T-UNP 333-2024 智能化網絡工程配置監(jiān)控系統(tǒng)技術要求

ICSUNSPSCCCS35.08043.23.15TechnicalrequirementforintelligentnetworkengineerinconfigurationmonitorIT/UNP333—2024前言 2規(guī)范性引用文件 3術語和定義 4系統(tǒng)架構 5功能要求 5.1遠程監(jiān)控 5.2數(shù)據(jù)處理 25.3參數(shù)查詢與修改 25.4故障診斷 25.5報警提醒 25.6網絡流量監(jiān)控 25.7流量分析 25.8權限管理 26性能要求 36.1易用性 36.2監(jiān)控實時性 36.3可擴展性 36.4穩(wěn)定性 36.5資源占用 37數(shù)據(jù)要求 47.1采集準確性 47.2采集完整性 47.3數(shù)據(jù)分析 47.4數(shù)據(jù)存儲 48安全要求 58.1系統(tǒng)安全 58.2數(shù)據(jù)安全 58.3網絡安全 59運行與維護 59.1基本要求 69.2系統(tǒng)運行管理 69.3系統(tǒng)維護管理 6T/UNP333—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由武漢景程通信有限公司提出。本文件由中國聯(lián)合國采購促進會歸口。本文件起草單位：武漢景程通信有限公司、武漢市翁林商貿有限公司、武漢恒品雅帆商貿有限公司、武漢市鵬國燃能源技術有限公司、武漢遵語文化傳媒有限公司。本文件主要起草人：曾曦、唐米雪、曾亞彪、楊志超、王穎婕。T/UNP333—2024為助力中國企業(yè)參與國際貿易，推動企業(yè)高質量發(fā)展，中國聯(lián)合國采購促進會依托聯(lián)合國采購體系，制定服務于國際貿易的系列標準，這些標準在國際貿易過程中發(fā)揮了越來越重要的作用，對促進貿易效率提升，減少交易成本和不確定性，確保產品質量與安全，增強消費者信心具有重要的意義。聯(lián)合國標準產品與服務分類代碼（UNSPSC，UnitedNationsStandardProductsandServicesCode）是聯(lián)合國制定的標準，用于高效、準確地對產品和服務進行分類。在全球國際化采購中發(fā)揮著至關重要的作用，它為采購商和供應商提供了一個共同的語言和平臺，促進了全球貿易的高效、有序發(fā)展。圍繞UNSPSC進行相關產品、技術和服務團體標準的制定，對助力企業(yè)融入國際采購，提升國際競爭力具有十分重要的作用和意義。本文件采用UNSPSC分類代碼由6位組成，對應原分類中的大類、中類和小類并用小數(shù)點分割。本文件UNSPSC代碼為“43.23.15”，由3段組成。其中：第1段為大類，“43”表示“信息技術廣播和電信”，第2段為中類，“23”表示“軟件”，第3段為小類，“15”表示“特定于業(yè)務功能得軟件”。1T/UNP333—2024智能化網絡工程配置監(jiān)控系統(tǒng)技術要求本文件規(guī)定了智能化網絡工程配置監(jiān)控系統(tǒng)的系統(tǒng)架構、功能要求、性能要求、數(shù)據(jù)要求、安全要求、運行與維護。本文件適用于智能化網絡工程配置監(jiān)控系統(tǒng)的設計、建設及運行與維護。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25000.51系統(tǒng)與軟件工程系統(tǒng)與軟件質量要求和評價（SQuaRE）第51部分：就緒可用軟件產品（RUSP）的質量要求和測試細則3術語和定義本文件沒有需要界定的術語和定義。4系統(tǒng)架構智能化網絡工程配置監(jiān)控系統(tǒng)架構包括應用層、支撐層、網絡層、硬件層、安全層和運維層，其中應用層包括遠程監(jiān)測、遠程監(jiān)控、數(shù)據(jù)記錄、數(shù)據(jù)分析、數(shù)據(jù)可視化、參數(shù)查詢與修改、權限管理、故障診斷、報警、網絡流量監(jiān)控、流量分析、系統(tǒng)配置，系統(tǒng)架構圖見圖1。