【正文】 Authorization)管理、認(rèn)證（Authentication）管理和安全審計(jì)(Audit)的安全系統(tǒng)（簡稱4A管理平臺(tái)或4A平臺(tái)）的總體目標(biāo)、平臺(tái)框架、功能要求、關(guān)鍵技術(shù)實(shí)現(xiàn)方法、接口標(biāo)準(zhǔn)、實(shí)施指導(dǎo)建議及注意事項(xiàng)。結(jié)合中國移動(dòng)省級業(yè)務(wù)支撐系統(tǒng)的整體規(guī)劃，、安全建設(shè)要求和配套改造要求。本標(biāo)準(zhǔn)的附錄A、附錄B為資料性附錄。本標(biāo)準(zhǔn)由中移 號文件印發(fā)。本規(guī)范由中國移動(dòng)通信有限公司業(yè)務(wù)支撐系統(tǒng)部提出并歸口。本規(guī)范由規(guī)范歸口部門負(fù)責(zé)解釋。本標(biāo)準(zhǔn)起草單位：中國移動(dòng)通信集團(tuán)公司業(yè)務(wù)支撐系統(tǒng)部。本標(biāo)準(zhǔn)主要起草人：田峰。7 / 1321 概 述 范 圍本文對中國移動(dòng)業(yè)務(wù)支撐網(wǎng)的 BOSS 系統(tǒng)、經(jīng)營分析系統(tǒng)、運(yùn)營管理系統(tǒng)的集中帳號、統(tǒng)一授權(quán)、身份認(rèn)證和安全審計(jì)的 4A 系統(tǒng)建設(shè)進(jìn)行了規(guī)范，供中國移動(dòng)內(nèi)部和廠商共同使用；適用于各省移動(dòng)通信有限責(zé)任公司業(yè)務(wù)支撐系統(tǒng)的 4A 管理平臺(tái)建設(shè)和配合 4A 平臺(tái)進(jìn)行業(yè)務(wù)支撐系統(tǒng)的改造。在業(yè)務(wù)支撐系統(tǒng)發(fā)生重大變更情況下，由有限公司業(yè)務(wù)支撐系統(tǒng)部對本規(guī)范進(jìn)行修訂。 規(guī) 范 性 引 用 文 件下列文件中的條款通過本規(guī)范的引用而成為本規(guī)范的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本規(guī)范，然而，鼓勵(lì)根據(jù)本規(guī)范達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本規(guī)范。[1] 《中國移動(dòng)業(yè)務(wù)運(yùn)營支撐系統(tǒng)（BOSS）規(guī)范（）》中國移動(dòng)通信有限公司[2] 《中國移動(dòng)經(jīng)營分析系統(tǒng)技術(shù)規(guī)范（）》中國移動(dòng)通信有限公司[3] 《中國移動(dòng)支撐系統(tǒng)集中帳號管理、認(rèn)證、授權(quán)與審計(jì)（4A）技術(shù)要求》中國移動(dòng)通信有限公司 術(shù) 語 、 定 義 和 縮 略 語下列術(shù)語和定義適用于本規(guī)范：術(shù)語 解釋4A Account，Authentication，Authorization ，Audit：帳號管理，授權(quán)管理，認(rèn)證管理，審計(jì)管理。自然人 使用業(yè)務(wù)支撐網(wǎng)中資源的物理存在的人。8 / 132資源 自然人要訪問的業(yè)務(wù)支撐系統(tǒng)中實(shí)體，包括應(yīng)用資源和系統(tǒng)資源。應(yīng)用 業(yè)務(wù)支撐系統(tǒng)中的一種資源類型，包括 BOSS 系統(tǒng)、經(jīng)營分析系統(tǒng)、BOSS 網(wǎng)管系統(tǒng)（運(yùn)營管理系統(tǒng)）等。