T-UNP 333-2024 智能化网络工程配置监控系统技术要求

ICSUNSPSCCCS35.08043.23.15TechnicalrequirementforintelligentnetworkengineerinconfigurationmonitorIT/UNP333—2024前言 2规范性引用文件 3术语和定义 4系统架构 5功能要求 5.1远程监控 5.2数据处理 25.3参数查询与修改 25.4故障诊断 25.5报警提醒 25.6网络流量监控 25.7流量分析 25.8权限管理 26性能要求 36.1易用性 36.2监控实时性 36.3可扩展性 36.4稳定性 36.5资源占用 37数据要求 47.1采集准确性 47.2采集完整性 47.3数据分析 47.4数据存储 48安全要求 58.1系统安全 58.2数据安全 58.3网络安全 59运行与维护 59.1基本要求 69.2系统运行管理 69.3系统维护管理 6T/UNP333—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由武汉景程通信有限公司提出。本文件由中国联合国采购促进会归口。本文件起草单位：武汉景程通信有限公司、武汉市翁林商贸有限公司、武汉恒品雅帆商贸有限公司、武汉市鹏国燃能源技术有限公司、武汉遵语文化传媒有限公司。本文件主要起草人：曾曦、唐米雪、曾亚彪、杨志超、王颖婕。T/UNP333—2024为助力中国企业参与国际贸易，推动企业高质量发展，中国联合国采购促进会依托联合国采购体系，制定服务于国际贸易的系列标准，这些标准在国际贸易过程中发挥了越来越重要的作用，对促进贸易效率提升，减少交易成本和不确定性，确保产品质量与安全，增强消费者信心具有重要的意义。联合国标准产品与服务分类代码（UNSPSC，UnitedNationsStandardProductsandServicesCode）是联合国制定的标准，用于高效、准确地对产品和服务进行分类。在全球国际化采购中发挥着至关重要的作用，它为采购商和供应商提供了一个共同的语言和平台，促进了全球贸易的高效、有序发展。围绕UNSPSC进行相关产品、技术和服务团体标准的制定，对助力企业融入国际采购，提升国际竞争力具有十分重要的作用和意义。本文件采用UNSPSC分类代码由6位组成，对应原分类中的大类、中类和小类并用小数点分割。本文件UNSPSC代码为“43.23.15”，由3段组成。其中：第1段为大类，“43”表示“信息技术广播和电信”，第2段为中类，“23”表示“软件”，第3段为小类，“15”表示“特定于业务功能得软件”。1T/UNP333—2024智能化网络工程配置监控系统技术要求本文件规定了智能化网络工程配置监控系统的系统架构、功能要求、性能要求、数据要求、安全要求、运行与维护。本文件适用于智能化网络工程配置监控系统的设计、建设及运行与维护。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25000.51系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则3术语和定义本文件没有需要界定的术语和定义。4系统架构智能化网络工程配置监控系统架构包括应用层、支撑层、网络层、硬件层、安全层和运维层，其中应用层包括远程监测、远程监控、数据记录、数据分析、数据可视化、参数查询与修改、权限管理、故障诊断、报警、网络流量监控、流量分析、系统配置，系统架构图见图1。图1智能化网络工程设备配置监控系统架构图5功能要求5.1远程监控设备在处于自动状态下，系统应支持通过网络向设备发送启动、停止、复位功能的指令，实现相应的控制功能。2T/UNP333—20245.2数据处理5.2.1数据记录数据记录功能要求包括但不限于：a)系统应采集监控设备运行数据，数据采集的周期在5s～300s之间；b)应采集界面显示的平均CPU使用率、最高CPU使用率、平均内存、最高内存等信息，信息采集的周期在5s～300s之间；c)系统应具有历史数据记录功能，保存设备的历史运行数据信息。保存时间至少达到1年；d)历史数据应支持查询、导出和分析，便于用户了解设备的运行趋势和性能变化；e)应根据实际需求扩展采集的数据类型，如网络流量、端口状态、温度等关键指标，并以直观的方式展示给用户。