(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定

中国移动统一信息平台技术规范中国移动企业信息化一期工程统一信息平台技术规范（v1.0）中国移动通信集团公司目录1 总则 (1)1.1. 概述 (1)1.2. 适用范围 (1)1.3. 起草单位 (2)1.4. 解释权 (2)2 应用体系架构 (3)2.1. 两级架构 (3)2.2. 统一信息平台的组成 (4)2.3. 总体技术要求 (5)3 展示平台 (6)3.1. 域名规则 (6)3.2. 登录流程 (7)3.3.访问安全控制 (7)3.3.1. ......................................................... 认证83.3.2. ......................................................... 加密93.3.3. ......................................................... 授权93.4.个性化展现管理 (9)3.5.内容应用聚集 (10)3.6.系统性能要求 (11)4 网络和接入平台 (12)4.1.全国互联广域网组织结构 (12)4.1.1. ..................... 全国互联广域网拓扑结构124.1.2. ................. 广域网互联承载网络的选择134.1.3. ......................... 全国互联广域网的路由144.1.4. ................. 全国互联广域网的网络安全144.2.集团公司统一信息平台的网络组织结构14 4.2.1. ............. 集团公司统一信息平台局域网144.2.2. ................. 集团公司统一信息平台接入164.3.省公司统一信息平台的网络组织结构 (17)4.3.1. ................. 省公司统一信息平台局域网174.3.2. ..................... 省公司统一信息平台接入194.4.I P地址规划 (20)4.4.1. .................................... I P地址规划原则204.4.2. .................................... I P地址规划方法224.4.3. .................................... I P地址规划要求235安全管理平台 (24)5.1.网络管理及网络安全 (24)5.1.1. ......................................... 网络系统管理245.1.2. ................................................. 网络安全245.2.系统管理及系统安全 (25)5.2.1...................................................... 系统管理255.2.2. ................................................. 系统安全265.2.3. ..................................... 数据管理和安全285.2.4. ..................................................... 防病毒296系统和环境要求 (30)6.1.系统要求 (30)6.1.1. ................................................. 主机设备306.1.2. ................................................. 操作系统316.1.3. ......................................... 存储备份设备316.1.4. ................................................. 网络设备326.1.5. ..................................................... 数据库346.1.6. ......................................... 展示平台软件366.1.7. ................................................. 开发工具376.1.8. ................................................. 系统文档376.2.机房环境要求 (38)6.2.1. ......................................... 机房环境条件386.2.2. ................................................. 接地要求396.2.3. ............................................. 空调及电源401 总则1.1. 概述目前中国移动通信集团公司已成为世界第一大GSM移动电话运营商，并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。

