題采取的技術(shù)和管理手段。CRM、BOSS及相關(guān)網(wǎng)元間的數(shù)據(jù)一致性通過業(yè)務(wù)完整性和數(shù)據(jù)稽核與同步等手段保證。不同階段產(chǎn)生的數(shù)據(jù)一致性問題，應(yīng)采用不同保障手段，從事前、事中、事后三方面考慮。事前數(shù)據(jù)一致性主要通過優(yōu)化設(shè)計的手段保證，并遵循如下保障原則：合理的數(shù)據(jù)分布設(shè)計，是指在實施CRM和BOSS的過程中，充分考慮到跨系統(tǒng)流程和跨系統(tǒng)數(shù)據(jù)分布對系統(tǒng)造成的影響，合理分布數(shù)據(jù)，盡量避免不必要的數(shù)據(jù)復(fù)制和同步，避免冗余數(shù)據(jù)，盡量在一個平臺存儲和管理數(shù)據(jù)。合理的跨系統(tǒng)流程設(shè)計，是指在滿

3、足業(yè)務(wù)需求的基礎(chǔ)上，盡量避免采用同步的通訊機制和不可靠的傳輸機制。合理的應(yīng)用分布，是指充分考慮冗余、復(fù)用機制，合理采用多進程、多線程，提高數(shù)據(jù)處理的實時性。合理的同步策略，對于在多個平臺存儲同一數(shù)據(jù)的情況，應(yīng)盡量考慮以其中的一個平臺作為標準進行同步。事中數(shù)據(jù)一致性主要通過業(yè)務(wù)完整性相關(guān)手段進行保障；事后數(shù)據(jù)一致性通過訂單數(shù)據(jù) 稽核、數(shù)據(jù)稽核與同步等方式實施保證。下面章節(jié)將對事中、事后一致性保障手段做詳細介紹。業(yè)務(wù)完整性要求業(yè)務(wù)完整性是保障業(yè)務(wù)正常流轉(zhuǎn)的一種手段。由于存在跨系統(tǒng)的業(yè)務(wù)流程，任何一個環(huán)節(jié)的錯誤都可能導(dǎo)致業(yè)務(wù)辦理的失敗，導(dǎo)致用戶的滿意度下降。因此，必然要有一定的手段和流程設(shè)計來保證業(yè)

4、務(wù)完整性。業(yè)務(wù)完整性通過全局事務(wù)控制、回退機制和重發(fā)機制三種技術(shù)手段實現(xiàn)。1、全局事務(wù)控制全局事務(wù)是指分布式事務(wù)處理環(huán)境中，多個數(shù)據(jù)庫可能需要共同完成一個工作，這個工作即是一個全局事務(wù)。例如，一個客戶開戶的事務(wù)中可能更新CRM、BOSS等幾個不同的數(shù)據(jù)庫，對這些數(shù)據(jù)庫的操作發(fā)生在系統(tǒng)的各處，但必須全部被提交或回滾。此時一個數(shù)據(jù)庫對自己內(nèi)部所做操作的提交不僅依賴本身操作是否成功，還要依賴與全局事務(wù)相關(guān)的其它數(shù)據(jù)庫的操作是否成功，如果任一數(shù)據(jù)庫的任一操作失敗，則參與此事務(wù)的所有數(shù)據(jù)庫所做的所有操作都必須回滾。在一分布事務(wù)環(huán)境中，全局事務(wù)交易由中間件通知和協(xié)調(diào)相關(guān)數(shù)據(jù)庫的提交或回滾。而一個數(shù)據(jù)庫只將

5、其自己所做的操作（可恢復(fù)）影射到全局事務(wù)中。為保證全局事務(wù)的完整性，由交易中間件控制數(shù)據(jù)庫做兩階段提交。全局事務(wù)控制由數(shù)據(jù)庫和中間件配合保證事務(wù)的一致性，應(yīng)用程序的邏輯相對簡單。但是對數(shù)據(jù)庫來說事務(wù)從開始到結(jié)束（提交或回滾）時間相對較長，在事務(wù)處理期間數(shù)據(jù)庫使用的資源（如邏輯日志、各種鎖），直到事務(wù)結(jié)束時才會釋放。2、回退機制回退機制提供CRM、BOSS未完成事務(wù)的撤銷操作，是對事務(wù)完整性的一個補充手段，保證了系統(tǒng)間交易結(jié)果的一致性，是保障異步傳輸機制的重要手段。用于通知接收方先前交易未按預(yù)定流程完成，應(yīng)取消處理結(jié)果?；赝藱C制解決了多個節(jié)點之間交易的一致性問題，可分為自動回退和手動回退。在回退

6、機制中應(yīng)能滿足如下要求：提供單筆或批量回退操作。保證回退數(shù)據(jù)的正確性?；赝诉壿嫅?yīng)避免隔單處理。 3、重發(fā)機制重發(fā)機制是一種前向糾錯的手段，用于保證業(yè)務(wù)處理流程完整性。一般會采取自動請求的方式。重發(fā)機制是和回退機制完全相反的操作，保證后端流程的正常進行。例如：發(fā)起方提交工單失敗后，能將失敗工單存儲起來，在一定時間內(nèi)自動將工單再次提交，也要支持人工處理，用于保證業(yè)務(wù)處理流程完整性。重發(fā)機制多用在異步處理方式，支持重發(fā)次數(shù)、重發(fā)間隔時間的可配置，如服務(wù)開通工單重處理。備份性能指標數(shù)據(jù)備份是指用特殊的備份軟件，能夠在不影響正常業(yè)務(wù)運營的前提下將BOSS系統(tǒng)涉及的各種數(shù)據(jù)（包括數(shù)據(jù)庫和文件系統(tǒng)中的數(shù)據(jù)）

