某通信企业业务支撑网4A安全技术规范(DOC 128页).doc

中中 国国 移移 动动 通通 信信 企企 业业 标标 准准 中中国国移移动动业业务务支支撑撑网网 4 4A A 安安全全技技术术规规范范 版版本本号号 1 0 0 中国移动通信有限公司中国移动通信有限公司 发布发布 发发布布 实实施施 QB W 016 2007QB W 016 2007 QB W 016 2007QB W 016 2007 I 目录 1 1概述概述 7 1 1范围 7 1 2规范性引用文件 7 1 3术语 定义和缩略语 7 2 2综述综述 8 2 1背景和现状分析 8 2 24A 平台建设目标 9 2 34A 平台管理范围 10 3 34A4A 管理平台总体框架管理平台总体框架 11 4 44A4A 管理平台功能要求管理平台功能要求 14 4 1帐号管理 14 4 1 1帐号管理的范围 14 4 1 2帐号管理的内容 14 4 1 3主帐号管理 14 4 1 4从帐号管理 15 4 1 5密码策略管理 15 4 2认证管理 15 4 2 1认证管理的范围 16 4 2 2认证管理的内容 16 4 2 3认证服务的管理 16 4 2 4认证枢纽的管理 16 4 2 5SSO的管理 17 4 2 6认证手段 17 4 2 7提供多种手段的组合使用 17 4 3授权管理 17 4 3 1授权管理的范围 17 4 3 2授权管理的内容 18 4 3 3资源管理 18 4 3 4角色管理 18 4 3 5资源授权 19 4 4审计管理 20 4 4 1审计管理范围 20 4 4 2审计信息收集与标准化 21 4 4 3审计分析 21 4 4 4审计预警 22 4 54A 管理平台的自管理 23 4 5 1管理员管理 23 4 5 2权限管理 23 4 5 3组件管理 23 4 5 4运行管理 23 QB W 016 2007QB W 016 2007 II 4 5 5备份管理 23 4 64A 管理平台接口管理 24 4 6 1帐号管理接口 24 4 6 2认证接口 24 4 6 3审计接口 24 4 6 4外部管理接口 25 5 54A4A 管理平台技术要求管理平台技术要求 25 5 1总体技术框架 25 5 2PORTAL层技术要求 27 5 3应用层技术要求 27 5 3 1前台应用层技术要求 27 5 3 2核心数据库技术要求 28 5 3 3后台服务层技术要求 30 5 3 4单点登录技术要求 32 5 3 5安全审计技术要求 33 5 4接口层技术要求 35 5 5非功能性技术要求 35 5 5 1业务连续性要求 35 5 5 2开放性和可扩展性要求 38 5 5 3性能要求 38 5 5 4安全性要求 38 6 64A4A 管理平台接口规范管理平台接口规范 40 6 1应用接口技术规范 40 6 1 1总体描述 40 6 1 2登录类接口 41 6 1 3认证类接口 42 6 1 4帐号 角色接口 43 6 1 5审计类接口 48 6 2系统接口技术规范 51 6 2 1总体描述 51 6 2 2登录类接口 52 6 2 3认证类接口 53 6 2 4帐号接口 55 6 2 5审计类接口 59 6 3外部管理接口技术规范 61 7 7BOSSBOSS 系统系统 3 03 0 的改造要求的改造要求 62 7 1BOSS 应用安全建设目标 62 7 2BOSS 系统配合 4A 改造要求 62 7 2 1总体改造总体要求 62 7 2 2帐号管理要求 64 7 2 3授权管理要求 66 7 2 4认证管理要求 67 QB W 016 2007QB W 016 2007 III 7 2 5审计管理要求 69 7 3BOSS 应用的安全要求 70 7 3 1BOSS应用帐号管理 71 7 3 2BOSS应用授权管理 73 7 3 3BOSS应用认证管理 75 7 3 4BOSS应用审计要求 76 7 3 5BOSS数据安全要求 77 8 8经营分析系统经营分析系统 2 02 0 改造要求改造要求 79 8 1经营分析系统应用安全建设目标 79 8 2经营分析系统配合 4A 改造要求 79 8 2 1总体改造要求 79 8 2 2帐号管理改造要求 81 8 2 3授权管理改造要求 83 8 2 4认证管理改造要求 84 8 2 5审计管理改造要求 86 8 3经营分析系统应用安全要求 87 8 3 1经营分析系统用户管理 88 8 3 2经营分析系统权限管理 92 8 3 3经营分析系统认证管理 93 8 3 4经营分析系统日志记录 95 8 3 5经营分析系统数据安全要求 95 8 3 6系统平台安全要求 97 9 9运营管理系统运营管理系统 2 02 0 改造要求改造要求 99 9 1运营管理系统应用安全建设目标 99 9 2运营管理系统配合 4A 改造要求 99 9 2 1总体改造要求 99 9 2 2帐号管理改造要求 101 9 2 3授权管理改造要求 103 9 2 4认证管理改造要求 104 9 2 5审计管理改造要求 106 9 3运营管理系统应用安全要求 107 9 3 1运营管理系统用户管理 108 9 3 2运营管理系统权限管理 111 9 3 3运营管理系统认证管理 112 9 3 4运营管理系统日志记录 113 9 3 5运营管理系统数据安全要求 