某通信企业业务支撑网4a安全技术规范.doc

中中 国国 移移 动动 通通 信信 企企 业业 标标 准准 中中国国移移动动业业务务支支撑撑网网 4 4A A 安安全全技技术术规规范范 版版本本号号：：1.0.0 中国移动通信有限公司中国移动通信有限公司 发布发布 ╳╳╳╳╳╳╳╳- -╳╳╳╳- -╳╳╳╳发发布布╳╳╳╳╳╳╳╳- -╳╳╳╳- -╳╳╳╳实实施施 QB-W-016-2007QB-W-016-2007 QB-W-016-2007QB-W-016-2007 I 目录 1概述概述7 1.1范围 .7 1.2规范性引用文件 .7 1.3术语、定义和缩略语 .7 2综综述述8 2.1背景和现状分析 .8 2.24A 平台建设目标9 2.34A 平台管理范围10 34A 管理平台管理平台总总体框架体框架11 44A 管理平台功能要求管理平台功能要求14 4.1帐号管理 .14 4.1.1帐号管理的范围.14 4.1.2帐号管理的内容.14 4.1.3主帐号管理.14 4.1.4从帐号管理.15 4.1.5密码策略管理.15 4.2认证管理 .15 4.2.1认证管理的范围.16 4.2.2认证管理的内容.16 4.2.3认证服务的管理.16 4.2.4认证枢纽的管理.16 4.2.5SSO的管理.17 4.2.6认证手段.17 4.2.7提供多种手段的组合使用.17 4.3授权管理 .17 4.3.1授权管理的范围.17 4.3.2授权管理的内容.18 4.3.3资源管理.18 4.3.4角色管理.18 4.3.5资源授权.19 4.4审计管理 .20 4.4.1审计管理范围.20 4.4.2审计信息收集与标准化.21 4.4.3审计分析.21 4.4.4审计预警.22 4.54A 管理平台的自管理23 4.5.1管理员管理.23 4.5.2权限管理.23 4.5.3组件管理.23 4.5.4运行管理.23 II 4.5.5备份管理.23 4.64A 管理平台接口管理24 4.6.1帐号管理接口.24 4.6.2认证接口.24 4.6.3审计接口.24 4.6.4外部管理接口.25 54A 管理平台技管理平台技术术要求要求25 5.1总体技术框架 .25 5.2PORTAL层技术要求27 5.3应用层技术要求 .27 5.3.1前台应用层技术要求.27 5.3.2核心数据库技术要求.28 5.3.3后台服务层技术要求.30 5.3.4单点登录技术要求.32 5.3.5安全审计技术要求.33 5.4接口层技术要求 .35 5.5非功能性技术要求 .35 5.5.1业务连续性要求.35 5.5.2开放性和可扩展性要求.38 5.5.3性能要求.38 5.5.4安全性要求.38 64A 管理平台接口管理平台接口规规范范40 6.1应用接口技术规范 .40 6.1.1总体描述.40 6.1.2登录类接口（①）.41 6.1.3认证类接口.42 6.1.4帐号/角色接口（④）43 6.1.5审计类接口.48 6.2系统接口技术规范 .51 6.2.1总体描述.51 6.2.2登录类接口（①）.52 6.2.3认证类接口.53 6.2.4帐号接口（⑤）.55 6.2.5审计类接口.59 6.3外部管理接口技术规范 .61 7BOSS 系系统统 3.0 的改造要求的改造要求62 7.1BOSS 应用安全建设目标 62 7.2BOSS 系统配合 4A 改造要求62 7.2.1总体改造总体要求.62 7.2.2帐号管理要求.64 7.2.3授权管理要求.66 7.2.4认证管理要求.67 QB-W-016-2007QB-W-016-2007 III 7.2.5审计管理要求.69 7.3BOSS 应用的安全要求 70 7.3.1BOSS应用帐号管理.71 7.3.2BOSS应用授权管理.73 7.3.3BOSS应用认证管理.75 7.3.4BOSS应用审计要求.76 7.3.5BOSS数据安全要求.77 8经营经营分析系分析系统统 2.0 改造要求改造要求.79 8.1经营分析系统应用安全建设目标 .79 8.2经营分析系统配合 4A 改造要求.79 8.2.1总体改造要求.79 8.2.2帐号管理改造要求.81 8.2.3授权管理改造要求.83 8.2.4认证管理改造要求.84 8.2.5审计管理改造要求.86 8.3经营分析系统应用安全要求 .87 8.3.1经营分析系统用户管理.88 8.3.2经营分析系统权限管理.92 8.3.3经营分析系统认证管理.93 8.3.4经营分析系统日志记录.95 8.3.5经营分析系统数据安全要求.95 8.3.6系统平台安全要求.97 9运运营营管理系管理系统统 2.0 改造要求改造要求.99 9.1运营管理系统应用安全建设目标 .99 9.2运营管理系统配合 4A 改造要求.99 9.2.1总体改造要求.99 9.2.2帐号管理改造要求.101 9.2.3授权管理改造要求.103 9.2.4认证管理改造要求.104 9.2.5审计管理改造要求.106 9.3运营管理系统应用安全要求 .107 9.3.1运营管理系统用户管理.108 9.3.2运营管理系统权限管理.111 9.3.3运营管理系统认证管理.112 9.3.4运营管理系统日志记录.113 9.3.5运营管理系统数据安全要求.114 104A 平台建平台建设设指指导导意意见见116 10.1总体指导原则 .116 10.24A 平台建设步骤116 10.2.1前期调研和准备阶段.116 10.2.2平台建设和实施阶段.117 10.2.3后期管理和维护阶段.118 IV 10.34A 平台应急方案119 10.3.1应急方案流程梳理.119 10.3.2应用功能改造实现.119 11编编制制历历史史120 附附录录 A 4A 管理平台管理流程管理平台管理流程 .121 （1）用户入职流程122 （2）用户变更管理流程123 （3）离职管理流程124 （4）新项目纳入管理流程125 附附录录 B 业务业务支撑系支撑系统统敏感数据敏感数据.125 （1）BOSS系统中的敏感数据.125 （2）经营分析系统中的敏感数据126 （3）需要关注的操作日志127 QB-W-016-2007QB-W-016-2007 V 图形目录 图 3-1 业务支撑网 4A 管理平台总体框架图.12 图 4-1 4A 平台与应用系统的帐号、角色和权限关系图.19 图 5-1 业务支撑网 4A 管理平台的总体技术框架.26 图 6-1 4A 平台与应用资源的接口框架图.40 图 6-2 业务支撑应用的帐号/角色接口图.44 图 6-3 4A 平台与系统资源的接口框架图.52 图 6-4 4A 平台与系统资源的接口框架图.55 图 7-1 BOSS 配合 4A 的改造总体示意图.63 图 7-2 BOSS 配合 4A 的帐号管理改造图.65 图 7-3 BOSS 配合 4A 的授权管理改造图.67 图 7-4 BOSS 配合 4A 的认证管理改造图.68 图 7-5 BOSS 配合 4A 的审计管理改造图.70 图 7-6 BOSS 应用安全体系逻辑图71 图 7-7 BOSS 应用授权管理结构图75 图 8-1 经营分析系统配合 4A 的改造总体示意图.80 图 8-2 经营分析系统配合 4A 的帐号管理改造图.82 图 8-3 经营分析系统配合 4A 的授权管理改造图.84 图 8-4 经营分析系统配合 4A 的认证管理改造图.85 图 8-5 经营分析系统配合 4A 的审计管理改造图.87 图 8-6 经营分析应用安全体系逻辑图88 图 8-7 经营分析应用授权管理结构图93 图 8-8 通过经营分析门户认证流程图94 图 9-1 运营管理系统配合 4A 的改造总体示意图.100 图 9-2 运营管理系统配合 4A 的帐号管理改造图.102 图 9-3 运营管理系统配合 4A 的授权管理改造图.104 图 9-4 运营管理系统配合 4A 的认证管理改造图.105 图 9-5 运营管理系统配合 4A 的授权号管理改造图.107 图 9-6 运营管理应用安全体系逻辑图108 图 9-7 运营管理应用授权管理结构图112 图 9-8 运营管理应用门户认证流程图113 VI 前言 本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号 （Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计 (Audit)的安全系统（简称4A管理平台或4A平台）的总体目标、平台框架、功能要求、关 键技术实现方法、接口标准、实施指导建议及注意事项。

