中国移动4A系统介绍

中国移动通信企业标准QB-W-016-20XX中国移动业务支撑网4A安全技术规范版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布目录1概述 (7)1.1范围 (7)1.2规范性引用文件 (7)1.3术语、定义和缩略语 (7)2综述 (8)2.1背景和现状分析 (8)2.24A平台建设目标 (9)2.34A平台管理范围 (10)34A管理平台总体框架 (11)44A管理平台功能要求 (14)4.1帐号管理 (14)4.1.1帐号管理的范围 (14)4.1.2帐号管理的内容 (14)4.1.3主帐号管理 (14)4.1.4从帐号管理 (15)4.1.5密码策略管理 (15)4.2认证管理 (15)4.2.1认证管理的范围 (16)4.2.2认证管理的内容 (16)4.2.3认证服务的管理 (16)4.2.4认证枢纽的管理 (16)4.2.5SSO的管理 (17)4.2.6认证手段 (17)4.2.7提供多种手段的组合使用 (17)4.3授权管理 (17)4.3.1授权管理的范围 (17)4.3.2授权管理的内容 (18)4.3.3资源管理 (18)4.3.4角色管理 (18)4.3.5资源授权 (19)4.4审计管理 (20)4.4.1审计管理范围 (20)4.4.2审计信息收集与标准化 (21)4.4.3审计分析 (21)4.4.4审计预警 (22)4.54A管理平台的自管理 (23)4.5.1管理员管理 (23)4.5.2权限管理 (23)4.5.3组件管理 (23)4.5.4运行管理 (23)4.64A管理平台接口管理 (24)4.6.1帐号管理接口 (24)4.6.2认证接口 (24)4.6.3审计接口 (24)4.6.4外部管理接口 (25)54A管理平台技术要求 (25)5.1总体技术框架 (25)5.2P ORTAL层技术要求 (27)5.3应用层技术要求 (27)5.3.1前台应用层技术要求 (27)5.3.2核心数据库技术要求 (28)5.3.3后台服务层技术要求 (30)5.3.4单点登录技术要求 (32)5.3.5安全审计技术要求 (33)5.4接口层技术要求 (35)5.5非功能性技术要求 (35)5.5.1业务连续性要求 (35)5.5.2开放性和可扩展性要求 (38)5.5.3性能要求 (38)5.5.4安全性要求 (38)64A管理平台接口规范 (40)6.1应用接口技术规范 (40)6.1.1总体描述 (40)6.1.2登录类接口（①） (41)6.1.3认证类接口 (42)6.1.4帐号/角色接口（④） (43)6.1.5审计类接口 (48)6.2系统接口技术规范 (51)6.2.1总体描述 (51)6.2.2登录类接口（①） (52)6.2.3认证类接口 (53)6.2.4帐号接口（⑤） (55)6.2.5审计类接口 (59)6.3外部管理接口技术规范 (61)7BOSS系统3.0的改造要求 (62)7.1BOSS应用安全建设目标 (62)7.2BOSS系统配合4A改造要求 (62)7.2.1总体改造总体要求 (62)7.2.2帐号管理要求 (64)7.2.3授权管理要求 (66)7.2.4认证管理要求 (67)7.3BOSS应用的安全要求 (70)7.3.1BOSS应用帐号管理 (71)7.3.2BOSS应用授权管理 (73)7.3.3BOSS应用认证管理 (75)7.3.4BOSS应用审计要求 (76)7.3.5BOSS数据安全要求 (77)8经营分析系统2.0改造要求 (79)8.1经营分析系统应用安全建设目标 (79)8.2经营分析系统配合4A改造要求 (79)8.2.1总体改造要求 (79)8.2.2帐号管理改造要求 (81)8.2.3授权管理改造要求 (83)8.2.4认证管理改造要求 (84)8.2.5审计管理改造要求 (86)8.3经营分析系统应用安全要求 (87)8.3.1经营分析系统用户管理 (88)8.3.2经营分析系统权限管理 (92)8.3.3经营分析系统认证管理 (93)8.3.4经营分析系统日志记录 (95)8.3.5经营分析系统数据安全要求 (95)8.3.6系统平台安全要求 (97)9运营管理系统2.0改造要求 (99)9.1运营管理系统应用安全建设目标 (99)9.2运营管理系统配合4A改造要求 (99)9.2.1总体改造要求 (99)9.2.2帐号管理改造要求 (101)9.2.3授权管理改造要求 (103)9.2.4认证管理改造要求 (104)9.2.5审计管理改造要求 (106)9.3运营管理系统应用安全要求 (107)9.3.1运营管理系统用户管理 (108)9.3.2运营管理系统权限管理 (111)9.3.3运营管理系统认证管理 (112)9.3.4运营管理系统日志记录 (113)9.3.5运营管理系统数据安全要求 (114)104A平台建设指导意见 (116)10.1总体指导原则 (116)10.24A平台建设步骤 (116)10.2.1前期调研和准备阶段 (116)10.2.2平台建设和实施阶段 (117)10.2.3后期管理和维护阶段 (118)10.3.1应急方案流程梳理 (119)10.3.2应用功能改造实现 (119)11编制历史 (120)附录A 4A管理平台管理流程 (121)（1）用户入职流程 (122)（2）用户变更管理流程 (123)（3）离职管理流程 (124)（4）新项目纳入管理流程 (125)附录B 业务支撑系统敏感数据 (125)（1）BOSS系统中的敏感数据 (125)（2）经营分析系统中的敏感数据 (126)（3）需要关注的操作日志 (127)图形目录图3-1 业务支撑网4A管理平台总体框架图 (12)图4-1 4A平台与应用系统的帐号、角色和权限关系图 (19)图5-1 业务支撑网4A管理平台的总体技术框架 (26)图6-1 4A平台与应用资源的接口框架图 (40)图6-2 业务支撑应用的帐号/角色接口图 (44)图6-3 4A平台与系统资源的接口框架图 (52)图6-4 4A平台与系统资源的接口框架图 (55)图7-1 BOSS配合4A的改造总体示意图 (63)图7-2 BOSS配合4A的帐号管理改造图 (65)图7-3 BOSS配合4A的授权管理改造图 (67)图7-4 BOSS配合4A的认证管理改造图 (68)图7-5 BOSS配合4A的审计管理改造图 (70)图7-6 BOSS应用安全体系逻辑图 (71)图7-7 BOSS应用授权管理结构图 (75)图8-1 经营分析系统配合4A的改造总体示意图 (80)图8-2 经营分析系统配合4A的帐号管理改造图 (82)图8-3 经营分析系统配合4A的授权管理改造图 (84)图8-4 经营分析系统配合4A的认证管理改造图 (85)图8-5 经营分析系统配合4A的审计管理改造图 (87)图8-6 经营分析应用安全体系逻辑图 (88)图8-7 经营分析应用授权管理结构图 (93)图8-8 通过经营分析门户认证流程图 (94)图9-1 运营管理系统配合4A的改造总体示意图 (100)图9-2 运营管理系统配合4A的帐号管理改造图 (102)图9-3 运营管理系统配合4A的授权管理改造图 (104)图9-4 运营管理系统配合4A的认证管理改造图 (105)图9-5 运营管理系统配合4A的授权号管理改造图 (107)图9-6 运营管理应用安全体系逻辑图 (108)图9-7 运营管理应用授权管理结构图 (112)图9-8 运营管理应用门户认证流程图 (113)前言本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)的安全系统（简称4A管理平台或4A平台）的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。

