目录目录1前言41 总则51.1 背景51.2 编制目的51.3 适用X围51.4 文档结构51.5 规X起草单位61.6 规X解释权61.7 参考文献61.8 名词解释和缩略语62 概述73 系统总体架构73.1 省分（总部）门户系统逻辑架构73.2 两级门户体系架构83.3 省分（总部）门户系统参考物理架构94 门户系统总体功能概述104.1 门户系统应用104.1.1 用户管理104.1.2 认证管理104.1.3 访问策略管理104.1.4 安全管理104.1.5 个性化服务104.2 企业应用集成104.3 统一的用户目录管理104.4 用户认证及访问权限控制114.4.1 用户认证流程114.4.2 访问权限控制115 两级门户互联125.1 门户互联访问类型125.2 门户互连实现技术125.2.1 门户互联技术列举125.2.2 推荐方式及性能对比135.3 统一待办集成135.3.1 概述135.3.2 集成方式135.3.3 表结构设计146 单点登录实现156.1 省分门户内的单点登录156.2 集中应用系统接入各门户系统的单点登录166.3 跨门户访问的单点登录186.4 CDSSO功能实现的技术细节197 网络组织207.1 网络拓扑结构207.2 门户系统与应用系统的网络层互连217.3 IP地址及DNS规划227.3.1 IP地址规划原则227.3.2 DNS调整原则227.3.3 NTP配置要求237.3.4 域名要求238 门户系统技术要求248.1 总体设计技术要求248.1.1 系统设计要求248.1.2 系统性能要求248.1.3 系统监控设计要求298.1.4 备份和恢复设计要求308.1.5 安全性设计要求318.1.6 接口要求328.1.7 编码原则338.2 门户对被集成系统的技术要求348.2.1 C/S接入系统技术要求358.2.2 B/S接入系统技术要求358.2.3 域内应用系统集成的实现方式358.3 主机设备378.4 操作系统378.5 存储备份硬件设备378.5.1 存储设备378.5.2 备份设备378.6 数据库388.7 门户平台软件398.8 目录服务平台软件408.9 机房环境要求408.9.1 机房温、湿度要求错误!未定义书签。

8.9.2 防尘要求错误!未定义书签。

8.9.3 防电磁干扰要求错误!未定义书签。

8.9.4 接地错误!未定义书签。

8.9.5 其它环境条件错误!未定义书签。

9 系统安全429.1 系统的可靠性429.1.1 系统可靠性、稳定性保障机制429.1.2 硬件可靠性429.1.3 软件可靠性429.1.4 平台稳定性要求429.2 网络接入安全429.2.1 身份验证429.2.2 拨号访问保护439.3 信息传输的安全439.3.1 完整性策略439.3.2 数据XX性439.3.3 网络可用性439.3.4 设备审计439.3.5 配置确认439.3.6 监视记录网络的活动44 9.3.7 入侵检测449.4 应用系统的安全449.4.1 主机系统安全449.4.2 操作系统安全449.4.3 病毒防X449.5 数据安全459.5.1 数据备份459.5.2 数据恢复45前言本规X主要规定了中国联通企业内部门户系统门户子系统的技术规X，主要包括系统总体架构、总体功能、两级门户互联、单点登录、网络组织、技术要求和系统安全等内容。

中国联通企业内部门户系统的建设是企业信息化的重要组成部分，门户子系统是管理支持系统的重要组成部分。

本规X是针对开发、建设中国联通总部、省分公司内部门户系统的门户子系统的技术规X，作为总部及各省（直辖市、自治区）分公司门户系统建设工作的指导依据。

有关企业内部门户系统的规X主要包括：✧《中国联通IT系统MSS系统域企业内部门户系统业务规X》，包括门户子系统部分和用户目录子系统部分。

✧《中国联通IT系统MSS系统域企业内部门户系统技术规X》，包括门户子系统部分和用户目录子系统部分。

✧《中国联通IT系统MSS系统域企业内部门户系统测试规X》本标准由中国联通公司信息化部提出。

本标准由中国联通公司技术部归口。

本标准主要起草单位：中讯邮电咨询XX、中国联通信息化部本标准主要起草人：xx xx xx本标准的修改和解释权属中国联通公司。

1 总则1.1 背景随着经济全球化趋势和中国加入WTO，中国电信市场的政府管制力度将越来越弱，市场更加开放，竞争更加激烈。

国内外市场环境要求国内的公众电信运营企业在经营理念、管理模式上能上升到较高层次，以求在电信运营商的国际化竞争中立于不败之地。

中国联通作为国内唯一一家对所有电信业务拥有经营权的电信运营商，拥有全国X围内相当规模的公用电信网，经营多种基础电信业务和增值电信业务，形成移动（GSM/CDMA）、长途（193）、数据（165）、IP、市话、增值业务等多种业务并存共同发展的格局。

中国联通在全国31个省、市、自治区建有分公司，为了有效的发挥公司内部资源，提高内部管理效率，提高经营管理水平，中国联通逐步统一规划、建设全国X围内的MSS系统。

2003年联通总部编制并通过了《中国联通管理支持系统（MSS）总体方案》，制定了MSS 的总体建设思路。

2004年，为指导同年进行的全国X围的MSS一期工程的建设，又组织编制并通过了《中国联通管理支持系统（MSS）技术规X》，其中明确了2004年的建设重点是实现公文流转、经营信息展现、电子和基础网络设施等四个方面。

