统一身份与访问管理系统解决方案

xxxx

统一身份与访问管理系统解决方案

联系信息

关于本文中的任何信息，请联系技术工程师王庆先生，他的详细联系方式为：

版本历史

免责声明

本建议书不得视为或解释为Novell 和xxxx 之间有效而且有约束力的协议。建议书根据从xxxx 获得的信息而编制，Novell 对本建议书内容的准确性、完整性或充分性或建议书的使用不做任何担保，而且特别明确表示，对于本建议书的适销性和对特定目的的适用性，不做任何明示或暗示的担保。此外，Novell 公司保留修订本建议书及其内容的权利。

版权 2014

版权所有。未经Novell 公司同意，严禁复制或者修订本建议书的任何内容。xxxx 仅能够在内部复制和传播。

目 录

1 项目概述 . ................................................................ 5

1.1 1.2

项目背景 . .......................................................... 5 项目目标 . .......................................................... 6 1.2.1 一期建设目标: . ............................................... 6 1.3 1.4

建设原则 . .......................................................... 6 使用范围 . .......................................................... 7

2 技术方案建议 . ............................................................ 7

2.1 2.2

系统总体架构 . ...................................................... 7 系统功能 . .......................................................... 8 2.2.1 用户身份信息管理 . ........................................... 17 2.2.2 统一访问控制管理 . ........................... 错误！未定义书签。 2.2.3 用户生命周期管理 . ........................................... 19 2.3

系统设计和工作原理 . ............................................... 20 2.3.1 中央身份库 . ................................................. 20 2.3.2 用户生命周期管理（身份数据同步） ............................ 21 2.3.3 单点登录和统一认证 . ......................... 错误！未定义书签。 2.4

高可用性设计 . ..................................... 错误！未定义书签。 2.4.1 目录服务 . ................................... 错误！未定义书签。 2.4.2 访问控制 . ................................... 错误！未定义书签。 2.4.3 身份管理 . ................................... 错误！未定义书签。

3 项目实施流程及进度规划 . ................................................. 22 4 系统软硬件配置 . ......................................................... 23

4.1

软件配置 . ......................................................... 23

5 其他工作 . ............................................................... 23

5.1 5.2

身份管理实施阶段 . ................................................. 24 单点登录实施阶段 . ................................................. 24

6 成功案例 . ............................................... 错误！未定义书签。

6.1 6.2

深圳国税 . ......................................... 错误！未定义书签。 南海农信 . ......................................... 错误！未定义书签。

7 技术支持 . ............................................................... 24

7.1 7.2

技术支持方案 . ..................................................... 24 支持与维护 . ....................................................... 25

8 公司信息 . ............................................................... 26

8.1 8.2

公司简介 . ......................................................... 26 北京络威尔软件有限公司 . ........................... 错误！未定义书签。

1 项目概述

感谢xxxx 邀请Novell 对其统一身份认证与访问管理系统做相应的解决方案。 本建议书介绍了Novell 公司为xxxx 的解决方案，提供了关于Novell Privileged User Manager 产品的功能架构，并详细介绍了我们在实施方面的能力和计划。Novell Privileged User Manager 是100%的记录用户对服务器的键入操作，收集用户对Linux/Unix以及Windows 和SSH/Telnet管理网络设备系统上的任何操作行为并记录用户的操作结果。并将这些日志存储在数据库中供管理员查找和回放。

1.1 项目背景

随着xxxx 信息平台化建设的日趋成熟，目前整个运维服务器达到了200台, 网络设备40台左右, 每台服务器各种帐号众多, 管理不便, 网络设备管理帐号被多用户共享, 为管理员和用户带来了几个问题：

1、服务器帐号众多，每个帐号的归属，无法确认，导致系统存在安全漏洞； 2、每个网络设备管理帐号被多个人员共享，一些人为操作问题，无法定位到具体操作

人员;