7、備份到備份設(shè)備上的過程。數(shù)據(jù)備份須符合不能影響正常業(yè)務(wù)運營的原則。數(shù)據(jù)備份包括全量備份和增量備份。全量備份性能指標指標項要求數(shù)據(jù)（不含服務(wù)使用記錄和詳單）備份周期= 7天服務(wù)使用記錄和詳單數(shù)據(jù)備份周期= 1個月備份完成時間= 12個月原始服務(wù)使用記錄要求在線保存時間= 3個月原始服務(wù)使用記錄要求離線保存時間= 6個月詳單記錄要求在線保存時間= 6個月詳單記錄要求離線保存時間= 36個月異常服務(wù)使用記錄要求在線保存時間= 3個月異常服務(wù)使用記錄要求離線保存時間= 12個月結(jié)算數(shù)據(jù)（包括漫游結(jié)算和網(wǎng)間結(jié)算）要求在線保存時間= 4個月結(jié)算數(shù)據(jù)（包括漫游結(jié)算和網(wǎng)間結(jié)算）要求離線保存時間= 12個月全量

8、備份性能指標表指標項說明：數(shù)據(jù)（不含服務(wù)使用記錄和詳單）備份周期：這里的數(shù)據(jù)是指不包括原始話單和詳單的各種BOSS系統(tǒng)數(shù)據(jù)，包括但不局限于用戶信息、訂購信息、各種局數(shù)據(jù)信息、用戶帳單信息和累積量信息等。備份周期是指相鄰兩次備份操作啟動時間的間隔。服務(wù)使用記錄和詳單數(shù)據(jù)備份周期：服務(wù)使用記錄是指數(shù)據(jù)庫詳單和原始話單文件記錄。備份周期是指相鄰兩次備份操作啟動時間的間隔。備份完成時間：是指從備份啟動到備份完成所需要的時間。備份數(shù)據(jù)保持周期：是指備份生成的數(shù)據(jù)從生成到刪除的時間間隔。原始服務(wù)使用記錄要求在線保存時間：原始服務(wù)使用記錄是指采集到的原始話單；在線保存是指在BOSS主機文件系統(tǒng)上進行保存。原

9、始服務(wù)使用記錄要求離線保存時間：原始服務(wù)使用記錄是指采集到的原始話單；離線保存是指在磁帶等外部存儲上進行保存。詳單記錄要求在線保存時間：詳單記錄是指經(jīng)過BOSS系統(tǒng)處理在數(shù)據(jù)庫中進行保存的清單記錄；在線保存是指在BOSS主機文件系統(tǒng)上進行保存。詳單記錄要求離線保存時間：詳單記錄是指經(jīng)過BOSS系統(tǒng)處理在數(shù)據(jù)庫中進行保存的清單記錄；離線保存是指在磁帶等外部存儲上進行保存。異常服務(wù)使用記錄要求在線保存時間：異常服務(wù)使用記錄是指BOSS系統(tǒng)無法正常處理的話單記錄；在線保存是指在BOSS主機文件系統(tǒng)上進行保存。異常服務(wù)使用記錄要求離線保存時間：異常服務(wù)使用記錄是指BOSS系統(tǒng)無法正常處理的話單記錄；離

10、線保存是指在磁帶等外部存儲上進行保存。結(jié)算數(shù)據(jù)（包括漫游結(jié)算和網(wǎng)間結(jié)算）要求在線保存時間：結(jié)算數(shù)據(jù)是指BOSS處理的用于網(wǎng)間和漫游結(jié)算的詳單記錄；在線保存是指在BOSS主機文件系統(tǒng)上進行保存。結(jié)算數(shù)據(jù)（包括漫游結(jié)算和網(wǎng)間結(jié)算）要求離線保存時間：結(jié)算數(shù)據(jù)是指BOSS處理的用于網(wǎng)間和漫游結(jié)算的詳單記錄；離線保存是指在磁帶等外部存儲上進行保存。增量備份性能指標指標項要求數(shù)據(jù)（含服務(wù)使用記錄）備份周期= 1天 備份完成時間= 1個月增量備份性能指標表指標項說明：數(shù)據(jù)（含服務(wù)使用記錄）備份周期：是指BOSS系統(tǒng)數(shù)據(jù)庫和文件系統(tǒng)中涉及的全部數(shù)據(jù)。備份周期是指相鄰兩次備份操作啟動時間的間隔。備份完成時間：是

11、指從備份啟動到備份完成所需要的時間。備份數(shù)據(jù)保持周期：是指備份生成的數(shù)據(jù)從生成到刪除的時間間隔。業(yè)務(wù)連續(xù)性要求業(yè)務(wù)連續(xù)性是指業(yè)務(wù)運營支撐系統(tǒng)應(yīng)對風(fēng)險具有自動調(diào)整和快速反應(yīng)的能力，以保證業(yè)務(wù)的連續(xù)運轉(zhuǎn)?，F(xiàn)有BOSS通過容災(zāi)系統(tǒng)的建設(shè)，提高了業(yè)務(wù)連續(xù)性的能力，但在CRM系統(tǒng)和BOSS解耦后出現(xiàn)了以下新問題，對業(yè)務(wù)連續(xù)性提出了新的挑戰(zhàn)：新增大量跨系統(tǒng)流程及長流程，系統(tǒng)間依賴關(guān)系增大，導(dǎo)致系統(tǒng)穩(wěn)定性下降。數(shù)據(jù)的跨系統(tǒng)分布，增加數(shù)據(jù)不一致的風(fēng)險，導(dǎo)致業(yè)務(wù)失敗。CRM系統(tǒng)與BOSS的處理性能不匹配，造成系統(tǒng)瓶頸，導(dǎo)致系統(tǒng)性能下降甚至業(yè)務(wù)中斷等。為此，必須對CRM系統(tǒng)和BOSS的業(yè)務(wù)連續(xù)性提出更高的要求，為