（信息技术）中国移动信息系统集中账号口令管理(A)技术要求(定中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求版本号：1.0.0目次前言 (1)1. 目的和适用范围 (2)2. 引用标准 (4)3. 相关术语与缩略语解释 (5)4. 综述 (6)4.1. 账号口令管理现状与面临的困难 (6)4.2. 4A框架国内外现状 (7)4.3. 中国移动4A框架 (9)4.4. 4A用例描述 (10)4.4.1. 管理员工作过程 (10)4.4.2. 普通用户工作过程 (10)4.5. 4A框架的价值 (11)4.5.1. 企业角度 (11)4.5.2. 管理员角度 (11)4.5.3. 普通用户角度 (12)4.5.4. 系统安全角度 (12)4.5.5. 系统管理成本角度 (12)5. 集中账号管理 (13)5.1. 集中账号管理的目的 (13)5.2. 对集中账号管理的要求 (13)5.3. 账号生存期管理 (15)5.3.1. 用户与账号的关系 (15)5.3.2. 用户、账号的管理流程 (16)5.4. 账号集中化管理架构 (17)5.4.1. 一般模型 (17)5.4.2. 主机、网络设备账号管理 (18)5.4.3. 应用系统账号集中管理 (20)5.4.4. 对集中账号管理的要求 (21)5.5. 自我服务系统 (22)6. 集中授权 (23)6.1. 基本技术 (23)6.1.1. 集中权限分配 (23)6.1.1.1. 权限定义 (23)6.1.1.2. 集中权限分配粒度 (24)6.1.1.3. 主流的授权技术 (25)6.1.1.4. 账号、用户、用户组、角色、权限关系 (26)6.1.2. 集中访问控制 (28)6.2. 网络设备和主机系统的集中授权 (30)6.3. 应用系统基于角色的集中授权 (31)6.4. 细粒度访问控制 (32)7. 集中认证 (34)7.1. 身份认证方式 (34)7.1.1. 基于用户名/口令的认证方式 (34)7.1.2. 基于动态口令的认证方式 (35)7.1.3. 基于智能卡的认证方式 (35)7.1.4. 基于生物特征的认证方式 (36)7.1.5. 基于数字证书的认证体系 (37)7.2. 认证方式选择 (37)7.3. 单点登录（Single Sign－On，SSO） (38)7.3.1. 单点登录要求 (39)7.3.2. 单点登录系统模型 (39)7.3.2.1. 以服务器为中心的单点登录模型 (39)7.3.2.2. 以客户端为中心的单点登录模型 (41)7.3.2.3. 客户/服务器模式的单点登录模型 (42)7.3.2.4. 模型选择 (43)7.3.3. 单点登录产品选择 (44)7.3.4. 单点登录适用范围 (45)7.3.5. 单点登录与集中身份认证 (46)7.4. 集中身份认证 (46)8. 集中安全审计 (49)8.1. 4A框架下的集中安全审计 (49)8.2. 基本要求 (50)8.3. 功能要求 (51)8.4. 审计结果的处理方式 (51)8.5. 集中存储策略 (52)9. 中央管理平台 (53)9.1. 目的 (53)9.2. 功能描述 (53)9.3. 功能要求 (54)9.4. 技术要求 (55)10. 实施建议 (56)10.1. 总体原则 (56)10.2. 技术建设建议 (57)10.2.1. 网络设备、主机集中管理 (57)10.2.1.1. 明确网络设备、主机资源及其访问权限 (57)10.2.1.2. 建立用户信息库 (57)10.2.1.3. 账号集中管理 (58)10.2.2. 应用集中管理 (59)10.2.2.1. 确定应用系统中的信息资源及其访问权限 (59)10.2.2.2. 建立用户信息数据库 (59)10.2.2.3. 根据工作岗位和任务职责定义角色 (60)10.2.2.4. 将角色分配给相关的用户 (61)10.2.3. 审计系统 (62)10.2.4. 口令策略管理 (62)10.3. 分步实施建议 (63)10.4. 实施过程中需要注意的问题 (65)10.4.1. 集中度的把握 (65)10.4.3. 紧急情况的处理 (66)10.4.4. 分级管理 (66)10.5. 4A产品选择需要考虑的问题 (67)11. 4A平台技术要求 (69)11.1. 涉密要求 (69)11.2. 可扩展性 (69)11.3. 开放性 (69)11.4. 安全（容灾）性 (69)11.5. 用户的自我管理 (70)11.6. 支持WEB方式 (70)12. 编制历史 (71)附录 (72)1. 中国移动安全目录规范 (73)1.1. 结构规划 (74)1.1.1. 目录内容规划 (74)1.1.2. 目录逻辑结构规划 (75)1.1.3. 目录物理结构规划 (82)1.2. 功能要求 (83)1.3. 编程接口 (85)2. 应用系统实现账号口令集中管理的相关标准 (90)2.1. 原有应用系统纳入4A框架管理的模式 (92)2.1.1.1. 实现方法 (92)2.1.1.2. 实施流程 (96)2.1.1.3. 注意事项 (98)2.1.1.4. 方案优点 (100)2.1.1.5. 方案缺点 (100)2.1.1.6. 4A框架对应用的管理 (100)2.1.2. 模式二：改造应用系统 (101)2.1.2.1. 背景和目的 (101)2.1.2.2. 参考资料 (101)2.1.2.3. 用户管理、认证、授权及审计流程 (102)2.1.2.4. 应用接口(API)－账号管理 (104)2.1.2.5. 应用接口(API)－认证及授权 (106)2.1.2.6. 接口应用 (108)2.2. 新应用系统开发 (111)2.3. 应用系统与企业安全目录 (112)3. 基于短消息的动态口令系统 (113)3.1. 动态口令技术 (113)3.2. 短消息业务概述 (113)3.3. 基于短信业务的主机动态口令登录 (114)3.3.1. 网络结构 (114)3.3.2. 登录口令获得流程 (115)3.3.3. 基于短信的动态口令系统的优点 (115)3.3.4. 基于呼叫中心的动态口令获取 (116)3.3.5. 小结 (116)4. 内部网的远程访问 (117)4.1. 远程拨号访问 (117)4.2. 通过虚拟专网(VPN)方式接入 (118)4.3. 通过专用软件方式接入 (118)前言本规范规定了中国移动通信有限公司各支撑系统内部用户账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)的统一框架（简称4A框架）的系统结构、关键技术实现方法、实施步骤及注意事项，附录部分阐述了4A框架下各功能模块与企业安全目录及应用系统、网络设备、主机系统的接口方式，以及将应用系统纳入4A框架集中管理的具体方案。

关于信息系统登录口令的管理要求1.引言1.1 概述在信息系统中，登录口令是用户登录系统的首要凭证，它是保证系统安全的重要环节。

合理管理和要求登录口令的安全性，能有效防止未经授权的个人或者恶意攻击者进入系统，保护系统数据的安全和完整性。

因此，对于登录口令的管理要求也变得尤为重要。

本文将重点探讨关于信息系统登录口令的管理要求。

首先，我们将介绍登录口令的重要性，即通过登录口令可以确定用户身份，以此作为进入系统和执行系统操作的依据。

而对于一些系统，登录口令甚至具备管理员权限，如果登录口令的安全性较低，将会对系统的安全性产生重大威胁。

其次，我们将详细阐述关于登录口令的安全性要求。

登录口令的安全性要求是保障系统安全和用户利益的重要环节。

我们将从多个方面介绍登录口令的安全特性，包括密码长度、复杂性、有效期、加密传输等，以及对用户设置及管理登录口令时的要求。

最后，总结本文并提出对信息系统登录口令管理的具体要求。

我们将给出应遵循的规则和准则，包括严格遵循最佳实践、定期更新登录口令、不使用弱密码、定期进行安全检查等，以确保信息系统登录口令的安全性和合规性。

通过本文的深入探讨，读者将能够全面了解关于信息系统登录口令管理的要求，从而做好信息系统的登录口令设置和管理工作，有效提升系统的安全性和可靠性。

接下来，我们将具体分析登录口令的重要性和安全性要求。

1.2文章结构文章结构部分的内容：文章结构部分主要介绍了整篇文章的组织结构和各个章节的内容，并为读者提供了一个清晰的导航方向。

具体包括以下内容：本文共分为引言、正文和结论三个部分。

引言部分主要包括概述、文章结构和目的三个小节。

概述通过简要介绍了本文要探讨的主题——信息系统登录口令的管理要求，并突出了该主题的重要性。

文章结构部分即对整篇文章的章节组织进行说明，给读者提供了整体框架。

目的部分则阐明了本文的主要目标，即通过论述登录口令管理的必要性和重要性，为信息系统的安全性提供指导和建议。

（安全管理）中国移动管理信息系统安全基线规范vQB-╳╳-╳╳╳-╳版本号：1.0.0前言本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准，是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。