114 10104A4A 平台建设指导意见平台建设指导意见 116 10 1总体指导原则 116 10 24A 平台建设步骤 116 10 2 1前期调研和准备阶段 116 10 2 2平台建设和实施阶段 117 10 2 3后期管理和维护阶段 118 QB W 016 2007QB W 016 2007 IV 10 34A 平台应急方案 119 10 3 1应急方案流程梳理 119 10 3 2应用功能改造实现 119 1111编制历史编制历史 120 附录附录 A A 4A4A 管理平台管理流程管理平台管理流程 121 1 用户入职流程 122 2 用户变更管理流程 123 3 离职管理流程 124 4 新项目纳入管理流程 125 附录附录 B B 业务支撑系统敏感数据业务支撑系统敏感数据 125 1 BOSS系统中的敏感数据 125 2 经营分析系统中的敏感数据 126 3 需要关注的操作日志 127 QB W 016 2007QB W 016 2007 V 图形目录 图 3 1 业务支撑网 4A 管理平台总体框架图 12 图 4 1 4A 平台与应用系统的帐号 角色和权限关系图 19 图 5 1 业务支撑网 4A 管理平台的总体技术框架 26 图 6 1 4A 平台与应用资源的接口框架图 40 图 6 2 业务支撑应用的帐号 角色接口图 44 图 6 3 4A 平台与系统资源的接口框架图 52 图 6 4 4A 平台与系统资源的接口框架图 55 图 7 1 BOSS 配合 4A 的改造总体示意图 63 图 7 2 BOSS 配合 4A 的帐号管理改造图 65 图 7 3 BOSS 配合 4A 的授权管理改造图 67 图 7 4 BOSS 配合 4A 的认证管理改造图 68 图 7 5 BOSS 配合 4A 的审计管理改造图 70 图 7 6 BOSS 应用安全体系逻辑图 71 图 7 7 BOSS 应用授权管理结构图 75 图 8 1 经营分析系统配合 4A 的改造总体示意图 80 图 8 2 经营分析系统配合 4A 的帐号管理改造图 82 图 8 3 经营分析系统配合 4A 的授权管理改造图 84 图 8 4 经营分析系统配合 4A 的认证管理改造图 85 图 8 5 经营分析系统配合 4A 的审计管理改造图 87 图 8 6 经营分析应用安全体系逻辑图 88 图 8 7 经营分析应用授权管理结构图 93 图 8 8 通过经营分析门户认证流程图 94 图 9 1 运营管理系统配合 4A 的改造总体示意图 100 图 9 2 运营管理系统配合 4A 的帐号管理改造图 102 图 9 3 运营管理系统配合 4A 的授权管理改造图 104 图 9 4 运营管理系统配合 4A 的认证管理改造图 105 图 9 5 运营管理系统配合 4A 的授权号管理改造图 107 图 9 6 运营管理应用安全体系逻辑图 108 图 9 7 运营管理应用授权管理结构图 112 图 9 8 运营管理应用门户认证流程图 113 QB W 016 2007QB W 016 2007 VI 前言 本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号 Account 管理 授权 Authorization 管理 认证 Authentication 管理和安全审计 Audit 的安全系统 简称4A管理平台或4A平台 的总体目标 平台框架 功能要求 关 键技术实现方法 接口标准 实施指导建议及注意事项 结合中国移动省级业务支撑系统 的整体规划 本规范还列出了结合BOSS系统3 0 经营分析系统2 0和运营管理系统2 0的 安全建设要求和配套改造要求 本标准的附录A 附录B为资料性附录 本标准由中移 号文件印发 本规范由中国移动通信有限公司业务支撑系统部提出并归口 本规范由规范归口部门负责解释 本标准起草单位 中国移动通信集团公司业务支撑系统部 本标准主要起草人 田峰 QB QB 7 1概述 1 1范围 本文对中国移动业务支撑网的 BOSS 系统 经营分析系统 运营管理系统的集中帐号 统一授权 身份认证和安全审计的 4A 系统建设进行了规范 供中国移动内部和厂商共同 使用 适用于各省移动通信有限责任公司业务支撑系统的 4A 管理平台建设和配合 4A 平台 进行业务支撑系统的改造 在业务支撑系统发生重大变更情况下 由有限公司业务支撑系统部对本规范进行修订 1 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款 凡是注日期的引用文件 其随后所有的修改单 不包括勘误的内容 或修订版均不适用于本规范 然而 鼓励根据 本规范达成协议的各方研究是否可使用这些文件的最新版本 凡是不注日期的引用文件 其最新版本适用于本规范 1 中国移动业务运营支撑系统 BOSS 规范 V3 0 中国移动通信有限 公司 2 中国移动经营分析系统技术规范 V2 0 中国移动通信有限 公司 3 中国移动支撑系统集中帐号管理 认证 授权与审计 4A 技术要求 中国移动通信有限 公司 1 3术语 定义和缩略语 下列术语和定义适用于本规范 术语解释 4AAccount Authentication Authorization Audit 帐号管理 授权管理 认证管理 审计管理 