12、系統(tǒng)持續(xù)可靠運行提供保障。本章節(jié)通過對業(yè)務(wù)連續(xù)性的風(fēng)險分析和業(yè)務(wù)影響分析，明確相關(guān)業(yè)務(wù)的RTO和RPO指標要求；從滿足業(yè)務(wù)連續(xù)性要求出發(fā)，明確應(yīng)用設(shè)計、IT基礎(chǔ)設(shè)施規(guī)劃、日常保障、快速備份恢復(fù)、故障恢復(fù)、組織保障等方面的相關(guān)要求。業(yè)務(wù)連續(xù)性分析業(yè)務(wù)連續(xù)性分析從風(fēng)險分析、業(yè)務(wù)影響分析兩個方面對影響業(yè)務(wù)連續(xù)運轉(zhuǎn)的因素進行分析，提出相關(guān)業(yè)務(wù)的RTO和RPO指標要求。風(fēng)險分析風(fēng)險是指可能導(dǎo)致系統(tǒng)中止運行、業(yè)務(wù)中斷，并給企業(yè)和客戶造成重大影響的潛在事件或事故。風(fēng)險分析的對象通常為“基礎(chǔ)設(shè)施與技術(shù)”、“人為因素”和“不可抗力”三個層面。同時，依據(jù)風(fēng)險的來源又分為內(nèi)部原因和外部原因，具體如下表所示?；A(chǔ)設(shè)施

13、和技術(shù)人為因素不可抗力內(nèi)部員工外部人員氣候自然災(zāi)害硬件故障技術(shù)缺陷電源故障空調(diào)損壞消防設(shè)施毀壞通訊線路中斷跨系統(tǒng)長流程問題系統(tǒng)間處理能力匹配問題數(shù)據(jù)不一致風(fēng)險病毒誤操作盜竊蓄意破壞粗心或無知辭職情緒波動病毒黑客攻擊誤操作入室行竊蓄意破壞間諜活動示威活動消防灌水嚴寒冰雪惡劣氣候崩塌雷擊龍卷風(fēng)海嘯交通堵塞中斷水位過高地震火災(zāi)塌方飛行器撞擊爆炸火山爆發(fā)內(nèi)部原因外部原因風(fēng)險類型分類描述表本次規(guī)范的關(guān)注重點是針對CRM與BOSS解耦在基礎(chǔ)設(shè)施與技術(shù)方面對業(yè)務(wù)連續(xù)性的影響，特別是跨系統(tǒng)長流程問題、系統(tǒng)間處理能力匹配問題、數(shù)據(jù)不一致風(fēng)險問題等三個方面，確定業(yè)務(wù)連續(xù)性相關(guān)的應(yīng)用設(shè)計，IT基礎(chǔ)設(shè)施規(guī)劃，日常保障

14、等要求。業(yè)務(wù)影響分析本節(jié)根據(jù)業(yè)務(wù)中斷對客戶或企業(yè)的影響程度，對CRM系統(tǒng)和BOSS的業(yè)務(wù)級別進行分類，并提出相應(yīng)的業(yè)務(wù)連續(xù)性指標要求。1、業(yè)務(wù)級別分類按照業(yè)務(wù)中斷對客戶和企業(yè)造成的負面影響程度，將業(yè)務(wù)分類為三個級別：最關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)和非關(guān)鍵業(yè)務(wù)。最關(guān)鍵業(yè)務(wù)是指客戶最敏感的業(yè)務(wù)，此類業(yè)務(wù)的中斷，將會極大降低客戶的滿意度，對企業(yè)形象造成重大負面影響，如繳費，停開機等。在特殊情況下，如發(fā)生地震，雪災(zāi)等自然災(zāi)害時，應(yīng)考慮根據(jù)客戶服務(wù)的實際情況對最關(guān)鍵業(yè)務(wù)的范圍進行調(diào)整。關(guān)鍵業(yè)務(wù)是指業(yè)務(wù)中斷將會對客戶感知造成較嚴重影響的業(yè)務(wù)，及其所依賴的業(yè)務(wù)，如開戶等。非關(guān)鍵業(yè)務(wù)是指由于該業(yè)務(wù)中斷，將會對企業(yè)運營和

15、客戶感知產(chǎn)生一般或較小影響或基本沒有影響的業(yè)務(wù)。如綜合結(jié)算、合作伙伴管理等業(yè)務(wù)。根據(jù)以上的業(yè)務(wù)級別分類標準，CRM系統(tǒng)和BOSS業(yè)務(wù)級別分類如下：系統(tǒng)一級功能二級功能三級功能四級功能業(yè)務(wù)級別BOSS產(chǎn)品管理產(chǎn)品目錄管理非關(guān)鍵產(chǎn)品創(chuàng)建關(guān)鍵產(chǎn)品變更關(guān)鍵產(chǎn)品退出關(guān)鍵配置管理關(guān)鍵發(fā)布管理關(guān)鍵版本管理關(guān)鍵BOSS服務(wù)開通服務(wù)開通定單管理關(guān)鍵工單管理關(guān)鍵開通與激活關(guān)鍵BOSS采集預(yù)處理關(guān)鍵BOSS融合計費關(guān)鍵BOSS綜合帳務(wù)帳務(wù)管理繳費管理最關(guān)鍵銷帳管理關(guān)鍵帳戶資金管理關(guān)鍵帳單管理關(guān)鍵欠費管理關(guān)鍵帳務(wù)核算關(guān)鍵發(fā)票管理關(guān)鍵帳務(wù)處理關(guān)鍵信用管理關(guān)鍵積分管理關(guān)鍵BOSS綜合結(jié)算非關(guān)鍵BOSS合作伙伴管理非關(guān)鍵B

16、OSS基礎(chǔ)管理系統(tǒng)管理操作權(quán)限管理關(guān)鍵安全管理非關(guān)鍵操作日志管理非關(guān)鍵系統(tǒng)備份與清理非關(guān)鍵應(yīng)用運維工具非關(guān)鍵軟件版本控制管理非關(guān)鍵系統(tǒng)監(jiān)控非關(guān)鍵業(yè)務(wù)局數(shù)據(jù)管理關(guān)鍵數(shù)據(jù)一致性管理非關(guān)鍵計費帳務(wù)稽核非關(guān)鍵統(tǒng)計報表非關(guān)鍵業(yè)務(wù)級別分類表2、業(yè)務(wù)連續(xù)性的指標要求業(yè)務(wù)連續(xù)性的指標有兩個，即恢復(fù)時間目標（RTO）和恢復(fù)點目標（RPO）。恢復(fù)時間目標（Recovery Time Objective，以下簡稱RTO）：表示了從災(zāi)難發(fā)生直到業(yè)務(wù)流程再次運行（即被恢復(fù)）的時間。RTO從低到高分為5個級別，其中1級為最高級別：級別恢復(fù)時間要求（1級）2小時內(nèi)恢復(fù)（2級）4小時內(nèi)恢復(fù)（3級）8小時內(nèi)恢復(fù)（4級）1天恢復(fù)

