您的位置:360文档中心› (信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定

(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定

合集下载

中国移动统一信息平台技术规范

中国移动统一信息平台技术规范

中国移动统一信息平台技术规范中国移动企业信息化一期工程统一信息平台技术规范(v1.0)中国移动通信集团公司目录1 总则 (1)1.1. 概述 (1)1.2. 适用范围 (1)1.3. 起草单位 (2)1.4. 解释权 (2)2 应用体系架构 (3)2.1. 两级架构 (3)2.2. 统一信息平台的组成 (4)2.3. 总体技术要求 (5)3 展示平台 (6)3.1. 域名规则 (6)3.2. 登录流程 (7)3.3.访问安全控制 (7)3.3.1. ......................................................... 认证83.3.2. ......................................................... 加密93.3.3. ......................................................... 授权93.4.个性化展现管理 (9)3.5.内容应用聚集 (10)3.6.系统性能要求 (11)4 网络和接入平台 (12)4.1.全国互联广域网组织结构 (12)4.1.1. ..................... 全国互联广域网拓扑结构124.1.2. ................. 广域网互联承载网络的选择134.1.3. ......................... 全国互联广域网的路由144.1.4. ................. 全国互联广域网的网络安全144.2.集团公司统一信息平台的网络组织结构14 4.2.1. ............. 集团公司统一信息平台局域网144.2.2. ................. 集团公司统一信息平台接入164.3.省公司统一信息平台的网络组织结构 (17)4.3.1. ................. 省公司统一信息平台局域网174.3.2. ..................... 省公司统一信息平台接入194.4.I P地址规划 (20)4.4.1. .................................... I P地址规划原则204.4.2. .................................... I P地址规划方法224.4.3. .................................... I P地址规划要求235安全管理平台 (24)5.1.网络管理及网络安全 (24)5.1.1. ......................................... 网络系统管理245.1.2. ................................................. 网络安全245.2.系统管理及系统安全 (25)5.2.1...................................................... 系统管理255.2.2. ................................................. 系统安全265.2.3. ..................................... 数据管理和安全285.2.4. ..................................................... 防病毒296系统和环境要求 (30)6.1.系统要求 (30)6.1.1. ................................................. 主机设备306.1.2. ................................................. 操作系统316.1.3. ......................................... 存储备份设备316.1.4. ................................................. 网络设备326.1.5. ..................................................... 数据库346.1.6. ......................................... 展示平台软件366.1.7. ................................................. 开发工具376.1.8. ................................................. 系统文档376.2.机房环境要求 (38)6.2.1. ......................................... 机房环境条件386.2.2. ................................................. 接地要求396.2.3. ............................................. 空调及电源401 总则1.1. 概述目前中国移动通信集团公司已成为世界第一大GSM移动电话运营商,并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。

(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定(品质)

(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定(品质)