本规范由中国移动通信集团公司管理信息系统部提出并归口管理。

本规范的解释权属于中国移动通信集团公司管理信息系统部。

本规范起草单位：中国移动通信集团公司管理信息系统部本规范主要起草人：起草人1姓名、起草人2姓名、……目录1概述41.1目标和适用范围41.2引用标准41.3术语和定义42安全基线框架52.1背景52.2安全基线制定的方法论62.3安全基线框架说明63安全基线范围及内容73.1覆盖范围73.2安全基线组织及内容83.2.1 安全基线编号说明93.2.2 Web应用安全基线示例93.2.3 中间件、数据库、主机及设备示例93.3安全基线使用要求104评审与修订101概述1.1目标和适用范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。

本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。

1.2引用标准◆《中国移动网络与信息安全总纲》◆《中国移动内部控制手册》◆《中国移动标准化控制矩阵》◆《中国移动操作系统安全功能和配置规范》◆《中国移动路由器安全功能和配置规范》◆《中国移动数据库安全功能和配置规范》◆《中国移动网元通用安全功能和配置规范》◆FIPS199《联邦信息和信息系统安全分类标准》◆FIPS200《联邦信息系统最小安全控制标准》1.3术语和定义2安全基线框架2.1背景中国移动管理信息系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。

2019年《保密法》法律法规知识考试题库500题[含答案]一、选择题1．集中存储.处理工作秘密的信息系统和信息设备，参照（C ）级信息系统和信息设备管理A.绝密B.机密C.秘密2．涉密人员离岗.离职前，应当将所保管和使用的涉密载体全部清退，并（ C）。

A.登记销毁B.订卷归档C.办理移交手续3．国家秘密的保密期限届满的，自行（ C）。

A.变更B.公开C.解密4．一份文件为机密级，保密期限是20年，应当标注为（ C ）。

A.机密20年B.机密★C.机密★20年5．一切国家机关.武装力量.政党.社会团体.（ C都有保守国家秘密的义务。

A.国家公务员B.共产党员C.企业事业单位和公民6．国家秘密信息不得通过下列哪些渠道传递：（ABC）A.手机短信B.互联网电子邮件C.普通传真机7．某部干部李某为方便加班，用个人优盘从单位涉密计算机中拷贝了大量涉密文件带回家中，接入连接互联网的计算机并进行处理，致使优盘中的涉密文件被窃取。

李某的哪些行为违反了保密规定：（ABC）A.使用个人优盘拷贝涉密文件B.将存有涉密信息的优盘带回家中C.将存有涉密信息的优盘接入连接互联网的计算机处理涉密信息8．将手机带入涉密场所，存在下列哪些泄密隐患：（ABC）A.暴露涉密目标B.通话被窃听C.周围的声音信息被窃听9．淘汰处理的涉密存储介质和涉密计算机.传真机.复印件等设备的信息存储部件，应当严格履行清点.登记手续，送交（AB）销毁。

A.保密行政管理部门销毁工作机构B.保密行政管理部门指定的承销单位C.废品回收单位10．确因工作需要，经审批携带涉密笔记本电脑移动存储介质外出，下列哪些做法不符合保密要求：（ABC）A.交由亲友代为保管B.交由宾馆代为保管C.留在宾馆房间写字台抽屉内11．涉密计算机使用过程中，下列哪些行为存在泄密隐患：（ABC）A.连接手机B.连接有线电视C.连接私人MP3.数码相机12．单位保密委员会组成人员是（ABCD）A.单位法定代表人B.主要负责人C.单位负责人D.有关部门的主要负责人13．涉密信息系统的保密设施.设备应当（B ）。

中国移动“五条禁令”内容以及违规判定基本规则（一）严禁泄露或交易客户信息。

1、客户信息的界定（1）个人客户信息包括：非通信内容信息：个人基本信息（姓名、身份证件号码、手机号码、职业、所属单位名称、联系方式、单位或居住地址、家庭成员信息等），位臵信息，服务密码，账单和清单，等等；通信内容信息：客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的其他个人通信手段所传递的信息内容。

（2）集团客户信息包括：非通信内容信息：单位负责人和联系人基本信息，单位成员个人基本信息，业务合同，账单和清单，等等；通信内容信息：客户通过语音网络、短信、彩信、飞信、电子邮箱、数据线路及我公司提供的各类信息化应用手段传递的信息内容。

2、泄露或交易行为的界定依据2009年2月通过的《中华人民共和国刑法修正案（七）》，任何将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，窃取或者以其他方法非法获取个人信息，违反国家规定侵入计算机信息系统获取信息或实施非法控制的行为，均属违法行为。