17、（5級）可恢復(fù)，但無時間要求恢復(fù)點目標（Recovery Point Objective，以下簡稱RPO）：是災(zāi)難發(fā)生后業(yè)務(wù)能夠容忍的數(shù)據(jù)丟失量，或者說災(zāi)難發(fā)生造成的數(shù)據(jù)丟失量。RPO從低到高分為5個級別，其中1級為最高級別：級別可容忍丟失的數(shù)據(jù)（1級）無數(shù)據(jù)損失（2級）30分鐘內(nèi)的數(shù)據(jù)損失（3級）4小時內(nèi)的數(shù)據(jù)損失（4級）8小時內(nèi)的數(shù)據(jù)損失（5級）一天之內(nèi)的數(shù)據(jù)損失在CRM系統(tǒng)和BOSS中，各業(yè)務(wù)功能與業(yè)務(wù)連續(xù)性指標的對應(yīng)關(guān)系如表所示。系統(tǒng)一級功能二級功能三級功能四級功能RPO 級別RTO級別BOSS產(chǎn)品管理產(chǎn)品目錄管理44產(chǎn)品創(chuàng)建21產(chǎn)品變更21產(chǎn)品退出21配置管理21發(fā)布管理21版本管理

18、21BOSS服務(wù)開通服務(wù)開通類定單管理11工單管理11開通與激活11BOSS采集預(yù)處理22BOSS融合計費22BOSS綜合帳務(wù)帳務(wù)管理繳費管理11銷帳管理11帳戶資金管理11帳單管理33欠費管理11帳務(wù)核算22發(fā)票管理33帳務(wù)處理22信用管理11積分管理22BOSS綜合結(jié)算44BOSS合作伙伴管理44BOSS基礎(chǔ)管理系統(tǒng)管理操作權(quán)限管理11安全管理33操作日志管理33系統(tǒng)備份與清理44應(yīng)用運維管理43軟件版本控制管理33系統(tǒng)監(jiān)控44業(yè)務(wù)局數(shù)據(jù)管理22數(shù)據(jù)一致性管理44計費帳務(wù)稽核44統(tǒng)計報表44業(yè)務(wù)功能與業(yè)務(wù)連續(xù)性指標對應(yīng)關(guān)系表在CRM系統(tǒng)和NG1-BOSS系統(tǒng)實現(xiàn)時，根據(jù)此表確定業(yè)務(wù)連續(xù)性保

19、障方式。業(yè)務(wù)連續(xù)性保障業(yè)務(wù)連續(xù)性保障是指確保業(yè)務(wù)連續(xù)的機制，包括：系統(tǒng)高可用性的規(guī)劃和設(shè)計、運維保障、故障恢復(fù)、容災(zāi)系統(tǒng)建設(shè)、組織保障等方面。高可用性業(yè)務(wù)應(yīng)用的高可用性和IT基礎(chǔ)設(shè)施的高可靠性是實現(xiàn)業(yè)務(wù)連續(xù)性的基礎(chǔ)，因此對業(yè)務(wù)應(yīng)用的設(shè)計和IT基礎(chǔ)設(shè)施的規(guī)劃提出如下要求：1、應(yīng)用設(shè)計原則保證數(shù)據(jù)的合理分布，數(shù)據(jù)的一致性以及數(shù)據(jù)操作事務(wù)的完整性。合理規(guī)劃和設(shè)計跨系統(tǒng)流程，保證流程執(zhí)行的暢通和完整性。具備良好的可伸縮性，通過合理配置資源，消除性能不匹配所導(dǎo)致的系統(tǒng)瓶頸。應(yīng)用系統(tǒng)接口應(yīng)具備高可靠性。2、IT基礎(chǔ)設(shè)施規(guī)劃原則網(wǎng)絡(luò)應(yīng)規(guī)劃足夠的網(wǎng)絡(luò)帶寬，保證接入設(shè)備與鏈路的冗余備份，以及接口的穩(wěn)定性。服務(wù)器

20、應(yīng)保證容錯機制、高可用性，支持負載均衡，并預(yù)留一定的處理擴展能力。存儲設(shè)備應(yīng)具備內(nèi)部容錯機制和數(shù)據(jù)保護機制。運維保障在CRM系統(tǒng)的日常運行維護過程中，應(yīng)采用各種流程、技術(shù)手段加大對系統(tǒng)異常的監(jiān)控和處理，預(yù)防系統(tǒng)異常對業(yè)務(wù)連續(xù)性的影響。1、日常保障手段通過日常系統(tǒng)監(jiān)控和系統(tǒng)維護，提高系統(tǒng)運行穩(wěn)定性。通過數(shù)據(jù)稽核，實現(xiàn)數(shù)據(jù)一致性和完整性，保證業(yè)務(wù)可靠性。通過軟件版本管理等手段，確保應(yīng)用系統(tǒng)的可靠性。2、通過備份與恢復(fù)手段，保證應(yīng)用和數(shù)據(jù)的可恢復(fù)性。故障恢復(fù)系統(tǒng)出現(xiàn)故障導(dǎo)致業(yè)務(wù)中斷后，應(yīng)通過容災(zāi)提供業(yè)務(wù)恢復(fù)，容災(zāi)恢復(fù)有三個等級，即業(yè)務(wù)級容災(zāi)、應(yīng)用級容災(zāi)和數(shù)據(jù)級容災(zāi)，其關(guān)系如圖所示。數(shù)據(jù)級容災(zāi)僅能保證