3、某些帐号权限过大，比如应用程序的帐号为了方便一般都赋予超级帐号权限，导致

赋权混乱；

4、帐号操作，无法获悉，用户具体操作命令无法100%获取，导致有些信息事故无法

排查，无法实现100%操作监控；

5、主机帐号密码策略无法统一，有的服务器90天，有的180天，有的没有设置密码策

略，未来希望帐号密码策略统一；

6、目前维护人员分为主机操作系统维护、数据库维护两种，每个维护人员拥有不下100

个帐号，密码记忆对用户是困难的。

基于以上几个主要的原因，需要建立一用户维护操作行为审计平台，一方面提高员工访问系统的效率，另一方面增强系统的整体安全性。

1.2 项目目标

项目目标建设一套服务器行为审计平台建设目标: ⏹ 建立用户维护操作行为审计平台；

⏹ 接入目前所有的服务器包括Unix/linux/Windows类型主机及通过SSH/TELNET协议

接入所有网络设备

⏹ 对命令操作可以进行祥尽的审计，对图形操作可以以录像按照会话纪录； ⏹ 对主机及网络设备敏感命令进行监控并可以执行禁止、允许、申请等操作，如

reboot/reload/halt/restart/shutdown/write memory等命令

⏹ 建立一套统一帐号管理服务器，管理目前主机系统中所有帐号，未来在此平台实现

帐号分配；

⏹ 实现用户信息生命周期的管理，从帐号的创建到员工离职后帐号的消除实现统一化

和自动化管理而不需人工干预；

总之，通过技术的整合来管理和使用数字化的用户身份，以确保只有经过授权的用户才能对相关的设备进行操作，使最终用户仅需申请一次唯一的用户ID ，用户仅需在统一登陆平台进行一次身份认证就可以访问所有授权的服务器。建成后的统一用户身份与访问管理系统将为xxxx 应用系统的提供标准化用户数据，待建信息系统可以直接使用Novell eDirectory 用户目录作为数据源，已建信息系统以IDM 为根数据源进行用户信息同步。

1.3 建设原则

为了规范xxxx 身份与访问管理系统建设，应遵循以下原则：

⏹ 标准化原则：必须遵循统一的用户数据标准，来指导应用系统用户管理。 ⏹ 分类管理原则：NPUM 应能够支持管理员对用户身份信息进行分类管理的要求，保

证管理员能且只能管理到其职责范围内的服务器及网络设备的帐号。 ⏹ 集中化原则：NPUM 集中管理所有服务器及网络设备的帐号信息。

1.4 使用范围

IDM 系统主要的使用者包括：

⏹ 普通用户：即网管监控人员及内部开发人员

⏹ 主机系统管理员：即IT 部运维人员，负责服务器系统的日常运行，分为系统维护

及数据库维护。

⏹ 网络设备维护人员:负责网络设备维护人员

⏹ 应用程序管理员：维护服务器系统中应用程序的专属帐号。

2 技术方案建议

2.1 系统总体架构

该系统需要建立一套帐号同步管理服务器及操作行为稽核服务器，都采用虚拟机方式，并采用虚拟机副本方式进行备份。

整个系统以Novell eDirectory为帐号存储池，可以作为认证网关，配合NPUM 完成多

因素方式的单点登录。

2.2 系统功能

Novell PUM有三个主要组件：Novell PUM管理控制中心、Novell PUM Agent及

SSH/TELNET协议重定向支持。

管理控制中心提供统一的管理人员界面和审计人员界面，管理人员界面可以用于设置被管理的服务器、这些服务器帐户、帐户权限策略、审计策略以及进行管理控制中心本身的使用者管理；审计人员界面提供对帐户的行为进行回放和审计的功能。

