中国移动业务支撑网4A安全技术规范

中国移动业务支撑网4A安全技术规范
中国移动通信企业标准
QB-W-016-2007
中国移动业务支撑网
4A安全技术规范
版本号：1.0.0
╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布
目录
1概述 (8)
1.1范围 (8)
1.2规范性引用文件 (8)
1.3术语、定义和缩略语 (9)
2综述 (11)
2.1背景和现状分析 (11)
2.24A平台建设目标 (14)
2.34A平台管理范围 (16)
34A管理平台总体框架 (17)
44A管理平台功能要求 (21)
4.1帐号管理 (21)
4.1.1帐号管理的范围 (21)
4.1.2帐号管理的内容 (22)
4.1.3主帐号管理 (23)
4.1.4从帐号管理 (24)
4.1.5密码策略管理 (24)
4.2认证管理 (25)
4.2.1认证管理的范围 (25)
4.2.2认证管理的内容 (26)
4.2.3认证服务的管理 (26)
4.2.4认证枢纽的管理 (26)
4.2.5SSO的管理 (27)
4.2.6认证手段 (27)
4.2.7提供多种手段的组合使用 (28)
4.3授权管理 (28)
4.3.1授权管理的范围 (28)
4.3.2授权管理的内容 (29)
4.3.3资源管理 (30)
4.3.4角色管理 (30)
4.3.5资源授权 (31)
4.4审计管理 (33)
4.4.1审计管理范围 (33)
4.4.2审计信息收集与标准化 (34)
4.4.3审计分析 (35)
4.4.4审计预警 (37)
4.54A管理平台的自管理 (38)
4.5.3组件管理 (39)
4.5.4运行管理 (39)
4.5.5备份管理 (39)
4.64A管理平台接口管理 (40)
4.6.1帐号管理接口 (40)
4.6.2认证接口 (40)
4.6.3审计接口 (41)
4.6.4外部管理接口 (41)
54A管理平台技术要求 (42)
5.1总体技术框架 (42)
5.2P ORTAL层技术要求 (44)
5.3应用层技术要求 (44)
5.3.1前台应用层技术要求 (45)
5.3.2核心数据库技术要求 (46)
5.3.3后台服务层技术要求 (51)
5.3.4单点登录技术要求 (55)
5.3.5安全审计技术要求 (57)
5.4接口层技术要求 (62)
5.5非功能性技术要求 (63)
5.5.1业务连续性要求 (63)
5.5.2开放性和可扩展性要求 (67)
5.5.3性能要求 (69)
5.5.4安全性要求 (69)
64A管理平台接口规范 (71)
6.1应用接口技术规范 (71)
6.1.1总体描述 (71)
6.1.2登录类接口（①） (73)
6.1.3认证类接口 (75)
6.1.4帐号/角色接口（④） (78)
6.1.5审计类接口 (88)
6.2系统接口技术规范 (93)
6.2.1总体描述 (93)
6.2.2登录类接口（①） (95)
6.2.3认证类接口 (96)
6.2.4帐号接口（⑤） (100)
6.2.5审计类接口 (107)
6.3外部管理接口技术规范 (111)
7BOSS系统3.0的改造要求 (113)
7.2.1总体改造总体要求 (114)
7.2.2帐号管理要求 (117)
7.2.3授权管理要求 (120)
7.2.4认证管理要求 (123)
7.2.5审计管理要求 (126)
7.3BOSS应用的安全要求 (128)
7.3.1BOSS应用帐号管理 (129)
7.3.2BOSS应用授权管理 (135)
7.3.3BOSS应用认证管理 (138)
7.3.4BOSS应用审计要求 (139)
7.3.5BOSS数据安全要求 (141)
8经营分析系统2.0改造要求 (144)
8.1经营分析系统应用安全建设目标 (144)
8.2经营分析系统配合4A改造要求 (145)
8.2.1总体改造要求 (145)
8.2.2帐号管理改造要求 (148)
8.2.3授权管理改造要求 (151)
8.2.4认证管理改造要求 (154)
8.2.5审计管理改造要求 (156)
