卓信通行业应用解析

卓信通行业应用优势卓越梦想无限希望2014年1月卓望公司21卓望运营简介2卓信通与其他产品对比3卓信通应用价值和优势目录卓望在移动体系内的价值3财务贡献能力内化体制探索产品培育作为中国移动的控股子公司，卓望历年的利润业绩并表计入上市公司。2100人的多元化人才队伍，具有研发、运营、营销等端到端的支撑经验与能力；具备CA、一级集成等独特的专业资质，拥有40余项专利及50余项软件著作权；卓望团队对中国移动具有高度忠诚度和责任感，是中国移动能力内化的重要载体。卓望是中国移动体系内市场化机制的先行者和试验田，卓望在市场化道路上积累的经验及遇到的问题，对中国移动的互联网转型、专业化公司运作等具有借鉴意义；卓望在全力支撑中国移动业务稳定发展的同时；通过自有创新业务和技术，实现在中国移动在行业客户，在新产品方面的有益探索。卓望作为中国移动在新领域业务发展的主要探索者之一，先后孵化及支撑发展了MISC、手机报、MobileMarket、移动微博、搜索等多个产品，为中国移动的“业务领先”做出了历史贡献，未来卓望在移动互联网等新业务，行业客户等新方向的探索方面仍具有重要价值。卓望通过十二年的发展与积累，形成对中国移动的独特价值。卓望运营简介具备电信级核心设备端到端的通信保障可为用户量身定制个性功能具备业内极佳的企业诚信度具有丰富的内容资源具有绝密的数据安全环境安全保障体系5网络安全保障系统安全保障操作安全保障安全管理规范分层分级的信息安全措施，保障为卓信通平台上的每一个客户提供安全可靠的服务。网络入侵检测系统安全评估网络设备安全加固网络防病毒系统安全加固动态口令系统特殊PC安全监控密码集中管理统一操作审计统一VPN入口各项安全管理制度公司安全组织架构人员安全公司安全总体策略网络通道安全网络安全域划分数据安全6接入安全应用安全存储安全1、IP强鉴权，阻止非法服务器连接2、用户密码鉴权，防止非法用户进行连接和短信下发应用系统支持多机部署，规避了单服务器宕机导致的数据丢失应用系统相关日志、数据库不记录短信内容，不可能通过日志获知帐号、金额等短信中信息服务器磁盘采用Raid10格式，完全容错，不会因单个磁盘坏而导致数据丢失数据定时备份到磁带库，由磁盘阵列和磁带库双重保障来防止数据丢失多层技术手段保证数据安全统一监控工具7