包括如下情况：（1）任何利用职务之便擅自查询、获取上述客户通信内容信息以及客户通话清单、位臵信息、服务密码等隐私信息的行为；（2）除如下四种客户信息正常使用或对外提供的情况外，擅自向他人或外方提供客户信息的行为：一是客户凭借有效证件或服务密码等方式通过身份鉴权验证、或委托他人依照公司有关业务规程办理的情况下，根据客户需要协助其查询、获取客户信息。

二是公司配合公安机关、国家安全机关或者人民检察院，依照法律程序对相关信息进行查询或提取。

三是在有保密协议或条款约定的前提下，并在取得用户同意的情况下，依照合作协议给业务合作伙伴提供必要的客户信息，仅用于用户定制的电信服务。

四是按照政府、消协等有关部门处理客户投诉、申诉的要求，向政府、消协等提供仅限于投诉处理相关的必要客户信息。

在违规行为中，泄漏客户通信内容信息、客户通话清单、位臵信息、服务密码等隐私信息的，以及以牟利为目的倒卖客户信息的交易行为违规情节更严重。

信息安全技术移动终端安全保护技术要求-编制说明1. 编制目的本文档的编制目的是为了规范移动终端信息安全技术保护的相关要求，保护用户信息与移动设备的安全。

通过明确移动终端安全保护技术的要求，帮助企业制定移动设备安全保护措施并提升安全意识，在避免信息泄露、防范黑客攻击等方面提供可行的保障措施。

2. 移动终端安全保护技术要求移动终端安全保护技术要求主要包括以下几个方面：2.1 设备管理企业需要对所有移动终端设备进行集中化管理。

集中化管理意味着所有移动设备都必须经过认证才能够接入企业的网络。

企业 IT 管理人员应保证每台移动设备都具有最新的软件版本和安全补丁。

2.2 密码保护对于所有移动终端设备，必须确保密码保护。

密码必须至少包括一个字母和一个数字，并且不得少于八个字符。

除了手动输入密码外，还可以使用指纹识别、面部识别等生物识别技术。

2.3 数据保护数据保护涉及到两个方面：数据在传输中的保护和数据在存储中的保护。

•数据在传输中的保护：数据在传输过程中必须使用加密技术进行保护。

对于敏感数据，建议使用严格的身份验证和访问控制机制。

•数据在存储中的保护：企业应该对移动设备上的数据进行加密存储，以避免数据被盗用或遗失后泄露出去。

2.4 应用程序策略企业应该对所有应用程序实施严格的审查和管理。

应用程序必须经过严格的安全测试和审核，以确保它们具有良好的安全性。

企业 IT 管理人员应该对企业内部应用程序、企业外部应用程序和个人下载的应用程序进行分类管理，制定政策和规定，以确保企业数据不会因应用程序的漏洞而受到损失。

2.5 远程删除和锁定对于被盗或失窃的移动设备，企业应该具有远程删除和锁定的能力。

管理员应该能够在受控环境中远程锁定和删除移动设备中的敏感数据，以避免信息泄露和网络攻击。

3. 结语在移动互联时代，移动终端安全保护已变得越来越迫切，而信息安全技术便成为了保护设备安全的重要手段。

本文档旨在为企业管理者提供一些有关移动终端安全保护的必要要求，可以使他们更好地了解信息安全技术的意义，并为其制定出恰当有效的安全保护措施，保证移动终端的安全。

中国移动WLAN网管系统技术规范（讨论稿）中国移动通信集团公司2002年9月目录1前言 (1)2范围 (1)3引用标准 (1)4缩略语 (2)5中国移动WLAN网络结构及业务概述 (3)5.1中国移动WLAN网络结构 (3)5.2中国移动WLAN组网结构 (4)5.3中国移动WLAN业务描述 (4)5.3.1互联网无线宽带接入 (4)5.3.2虚拟专用网业务(VPN) (4)5.3.3多媒体数据业务 (4)5.3.4基于WLAN的增值业务 (4)6WLAN网络管理系统结构 (5)6.1WLAN网管系统的建设原则和目标 (5)6.2WLAN网管系统的管理范围和对象 (5)6.3WLAN网管系统功能及要求 (5)6.3.1数据采集功能 (5)6.3.2性能管理 (5)6.3.3故障管理 (6)6.3.4配置管理 (7)6.3.5安全管理 (7)6.3.6拓扑管理 (8)6.3.7计费管理和业务管理功能 (8)6.4WLAN网管系统组成和组网结构 (8)7数据采集层 (9)7.1数据的采集内容 (9)7.1.1配置数据采集的内容 (9)7.1.2告警数据采集的内容 (16)7.1.3性能数据采集的内容 (18)7.2方式 (44)7.3要求 (44)8数据处理层 (44)8.1配置数据处理层 (44)8.1.1配置参数 (44)8.2告警数据处理层 (45)8.2.1告警参数 (45)8.3性能数据处理层 (45)9数据应用层 (61)9.1实时监测功能 (61)9.1.1实时性能监测功能 (61)9.1.2实时告警监测功能 (62)9.1.3网元状态监测功能 (62)9.2报表系统 (62)9.2.1AP的性能统计报表 (62)9.2.2AC的性能统计报表 (62)9.2.3AS的性能参数统计报表 (63)9.3拓扑图系统 (64)9.3.1拓扑图呈现网元的范围 (64)9.3.2拓扑图分类 (64)9.3.3网络拓扑浏览 (64)9.3.4拓扑图网络监视 (65)9.3.5拓扑图编辑 (65)9.4网络树图管理 (65)9.4.1网络树图种类 (65)9.4.2网络树图功能 (66)9.5实用工具 (66)10安全管理 (66)10.1WLAN网管系统的安全目标 (66)10.2应用系统安全 (66)10.2.1权限控制 (66)10.2.2日志管理 (67)10.3网络安全 (67)10.3.1与外界网络的互连 (67)10.3.2IP地址和域名的使用 (67)10.4网管设备安全 (67)10.4.1口令保护 (67)10.4.2设备使用安全 (67)10.5数据安全 (68)10.5.1数据保护 (68)10.5.2备份 (68)11网管系统自身管理 (68)11.1主机监控 (68)11.1.1服务器的性能监视 (68)11.1.2系统进程的监视 (68)11.1.3系统进程的操作 (68)11.2数据库监测 (69)11.3网络监视 (69)11.3.2状态监视 (69)11.3.3登录用户监视 (69)11.4IP地址配置管理 (69)11.5系统日志管理 (69)11.5.1系统日志内容 (69)11.5.2系统日志的格式 (69)11.5.3系统日志的查询、统计和删除 (70)11.6应用软件版本管理 (70)1前言中国移动无线局域网（以下简称WLAN）是一个全国性的、在一定区域范围内支持移动特性的无线宽带接入方式，为中国移动开展移动数据业务提供了有效的补充，而有效管理WLAN网是中国移动提高用户服务质量的重要环节。