Agent 被安装在每个被管理的服务器上，从而是PUM 各个管理策略、审计策略、权限策略的具体执行者。

SSH/TELNET协议重定向，支持所有通过ssh/telent访问的网络设备，并纪录相应的操作，实现对网络设备的帐号管理及操作行为监控

在本方案中所采用的NPUM 工作机理如下：

1. 系统验证用户登录信息并建立安全用户操作会话； 2. 在NPUM 中建立审计策略及定义风险管控级别； 3. 系统自动记录用户会话时所键入的指令和操作结果；

4. 系统根据预先制定好的自动化规则和所设定风险过滤级别将所记录的用户操作事件

放到合规审计数据库中；

5. 领导或系统管理员可以登录到合规审计库中参看是否有不合规的事件发生； 6. 如果用户有特别的请求，系统可以向管理员或领导发送邮件等通知供审批。 下图为NPUM 所记录的用户操作指令，可供管理员或领导查询：

下图为管理员对用户所键入的指令所执行的结果进行回放：

2.2.1 审计分权管理

在本方案中，在NPUM 系统中可以对系统审计人员进行分权管理，可以指定某个管理员

可以指定查看那一台服务器上的用户操作日志。 下图为配置审计用户审计权限界面：

2.2.2 系统部署

Novell PUM管理中心系统部署在一套服务器上，而Novell PUM Agent安装

在各个被监控的Unix/Linux服务器上，另需要一台服务器安装SSH/TELNET重定向服务。

SSH/TELNET重定向服务器

2.3 方案总结

通过实施本方案，用户将拥有以下好处：

1. 控制并记录“哪些特权用户访问什么内容”，提高了安全性； 2. 从单点集中管理安全策略，简化了管理复杂度；

3. 强大的风险分析工具能够记录和回放用户活动—具体到击键级别，使风险可控可

管；

4. 借助全天候的永久审计记录，而不只是在合规性审计中证明合规性，实现合规的连

续证明。

Novell PUM产品

Novell PUM 特权用户管理产品是一款对Unix/Linux系统上的超级用户行为进行管理、

审计的产品，它具有以下特点：

高安全性

Novell Privileged User Manager可以集中定义特权用户能在任何 UNIX 或 Linux 平

台上执行的命令，确保了只有授权用户才能执行特定管理任务。这种委托管理消除了将根帐户凭证分发给所有管理人员的需要并降低组织面临的风险。

Novell Privileged User Manager 通过集中化策略机制来主管委托管理。这让定义根

据用户名、输入的命令、主机名和时间（何人、何物、何地、何时）的组合来允许或拒绝用户活动的规则成为可能。

Novell Privileged User Manager 通过以这种方式管理 UNIX 和 Linux 权限，就可以

控制用户获得授权而运行的命令、运行时间和运行地点。所有用户活动均记录在一个功能强大的审计报告和管理工具中，因此管理人员能够在出现可疑活动时立即采取措施。

简单的策略管理

Novell Privileged User Manager 让管理人员可以从单点集中管理安全策略。直观的

拖放可视界面易于管理员创建规则，而不需要依赖于复杂且耗时的人工脚本编写。 规则一旦创建，就将在所有受管 UNIX 和 Linux 系统内强制执行。在更新或更改这些规则时，所做更改会立即适用于企业中的所有整套主机。

与其他需要单个升级系统的超级用户特权管理产品不同，Novell Privilege User

Manager 使管理人员能够专注于基础设施保护，而不是将精力花在安装规则更新上。

而且，集成的测试套件工具让管理人员可以建立和测试新的规则组合，再将其投入生

产使用。可以将规则轻松拖入嵌套的层次结构，建立精密的控制结构，该种结构在与脚本同时使用时，能够提供更加精细的控制，满足最为苛刻的环境要求。

详细的风险分析

Novell Privileged User Manager 通过一个智能风险分析引擎，平衡细节与数量的需

求。引擎分析用户活动，并根据执行的命令、执行该命令的用户以及位置，赋予该用户活动从 0 到 9 的某个风险级别。高风险命令的标识颜色为红色，低风险命令的标识颜色为绿色。这些颜色和介于两者之间的各种色度帮助管理人员立即识别可能构成安全风险的事件。