(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定中国移动支撑系统集中账号管理、认证、授权与审计(4A)技术要求版本号:1.0.0目次前言 (1)1. 目的和适用范围 (2)2. 引用标准 (4)3. 相关术语与缩略语解释 (5)4. 综述 (6)4.1. 账号口令管理现状与面临的困难 (6)4.2. 4A框架国内外现状 (7)4.3. 中国移动4A框架 (9)4.4. 4A用例描述 (10)4.4.1. 管理员工作过程 (10)4.4.2. 普通用户工作过程 (10)4.5. 4A框架的价值 (11)4.5.1. 企业角度 (11)4.5.2. 管理员角度 (11)4.5.3. 普通用户角度 (12)4.5.4. 系统安全角度 (12)4.5.5. 系统管理成本角度 (12)5. 集中账号管理 (13)5.1. 集中账号管理的目的 (13)5.2. 对集中账号管理的要求 (13)5.3. 账号生存期管理 (15)5.3.1. 用户与账号的关系 (15)5.3.2. 用户、账号的管理流程 (16)5.4. 账号集中化管理架构 (17)5.4.1. 一般模型 (17)5.4.2. 主机、网络设备账号管理 (18)5.4.3. 应用系统账号集中管理 (20)5.4.4. 对集中账号管理的要求 (21)5.5. 自我服务系统 (22)6. 集中授权 (23)6.1. 基本技术 (23)6.1.1. 集中权限分配 (23)6.1.1.1. 权限定义 (23)6.1.1.2. 集中权限分配粒度 (24)6.1.1.3. 主流的授权技术 (25)6.1.1.4. 账号、用户、用户组、角色、权限关系 (26)6.1.2. 集中访问控制 (28)6.2. 网络设备和主机系统的集中授权 (30)6.3. 应用系统基于角色的集中授权 (31)6.4. 细粒度访问控制 (32)7. 集中认证 (34)7.1. 身份认证方式 (34)7.1.1. 基于用户名/口令的认证方式 (34)7.1.2. 基于动态口令的认证方式 (35)7.1.3. 基于智能卡的认证方式 (35)7.1.4. 基于生物特征的认证方式 (36)7.1.5. 基于数字证书的认证体系 (37)7.2. 认证方式选择 (37)7.3. 单点登录(Single Sign-On,SSO) (38)7.3.1. 单点登录要求 (39)7.3.2. 单点登录系统模型 (39)7.3.2.1. 以服务器为中心的单点登录模型 (39)7.3.2.2. 以客户端为中心的单点登录模型 (41)7.3.2.3. 客户/服务器模式的单点登录模型 (42)7.3.2.4. 模型选择 (43)7.3.3. 单点登录产品选择 (44)7.3.4. 单点登录适用范围 (45)7.3.5. 单点登录与集中身份认证 (46)7.4. 集中身份认证 (46)8. 集中安全审计 (49)8.1. 4A框架下的集中安全审计 (49)8.2. 基本要求 (50)8.3. 功能要求 (51)8.4. 审计结果的处理方式 (51)8.5. 集中存储策略 (52)9. 中央管理平台 (53)9.1. 目的 (53)9.2. 功能描述 (53)9.3. 功能要求 (54)9.4. 技术要求 (55)10. 实施建议 (56)10.1. 总体原则 (56)10.2. 技术建设建议 (57)10.2.1. 网络设备、主机集中管理 (57)10.2.1.1. 明确网络设备、主机资源及其访问权限 (57)10.2.1.2. 建立用户信息库 (57)10.2.1.3. 账号集中管理 (58)10.2.2. 应用集中管理 (59)10.2.2.1. 确定应用系统中的信息资源及其访问权限 (59)10.2.2.2. 建立用户信息数据库 (59)10.2.2.3. 根据工作岗位和任务职责定义角色 (60)10.2.2.4. 将角色分配给相关的用户 (61)10.2.3. 审计系统 (62)10.2.4. 口令策略管理 (62)10.3. 分步实施建议 (63)10.4. 实施过程中需要注意的问题 (65)10.4.1. 集中度的把握 (65)10.4.3. 紧急情况的处理 (66)10.4.4. 分级管理 (66)10.5. 4A产品选择需要考虑的问题 (67)11. 4A平台技术要求 (69)11.1. 涉密要求 (69)11.2. 可扩展性 (69)11.3. 开放性 (69)11.4. 安全(容灾)性 (69)11.5. 用户的自我管理 (70)11.6. 支持WEB方式 (70)12. 编制历史 (71)附录 (72)1. 中国移动安全目录规范 (73)1.1. 结构规划 (74)1.1.1. 目录内容规划 (74)1.1.2. 目录逻辑结构规划 (75)1.1.3. 目录物理结构规划 (82)1.2. 功能要求 (83)1.3. 编程接口 (85)2. 应用系统实现账号口令集中管理的相关标准 (90)2.1. 原有应用系统纳入4A框架管理的模式 (92)2.1.1.1. 实现方法 (92)2.1.1.2. 实施流程 (96)2.1.1.3. 注意事项 (98)2.1.1.4. 方案优点 (100)2.1.1.5. 方案缺点 (100)2.1.1.6. 4A框架对应用的管理 (100)2.1.2. 模式二:改造应用系统 (101)2.1.2.1. 背景和目的 (101)2.1.2.2. 参考资料 (101)2.1.2.3. 用户管理、认证、授权及审计流程 (102)2.1.2.4. 应用接口(API)-账号管理 (104)2.1.2.5. 应用接口(API)-认证及授权 (106)2.1.2.6. 接口应用 (108)2.2. 新应用系统开发 (111)2.3. 应用系统与企业安全目录 (112)3. 基于短消息的动态口令系统 (113)3.1. 动态口令技术 (113)3.2. 短消息业务概述 (113)3.3. 基于短信业务的主机动态口令登录 (114)3.3.1. 网络结构 (114)3.3.2. 登录口令获得流程 (115)3.3.3. 基于短信的动态口令系统的优点 (115)3.3.4. 基于呼叫中心的动态口令获取 (116)3.3.5. 小结 (116)4. 内部网的远程访问 (117)4.1. 远程拨号访问 (117)4.2. 通过虚拟专网(VPN)方式接入 (118)4.3. 通过专用软件方式接入 (118)前言本规范规定了中国移动通信有限公司各支撑系统内部用户账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)的统一框架(简称4A框架)的系统结构、关键技术实现方法、实施步骤及注意事项,附录部分阐述了4A框架下各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式,以及将应用系统纳入4A框架集中管理的具体方案。