基础资源监控网络设备监控主机监控操作系统、数据库、中间件监控安全与存储监控等统计分析与报表故障统计报表性能分析报表业务统计报表关键绩效指标报表服务台统一受理告警通过卓望运维管理工具服务台统一受理故障知识库事件关联、整合业务监控业务关联性分析关键业务指标监控业务繁忙度业务层级管理资源监控流量监控配置信息监控资源占用监控资源性能监控卓望IT运维监控工具核心功能：服务台服务台（7*24集中受障）邮件电话短信系统异常CallCenter监控中心事件管理问题管理配置管理知识管理变更管理服务台服务台人员配置集中响应工程师：a）告警信息实时查看，故障受理；b）告警判断、故障调度、故障预处理等；c）日常维护（主要是磁盘空间清理等）；d）帐户密码维护管理监控方案工程师：a）监控方案制定及需求评审；b）监控工具维护；c）监控脚本编写；d）监控体系定期梳理、定期组织现网运行质量分析服务台相关流程《724知识库》《724监控室工程师工作手册》《监控工程师日常考核计分细则》《告警分类和处理规范》《系统运行日报》等专业工具网强ITMaster、Loadrunner、拨测系统、OAM业务监控组件服务台流程指标告警响应时间、告警处理及时率、监控发现故障占比、投诉响应时间、投诉处理及时率等网络结构安全保障1、网络拓扑安全保障-对系统流量进行24小时监控，随时掌握网络安全情况2、网络拓扑安全-对系统设备及安全管理监控通过以下指标全方位监控系统各项指标：监连接CMNET接口流量；监控防火墙CPU、内存、并发Session等；监控负载均衡CPU、内存、并发Session等；监控网络链路；监控主机链路；监控服务器健康情况；定期物理巡检；3、网络设备-路由器主要依据是《中国移动思科路由器安全配置规范》进行安全配置和管理，要点如下：1）应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。2）静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enablesecret配置Enable密码，不使用enablepassword配置Enable密码。3）在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。4）设备应配置日志功能，记录对与设备相关的安全事件。5）应打开DOS和DDOS攻击防护功能。6）修改SNMP的Community默认通行字，通行字符串应符合口令强度要求。7）配置路由器，防止地址欺骗。设备安全保障3、安全设备-防火墙安全我司系统按照《中国移动思科防火墙安全配置规范》进行安全配置和管理，严格遵循如下要求：1）开启记录NAT日志，记录转换前后IP地址的对应关系。配置记录流量日志，记录通过防火墙的网络连接的信息。2）配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错误。报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。3）防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。4）在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。5）访问规则必须按照一定的规则进行分组。6）隐藏防火墙字符管理界面的bannner信息。7）配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。8）对于防火墙各逻辑接口配置开启防源地址欺骗功能。9）使用SNMPV3以上的版本对防火墙做远程管理。去除SNMP默认的共同体名(CommunityName)和用户名。4、主机操作系统安全账号管理和认证授权：严格按照《中国移动操作系统安全功能规范》、《卓望公司账号权限管理办法》，1）信息系统用户账号的申请需经直接主管根据业务需要，审批同意后，由信息技术系统相关部门负责完成信息系统访问账号的添加工作。2）信息系统应定义用户账号命名规则，所有用户要有唯一的用户ID，以确保其活动或者事件的发生可以最终追溯到相关的责任人，用户的标识和鉴别要经过相关部门的批准，并形成相关的文件。3）用户账号的发布应得到适当人员的授权，并确保用户账户确实发放到当事人手中。4）用户账号如经过一段时间（如一个月，三个月）未被使用，应将其中止。操作审计所有的登陆、操作行为都被审计平台记录，每天对操作日志进行审计。安全配置按照集团合规配置要求进行LINUX安全加固平台及软件安全保障1、数据库

账号、口令管理主要依据是《中国移动Oracle数据库安全配置规范》，要点如下：1）应删除或锁定与数据库运行、维护等工作无关的账号。2）对于采用静态口令进行认证的数据库，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。3）对于采用静态口令认证技术的数据库，账户口令的生存期不长于90天。4）更改ORACLE数据库默认口令。操作审计数据库服务不对公网开放，不允许内网通过PLSQL工具访问数据库，对数据库的操作均被记录、审计。安全配置按照集团合规配置要求进行ORACLE安全加固。数据库采用双击热备，保障业务生产的连续性。2、中间件依据是《中国移动Apache安全配置规范》和《中国移动TomcatWeb服务器安全配置规范》进行账号、口令、授权、日志安全管理和配置，要点如下：1）应删除或锁定与设备运行、维护等工作无关的账号。2）在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。3）中间件软件不存在默认帐号密码或者弱口令。4）更改中间件软件默认的服务端口。5）更改中间件软件默认的管理后台路径。业务流程安全保障1.在能力开放方面保障接口安全接口规范1）针对第三方系统使用行业手机报开放的短彩信发送能力，制定了详细的接口规范。规范定义了接口调用流程，调用方式，接口格式以及具体的字段定义。2）接口规范定义了第三方系统和行业手机报使用约定的Token作为接口的安全认证方式接口实现1）每个第三方系统，分配一个Token，以线下的方式把Token发给第三方系统

2）第三方系统把Token按照定义方式加密后，作为参数调用系统的接口。业务系统按照同样的方式对Token加密后进行比对。Token比对成功才会进行业务调用，保证了接口调用的安全以及确认调用来源3）严格按照接口规范定义的字段进行校验，如果接口参数不符合接口定义，接口调用失败，返回失败应答4）接口调用成功和失败，都会返回应答消息，应答消息统一采用返回状态码的方式，状态码的含义在接口文档中详细定义。以确保在返回消息中不会出现泄露内部敏感信息的提示业务流程安全保障2、业务逻辑安全-业务认证用户必须通过登录认证后，才能进入系统进行业务操作。登录认证是通过校验用户的账号和口令是否匹配口令规则