审计人员通过带有回放功能的直观界面，可以查看任何已记录的击键活动。如果事件要求做进一步分析，那么工作流程会使事件上升至可立即操作的适当管理器（可通过发送电子邮件通知或标记合合规性审计员控制台中的事件来执行）。

借助 Novell Privileged User Manager 与众不同的风险评估功能，用户能够快速轻松地识别已收集的任何构成更高级别风险的用户输入信息，从而降低由恶意活动或意外误用造成的潜在损害。

连续的合规性证明

Novell Privileged User Manager 生成用户活动的详细日志。这些记录提供的主要信

息是在组织中证明合规性并确保统一最佳实践所需的有价值信息。

每个事件都记录在功能强大的审计报告和管理工具 Compliance Auditor 中，该工具使审计员能够了解整个企业内的情况，并允许他们排列响应异常活动的优先次序。

Compliance Auditor 根据可以通过图形用户界面自定义的规则，将业务逻辑应用于用户活动和系统事件。然后评估每个事件的潜在风险，并赋予适当的风险级别。

事件记录以易于阅读的列表格式显示，可将用户活动显示到击键级别。审计员可以记录每条记录的“通过”、“失败”或“提出”状态，同时每项更改将自动添加到审计跟踪中并作为永久性记录。

Novell Privileged User Manager 还包括一项自动数据过滤功能，可让审计员按每小时、每日、每周或每月的间隔从主要审计数据库中提取现有数目的记录。审计员还可应用其他过滤标准，仅显示指定时段内所发生的高风险事件。例如，管理员每小时可过滤风险级别大于 3 的事件，这样可使他们集中关注对组织造成最大风险的事件。

信息显示在用颜色标识的直观界面上，可使管理人员和审计员查看安全交易，回放用户活动和制裁事件的记录。

2.3.1 支持的平台

Linux:

SUSE Linux Enterprise Server (SLES) (32-bit and 64-bit) on versions 10 and 11 Red Hat (32-bit and 64-bit) on versions 5.x and 6.x

Open Enterprise Server (32-bit and 64-bit) on versions 2 and 11

Unix

IBM AIX (32-bit and 64-bit) on versions 5.3 and 6.1 and version 7.1 (64-bit) HP-UX (PA-RISC) (32-bit and 64-bit) on versions 11.11 and 11.23 HP-UX (Itanium) 64-bit on versions 11.23 and 11.31

Sun Solaris (SPARC) (32-bit and 64-bit) on versions 9 and 10

Sun Solaris (Intel) (32-bit and 64-bit) on version 10 HP Tru64 UNIX 64-bit on 5.1a and 5.1b

Windows 平台

Windows Server 2003 (32-bit and 64-bit)

Windows Server 2008 (32-bit and 64-bit) and 2008 R2 64-bit Windows Server 2012 64-bit GUI version

虚拟化平台

VMWare ESX and ESXi

协议

TELNET SSH

2.3.2 Novell Privileged User Manager 功能：

2.3.2.1 安全性

特权账户委托:

安全地委托 UNIX/Linux 特权账户权力，而不需要影响用户完成工作的能力。

单个可配置端口:

所有代理流量都可通过单个端口加密和引导，在多个防火墙环境中轻松配置和部署产品。

数据库加密:

Novell Privileged User Manager 包括一个嵌入式 SQL 数据库后端，可以在这里对部

分或全部数据库进行 AES 加密。

2.3.2.2 策略管理

基于 Web 的控制台：

Novell Privileged User Manager 通过基于 Web 的直观控制台进行管理，在整个内部

网和外部网区域均可访问该控制台。该界面包括一个“命令控制”控制台，让您可以配置特权用户管理策略。

重复利用脚本和命令库:

Novell Privileged User Manager 包括策略对象的样本库，这些样本库可被轻松拖放

以建立强大但直观易懂的安全规则。

层次规则结构:

无需脚本编写，即可直观构建规则。只需拖放即可创建用于确定处理顺序的规则层次

结构。

直观的故障转移和负载均衡:

可以在分层的域结构中直观地配置主机代理，从而自动确定组件之间的负载均衡和故

障转移。

2.3.2.3 风险分析

使用颜色标识的命令风险评级:

可以根据运行的命令、运行命令的用户和位置，使用颜色标识事件记录的风险级别。

实时击键记录:

击键记录在整个用户对话期间实时更新。

对话回放:

在直观界面中回放已记录的用户对话击键，让您可以控制回放速度和方向。

2.3.2.4 审计和报告

(1) 自动数据过滤

创建预定义规则，以使用综合过滤器和时间表，从您的审计记录文件中提出事件。

(2) 自动通知

可以自动以电子邮件方式向用户发送待批事件每日概要。

(3) 永久性审计记录

所有审计员活动都永久性地记录在事件记录中，包括在分析过程中记录的击键记录活动查看、状态更改和任何备注。

(4) 工作流

对于需要进一步分析的事件，工作流过程向相应审阅者发送事件—通过发送电子邮件通知或在 Compliance Auditor 控制台标记事件。

(5) FTP 审计

通过使用这个守护程序替件，为您的 FTP 交易多加一重保障，实现完全通过审计和身份验证的 FTP 交易。

(6) 即用 UNIX/ Linux 外壳替件

可以使用“usrun”语句按需执行特权命令，或更换用户外壳，以提供命令身份验证和 / 或总会话审计

(7) ACL 限制

确定单个审计员允许查看的记录，防止用户对自己的活动进行自主授权

2.3.3 用户身份信息管理

用户身份信息管理以Novell eDirectory为基础，构建xxxx 身份份中心，利用元目录技术，实现将原有采用“非目录化”的应用系统与现有身份管理中心进行自动的双向交互，

该方案可以在不改变现有系统的框架基础上进行实施，利用这样的方案实现身份库与现有应用系统的无缝结合。利用元目录技术，采用自动化处理方式代替原有系统中帐号有IT 管理人员手工操作的方式。

同时，这种信息的同步是双向的。如果在一个应用程序中的数据发生了变化，利用DirXML 技术和一定的转换规则，将信息传递到中央身份库中。然后，再把这些数据传递给与这些数据相关的其它应用程序或目录服务中。

该解决方案可为用户自动开户并在用户的整个生命周期内对口令进行自动管理： ⏹ 自动完成复杂的系统开户流程，立即访问资源 ⏹ 根据角色和策略向用户分配资源 ⏹ 口令同步为所有系统的单一口令

⏹ 用户可通过基于 Web 的自助功能找回或重设自己的口令 ⏹ 制定并强制执行严格的系统口令策略 ⏹ 授权不当访问时收到系统报告

用户身份信息管理模块中，包含用户和组织机构信息维护、用户相关对象的维护和用户自维护几个子功能。

2.3.4 用户生命周期管理

采用Novell IDM和Novell eDirectory可以管理用户生命周期的如下阶段： 1) 在权威数据源中进行注册：确定人员要注册的部门，决定其用户类型（例如：客户

或内部员工），并在权威数据系统（如OA 系统）中建立用户帐号。

2) 利用身份管理工具将用户信息同步至中央身份库：身份管理工具首先获得用户帐号

信息，将其根据预先制定的规则同步至统一身份目录。 3) 帐号分发：将该帐号下发到相关的应用系统中。

4) 审批和授权：各应用系统的系统管理员（如信息管理系统管理员、Windows AD域

管理员）在本系统中对新增的用户进行审批和授权，完成帐户的新建工作。 5) 变更：当用户的职位或其他个人信息发生变化后，系统管理员首先在权威数据源（如

OA 系统）中对帐号信息进行修改，然后采取和2、3相似的步骤将信息同步至中央身份库和各应用系统中。

6) 销户：当用户离职以后，需要在各应用系统中统一注销用户帐号。

对于xxxx 用户和外部用户，可以针对不同的身份属性，定义区分策略，从而实现对内部用户跟随人事系统状态的变化而变化，对外部用户严格管理其生命周期，并严格划定范围和权限。