8.3经营分析系统应用安全要求 (159)
8.3.1经营分析系统用户管理 (159)
8.3.2经营分析系统权限管理 (169)
8.3.3经营分析系统认证管理 (172)
8.3.4经营分析系统日志记录 (175)
8.3.5经营分析系统数据安全要求 (177)
8.3.6系统平台安全要求 (179)
9运营管理系统2.0改造要求 (183)
9.1运营管理系统应用安全建设目标 (183)
9.2运营管理系统配合4A改造要求 (184)
9.2.1总体改造要求 (184)
9.2.2帐号管理改造要求 (188)
9.2.3授权管理改造要求 (191)
9.2.4认证管理改造要求 (194)
9.2.5审计管理改造要求 (196)
9.3运营管理系统应用安全要求 (199)
9.3.1运营管理系统用户管理 (200)
9.3.2运营管理系统权限管理 (206)
9.3.3运营管理系统认证管理 (209)
9.3.4运营管理系统日志记录 (212)
9.3.5运营管理系统数据安全要求 (214)
104A平台建设指导意见 (217)
10.1总体指导原则 (217)
10.24A平台建设步骤 (218)
10.2.1前期调研和准备阶段 (218)
10.2.2平台建设和实施阶段 (220)
10.2.3后期管理和维护阶段 (222)
10.34A平台应急方案 (223)
10.3.1应急方案流程梳理 (223)
10.3.2应用功能改造实现 (224)
11编制历史 (226)
附录A 4A管理平台管理流程 (227)
（1）用户入职流程 (229)
（2）用户变更管理流程 (230)
（3）离职管理流程 (231)
（4）新项目纳入管理流程 (232)
附录B 业务支撑系统敏感数据 (232)
（1）BOSS系统中的敏感数据 (232)
（2）经营分析系统中的敏感数据 (234)
（3）需要关注的操作日志 (235)
图形目录
图3-1 业务支撑网4A管理平台总体框架图 (18)
图4-1 4A平台与应用系统的帐号、角色和权限关系图 (32)
图5-1 业务支撑网4A管理平台的总体技术框架 (42)
图6-1 4A平台与应用资源的接口框架图 (72)
图6-2 业务支撑应用的帐号/角色接口图 (79)
图6-3 4A平台与系统资源的接口框架图 (94)
图6-4 4A平台与系统资源的接口框架图 (101)
图7-1 BOSS配合4A的改造总体示意图 (115)
图7-2 BOSS配合4A的帐号管理改造图 (118)
图7-3 BOSS配合4A的授权管理改造图 (122)
图7-4 BOSS配合4A的认证管理改造图 (125)
图7-5 BOSS配合4A的审计管理改造图 (127)
图7-6 BOSS应用安全体系逻辑图 (129)
图7-7 BOSS应用授权管理结构图 (137)
图8-1 经营分析系统配合4A的改造总体示意图 (146)
图8-2 经营分析系统配合4A的帐号管理改造图 (149)
图8-3 经营分析系统配合4A的授权管理改造图 (153)
图8-4 经营分析系统配合4A的认证管理改造图 (155)
图8-5 经营分析系统配合4A的审计管理改造图 (158)
图8-6 经营分析应用安全体系逻辑图 (159)
图8-7 经营分析应用授权管理结构图 (172)
图8-8 通过经营分析门户认证流程图 (174)
图9-1 运营管理系统配合4A的改造总体示意图 (186)
图9-2 运营管理系统配合4A的帐号管理改造图 (189)
图9-3 运营管理系统配合4A的授权管理改造图 (193)
图9-4 运营管理系统配合4A的认证管理改造图 (195)
图9-5 运营管理系统配合4A的授权号管理改造图 (198)
图9-6 运营管理应用安全体系逻辑图 (199)
图9-7 运营管理应用授权管理结构图 (209)
图9-8 运营管理应用门户认证流程图 (211)
前言
本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)的安全系统（简称4A管理平台或4A平台）的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。

