XX运营商4A规范讲解.docVIP

目 录 1. 范围 1 2. 规范性引用文件 1 3. 术语、定义和缩略语 2 4. 综述 3 4.1. 帐号口令集中管理系统总体框架 3 4.2. 帐号口令集中管理系统功能概述 4 4.3. 与审计系统之间的自然人审计接口 5 5. 集中帐号管理 5 5.1. 功能需求 5 5.1.1. 主帐号管理 5 5.1.2. 主帐号命名规则 6 5.1.3. 从帐号管理 6 5.1.4. 主帐号属性定义 7 5.1.5. 主从帐号对应管理 7 5.1.6. 主从帐号同步管理 8 5.1.7. 主帐号密码策略管理 8 5.1.8. 从帐号密码策略 8 5.2. 通用设备纳入4A实现帐号集中管理的技术方式 8 5.2.1. 非Agent模式 8 5.2.2. Agent模式 9 5.3. 非标准应用系统纳入4A实现帐号集中管理的技术方式 9 6. 集中授权 9 6.1. 功能需求 10 6.1.1. 集中权限分配 10 6.1.2. 集中访问控制 11 6.1.3. 通用访问控制策略 11 6.2. 集中授权技术实现 11 6.2.1. 4A系统实现集中授权总体要求 11 6.2.2. 集中访问控制模型 11 6.2.3. 对网络设备和主机系统实现集中授权的模式 12 6.2.4. 对应用系统实现集中授权的模式 13 7. 集中认证 14 7.1. 功能需求 14 7.1.1. 支持多种认证方式 14 7.1.2. 支持多种级别认证 15 7.1.3. 支持单点登录 15 7.2. 集中认证的技术实现 16 7.2.1. 帐号认证的实现 16 7.2.2. 主机系统、网络设备、应用系统一侧的代理技术要求 16 7.3. 单点登录实现技术 17 7.3.1. 以服务器为中心的单点登录 17 7.3.2. 以客户端为中心的单点登录 17 8. 安全审计 18 8.1. 审计内容 18 8.2. 信息存储 19 8.3. 审计分析 19 8.4. 数据安全 19 9. 帐号数据存储 20 10. 中央管理平台 20 10.1. 管理员Portal功能需求 20 10.1.1. 管理员管理 20 10.1.2. 普通用户管理 20 10.1.3. 资源管理 21 10.1.4. 系统自身权限管理 21 10.1.5. 运行管理 21 10.1.6. 备份管理 21 10.1.7. 告警管理 21 10.1.8. 报表管理 22 10.2. 普通用户Portal功能需求 22 10.2.1. 用户自服务 22 10.2.2. 用户资源访问服务 22 11. 帐号口令集中管理系统技术要求 22 11.1. 业务连续性要求 22 11.1.1. 高可用性 22 11.1.2. 数据备份和恢复 23 11.1.3. 4A系统瘫痪应急机制 23 11.2. 开放性 24 11.3. 可扩展性 24 11.4. 性能要求 24 11.5. 安全性要求 24 12. 编制历史 25 前 言 随着XX运营商业务的不断发展，网络规模不断扩大，业务种类不断增加。如何对各类设备的帐号、口令进行有效的管理，是一个急需解决的基础安全问题。帐号口令集中管理系统就是针对上述问题的而提出的技术手段。帐号口令集中管理系统即适应集中化的大思路，同时也综合了业界的先进经验。 本规范提出了XX运营商通信集团各通信网、业务网和各支撑系统在实现集中用户帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和帐号安全审计(Audit)等方面的功能需求和满足上述需求的统一技术框架（简称帐号口令集中管理系统框架，4A框架或4A系统）。本规范包括4A系统结构、关键技术实现方法、实施步骤及注意事项，附录部分阐述了4A系统各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式，以及将应用系统纳入本框架集中管理的具体方案。 具体实施时，在集中化总体原则下，可综合考虑维护管理职能划分、业务特点等因素，规划系统建设数量。 本规范全面阐述了XX运营商帐号口令集中管理系统的建设目标、范围、总体框架、系统功能、系统接口要求、技术要求等。适用于指导总部和各省帐号口令集中管理系统项目建设。 本标准的附录：《XX运营商帐号口令集中管理系统功能及技术规范——附录》为资料性附录。 本标准由中移号文件印发。 本规范由XX运营商通信有限公司网络部提出并归口管理。 本由归口部门负责解释。 为指导XX运营商通信集团及各省公司建设帐号口令集中管理系统，明确通信网、业务网和支撑系统帐号口令集中管理手段的系统架构、主要功能、关键技术等，特制定本规范。 本规范完全适应集中或者分级、跨专业或者分专业等多种建设模式，实现主机、网络和应用三个层面的帐号口令集中管理。 规