自然人使用业务支撑网中资源的物理存在的人 QB QB 8 资源自然人要访问的业务支撑系统中实体 包括应用资源和系统资源 应用业务支撑系统中的一种资源类型 包括 BOSS 系统 经营分析系统 BOSS 网管系统 运营管理系统 等 系统业务支撑系统中的一种资源类型 包括主机 网络设备 数据库等 主帐号自然人在 4A 中的唯一身份标识 从帐号资源中的帐号 帐号组由主帐号或从帐号构成的集合 权限资源访问能力的标识 角色资源中若干访问权限的集合 角色组角色构成的集合 日志资源对行为的记录 审计日志分析的过程 LDAPLight weight Directory Access Protocol 轻量目录访问协议 MACMessage Authentication Code 消息验证码 RDBRational Database 关系数据库 SSLSecure Sockets Layer 加密套接字层 SSOSingle Sign on 单点登录 2综述 2 1背景和现状分析 随着中国移动业务支撑系统的迅速发展 各种支撑应用和用户数量的不断增加 网络 规模迅速扩大 信息安全问题愈见突出 对系统之间的整合提出了更高的要求 系统整合 的一个重要基础是帐号数据的统一 授权的集中 单点登录认证 安全审计 原有的帐号 权限 认证 审计方面的安全措施已不能满足中国移动目前及未来业务支撑系统发展的要 求 主要问题表现在以下方面 1 独立的用户数据库和独立的系统管理员 中国移动的业务支撑系统中有 BOSS 系统 经营分析系统和运营管理系统 以及对应的大量子系统 大量的网络设备 主机系统和数 QB QB 9 据库和安全设备 目前 大部分省分的各个业务支撑系统都有各自一套独立的帐号 认证 授权和审计机制 并且由相应的系统管理员负责维护和管理 当维护人员同时对多个业务 支撑系统进行维护时 工作复杂度会成倍增加 2 独立的业务支撑系统授权机制和独立的业务系统授权管理 各业务支撑系统分别管 理所属的系统资源和应用资源 并为本系统的用户分配权限 缺乏集中统一的资源授权管 理平台 无法集中按照最小权限原则分配实体级的首页登录权限和实体内细粒度权限 另 外 随着用户数量的增加 权限管理任务越来越重 系统的安全性无法得到充分保证 3 自然人身份和业务系统帐号重叠 现有的业务支撑系统中 用户 自然人 的身份 和业务支撑系统中的帐号是重叠的 人和业务系统间是短连接的方式 人 自然人 业 务系统帐号 这样流程的扁平 带来了身份的混乱 对于业务支撑系统 人的身份多重化 复杂化 带来了大量的交叉关系 有些业务支撑系统的帐号多人共用 不仅在发生安全事 故难于确定帐号的实际使用者 而且平时难于对帐号的扩散范围进行控制 4 自然人对多系统的访问频繁切换都基于独立的帐号管理实现 业务支撑系统的增多 使用户经常需要在各个系统之间切换 每次从一个系统切换到另一系统时 都需要输入用 户名和密码进行登录 给用户的工作带来不便 影响了工作效率 特别是针对后台系统类 的管理 更是缺乏必要的帐号统一管理和措施 用户为便于记忆密码会采用较简单的密码 或将多个支撑系统的密码设置成相同的 危害到系统的安全性 5 独立的审计 缺乏关联分析 由于各支撑系统独立运行 维护和管理 所以各系统 的审计也是相互独立的 不但各个系统单独审计 即使同一系统中的每个网络设备 每个 主机系统 每个业务系统及每个数据库系统都要分别进行审计 缺乏集中统一的系统访问 审计 无法对支撑系统进行综合日志分析 不能及时发现入侵行为进行安全预警和数据责 任追踪 总之 随着业务支撑系统的发展及内部用户的增加 一方面系统维护和管理人员的工 作负担增加 工作效率无法提高 另一方面无法对各业务系统实现统一的安全策略 从而 在实质上降低了业务系统的安全性 因此 迫切需要一个统一的基础安全服务系统能为各 应用系统提供准确组织人员数据 并可以高效 方便的进行数据安全管理 4A 管理平台的 建设能够保障用户合法 安全 方便使用业务支撑系统的特定资源 既有效地保障了合法 用户的权益 又能有效地保障业务支撑系统安全可靠地运行 QB QB 10 2 24A 平台建设目标 业务支撑网 4A 管理平台的建设目的是将业务支撑系统中的帐号 Account 管理 认 证 Authentication 管理 授权 Authorization 管理和安全审计 Audit 整合成集中 统一 的安全服务系统 简称 4A 管理平台或 4A 平台 通过 4A 管理平台提供统一的基础安全服务技术架构 使新的应用可以很容易的集成 到安全管理平台中 通过该平台对业务支撑系统各种 IT 资源 包括应用和系统 进行集中 管理 为各个业务系统提供集中 4A 安全服务 提升业务支撑系统安全性和可管理能力 4A 管理平台的主要目的如下 实现对实现对 BOSS 系统 经营分析系统 运营管理系统以及操作系统 数据库 网络系统 经营分析系统 运营管理系统以及操作系统 数据库 网络 设备 安全设备等各种设备 安全设备等各种 IT 资源的帐号 认证 授权和审计的集中控制和管理 资源的帐号 认证 授权和审计的集中控制和管理 为业务支撑系统提供机制统一 多样化的帐号 认证 授权和审计安全服务 实 现业务支撑系统管理模式和应用模式平滑过渡以及与其他 4A 平台之间的数据交 互 实现集中化 基于角色的的主从帐号管理 实现实体级别的权限控制和管理 