结合中国移动省级业务支撑系统的整体规划，本规范还列出了结合BOSS系统3.0、经营分析系统2.0和运营管理系统2.0的安全建设要求和配套改造要求。

本标准的附录A、附录B为资料性附录。

本标准由中移号文件印发。

本规范由中国移动通信有限公司业务支撑系统部提出并归口。

本规范由规范归口部门负责解释。

本标准起草单位：中国移动通信集团公司业务支撑系统部。

本标准主要起草人：田峰。

1概述
1.1 范围
本文对中国移动业务支撑网的BOSS系统、经营分析系统、运营管理系统的集中帐号、统一授权、身份认证和安全审计的4A系统建设进行了规范，供中国移动内部和厂商共同使用；适用于各省移动通信有限责任公司业务支撑系统的4A管理平台建设和配合4A平台进行业务支撑系统的改造。

在业务支撑系统发生重大变更情况下，由有限公司业务支撑系统部对本规范进行修订。

1.2 规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本规范。

[1] 《中国移动业务运中国移动
营支撑系统（BOSS）规范（V3.0）》通信有限公司
[2] 《中国移动经营分
析系统技术规范
（V2.0）》中国移动通信有限公司
[3] 《中国移动支撑系
统集中帐号管理、认
证、授权与审计（4A）
技术要求》中国移动通信有限公司
1.3 术语、定义和缩略语
下列术语和定义适用于本规范：
2综述
2.1 背景和现状分析
随着中国移动业务支撑系统的迅速发展，各种支撑应用和用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，对系统之间的整合提出了更高的要求。

系统整合的一个重要基础是帐号数据的统一、授权的集中、单点登录认证、安全审计。

原有的帐号、权限、认证、审计方面的安全措施已不能满足中国移动目前及未来业务支撑系统发展的要求。

主要问题表现在以下方面：
1、独立的用户数据库和独立的系统管理员：中国移动的业务支撑系统中有BOSS系统、经营分析系统和运营管理系统，以及对应的大量子系统，大量的网络设备、主机系统和数据库和安全设备。

目前，大部分省分的各个业务支撑系统都有各自一套独立的帐号、认证、授权和审计机制，
并且由相应的系统管理员负责维护和管理。

当维护人员同时对多个业务支撑系统进行维护时，工作复杂度会成倍增加。

2、独立的业务支撑系统授权机制和独立的业务系统授权管理：各业务支撑系统分别管理所属的系统资源和应用资源，并为本系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法集中按照最小权限原则分配实体级的首页登录权限和实体内细粒度权限。

另外，随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。

3、自然人身份和业务系统帐号重叠：现有的业务支撑系统中，用户（自然人）的身份和业务支撑系统中的帐号是重叠的，人和业务系统间是短连接的方式，“人（自然人）＝业务系统帐号。

这样流程的扁平，带来了身份的混乱，对于业务支撑系统，人的身份多重化，复杂化，带来了大量的交叉关系。

有些业务支撑系统的帐号多人共用，不仅在发生安全事故难于确定帐号的实际使用者，而且平时难于对帐号的扩散范围进行控制。

4、自然人对多系统的访问频繁切换都基于
独立的帐号管理实现：业务支撑系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一系统时，都需要输入用户名和密码进行登录。

给用户的工作带来不便，影响了工作效率。

特别是针对后台系统类的管理，更是缺乏必要的帐号统一管理和措施。

用户为便于记忆密码会采用较简单的密码或将多个支撑系统的密码设置成相同的，危害到系统的安全性。

5、独立的审计，缺乏关联分析：由于各支撑系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计。

无法对支撑系统进行综合日志分析，不能及时发现入侵行为进行安全预警和数据责任追踪。

总之，随着业务支撑系统的发展及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。

因此，迫切需要一个统一的基础安全服务系统能为各应用系统提供准确
组织人员数据，并可以高效、方便的进行数据安全管理。

4A管理平台的建设能够保障用户合法、安全、方便使用业务支撑系统的特定资源。

既有效地保障了合法用户的权益，又能有效地保障业务支撑系统安全可靠地运行。

2.2 4A平台建设目标
业务支撑网4A管理平台的建设目的是将业务支撑系统中的帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统，简称4A管理平台或4A平台。