信息系统权限管理制度为了医院信息管理系统数据的安全管理，避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作，特制定医院信息管理系统权限管理制度，对各科室工作人员操作医院信息管理系统进行严格的管理，并按照各用户的身份对用户的访问权限进行严格的控制，保证我院信息管理系统的正常运转，特制定本管理制度。

一、总则1.1用户帐号:登录信息系统需要有用户帐号，相当于身份标识，用户帐号采用人员工号的编排，规则如下：(1)采用员工工号编排。

工号以人事部按顺序规定往后编排提供信息科。

1.2密码：为保护信息安全而对用户帐号进行验证的唯一口令。

1.3权限：指在信息系统中某一用户的访问级别和权利，包括所能够执行的操作及所能访问的数据。

二、职责与分工2.1职能部门：(1)权限所有部门：负责某一个模块的权限管理和该模块的数据安全；a.财务处负责财务收费系统和部分资产系统权限；b.护理部负责病区护士管理系统权限；c.医务部负责医生工作站管理系统的权限；(2)负责指定一个部门权限负责人(建议为科室负责人)，对涉及本部门负责权限的新增，变更，注销进行签字审批；(3)本部门人员申请本部门负责权限，需要部门权限负责人签批，签批后由系统管理员设置；2.2单位权限负责人(1)负责签批部门间的权限的授予；(2)负责对信息系统用户帐号及密码安全进行不定期抽查；2.3系统管理员(1)负责根据信息系统用户新增\异动\离职记录表在系统中设置用户权限；(2)负责维护本单位用户和权限清单；(3)遵守职业道德，接受部门权限负责人和单位权限负责人的抽查。

三、用户帐号及密码管理3.1密码设置及更改：(1)第一次登录信息系统时，用户必须更改信息系统密码；(2)为避免帐号被盗用，密码长度不小于六位，建议数字与字母结合使用；(3)建议每____天或更短时间内需要重新设定密码；(4)对于用户忘记密码的情况，需要按照新用户申请流程处理。

3.2帐号与密码保管：(1)密码不可告知他人，用户帐号不可转借他人使用；(2)信息系统用户因离岗或转岗，所拥有的系统用户权限需相应变更时，需在将有本部门权限负责人签字确认并到信息部办理手续；系统管理员对离岗或异动的帐号进行注销并签字；人事科在见到系统管理员签字后方可办理离岗或异动手续。

客户信息安全保护实施细则*****有限公司二〇二〇年四月目录客户信息安全保护实施细则 (1)第一章总则 (5)第二章客户信息保护原则 (6)第三章组织与职责 (8)第四章客户信息的内容及等级划分 (11)第一节客户信息的内容 (11)第二节客户信息等级划分 (12)第三节存储及处理客户信息的系统 (12)第五章岗位角色与权限 (13)第一节业务部门岗位角色与权限 (13)第二节运维支撑部门岗位角色与权限 (17)第六章帐号与授权管理 (19)第七章客户信息全生命周期管理 (21)第一节客户信息的收集 (21)第二节客户信息的传输 (22)第三节客户信息的存储 (23)第四节客户信息的使用 (24)第五节客户信息的共享 (29)第六节客户信息的销毁 (30)第八章第三方管理 (31)第九章客户信息系统的技术管控 (34)第一节系统安全防护 (34)第二节集中4A管控要求 (35)第三节金库模式管控 (36)第四节远程接入管控 (36)第五节客户信息泄密防护 (37)第六节系统间接口管理 (38)第七节数据脱敏 (39)第十章客户信息安全审核 (40)第一节操作日志审核 (40)第二节合规性审核 (42)第三节日常例行安全审核与风险评估 (43)第十一章安全事件应急响应 (43)第十二章重要问题的省市职责界面划分 (44)第十三章事后问责 (46)附录一：客户信息分类表 (48)附录二：客户信息分级及管控原则 (50)附录三：客户信息分布 (51)附录四：业务部门和支撑部门岗位角色 (53)附录五：业务人员对客户信息的操作流程 (56)附录六：帐号口令管理细则 (57)附录七：异常行为审核规则 (61)附录八：客户信息模糊化参考规则 (65)附录九：客户信息开放规则 (68)第一章总则第一条为了加强公司客户信息安全管理，规范客户信息访问流程、用户访问权限以及承载客户信息的环境，降低客户信息被违法使用和传播的风险，根据国家《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规及制度要求，对照集团公司《中国客户信息安全保护管理规定》（移信安通[2017]26号），特制定本实施细则。

