(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定

中国移动统一信息平台技术规范中国移动企业信息化一期工程统一信息平台技术规范（v1.0）中国移动通信集团公司目录1 总则 (1)1.1. 概述 (1)1.2. 适用范围 (1)1.3. 起草单位 (2)1.4. 解释权 (2)2 应用体系架构 (3)2.1. 两级架构 (3)2.2. 统一信息平台的组成 (4)2.3. 总体技术要求 (5)3 展示平台 (6)3.1. 域名规则 (6)3.2. 登录流程 (7)3.3.访问安全控制 (7)3.3.1. ......................................................... 认证83.3.2. ......................................................... 加密93.3.3. ......................................................... 授权93.4.个性化展现管理 (9)3.5.内容应用聚集 (10)3.6.系统性能要求 (11)4 网络和接入平台 (12)4.1.全国互联广域网组织结构 (12)4.1.1. ..................... 全国互联广域网拓扑结构124.1.2. ................. 广域网互联承载网络的选择134.1.3. ......................... 全国互联广域网的路由144.1.4. ................. 全国互联广域网的网络安全144.2.集团公司统一信息平台的网络组织结构14 4.2.1. ............. 集团公司统一信息平台局域网144.2.2. ................. 集团公司统一信息平台接入164.3.省公司统一信息平台的网络组织结构 (17)4.3.1. ................. 省公司统一信息平台局域网174.3.2. ..................... 省公司统一信息平台接入194.4.I P地址规划 (20)4.4.1. .................................... I P地址规划原则204.4.2. .................................... I P地址规划方法224.4.3. .................................... I P地址规划要求235安全管理平台 (24)5.1.网络管理及网络安全 (24)5.1.1. ......................................... 网络系统管理245.1.2. ................................................. 网络安全245.2.系统管理及系统安全 (25)5.2.1...................................................... 系统管理255.2.2. ................................................. 系统安全265.2.3. ..................................... 数据管理和安全285.2.4. ..................................................... 防病毒296系统和环境要求 (30)6.1.系统要求 (30)6.1.1. ................................................. 主机设备306.1.2. ................................................. 操作系统316.1.3. ......................................... 存储备份设备316.1.4. ................................................. 网络设备326.1.5. ..................................................... 数据库346.1.6. ......................................... 展示平台软件366.1.7. ................................................. 开发工具376.1.8. ................................................. 系统文档376.2.机房环境要求 (38)6.2.1. ......................................... 机房环境条件386.2.2. ................................................. 接地要求396.2.3. ............................................. 空调及电源401 总则1.1. 概述目前中国移动通信集团公司已成为世界第一大GSM移动电话运营商，并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。

