产品网络安全红线-电核红线资料需求基线V1.0.xlsx
《产品网络安全红线-电核红线资料需求基线V1.0.xlsx》由会员分享,可在线阅读,更多相关《产品网络安全红线-电核红线资料需求基线V1.0.xlsx(32页珍藏版)》请在冰点文库上搜索。
59cbc79e58617920adb3a8c6acb0b2e6.xlsx文档密级产产品品网网络络安安全全红红线线安安全全红红线线资资料料需需求求基基线线拟制:
资料TMG:
季成飞、陈威安全TMG:
刘高峰、姚辉链接:
华为PSST字【2011】48号:
关于产品网络安全的相关要求链接:
产品网络安全红线落地解读及指导V1.1修修订订记记录录版版本本号号V1.02023/4/28华为机密,未经许可不得扩散第1页,共32页59cbc79e58617920adb3a8c6acb0b2e6.xlsx文档密级版版本本V1.0V1.0修修订订描描述述日日期期第一次发布,在产品网络安全红线落地解读及指导V1.1基础上增加电软资料解读。
2012/5/2产产品品网网络络安安全全红红线线安安全全红红线线资资料料需需求求基基线线拟制:
资料TMG:
季成飞、陈威安全TMG:
刘高峰、姚辉链接:
华为PSST字【2011】48号:
关于产品网络安全的相关要求链接:
产品网络安全红线落地解读及指导V1.1修修订订记记录录2023/4/28华为机密,未经许可不得扩散第2页,共32页59cbc79e58617920adb3a8c6acb0b2e6.xlsx文档密级产产品品网网络络安安全全红红线线安安全全红红线线资资料料需需求求基基线线2023/4/28华为机密,未经许可不得扩散第3页,共32页59cbc79e58617920adb3a8c6acb0b2e6.xlsx文档密级序序号号术术语语11安安全全敏敏感感国国家家22AA类类国国家家33敏敏感感数数据据44原原始始通通信信内内容容55合合法法监监听听敏敏感感信信息息66个个人人数数据据77匿匿名名化化88安安全全删删除除99未未公公开开接接口口1010远远程程访访问问1111受受限限公公开开1212增增值值服服务务1313CPICPI资资料料1414GPIGPI资资料料2023/4/28华为机密,未经许可不得扩散第4页,共32页59cbc79e58617920adb3a8c6acb0b2e6.xlsx文档密级电信软件与核心网业务部安全能力基线V2.1.xlsm中对个人数据、敏感数据的进一步细化个人数据敏感数据2023/4/28华为机密,未经许可不得扩散第5页,共32页59cbc79e58617920adb3a8c6acb0b2e6.xlsx文档密级定定义义指美国、加拿大、澳大利亚、新西兰、瑞士和EEA欧洲经济区,包括这些敏感国家的海外领土和属地。
其中,当前EEA经济区覆盖30个欧洲国家,包括:
法国、意大利、荷兰、比利时、卢森堡、联邦德国、爱尔兰、丹麦、英国、希腊、葡萄牙、西班牙、奥地利、芬兰、瑞典、波兰、拉脱维亚、立陶宛、爱沙尼亚、匈牙利、捷克、斯洛伐克、斯洛文尼亚、马耳他、塞浦路斯、保加利亚、罗马尼亚、挪威、冰岛、列支敦士登。
目前贸易合规领域最需要关注的区域主要是美国定义的禁运国家,包括:
A2:
伊朗,A5:
北苏丹;A6:
古巴;A7:
叙利亚;A9:
北朝鲜敏感数据的具体范围取决于产品具体的应用场景,产品应根据风险进行分析和判断。
典型的敏感数据包括口令、银行帐号、大批量个人数据、用户通信内容和密钥等。
通信双方(只要其中一方涉及自然人)之间的实际通信内容,包括语音类、短信/彩信类、传真类、数据业务(如即时消息、Email、视频通信、网页浏览等)类等指合法监听相关的事件信息,如监听目标(通信参与方)、监听时间、通信时间、通信时长等,不包括通信内容指直接通过该数据或者结合该数据与其他的信息,可以识别出自然人的信息。
指对个人数据进行的更改(例如单向散列、截短、替换等,如需保留个人数据真实值与替换值之间的对应关系,可以使用对称加密或映射表方式,但密钥/映射表必须由运营商控制),使原来有关个人的信息不再能归属到一个可识别的自然人,或推理这种归属需要耗费过多、不相称的时间、费用和精力。