21、數(shù)據(jù)的完整性，業(yè)務(wù)恢復(fù)時間很長（一般在3天以上）。應(yīng)用級容災(zāi)包含數(shù)據(jù)級容災(zāi)，災(zāi)難發(fā)生后業(yè)務(wù)能夠比較快速地恢復(fù)（一般在一天之內(nèi)）。業(yè)務(wù)級容災(zāi)包含應(yīng)用級容災(zāi)，是最高層次的容災(zāi)，災(zāi)難發(fā)生后業(yè)務(wù)幾乎不受影響（一般小于30分鐘）；由于業(yè)務(wù)級容災(zāi)投資較高，本次規(guī)范中的業(yè)務(wù)級容災(zāi)只涵蓋最關(guān)鍵業(yè)務(wù)。容災(zāi)層次關(guān)系圖故障恢復(fù)方式包括本地應(yīng)急接管，異地容災(zāi)接管，本地備份恢復(fù)。本地應(yīng)急接管是指通過啟用本地應(yīng)急系統(tǒng)，部分接管生產(chǎn)系統(tǒng)，保證關(guān)鍵業(yè)務(wù)連續(xù)性的方式，適用于業(yè)務(wù)級容災(zāi)。異地容災(zāi)接管是指通過啟用容災(zāi)系統(tǒng)，全面接管生產(chǎn)系統(tǒng)，保證整體業(yè)務(wù)連續(xù)性的方式，適用于應(yīng)用級容災(zāi)。本地備份恢復(fù)是指使用本地備份數(shù)據(jù)恢復(fù)生產(chǎn)系統(tǒng)，保

22、證整體業(yè)務(wù)連續(xù)性的方式，適用于數(shù)據(jù)級容災(zāi)。業(yè)務(wù)連續(xù)性保障體系架構(gòu)1、系統(tǒng)定位業(yè)務(wù)連續(xù)性保障體系由本地應(yīng)急系統(tǒng)和容災(zāi)系統(tǒng)組成，本地應(yīng)急系統(tǒng)、容災(zāi)系統(tǒng)與生產(chǎn)系統(tǒng)相互配合共同保證整體業(yè)務(wù)連續(xù)性。本地應(yīng)急系統(tǒng)是本地關(guān)鍵業(yè)務(wù)快速恢復(fù)的手段，通過啟動本地應(yīng)急系統(tǒng)可保證關(guān)鍵業(yè)務(wù)的連續(xù)性。容災(zāi)系統(tǒng)是建立在異地容災(zāi)中心的一套整體生產(chǎn)系統(tǒng)恢復(fù)體系，通過啟動容災(zāi)系統(tǒng)可以全面接管生產(chǎn)系統(tǒng)，實現(xiàn)業(yè)務(wù)系統(tǒng)連續(xù)性。生產(chǎn)系統(tǒng)、本地應(yīng)急系統(tǒng)和容災(zāi)系統(tǒng)三者之間關(guān)系如圖所示。容災(zāi)系統(tǒng)關(guān)系圖2、系統(tǒng)拓撲結(jié)構(gòu)根據(jù)生產(chǎn)系統(tǒng)、本地應(yīng)急系統(tǒng)和容災(zāi)系統(tǒng)三者的定位和關(guān)系，落實到容災(zāi)系統(tǒng)的實現(xiàn)，網(wǎng)絡(luò)拓撲示意圖如圖所示。容災(zāi)系統(tǒng)網(wǎng)絡(luò)拓撲圖本地應(yīng)急系

23、統(tǒng)與生產(chǎn)系統(tǒng)共同布署在生產(chǎn)中心，其處理能力應(yīng)根據(jù)業(yè)務(wù)需求決定。本地應(yīng)急系統(tǒng)要求配備獨立的服務(wù)器、數(shù)據(jù)庫和存儲設(shè)備等，并與生產(chǎn)系統(tǒng)的服務(wù)器、數(shù)據(jù)庫和存儲設(shè)備等相對隔離。容災(zāi)系統(tǒng)布署在遠程容災(zāi)中心，其與生產(chǎn)系統(tǒng)的結(jié)構(gòu)和部署一致。為了提高設(shè)備的利用率和節(jié)省投資，在滿足業(yè)務(wù)需求的前提下，容災(zāi)系統(tǒng)的性能不作過高要求。在生產(chǎn)中心與容災(zāi)中心之間，應(yīng)具備足夠的帶寬，以及鏈路的高可用性和高可靠性，以滿足數(shù)據(jù)同步的要求。容災(zāi)系統(tǒng)應(yīng)具有路由控制和負載均衡功能，以保證系統(tǒng)切換后，外部系統(tǒng)的正常接入訪問。3、切換原則當CRM生產(chǎn)系統(tǒng)或NG1-BOSS生產(chǎn)系統(tǒng)發(fā)生故障需要切換時，生產(chǎn)系統(tǒng)、本地應(yīng)急系統(tǒng)、容災(zāi)系統(tǒng)三者之間的

24、切換原則如下：生產(chǎn)系統(tǒng)的最關(guān)鍵業(yè)務(wù)發(fā)生故障而且故障修復(fù)時間小于最高級別RTO恢復(fù)時間要求的情況下，生產(chǎn)系統(tǒng)應(yīng)切換到本地應(yīng)急系統(tǒng)。生產(chǎn)系統(tǒng)發(fā)生故障的其它情況，通過決策、審批后可切換到容災(zāi)系統(tǒng)。生產(chǎn)系統(tǒng)修復(fù)后，應(yīng)從本地應(yīng)急系統(tǒng)/容災(zāi)系統(tǒng)回切回生產(chǎn)系統(tǒng)。當本地應(yīng)急系統(tǒng)的持續(xù)工作時間大于最高級別RTO恢復(fù)時間要求但生產(chǎn)系統(tǒng)故障仍未修復(fù)時，應(yīng)通過決策、審批后從本地應(yīng)急系統(tǒng)切換到容災(zāi)系統(tǒng)。數(shù)據(jù)的一致性是保證業(yè)務(wù)連續(xù)性和完整性的基礎(chǔ)，為了確保正常切換和業(yè)務(wù)順利運轉(zhuǎn)，容災(zāi)系統(tǒng)數(shù)據(jù)流向及處理原則如圖所示。容災(zāi)系統(tǒng)數(shù)據(jù)流向其中：在生產(chǎn)系統(tǒng)運行期間，生產(chǎn)系統(tǒng)應(yīng)同步最關(guān)鍵業(yè)務(wù)數(shù)據(jù)到本地應(yīng)急系統(tǒng)，以保證本地應(yīng)急系統(tǒng)的數(shù)