（信息技术）中国移动信息系统集中账号口令管理(A)技术要求(定中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求版本号：1.0.0目次前言 (1)1. 目的和适用范围 (2)2. 引用标准 (4)3. 相关术语与缩略语解释 (5)4. 综述 (6)4.1. 账号口令管理现状与面临的困难 (6)4.2. 4A框架国内外现状 (7)4.3. 中国移动4A框架 (9)4.4. 4A用例描述 (10)4.4.1. 管理员工作过程 (10)4.4.2. 普通用户工作过程 (10)4.5. 4A框架的价值 (11)4.5.1. 企业角度 (11)4.5.2. 管理员角度 (11)4.5.3. 普通用户角度 (12)4.5.4. 系统安全角度 (12)4.5.5. 系统管理成本角度 (12)5. 集中账号管理 (13)5.1. 集中账号管理的目的 (13)5.2. 对集中账号管理的要求 (13)5.3. 账号生存期管理 (15)5.3.1. 用户与账号的关系 (15)5.3.2. 用户、账号的管理流程 (16)5.4. 账号集中化管理架构 (17)5.4.1. 一般模型 (17)5.4.2. 主机、网络设备账号管理 (18)5.4.3. 应用系统账号集中管理 (20)5.4.4. 对集中账号管理的要求 (21)5.5. 自我服务系统 (22)6. 集中授权 (23)6.1. 基本技术 (23)6.1.1. 集中权限分配 (23)6.1.1.1. 权限定义 (23)6.1.1.2. 集中权限分配粒度 (24)6.1.1.3. 主流的授权技术 (25)6.1.1.4. 账号、用户、用户组、角色、权限关系 (26)6.1.2. 集中访问控制 (28)6.2. 网络设备和主机系统的集中授权 (30)6.3. 应用系统基于角色的集中授权 (31)6.4. 细粒度访问控制 (32)7. 集中认证 (34)7.1. 身份认证方式 (34)7.1.1. 基于用户名/口令的认证方式 (34)7.1.2. 基于动态口令的认证方式 (35)7.1.3. 基于智能卡的认证方式 (35)7.1.4. 基于生物特征的认证方式 (36)7.1.5. 基于数字证书的认证体系 (37)7.2. 认证方式选择 (37)7.3. 单点登录（Single Sign－On，SSO） (38)7.3.1. 单点登录要求 (39)7.3.2. 单点登录系统模型 (39)7.3.2.1. 以服务器为中心的单点登录模型 (39)7.3.2.2. 以客户端为中心的单点登录模型 (41)7.3.2.3. 客户/服务器模式的单点登录模型 (42)7.3.2.4. 模型选择 (43)7.3.3. 单点登录产品选择 (44)7.3.4. 单点登录适用范围 (45)7.3.5. 单点登录与集中身份认证 (46)7.4. 集中身份认证 (46)8. 集中安全审计 (49)8.1. 4A框架下的集中安全审计 (49)8.2. 基本要求 (50)8.3. 功能要求 (51)8.4. 审计结果的处理方式 (51)8.5. 集中存储策略 (52)9. 中央管理平台 (53)9.1. 目的 (53)9.2. 功能描述 (53)9.3. 功能要求 (54)9.4. 技术要求 (55)10. 实施建议 (56)10.1. 总体原则 (56)10.2. 技术建设建议 (57)10.2.1. 网络设备、主机集中管理 (57)10.2.1.1. 明确网络设备、主机资源及其访问权限 (57)10.2.1.2. 建立用户信息库 (57)10.2.1.3. 账号集中管理 (58)10.2.2. 应用集中管理 (59)10.2.2.1. 确定应用系统中的信息资源及其访问权限 (59)10.2.2.2. 建立用户信息数据库 (59)10.2.2.3. 根据工作岗位和任务职责定义角色 (60)10.2.2.4. 将角色分配给相关的用户 (61)10.2.3. 审计系统 (62)10.2.4. 口令策略管理 (62)10.3. 分步实施建议 (63)10.4. 实施过程中需要注意的问题 (65)10.4.1. 集中度的把握 (65)10.4.3. 紧急情况的处理 (66)10.4.4. 分级管理 (66)10.5. 4A产品选择需要考虑的问题 (67)11. 4A平台技术要求 (69)11.1. 涉密要求 (69)11.2. 可扩展性 (69)11.3. 开放性 (69)11.4. 安全（容灾）性 (69)11.5. 用户的自我管理 (70)11.6. 支持WEB方式 (70)12. 编制历史 (71)附录 (72)1. 中国移动安全目录规范 (73)1.1. 结构规划 (74)1.1.1. 目录内容规划 (74)1.1.2. 目录逻辑结构规划 (75)1.1.3. 目录物理结构规划 (82)1.2. 功能要求 (83)1.3. 编程接口 (85)2. 应用系统实现账号口令集中管理的相关标准 (90)2.1. 原有应用系统纳入4A框架管理的模式 (92)2.1.1.1. 实现方法 (92)2.1.1.2. 实施流程 (96)2.1.1.3. 注意事项 (98)2.1.1.4. 方案优点 (100)2.1.1.5. 方案缺点 (100)2.1.1.6. 4A框架对应用的管理 (100)2.1.2. 模式二：改造应用系统 (101)2.1.2.1. 背景和目的 (101)2.1.2.2. 参考资料 (101)2.1.2.3. 用户管理、认证、授权及审计流程 (102)2.1.2.4. 应用接口(API)－账号管理 (104)2.1.2.5. 应用接口(API)－认证及授权 (106)2.1.2.6. 接口应用 (108)2.2. 新应用系统开发 (111)2.3. 应用系统与企业安全目录 (112)3. 基于短消息的动态口令系统 (113)3.1. 动态口令技术 (113)3.2. 短消息业务概述 (113)3.3. 基于短信业务的主机动态口令登录 (114)3.3.1. 网络结构 (114)3.3.2. 登录口令获得流程 (115)3.3.3. 基于短信的动态口令系统的优点 (115)3.3.4. 基于呼叫中心的动态口令获取 (116)3.3.5. 小结 (116)4. 内部网的远程访问 (117)4.1. 远程拨号访问 (117)4.2. 通过虚拟专网(VPN)方式接入 (118)4.3. 通过专用软件方式接入 (118)前言本规范规定了中国移动通信有限公司各支撑系统内部用户账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)的统一框架（简称4A框架）的系统结构、关键技术实现方法、实施步骤及注意事项，附录部分阐述了4A框架下各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式，以及将应用系统纳入4A框架集中管理的具体方案。