信息系统安全等级保护基本要求(一至四级)

信息系统安全等级保护基本要求(一至四级)

S
技术要求 主机安全 访问控制
S
技术要求 主机安全 可信路径
S
技术要求 主机安全 安全审计
G
技术要求
主机安全
剩余信息 保护
S
技术要求 主机安全 入侵防范
G
技术要求
主机安全
恶意代码 防范
G
技术要求 主机安全 资源控制
A
技术要求 应用安全 身份鉴别
S
技术要求 应用安全 安全标记
S
技术要求 应用安全 访问控制
登记测评
G
管理要求
系统建设 管理
安全服务 商选择
G
管理要求
系统运维 管理
环境管理
G
管理要求
系统运维 管理
资产管理
G
管理要求
系统运维 管理
介质管理
G
管理要求
系统运维 管理
设备管理
G
管理要求
系统运维 管理
监控管理 和安全管
理中心
G
管理要求
系统运维 管理
网络安全 管理
G
管理要求
系统运维 管理
系统安全 管理
本项要求包括: a) 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰 期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问 路径; d) 应绘制与当前运行情况相符的网络拓扑结构图; e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等 因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子 网、网段分配地址段; f) 应避免将重要网段部署在网络边界处且直接连接外部信息系 统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证 在网络发生拥堵的时候优先保护重要主机。

关于信息系统登录口令的管理要求

关于信息系统登录口令的管理要求

关于信息系统登录口令的管理要求1.引言1.1 概述在信息系统中,登录口令是用户登录系统的首要凭证,它是保证系统安全的重要环节。

合理管理和要求登录口令的安全性,能有效防止未经授权的个人或者恶意攻击者进入系统,保护系统数据的安全和完整性。

因此,对于登录口令的管理要求也变得尤为重要。

本文将重点探讨关于信息系统登录口令的管理要求。

首先,我们将介绍登录口令的重要性,即通过登录口令可以确定用户身份,以此作为进入系统和执行系统操作的依据。

而对于一些系统,登录口令甚至具备管理员权限,如果登录口令的安全性较低,将会对系统的安全性产生重大威胁。

其次,我们将详细阐述关于登录口令的安全性要求。

登录口令的安全性要求是保障系统安全和用户利益的重要环节。

我们将从多个方面介绍登录口令的安全特性,包括密码长度、复杂性、有效期、加密传输等,以及对用户设置及管理登录口令时的要求。

最后,总结本文并提出对信息系统登录口令管理的具体要求。

我们将给出应遵循的规则和准则,包括严格遵循最佳实践、定期更新登录口令、不使用弱密码、定期进行安全检查等,以确保信息系统登录口令的安全性和合规性。

通过本文的深入探讨,读者将能够全面了解关于信息系统登录口令管理的要求,从而做好信息系统的登录口令设置和管理工作,有效提升系统的安全性和可靠性。

接下来,我们将具体分析登录口令的重要性和安全性要求。

1.2文章结构文章结构部分的内容:文章结构部分主要介绍了整篇文章的组织结构和各个章节的内容,并为读者提供了一个清晰的导航方向。

具体包括以下内容:本文共分为引言、正文和结论三个部分。

引言部分主要包括概述、文章结构和目的三个小节。

概述通过简要介绍了本文要探讨的主题——信息系统登录口令的管理要求,并突出了该主题的重要性。

文章结构部分即对整篇文章的章节组织进行说明,给读者提供了整体框架。

目的部分则阐明了本文的主要目标,即通过论述登录口令管理的必要性和重要性,为信息系统的安全性提供指导和建议。

2020年(安全管理)中国移动管理信息系统安全基线规范v

2020年(安全管理)中国移动管理信息系统安全基线规范v

(安全管理)中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号:1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位:中国移动通信集团公司管理信息系统部本规范主要起草人:起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方,在部署之前往往只执行了功能测试,各个系统安全水平不一,容易遭受黑客攻击,存在很多安全隐患。