来源:
德国个人数据保护法指对数据删除之后不可恢复,或者恢复需要付出过多、不相称的时间、费用和精力。
例如:
对RAM(内存)用新的数据覆盖或下电;对磁盘分区进行低格、对磁盘文件重写三次或以上、对磁盘进行消磁、粉碎;对CD进行物理粉碎等。
来源:
参考德国合作项目顾问建议可绕过系统安全机制(认证、权限控制、日志记录等)对系统或数据进行访问的功能(如客户无法管理的固定口令/隐藏账号机制、不记录日志的非查询操作等)及产品资料中未向客户公开的命令/外部接口(如隐藏命令/参数、隐藏端口等接入方式)通过Internet或局域网远距离访问设备的接入方式对于涉及产品知识产权、高危操作、可外部调用的内部接口等不期望向所有客户人员公开的内容,不在正式发布的面向所有客户的产品资料中公开,仅主动向客户/政府特定人员公开或仅在客户要求时再公开(与客户签署保密协议),以规避因实现细节过度公开而导致的安全风险。
在正式发布的面向客户的产品资料中需注明受限公开资料的获取方式/途径。
欧盟2002年58号文任何要求对数据流(trafficdata)或数据流以外的位置数据进行处理的服务,不包括为了必要的通信传输和计费目的所需要处理的数据流。
CustomerProductInformation,指交付给客户的产品包资料。
GTSProductInformation,指交付给GTS(含合作方)的产品包资料。
2023/4/28华为机密,未经许可不得扩散第6页,共32页59cbc79e58617920adb3a8c6acb0b2e6.xlsx文档密级单独使用该数据或者结合其他信息可以识别某个活着的自然人的数据,包括:
最终用户姓名、账号、主叫和被叫号码、通信记录、话单、通信时间、定位数据、即时消息、好友关系、在网盘上存储的个人文件(相片、音频、视频、记事本)等。
在法律上,判断某类信息是否是个人数据不是绝对的,必须结合场景与处理目的来判断。
包括但不限于口令、银行帐号、个人数据(单独使用该数据或者结合其他信息可以识别某个活着的自然人的数据,包括:
最终用户姓名、账号、主叫和被叫号码、通信记录、话单、通信时间、定位数据、即时消息、好友关系、在网盘上存储的个人文件(相片、音频、视频、记事本)等)。
注:
敏感数据包含个人数据。
电信软件与核心网业务部安全能力基线V2.1.xlsm中对个人数据、敏感数据的进一步细化2023/4/28华为机密,未经许可不得扩散第7页,共32页说说明明受受“合合法法监监听听”要要求求的的通通信信系系统统范范围围包包括括:
1)各种制式的语音通信系统(如PSTN、GPRS、UMTS、GPRS、GSM)2)提供数据或多媒体服务(如传真、短信、彩信、email、VOIP、IMS、电话会议等)的系统3)提供互联网接入的xDSL、WLAN等接入系统。
安安全全属属性性红红线线解解读读及及指指导导监监听听PartPart11合合法法监监听听接接口口的的地地区区差差异异化化措措施施1.11.1对于要求不能提供合法监听接口的市场(如英国):
必须在提供给当地监管机构/客户的源代码中彻彻底底删删除除合法监听接口特性,提供干干净净版版本本。
1.21.2对于支持不同合法监听接口标准(如欧洲ETSI,美国的ANSI,俄罗斯的SOSM及中国的相关标准)的产品:
必须通通过过版版本本的的形形式式隔隔离离(如编译宏、模块化加载,不允许采用License控制),确保版本中只存在符合当地合法监听接口标准的代码。
1.31.3如需支持合法监听接口标准之外的特特殊殊需需求求或明显违背西方人权价值观、侵犯用户通信自由/隐私的敏感特性(如:
中东地区的小区监听功能、限制公民言论自由的相关特性):
必须通通过过版版本本的的形形式式隔隔离离(如编译宏、模块化加载,不允许采用License控制),确保特定地区的特殊需求只在当地销售的版本中存在。
1.41.4合法监听接口相关功能必须在产品资料中公开,产品资料严格按国家/地区区分版本,即:
发往A国家的版本只能有对应A国家标准的相关资料。