关于信息系统登录口令的管理要求1.引言1.1 概述在信息系统中，登录口令是用户登录系统的首要凭证，它是保证系统安全的重要环节。

合理管理和要求登录口令的安全性，能有效防止未经授权的个人或者恶意攻击者进入系统，保护系统数据的安全和完整性。

因此，对于登录口令的管理要求也变得尤为重要。

本文将重点探讨关于信息系统登录口令的管理要求。

首先，我们将介绍登录口令的重要性，即通过登录口令可以确定用户身份，以此作为进入系统和执行系统操作的依据。

而对于一些系统，登录口令甚至具备管理员权限，如果登录口令的安全性较低，将会对系统的安全性产生重大威胁。

其次，我们将详细阐述关于登录口令的安全性要求。

登录口令的安全性要求是保障系统安全和用户利益的重要环节。

我们将从多个方面介绍登录口令的安全特性，包括密码长度、复杂性、有效期、加密传输等，以及对用户设置及管理登录口令时的要求。

最后，总结本文并提出对信息系统登录口令管理的具体要求。

我们将给出应遵循的规则和准则，包括严格遵循最佳实践、定期更新登录口令、不使用弱密码、定期进行安全检查等，以确保信息系统登录口令的安全性和合规性。

通过本文的深入探讨，读者将能够全面了解关于信息系统登录口令管理的要求，从而做好信息系统的登录口令设置和管理工作，有效提升系统的安全性和可靠性。

接下来，我们将具体分析登录口令的重要性和安全性要求。

1.2文章结构文章结构部分的内容：文章结构部分主要介绍了整篇文章的组织结构和各个章节的内容，并为读者提供了一个清晰的导航方向。

具体包括以下内容：本文共分为引言、正文和结论三个部分。

引言部分主要包括概述、文章结构和目的三个小节。

概述通过简要介绍了本文要探讨的主题——信息系统登录口令的管理要求，并突出了该主题的重要性。

文章结构部分即对整篇文章的章节组织进行说明，给读者提供了整体框架。

目的部分则阐明了本文的主要目标，即通过论述登录口令管理的必要性和重要性，为信息系统的安全性提供指导和建议。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

2019年《保密法》法律法规知识考试题库500题[含答案]一、选择题1．集中存储.处理工作秘密的信息系统和信息设备，参照（C ）级信息系统和信息设备管理A.绝密B.机密C.秘密2．涉密人员离岗.离职前，应当将所保管和使用的涉密载体全部清退，并（ C）。

A.登记销毁B.订卷归档C.办理移交手续3．国家秘密的保密期限届满的，自行（ C）。

A.变更B.公开C.解密4．一份文件为机密级，保密期限是20年，应当标注为（ C ）。

A.机密20年B.机密★C.机密★20年5．一切国家机关.武装力量.政党.社会团体.（ C都有保守国家秘密的义务。

A.国家公务员B.共产党员C.企业事业单位和公民6．国家秘密信息不得通过下列哪些渠道传递：（ABC）A.手机短信B.互联网电子邮件C.普通传真机7．某部干部李某为方便加班，用个人优盘从单位涉密计算机中拷贝了大量涉密文件带回家中，接入连接互联网的计算机并进行处理，致使优盘中的涉密文件被窃取。

李某的哪些行为违反了保密规定：（ABC）A.使用个人优盘拷贝涉密文件B.将存有涉密信息的优盘带回家中C.将存有涉密信息的优盘接入连接互联网的计算机处理涉密信息8．将手机带入涉密场所，存在下列哪些泄密隐患：（ABC）A.暴露涉密目标B.通话被窃听C.周围的声音信息被窃听9．淘汰处理的涉密存储介质和涉密计算机.传真机.复印件等设备的信息存储部件，应当严格履行清点.登记手续，送交（AB）销毁。