系統(tǒng) 業(yè)務(wù)支撐系統(tǒng)中的一種資源類型，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等。主帳號 自然人在 4A 中的唯一身份標(biāo)識。從帳號 資源中的帳號。帳號組 由主帳號或從帳號構(gòu)成的集合。權(quán)限 資源訪問能力的標(biāo)識。角色 資源中若干訪問權(quán)限的集合。角色組 角色構(gòu)成的集合。日志 資源對行為的記錄。審計(jì) 日志分析的過程。LDAP Lightweight Directory Access Protocol 輕量目錄訪問協(xié)議。MAC Message Authentication Code 消息驗(yàn)證碼。RDB Rational Database 關(guān)系數(shù)據(jù)庫。SSL Secure Sockets Layer 加密套接字層。SSO Single Signon 單點(diǎn)登錄。2 綜 述 背 景 和 現(xiàn) 狀 分 析 隨著中國移動(dòng)業(yè)務(wù)支撐系統(tǒng)的迅速發(fā)展，各種支撐應(yīng)用和用戶數(shù)量的不斷增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，信息安全問題愈見突出，對系統(tǒng)之間的整合提出了更高的要求。系統(tǒng)整合的一個(gè)重要基礎(chǔ)是帳號數(shù)據(jù)的統(tǒng)一、授權(quán)的集中、單點(diǎn)登錄認(rèn)證、安全審計(jì)。原有的帳號、權(quán)限、認(rèn)證、審計(jì)方面的安全措施已不能滿足中國移動(dòng)目前及未來業(yè)務(wù)支撐系統(tǒng)發(fā)展的要求。主要問題表現(xiàn)在以下方面：獨(dú)立的用戶數(shù)據(jù)庫和獨(dú)立的系統(tǒng)管理員：中國移動(dòng)的業(yè)務(wù)支撐系統(tǒng)中有 BOSS 系統(tǒng)、經(jīng)營分析系統(tǒng)和運(yùn)營管理系統(tǒng)，以及對應(yīng)的大量子系統(tǒng)，大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和數(shù)9 / 132據(jù)庫和安全設(shè)備。目前，大部分省分的各個(gè)業(yè)務(wù)支撐系統(tǒng)都有各自一套獨(dú)立的帳號、認(rèn)證、授權(quán)和審計(jì)機(jī)制，并且由相應(yīng)的系統(tǒng)管理員負(fù)責(zé)維護(hù)和管理。當(dāng)維護(hù)人員同時(shí)對多個(gè)業(yè)務(wù)支撐系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度會(huì)成倍增加。獨(dú)立的業(yè)務(wù)支撐系統(tǒng)授權(quán)機(jī)制和獨(dú)立的業(yè)務(wù)系統(tǒng)授權(quán)管理：各業(yè)務(wù)支撐系統(tǒng)分別管理所屬的系統(tǒng)資源和應(yīng)用資源，并為本系統(tǒng)的用戶分配權(quán)限，缺乏集中統(tǒng)一的資源授權(quán)管理平臺(tái)，無法集中按照最小權(quán)限原則分配實(shí)體級的首頁登錄權(quán)限和實(shí)體內(nèi)細(xì)粒度權(quán)限。另外，隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重，系統(tǒng)的安全性無法得到充分保證。