合法监听接口的所有CPI资料必须与产品的其他资料隔离,不向客户的所有人员公开,仅向客户/政府特定人员公开。
监监听听PartPart22合合法法监监听听接接口口的的安安全全性性保保障障要要求求2.12.1系统中和合法监听相关的接口禁止存在合法监听网关正常接口之外的任何其它调用方式,包括命令、脚本、调试接口等。
2.22.2具备合法监听接口的产品/系统需防止被监听对象以及任何未经授权的第三方感知,防止监听敏感信息或内容被未经授权人员以任何方式查看、修改、复制和删除。
2.32.3合法监听接口相关功能,产品必须提供严格的安全保护机制(如认证、授权、日志记录、加密存储等),防止监听接口被盗用、误用或滥用。
2.42.4日志中不允许记录任何涉及监听对象的敏感信息。
监监听听Part3Part3合合法法监监听听接接口口维维护护过过程程的的安安全全3.13.1在合法监听接口问题定位场景中,严禁采集合法监听原始通信内容,涉及的合法监听敏感信息可以使用但必须在用户呈现界面(含显示、存储)进行过滤(删除或替换)处理。
3.23.2对具备合法监听接口设备的维护,必须获得现网客户合法监听相关部门的授权,并在其指定人员的监督下进行;对合法监听接口的维护操作只能在现网进行,相关信息不允许带出运营商网络。
并在GPI资料中进行上述提示。
如华为人员进行合法监听接口的维护操作,建议由当地公民执行。
3.33.3相关维护操作必须有详细的日志记录3.4产品CPI资料中对产品涉及合法监听接口的维护功能进行描述和声明:
(1)描述该功能(指接口的维护功能,如维护操作的命令等)的目的、范围、处理方式、时限等。
(2)声明:
要求客户使用该功能时遵从当地适用的法律法规。
监监听听Part4Part4防防止止业业务务处处理理或或日日常常运运维维被被质质疑疑为为非非法法监监听听4.14.1在安安全全敏敏感感国国家家市场:
禁止出于保障网络运营和服务目的提供采集最终用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的功能,如录音、抓包,必须通过版本的形式去除(如编译宏、模块化加载,不允许采用License控制)。
4.24.2在安安全全敏敏感感国国家家市场:
如果问题定位不得不依赖于通信内容,产品必须提供替代方案(如:
使用测试号码进行测试、采集特定音频、语音质量相关指标等方案),确确保保所所采采集集的的内内容容无无法法还还原原为为最最终终用用户户的的原原始始通通信信内内容容,防防止止相相关关功功能能被被怀怀疑疑为为非非法法监监听听。
4.34.3对于符合业界标准或惯例的功能(如端口镜像、IP抓包、ACLtrafficmirror),且产品本身不对抓取的数据进行解析和处理,允许保留。
4.44.4产品信令跟踪功能中如果涉及短信内容:
必须在呈现界面上(如命令行显示、trace、LMT显示界面、文件存储/导出等)对短信内容进行过滤,以确保在任何情况下任何人无法看到原始的短信内容。
4.5除满足上述要求外,对于涉及采集用户通信内容的相关功能还需满足以下要求:
1)必须提供严格的安全控制机制(管理员级的操作权限,日志记录,功能缺省关闭等);2)任何涉及客户现网数据的相关操作必须得到客户的授权,并在GPI资料中增加相关提示。
3)产品CPI资料中对产品涉及采集用户通信内容的功能进行描述和声明:
-描述该功能采集用户通信内容的目的、范围、处理方式、时限。
-声明:
要求客户使用该功能时遵从当地适用的法律法规。
4)在具体销售合同中,要求客户保证使用(包括要求华为根据其指示使用)涉及此类功能时符合当地使用的法律法规,并保证华为不因此产品功能的开发设计,遵循其指示或授权进行维保等操作行为而遭受任何损害及风险,包括但不限于直接或间接的个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失。