通过4A管理平台提供统一的基础安全服务技术架构，使新的应用可以很容易的集成到安全管理平台中。

通过该平台对业务支撑系统各种IT 资源（包括应用和系统）进行集中管理，为各个业务系统提供集中4A安全服务，提升业务支撑系统安全性和可管理能力。

4A管理平台的主要目的如下：
实现对BOSS系统、经营分析系统、运营管理系统以及操作系统、数据库、网络设备、
安全设备等各种IT资源的帐号、认证、授
权和审计的集中控制和管理。

为业务支撑系统提供机制统一、多样化的帐号、认证、授权和审计安全服务，实现业务支撑系统管理模式和应用模式平滑过渡以及与其他4A平台之间的数据交互。

●实现集中化、基于角色的的主从帐号管理，
实现实体级别的权限控制和管理。

自然人与其拥有的主帐号关联，统一规划用户身份信息和角色，对不同系统中的帐号进行创建、分配、同步，最终建立业务支撑系统中自然人的单一视图（主帐号管理）、业务支撑系统资源的单一视图（从帐号管理）。

●实现业务支撑系统基于主帐号的集中强身
份认证和访问入口。

在不更改或只对应用有限更改的情况下，在原来只有弱身份认证手段的应用上，通过4A管理平台门户或配合应用门户改造集成强身份认证手段。

实现强认证手段和应用的相对隔离和灵活使用。

●实现基于集中管控安全策略的访问控制和
授权管理、访问鉴权。

结合用户使用业务支撑系统中资源的具体需求情况进行合理权限分配和校验，实现不同用户对不同部分实
体资源的访问。

最终建立完善的资源对自然
人的授权管理。

实现集中安全审计管理，收集、记录、管理用户对业务支撑系统的高敏感度的数据访
问和关键操作行为记录。

统计自然人对资源
中高敏感度数据（非常重要和重要）的访问
情况和操作记录，在出现安全事故时用于责
任追踪。

同时，对人员的登录过程、关键操
作行为等进行审计和处理。

最终建立完善针
对“自然人→资源”访问过程的完整审计管
理。

2.3 4A平台管理范围
4A管理平台需要考虑应用层面、系统层面。

系统层面强化面向自然人和操作级的安全管理方面，应用层面以BOSS、经营分析系统和运营管理系统为核心，进行业务支撑系统应用的改造，逐步满足业务支撑网各应用的4A安全服务要求。

4A管理平台着重完成人（自然人）与帐号（资源）分离，也就是自然人与业务支撑系统的安全管理功能组成分离，新的横向模式是“人（自
然人）→授权→业务系统帐号（资源）”。

新模式下的有效的隔离，使得自然人的身份可以被集中管理；业务系统的帐号可以被集中管理；提供强认证；集中管理对自然人的授权；自然人对资源的操作过程进行集中审计。

4A管理平台的管理范围：
●应用资源
业务支撑系统的所有应用系统，包括BOSS
系统（含客服和容灾）、经营分析系统、运
营管理系统等。

●系统资源：
业务支撑系统的所有后台系统，包括主机操
作系统、数据库系统、网络设备、安全设备
（防火墙）等。

34A管理平台总体框架
4A体系的建设应遵循如下总体框架结构：
图3-1 业务支撑网4A管理平台总体框架
图
4A体系框架包括4A管理平台和一些外部组件，这些外部组件一般都是针对4A中某一个功能的实现，如认证组件、审计组件等。

这些组件在某些省移动中有些已经部署和实现，4A管理平台在产品选型和部署时要充分考虑对现有
外部组件的利旧支持和功能整合。

4A体系通过4A管理平台提供的平台接口层直接或间接地（经由外部组件）实现对资源层，主要包括BOSS系统、经营分析系统、运营管理系统等应用和网络设备、数据库、操作系统和安全设备等系统的4A管理。