自然人身份和業(yè)務(wù)系統(tǒng)帳號重疊：現(xiàn)有的業(yè)務(wù)支撐系統(tǒng)中，用戶（自然人）的身份和業(yè)務(wù)支撐系統(tǒng)中的帳號是重疊的，人和業(yè)務(wù)系統(tǒng)間是短連接的方式， “人（自然人）＝業(yè)務(wù)系統(tǒng)帳號。這樣流程的扁平，帶來了身份的混亂，對于業(yè)務(wù)支撐系統(tǒng)，人的身份多重化，復(fù)雜化，帶來了大量的交叉關(guān)系。有些業(yè)務(wù)支撐系統(tǒng)的帳號多人共用，不僅在發(fā)生安全事故難于確定帳號的實(shí)際使用者，而且平時(shí)難于對帳號的擴(kuò)散范圍進(jìn)行控制。自然人對多系統(tǒng)的訪問頻繁切換都基于獨(dú)立的帳號管理實(shí)現(xiàn)：業(yè)務(wù)支撐系統(tǒng)的增多，使用戶經(jīng)常需要在各個(gè)系統(tǒng)之間切換，每次從一個(gè)系統(tǒng)切換到另一系統(tǒng)時(shí)，都需要輸入用戶名和密碼進(jìn)行登錄。給用戶的工作帶來不便，影響了工作效率。特別是針對后臺(tái)系統(tǒng)類的管理，更是缺乏必要的帳號統(tǒng)一管理和措施。用戶為便于記憶密碼會(huì)采用較簡單的密碼或?qū)⒍鄠€(gè)支撐系統(tǒng)的密碼設(shè)置成相同的，危害到系統(tǒng)的安全性。獨(dú)立的審計(jì)，缺乏關(guān)聯(lián)分析：由于各支撐系統(tǒng)獨(dú)立運(yùn)行、維護(hù)和管理，所以各系統(tǒng)的審計(jì)也是相互獨(dú)立的，不但各個(gè)系統(tǒng)單獨(dú)審計(jì)，即使同一系統(tǒng)中的每個(gè)網(wǎng)絡(luò)設(shè)備，每個(gè)主機(jī)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)及每個(gè)數(shù)據(jù)庫系統(tǒng)都要分別進(jìn)行審計(jì)，缺乏集中統(tǒng)一的系統(tǒng)訪問審計(jì)。無法對支撐系統(tǒng)進(jìn)行綜合日志分析，不能及時(shí)發(fā)現(xiàn)入侵行為進(jìn)行安全預(yù)警和數(shù)據(jù)責(zé)任追蹤?？傊S著業(yè)務(wù)支撐系統(tǒng)的發(fā)展及內(nèi)部用戶的增加，一方面系統(tǒng)維護(hù)和管理人員的工作負(fù)擔(dān)增加，工作效率無法提高；另一方面無法對各業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)統(tǒng)一的安全策略，從而在實(shí)質(zhì)上降低了業(yè)務(wù)系統(tǒng)的安全性。因此，迫切需要一個(gè)統(tǒng)一的基礎(chǔ)安全服務(wù)系統(tǒng)能為各應(yīng)用系統(tǒng)提供準(zhǔn)確組織人員數(shù)據(jù)，并可以高效、方便的進(jìn)行數(shù)據(jù)安全管理。4A 管理平臺(tái)的建設(shè)能夠保障用戶合法、安全、方便使用業(yè)務(wù)支撐系統(tǒng)的特定資源。既有效地保障了合法用戶的權(quán)益，又能有效地保障業(yè)務(wù)支撐系統(tǒng)安全可靠地運(yùn)行。10 / 132 4A 平 臺(tái) 建 設(shè) 目 標(biāo) 業(yè)務(wù)支撐網(wǎng) 4A 管理平臺(tái)的建設(shè)目的是將業(yè)務(wù)支撐系統(tǒng)中的帳號（Account）管理、認(rèn)證（Authentication）管理、授權(quán) (Authorization)管理和安全審計(jì)(Audit) 整合成集中、統(tǒng)一的安全服務(wù)系統(tǒng)，簡稱 4A 管理平臺(tái)或 4A 平臺(tái)。