4a系统定级标准在广告行业中，客户对广告公司的要求越来越高，评估广告公司的能力和实力也成为了一项重要任务。

为了更准确和客观地评估广告公司的综合实力，在业界广泛采用了4A系统定级标准。

本文将介绍4A系统定级标准的相关内容，以便更好地了解和运用。

一、4A系统定级标准概述4A系统定级标准是广告行业的一种综合评价体系，由国际广告协会（4A）制定并推广使用。

该体系以A、B、C、D四个等级来界定广告公司的能力和实力，A级代表综合实力最强，D级则意味着综合实力较弱。

通过对广告公司的组织机构、财务状况、人员素质和创意能力等方面的评估，可以准确判断广告公司的级别。

二、评估指标1. 组织机构：评估广告公司的组织结构是否合理和稳定，包括领导层、部门设置及职责分工等。

同时，还要考察公司的规模和发展潜力，以及公司内部的协作机制和沟通效率。

2. 财务状况：评估广告公司的财务状况是否健康和稳定，包括公司的资金流动性、盈利能力和偿债能力等。

财务数据应该真实可信，符合相关财务法规和规范。

3. 人员素质：评估广告公司的员工素质和专业能力，包括员工的学历背景、从业经验和专业认证等方面。

关注广告公司是否注重人才培养和团队建设，以及员工是否具备创意思维和创新能力。

4. 创意能力：评估广告公司的创意水平和创新能力，包括广告作品的创意性、艺术性和表现力等。

关注广告公司是否有较高水平的创意团队和先进的创意工具，以及广告作品是否能够精准传递客户的需求和价值。

三、评估流程1. 数据收集：广告公司根据4A系统定级标准的要求，提供相关材料和数据，包括组织机构图、财务报表、员工档案和创意作品集等。

2. 审核评估：由业内专家和评委对广告公司的材料和数据进行审核和评估，结合现场考察和面谈等方式，全面了解广告公司的运作情况和能力状况。

3. 级别划分：评估结果根据4A系统定级标准进行划分，确定广告公司的级别。

评估结果具有客观性和公正性，可为客户选择合适的广告公司提供参考依据。

移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的安全建设，参照的依据是移动集团关于4A建设的规范，而规范中很少提出具体的实现方案和相应的设备。

所谓的4A就是集中统一的账号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)，缺一不可。

在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法，仅供参考。

4A之账号管理移动集团的4A规范中提出主账号和从账号的概念，主账号即自然人使用的账号，目前主要是网络准入控制系统的账号。

从账号即资源设备自身账号，主要是指自然人登录设备或应用系统时使用的账号。

为此在4A平台中需要建立两个管理模块：主账号管理模块、从账号管理模块。

4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。

而主账号和从账号之间需要通过资源设备进行关联。

授权的目的就是使授权自然人可以登录那些设备，在相应的设备上使用从账号。

因此形成“主账号－从账号－设备”三位一体的对应关系。

目前移动系统中使用的账号情况极为复杂，因此提出“以人为本”的关系梳理。

该梳理就是要搞清“谁—能访问什么设备—使用哪个（些）系统账号”的关系，同时为认证和授权提供相应的关联列表。

4A之认证管理前面进行了授权管理，接下来要对账号的合法性进行相应的认证。

4A的认证合法性应该主要完成三项内容：主账号是否合法、从账号是否合法、授权是否合法。

见图1认证及授权模块的框图。

图1认证及授权模块的的框图认证及授权过程●在前期的安全建设中，已经在网络中做了安全域划分及网络安全准入系统的建设。

用户进入网络访问业务系统时，网络准入系统需对自然人身份的合法性进行认证，主账号认证信息打包转发给4A平台，4A平台对主账号的合法性进行判断，合法则让网络准入控制设备放开控制策略。