实现集中化 基于角色的的主从帐号管理 实现实体级别的权限控制和管理 自 然人与其拥有的主帐号关联 统一规划用户身份信息和角色 对不同系统中的帐 号进行创建 分配 同步 最终建立业务支撑系统中自然人的单一视图 主帐号 管理 业务支撑系统资源的单一视图 从帐号管理 实现业务支撑系统基于主帐号的集中强身份认证和访问入口 实现业务支撑系统基于主帐号的集中强身份认证和访问入口 在不更改或只对应 用有限更改的情况下 在原来只有弱身份认证手段的应用上 通过 4A 管理平台 门户或配合应用门户改造集成强身份认证手段 实现强认证手段和应用的相对隔 离和灵活使用 实现基于集中管控安全策略的访问控制和授权管理 访问鉴权 实现基于集中管控安全策略的访问控制和授权管理 访问鉴权 结合用户使用业 务支撑系统中资源的具体需求情况进行合理权限分配和校验 实现不同用户对不 同部分实体资源的访问 最终建立完善的资源对自然人的授权管理 实现集中安全审计管理 收集 记录 管理用户对业务支撑系统的高敏感度的数实现集中安全审计管理 收集 记录 管理用户对业务支撑系统的高敏感度的数 据访问和关键操作行为记录 据访问和关键操作行为记录 统计自然人对资源中高敏感度数据 非常重要和重 要 的访问情况和操作记录 在出现安全事故时用于责任追踪 同时 对人员的 登录过程 关键操作行为等进行审计和处理 最终建立完善针对 自然人 资源 访问过程的完整审计管理 QB QB 11 2 34A 平台管理范围 4A 管理平台需要考虑应用层面 系统层面 系统层面强化面向自然人和操作级的安全 管理方面 应用层面以 BOSS 经营分析系统和运营管理系统为核心 进行业务支撑系统 应用的改造 逐步满足业务支撑网各应用的 4A 安全服务要求 4A 管理平台着重完成人 自然人 与帐号 资源 分离 也就是自然人与业务支撑系 统的安全管理功能组成分离 新的横向模式是 人 自然人 授权 业务系统帐号 资 源 新模式下的有效的隔离 使得自然人的身份可以被集中管理 业务系统的帐号可 以被集中管理 提供强认证 集中管理对自然人的授权 自然人对资源的操作过程进行集 中审计 4A 管理平台的管理范围 应用资源 业务支撑系统的所有应用系统 包括业务支撑系统的所有应用系统 包括 BOSS 系统 含客服和容灾 系统 含客服和容灾 经营分析系 经营分析系 统 运营管理系统等 统 运营管理系统等 系统资源 业务支撑系统的所有后台系统 包括主机操作系统 数据库系统 网络设备 安业务支撑系统的所有后台系统 包括主机操作系统 数据库系统 网络设备 安 全设备 防火墙 等 全设备 防火墙 等 34A 管理平台 总体框架 4A 体系的建设应遵循如下总体框架结构 QB QB 12 图 3 1 业务支撑网 4A 管理平台总体框架图 4A 体系框架包括 4A 管理平台和一些外部组件 这些外部组件一般都是针对 4A 中某 一个功能的实现 如认证组件 审计组件等 这些组件在某些省移动中有些已经部署和实 现 4A 管理平台在产品选型和部署时要充分考虑对现有外部组件的利旧支持和功能整合 4A 体系通过 4A 管理平台提供的平台接口层直接或间接地 经由外部组件 实现对资 源层 主要包括 BOSS 系统 经营分析系统 运营管理系统等应用和网络设备 数据库 操作系统和安全设备等系统的 4A 管理 同时 4A 管理平台也需要通过接口层来支持与其 它管理平台的互联互通 4A 体系框架中最重要的是 4A 管理平台 4A 管理平台是整个 4A 体系的管理枢纽 QB QB 13 4A 管理平台由平台管理层 平台功能层和平台接口层构成 负责用户主从帐号管理 认证 管理和调度 权限分配和控制 审计信息搜集和管理 平台管理层 实现对平台自身的管理 具体功能应包括管理员管理 平台内部权限管理 组件 管理 运行管理和备份管理 1 管理员管理 2 权限管理 3 组件管理 4 运行管理 5 备份管理 平台功能层 实现 4A 管理平台的功能 具体包括帐号管理功能 认证管理功能 授权管理功 能和审计管理功能 1 帐号管理 实现组织结构 部门 地域等 和自然人的管理 实现主帐号管理 角色管 理 从帐号管理和帐号属性管理等 2 认证管理 提供用户登录时的身份认证功能 在有外部认证模块时 提供认证的转发功 能 实现用户登录各资源的单点登录功能 3 授权管理 提供对应用资源 BOSS 系统 经营分析系统 运营管理系统等 和系统资源 主机 网络设备 数据库 安全设备等 的管理 实现自然人对资源访问 主帐号对从帐号 的授权 4 审计管理 提供审计信息的搜集 分析和报表功能 应支持登录行为的审计和访问行为 的审计 审计信息的搜集可能通过外部审计模块完成 平台接口层 实现 4A 管理平台对各种资源管理以及与其它管理平台互联的相关接口 具体包 括帐号接口 认证接口 审计接口和外部管理接口 1 帐号接口 提供从帐号的同步和导入接口 QB QB 14 2 认证接口 提供主从登录的认证和转发接口 3 审计接口 提供审计信息的导入和导出接口 4 外部管理接口 实现与其他管理系统的互联 44A 管理平台 功能要求 4 1帐号 管理 4 1 1 帐号管理的范围 帐号管理用于在业务支撑网环境中 集中维护包括自然人 主帐号 和资源 从帐号 在内的全部帐号以及和帐号相关的可在 4A 帐号管理模块中集中管理的帐号属性 