5.2.2数据分析数据分析要求包括但不限于：a)系统定时列表界面应进行数据管理布局，方便管理员进行数据分析；b)数据分析功能应包括数据统计、趋势分析、报表生成等，为用户提供决策支持。5.2.3数据可视化系统应提供丰富的数据可视化方式，如柱状图、折线图、饼图等，便于用户直观地了解设备的运行状态和性能指标。可视化界面应支持实时更新和动态切换，便于用户进行监控和分析。5.3参数查询与修改系统应具有查询、修改设备运行参数的功能。支持查询并显示设备的运行参数，并根据需求远程修改设备的运行参数。5.4故障诊断系统应具备故障诊断功能，应根据设备的运行数据和报警信息，自动分析故障原因，并提供相应的解决方案。故障诊断结果应及时通知用户，便于用户采取措施进行修复。5.5报警提醒5.5.1设有短信功能时，系统应具有短信报警通知功能。设备发生故障报警后，监控系统应在3s内向指定的一个或多个用户发送报警短信。5.5.2系统应支持根据用户需求设置其他报警方式，如声音、邮件等。5.6网络流量监控5.6.1流量数据采集实时采集网络设备端口的流量数据，包括流入流量、流出流量、流量协议分布（如TCP、UDP、ICMP等协议的流量占比）等信息。支持在交换机或路由器的端口上配置流量镜像，将流量数据发送到监控系统进行分析。5.6.2异常流量检测通过设定流量阈值、协议行为模型等方式检测异常流量。检测到某个端口的流量突然超过正常阈值，且流量是未知协议流量时，判定为异常流量，应及时发出告警并进行流量阻断或限制。5.7流量分析对采集到的流量数据进行分析，生成流量趋势图表，如每小时、每天、每周的流量变化曲线。分析流量趋势，预测网络流量的高峰期和低谷期，为网络带宽规划提供依据。5.8权限管理5.8.1系统应具有权限管理功能。系统应设置不同的角色，根据角色划分用户权限，每个用户应单独3T/UNP333—2024划分监控设备数量，保证账户安全独立运行。5.8.2权限管理应包括用户创建、修改、删除，角色定义和权限分配等功能。6性能要求6.1易用性6.1.1系统的易用性应符合GB/T25000.51—2016中5.3.4的规定。6.1.2系统用户界面设计应简洁，操作流程应直观易懂，并提供清晰的操作指引和提示信息，帮助用户在使用过程中快速解决问题。6.1.3系统宜考虑不同用户群体的需求和使用习惯，支持个性化的设置和优化，提高用户的使用体验。6.2监控实时性6.2.1监控周期系统最小监控周期不超过1min，最大监控周期不超过60min。在高风险网络环境或对配置变化敏感的场景下，应设置更短的监控周期。6.2.2响应时间设备配置发生变化时，系统的响应时间应满足以下要求：a)对关键配置项（如核心路由器的路由策略修改）：响应时间不超过5s；b)对一般配置项：响应时间不超过15s。6.3可扩展性6.3.1设备支持扩展性系统应易于扩展，支持新的网络工程设备类型和型号。新设备接入系统后，应在24h内完成与系统的兼容和配置采集、监控功能的开发或配置。6.3.2网络规模扩展性监控的网络工程规模扩大（如设备数量增加、网络拓扑复杂度提高）时，系统性能应保持稳定，采集、分析、存储和监控等功能的性能下降幅度不应超过原性能的20%。在增加设备数量不超过原设备数量50%的情况下，不宜对系统进行硬件升级。6.4稳定性6.4.1连续运行时间系统应在不间断运行的情况下，稳定工作至少90天，期间不因软件漏洞、内存泄漏等问题导致系统崩溃或不可用。6.4.2故障恢复能力出现故障（如网络中断、部分设备故障等）后，系统应具备自动恢复功能。在故障排除后，系统应在5min内恢复正常运行状态，并重新开始设备配置的采集和监控工作，且不会丢失故障期间的关键数据。6.5资源占用6.5.1CPU使用率正常运行和满负荷（设备数量达到设计上限且监控周期最短）情况下，系统服务器的CPU使用率应分别保持在以下范围内：a)正常运行：CPU使用率不超过30%；b)满负荷：CPU使用率不超过80%。6.5.2内存使用率4T/UNP333—2024系统服务器的内存使用率在正常运行和满负荷情况下，应满足以下要求：a)正常运行：内存使用率不超过50%；b)满负荷：内存使用率不超过90%，且不会因内存不足导致数据丢失或系统异常。