●主账号认证通过后，4A平台记录自然人、主账号、终端IP的对应关系，实现网络实名制记录。

中国移动4G介绍中国移动4G网络，是中国移动通信集团公司提供的第四代移动通信技术，提供更高速的无线通信服务。

本文将详细介绍中国移动4G网络的特点、优势以及对用户生活的影响。

一、4G网络的概述中国移动4G网络是基于第四代移动通信技术的无线网络系统，它的前身是3G网络。

4G网络具备更高的数据传输速度、更低的延迟以及更高的信号覆盖范围，能够实现更快速、更稳定的无线通信体验。

二、4G网络的特点1. 更高的速度：中国移动4G网络具有更高的速度，可以提供更快的网页加载、视频传输、文件下载等服务。

用户可以更快速地获取信息和进行数据传输，提高工作效率和生活品质。

2. 更低的延迟：4G网络的延迟更低，用户可以更快地与互联网进行互动，无论是在线游戏、远程控制还是视频通话，都能够实现更顺畅的体验。

3. 更广的覆盖范围：中国移动4G网络的信号覆盖范围更广，可以提供更稳定的信号，无论是在城市还是乡村，用户都能够享受到更好的通信服务。

4. 多样化的应用：4G网络不仅可以满足传统手机通信需求，还可以连接各种智能设备，如智能手表、智能家居设备等。

用户可以通过4G网络实现更多样化的应用，方便自己的生活和工作。

三、4G网络对用户生活的影响1. 提升工作效率：通过使用4G网络，用户可以更快速地浏览和处理电子邮件、传输大文件，提高工作效率。

同时，4G网络的低延迟特性也有助于远程协作和视频会议，加强了商务交流的便利性。

2. 丰富娱乐体验：4G网络的高速和稳定性为用户提供了更好的娱乐体验。

用户可以流畅地观看高清视频、在线游戏，并随时获取各种音乐、电影等娱乐资源。

3. 拓展社交圈子：借助4G网络，用户可以随时随地与朋友、家人保持联系。

无论是通过社交媒体还是即时通讯工具，4G网络都能够提供更稳定、更快捷的连接，加强人与人之间的交流。

4. 推动物联网发展：4G网络的普及也促进了物联网的发展。

用户可以通过4G网络连接智能家居设备、智能穿戴设备等，实现智能化的生活方式。

通信运营商运维4A管控策略浅析作者：杨卫红张薇来源：《中国新通信》2017年第02期【摘要】随着通信和互联网技术的快速发展，网络运维管理的规范化和安全性要求越来越高。

本文结合运营商网络运维管理的现状，对运维的4A管控策略进行探讨分析，提出安全管控系统部署的建议。

【关键字】网络安全管控平台一、网络及信息安全管控需求运营商虽然安全设备众多，但缺少集中管理体系及统筹全网的安全管控手段；针对安全威胁存在安全事件监控不足、排查困难等问题。

工信部考核要求（工信部保函[2015]5号“2015年网络与信息安全”考核要点与评分标准），明确要求将集中账号管理、认证、授权、审计（4A）平台立项纳入2015年基础电信运营商，网络与信息安全责任考核。