通過 4A 管理平臺(tái)提供統(tǒng)一的基礎(chǔ)安全服務(wù)技術(shù)架構(gòu)，使新的應(yīng)用可以很容易的集成到安全管理平臺(tái)中。通過該平臺(tái)對業(yè)務(wù)支撐系統(tǒng)各種 IT 資源（包括應(yīng)用和系統(tǒng)）進(jìn)行集中管理，為各個(gè)業(yè)務(wù)系統(tǒng)提供集中 4A 安全服務(wù)，提升業(yè)務(wù)支撐系統(tǒng)安全性和可管理能力。4A 管理平臺(tái)的主要目的如下：? 實(shí)現(xiàn)對 BOSS 系統(tǒng)、經(jīng)營分析系統(tǒng)、運(yùn)營管理系統(tǒng)以及操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各種 IT 資源的帳號、認(rèn)證、授權(quán)和審計(jì)的集中控制和管理。為業(yè)務(wù)支撐系統(tǒng)提供機(jī)制統(tǒng)一、多樣化的帳號、認(rèn)證、授權(quán)和審計(jì)安全服務(wù)，實(shí)現(xiàn)業(yè)務(wù)支撐系統(tǒng)管理模式和應(yīng)用模式平滑過渡以及與其他 4A 平臺(tái)之間的數(shù)據(jù)交互。? 實(shí)現(xiàn)集中化、基于角色的的主從帳號管理，實(shí)現(xiàn)實(shí)體級別的權(quán)限控制和管理。自然人與其擁有的主帳號關(guān)聯(lián)，統(tǒng)一規(guī)劃用戶身份信息和角色，對不同系統(tǒng)中的帳號進(jìn)行創(chuàng)建、分配、同步，最終建立業(yè)務(wù)支撐系統(tǒng)中自然人的單一視圖（主帳號管理） 、業(yè)務(wù)支撐系統(tǒng)資源的單一視圖（從帳號管理） 。? 實(shí)現(xiàn)業(yè)務(wù)支撐系統(tǒng)基于主帳號的集中強(qiáng)身份認(rèn)證和訪問入口。在不更改或只對應(yīng)用有限更改的情況下，在原來只有弱身份認(rèn)證手段的應(yīng)用上，通過 4A 管理平臺(tái)門戶或配合應(yīng)用門戶改造集成強(qiáng)身份認(rèn)證手段。實(shí)現(xiàn)強(qiáng)認(rèn)證手段和應(yīng)用的相對隔離和靈活使用。? 實(shí)現(xiàn)基于集中管控安全策略的訪問控制和授權(quán)管理、訪問鑒權(quán)。結(jié)合用戶使用業(yè)務(wù)支撐系統(tǒng)中資源的具體需求情況進(jìn)行合理權(quán)限分配和校驗(yàn)，實(shí)現(xiàn)不同用戶對不同部分實(shí)體資源的訪問。最終建立完善的資源對自然人的授權(quán)管理。? 實(shí)現(xiàn)集中安全審計(jì)管理，收集、記錄、管理用戶對業(yè)務(wù)支撐系統(tǒng)的高敏感度的數(shù)據(jù)訪問和關(guān)鍵操作行為記錄。統(tǒng)計(jì)自然人對資源中高敏感度數(shù)據(jù)（非常重要和重要）的訪問情況和操作記錄，在出現(xiàn)安全事故時(shí)用于責(zé)任追蹤。同時(shí)，對人員的登錄過程、關(guān)鍵操作行為等進(jìn)行審計(jì)和處理。最終建立完善針對“自然人→資源”訪問過程的完整審計(jì)管理。11 / 132 4A 平 臺(tái) 管 理 范 圍4A 管理平臺(tái)需要考慮應(yīng)用層面、系統(tǒng)層面。系統(tǒng)層面強(qiáng)化面向自然人和操作級的安全管理方面，應(yīng)用層面以 BOSS、經(jīng)營分析系統(tǒng)和運(yùn)營管理系統(tǒng)為核心，進(jìn)行業(yè)務(wù)支撐系統(tǒng)應(yīng)用的改造，逐步滿足業(yè)務(wù)支撐網(wǎng)各應(yīng)用的 4A 安全服務(wù)要求。