帐号管理的主帐号应包括在 4A 管理平台中创建用于标识唯一自然人 ID 的主帐号 同 时包括从现存权威身份数据源导入或映射的用于标识自然人唯一 ID 的主帐号 主帐号的 范围包括内部员工帐号和外部工作人员帐号 帐号管理的从帐号应包括业务支撑网环境 所有资源中可用于获得对资源访问权的全 部帐号 资源的范围包括系统资源 主机 网络设备 数据库 安全设备 其他 和应用 资源 BOSS 系统 经营分析系统 运营管理系统 其他 两大类 帐号的属性管理涵盖了和帐号相关的基本信息 时效策略 密码策略 组织标识 角 色标识等内容 应用资源 系统资源的从帐号管理必须通过应用资源 系统资源的从帐号管理必须通过 4A 管理平台进行 需要实现从帐号管理管理平台进行 需要实现从帐号管理 和角色管理等资源内部的维护功能 和角色管理等资源内部的维护功能 4 1 2 帐号管理的内容 帐号管理应提供完善的帐号生命周期管理能力 用于从现存帐号数据库导入或映射业 务支撑系统现存帐号 维护和现有外部帐号库中帐号的同步更新 将帐号管理模块中帐号 推送到相应外部帐号库中等等 4 1 3主帐号管理 主帐号管理模块应该实现功能 QB QB 15 提供主帐号的组织管理 建立相应树状目录用于合理组织主帐号 提供主帐号的组管理 建立相应的帐号组 用于对帐号集合进行集中维护 提供对主帐号生命周期管理 包括建立 复制 修改 迁移 冻结 删除等功能 提供主帐号属性管理 用于对帐号的多种属性进行管理 包括帐号认证方式 时 效性和其他属性的管理 提供自服务功能 4A 管理平台所有用户通过登录 4A 管理平台 修改自身帐号属 性信息 包括修改主从帐号密码 主账户密码遗忘时重置等功能 用户通过自服 务修改密码时 系统应检查密码安全策略符合性 使之符合 4A 管理平台密码策 略管理中定义的相应要求 主帐号和密码的收集 存放应该充分考虑安全性要求 存放和传输过程都应加密 4 1 4从帐号管理 从帐号管理模块应该实现以下功能 提供对从帐号生命周期管理 包括同步 修改 冻结 删除等功能 提供对从帐号属性管理 包括从帐号的密码等内容 应该实现程序帐号对应的收集和管理 从帐号收集和存放应该充分考虑安全性要求 存放和传输过程都应该加密 4 1 5密码 策略管理 密码策略管理模块应该实现以下功能 提供对主从帐号密码强度的管理 在 4A 管理平台上面能够针对主从帐号的强度 进行管理 包括密码安全设置及修改 组成规则及校验策略等 提供对主从帐号密码有效期的管理 在 4A 管理平台上面进行安全使用和更新 具备密码有效期验证 提醒以及过期或输错次数锁定 管理员激活等功能 4 2认证管理 根据各省公司对不同强度认证机制的选择 在省中心建立集中的强身份认证系统 对 于来自不同业务支撑系统的用户 根据访问对象由认证功能模块来提供强认证服务 用户 QB QB 16 在访问受保护的系统之前 首先经过身份认证系统识别身份 然后根据用户的身份和授权 决定用户是否能够访问某个资源 4A 管理平台认证管理模块可以自身提供强认证服务 同时也可以根据需要将认证请求 转发给 4A 管理平台的外部强认证组件 来完成认证功能 4 2 1 认证管理的范围 4A 管理平台需要管理业务支撑系统中全部的认证登录过程 包括 4A 管理平台全部主 帐号的登录认证 主登录认证 和资源中全部从帐号的登录认证 二次登录认证 主帐号的认证必须采用静态密码 强认证系统进行 不能仅仅采用静态密码方式 应主帐号的认证必须采用静态密码 强认证系统进行 不能仅仅采用静态密码方式 应 用资源 系统资源的主帐号认证必须通过用资源 系统资源的主帐号认证必须通过 4A 管理平台的强认证服务或认证枢纽转发到外管理平台的强认证服务或认证枢纽转发到外 部强身份认证组件进行 部强身份认证组件进行 4 2 2 认证管理的内容 认证管理模块应该实现以下功能 建立集中强认证中心 用于为主登录认证和二次登录认证提供集中的认证服务 提供认证枢纽服务 在需要情况下 将认证请求转发至外部认证组件来完成认证 提供多种认证方式 在需要情况下 提供不同安全级别 不同安全策略的认证手 段 提供单点登录 SSO 的支持 用于自然人在完成主登录后 访问资源时 自动 完成二次登录过程 4 2 3 认证服务的 管理 认证服务模块应该实现以下功能 为主帐号登录过程提供认证支持 为从帐号登录过程提供认证支持 为 SSO 登录过程提供认证支持 4 2 4 认证枢纽的 管理 提供将认证请求转发到外部认证组件的能力 通过 4A 管理平台来实现与面向业务支 QB QB 17 撑系统的统一或者多个外部强认证系统进行中转处理 接收并处理认证结果 4 2 5 SSO 的管理 SSO 管理模块应该实现以下功能 提供基于客户端模式或基于 Portal 模式的单点登录能力 提供网关或旁路模式的 单点登录能力 结合业务支撑系统的实际情况建立单点登录平台 提供 B S 结构资源 C S 结构 资源的单点登录能力 4 2 6 认证手段 必须支持以下认证手段 静态密码 必须支持以下强认证手段中的一种 动态密码 例如软件令牌和硬件令牌等 一次性密钥 例如短信一次性密钥或者语音一次性密钥等 生物认证 例如指纹或者虹膜等 PKI 证书 例如 USB 证书或软件证书等 4 2 7提供多种手段的组合使用 认证过程应该支持多种手段混合使用 具体包括 叠加使用 指在一次认证中可以连续使用两种认证方式 