《中国移动信息系统集中账号口令管理(4A)技术要求》(定.docxVIP

PAGE / NUMPAGES 中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求 目 次 TOC \o 1-4 \h \z 前 言 1 1. 目的和适用范围 2 2. 引用标准 4 3. 相关术语与缩略语解释 5 4. 综述 6 4.1. 账号口令管理现状与面临的困难 6 4.2. 4A框架国内外现状 7 4.3. 中国移动4A框架 9 4.4. 4A用例描述 10 4.4.1. 管理员工作过程 10 4.4.2. 普通用户工作过程 10 4.5. 4A框架的价值 11 4.5.1. 企业角度 11 4.5.2. 管理员角度 11 4.5.3. 普通用户角度 12 4.5.4. 系统平安角度 12 4.5.5. 系统管理本钱角度 12 5. 集中账号管理 13 5.1. 集中账号管理的目的 13 5.2. 对集中账号管理的要求 13 5.3. 账号生存期管理 15 5.3.1. 用户与账号的关系 15 5.3.2. 用户、账号的管理流程 16 5.4. 账号集中化管理架构 17 5.4.1. 一般模型 17 5.4.2. 主机、网络设备账号管理 18 5.4.3. 应用系统账号集中管理 20 5.4.4. 对集中账号管理的要求 21 5.5. 自我效劳系统 22 6. 集中授权 23 6.1. 根本技术 23 6.1.1. 集中权限分配 23 . 权限定义 23 . 集中权限分配粒度 24 . 主流的授权技术 25 . 账号、用户、用户组、角色、权限关系 26 6.1.2. 集中访问控制 28 6.2. 网络设备和主机系统的集中授权 30 6.3. 应用系统基于角色的集中授权 31 6.4. 细粒度访问控制 32 7. 集中认证 34 7.1. 身份认证方式 34 7.1.1. 基于用户名/口令的认证方式 34 7.1.2. 基于动态口令的认证方式 35 7.1.3. 基于智能卡的认证方式 35 7.1.4. 基于生物特征的认证方式 36 7.1.5. 基于数字证书的认证体系 37 7.2. 认证方式选择 37 7.3. 单点登录（Single Sign－On，SSO） 38 7.3.1. 单点登录要求 39 7.3.2. 单点登录系统模型 39 . 以效劳器为中心的单点登录模型 39 . 以客户端为中心的单点登录模型 41 . 客户/效劳器模式的单点登录模型 42 . 模型选择 43 7.3.3. 单点登录产品选择 44 7.3.4. 单点登录适用范围 45 7.3.5. 单点登录与集中身份认证 46 7.4. 集中身份认证 46 8. 集中平安审计 49 8.1. 4A框架下的集中平安审计 49 8.2. 根本要求 50 8.3. 功能要求 51 8.4. 审计结果的处理方式 51 8.5. 集中存储策略 52 9. 中央管理平台 53 9.1. 目的 53 9.2. 功能描述 53 9.3. 功能要求 54 9.4. 技术要求 55 10. 实施建议 56 10.1. 总体原则 56 10.2. 技术建设建议 57 10.2.1. 网络设备、主机集中管理 57 . 明确网络设备、主机资源及其访问权限 57 . 建立用户信息库 57 . 账号集中管理 58 10.2.2. 应用集中管理 59 . 确定应用系统中的信息资源及其访问权限 59 . 建立用户信息数据库 59 . 根据工作岗位和任务职责定义角色 60 . 将角色分配给相关的用户 61 10.2.3. 审计系统 62 10.2.4. 口令策略管理 62 10.3. 分步实施建议 63 10.4. 实施过程中需要注意的问题 65 10.4.1. 集中度的把握 65 10.4.2. 系统性能 65 10.4.3. 紧急情况的处理 66 10.4.4. 分级管理 66 10.5. 4A产品选择需要考虑的问题 67 11. 4A平台技术要求 69 11.1. 涉密要求 69 11.2. 可扩展性 69 11.3. 开放性 69 11.4. 平安（容灾）性 69 11.5. 用户的自我