6.5.3网络带宽占用系统在采集和传输设备配置数据过程中，对网络带宽的占用应合理，在监控大规模网络（设备数量超过100台）时，网络带宽占用率不应超过网络总带宽的10%。7数据要求7.1采集准确性系统采集的配置数据与设备实际配置的符合率不应低于99%。7.2采集完整性系统应完整采集所有设备类型和配置项的内容，包括但不限于：a)设备操作系统版本；b)硬件信息；c)安全配置等详细数据。7.2.1对每种设备类型，关键配置项的采集完整率应达到100%。7.2.2采集速度在网络正常且设备可访问的情况下，对于单个设备的配置信息采集时间满足以下要求：a)小型网络设备（如接入层交换机等）：采集时间不超过5s；b)中型网络设备（如汇聚层交换机、低端路由器等）：采集时间不超过10s；c)大型网络设备（如核心路由器、高端服务器等）：采集时间不超过30s；d)同时采集多个设备的配置信息时，采集系统应具备并行采集能力，采集N（N≥10）个设备的总时间不应超过单个设备最长采集时间的1.5倍。7.3数据分析7.3.1分析准确性系统在分析采集到的设备配置数据时，应精确识别配置的合规性、潜在风险以及异常变化。对已知的标准配置模式和安全策略，分析结果的准确率不应低于98%。7.3.2分析深度系统应具备深度分析设备配置之间关联性的能力，设备配置相互关系的分析覆盖率不应低于90%。7.3.3分析效率对采集到的设备配置数据，系统应在采集设备配置数据后10s内完成初步分析，并在60s内完成全面深入的分析，生成相应的分析报告。对大规模网络（设备数量超过100台），分析时间可延长，延长比例不应超过设备数量增加比例的50%。7.4数据存储7.4.1存储容量系统存储容量应根据监控的设备数量和采集频率确定，满足至少连续存储6个月的设备配置历史数据的要求。对每台设备，每次采集的配置数据存储占用空间不应超过10MB（根据设备复杂程度可适当调整）。7.4.2存储可靠性5T/UNP333—2024采用冗余存储、数据校验等存储技术，保证存储数据的完整性和可恢复性。存储数据的丢失率应低于0.01%，且在系统出现故障（如硬件故障、软件崩溃等）后，数据恢复时间不应超过30min。7.4.3存储访问速度对存储的设备配置数据和分析结果，查询响应时间应满足以下要求：a)简单查询（如查询单台设备的某次配置信息）：响应时间不超过2s；b)复杂查询（如查询特定时间段内、某类设备的配置变化情况）：响应时间不超过10s。8安全要求8.1系统安全8.1.1操作系统安全监控系统的操作系统应及时更新补丁，关闭不必要的服务和端口，根据业务需求和系统安全分析制定系统的访问控制策略。8.1.2身份认证系统应采用强密码策略，支持双因素认证（Two-factorauthentication）。8.1.3权限管理细化用户权限，按照最小权限原则分配用户权限，确保不同角色用户只能访问其权限范围内的功能和数据。8.2数据安全8.2.1数据加密应对敏感数据进行加密存储和传输，确保数据在传输和存储过程中的安全。应使用行业认可的加密算法，并定期更新密钥，防止加密技术被破解。8.2.2备份与恢复数据应制定备份和恢复策略，确保数据的可恢复性。应采用定期备份和异地备份相结合的方式，确保在灾难发生时，数据能在1小时内快速恢复。8.2.3数据完整性系统应具有数据完整性校验机制，防止数据篡改和丢失。8.3网络安全8.3.1防火墙配置在系统网络边界部署防火墙，设置访问控制策略，阻止未经授权的访问。8.3.2入侵检测和防御部署入侵检测系统（intrusiondetectionsystem）和入侵防御系统（intrusionpreventionsystem实时监控网络流量，检测和防御潜在的网络攻击。8.3.3VPN接入对远程访问，应采用虚拟专用网络技术，确保传输数据的安全性和隐私性。8.3.4网络分段将不同功能的网络进行分段隔离，使用VLAN或物理隔离的方式，减少网络攻击的影响范围。9运行与维护6T/UNP333—20249.1基本要求9.1.1应监控系统连续正常运行，不应随意中断。进行影响系统运行的关键设备和平台的关停操作时，应符合系统运行和维护管理制度的规定，做好相关记录，并及时恢复系统的正常工作。9.1.2应对监控系统的传输网络进行实时监控，确保网络满足信息传输要求。9.1.3应将接入监控系统的用户信息传输装置、信息采