例如同时使用静态密码 和证书认证 选择使用 指 4A 管理平台支持在一种认证失效的时候可以有一种认证方式在紧 急情况下使用 4 3授权管理 4 3 1 授权管理的范围 授权管理实体 即资源 的范围包括系统资源 主机 网络设备 数据库 安全设备 其他 和应用资源 BOSS 系统 包括客服和容灾 经营分析系统 运营管理系统 其 QB QB 18 他 两大类 授权管理 包括支撑系统中全部资源的实体级授权和实体内授权 实体级授权 即主帐号代表的自然人可以访问哪些资源 包括系统和应用 的授 权 实体内授权 包括基于角色的授权和细粒度权限授权 应用资源的实体内授权管理必须通过应用资源的实体内授权管理必须通过 4A 管理平台进行 需要实现基于角色的授权或管理平台进行 需要实现基于角色的授权或 细粒度的授权管理 具体实现方式参考本规范第细粒度的授权管理 具体实现方式参考本规范第 7 8 两章节中的改造要求 两章节中的改造要求 系统资源的授权管理必须在系统资源的授权管理必须在 4A 管理平台上实现针对主帐号的实体级授权 系统资源管理平台上实现针对主帐号的实体级授权 系统资源 内部的细粒度授权可以通过第内部的细粒度授权可以通过第 3 方安全软件纳入方安全软件纳入 4A 管理平台 也可以不在管理平台 也可以不在 4A 管理平台上管理平台上 面实现 而通过面实现 而通过 4A 管理平台管理平台 如堡垒主机如堡垒主机 登录后直接在系统资源上进行细粒度的授权 登录后直接在系统资源上进行细粒度的授权 4 3 2 授权管理的内容 授权管理要求集中进行 强调的是逻辑上的集中 而不是物理上的集中 在资源中拥 有各自独立的权限管理功能 4A 管理平台可以对各自的管理对象进行授权 而不需要进入 每一个被管理对象才能授权 授权管理包括对应用资源的管理和系统资源的管理 授权管理包括对资源中角色的管理 授权管理包括对主帐号和资源间授权关系的管理 4 3 3 资源管理 资源包括应用和系统 应用主要包括 BOSS 系统 经营分析系统和运营管理系统等 系统主要包括数据库 中间件 主机 网络设备 安全设备等 资源必须进行登记 具体内容包括 系统资源 至少包括资源名称 版本 IP 地址 连接方式 应用资源 至少包括资源名称 连接方式 资源可以按照树状结构进行组织 如按照业务系统组织或者按照地域组织 可以通过与其他系统 例如网管系统 交互获得资源信息 QB QB 19 4 3 4 角色管理 4A 管理平台将主要采用基于角色对应用进行集中授权管理 角色在 4A 系统中管理 包括创建 绑定权限 变更 删除 4A 系统中角色会被同 步到资源中 4A 管理平台保存资源上的角色 用于授权管理 多个角色在 4A 管理平台中组合成为一个角色组 4A 管理平台本身不直接对应用或者系统的细粒度权限进行管理 包括创建 绑定权限 变更 删除 但必须能够保证权限授予角色和从帐号 应用系统必须进行角色梳理 将所有权限都能按角色方式进行管理 4 3 5 资源授权 授权关系应包括三个元素 授权主体 授权客体 授权关系 授权主体应包括 主帐号 主帐号组以及二者的组合 授权客体应包括 角色 角色组 权限以及三者的组合 授权关系应任意主体对客体的授权 应该支持创建临时帐号或者赋予临时权限 到期收回 应该支持帐号委托管理的功能 用户可以指定将自己从帐号临时给其他用户借用 到 期后系统重置密码并通知将帐号借出的用户 授权管理范围涉及帐号 角色 资源和权限等概念 它们之间关系如下 图 4 1 4A 平台与应用系统的帐号 角色和权限关系图 QB QB 20 一个自然人对应一个主帐号 一个主帐号对应多个角色组或者多个从帐号 一个角色组对应多个资源上的多个角色 一个从帐号可以对应一个资源上的角色 一个角色对应资源上的多个权限 主帐号和角色组信息仅在 4A 管理平台中存储 从帐号和角色同时在 4A 管理平台 和资源上存储 权限信息仅仅在资源上存储 4 4审计管理 4A 管理平台审计管理的主要目标是 业务支撑系统中的被管帐号对被管资源的高敏感 数据访问和关键操作行为都应该被审计 接收和保存审计信息 用于安全审查和追踪依据 及时发现非法登录和非法操作 对非法登录和非法操作快速分析 定位和响应 4 4 1 审计管理范围 审计管理范围包括 4A 管理平台自身的安全日志记录信息 被管理资源的高敏感度数 据访问和关键操作行为审计记录 4A 管理平台的审计信息包括 4A 帐号管理审计数据 4A 管理平台登录审计数据 4A 管理平台二次登录 SSO 的审计数据 4A 管理平台授权的审计数据 4A 管理平台自身管理的审计数据 被管理资源的审计信息包括 应用 BOSS 系统 经营分析系统和运营管理系统等应用 的操作行为数据 数据库 中间件等第三方应用系统的操作行为数据 操作系统的操作行为数据 网络设备及其他设备的操作行为数据 应用资源 系统资源中的高敏感数据访问和关键操作行为审计信息必须收集到应用资源 系统资源中的高敏感数据访问和关键操作行为审计信息必须收集到 4A 管管 QB QB 21 理平台的统一管理 可以直接收集也可以通过外部审计组件进行日志收集 理平台的统一管理 可以直接收集也可以通过外部审计组件进行日志收集 4A 管理平台中管理平台中 的审计信息必须对包括特权帐号的访问需要进行重点审计 的审计信息必须对包括特权帐号的访问需要进行重点审计 