25、據(jù)有效性。在本地應(yīng)急系統(tǒng)回切到生產(chǎn)系統(tǒng)時，為保證恢復(fù)后的生產(chǎn)系統(tǒng)順利運轉(zhuǎn)，必須按照本地應(yīng)急系統(tǒng)上的操作日志，在生產(chǎn)系統(tǒng)上批量地重做業(yè)務(wù)。在本地應(yīng)急系統(tǒng)切換到容災(zāi)系統(tǒng)時，也必須按照本地應(yīng)急系統(tǒng)上的操作日志，在容災(zāi)系統(tǒng)上批量地重做業(yè)務(wù)。在生產(chǎn)系統(tǒng)運行期間，容災(zāi)系統(tǒng)的數(shù)據(jù)必須同生產(chǎn)系統(tǒng)保持一致，可采用定點復(fù)制、連續(xù)復(fù)制的方式，從生產(chǎn)系統(tǒng)向容災(zāi)系統(tǒng)同步數(shù)據(jù)。容災(zāi)系統(tǒng)回切到生產(chǎn)系統(tǒng)時，必須將容災(zāi)系統(tǒng)的數(shù)據(jù)狀態(tài)同步到生產(chǎn)系統(tǒng)。組織保障1、人員編制容災(zāi)中心與生產(chǎn)中心處于不同局址，包括完整的機房環(huán)境、配套設(shè)備、系統(tǒng)設(shè)備、應(yīng)用軟件等，因此要求人員必須冗余。省公司應(yīng)配備專職的維護和管理人員，以備發(fā)生災(zāi)難和重大故障

26、的時候，確保容災(zāi)中心系統(tǒng)的可用性并能按照災(zāi)難恢復(fù)要求的時間完成系統(tǒng)切換。省公司應(yīng)根據(jù)容災(zāi)系統(tǒng)的功能和建設(shè)的模型，全面衡量容災(zāi)中心的工作量，確定容災(zāi)中心的人員編制。在進行該組織結(jié)構(gòu)制定時,應(yīng)根據(jù)省公司的具體人事編制來補充擴編。2、組織結(jié)構(gòu)容災(zāi)系統(tǒng)的管理組織結(jié)構(gòu)，按照其功能以及災(zāi)難恢復(fù)和日常管理的流程需求劃分，應(yīng)分別建立省公司領(lǐng)導(dǎo)組、省公司執(zhí)行組、分公司領(lǐng)導(dǎo)組等，如圖所示：容災(zāi)系統(tǒng)管理人員組織架構(gòu)其中：省公司領(lǐng)導(dǎo)組下設(shè)省公司執(zhí)行組和分公司領(lǐng)導(dǎo)組。省公司執(zhí)行組下設(shè)系統(tǒng)組、業(yè)務(wù)組、行政管理組。系統(tǒng)組和業(yè)務(wù)組下面設(shè)生產(chǎn)中心組和容災(zāi)中心組。分公司領(lǐng)導(dǎo)組下設(shè)分公司執(zhí)行組。每個組都應(yīng)該指定相關(guān)的人員負責。組長

27、應(yīng)指定一名組員擔任副組長，在組長不能履行其職責期間，副組長代理行使組長職責。3、災(zāi)難規(guī)劃文檔災(zāi)難恢復(fù)規(guī)劃文檔作為最重要的容災(zāi)系統(tǒng)文檔之一，必須精、準、簡，并保證其時效性。確保災(zāi)難恢復(fù)小組成員及其他相關(guān)人員對該文檔的正確理解和掌握。其中針對進入災(zāi)難狀態(tài)，上報及通知手段，評估災(zāi)難影響范圍，恢復(fù)業(yè)務(wù)系統(tǒng)管理及恢復(fù)業(yè)務(wù)系統(tǒng)流程等應(yīng)最少準備有容災(zāi)組織結(jié)構(gòu)職責及通知手冊、IT系統(tǒng)映射表、執(zhí)行組災(zāi)難恢復(fù)手冊、系統(tǒng)組/業(yè)務(wù)組災(zāi)難恢復(fù)手冊四類文件。4、容災(zāi)培訓(xùn)通過容災(zāi)培訓(xùn)，可確保：相關(guān)人員及時準確地了解系統(tǒng)結(jié)構(gòu)，熟悉測試、演習(xí)、災(zāi)難恢復(fù)流程。明確自身職責。溝通、協(xié)作順暢。提高各組織人員的工作技能和災(zāi)難應(yīng)對能力。

28、5、相關(guān)流程為了保證業(yè)務(wù)的的連續(xù)性，還需要建立行之有效的業(yè)務(wù)連續(xù)性計劃、災(zāi)難恢復(fù)機制和危機應(yīng)對流程，包括：預(yù)警流程、應(yīng)急切換流程、容災(zāi)切換流程、應(yīng)急回切流程、容災(zāi)回切流程、日常管理等等。安全要求網(wǎng)絡(luò)安全1、網(wǎng)絡(luò)系統(tǒng)支持入侵檢測的功能，對檢測到非法行為立即做出響應(yīng)，響應(yīng)的方式包括：記錄非法事件過程。記錄日期和時間。記錄事件的源和目標。報告網(wǎng)絡(luò)管理員。重新配置防火墻。自動終止入侵過程。發(fā)出電子郵件或短信警告。執(zhí)行用戶指定的操作。向管理控制臺發(fā)出警報。2、網(wǎng)絡(luò)系統(tǒng)支持定期檢查安全漏洞，并根據(jù)檢查的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤配置。3、門戶系統(tǒng)與外部系統(tǒng)的連接應(yīng)設(shè)置防火墻和接口服務(wù)器。防火墻可采