第二章密码服务一、各类密码的定义和应用范围服务密码：服务密码由一组6位阿拉伯数字组成，是中国移动客户的身份识别密码，是电子渠道最高权限的密码，可登录网厅（）等渠道平台、查询和办理所有业务（部分业务加动态密码验证）。

温馨提醒，通过服务密码认证进行的行为，视为客户本人或客户本人授权的行为，丢失服务密码可能造成隐私泄露，请妥善保管。

电子密码：电子密码由一组6位阿拉伯数字组成，是中国移动客户在电子渠道（网厅、短厅、掌厅、10086热线自助语音）验证本机主动申请和设置的密码，可登录渠道平台办理普通业务，其办理业务的权限与动态密码相同，可查询和办理除涉及客户个人隐私信息（包括查询和修改个人基础信息、查询详单、查询位置信息等）、使用权变更（包括补卡、过户）的其他基础业务，包括套餐的开通与变更、业务的查询、开通与取消、账单查询与订购、积分查询与兑换等。

动态密码：动态密码即随机短信码，由客户主动申请，系统通过短信发送随机产生的6位数字发送至客户手机作为临时验证密码以认证客户持有本机。

动态密码有效登录时限为十分钟，可结合服务密码使用进行二次认证，也可单独用于办理业务，办理业务范围与电子密码相同。

随机验证码：随机验证码指客户在网站渠道通过服务密码进行身份认证时，需同时输入网页上显示的随机产生的一组验证码，由阿拉伯数字或英文字母组成，主要用于防止黑客程序盗用客户服务密码。

二、服务密码的设置、修改、保护和重置初始服务密码的设置：初始服务密码均为服务密码，其设置指客户入网或过户时，第一次获取服务密码。

客户在营业厅办理入网或过户业务时，可自行通过密码小键盘设置；在代理渠道办理入网业务时，将通过入网关怀短信提醒修改服务密码；在社会渠道入网时，将采用短信、密码卡、SIM卡覆膜等方式告知服务密码。

服务密码的修改：服务密码修改是指客户在本机且知道原服务密码的情况下，更改服务密码的服务。

客户可通过营业厅、10086热线自助语音、网厅、短厅等渠道，验证原服务密码后进行修改。

安全4A概念及其体系结构简介李伟平1魏明欣2(1.长春吉大正元信息技术股份有限公司长春130012 2.吉林省政府发展研究中心130021)摘要：本文简要介绍了4A的概念、4A系统的体系结构以大中型网络中建设4A系统的必要性等内容。

关键词：4A、账号、认证、授权、审计一、4A概念4A是指包括账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)等保障部信息安全的四个基本要素。

4A系统通过集中的帐号管理、身份认证、授权管理和安全审计等功能可为企业提供强健的、基于统一策略的解决方案，解决企业内控等问题，降低管理成本，提高系统安全性和政策符合性。

二、4A系统的必要性网络信息系统的不断发展，各种业务系统和支撑系统的用户数量快速增加，每个业务网系统分别维护用户信息数据，孤立身份管理和身份认证方式，及以日志形式的审计操作者在系统内的操作行为，已日渐不能满足信息安全的要求，因而急需解决以下几方面问题：帐号与口令管理流程的缺失——如：存在大量共享帐号；用户帐号的添加、修改以及删除、用户账号的定期审阅、职责分工没有全流程控制和执行（或者有相关措施，但难于执行），同时对应员工岗位变更和离职的用户数字身份生命周期管理没有相应的技术手段，最终导致大量帐号的产生和管理失控；（1）系统维护复杂度带来的人为安全性问题——各系统中有大量的网络设备、主机和应用系统，帐号繁多，管理困难，管理成本较高；难以实现帐号权限的有效监督和审核；难以维护有效的用户帐号列表；当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加；（2）用户认证方式和手段缺乏——目前大多数系统采用基本的帐号与口令方式进行认证，由于没有技术机制的限制，口令的设置过于简单，无法实现用户标识唯一性（无法明确到个人，无法区分内部员工、最终用户、设备厂商维护人员等），须考虑增强的认证手段和统一管理；（3）用户行为的审计和跟踪缺失——有些帐号多人共用，不仅在发生安全事故，难于确定帐号的实际使用者，而且难于对帐号的扩散范围进行控制，容易造成安全漏洞；同时，日志和审计手段分散在各个系统和设备中，容易造成日志信息丢失，缺乏集中统一的系统访问审计，审计操作复杂，无法对支撑系统进行综合分析，不能及时发现危害系统安全的事件；（4）“分散”管理的问题——系统分别属于不同的专业进行管理，目前各系统都有一套独立的认证、授权和审计机制，分别由相应的系统管理员负责维护和管理。