用户认证口令必须包含数字，包含英文字母，包含特殊字符

口令长度不得低于7位口令认证

用户输入账号，口令进行认证，连续错误输入五次后，系统会锁定账号

账号锁定后，经过24小时（可配置）后自动解锁

账号锁定后，也可直接联系管理员，进行手动解锁会话有效

用户登录成功后，系统通过session会话的方式保持用户在线用户长期不操作系统，超时后（可配置），系统会销毁用户会话，用户需要重新登录才能继续使用业务用户登出后，系统会销毁用户会话，用户需要重新登录才能继续使用业务上传数据校验规则

对上传的每种数据文件都定义了数据规范。定义了数据格式，字段类型，长度，以及文件大小。对不符合规范的数据，系统提示上传失败

系统有黑白名单校验机制，可以根据需求，对上传的数据进行黑白名单的过滤

系统有关键字过滤机制，可以根据需求，对上传的内容进行关键字过滤，阻止不符合要求的内容进入系统访问安全管控1、系统安全----访问控制行业手机报平台属于重要现网系统，有严格的访问控制，只能在卓望办公网内访问平台设备，访问控制要点包括：现网账号现网登陆账号需专门申请，一人一账号，不存在共有账号的情况权限管理现网主机登陆由登陆权限管理系统和操作审计平台控制，权限的控制粒度是单个IP地址申请流程现网维护电子流申请、审批系统控制全流程的规范性操作记录审计审计平台记录所有登录，操作记录，并每天有审计人员进行操作审计账号及权限回收离职回收、普通权限复核（每季度一次）、管理员权限清理（每月一次）、自动回收（超过6个月没有使用，自动失效）访问安全管控2、人员安全人力资源安全我司制定有专门的《人力资源安全策略》，对人员的甄选、招聘、入职、转岗、离岗等都有专项制度的规定，同时公司通过内部电子流完善相关流程的审批和追溯。第三方安全管理我司制定有《第三方安全管理策略》，本策略旨在识别由于和第三方或其他外部伙伴发生接触、信息交换时给组织带来的潜在风险，并且实施恰当的控制以消减这些风险对组织造成的负面影响。本策略适用于所有与包括供应商、合作伙伴、访客等在内的第三方或其他外部伙伴发生关系的部门和员工，适用于控制第三方访问。工作环境安全管理为了防止对组织场所和信息的非授权物理访问、损坏和干扰，防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断，保护设备免受物理的和环境的威胁，我司特制定了《工作环境安全管理策略》。161卓望运营简介2卓信通与其他产品对比3卓信通应用价值和优势目录卓信通与传统媒体优势对比媒体优势对比对比项报纸杂志广播电视DM直投卓信通成本★★☆★★★★☆★★★★☆周期★★★★★★★★★★★★内容量★★★★☆★★★★★★★表现形式★★★★★★☆★★☆★★★★针对性营销★★★★★☆★★★★覆盖范围★★☆★★★★☆★★★★★☆性价评分一般一般一般好卓信通与互联网产品的对比18成熟期产品，具备丰厚的经验和稳定的性能；普及率高对用户手机无门槛要求；易推广无须预先安装客户端；实时接收，短信及时到达，不依赖网络环境；安全发送，内容经过运营商短彩信中心和通道。产品生命周期处于婴幼儿期；手机门槛高用户手机必须能安装和使用客户端；产品性能要求高用户手机多样化，客户端设计、适配等差距，削弱用户感知；网络环境依赖性高互联网客户端更依赖于运营商的网络环境；信息存储环境差信息存在腾讯公司服务器。卓信通互联网产品卓信通是短信、彩信、WAP的融合对比项短信彩信WAP卓信通信息容量70个字50K简介内容70个字二次点击WAP链接3M长短信500字、彩信90K、二次点击WAP链接3M内容形式文字文字+图片+音频+视频简单网页的文字+图片+音频+视频可融合短信、彩信、WAP的所有格式互动性短信回复，满足基础调研需求短信、彩信回复，满足基础调研需求和图片上传需求可通过WAP实现页面互动，实现业务预定、调研问卷等可融合短信、彩信、WAP的所有互动模式宣传性可转发，可