29、用雙機熱備份方式。通過防火墻，拒絕外部非法IP地址的訪問。對網(wǎng)絡(luò)服務(wù)如FTP，HTTP等的使用進行控制。監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動，并進行詳細的記錄。有效地抵御如IP欺騙攻擊、PING攻擊、碎片攻擊、DoS攻擊等多種攻擊手段。有效防止遠程用戶未經(jīng)認證登錄門戶網(wǎng)站。必須支持動態(tài)和靜態(tài)的內(nèi)部網(wǎng)與外部網(wǎng)之間的地址轉(zhuǎn)換、映射。防火墻應(yīng)具有健全的審計和告警功能。防火墻應(yīng)具有網(wǎng)絡(luò)流量分析的功能。4、必須通過防火墻等措施對進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進行掃描過濾，能夠根據(jù)用戶、IP地址、訪問類型等方式進行訪問規(guī)則限制。5、各子網(wǎng)間或遠程用戶傳輸中的數(shù)據(jù)應(yīng)該進行安全保護，利用加密等方式保證數(shù)據(jù)不被非法截獲，并提

30、供身份認證和授權(quán)等功能。系統(tǒng)安全1、系統(tǒng)應(yīng)具有多層次的防病毒能力。支持對各種類型的文件都可以進行病毒的查殺工作，包括對遠程子網(wǎng)中的服務(wù)器、工作站都可以進行全面的病毒防范。能夠自動進行病毒代碼庫的更新，保證對發(fā)現(xiàn)的病毒能夠在全網(wǎng)絡(luò)范圍內(nèi)進行清除。2、系統(tǒng)應(yīng)具備訪問權(quán)限的識別和控制功能，提供多級密碼口令或使用硬件密鑰等保護措施。對系統(tǒng)管理員、數(shù)據(jù)庫管理員及其它管理員必須授予不同級別的管理權(quán)限。應(yīng)限制用戶訪問主機資源，不同部門或類型的用戶訪問相應(yīng)的文件或應(yīng)用。對于需要登錄系統(tǒng)訪問的用戶，應(yīng)通過產(chǎn)品提供的安全策略強制實現(xiàn)用戶口令安全規(guī)則，如限制口令長度、限定口令修改時間間隔等，保證其身份的合法性。4、

31、應(yīng)充分保障操作系統(tǒng)的安全性。操作系統(tǒng)應(yīng)符合C2級以上安全標準。提供完整的操作系統(tǒng)監(jiān)控、報警和故障處理能力。應(yīng)定期對文件、帳戶、組、口令的配置進行檢測。應(yīng)定期對可執(zhí)行程序作完整性檢查，以防止被惡意修改。應(yīng)能檢測操作系統(tǒng)內(nèi)部是否有木馬程序駐留。能夠監(jiān)控應(yīng)用程序的運行情況。5、系統(tǒng)應(yīng)提供完備的日志記錄功能，日志至少保留3年。6、系統(tǒng)應(yīng)具有安全審計功能，審計周期不得少于1個月。應(yīng)用系統(tǒng)安全對于用戶身份安全應(yīng)支持門戶網(wǎng)站的安全管理，支持多種安全防范手段，包括：基于PKI（公鑰）密碼體系的認證、動態(tài)密碼令牌認證、矩陣口令卡認證、一次性手機短信密碼認證、軟鍵盤輸入等多種方式或多種方式組合。應(yīng)用系統(tǒng)的用戶管理

32、、權(quán)限管理應(yīng)充分利用操作系統(tǒng)和數(shù)據(jù)庫的安全性。應(yīng)用軟件運行時須有完整的日志記錄。不允許以明文方式保存用戶密碼或系統(tǒng)使用的各類密碼。為保證安全性，口令不允許以明碼的形式顯示在輸出設(shè)備上，應(yīng)能對口令進行如下限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。應(yīng)用系統(tǒng)應(yīng)支持操作失效時間的配置，當操作員在所配置的時間內(nèi)沒有對界面進行任何操作則該應(yīng)用自動失效。應(yīng)用系統(tǒng)應(yīng)提供完善的審計功能，對系統(tǒng)關(guān)鍵數(shù)據(jù)的每一次增加、修改和刪除都能記錄相應(yīng)的修改時間、操作人和修改前的數(shù)據(jù)記錄。應(yīng)用程序的源代碼不允許放在運行主機上，應(yīng)另行存放，并具有版本控制能力。各應(yīng)用軟件目錄設(shè)置及

33、其訪問權(quán)限應(yīng)有相應(yīng)的規(guī)范，以保證系統(tǒng)的安全性和可維護性。接口程序連接登錄必須進行認證（根據(jù)用戶名、密碼認證）。服務(wù)接口安全門戶網(wǎng)站系統(tǒng)與各業(yè)務(wù)平臺通過服務(wù)接口相互調(diào)用時，需確保調(diào)用的安全、可信。Web服務(wù)接口、WSRP接口須提供各安全層面的技術(shù)支持手段。包括：1、SSL：在門戶和業(yè)務(wù)平臺應(yīng)用之間傳遞機密數(shù)據(jù)時，須支持對數(shù)據(jù)進行加密。提供業(yè)內(nèi)標準的SSL v3，支持HTTP頭加密標準、加密cookies和HTTP壓縮。2、WS-Security：Web服務(wù)也必須在Web容器內(nèi)得到安全保護。門戶網(wǎng)站支持WS-Security，加密關(guān)鍵的Web服務(wù)頭信息，以實現(xiàn)不可否認的服務(wù)請求。安全管理措施禁止在