2.4 系统设计和工作原理 2.4.1 中央身份库

对各个服务器中的帐号进行单独、分散的管理是一个费时、繁琐、不安全的管理方式。随着服务器的不断增加，以及系统管理人员的分工日益复杂，Novell 推荐建立一个集中统一的中央身份库。

中央身份库的设计，必须针对所有用户创建一个单一的主帐号，管理IT 平台中各个服务器系统

中央身份库拥有xxxx 完整的身份认证信息，可提供xxxx 公司范围内接入系统用户身份认证与存储。根据xxxx 的需要，可以自定义schema 以满足个性属性的要求。

Novell 所提供的中央身份库基础架构是基于Novell eDirectory 。近10 年来，该目录服务已在全球销售了14 亿3 千万的许可证，这是该目录服务已处于行业领先水平的最好的证明。它一向表现出高度的可靠性和高度的稳定性、以及大而复杂的企业环境中良好执行的能力。

中央身份库的安全性是非常值得关注的，一旦中央身份库的信息遭到窃取，那么NPUM 系统其他安全性设置会立即失去效应。Novell eDirectory 通过几方面卓越的安全特性满足全服务目录的安全要求。eDirectory 安全使NPUM 系统能够指定谁有权访问目录树，以及用户通过认证后的确切访问权限等级。

2.4.2 用户生命周期管理（身份数据同步）

身份同步，泛指通过IDM 实现目录与服务器的帐号双向联动，确保用户身份信息在各应用系统间的一致性。

通过IDM 把各个应用系统和身份目录进行连接。在帐号信息同步通道中设立帐号管理策略，规定用户在身份目录和各应用系统之间的同步策略。利用IDM 的身份同步引擎在应用系统和统一身份目录之间建立同步通道。应用系统从同步通道中获得其所需要的用户身份信息，建立对应的用户帐号。

所有用户应用帐号的创建、信息变更、销户事件都由IDM 进行统一维护。当需要在一个系统中创建/变更/删除帐号时，根据既定的策略在相应的应用系统中创建、变更、销户。

3 项目实施流程及进度规划

Novell 建议整体项目实施工作分为如下阶段：

1. 系统调研阶段（需求分析阶段）

✓ 了解xxxx 组织结构及人员情况；

✓ 了解xxxx 录系统相关的应用情况；

✓ 制定设计方案

2. 系统设计阶段

✓ 确定用户的命名规则；

✓ 确定目录结构设计；

✓ 确定目录Schema 设计；

✓ 用户数据的初始化导入策略、清洗策略；

✓ 目录到目录的用户同步策略；

✓ 与门户及其它应用系统的单点登录集成策略；

✓ 目录各类管理用户的制定及授权；

3. 安装、开发阶段及测试阶段

✓ 系统软件的安装；

✓ 单点登录系统的开发和调试；

✓ 用户数据的初始化导入测试；

✓ 系统功能测试等；

✓ 系统集成测试；

4. 系统部署阶段

✓ 目录到相关应用子系统的网络调整，如防火墙策略，路由定制；

✓ 系统压力测试；

✓ 用户验收测试（两轮）

5. 系统上线试运行 4 系统软硬件配置

4.1 软件配置

5 其他工作

其他工作中包含集成商和接入系统研发厂商的工作，下面根据系统实施的不同阶段加以说明。以下列举的配合工作仅限于目前对接入系统了解到的情况，在完成需求分析和方案设计后，可能需要补充其他没有提及的配合工作。