口令、账户管理制度一、信息系统管理员和网络安全管理员职责信息系统管理员和网络安全管理员负责统一管理信息系统用户、口令、权限。

严格管理用户分配，按照最小安全访问原则，为各类用户分配相关权限。

及时根据业务需要对信息系统中用户及权限进行调整。

登记和记录信息系统中各类用户、权限情况，并进行日常检查，及时补救存在的隐患。

定期更改所管理用户的口令，督促其他用户更新口令。

在得到信息部主任同意后，对信息系统中各类超级权限用户的口令进行修改，并整理交报信息部主任。

及时清理各系统中停止使用的帐户及权限。

二、口令设置要求操作系统用户、数据库系统用户、网络设备、应用程序用户必须设置口令。

主要业务服务器操作系统管理员、主要网络设备用户、数据库管理员、交易系统超级用户口令长度应在8位以上，应用系统用户口令长度应大于6位，系统有特殊规定的除外。

各用户口令的设置不可相同，应尽量不易记忆，并同时包含字母、数字、以及其它字符，不能使用字母、字符的口令除外。

不得使用用户名和部分用户名作为口令，不得以生日、电话等作为口令，系统有特殊规定的除外。

三、用户、口令、权限的管理各系统中不得保留系统中匿名访问用户。

如需建立其他用户，应由使用者向信息部主任提出申请，经批准后系统管理员给予设置。

管理员应保守机密，不得将用户口令透露给他人。

核心操作系统、数据库管理员及应用系统超级用户口令每半年必须更新；其它系统口令应至少每三个月更新一次。

管理员应提醒应用系统操作人员保存好自己的口令，并按口令设置要求经常修改。

建立与应用系统超级用户权限相仿的用户进行日常维护工作，应减少超级用户的使用。

在管理员离职时，应将其管理的用户、口令交给其下任管理员，并有义务保证交接时系统的正常运行。

新任管理员应及时更改口令。

系统操作人员离职时，系统管理员应及时将其使用的用户注销，并修改相应记录。

所有口令修改应进行登记，由操作人、复核人签字确认，相关纸制表格密封后保存。

对于个别系统无法更换某些用户的密码，或更换密码后会对应用造成较大的影响，这些用户的密码可以不进行更换，但必须加强管理，专人保管不得泄露。

网络和信息安全体系建设和完善1 前言中国移动通信网络是国家基础信息网络和重要信息系统的组成部分，更是中国移动赖以生存和发展的基本条件，随着网络IP化进程、终端智能化以及业务、服务多样化趋势的加快，移动通信网络面临的威胁和攻击也越来越多，网络与信息安全工作日趋重要。

为了确保网络安全，现在很多企业采用了防火墙、防病毒、入侵检测、漏洞扫描等一系列安全产品，提高了本企业的网络安全水平，但是这些改善仍没有达到理想的目标，病毒、黑客和计算机犯罪依然猖獗，这给信息安全的理论界、厂商和用户提出了一系列问题，促使人们开始对安全体系进行思考和研究。

在网络安全建设时，不单单是考虑某一项安全技术或者某一种安全产品，而是从管理制度、流程、技术手段和措施、应急响应、风险评估等多方面构建一个良好的网络和信息安全体系，全面营造一个良好的网络安全运行环境。

2 网络与信息安全体系概述一个完整的信息安全体系应该是安全管理和安全技术实施的结合，两者缺一不可。

为了实现对信息系统的多层保护，真正达到信息安全保障的目标，国外安全保障理论也在不断的发展之中，美国国家安全局从1998年以来开展了信息安全保障技术框架（IATF）的研究工作，并在2000年10月发布了IATF 3.1版本，在IATF中提出信息安全保障的深度防御战略模型，将防御体系分为策略、组织、技术和操作4个要素，强调在安全体系中进行多层保护。

安全机制的实现应具有以下相对固定的模式，即“组织（或人）在安全策略下借助于一定的安全技术手段进行持续的运作”。

图1 信息安全保障体系在建设中国移动通信集团西藏有限公司（以下简称为西藏移动）网络安全体系时，从横向主要包含安全管理和安全技术两个方面的要素，在采用各种安全技术控制措施的同时，制定层次化的安全策略，完善安全管理组织机构和安全管理人员配备，提高系统管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和安全管理实现对网络和系统的多层保护，减小其受到攻击的可能性，防范安全事件的发生，提高对安全事件的应急响应能力，在发生安全事件时尽量减少因事件造成的损失。

中国移动基础信息安全管理通用要求一、总则为加强中国移动基础信息安全管理，保障移动通信信息系统及相关资源的安全性、可靠性和完整性，依据《中华人民共和国网络安全法》等相关法律法规，制定本通用要求。