圖1智能化網絡工程設備配置監(jiān)控系統(tǒng)架構圖5功能要求5.1遠程監(jiān)控設備在處于自動狀態(tài)下，系統(tǒng)應支持通過網絡向設備發(fā)送啟動、停止、復位功能的指令，實現(xiàn)相應的控制功能。2T/UNP333—20245.2數(shù)據(jù)處理5.2.1數(shù)據(jù)記錄數(shù)據(jù)記錄功能要求包括但不限于：a)系統(tǒng)應采集監(jiān)控設備運行數(shù)據(jù)，數(shù)據(jù)采集的周期在5s～300s之間；b)應采集界面顯示的平均CPU使用率、最高CPU使用率、平均內存、最高內存等信息，信息采集的周期在5s～300s之間；c)系統(tǒng)應具有歷史數(shù)據(jù)記錄功能，保存設備的歷史運行數(shù)據(jù)信息。保存時間至少達到1年；d)歷史數(shù)據(jù)應支持查詢、導出和分析，便于用戶了解設備的運行趨勢和性能變化；e)應根據(jù)實際需求擴展采集的數(shù)據(jù)類型，如網絡流量、端口狀態(tài)、溫度等關鍵指標，并以直觀的方式展示給用戶。5.2.2數(shù)據(jù)分析數(shù)據(jù)分析要求包括但不限于：a)系統(tǒng)定時列表界面應進行數(shù)據(jù)管理布局，方便管理員進行數(shù)據(jù)分析；b)數(shù)據(jù)分析功能應包括數(shù)據(jù)統(tǒng)計、趨勢分析、報表生成等，為用戶提供決策支持。5.2.3數(shù)據(jù)可視化系統(tǒng)應提供豐富的數(shù)據(jù)可視化方式，如柱狀圖、折線圖、餅圖等，便于用戶直觀地了解設備的運行狀態(tài)和性能指標。可視化界面應支持實時更新和動態(tài)切換，便于用戶進行監(jiān)控和分析。5.3參數(shù)查詢與修改系統(tǒng)應具有查詢、修改設備運行參數(shù)的功能。支持查詢并顯示設備的運行參數(shù)，并根據(jù)需求遠程修改設備的運行參數(shù)。5.4故障診斷系統(tǒng)應具備故障診斷功能，應根據(jù)設備的運行數(shù)據(jù)和報警信息，自動分析故障原因，并提供相應的解決方案。故障診斷結果應及時通知用戶，便于用戶采取措施進行修復。5.5報警提醒5.5.1設有短信功能時，系統(tǒng)應具有短信報警通知功能。設備發(fā)生故障報警后，監(jiān)控系統(tǒng)應在3s內向指定的一個或多個用戶發(fā)送報警短信。5.5.2系統(tǒng)應支持根據(jù)用戶需求設置其他報警方式，如聲音、郵件等。5.6網絡流量監(jiān)控5.6.1流量數(shù)據(jù)采集實時采集網絡設備端口的流量數(shù)據(jù)，包括流入流量、流出流量、流量協(xié)議分布（如TCP、UDP、ICMP等協(xié)議的流量占比）等信息。支持在交換機或路由器的端口上配置流量鏡像，將流量數(shù)據(jù)發(fā)送到監(jiān)控系統(tǒng)進行分析。5.6.2異常流量檢測通過設定流量閾值、協(xié)議行為模型等方式檢測異常流量。檢測到某個端口的流量突然超過正常閾值，且流量是未知協(xié)議流量時，判定為異常流量，應及時發(fā)出告警并進行流量阻斷或限制。5.7流量分析對采集到的流量數(shù)據(jù)進行分析，生成流量趨勢圖表，如每小時、每天、每周的流量變化曲線。分析流量趨勢，預測網絡流量的高峰期和低谷期，為網絡帶寬規(guī)劃提供依據(jù)。5.8權限管理5.8.1系統(tǒng)應具有權限管理功能。系統(tǒng)應設置不同的角色，根據(jù)角色劃分用戶權限，每個用戶應單獨3T/UNP333—2024劃分監(jiān)控設備數(shù)量，保證賬戶安全獨立運行。5.8.2權限管理應包括用戶創(chuàng)建、修改、刪除，角色定義和權限分配等功能。6性能要求6.1易用性6.1.1系統(tǒng)的易用性應符合GB/T25000.51—2016中5.3.4的規(guī)定。