4 4 2 审计信息收集与标准化 4A 管理平台通过审计接口 从被管理资源或第三方审计组件收集审计信息 为了兼容各种网络设备 操作系统和应用系统的审计信息 4A 管理平台需支持多种审 计接口 包括 FTP Syslog SNMP JDBC ODBC 等 详见平台接口规范部分 为了便于审计信息的统一存储和分析 4A 管理平台必须对收集到的审计信息格式进行 标准化处理 形成统一的审计数据格式进行存储 对于可改造的应用系统或第三方审计组件 需按照统一数据格式进行标准化处理后 发送到 4A 管理平台 对于网络设备 安全设备 操作系统 数据库等难以改造的审计信 息 4A 管理平台提供自行标准化处理能力 4 4 3 审计分析 4A 管理平台必须提供对审计数据的分析能力 4A 管理平台应提供审计分析规则管理 接口 管理人员可自定义分析规则 由 4A 管理平台完成对审计数据的分析处理 对审计数据的分析包括 主从帐号关联 审计平台应能够通过主从帐号的映射关系 将审计信息中从帐号关联 到主帐号 从而实现审计数据和自然人的对应 分类 对审计信息进行分类处理 审计信息类型至少包括但不限于以下几种 帐号管理 认证 授权 登录 登出 操作行为 分级 根据审计信息的严重程度进行分级 审计信息的级别可至少分为 严重 警告 QB QB 22 一般 过滤 根据定义的过滤规则 对审计信息进行过滤 便于分析和展现 过滤的属性至 少应包括 源 目的 IP 地址 时间 主 从帐号 资源名 操作类型 操作名称 其他 4A 管理平台应提供强大的审计信息查询 管理人员可根据审计信息的各种属性进行查 询 4A 管理平台应提供审计报表处理能力 可根据管理人员的定义生成各类报表 4 4 4 审计预警 审计管理需提供审计预警功能 通过审计预警功能 及时发现非法登录或操作 并可 通过多种方式向管理人员发送预警 从而达到及时响应和处理的目的 提供细粒度的审计预警规则管理功能 可以根据系统特点和数据来源 对如源 IP 目的 IP 时间范围 用户名 资源名 操作命令等关键字段进行设置 产生预警规则 根据预警规则 对接收到审计信息进行分析和处理 发现符合预警规则的审计信息 则自动生成预警信息 预警信息的参数包括但不限于以下内容 预警 ID 预警类型 预警级别 预警内容 生成时间 预警信息的级别至少分为 严重 警告 一般 QB QB 23 预警信息的类型包括但不限于 非法登录 非法操作 敏感数据访问 预警信息可通过多种方式通知管理人员 通知方式包括但不限于 图形化界面显示 手机短信 邮件等 敏感数据访问预警针对一级敏感数据 非常重要 必须进行短信告警 敏感数据访问预警针对一级敏感数据 非常重要 必须进行短信告警 4 54A 管理平台 的自管理 为了整合各产品或功能模块 为系统管理员提供一个统一的展现界面 需要搭建一个 集中管理平台 4A 管理平台用于对多个功能模块及接口实现集中管理 其功能主要分为下述两个部分 4A 管理平台必须提供 Web 模式的展现 4A 管理平台自身模块的管理 4 5 1 管理员管理 4A 管理员的生命周期管理 提供对 4A 管理员本身的创建 修改 删除和查询等功能 4A 管理员的分级 分层管理 委托管理 或临时授权 提供对 4A 管理员的按照管理 需求进行级别定义等 4 5 2 权限管理 4A 管理员的权限管理 4A 管理员允许按照功能点和管理范围定义角色 并将人和角 色关联起来 4 5 3 组件管理 对 4A 管理平台的各组件设置提供统一的设置入口 QB QB 24 4 5 4运行管理 提供对 4A 管理平台相关模块启动 停止的管理 提供对 4A 管理平台状态的监控和管理 4 5 5备份管理 通过必要的设备或工具实现对 4A 管理平台本身的数据备份和恢复 保障平台的高可 用性 同时 需要提供安全管理措施来确保备份恢复手段的有效性 4 64A 管理平台 接口管理 4 6 1 帐号 管理接口 4A 管理平台中的帐号 包括主帐号和从帐号 其中主帐号的管理是由 4A 管理平台的 平台管理层内部实现 这里的帐号 角色接口主要用于从帐号 角色同步管理 即通过这个 接口 为 4A 管理平台提供一个通道 达到对各个被管理应用中的帐号 角色进行集中管理 的目的 本接口按照功能细分为五个子接口 分别是帐号查询接口 帐号同步接口 角色查询 接口 角色同步接口和权限配置接口 具体接口要求参见本规范的第六章 4 6 2 认证接口 和外部认证组件的接口 应能够支持现网存在的认证系统 允许 4A 管理平台将现存的强认证系统作为第三方认证组件 用于为 4A 管理平台的主 帐号登录提供认证支持 允许 4A 管理平台将现网存在的强认证系统作为资源 支持对其进行帐号的同步 从 而利旧现存的投资 同资源间认证接口 应支持对系统资源的认证转发接口 即系统资源的认证 可以通过本接口转发到 4A 管理平台 从而由 4A 管理平台为系统提供集中认证服务 具体接口要求参见本规范的第六章 QB QB 25 4 6 3 审计接口 同外部审计组件接口 同现网存在的审计系统提供数据的交互 允许通过该接口从现网存在的审计系统中读 取审计数据 用于 4A 管理平台的审计 同资源间审计接口 支持同现网的应用资源交互得到审计日志 支持同现网的系统资源交互得到审计日志 具体接口要求参见本规范的第六章 4 6 4 外部管理接口 与其他 