4A 管理平臺(tái)著重完成人（自然人）與帳號（資源）分離，也就是自然人與業(yè)務(wù)支撐系統(tǒng)的安全管理功能組成分離，新的橫向模式是“人（自然人）→授權(quán)→業(yè)務(wù)系統(tǒng)帳號（資源）”。新模式下的有效的隔離，使得自然人的身份可以被集中管理；業(yè)務(wù)系統(tǒng)的帳號可以被集中管理；提供強(qiáng)認(rèn)證；集中管理對自然人的授權(quán)；自然人對資源的操作過程進(jìn)行集中審計(jì)。4A 管理平臺(tái)的管理范圍：? 應(yīng)用資源業(yè)務(wù)支撐系統(tǒng)的所有應(yīng)用系統(tǒng)，包括 BOSS 系統(tǒng)（含客服和容災(zāi)） 、經(jīng)營分析系統(tǒng)、運(yùn)營管理系統(tǒng)等。? 系統(tǒng)資源：業(yè)務(wù)支撐系統(tǒng)的所有后臺(tái)系統(tǒng)，包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備（防火墻）等。3 4A 管 理 平 臺(tái) 總 體 框 架4A 體系的建設(shè)應(yīng)遵循如下總體框架結(jié)構(gòu)：12 / 132圖 31 業(yè)務(wù)支撐網(wǎng) 4A 管理平臺(tái)總體框架圖4A 體系框架包括 4A 管理平臺(tái)和一些外部組件，這些外部組件一般都是針對 4A 中某一個(gè)功能的實(shí)現(xiàn)，如認(rèn)證組件、審計(jì)組件等。這些組件在某些省移動(dòng)中有些已經(jīng)部署和實(shí)現(xiàn)， 4A 管理平臺(tái)在產(chǎn)品選型和部署時(shí)要充分考慮對現(xiàn)有外部組件的利舊支持和功能整合。4A 體系通過 4A 管理平臺(tái)提供的平臺(tái)接口層直接或間接地（經(jīng)由外部組件）實(shí)現(xiàn)對資源層，主要包括 BOSS 系統(tǒng)、經(jīng)營分析系統(tǒng)、運(yùn)營管理系統(tǒng)等應(yīng)用和網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、操作系統(tǒng)和安全設(shè)備等系統(tǒng)的 4A 管理。同時(shí)，4A 管理平臺(tái)也需要通過接口層來支持與其它管理平臺(tái)的互聯(lián)互通。4A 體系框架中最重要的是 4A 管理平臺(tái)，4A 管理平臺(tái)是整個(gè) 4A 體系的管理樞紐。13 / 1324A 管理平臺(tái)由平臺(tái)管理層、平臺(tái)功能層和平臺(tái)接口層構(gòu)成，負(fù)責(zé)用戶主從帳號管理、認(rèn)證管理和調(diào)度、權(quán)限分配和控制、審計(jì)信息搜集和管理。? 平臺(tái)管理層實(shí)現(xiàn)對平臺(tái)自身的管理，具體功能應(yīng)包括管理員管理、平臺(tái)內(nèi)部權(quán)限管理、組件管理、運(yùn)行管理和備份管理。1） 管理員管理2） 權(quán)限管理3） 組件管理4） 運(yùn)行管理5） 備份管理? 平臺(tái)功能層實(shí)現(xiàn) 4A 管理平臺(tái)的功能，具體包括帳號管理功能、認(rèn)證管理功能、授權(quán)管理功能和審計(jì)管理功能。1） 帳號管理實(shí)現(xiàn)組織結(jié)構(gòu)（部門、地域等）和自然人的管理，實(shí)現(xiàn)主帳號管理、角色管理、從帳號管理和帳號屬性管理等。