6.1.2系統(tǒng)用戶界面設計應簡潔，操作流程應直觀易懂，并提供清晰的操作指引和提示信息，幫助用戶在使用過程中快速解決問題。6.1.3系統(tǒng)宜考慮不同用戶群體的需求和使用習慣，支持個性化的設置和優(yōu)化，提高用戶的使用體驗。6.2監(jiān)控實時性6.2.1監(jiān)控周期系統(tǒng)最小監(jiān)控周期不超過1min，最大監(jiān)控周期不超過60min。在高風險網絡環(huán)境或對配置變化敏感的場景下，應設置更短的監(jiān)控周期。6.2.2響應時間設備配置發(fā)生變化時，系統(tǒng)的響應時間應滿足以下要求：a)對關鍵配置項（如核心路由器的路由策略修改）：響應時間不超過5s；b)對一般配置項：響應時間不超過15s。6.3可擴展性6.3.1設備支持擴展性系統(tǒng)應易于擴展，支持新的網絡工程設備類型和型號。新設備接入系統(tǒng)后，應在24h內完成與系統(tǒng)的兼容和配置采集、監(jiān)控功能的開發(fā)或配置。6.3.2網絡規(guī)模擴展性監(jiān)控的網絡工程規(guī)模擴大（如設備數(shù)量增加、網絡拓撲復雜度提高）時，系統(tǒng)性能應保持穩(wěn)定，采集、分析、存儲和監(jiān)控等功能的性能下降幅度不應超過原性能的20%。在增加設備數(shù)量不超過原設備數(shù)量50%的情況下，不宜對系統(tǒng)進行硬件升級。6.4穩(wěn)定性6.4.1連續(xù)運行時間系統(tǒng)應在不間斷運行的情況下，穩(wěn)定工作至少90天，期間不因軟件漏洞、內存泄漏等問題導致系統(tǒng)崩潰或不可用。6.4.2故障恢復能力出現(xiàn)故障（如網絡中斷、部分設備故障等）后，系統(tǒng)應具備自動恢復功能。在故障排除后，系統(tǒng)應在5min內恢復正常運行狀態(tài)，并重新開始設備配置的采集和監(jiān)控工作，且不會丟失故障期間的關鍵數(shù)據(jù)。6.5資源占用6.5.1CPU使用率正常運行和滿負荷（設備數(shù)量達到設計上限且監(jiān)控周期最短）情況下，系統(tǒng)服務器的CPU使用率應分別保持在以下范圍內：a)正常運行：CPU使用率不超過30%；b)滿負荷：CPU使用率不超過80%。6.5.2內存使用率4T/UNP333—2024系統(tǒng)服務器的內存使用率在正常運行和滿負荷情況下，應滿足以下要求：a)正常運行：內存使用率不超過50%；b)滿負荷：內存使用率不超過90%，且不會因內存不足導致數(shù)據(jù)丟失或系統(tǒng)異常。6.5.3網絡帶寬占用系統(tǒng)在采集和傳輸設備配置數(shù)據(jù)過程中，對網絡帶寬的占用應合理，在監(jiān)控大規(guī)模網絡（設備數(shù)量超過100臺）時，網絡帶寬占用率不應超過網絡總帶寬的10%。7數(shù)據(jù)要求7.1采集準確性系統(tǒng)采集的配置數(shù)據(jù)與設備實際配置的符合率不應低于99%。7.2采集完整性系統(tǒng)應完整采集所有設備類型和配置項的內容，包括但不限于：a)設備操作系統(tǒng)版本；b)硬件信息；c)安全配置等詳細數(shù)據(jù)。7.2.1對每種設備類型，關鍵配置項的采集完整率應達到100%。7.2.2采集速度在網絡正常且設備可訪問的情況下，對于單個設備的配置信息采集時間滿足以下要求：a)小型網絡設備（如接入層交換機等）：采集時間不超過5s；b)中型網絡設備（如匯聚層交換機、低端路由器等）：采集時間不超過10s；c)大型網絡設備（如核心路由器、高端服務器等）：采集時間不超過30s；d)同時采集多個設備的配置信息時，采集系統(tǒng)應具備并行采集能力，采集N（N≥10）個設備的總時間不應超過單個設備最長采集時間的1.5倍。7.3數(shù)據(jù)分析7.3.1分析準確性系統(tǒng)在分析采集到的設備配置數(shù)據(jù)時，應精確識別配置的合規(guī)性、潛在風險以及異常變化。對已知的標準配置模式和安全策略，分析結果的準確率不應低于98%。