A.保密行政管理部门销毁工作机构B.保密行政管理部门指定的承销单位C.废品回收单位10．确因工作需要，经审批携带涉密笔记本电脑移动存储介质外出，下列哪些做法不符合保密要求：（ABC）A.交由亲友代为保管B.交由宾馆代为保管C.留在宾馆房间写字台抽屉内11．涉密计算机使用过程中，下列哪些行为存在泄密隐患：（ABC）A.连接手机B.连接有线电视C.连接私人MP3.数码相机12．单位保密委员会组成人员是（ABCD）A.单位法定代表人B.主要负责人C.单位负责人D.有关部门的主要负责人13．涉密信息系统的保密设施.设备应当（B ）。

中国移动“五条禁令”内容以及违规判定基本规则（一）严禁泄露或交易客户信息。

1、客户信息的界定（1）个人客户信息包括：非通信内容信息：个人基本信息（姓名、身份证件号码、手机号码、职业、所属单位名称、联系方式、单位或居住地址、家庭成员信息等），位臵信息，服务密码，账单和清单，等等；通信内容信息：客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的其他个人通信手段所传递的信息内容。

（2）集团客户信息包括：非通信内容信息：单位负责人和联系人基本信息，单位成员个人基本信息，业务合同，账单和清单，等等；通信内容信息：客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的各类信息化应用手段传递的信息内容。

2、泄露或交易行为的界定依据2009年2月通过的《中华人民共和国刑法修正案（七）》，任何将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，窃取或者以其他方法非法获取个人信息，违反国家规定侵入计算机信息系统获取信息或实施非法控制的行为，均属违法行为。

包括如下情况：（1）任何利用职务之便擅自查询、获取上述客户通信内容信息以及客户通话清单、位臵信息、服务密码等隐私信息的行为；（2）除如下四种客户信息正常使用或对外提供的情况外，擅自向他人或外方提供客户信息的行为：一是客户凭借有效证件或服务密码等方式通过身份鉴权验证、或委托他人依照公司有关业务规程办理的情况下，根据客户需要协助其查询、获取客户信息。