同时，4A管理平台也需要通过接口层来支持与其它管理平台的互联互通。

4A体系框架中最重要的是4A管理平台，4A 管理平台是整个4A体系的管理枢纽。

4A管理平台由平台管理层、平台功能层和平台接口层构成，负责用户主从帐号管理、认证管理和调度、权限分配和控制、审计信息搜集和管理。

平台管理层
实现对平台自身的管理，具体功能应包括管
理员管理、平台内部权限管理、组件管理、
运行管理和备份管理。

1）管理员管理
2）权限管理
3）组件管理
4）运行管理
5）备份管理
平台功能层
实现4A管理平台的功能，具体包括帐号管理功能、认证管理功能、授权管理功能和审计管理功能。

1）帐号管理
实现组织结构（部门、地域等）和自然人的管理，实现主帐号管理、角色管理、从帐号管理和帐号属性管理等。

2）认证管理
提供用户登录时的身份认证功能；在有外部认证模块时，提供认证的转发功能；实现用户登录各资源的单点登录功能。

3）授权管理
提供对应用资源（BOSS系统、经营分析系统、运营管理系统等）和系统资源（主机、网络设备、数据库、安全设备等）的管理；实现自然人对资源访问（主帐号对从帐号）的授权。

4）审计管理
提供审计信息的搜集、分析和报表功能，应支持登录行为的审计和访问行为的审计。

审计信息的搜集可能通过外部审计模
块完成。

平台接口层
实现4A管理平台对各种资源管理以及与其
它管理平台互联的相关接口，具体包括帐号
接口、认证接口、审计接口和外部管理接口。

1）帐号接口，提供从帐号的同步和导入接
口
2）认证接口，提供主从登录的认证和转发
接口
3）审计接口，提供审计信息的导入和导出
接口
4）外部管理接口，实现与其他管理系统的
互联。

44A管理平台功能要求
4.1帐号管理
4.1.1帐号管理的范围
帐号管理用于在业务支撑网环境中，集中维护包括自然人（主帐号）和资源（从帐号）在内的全部帐号以及和帐号相关的可在4A帐号管理模块中集中管理的帐号属性。

帐号管理的主帐号应包括在4A管理平台中创建用于标识唯一自然人ID的主帐号；同时包括从现存权威身份数据源导入或映射的用于标识自然人唯一ID的主帐号。

主帐号的范围包括内部员工帐号和外部工作人员帐号。

帐号管理的从帐号应包括业务支撑网环境，所有资源中可用于获得对资源访问权的全部帐号，资源的范围包括系统资源（主机、网络设备、数据库、安全设备、其他）和应用资源（BOSS 系统、经营分析系统、运营管理系统、其他）两大类。

帐号的属性管理涵盖了和帐号相关的基本信息、时效策略、密码策略、组织标识、角色标识等内容。

应用资源、系统资源的从帐号管理必须通过4A管理平台进行，需要实现从帐号管理和角色管理等资源内部的维护功能。

4.1.2 帐号管理的内容
帐号管理应提供完善的帐号生命周期管理能力，用于从现存帐号数据库导入或映射业务支撑系统现存帐号；维护和现有外部帐号库中帐号
的同步更新；将帐号管理模块中帐号推送到相应外部帐号库中等等。

4.1.3 主帐号管理
主帐号管理模块应该实现功能：
●提供主帐号的组织管理，建立相应树状
目录用于合理组织主帐号
●提供主帐号的组管理，建立相应的帐号
组，用于对帐号集合进行集中维护
●提供对主帐号生命周期管理，包括建
立、复制、修改、迁移、冻结、删除等功能
●提供主帐号属性管理，用于对帐号的多
种属性进行管理，包括帐号认证方式、时效
性和其他属性的管理。