7.3.2分析深度系統(tǒng)應具備深度分析設備配置之間關聯(lián)性的能力，設備配置相互關系的分析覆蓋率不應低于90%。7.3.3分析效率對采集到的設備配置數(shù)據(jù)，系統(tǒng)應在采集設備配置數(shù)據(jù)后10s內完成初步分析，并在60s內完成全面深入的分析，生成相應的分析報告。對大規(guī)模網絡（設備數(shù)量超過100臺），分析時間可延長，延長比例不應超過設備數(shù)量增加比例的50%。7.4數(shù)據(jù)存儲7.4.1存儲容量系統(tǒng)存儲容量應根據(jù)監(jiān)控的設備數(shù)量和采集頻率確定，滿足至少連續(xù)存儲6個月的設備配置歷史數(shù)據(jù)的要求。對每臺設備，每次采集的配置數(shù)據(jù)存儲占用空間不應超過10MB（根據(jù)設備復雜程度可適當調整）。7.4.2存儲可靠性5T/UNP333—2024采用冗余存儲、數(shù)據(jù)校驗等存儲技術，保證存儲數(shù)據(jù)的完整性和可恢復性。存儲數(shù)據(jù)的丟失率應低于0.01%，且在系統(tǒng)出現(xiàn)故障（如硬件故障、軟件崩潰等）后，數(shù)據(jù)恢復時間不應超過30min。7.4.3存儲訪問速度對存儲的設備配置數(shù)據(jù)和分析結果，查詢響應時間應滿足以下要求：a)簡單查詢（如查詢單臺設備的某次配置信息）：響應時間不超過2s；b)復雜查詢（如查詢特定時間段內、某類設備的配置變化情況）：響應時間不超過10s。8安全要求8.1系統(tǒng)安全8.1.1操作系統(tǒng)安全監(jiān)控系統(tǒng)的操作系統(tǒng)應及時更新補丁，關閉不必要的服務和端口，根據(jù)業(yè)務需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略。8.1.2身份認證系統(tǒng)應采用強密碼策略，支持雙因素認證（Two-factorauthentication）。8.1.3權限管理細化用戶權限，按照最小權限原則分配用戶權限，確保不同角色用戶只能訪問其權限范圍內的功能和數(shù)據(jù)。8.2數(shù)據(jù)安全8.2.1數(shù)據(jù)加密應對敏感數(shù)據(jù)進行加密存儲和傳輸，確保數(shù)據(jù)在傳輸和存儲過程中的安全。應使用行業(yè)認可的加密算法，并定期更新密鑰，防止加密技術被破解。8.2.2備份與恢復數(shù)據(jù)應制定備份和恢復策略，確保數(shù)據(jù)的可恢復性。應采用定期備份和異地備份相結合的方式，確保在災難發(fā)生時，數(shù)據(jù)能在1小時內快速恢復。8.2.3數(shù)據(jù)完整性系統(tǒng)應具有數(shù)據(jù)完整性校驗機制，防止數(shù)據(jù)篡改和丟失。8.3網絡安全8.3.1防火墻配置在系統(tǒng)網絡邊界部署防火墻，設置訪問控制策略，阻止未經授權的訪問。8.3.2入侵檢測和防御部署入侵檢測系統(tǒng)（intrusiondetectionsystem）和入侵防御系統(tǒng)（intrusionpreventionsystem實時監(jiān)控網絡流量，檢測和防御潛在的網絡攻擊。8.3.3VPN接入對遠程訪問，應采用虛擬專用網絡技術，確保傳輸數(shù)據(jù)的安全性和隱私性。8.3.4網絡分段將不同功能的網絡進行分段隔離，使用VLAN或物理隔離的方式，減少網絡攻擊的影響范圍。9運行與維護6T/UNP333—20249.1基本要求9.1.1應監(jiān)控系統(tǒng)連續(xù)正常運行，不應隨意中斷。進行影響系統(tǒng)運行的關鍵設備和平臺的關停操作時，應符合系統(tǒng)運行和維護管理制度的規(guī)定，做好相關記錄，并及時恢復系統(tǒng)的正常工作。9.1.2應對監(jiān)控系統(tǒng)的傳輸網絡進行實時監(jiān)控，確保網絡滿足信息傳輸要求。9.1.3應將接入監(jiān)控系統(tǒng)的用戶信息傳輸裝置、信息采