L1认证考试:安全方向(2015年04月30日版)题库

L1认证考试:安全方向(2015年04月30日版)题库
答案:D
17、 相关部门的安全分工中,电力供应属于哪个部门负责 A.网络部 B.研究院 C.业务支撑系统部 D.综合部
答案:D
18、 远程执行管理员权限操作,应先以()用户远程登录后,再切换到管理员权限账号后执 行相应操作。 A.普通权限 B.维护权限 C.管理员权限 D.监控权限
答案:A
19、 实施企业内部补丁流程时应优先告知谁?
25、 微软系统更新补丁服务器的简称是? A.WSSU B.VBS C.WSUS D.LUA
答案:C
26、 网络安全漏洞检测工具 WVS 一旦扫描完成后,并加以保护,列出了扫描检测的 Windows 中的漏洞,降低用户的风险和下载修补程序到本站进行安装。它还创建名为文件夹中
Protector_Plus_Windows_Vulnerability_Scan.htm 日志文件记录 Windows 中的漏洞扫描()。 A.已经执行 B.已删除 C.已保存 D.未执行
答案:C
22、 在 UTM 校验未知数据流时,其 CPU 指数达到 85%以上,此现象表明? A.危机现象 B.错误现象 C.警示现象 D.正常现象
答案:A
23、 如果你怀疑一个黑客已经进入你的系统,要分析当前形势你首先采取的过程,同时采取 一些有效的措施,这些措施不包括 A.判断帐号是否被影响 B.参考审计日志 C.采用“蜜罐”技术
答案:B
5、 两台主机之间建立一次正常的 TCP 连接,一共需要相互传递几次信息? A.3 B.4 C.1 D.2
第 1 页 共 28 页
L1 认证考试:安全方向(2015 年 4 月 30 日版)
答案:A
6、 审核责任人应按照《中国移动内控手册》等相关规定,对相关系统用户帐户口令至少( ) 年进行一次定期审核,对不符合要求的及时进行整改。 A.2 年 B.1 年 C.3 年 D.半年

精选新版2019年《保密法》法律法规知识测试题库500题(含答案)

精选新版2019年《保密法》法律法规知识测试题库500题(含答案)

2019年《保密法》法律法规知识考试题库500题[含答案]一、选择题1.集中存储.处理工作秘密的信息系统和信息设备,参照(C )级信息系统和信息设备管理A.绝密B.机密C.秘密2.涉密人员离岗.离职前,应当将所保管和使用的涉密载体全部清退,并( C)。

A.登记销毁B.订卷归档C.办理移交手续3.国家秘密的保密期限届满的,自行( C)。

A.变更B.公开C.解密4.一份文件为机密级,保密期限是20年,应当标注为( C )。

A.机密20年B.机密★C.机密★20年5.一切国家机关.武装力量.政党.社会团体.( C都有保守国家秘密的义务。

A.国家公务员B.共产党员C.企业事业单位和公民6.国家秘密信息不得通过下列哪些渠道传递:(ABC)A.手机短信B.互联网电子邮件C.普通传真机7.某部干部李某为方便加班,用个人优盘从单位涉密计算机中拷贝了大量涉密文件带回家中,接入连接互联网的计算机并进行处理,致使优盘中的涉密文件被窃取。

李某的哪些行为违反了保密规定:(ABC)A.使用个人优盘拷贝涉密文件B.将存有涉密信息的优盘带回家中C.将存有涉密信息的优盘接入连接互联网的计算机处理涉密信息8.将手机带入涉密场所,存在下列哪些泄密隐患:(ABC)A.暴露涉密目标B.通话被窃听C.周围的声音信息被窃听9.淘汰处理的涉密存储介质和涉密计算机.传真机.复印件等设备的信息存储部件,应当严格履行清点.登记手续,送交(AB)销毁。

A.保密行政管理部门销毁工作机构B.保密行政管理部门指定的承销单位C.废品回收单位10.确因工作需要,经审批携带涉密笔记本电脑移动存储介质外出,下列哪些做法不符合保密要求:(ABC)A.交由亲友代为保管B.交由宾馆代为保管C.留在宾馆房间写字台抽屉内11.涉密计算机使用过程中,下列哪些行为存在泄密隐患:(ABC)A.连接手机B.连接有线电视C.连接私人MP3.数码相机12.单位保密委员会组成人员是(ABCD)A.单位法定代表人B.主要负责人C.单位负责人D.有关部门的主要负责人13.涉密信息系统的保密设施.设备应当(B )。