4A 管理平台或管理平台的接口 支持基于 LDAP 树的复制 支持自定义协议的同步方式 与网管系统接口 应用支持被网管系统或者监控系统管理 支持发送 Syslog 或 SNMP 报告系统故障或者 系统事件 54A 管理平台 技术要求 5 1总体技术框架 4A 管理平台是整个 4A 体系的核心 通过 4A 管理平台自身或与外部组件 认证组件 审计组件等 的集成实现对应用和系统的 4A 管理 从而为管理员和用户提供了实现 4A 管 理的技术平台 4A 管理平台的总体技术框架结构如下 QB QB 26 图 5 1 业务支撑网 4A 管理平台的总体技术框架 如上图所示 4A 管理平台从技术架构上分为 3 个层面 Portal 层 为业务支撑系统的应用管理 系统管理等人员提供 4A 管理平台的访问入口 并提供 自服务入口 应用层 应用层是 4A 管理平台中最重要的一层 对应 4A 体系框架中的管理层和功能层 该层 对上为 Portal 层提供帐号管理 授权管理 审计管理 业务支撑系统访问管理等相关服务 对下为接口层提供帐号同步 认证 SSO 审计数据采集等各种服务 应用层必须实现帐号管理 角色管理 资源管理 授权管理 审计分析 审计预警 平台自管理等管理功能 提供帐号同步管理服务 认证服务 认证枢纽 SSO 服务 审计 数据采集等服务功能 保存平台核心数据 包括与帐号 密码 系统 应用 角色 策略等相 关的帐号数据和审计相关数据 接口层 包括平台与各个被管理的对象 系统和应用 外部认证或审计组件以及其他管理平 台之间的各种接口 4A 管理平台以应用层为基础 通过 Portal 层为管理人员和普通用户提供服务 通过接 QB QB 27 口层实现与各种资源 外部组件 其他管理平台的整合 5 2Portal 层技术要求 4A 管理平台 Portal 层作为平台使用的统一入口 为普通操作人员和管理人员提供一个 基于 Web 方式的登录界面 Portal 层应具有严格的用户强身份认证和鉴权机制 依据登录人员的不同身份展现不 同的维护管理界面 提供对应的 4A 管理平台的管理功能的访问 5 3应用层技术要求 4A 管理平台的应用层按照提供服务对象的不同可以划分为 前台应用层 核心数据库 以及后台服务层 5 3 1前台应用层技术要求 前台应用层特指如下功能模块 帐号管理 角色管理 资源管理 授权管理 审计分 析 审计预警以及 4A 管理平台自管理等 前台应用层模块实现技术要求 前台应用层模块应该实现无缝连接 能够独立处理各模块的功能 同时能够交互处理 一个跨模块的流程 各模块之间关系说明 前台应用层模块的帐号管理 角色管理 资源管理 授权管理主要实现对帐号数据库 进行维护管理的业务逻辑 这些模块还需要调用后台服务层模块 保证 4A 管理平台帐号 数据库中帐号 角色数据和各应用资源 系统资源的同步 前台应用层模块的审计分析和审计预警是用户对审计数据库进行查看和分析的功能模 块 审计分析主要从审计数据库中挖掘信息 提供各种审计报表 审计预警主要从审计数 据采集模块中实时接收数据 根据预定义的规则 从审计日志中分析出需要关注的操作行 为进行告警供监控人员进行处理 授权管理可以为用户指定应用 系统的角色和权限 用户角色在 4A 管理平台中进行 统一存储 因此为用户指定角色可以直接通过 4A 前台应用的授权管理模块实现 授予用 户的细粒度权限可以通过调用应用界面实现或通过服务接口实现 虽然细粒度权限在 4A QB QB 28 管理平台中不存储 但是对用户在应用中角色权限和细粒度权限的查询需要通过调用业务 支撑系统应用界面实现或通过服务接口实现 组件管理技术实现 4A 管理平台可以使用单一厂商产品或者多厂商产品并进行整合来实现 无论使用单一 厂商产品或者多厂商产品实现 均需要实现统一界面和统一组件管理 统一界面管理指 4A 前台各模块实现的功能和业务逻辑 在 4A 管理平台的 B S 界面中 统一实现 无需到其他界面中进行设置 统一组件管理指系统中各个模块和组件设置提供统一的设置入口 配置模块后台参数 或组件工作参数 5 3 2核心数据库技术要求 核心数据库主要包括帐号数据库和审计数据库 5 3 2 1 帐号数据库 帐号数据库中包括帐号 密码信息 系统及应用资源信息 角色及策略管理信息以及各 信息之间的关联关系信息 对于密码信息必须能够做到加密存放 鉴于帐号数据库中信息的特性 建议采用 LDAP 数据库或关系型数据库 如果采用的 是关系型数据库 为了提高系统性能 建议增加关系索引信息 标准 如果采用 LDAP 作为帐号数据库 建议兼容 LDAPv3 标准 RFC2251 或以上标准 访问控制 支持对帐号数据库的访问控制 可以支持到对所有主从帐号各种属性的读和写的控制 复制 帐号数据库应当支持多种复制粒度 能够实现基于目录树 基于某个分支的复制 能 够支持仅复制记录的部分属性 产品除提供相关的工具外 还应提供 API 调用服务 帐号数据库应具备机制保证复制的可靠性 能够在各种情况下 例如 网络在传输过 程中中断 主机宕机等 保证数据的一致性 帐号数据库作数据复制时 应当能够对传输的数据进行加密 帐号数据库应支持和其它数据源之间的数据双向复制 其它数据源包括关系数据库 QB QB 29 其他厂商的目录服务器等 数据的备份与恢复 帐号数据库应支持多种备份方式 如增量备份 数据库文