二、信息安全管理机构1.设立信息安全管理机构，明确信息安全管理组织机构与管理层之间的职责及权限关系。

2.信息安全管理机构应配备足够的专业人员，负责信息安全管理工作的组织、协调、监督和指导。

3.信息安全管理机构应定期组织信息安全培训，提高全员信息安全意识和技能。

三、信息安全政策1.制定信息安全政策，明确信息安全目标、原则和体系。

2.信息安全政策应体现法律法规要求，保障用户隐私权和信息安全。

3.信息安全政策应经管理层审核、批准并向全员公布。

四、信息资产管理1.建立信息资产清单，对信息资产进行分类、归档和保护。

2.制定信息资产管理规范，明确信息资产的保密、完整性和可用性要求。

3.定期审核信息资产管理规范，保证其有效性和持续改进。

五、风险管理1.建立风险评估和风险处理制度，对关键信息系统和网络进行风险评估。

2.定期开展风险评估，根据评估结果制定风险处理计划和措施。

3.建立应急预案，做好信息安全事件的应急处置工作。

六、系统安全管理1.建立系统安全管理规范，对系统硬件、软件和网络进行安全管理。

2.对系统进行安全加固，保护系统的稳定性和可靠性。

3.建立系统审计机制，对系统操作进行监控和审计。

七、网络安全管理1.建立网络安全管理规范，保护网络的安全性和可靠性。

2.加强边界防护，确保网络的畅通和安全。

3.加密网络通信，防止网络数据泄露和窃听。

八、身份认证和访问控制1.建立用户身份认证机制，确保用户访问的合法性和安全性。

2.细化访问控制策略，根据不同用户权限控制其访问的范围和权限。

3.定期审核用户权限，避免权限滥用和泄露。

九、安全培训和教育1.定期开展信息安全培训，提高员工信息安全意识和技能。

2.加强安全意识教育，防范社会工程和网络攻击。

第1篇第一章总则第一条为加强我单位网络安全管理，确保信息系统安全稳定运行，防止信息泄露和非法侵入，依据《中华人民共和国网络安全法》等相关法律法规，结合我单位实际情况，制定本规定。

第二条本规定适用于我单位所有信息系统、网络设备、终端设备以及相关工作人员。

第三条本规定所称密码口令是指用户登录信息系统、网络设备、终端设备时使用的唯一标识符，包括用户名和密码。

第四条我单位将建立健全密码口令管理制度，确保密码口令的安全性和有效性。

第二章密码口令设置要求第五条用户名和密码应具有以下特点：（一）用户名应易于记忆，但不得使用真实姓名、生日、电话号码等容易被人猜测的信息。

（二）密码应包含字母、数字、特殊字符，长度不少于8位，并定期更换。

（三）密码应避免使用连续数字、字母、特殊字符，如123456、password等。

（四）密码不得与用户名、电子邮件地址、手机号码等个人信息相同。

第六条以下情况不得作为密码：（一）包含用户姓名、生日、身份证号码等个人信息。

（二）包含单位名称、网址、IP地址等与单位相关的信息。

（三）包含常用单词、短语、数字序列等容易被猜测的信息。

（四）包含重复字符、连续字符、键盘上相邻的字符等。

第三章密码口令管理第七条用户首次设置密码时，应遵循本规定第五条、第六条的要求。

第八条用户密码修改应遵循以下原则：（一）用户每月至少修改一次密码。

（二）密码修改后，不得立即使用之前修改过的密码。

（三）密码修改后，不得将新密码泄露给他人。

（四）密码修改后，应及时保存并妥善保管。

第九条用户密码遗忘或泄露时，应立即通过以下途径进行密码重置：（一）联系系统管理员，提供有效身份证明。

（二）按照系统提示，通过手机短信、电子邮件等方式接收验证码。

（三）根据验证码完成密码重置。

第十条系统管理员应定期对密码口令进行安全检查，发现不符合规定的密码口令，应及时通知用户进行修改。

第十一条系统管理员应定期对密码口令进行风险评估，根据风险评估结果，对高风险密码口令进行强制修改。

帐号和口令管理规范目录1目的 (2)2适用范围 (2)3职责及权限 (2)4术语和定义 (2)5帐号的注册 (2)6域帐号的命名规范 (3)7口令选取规范 (3)8口令管理规范 (3)9相关文件 (4)10相关记录 (4)1目的明确个人帐户、口令及权限安全责任，规定个人帐户安全管理涉及的内容和要求，最大程度上消除个人信息的安全隐患，从而避免因个人帐户、口令和权限的安全漏洞带给整个企业网络环境中的信息系统更高的安全风险。

本规范涉及帐号的注册、域帐号命名规范、口令选取规范、口令管理规范、无人值守用户设备及共享管理和权限等方面的内容，遵循这些专门的管理规范中的要求，针对个人不同系统帐号的特点进行更加细致的规定。

2适用范围1.本规范适用于运维中心所有员工。

2.本规范应当向适用范围内的所有运维中心员工发布。

3职责及权限1.外包事业部。

负责信息安全规范文档的审批，包括修改的审批。

2.运维中心：负责维护公司所有个人帐号的开通及安全管理与审核。

4术语和定义管理员是指对系统、网络或者应用拥有超级权限的人员，包含但不限于系统管理员、网络管理员、数据库管理员以及应用管理员。

5帐号的注册1.只有授权用户才可以申请系统账号，账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限。

2.一人一账号，以便将用户与其操作联系起来，使用户对其操作负责。

3.用户必须签署声明，表示他们知晓访问的条件。

4.管理员必须维护对注册使用服务的所有用户的正式记录。

5.用户因工作变更或离开公司时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。

6.管理员应定期检查并取消多余的用户账号。

6域帐号的命名规范1.所有员工域帐号与其他办公系统帐号相同，格式都为：姓的拼音.名字拼音。

2.如出现姓和名拼音相同的情况则在后入职员工的的名字拼音后后加a、b等字母。

7口令选取规范1.用户应该有意识地选择强壮的口令（即难以破解和猜测的口令），不要使用弱口令。