经过一年的实施，已基本实现了一期的建设目标，同时也为联通MSS的后期建设打下了坚实的基础，创造了良好的信息化环境。

2005年联通总部制定了新的建设任务，其中一个重点就是建设门户系统，为MSS、ERP 提供统一的接入、认证和安全管理平台，为用户提供个性化的展现平台。

企业信息门户的实施是MSS系统建设过程中一个重要目标任务。

为规X门户系统的建设，中国联通总部组织制定了中国联通企业内部门户系统技术规X，本文件为中国联通IT系统MSS 系统域企业内部门户系统技术规X门户子系统部分（以下简称“本规X”）。

1.2 编制目的为了在前期的基础上更有效指导企业内部门户系统建设实施工作，中国联通XX特制定本规X。

与本规X配套使用的还有《中国联通IT系统 MSS系统域企业内部门户系统业务规X 门户子系统部分》（主要提出了企业内部门户系统应具备的功能需求和相关要求），将共同指导、约束企业内部门户系统建设实施的相关工作。

本规X可作为中国联通总部及各省分的内部门户系统建设实施项目的设计、开发、验收的相关依据。

1.3 适用X围本规X指导并规X中国联通各省分公司进行门户子系统的建设。

各省可依照本规X以及其它相关规X、标准，结合本地实际情况建设总部及省分的门户系统。

1.4 文档结构第一部分：总则，描述本文的背景、编制目的、适用X围、文档结构、规X起草单位、解释权与修订权、名词解释和缩略语等内容；第二部分：概述，对规X的定位进行了概括性描述；第三部分：系统总体构架，从软件逻辑架构、两级门户架构及物理模型三方面进行了概括性描述；第四部分：门户系统总体功能，对门户的功能、门户集成的相关应用系统以及用户目录管理、认证流程进行了介绍；第五部分：两级门户互联，概要说明了门户互联的方式，并详细介绍了几种互联技术方法，并针对全国门户、省分（总部）门户待办集成的细节做出了规X要求；第六部分：单点登录实现，分别从门户内部、跨门户及全国门户三个方面的流程及CDSSO技术细节进行深入阐述和要求；第七部分：网络组织，对于网络拓扑结构、门户系统与应用系统的网络互联、IP地址及DNS规划等几个方面做出了说明和规X要求；第八部分：门户系统技术要求，对主机、存储、安全、门户软件等几个方面作出了要求，对于集成应用系统的用户管理、展现及单点登录提出具体的技术要求和可选方案；第九部分：对总体系统的可靠性，网络安全性，信息安全性，应用系统的安全性，数据安全性进行了相关说明并提出了相关要求。

1.5 规X起草单位本规X起草单位为中国联合通信XX信息化部、中讯邮电咨询XX。

本规X增补、修订权属中国联合通信XX信息化部。

1.6 规X解释权本规X的解释权为中国联合通信XX信息化部。

1.7 参考文献《中国联通IT系统总体技术体制v1.0》1.8 名词解释和缩略语BSS：Business Supporting System，业务支持系统。

EAI：Enterprise Application Integration，企业应用集成。

ERP：Enterprise Resource Planning，企业资源计划。

LDAP：Lightweight Directory Access Protocol，轻量级目录访问协议。

MSS：Management Supporting System，管理支持系统。

Portal：门户，在本规X中指企业内部门户，是用户和管理支撑系统、业务系统之间的桥梁。

门户系统将企业分散的应用和信息进行聚合，实现应用关联和信息共享，供决策支持服务。

Portlet：是基于应用系统的展现端组件，通过与应用系统的接口获得应用数据和操作功能。

Portlet可以是Portal系统的一部分，由Portal系统提供工具和运行环境实现Portlet的生成、运行、授权、维护等管理工作。

SSO：Single Sign-on，单点登录，即用户登录后不需要再次提供认证信息就可以访问相关各应用系统。

CDSSO：Cross Domain SSO，跨域的单点登录，即在两个独立的安全域之间实现的单点登录。

TAM：Tivoli Access Manager 提供集中式的认证/授权/审计功能，并实现对门户及各种后台子系统的单点登陆。

包括Policy Server和WebSeal两个主要的组件。

TIM：Tivoli Identity Manager 提供集中式的账户生命周期管理，通过TIM可以实现对各种后台子系统的账户管理，包括Domino/AD/ERP等系统的XX信息。

IDI：IBM Directory Integrator 通过各种标准的连接器与各种账户注册表进行连接，并通过流水线对数据进行处理，从而实现账户数据的同步。

IDS: IBM Tivoli Directory Server 基于LDAP标准的LDAP目录服务器,用户信息存储在这个目录服务器中,并可以根据联通公司的需求来灵活的定义用户的属性信息.LTPA: LightWeight Third Party Authentication，轻量级第三方认证（LTPA）的认证机制, LTPA 定义了存储在客户端上的令牌格式，运行在不同机器上的WEB 应用程序使用LTPA 实现用户认证信息的传递。