5.1 身份管理实施阶段

需要客户方、身份管理实施阶段，如下工作等方面，予以配合：

（1） 对于新上线网络设备及主机，必须严格遵循预设的接口规范的要求，以便规范和统

一管理；

5.2 单点登录实施阶段

需要客户方、应用开发商，在单点登录阶段，如下工作等方面，予以配合：

（1） 对于新建应用系统，必须严格遵循预设的接口规范的要求，以便规范和统一管理； 6 技术支持

6.1 技术支持方案

Novell向xxxx 提供电话支持服务。这项支持服务是项目实施现场支持服务的补充。

1. 最长响应时间 - 2 小时

2. 提供每周 7 天，每天 24 小时的支持服务

3. 25 项服务请求

4. Novell 专业资源套餐 (Novell Professional Resource Suite) - 1 份扩展* 许

可

5. 4 个 Novell 专业资源套餐的门户访问账户

6. 主动以电子邮件的形式发出补丁及更新通知

7. 在线服务请求提交、跟踪及报告

8. 免费电话支持专线

建议只在出现极其严重问题的情况下，才寻求工作时间外支持

6.2 支持与维护

Novell 技术服务部是一个全球化运作组织，在全球范围内都设有支持中心，并派有技术支持工程师。全球支持中心 (GSC) 位于 Novell 公司总部，在犹他州普罗沃设有主要的工程中心。其他支持中心位于英国布拉克内尔和荷兰Capella 。澳大利亚、美国、香港、新加坡（亚洲主要支持中心）、中国、泰国、马来西亚、韩国、欧洲都驻有本地现场支持工程师，其他地区则由经过授权的服务合作伙伴提供本地现场支持工程师。

最初的应答是通过GSC 进行，或者直接提交给当地组织内指定的高级服务工程师 (PSE) 或解决方案支持工程师 (SSE)。资源可根据需要进行分配，以满足具体的支持服务的需求。 美国全球支持中心 (GSC)：提供电话支持响应服务，作为与Novell 相关的问题的最初报告点。该中心每周7天、每天24小时运行，负责为Novell 客户提供2级技术帮助。GSC 与本地现场工程师、全球支持服务人员和产品工程师一同解决技术问题。中心配备了18位全职工程师和多名轮换工程师（共有大约25-30人），利用所掌握的技能和经验为亚太区和其他地区的客户提供支持。

美国全球支持服务部 (WSS)：Novell 公司全球支持服务部共有大约80名全职工程师。该部门负责为GSC 和本地现场服务工程师提供3级和4级支持。WSS 从“全球的眼光”考虑所发生的任何问题，并对GSC 或本地工程师报告的问题迅速做出响应。

本地现场服务部（中国）：Novell 技术服务部通过各国的高级服务工程师 (PSE) 或解决方案支持工程师 (SSE) 为需要本地现场支持的客户提供现场支持服务。PSEs 和 SSE 与 GSC 和 WSS 共同帮助客户解决 Novell 技术问题。PSE 和SSE 提供的大部分服务都是主动预防的服务，然而，他们也同样提供故障修复服务。各国的PSE 和SSE 数量不同，这取决于要求服务的客户的数量。

技能等级 – 所有提供2级支持的技术支持工程师都至少通过Novell 认证工程师 (CNE) 培训认证，然而，大多数工程师都通过主 CNE或CDE 级认证，拥有5年的经验。3级支持工程师一般为MCNE 或CDE 级别，至少拥有10年的经验，或者拥有其他第三方产品的技术支持经验。现场工程师至少通过3级认证，拥有丰富的现场工作支持经验。一般情况下，PSE 和SSE 都拥有垂直市场经验，并接受过核心Novell 技术培训。

解决方案支持 – Novell 技术服务部通过组建客户支持团队提供解决方案支持，该团

队主要负责为客户的整个业务解决方案提供支持，而不是单独的技术组件。该部门指定了技术解决方案支持主管，而且SSE 都掌握为客户解决方案提供支持所需的多项技能和知识。 支持呼叫追踪 – Novell 技术服务部采用在全球范围内实施的PeopleSoft Vantive 产品记录与追踪支持问题。如果客户在Vantive 中注册有效帐户，任何技术工程师都可以查看与特定问题相关的活动。客户的授权联络人也在Vantive 中注册，并可以通过免费电话或者通过Web 记录问题。Vantive 用于追踪问题解决的状态以及问题的报告。