中国移动“五条禁令”内容以及违规判定基本规则

中国移动“五条禁令”内容以及违规判定基本规则

中国移动“五条禁令”内容以及违规判定基本规则(一)严禁泄露或交易客户信息。

1、客户信息的界定(1)个人客户信息包括:非通信内容信息:个人基本信息(姓名、身份证件号码、手机号码、职业、所属单位名称、联系方式、单位或居住地址、家庭成员信息等),位臵信息,服务密码,账单和清单,等等;通信内容信息:客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的其他个人通信手段所传递的信息内容。

(2)集团客户信息包括:非通信内容信息:单位负责人和联系人基本信息,单位成员个人基本信息,业务合同,账单和清单,等等;通信内容信息:客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的各类信息化应用手段传递的信息内容。

2、泄露或交易行为的界定依据2009年2月通过的《中华人民共和国刑法修正案(七)》,任何将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人,窃取或者以其他方法非法获取个人信息,违反国家规定侵入计算机信息系统获取信息或实施非法控制的行为,均属违法行为。

包括如下情况:(1)任何利用职务之便擅自查询、获取上述客户通信内容信息以及客户通话清单、位臵信息、服务密码等隐私信息的行为;(2)除如下四种客户信息正常使用或对外提供的情况外,擅自向他人或外方提供客户信息的行为:一是客户凭借有效证件或服务密码等方式通过身份鉴权验证、或委托他人依照公司有关业务规程办理的情况下,根据客户需要协助其查询、获取客户信息。