二是公司配合公安机关、国家安全机关或者人民检察院，依照法律程序对相关信息进行查询或提取。

三是在有保密协议或条款约定的前提下，并在取得用户同意的情况下，依照合作协议给业务合作伙伴提供必要的客户信息，仅用于用户定制的电信服务。

四是按照政府、消协等有关部门处理客户投诉、申诉的要求，向政府、消协等提供仅限于投诉处理相关的必要客户信息。

在违规行为中，泄漏客户通信内容信息、客户通话清单、位臵信息、服务密码等隐私信息的，以及以牟利为目的倒卖客户信息的交易行为违规情节更严重。

信息安全技术移动终端安全保护技术要求-编制说明1. 编制目的本文档的编制目的是为了规范移动终端信息安全技术保护的相关要求，保护用户信息与移动设备的安全。

通过明确移动终端安全保护技术的要求，帮助企业制定移动设备安全保护措施并提升安全意识，在避免信息泄露、防范黑客攻击等方面提供可行的保障措施。

2. 移动终端安全保护技术要求移动终端安全保护技术要求主要包括以下几个方面：2.1 设备管理企业需要对所有移动终端设备进行集中化管理。

集中化管理意味着所有移动设备都必须经过认证才能够接入企业的网络。

企业 IT 管理人员应保证每台移动设备都具有最新的软件版本和安全补丁。

2.2 密码保护对于所有移动终端设备，必须确保密码保护。

密码必须至少包括一个字母和一个数字，并且不得少于八个字符。

除了手动输入密码外，还可以使用指纹识别、面部识别等生物识别技术。

2.3 数据保护数据保护涉及到两个方面：数据在传输中的保护和数据在存储中的保护。

•数据在传输中的保护：数据在传输过程中必须使用加密技术进行保护。

对于敏感数据，建议使用严格的身份验证和访问控制机制。

•数据在存储中的保护：企业应该对移动设备上的数据进行加密存储，以避免数据被盗用或遗失后泄露出去。

2.4 应用程序策略企业应该对所有应用程序实施严格的审查和管理。

应用程序必须经过严格的安全测试和审核，以确保它们具有良好的安全性。

企业 IT 管理人员应该对企业内部应用程序、企业外部应用程序和个人下载的应用程序进行分类管理，制定政策和规定，以确保企业数据不会因应用程序的漏洞而受到损失。

2.5 远程删除和锁定对于被盗或失窃的移动设备，企业应该具有远程删除和锁定的能力。

管理员应该能够在受控环境中远程锁定和删除移动设备中的敏感数据，以避免信息泄露和网络攻击。

3. 结语在移动互联时代，移动终端安全保护已变得越来越迫切，而信息安全技术便成为了保护设备安全的重要手段。

本文档旨在为企业管理者提供一些有关移动终端安全保护的必要要求，可以使他们更好地了解信息安全技术的意义，并为其制定出恰当有效的安全保护措施，保证移动终端的安全。

中国移动WLAN网管系统技术规范（讨论稿）中国移动通信集团公司2002年9月目录1前言 (1)2范围 (1)3引用标准 (1)4缩略语 (2)5中国移动WLAN网络结构及业务概述 (3)5.1中国移动WLAN网络结构 (3)5.2中国移动WLAN组网结构 (4)5.3中国移动WLAN业务描述 (4)5.3.1互联网无线宽带接入 (4)5.3.2虚拟专用网业务(VPN) (4)5.3.3多媒体数据业务 (4)5.3.4基于WLAN的增值业务 (4)6WLAN网络管理系统结构 (5)6.1WLAN网管系统的建设原则和目标 (5)6.2WLAN网管系统的管理范围和对象 (5)6.3WLAN网管系统功能及要求 (5)6.3.1数据采集功能 (5)6.3.2性能管理 (5)6.3.3故障管理 (6)6.3.4配置管理 (7)6.3.5安全管理 (7)6.3.6拓扑管理 (8)6.3.7计费管理和业务管理功能 (8)6.4WLAN网管系统组成和组网结构 (8)7数据采集层 (9)7.1数据的采集内容 (9)7.1.1配置数据采集的内容 (9)7.1.2告警数据采集的内容 (16)7.1.3性能数据采集的内容 (18)7.2方式 (44)7.3要求 (44)8数据处理层 (44)8.1配置数据处理层 (44)8.1.1配置参数 (44)8.2告警数据处理层 (45)8.2.1告警参数 (45)8.3性能数据处理层 (45)9数据应用层 (61)9.1实时监测功能 (61)9.1.1实时性能监测功能 (61)9.1.2实时告警监测功能 (62)9.1.3网元状态监测功能 (62)9.2报表系统 (62)9.2.1AP的性能统计报表 (62)9.2.2AC的性能统计报表 (62)9.2.3AS的性能参数统计报表 (63)9.3拓扑图系统 (64)9.3.1拓扑图呈现网元的范围 (64)9.3.2拓扑图分类 (64)9.3.3网络拓扑浏览 (64)9.3.4拓扑图网络监视 (65)9.3.5拓扑图编辑 (65)9.4网络树图管理 (65)9.4.1网络树图种类 (65)9.4.2网络树图功能 (66)9.5实用工具 (66)10安全管理 (66)10.1WLAN网管系统的安全目标 (66)10.2应用系统安全 (66)10.2.1权限控制 (66)10.2.2日志管理 (67)10.3网络安全 (67)10.3.1与外界网络的互连 (67)10.3.2IP地址和域名的使用 (67)10.4网管设备安全 (67)10.4.1口令保护 (67)10.4.2设备使用安全 (67)10.5数据安全 (68)10.5.1数据保护 (68)10.5.2备份 (68)11网管系统自身管理 (68)11.1主机监控 (68)11.1.1服务器的性能监视 (68)11.1.2系统进程的监视 (68)11.1.3系统进程的操作 (68)11.2数据库监测 (69)11.3网络监视 (69)11.3.2状态监视 (69)11.3.3登录用户监视 (69)11.4IP地址配置管理 (69)11.5系统日志管理 (69)11.5.1系统日志内容 (69)11.5.2系统日志的格式 (69)11.5.3系统日志的查询、统计和删除 (70)11.6应用软件版本管理 (70)1前言中国移动无线局域网（以下简称WLAN）是一个全国性的、在一定区域范围内支持移动特性的无线宽带接入方式，为中国移动开展移动数据业务提供了有效的补充，而有效管理WLAN网是中国移动提高用户服务质量的重要环节。