XX运营商4A规范.doc

XX运营商通信企业标准QB-╳╳-╳╳╳-╳╳╳╳XX运营商帐号口令集中管理系统功能及技术规范Technical Requirements for Centralized Account and Password ManagementCentralized Identity Management版本号：1.0.0╳╳╳╳-╳╳-╳╳实施╳╳╳╳-╳╳-╳╳发布XX运营商通信有限公司 发布目 录1. 范围 12. 规范性引用文件 13. 术语、定义和缩略语 24. 综述 34.1. 帐号口令集中管理系统总体框架 34.2. 帐号口令集中管理系统功能概述 44.3. 与审计系统之间的自然人审计接口 55. 集中帐号管理 55.1. 功能需求 55.1.1. 主帐号管理 55.1.2. 主帐号命名规则 65.1.3. 从帐号管理 65.1.4. 主帐号属性定义 75.1.5. 主从帐号对应管理 75.1.6. 主从帐号同步管理 85.1.7. 主帐号密码策略管理 85.1.8. 从帐号密码策略 85.2. 通用设备纳入4A实现帐号集中管理的技术方式 85.2.1. 非Agent模式 85.2.2. Agent模式 95.3. 非标准应用系统纳入4A实现帐号集中管理的技术方式 96. 集中授权 96.1. 功能需求 106.1.1. 集中权限分配 106.1.2. 集中访问控制 116.1.3. 通用访问控制策略 116.2. 集中授权技术实现 116.2.1. 4A系统实现集中授权总体要求 116.2.2. 集中访问控制模型 116.2.3. 对网络设备和主机系统实现集中授权的模式 126.2.4. 对应用系统实现集中授权的模式 137. 集中认证 147.1. 功能需求 147.1.1. 支持多种认证方式 147.1.2. 支持多种级别认证 157.1.3. 支持单点登录 157.2. 集中认证的技术实现 167.2.1. 帐号认证的实现 167.2.2. 主机系统、网络设备、应用系统一侧的代理技术要求 167.3. 单点登录实现技术 177.3.1. 以服务器为中心的单点登录 177.3.2. 以客户端为中心的单点登录 178. 安全审计 188.1. 审计内容 188.2. 信息存储 198.3. 审计分析 198.4. 数据安全 199. 帐号数据存储 2010. 中央管理平台 2010.1. 管理员Portal功能需求 2010.1.1. 管理员管理 2010.1.2. 普通用户管理 2010.1.3. 资源管理 2110.1.4. 系统自身权限管理 2110.1.5. 运行管理 2110.1.6. 备份管理 2110.1.7. 告警管理 2110.1.8. 报表管理 2210.2. 普通用户Portal功能需求 2210.2.1. 用户自服务 2210.2.2. 用户资源访问服务 2211. 帐号口令集中管理系统技术要求 2211.1. 业务连续性要求 2211.1.1. 高可用性 2211.1.2. 数据备份和恢复 2311.1.3. 4A系统瘫痪应急机制 2311.2. 开放性 2411.3. 可扩展性 2411.4. 性能要求 2411.5. 安全性要求 2412. 编制历史 25前 言随着XX运营商业务的不断发展，网络规模不断扩大，业务种类不断增加。

如何对各类设备的帐号、口令进行有效的管理，是一个急需解决的基础安全问题帐号口令集中管理系统就是针对上述问题的而提出的技术手段帐号口令集中管理系统即适应集中化的大思路，同时也综合了业界的先进经验本规范提出了XX运营商通信集团各通信网、业务网和各支撑系统在实现集中用户帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和帐号安全审计(Audit)等方面的功能需求和满足上述需求的统一技术框架（简称帐号口令集中管理系统框架，4A框架或4A系统）本规范包括4A系统结构、关键技术实现方法、实施步骤及注意事项，附录部分阐述了4A系统各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式，以及将应用系统纳入本框架集中管理的具体方案具体实施时，在集中化总体原则下，可综合考虑维护管理职能划分、业务特点等因素，规划系统建设数量本规范全面阐述了XX运营商帐号口令集中管理系统的建设目标、范围、总体框架、系统功能、系统接口要求、技术要求等适用于指导总部和各省帐号口令集中管理系统项目建设本标准的附录：《XX运营商帐号口令集中管理系统功能及技术规范——附录》为资料性附录。