二是公司配合公安机关、国家安全机关或者人民检察院,依照法律程序对相关信息进行查询或提取。

三是在有保密协议或条款约定的前提下,并在取得用户同意的情况下,依照合作协议给业务合作伙伴提供必要的客户信息,仅用于用户定制的电信服务。

四是按照政府、消协等有关部门处理客户投诉、申诉的要求,向政府、消协等提供仅限于投诉处理相关的必要客户信息。

在违规行为中,泄漏客户通信内容信息、客户通话清单、位臵信息、服务密码等隐私信息的,以及以牟利为目的倒卖客户信息的交易行为违规情节更严重。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定中国移动支撑系统集中账号管理、认证、授权与审计(4A)技术要求版本号:1.0.0目次前言 (1)1. 目的和适用范围 (2)2. 引用标准 (4)3. 相关术语与缩略语解释 (5)4. 综述 (6)4.1. 账号口令管理现状与面临的困难 (6)4.2. 4A框架国内外现状 (7)4.3. 中国移动4A框架 (9)4.4. 4A用例描述 (10)4.4.1. 管理员工作过程 (10)4.4.2. 普通用户工作过程 (10)4.5. 4A框架的价值 (11)4.5.1. 企业角度 (11)4.5.2. 管理员角度 (11)4.5.3. 普通用户角度 (12)4.5.4. 系统安全角度 (12)4.5.5. 系统管理成本角度 (12)5. 集中账号管理 (13)5.1. 集中账号管理的目的 (13)5.2. 对集中账号管理的要求 (13)5.3. 账号生存期管理 (15)5.3.1. 用户与账号的关系 (15)5.3.2. 用户、账号的管理流程 (16)5.4. 账号集中化管理架构 (17)5.4.1. 一般模型 (17)5.4.2. 主机、网络设备账号管理 (18)5.4.3. 应用系统账号集中管理 (20)5.4.4. 对集中账号管理的要求 (21)5.5. 自我服务系统 (22)6. 集中授权 (23)6.1. 基本技术 (23)6.1.1. 集中权限分配 (23)6.1.1.1. 权限定义 (23)6.1.1.2. 集中权限分配粒度 (24)6.1.1.3. 主流的授权技术 (25)6.1.1.4. 账号、用户、用户组、角色、权限关系 (26)6.1.2. 集中访问控制 (28)6.2. 网络设备和主机系统的集中授权 (30)6.3. 应用系统基于角色的集中授权 (31)6.4. 细粒度访问控制 (32)7. 集中认证 (34)7.1. 身份认证方式 (34)7.1.1. 基于用户名/口令的认证方式 (34)7.1.2. 基于动态口令的认证方式 (35)7.1.3. 基于智能卡的认证方式 (35)7.1.4. 基于生物特征的认证方式 (36)7.1.5. 基于数字证书的认证体系 (37)7.2. 认证方式选择 (37)7.3. 单点登录(Single Sign-On,SSO) (38)7.3.1. 单点登录要求 (39)7.3.2. 单点登录系统模型 (39)7.3.2.1. 以服务器为中心的单点登录模型 (39)7.3.2.2. 以客户端为中心的单点登录模型 (41)7.3.2.3. 客户/服务器模式的单点登录模型 (42)7.3.2.4. 模型选择 (43)7.3.3. 单点登录产品选择 (44)7.3.4. 单点登录适用范围 (45)7.3.5. 单点登录与集中身份认证 (46)7.4. 集中身份认证 (46)8. 集中安全审计 (49)8.1. 4A框架下的集中安全审计 (49)8.2. 基本要求 (50)8.3. 功能要求 (51)8.4. 审计结果的处理方式 (51)8.5. 集中存储策略 (52)9. 中央管理平台 (53)9.1. 目的 (53)9.2. 功能描述 (53)9.3. 功能要求 (54)9.4. 技术要求 (55)10. 实施建议 (56)10.1. 总体原则 (56)10.2. 技术建设建议 (57)10.2.1. 网络设备、主机集中管理 (57)10.2.1.1. 明确网络设备、主机资源及其访问权限 (57)10.2.1.2. 建立用户信息库 (57)10.2.1.3. 账号集中管理 (58)10.2.2. 应用集中管理 (59)10.2.2.1. 确定应用系统中的信息资源及其访问权限 (59)10.2.2.2. 建立用户信息数据库 (59)10.2.2.3. 根据工作岗位和任务职责定义角色 (60)10.2.2.4. 将角色分配给相关的用户 (61)10.2.3. 审计系统 (62)10.2.4. 口令策略管理 (62)10.3. 分步实施建议 (63)10.4. 实施过程中需要注意的问题 (65)10.4.1. 集中度的把握 (65)10.4.3. 紧急情况的处理 (66)10.4.4. 分级管理 (66)10.5. 4A产品选择需要考虑的问题 (67)11. 4A平台技术要求 (69)11.1. 涉密要求 (69)11.2. 可扩展性 (69)11.3. 开放性 (69)11.4. 安全(容灾)性 (69)11.5. 用户的自我管理 (70)11.6. 支持WEB方式 (70)12. 编制历史 (71)附录 (72)1. 中国移动安全目录规范 (73)1.1. 结构规划 (74)1.1.1. 目录内容规划 (74)1.1.2. 目录逻辑结构规划 (75)1.1.3. 目录物理结构规划 (82)1.2. 功能要求 (83)1.3. 编程接口 (85)2. 应用系统实现账号口令集中管理的相关标准 (90)2.1. 原有应用系统纳入4A框架管理的模式 (92)2.1.1.1. 实现方法 (92)2.1.1.2. 实施流程 (96)2.1.1.3. 注意事项 (98)2.1.1.4. 方案优点 (100)2.1.1.5. 方案缺点 (100)2.1.1.6. 4A框架对应用的管理 (100)2.1.2. 模式二:改造应用系统 (101)2.1.2.1. 背景和目的 (101)2.1.2.2. 参考资料 (101)2.1.2.3. 用户管理、认证、授权及审计流程 (102)2.1.2.4. 应用接口(API)-账号管理 (104)2.1.2.5. 应用接口(API)-认证及授权 (106)2.1.2.6. 接口应用 (108)2.2. 新应用系统开发 (111)2.3. 应用系统与企业安全目录 (112)3. 基于短消息的动态口令系统 (113)3.1. 动态口令技术 (113)3.2. 短消息业务概述 (113)3.3. 基于短信业务的主机动态口令登录 (114)3.3.1. 网络结构 (114)3.3.2. 登录口令获得流程 (115)3.3.3. 基于短信的动态口令系统的优点 (115)3.3.4. 基于呼叫中心的动态口令获取 (116)3.3.5. 小结 (116)4. 内部网的远程访问 (117)4.1. 远程拨号访问 (117)4.2. 通过虚拟专网(VPN)方式接入 (118)4.3. 通过专用软件方式接入 (118)前言本规范规定了中国移动通信有限公司各支撑系统内部用户账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)的统一框架(简称4A框架)的系统结构、关键技术实现方法、实施步骤及注意事项,附录部分阐述了4A框架下各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式,以及将应用系统纳入4A框架集中管理的具体方案。