●提供自服务功能。

4A管理平台所有用
户通过登录4A管理平台，修改自身帐号属
性信息，包括修改主从帐号密码、主账户密
码遗忘时重置等功能。

用户通过自服务修改
密码时，系统应检查密码安全策略符合性，使之符合4A管理平台密码策略管理中定义
的相应要求。

●主帐号和密码的收集、存放应该充分考
虑安全性要求，存放和传输过程都应加密。

4.1.4 从帐号管理
从帐号管理模块应该实现以下功能：
●提供对从帐号生命周期管理，包括同
步、修改、冻结、删除等功能。

●提供对从帐号属性管理，包括从帐号的
密码等内容。

●应该实现程序帐号对应的收集和管理。

●从帐号收集和存放应该充分考虑安全
性要求，存放和传输过程都应该加密。

4.1.5 密码策略管理
密码策略管理模块应该实现以下功能：
●提供对主从帐号密码强度的管理，在
4A管理平台上面能够针对主从帐号的强度
进行管理，包括密码安全设置及修改、组成
规则及校验策略等；
●提供对主从帐号密码有效期的管理，在
4A管理平台上面进行安全使用和更新，具
备密码有效期验证、提醒以及过期或输错次
数锁定、管理员激活等功能。

4.2 认证管理
根据各省公司对不同强度认证机制的选择，在省中心建立集中的强身份认证系统，对于来自不同业务支撑系统的用户，根据访问对象由认证功能模块来提供强认证服务。

用户在访问受保护的系统之前，首先经过身份认证系统识别身份，然后根据用户的身份和授权，决定用户是否能够访问某个资源。

4A管理平台认证管理模块可以自身提供强认证服务，同时也可以根据需要将认证请求转发给4A管理平台的外部强认证组件，来完成认证功能。

4.2.1 认证管理的范围
4A管理平台需要管理业务支撑系统中全部的认证登录过程，包括4A管理平台全部主帐号的登录认证（主登录认证）和资源中全部从帐号的登录认证（二次登录认证）。

主帐号的认证必须采用静态密码＋强认证系统进行，不能仅仅采用静态密码方式。

应用资源、系统资源的主帐号认证必须通过4A管理平台的强认证服务或认证枢纽转发到外部强身份
认证组件进行。

4.2.2 认证管理的内容
认证管理模块应该实现以下功能：
●建立集中强认证中心，用于为主登录认
证和二次登录认证提供集中的认证服务
●提供认证枢纽服务，在需要情况下，将
认证请求转发至外部认证组件来完成认证
●提供多种认证方式，在需要情况下，提
供不同安全级别、不同安全策略的认证手段
●提供单点登录（SSO）的支持，用于自
然人在完成主登录后，访问资源时，自动完
成二次登录过程。

4.2.3 认证服务的管理
认证服务模块应该实现以下功能：
●为主帐号登录过程提供认证支持
●为从帐号登录过程提供认证支持
●为SSO登录过程提供认证支持。

4.2.4 认证枢纽的管理
提供将认证请求转发到外部认证组件的能力。

通过4A管理平台来实现与面向业务支撑系
统的统一或者多个外部强认证系统进行中转处理，接收并处理认证结果。

4.2.5 SSO的管理
SSO管理模块应该实现以下功能：
●提供基于客户端模式或基于Portal模
式的单点登录能力；提供网关或旁路模式的
单点登录能力；
●结合业务支撑系统的实际情况建立单
点登录平台，提供B/S结构资源、C/S结构
资源的单点登录能力。

4.2.6 认证手段
必须支持以下认证手段：
●静态密码
必须支持以下强认证手段中的一种：
●动态密码：例如软件令牌和硬件令牌等
●一次性密钥：例如短信一次性密钥或者
语音一次性密钥等
●生物认证：例如指纹或者虹膜等
●PKI证书：例如USB证书或软件证书
等
4.2.7 提供多种手段的组合使用
认证过程应该支持多种手段混合使用，具体包括：
●叠加使用：指在一次认证中可以连续使
用两种认证方式，例如同时使用静态密码和
证书认证；
●选择使用：指4A管理平台支持在一种
认证失效的时候可以有一种认证方式在紧
急情况下使用。

4.3 授权管理
4.3.1 授权管理的范围
授权管理实体（即资源）的范围包括系统资源（主机、网络设备、数据库、安全设备、其他）和应用资源（BOSS系统（包括客服和容灾）、经营分析系统、运营管理系统、其他）两大类。

授权管理，包括支撑系统中全部资源的实体级授权和实体内授权。

●实体级授权，即主帐号代表的自然人可
以访问哪些资源（包括系统和应用）的授权。

●实体内授权，包括基于角色的授权和细
粒度权限授权。