二、4A管控策略分析1、账号管理。

帐号管理包括主帐号和从帐号，以及和帐号相关的可在4A系统中集中管理的帐号属性。

主帐号是4A系统中标识唯一自然人的ID，其范围包括内部员工帐号及外部工作人员帐号。

从帐号是可获得对资源访问权的帐号。

资源包括系统资源（主机、网络设备、数据库、安全设备、其他）和应用资源两大类。

通过4A系统创建或导入主账号，制定并维护主从账号的对应关系，制定主从账号的密码策略、对资源的访问登录控制策略、以及主从账号生命周期的管理策略等。

2、认证管理。

认证包括主帐号身份认证，即用户登录4A集中管理系统的认证；以及从帐号认证，即用户访问被管资源时的认证。

用户在访问被管理资源之前首先需要通过主帐号认证，然后根据主帐号的授权关系，获得访问被管资源的相应权限。

用户访问被管资源时，由4A集中管理系统的单点登录模块协助其完成从帐号的认证。

通过4A集中管理系统的统一认证服务器提供统一的认证方式和认证策略，来识别用户身份的合法性。

认证采用模块化设计，支持静态密码认证、强认证及动态认证、静态动态组合认证、以及二次认证等灵活的认证方式。

3、授权管理。

对用户在被管资源中能够行使的权限进行分配。

中国移动业务支撑网4A安全技术规范中国移动通信企业标准QB-W-016-2007中国移动业务支撑网4A安全技术规范版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布目录1概述 (8)1.1范围 (8)1.2规范性引用文件 (8)1.3术语、定义和缩略语 (9)2综述 (11)2.1背景和现状分析 (11)2.24A平台建设目标 (14)2.34A平台管理范围 (16)34A管理平台总体框架 (17)44A管理平台功能要求 (21)4.1帐号管理 (21)4.1.1帐号管理的范围 (21)4.1.2帐号管理的内容 (22)4.1.3主帐号管理 (23)4.1.4从帐号管理 (24)4.1.5密码策略管理 (24)4.2认证管理 (25)4.2.1认证管理的范围 (25)4.2.2认证管理的内容 (26)4.2.3认证服务的管理 (26)4.2.4认证枢纽的管理 (26)4.2.5SSO的管理 (27)4.2.6认证手段 (27)4.2.7提供多种手段的组合使用 (28)4.3授权管理 (28)4.3.1授权管理的范围 (28)4.3.2授权管理的内容 (29)4.3.3资源管理 (30)4.3.4角色管理 (30)4.3.5资源授权 (31)4.4审计管理 (33)4.4.1审计管理范围 (33)4.4.2审计信息收集与标准化 (34)4.4.3审计分析 (35)4.4.4审计预警 (37)4.54A管理平台的自管理 (38)4.5.3组件管理 (39)4.5.4运行管理 (39)4.5.5备份管理 (39)4.64A管理平台接口管理 (40)4.6.1帐号管理接口 (40)4.6.2认证接口 (40)4.6.3审计接口 (41)4.6.4外部管理接口 (41)54A管理平台技术要求 (42)5.1总体技术框架 (42)5.2P ORTAL层技术要求 (44)5.3应用层技术要求 (44)5.3.1前台应用层技术要求 (45)5.3.2核心数据库技术要求 (46)5.3.3后台服务层技术要求 (51)5.3.4单点登录技术要求 (55)5.3.5安全审计技术要求 (57)5.4接口层技术要求 (62)5.5非功能性技术要求 (63)5.5.1业务连续性要求 (63)5.5.2开放性和可扩展性要求 (67)5.5.3性能要求 (69)5.5.4安全性要求 (69)64A管理平台接口规范 (71)6.1应用接口技术规范 (71)6.1.1总体描述 (71)6.1.2登录类接口（①） (73)6.1.3认证类接口 (75)6.1.4帐号/角色接口（④） (78)6.1.5审计类接口 (88)6.2系统接口技术规范 (93)6.2.1总体描述 (93)6.2.2登录类接口（①） (95)6.2.3认证类接口 (96)6.2.4帐号接口（⑤） (100)6.2.5审计类接口 (107)6.3外部管理接口技术规范 (111)7BOSS系统3.0的改造要求 (113)7.2.1总体改造总体要求 (114)7.2.2帐号管理要求 (117)7.2.3授权管理要求 (120)7.2.4认证管理要求 (123)7.2.5审计管理要求 (126)7.3BOSS应用的安全要求 (128)7.3.1BOSS应用帐号管理 (129)7.3.2BOSS应用授权管理 (135)7.3.3BOSS应用认证管理 (138)7.3.4BOSS应用审计要求 (139)7.3.5BOSS数据安全要求 (141)8经营分析系统2.0改造要求 (144)8.1经营分析系统应用安全建设目标 (144)8.2经营分析系统配合4A改造要求 (145)8.2.1总体改造要求 (145)8.2.2帐号管理改造要求 (148)8.2.3授权管理改造要求 (151)8.2.4认证管理改造要求 (154)8.2.5审计管理改造要求 (156)8.3经营分析系统应用安全要求 (159)8.3.1经营分析系统用户管理 (159)8.3.2经营分析系统权限管理 (169)8.3.3经营分析系统认证管理 (172)8.3.4经营分析系统日志记录 (175)8.3.5经营分析系统数据安全要求 (177)8.3.6系统平台安全要求 (179)9运营管理系统2.0改造要求 (183)9.1运营管理系统应用安全建设目标 (183)9.2运营管理系统配合4A改造要求 (184)9.2.1总体改造要求 (184)9.2.2帐号管理改造要求 (188)9.2.3授权管理改造要求 (191)9.2.4认证管理改造要求 (194)9.2.5审计管理改造要求 (196)9.3运营管理系统应用安全要求 (199)9.3.1运营管理系统用户管理 (200)9.3.2运营管理系统权限管理 (206)9.3.3运营管理系统认证管理 (209)9.3.4运营管理系统日志记录 (212)9.3.5运营管理系统数据安全要求 (214)104A平台建设指导意见 (217)10.1总体指导原则 (217)10.24A平台建设步骤 (218)10.2.1前期调研和准备阶段 (218)10.2.2平台建设和实施阶段 (220)10.2.3后期管理和维护阶段 (222)10.34A平台应急方案 (223)10.3.1应急方案流程梳理 (223)10.3.2应用功能改造实现 (224)11编制历史 (226)附录A 4A管理平台管理流程 (227)（1）用户入职流程 (229)（2）用户变更管理流程 (230)（3）离职管理流程 (231)（4）新项目纳入管理流程 (232)附录B 业务支撑系统敏感数据 (232)（1）BOSS系统中的敏感数据 (232)（2）经营分析系统中的敏感数据 (234)（3）需要关注的操作日志 (235)图形目录图3-1 业务支撑网4A管理平台总体框架图 (18)图4-1 4A平台与应用系统的帐号、角色和权限关系图 (32)图5-1 业务支撑网4A管理平台的总体技术框架 (42)图6-1 4A平台与应用资源的接口框架图 (72)图6-2 业务支撑应用的帐号/角色接口图 (79)图6-3 4A平台与系统资源的接口框架图 (94)图6-4 4A平台与系统资源的接口框架图 (101)图7-1 BOSS配合4A的改造总体示意图 (115)图7-2 BOSS配合4A的帐号管理改造图 (118)图7-3 BOSS配合4A的授权管理改造图 (122)图7-4 BOSS配合4A的认证管理改造图 (125)图7-5 BOSS配合4A的审计管理改造图 (127)图7-6 BOSS应用安全体系逻辑图 (129)图7-7 BOSS应用授权管理结构图 (137)图8-1 经营分析系统配合4A的改造总体示意图 (146)图8-2 经营分析系统配合4A的帐号管理改造图 (149)图8-3 经营分析系统配合4A的授权管理改造图 (153)图8-4 经营分析系统配合4A的认证管理改造图 (155)图8-5 经营分析系统配合4A的审计管理改造图 (158)图8-6 经营分析应用安全体系逻辑图 (159)图8-7 经营分析应用授权管理结构图 (172)图8-8 通过经营分析门户认证流程图 (174)图9-1 运营管理系统配合4A的改造总体示意图 (186)图9-2 运营管理系统配合4A的帐号管理改造图 (189)图9-3 运营管理系统配合4A的授权管理改造图 (193)图9-4 运营管理系统配合4A的认证管理改造图 (195)图9-5 运营管理系统配合4A的授权号管理改造图 (198)图9-6 运营管理应用安全体系逻辑图 (199)图9-7 运营管理应用授权管理结构图 (209)图9-8 运营管理应用门户认证流程图 (211)前言本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)的安全系统（简称4A管理平台或4A平台）的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。