本技术要求可作为选用4A产品、进行产品开发与测试、应用开发与改造的技术依据。

本要求由中国移动通信有限公司网络部提出并归口管理。

本要求起草单位:中国移动通信有限公司网络部、信息化办公室、计费中心本要求主要起草人:周智、刘楠、陈敏时、陈欣、徐海东、魏丽红本要求解释单位:中国移动通信有限公司网络部。

1.目的和适用范围本文在对中国移动各支撑系统的主机、网络设备和应用系统自身的账号管理、认证、授权、审计现状分析的基础上,制定4A框架技术要求,其目的是:1.阐述4A基本技术,规定4A框架下各部分的基本需求,为4A框架下的产品采购提供依据。

2.规定4A框架下各部分的连接界面,为4A框架下的产品开发提供依据。

3.规定将应用系统纳入4A框架的方案,便于在现有基础上实施4A框架。

4.提出4A框架实施的具体建议。

通过实施4A框架,可以达到以下目的:1.实现集中化的账号管理。

管理员在一点上即可对不同系统中的账号进行管理,由系统自动同步不同系统下的账号;账号创建、分配过程均留下电子记录,便于审计。

2.实现集中化的身份认证。

管理员不仅可以根据需要选择不同的身份认证方式,而且在不更改或只对应用进行有限更改的情况下,即可在原来只有弱身份认证手段的应用上,增加强身份认证手段,提高系统安全性。

3.实现集中访问授权。

对企业资产进行有效保护,防止私自授权或权限未及时收回对企业信息资产造成的安全损害;对应用实现基于角色的授权管理,在人员离职、岗位变动时,只需要在一处进行更改,即可在所有纳入4A框架的应用中改变权限;可以为授权增加特定的限制,如只有在规定的时间段、来自特定地域的人员才能访问指定的资源。

4.实现集中安全审计管理。

不仅能够对人员的登录过程、登录后进行的操作进行审计,而且能够将多个主机、设备、应用日志进行对比分析,从中发现问题。

5.实现单点登录,方便管理员和普通用户登录不同的系统。

本要求的适用范围:1.本文档制定的4A框架技术要求,既适用于中国移动某个独立的支撑系统,也适用于中国移动中的多个支撑系统,即可以对多个支撑系统中的主机、网络和应用层面的用户账号进行集中统一管理。

初期实施时可以先针对一个或几个系统,待取得实施经验后再针对更多的系统。

2.4A是一个复杂的过程,涉及众多的系统、产品和技术,本要求规定了一个实施框架,在此框架外,还需要其它辅助系统的支持。

2.引用标准a)GB/T 9387.2-1995 (ISO 7498-2:1989)信息处理系统开放系统互连基本参考模型第2部分:安全体系结构b)ISO 10181-1:1996信息安全框架1 信息技术开放系统互连开放系统安全框架第1部分:概述c)ISO 10181-2:1996信息安全框架2 信息技术开放系统互连开放系统安全框架第2部分:鉴别框架d)ISO 10181-3:1996信息安全框架3 信息技术开放系统互连开放系统安全框架第3部分:访问控制框架e)ISO 10181-4:1997信息安全框架4 信息技术开放系统互连开放系统安全框架第4部分:抗抵赖框架f)ISO 10181-7:1996信息安全框架7 信息技术开放系统互连开放系统安全框架第7部分:安全跟踪和告警框架g)RFC 1825信息安全框架8 Internet协议安全架构h)RFC 2865 Remote Authentication Dial In User Service (RADIUS),RFC2866 RADIUS Accountingi)RFC 2251 Lightweight Directory Access Protocol (v3)j)ISO/IEC FDIS 9594-8 Information technology -- Open Systems Interconnection -- The Directory: Public-key and attribute certificateframeworksk)RFC 2510 - Internet X.509 Public Key Infrastructure CertificateManagement Protocolsl)RFC 3280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile3.相关术语与缩略语解释4.综述4.1.账号口令管理现状与面临的困难随着中国移动通信有限公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,原有的账号口令管理措施已不能满足中国移动目前及未来业务发展的要求。

相关文档
最新文档