通信企业业务支撑网4A安全技术规范标准.docx

1、通信企业业务支撑网4A安全技术规范标准QB-W-016-2007版本号：1.0.0中国移动业务支撑网4A安全技术规范中国移动通信企业标准图形目录前 言本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)的安全系统（简称4A管理平台或4A平台）的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。结合中国移动省级业务支撑系统的整体规划，本规范还列出了结合BOSS系统3.0、经营分析系统2.0和运营管理系统2.0的安全建设要求和

2、配套改造要求。本标准的附录A、附录B为资料性附录。本标准由中移号文件印发。本规范由中国移动通信有限公司业务支撑系统部提出并归口。本规范由规范归口部门负责解释。本标准起草单位：中国移动通信集团公司业务支撑系统部。本标准主要起草人：田峰。概述范围本文对中国移动业务支撑网的BOSS系统、经营分析系统、运营管理系统的集中帐号、统一授权、身份认证和安全审计的4A系统建设进行了规范，供中国移动内部和厂商共同使用；适用于各省移动通信有限责任公司业务支撑系统的4A管理平台建设和配合4A平台进行业务支撑系统的改造。在业务支撑系统发生重大变更情况下，由有限公司业务支撑系统部对本规范进行修订。规范性引用文件下列文件

3、中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。1中国移动业务运营支撑系统（BOSS）规范（V3.0）中国移动通信有限公司2中国移动经营分析系统技术规范（V2.0）中国移动通信有限公司3中国移动支撑系统集中帐号管理、认证、授权与审计（4A）技术要求中国移动通信有限公司术语、定义和缩略语下列术语和定义适用于本规范：术语解释4AAccount，Authentication，Authorization，A

4、udit：帐号管理，授权管理，认证管理，审计管理。自然人使用业务支撑网中资源的物理存在的人。资源自然人要访问的业务支撑系统中实体，包括应用资源和系统资源。应用业务支撑系统中的一种资源类型，包括BOSS系统、经营分析系统、BOSS网管系统（运营管理系统）等。系统业务支撑系统中的一种资源类型，包括主机、网络设备、数据库等。主帐号自然人在4A中的唯一身份标识。从帐号资源中的帐号。帐号组由主帐号或从帐号构成的集合。权限资源访问能力的标识。角色资源中若干访问权限的集合。角色组角色构成的集合。日志资源对行为的记录。审计日志分析的过程。LDAPLight-weight Directory Access Pr

5、otocol轻量目录访问协议。MACMessage Authentication Code 消息验证码。RDBRational Database关系数据库。SSLSecure Sockets Layer加密套接字层。SSOSingle Sign-on 单点登录。综述 背景和现状分析 随着中国移动业务支撑系统的迅速发展，各种支撑应用和用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，对系统之间的整合提出了更高的要求。系统整合的一个重要基础是帐号数据的统一、授权的集中、单点登录认证、安全审计。原有的帐号、权限、认证、审计方面的安全措施已不能满足中国移动目前及未来业务支撑系统发展的要求。主

6、要问题表现在以下方面：1、独立的用户数据库和独立的系统管理员：中国移动的业务支撑系统中有BOSS系统、经营分析系统和运营管理系统，以及对应的大量子系统，大量的网络设备、主机系统和数据库和安全设备。目前，大部分省分的各个业务支撑系统都有各自一套独立的帐号、认证、授权和审计机制，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个业务支撑系统进行维护时，工作复杂度会成倍增加。2、独立的业务支撑系统授权机制和独立的业务系统授权管理：各业务支撑系统分别管理所属的系统资源和应用资源，并为本系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法集中按照最小权限原则分配实体级的首页登录权限和实体内细

7、粒度权限。另外，随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。3、自然人身份和业务系统帐号重叠：现有的业务支撑系统中，用户（自然人）的身份和业务支撑系统中的帐号是重叠的，人和业务系统间是短连接的方式，“人（自然人）业务系统帐号。这样流程的扁平，带来了身份的混乱，对于业务支撑系统，人的身份多重化，复杂化，带来了大量的交叉关系。有些业务支撑系统的帐号多人共用，不仅在发生安全事故难于确定帐号的实际使用者，而且平时难于对帐号的扩散范围进行控制。4、自然人对多系统的访问频繁切换都基于独立的帐号管理实现：业务支撑系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另

8、一系统时，都需要输入用户名和密码进行登录。给用户的工作带来不便，影响了工作效率。特别是针对后台系统类的管理，更是缺乏必要的帐号统一管理和措施。用户为便于记忆密码会采用较简单的密码或将多个支撑系统的密码设置成相同的，危害到系统的安全性。5、独立的审计，缺乏关联分析：由于各支撑系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合日志分析，不能及时发现入侵行为进行安全预警和数据责任追踪。总之，随着业务支撑系统的发展及内部用户的增加，一

9、方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。因此，迫切需要一个统一的基础安全服务系统能为各应用系统提供准确组织人员数据，并可以高效、方便的进行数据安全管理。4A管理平台的建设能够保障用户合法、安全、方便使用业务支撑系统的特定资源。既有效地保障了合法用户的权益，又能有效地保障业务支撑系统安全可靠地运行。4A平台建设目标 业务支撑网4A管理平台的建设目的是将业务支撑系统中的帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit) 整