结合中国移动省级业务支撑系统 的整体规划，本规范还列出了结合BOSS系统3.0、经营分析系统2.0和运营管理系统2.0的 安全建设要求和配套改造要求 本标准的附录A、附录B为资料性附录 本标准由中移 号文件印发 本规范由中国移动通信有限公司业务支撑系统部提出并归口 本规范由规范归口部门负责解释 本标准起草单位：中国移动通信集团公司业务支撑系统部 本标准主要起草人：田峰 QB-╳╳-╳╳╳-╳╳╳╳QB-╳╳-╳╳╳-╳╳╳╳ 7 1概述 1.1范围 本文对中国移动业务支撑网的 BOSS 系统、经营分析系统、运营管理系统的集中帐号、 统一授权、身份认证和安全审计的 4A 系统建设进行了规范，供中国移动内部和厂商共同 使用；适用于各省移动通信有限责任公司业务支撑系统的 4A 管理平台建设和配合 4A 平台 进行业务支撑系统的改造 在业务支撑系统发生重大变更情况下，由有限公司业务支撑系统部对本规范进行修订 1.2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款凡是注日期的引用文件， 其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据 本规范达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件， 其最新版本适用于本规范 [1] 《中国移动业务运营支撑系统 （BOSS）规范（V3.0）》 中国移动通信有限 公司 [2] 《中国移动经营分析系统技术规范 （V2.0）》 中国移动通信有限 公司 [3] 《中国移动支撑系统集中帐号管理、 认证、授权与审计（4A）技术要求》 中国移动通信有限 公司 1.3术语、定义和缩略语 下列术语和定义适用于本规范： 术语解释 4AAccount，Authentication，Authorization，Audit：帐号管理，授权管理， 认证管理，审计管理 自然人使用业务支撑网中资源的物理存在的人 8 资源自然人要访问的业务支撑系统中实体，包括应用资源和系统资源 应用业务支撑系统中的一种资源类型，包括 BOSS 系统、经营分析系统、 BOSS 网管系统（运营管理系统）等 系统业务支撑系统中的一种资源类型，包括主机、网络设备、数据库等 主帐号自然人在 4A 中的唯一身份标识 从帐号资源中的帐号 帐号组由主帐号或从帐号构成的集合 权限资源访问能力的标识 角色资源中若干访问权限的集合 角色组角色构成的集合 日志资源对行为的记录 审计日志分析的过程。

LDAPLight-weight Directory Access Protocol 轻量目录访问协议 MACMessage Authentication Code 消息验证码 RDBRational Database 关系数据库 SSLSecure Sockets Layer 加密套接字层 SSOSingle Sign-on 单点登录 2综述 2.1背景和现状分析 随着中国移动业务支撑系统的迅速发展，各种支撑应用和用户数量的不断增加，网络 规模迅速扩大，信息安全问题愈见突出，对系统之间的整合提出了更高的要求系统整合 的一个重要基础是帐号数据的统一、授权的集中、单点登录认证、安全审计原有的帐号、 权限、认证、审。