34、生產(chǎn)系統(tǒng)中使用未經(jīng)批準的應(yīng)用程序，禁止在生產(chǎn)系統(tǒng)上加載無關(guān)軟件，嚴禁擅自修改系統(tǒng)的有關(guān)參數(shù)。用于開發(fā)、測試的系統(tǒng)必須與生產(chǎn)系統(tǒng)嚴格分開。監(jiān)視系統(tǒng)運行記錄，及時審查日志文件，認真分析告警信息，及時掌握運行狀況，對系統(tǒng)可能發(fā)生的故障做好應(yīng)急方案。軟件程序的修改或增加功能時，須提出修改理由、方案、實施時間，報上級主管部門批準。程序修改后，須在測試系統(tǒng)上進行調(diào)試，確認無誤經(jīng)批準后方可投入生產(chǎn)應(yīng)用。軟件修改、升級前后的程序版本須存檔備查，軟件修改、升級時須有應(yīng)急補救方案。制定各項訪問控制措施，包括對網(wǎng)絡(luò)、主機、數(shù)據(jù)庫等的訪問。對所有路由器、交換機的密碼及配置應(yīng)由網(wǎng)絡(luò)管理員掌握，統(tǒng)一進行配置。對各類主機的

35、管理和對用戶以及文件系統(tǒng)的分配、訪問權(quán)限設(shè)置等工作統(tǒng)一由主機管理員執(zhí)行。對所有數(shù)據(jù)庫的管理和對表、視圖、記錄和域的授權(quán)工作統(tǒng)一由數(shù)據(jù)庫管理員執(zhí)行。建立嚴格的機房安全管理制度。非工作人員未經(jīng)許可不準進入機房，任何人不準將有關(guān)門戶網(wǎng)站資料泄密、任意抄錄或復(fù)制。參照國際安全標準ISO17799來采購信息安全產(chǎn)品和服務(wù)，確保采用的安全產(chǎn)品符合中華人民共和國有關(guān)信息安全的法律和規(guī)范。能力要求1、維護性要求維護性是指在不影響系統(tǒng)其他部分的情況下修改現(xiàn)有系統(tǒng)功能中問題或缺陷的能力。系統(tǒng)的可維護性主要有以下幾個方面：應(yīng)用系統(tǒng)應(yīng)采用構(gòu)件化設(shè)計思想，系統(tǒng)框架與業(yè)務(wù)邏輯分離。要求具備開放的體系架構(gòu)。應(yīng)用系統(tǒng)應(yīng)支持通

36、過統(tǒng)一的圖形界面訪問系統(tǒng)各構(gòu)件、接口的版本信息及相應(yīng)的功能說明。應(yīng)用系統(tǒng)每一個功能實現(xiàn)都應(yīng)在設(shè)計與需求文件中跟蹤到相應(yīng)的內(nèi)容。需求文件中的每一個需求都應(yīng)能跟蹤到該需求所涉及的設(shè)計元素及最終的功能實現(xiàn)。應(yīng)用系統(tǒng)出現(xiàn)異常錯誤報告時，必須能夠提供詳細的異常信息和明確的錯誤編號，并能在系統(tǒng)的相應(yīng)維護手冊中查到錯誤處理方法與步驟。當系統(tǒng)負荷加大時，應(yīng)在不更改整個系統(tǒng)架構(gòu)的前提下，確保正常的服務(wù)質(zhì)量。應(yīng)用系統(tǒng)必須支持各構(gòu)件的單獨升級，建議實現(xiàn)在線升級功能。應(yīng)用軟件中的任一模塊更新、加載時，在不改變與上下模塊接口的前提下，應(yīng)不影響業(yè)務(wù)運轉(zhuǎn)和服務(wù)。2、易用性要求易用性是指在用戶或運維人員進行操作過程中，給予的

37、感知能以操作人員所期待的方式進行展現(xiàn)、運行。系統(tǒng)的易用性主要有以下幾個方面的要求：應(yīng)用系統(tǒng)必須提供統(tǒng)一的圖形用戶界面風(fēng)格。應(yīng)用系統(tǒng)對普通用戶的操作界面應(yīng)以B/S 方式實現(xiàn)。應(yīng)用系統(tǒng)應(yīng)支持同時打開多個管理窗口以對不同任務(wù)進行并行的操作。應(yīng)用系統(tǒng)應(yīng)支持在一個業(yè)務(wù)過程中的所有功能界面都有返回上一個操作的快捷鏈接。應(yīng)用系統(tǒng)應(yīng)支持通過鍵盤即可完成一個界面窗口內(nèi)的主要操作。應(yīng)用系統(tǒng)應(yīng)支持通過Tab 鍵或回車鍵可以訪問到同一個窗口的所有控件對象。應(yīng)用系統(tǒng)應(yīng)支持對于常用功能設(shè)置快捷鍵以方便功能間的切換。快捷鍵的功能定義應(yīng)在全系統(tǒng)保持一致。應(yīng)用系統(tǒng)應(yīng)采用分頁機制顯示查詢結(jié)果，并顯示返回的記錄數(shù)目、當前頁和總頁數(shù)

38、。應(yīng)用系統(tǒng)發(fā)現(xiàn)用戶提交有誤信息，應(yīng)明確提示用戶錯誤的原因，并把界面控制焦點置于發(fā)生錯誤的控件對象上。應(yīng)用系統(tǒng)的操作界面應(yīng)明確標識出必填的輸入信息。在導(dǎo)致系統(tǒng)數(shù)據(jù)發(fā)生變化的操作執(zhí)行之前，系統(tǒng)應(yīng)明確提示用戶確認。對于復(fù)雜的信息結(jié)構(gòu)，系統(tǒng)應(yīng)采用分欄的機制在同一個窗口中顯示不同的信息內(nèi)容，并自動刷新不同部分的信息內(nèi)容。當應(yīng)用系統(tǒng)正在執(zhí)行用戶提交的請求而無法返回時，應(yīng)明確標識系統(tǒng)處于繁忙階段。應(yīng)用系統(tǒng)功能菜單應(yīng)按照功能域、功能組的分類方法進行組織。對于操作員無權(quán)限使用的菜單功能，應(yīng)用系統(tǒng)應(yīng)不顯示該菜單或?qū)⑵湓O(shè)置為不可用狀態(tài)。系統(tǒng)應(yīng)提供在線幫助功能，對于每一個操作功能都能查找到相應(yīng)的使用說明。操作員登錄系統(tǒng)后，系統(tǒng)應(yīng)能主動提醒等待該操作員處理的任務(wù)。隨系統(tǒng)提交的文檔應(yīng)包括完善的、針