10、合成集中、统一的安全服务系统，简称4A管理平台或4A平台。通过4A管理平台提供统一的基础安全服务技术架构，使新的应用可以很容易的集成到安全管理平台中。通过该平台对业务支撑系统各种IT资源（包括应用和系统）进行集中管理，为各个业务系统提供集中4A安全服务，提升业务支撑系统安全性和可管理能力。4A管理平台的主要目的如下： 实现对BOSS系统、经营分析系统、运营管理系统以及操作系统、数据库、网络设备、安全设备等各种IT资源的帐号、认证、授权和审计的集中控制和管理。为业务支撑系统提供机制统一、多样化的帐号、认证、授权和审计安全服务，实现业务支撑系统管理模式和应用模式平滑过渡以及与其他4A平台之间的数据

11、交互。 实现集中化、基于角色的的主从帐号管理，实现实体级别的权限控制和管理。自然人与其拥有的主帐号关联，统一规划用户身份信息和角色，对不同系统中的帐号进行创建、分配、同步，最终建立业务支撑系统中自然人的单一视图（主帐号管理）、业务支撑系统资源的单一视图（从帐号管理）。 实现业务支撑系统基于主帐号的集中强身份认证和访问入口。在不更改或只对应用有限更改的情况下，在原来只有弱身份认证手段的应用上，通过4A管理平台门户或配合应用门户改造集成强身份认证手段。实现强认证手段和应用的相对隔离和灵活使用。 实现基于集中管控安全策略的访问控制和授权管理、访问鉴权。结合用户使用业务支撑系统中资源的具体需求情况进行

12、合理权限分配和校验，实现不同用户对不同部分实体资源的访问。最终建立完善的资源对自然人的授权管理。 实现集中安全审计管理，收集、记录、管理用户对业务支撑系统的高敏感度的数据访问和关键操作行为记录。统计自然人对资源中高敏感度数据（非常重要和重要）的访问情况和操作记录，在出现安全事故时用于责任追踪。同时，对人员的登录过程、关键操作行为等进行审计和处理。最终建立完善针对“自然人资源”访问过程的完整审计管理。4A平台管理范围4A管理平台需要考虑应用层面、系统层面。系统层面强化面向自然人和操作级的安全管理方面，应用层面以BOSS、经营分析系统和运营管理系统为核心，进行业务支撑系统应用的改造，逐步满足业务支

13、撑网各应用的4A安全服务要求。4A管理平台着重完成人（自然人）与帐号（资源）分离，也就是自然人与业务支撑系统的安全管理功能组成分离，新的横向模式是“人（自然人）授权业务系统帐号（资源）”。新模式下的有效的隔离，使得自然人的身份可以被集中管理；业务系统的帐号可以被集中管理；提供强认证；集中管理对自然人的授权；自然人对资源的操作过程进行集中审计。4A管理平台的管理范围： 应用资源业务支撑系统的所有应用系统，包括BOSS系统（含客服和容灾）、经营分析系统、运营管理系统等。 系统资源：业务支撑系统的所有后台系统，包括主机操作系统、数据库系统、网络设备、安全设备（防火墙）等。4A管理平台总体框架4A体系

14、的建设应遵循如下总体框架结构：图 31 业务支撑网4A管理平台总体框架图4A体系框架包括4A管理平台和一些外部组件，这些外部组件一般都是针对4A中某一个功能的实现，如认证组件、审计组件等。这些组件在某些省移动中有些已经部署和实现， 4A管理平台在产品选型和部署时要充分考虑对现有外部组件的利旧支持和功能整合。4A体系通过4A管理平台提供的平台接口层直接或间接地（经由外部组件）实现对资源层，主要包括BOSS系统、经营分析系统、运营管理系统等应用和网络设备、数据库、操作系统和安全设备等系统的4A管理。同时，4A管理平台也需要通过接口层来支持与其它管理平台的互联互通。4A体系框架中最重要的是4A管理平

15、台，4A管理平台是整个4A体系的管理枢纽。4A管理平台由平台管理层、平台功能层和平台接口层构成，负责用户主从帐号管理、认证管理和调度、权限分配和控制、审计信息搜集和管理。 平台管理层实现对平台自身的管理，具体功能应包括管理员管理、平台内部权限管理、组件管理、运行管理和备份管理。1） 管理员管理2） 权限管理3） 组件管理4） 运行管理5） 备份管理 平台功能层实现4A管理平台的功能，具体包括帐号管理功能、认证管理功能、授权管理功能和审计管理功能。1） 帐号管理实现组织结构（部门、地域等）和自然人的管理，实现主帐号管理、角色管理、从帐号管理和帐号属性管理等。2） 认证管理提供用户登录时的身份认证功能；在有外部认证模块时，提供认证的转发功能；实现用户登录各资源的单点登录功能。3） 授权管理提供对应用资源（BOSS系统、经营分析系统、运营管理系统等）和系统资源（主机、网络设备、数据库、安全设备等）的管理；实现自然人对资源访问（主帐号对从帐号）的授权。4） 审计管理提供审计信息的搜集、分析和报表功能，应支持登录行为的审计和访问行为的审计。审计信息的搜集可能通过外部审计模块完成。 平台接