4A解决方案(认证)标题：4A解决方案(认证)引言概述：4A解决方案是一种综合性的认证方案，旨在提高企业信息系统的安全性和管理效率。

通过集中管理用户身份认证、授权、审计和密码管理等功能，可以有效防范内部和外部威胁，确保信息系统的安全和稳定运行。

本文将详细介绍4A解决方案的相关内容。

一、统一身份认证管理1.1 集中管理用户身份认证4A解决方案可以集中管理用户的身份认证信息，包括用户名、密码、权限等，实现统一认证。

用户只需通过一次登录，即可访问企业内的各个系统和应用，提高了用户体验和工作效率。

1.2 实现单点登录通过4A解决方案，用户可以实现单点登录，无需重复输入用户名和密码，避免了记忆多个账号的烦恼。

同时，单点登录还可以减少密码泄露的风险，提高了系统的安全性。

1.3 提供多因素认证除了传统的用户名和密码认证外，4A解决方案还支持多因素认证，如短信验证码、指纹识别等，提高了认证的安全性和准确性，有效防止身份伪造和盗号风险。

二、精细化权限管理2.1 针对用户和角色进行权限管理4A解决方案可以根据用户的身份和角色，对其进行精细化的权限管理。

管理员可以根据实际情况，为用户设置不同的权限和访问控制策略，确保信息系统的安全和合规性。

2.2 实现动态权限调整通过4A解决方案，管理员可以实时监控用户的操作行为和权限使用情况，及时调整用户的权限。

当用户的职责发生变化或者存在异常操作时，管理员可以及时做出相应的权限调整，确保信息系统的安全和稳定运行。

2.3 提供审计功能4A解决方案还提供审计功能，记录用户的登录信息、操作记录等，匡助管理员及时发现潜在的安全风险和异常行为。

审计功能可以匡助企业建立健全的安全管理制度，提高信息系统的安全性和合规性。

三、密码管理和安全策略3.1 强化密码安全性4A解决方案可以匡助企业强化密码的安全性，包括密码长度、复杂度、有效期等方面的设置。

同时，还支持密码策略的自定义，根据企业的实际需求，设置不同的密码策略，提高了密码的安全性和可靠性。

所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit)，缺一不可。

目前各个移动公司正在如火如荼地开展着4A项目的安全建设，参照的依据是移动集团关于4A建设的规范，而规范中很少提出具体的实现方案和相应的设备。

所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit)，缺一不可。

在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法，仅供参考。

4A之账号管理移动集团的4A规范中提出主账号和从账号的概念，主账号即自然人使用的账号，目前主要是网络准入控制系统的账号。

从账号即资源设备自身账号，主要是指自然人登录设备或应用系统时使用的账号。

为此在4A平台中需要建立两个管理模块：主账号管理模块、从账号管理模块。

4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。

而主账号和从账号之间需要通过资源设备进行关联。

授权的目的就是使授权自然人可以登录那些设备，在相应的设备上使用从账号。

因此形成“主账号-从账号-设备”三位一体的对应关系。

目前移动系统中使用的账号情况极为复杂，因此提出“以人为本”的关系梳理。

该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系，同时为认证和授权提供相应的关联列表。

4A之认证管理前面进行了授权管理，接下来要对账号的合法性进行相应的认证。

4A的认证合法性应该主要完成三项内容：主账号是否合法、从账号是否合法、授权是否合法。

见图1认证及授权模块的框图。

图1 认证及授权模块的的框图认证及授权过程●在前期的安全建设中，已经在网络中做了安全域划分及网络安全准入系统的建设。

用户进入网络访问业务系统时，网络准入系统需对自然人身份的合法性进行认证，主账号认证信息打包转发给4A平台，4A平台对主账号的合法性进行判断，合法则让网络准入控制设备放开控制策略。

4A安全管控平台业务系统管理员使用手册V1.01神州泰岳软件股份有限公司UltraPower Software Co.,Ltd.目录1.1适用范围 (1)1.2读者对象 (1)1.3名词术语 (1)2使用说明 (3)2.1业务管理员主要工作 (3)2.2对资源访问进行授权 (3)2.2.1为单个用户授予访问资源的操作权限 (4)2.2.2为多个用户授权相同的资源操作权限 (8)2.3维护资源管控信息 (11)2.3.1维护资源组 (11)2.3.2维护资源 (12)2.3.3维护资源从帐号 (12)2.3.4从帐号同步任务 (13)2.3.5从帐号密码同步任务 (15)2.3.6从帐号密码检查任务 (16)2.3.7拨测任务 (18)2.4配置安全策略 (19)2.4.1维护从帐号访问控制策略 (20)2.4.2维护字符网关命令分组 (21)2.4.3维护字符网关访问控制策略 (22)2.4.4维护从帐号密码策略 (24)3编制历史 (26)1.1适用范围本文详细描述了如何通过4A安全管控平台门户进行资源授权和访问授权，并介绍了相关维护操作，适用于使用4A安全管控平台的中国移动广东公司管理用户。

1.2读者对象本文档的读者对象是4A安全管控平台的管理用户或者指导最终用户使用本系统的相关人员。

我们假定最终用户已经掌握如下知识：⏹Windows95/98/Me/NT/2000/XP等操作系统的使用；⏹常用浏览器工具Microsoft Internet Explorer的操作使用；1.3名词术语为了更便捷、高效地使用本系统，请查阅以下名词术语解释。

术语解释4A系统即广东移动4A安全管控平台的缩写。

对设备和应用的帐号、登录、授权和审计进行集中管控的IT系统。

自然人使用4A系统的人员，包括移动员工和厂商代维人员内部用户即移动员工，是属于企业内部员工，且可以使用企业应用资源的人外部用户主要指厂商代维人员，不属于企业内部员工，但使用企业内应用资源资源4A系统管控的对象，包括系统资源和应用资源两类，有时统称为设备和应用系统。