2） 認(rèn)證管理提供用戶登錄時(shí)的身份認(rèn)證功能；在有外部認(rèn)證模塊時(shí)，提供認(rèn)證的轉(zhuǎn)發(fā)功能；實(shí)現(xiàn)用戶登錄各資源的單點(diǎn)登錄功能。3） 授權(quán)管理提供對應(yīng)用資源（BOSS 系統(tǒng)、經(jīng)營分析系統(tǒng)、運(yùn)營管理系統(tǒng)等）和系統(tǒng)資源（主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等）的管理；實(shí)現(xiàn)自然人對資源訪問（主帳號對從帳號）的授權(quán)。4） 審計(jì)管理提供審計(jì)信息的搜集、分析和報(bào)表功能，應(yīng)支持登錄行為的審計(jì)和訪問行為的審計(jì)。審計(jì)信息的搜集可能通過外部審計(jì)模塊完成。? 平臺(tái)接口層實(shí)現(xiàn) 4A 管理平臺(tái)對各種資源管理以及與其它管理平臺(tái)互聯(lián)的相關(guān)接口，具體包括帳號接口、認(rèn)證接口、審計(jì)接口和外部管理接口。1） 帳號接口，提供從帳號的同步和導(dǎo)入接口14 / 1322） 認(rèn)證接口，提供主從登錄的認(rèn)證和轉(zhuǎn)發(fā)接口3） 審計(jì)接口，提供審計(jì)信息的導(dǎo)入和導(dǎo)出接口4） 外部管理接口，實(shí)現(xiàn)與其他管理系統(tǒng)的互聯(lián)。4 4A 管 理 平 臺(tái) 功 能 要 求 帳 號 管 理 帳 號 管 理 的 范 圍帳號管理用于在業(yè)務(wù)支撐網(wǎng)環(huán)境中，集中維護(hù)包括自然人（主帳號）和資源（從帳號）在內(nèi)的全部帳號以及和帳號相關(guān)的可在 4A 帳號管理模塊中集中管理的帳號屬性。帳號管理的主帳號應(yīng)包括在 4A 管理平臺(tái)中創(chuàng)建用于標(biāo)識唯一自然人 ID 的主帳號；同時(shí)包括從現(xiàn)存權(quán)威身份數(shù)據(jù)源導(dǎo)入或映射的用于標(biāo)識自然人唯一 ID 的主帳號。主帳號的范圍包括內(nèi)部員工帳號和外部工作人員帳號。帳號管理的從帳號應(yīng)包括業(yè)務(wù)支撐網(wǎng)環(huán)境，所有資源中可用于獲得對資源訪問權(quán)的全部帳號，資源的范圍包括系統(tǒng)資源（主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備、其他）和應(yīng)用資源（BOSS 系統(tǒng)、經(jīng)營分析系統(tǒng)、運(yùn)營管理系統(tǒng)、其他）兩大類。帳號的屬性管理涵蓋了和帳號相關(guān)的基本信息、時(shí)效策略、密碼策略、組織標(biāo)識、角色標(biāo)識等內(nèi)容。應(yīng)用資源、系統(tǒng)資源的從帳號管理必須通過 4A 管理平臺(tái)進(jìn)行，需要實(shí)現(xiàn)從帳號管理和角色管理等資源內(nèi)部的維護(hù)功能。 帳 號 管 理 的 內(nèi) 容帳號管理應(yīng)提供完善的帳號生命周期管理能力，用于從現(xiàn)存帳號數(shù)據(jù)庫導(dǎo)入或映射業(yè)務(wù)支撐系統(tǒng)現(xiàn)存帳號；維護(hù)和現(xiàn)有外部帳號庫中帳號的同步更新；將帳號管理模塊中帳號推送到相應(yīng)外部帳號庫中等等。 主 帳 號 管 理主帳號管理模塊應(yīng)該實(shí)現(xiàn)功能：15 / 132? 提供主帳號的組織管理，建立相應(yīng)樹狀目錄用于合理組織主帳號? 提供主帳號的組管理，建立相應(yīng)的帳號組，用于對帳號集合進(jìn)行集中維護(hù)? 提供對主帳號生