现场支持 – 现场支持通过各国派驻的PSE 或SSE 提供。紧急情况现场报告可帮助诊断或解决记录的问题，但这取决于资源的可用性。 7 公司信息

7.1 公司简介

北京络威尔软件有限公司（NOVELL CHINA ）是注册于中国北京市外商独资经营企业，是NOVELL 的全资子公司，注册资本161.65万美元，其法定代表人是保罗. 约瑟夫. 利斯特。 公司主营业务是自主软件产品研发、销售、技术服务、技术咨询、培训等。

公司总部位于北京市东三环中路北京财富中心。下辖上海、广州、深圳、沈阳、成都（筹建中）办事处及中国NOVELL 技术研发中心（北京）、NOVELL 中国测试中心（北京）、NOVELL 中国技术支持中心（深圳）。现有员工近100人，具有完善的技术支持、产品研发、测试、销售服务体系。

NOVELL 公司（股票代码：NOVL ，标准普尔成份股S&P具有良好财务状况，雄厚的资金实力。2005NIAN 营业收入12亿美元，现金储备17亿美元。平均每年收入的18%投资于产品研发

Novell 公司（Nasdaq: NOVL ）是基础架构软件与服务的领先供应商，在世界43个国家拥有50,000多家客户。20多年来，Novell 一直专业从事数据中心、工作组和桌面系统业务，现有员工6,000人，在全球拥有5,000家合作伙伴和支持中心，全面满足客户基于身份认证管理及Linux 系统的各种需求。Novell 为商务及开放源码系统提供企业级软件及相关支持，

致力于帮助客户以在降低总体成本的同时，提高操作系统的灵活性和选择性。关于Novell 的更多信息，请访问http://www.novell.com。

开放

Novell 积极推进开放源码运动，为客户灵活地运行所需系统和平台提供更大的选择余地，为他们经济高效的管理，确保系统环境和业务关系的安全提供工具。Novell 是信誉卓著、实力雄厚的合作伙伴，拥有企业级软件和Linux 解决方案的丰富经验，可为客户在企业环境下的Linux 系统战略部署提供支持服务。

安全

Novell 将身份管理与强大的Web 服务加以整合，推出基于身份认证管理的全新解决方案。Novell 公司在专业技术与Linux 系统和开放源码的结合方面具有传统优势，可为客户提供真正的多平台解决方案，解决企业当前面临的最紧迫问题 — 保护企业资产，从而全面提高企业安全、产能和竞争实力。

全球

Novell 高素质专业人员与合作伙伴组成的网络提供全球服务与支持。与Novell 合作，客户无论在何处开展业务，都可以得到Novell 有力的企业级支持。Novell 合作体系包括5,000多家合作伙伴，当地专家可提供出色的产品、解决方案和专业知识。

Novell 公司的构想是通过创建软件解决方案将所有类型的网络——企业内部网、互联网和外部网、企业网和公众网以及有线网和无线网能够共同组成一个“一体化网络”。为实现这一构想，Novell 始终致力于开发网络服务软件，为网络世界提供安全保障和发展动力。该软件与业界领先的专业咨询和支持服务相结合，将帮助我们的客户应对业务挑战，并为他们抓住新的商机提供所需的网络工具和专业技能。

过去 20 多年中，Novell 在业界始终引领着组网解决方案的创新，并组建了世界一流的专业服务组织（剑桥技术合作伙伴），为客户提供端到端咨询服务，面向业务的技术知识，全面的垂直行业经验，经过实际验证的方法以及全面的技术支持服务。

北京络威尔软件有限公司是 Novell 公司在亚太地区的全资子公司。Novell 公司在全球拥有 6,000 余名员工，公司总部设在美国犹他州普罗沃，在麻萨诸塞州剑桥、印度班加

罗尔、英国布拉克内尔加利福尼亚州圣荷塞、澳大利亚悉尼、日本东京设有地区总部和研发中心，公司办事处遍及美国及全球43个国家。

Novell 的东亚总部设在北京，并在上海，广州设立办事处（销售和服务办事处）。