本标准由中移号文件印发本规范由XX运营商通信有限公司网络部提出并归口管理本标准由标准归口部门负责解释1. 范围为指导XX运营商通信集团及各省公司建设帐号口令集中管理系统，明确通信网、业务网和支撑系统帐号口令集中管理手段的系统架构、主要功能、关键技术等，特制定本规范本规范完全适应集中或者分级、跨专业或者分专业等多种建设模式，实现主机、网络和应用三个层面的帐号口令集中管理2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准表2-1[1]GB/T 9387.2-1995 (ISO 7498-2：1989)《信息处理系统开放系统互连基本参考模型》第2部分：安全体系结构国标[2]ISO 10181-1:1996《信息安全框架 1 信息技术开放系统互连开放系统安全框架》第1部分：概述ISO[3]ISO 10181-2:1996《信息安全框架 2 信息技术开放系统互连开放系统安全框架》第2部分：鉴别框架ISO[4]ISO 10181-3:1996《信息安全框架 3 信息技术开放系统互连开放系统安全框架》第3部分：访问控制框架ISO[5]ISO 10181-4:1996《信息安全框架 4 信息技术开放系统互连开放系统安全框架》第4部分：抗抵赖框架ISO[6]ISO 10181-7:1996《信息安全框架 7 信息技术开放系统互连开放系统安全框架》第7部分：安全跟踪和告警框架ISO[7]RFC 4301《信息安全框架 8 Security Architecture for the Internet Protocol》RFC[8]RFC 2865《Remote Authentication Dial In User Service (RADIUS)》RFC[9]RFC 2866《RADIUS Accounting》RFC[10]RFC 4513《Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms》RFC[11]ISO/IEC FDIS 9594-8《Information technology -- Open Systems Interconnection》The Directory: Public-key and attribute certificate frameworksISO/IEC[12]RFC 4210《Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)》RFC[13]RFC 3280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》RFC3. 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表3-1术语解释4AAccount，Authentication，Authorization，Audit（帐号管理，授权管理，认证管理，审计管理）的缩写。

管理员本规范中特指4A系统的管理员，其具备访问4A系统管理员Portal，操作帐号管理、资源管理、授权管理等4A系统功能模块的权限普通用户本规范中特指使用4A系统的用户，即利用4A系统的认证、授权等功能访问被管系统的操作维护人员，其具备访问4A系统普通用户Portal等权限自然人使用资源的物理存在的人在本规范中自然人和普通用户可以互换资源自然人要访问的业务系统中实体，如应用程序、帐号、目录、文件、数据库、数据库中保存的某个表、IP端口等等可以根据实际需要，将多个资源看作一个整体也可以将一个资源进一步细分成多个资源应用业务系统中的一种资源类型，例如网管系统、业务支撑系统等系统业务系统中的一种资源类型，包括主机、网络设备、数据库等主帐号自然人在4A系统中的唯一身份标识从帐号4A系统管理的自然人在被管系统中的帐号帐号组由主帐号或从帐号构成的集合权限对特定资源进行某种操作的能力角色资源中若干访问权限的集合日志操作的记录审计日志分析的过程ADFAccess Decision Function访问控制决策单元AEFAccess Enforcement Function访问控制执行单元CACertificate Authority认证权威LDAPLight-weight Directory Access Protocol轻量目录访问协议。

PKIPublic Key Infrastructure公开密钥体系PINPersonal Identity Number个人身份识别码SSLSecure Sockets Layer加密套接字层SSOSingle Sign-on 单点登录4. 综述帐号口令集中管理系统为用户访问资源、进行维护操作提供了便捷、高效、可靠的途径，同时也为加强企业内部网络与信息安全控制、满足相关法案审计要求提供技术保证4.1. 帐号口令集中管理系统总体框架该系统框架结构如图4.1图4.1 帐号口令集中管理系统框架结构 帐号口令集中管理系统主体框架集中展现层（中央管理平台）管理员Portal接口适配层通用的帐号、认证接口自定义帐号、认证接口管理员管理系统自身权限管理普通用户Portal 自服务集中资源展现运行管理备份管理被管资源层标准应用数据库等非标准应用（各类支撑系统、业务系统、审计系统、综合维护接入平台、ISMP等安全系统）主机I帐号I认证网络设备告警管理资源管理用户管理报表管理核心功能层日志集中管理与审计系统I自然人审计该框架包括集。