隐隐私私保保护护Part1Part1提提供供正正常常业业务务所所必必需需的的个个人人数数据据采采集集、处处理理相相关关要要求求1.11.1允许产品正常业务(建立通信连接及计费)的需要,采集、处理、存储个人数据,但必须提供必要的安全保护机制(如认证、权限控制、日志记录等),以防止个人数据被泄漏、丢失、破坏。
1.2必须在产品CPI(客户资料)中对产品涉及用户隐私的功能进行描述和声明:
-描述:
该功能处理用户个人数据的目的、范围、处理方式、时限-声明:
要求客户使用该功能时遵从当地适用的法律法规。
隐隐私私保保护护Part2Part2出出于于测测试试/问问题题定定位位的的目目的的,采采集集、处处理理个个人人数数据据的的相相关关要要求求2.12.1出出于于问问题题定定位位的的目目的的,允允许许产产品品采采集集、处处理理系系统统中中的的个个人人数数据据,但:
1)对个人数据采集或处理的相关操作,产品必必须须提提供供安安全全保保护护机机制制(如认证、权限控制、日志记录等),防止个人数据被泄漏。
2)任何维护操作必必须须得得到到客客户户的的授授权权,禁止进行超出客户审批范围的任何操作,并在相关GPI资料中提醒。
3)必须在产品CPI资料中公开测试/问题定位所涉及的采集/处理个人数据的目的、范围、处理方式及法律风险和建议;4)在合同中声明存在的法律风险和建议。
2.22.2问题定位数据如如需需传传出出客客户户网网络络:
1)必须对其中的个人数据进行匿匿名名化化处处理理,确保华为不能以任何方式还原个人数据。
2)必须得到客户的授权。
监监听听2.32.3对于公司内部自用的维护工具,如不接入客户网络,暂不作要求;如需接入(包括远程接入)客户网络,需参照2.1-2.2的要求执行。
并在相关工具的GPI资料中提示:
1)使用此类工具前,应事先向客户主动提供该工具的说明;2)任何维护操作必须得到客户的授权,禁止进行超出客户审批范围的任何操作;3)将问题定位数据传出客户网络必须得到客户的授权。
隐隐私私保保护护Part3Part3华华为为人人员员参参与与对对现现网网设设备备中中个个人人数数据据进进一一步步整整理理与与分分析析的的场场景景3.13.1对于基于现网设备中的个人数据进行进一步整理、分析,且有华为人员参与数据处理的场景,允许采集、处理系统中的个人数据,但必须遵循如下要求:
1)对个人数据采集或处理的相关操作,必须提供安全保护机制(如认证、权限控制、日志记录等),防止个人数据被泄漏。
2)对于所涉及的个人数据,必须在呈现界面上(如显示界面、文件存储/导出等)进行过滤或匿名化,确保华为人员不能以任何方式看到或还原个人数据。
3)相关操作必须得到客户的授权,禁止进行超出客户审批范围的任何操作,在完成服务后,必须在客户的监督下对所涉及的个人数据进行安全删除,针对敏感市场未经客户授权禁止传出客户网络,并在相关GPI资料中增加提示。
4)必须在产品CPI资料中对产品涉及用户隐私的功能进行描述和声明:
-描述该功能处理用户个人信息的目的、范围、处理方式、时限。
-声明:
要求客户使用该功能时遵从当地适用的法律法规。
5)在具体销售合同中,要求客户保证使用(包括要求华为根据其指示使用)涉及隐私部分的功能时符合当地使用的法律法规,并保证华为不因此产品功能的开发设计,遵循其指示或授权进行维保等操作行为而遭受任何损害及风险,包括但不限于直接或间接的个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失。
3.23.2对于面向最终用户的增值服务(如定向广告、绿色上网、基于精确位置数据的服务等),产品应支持最终用户告知、确认、以及将来任何时间关闭或撤回同意的功能/解决方案。
未未公公开开接接口口PartPart11:
对对可可绕绕过过系系统统安安全全机机制制场场景景的的清清理理要要求求1.11.1所有能对系统进行管理的物理(设备外部可见的串口、USB、管理网口等)或逻辑通信端口/协议(标准协议没有认证的例外),必须提供认证机制和相应的权限控制,并对所有的用户操作进行日志记录。
如果产品支持关闭认证机制,应在CPI资料中提示风险。
1.21.2禁止存在绕过正常认证机制直接进入到系统的隐秘通道,如:
组合键、鼠标特殊敲击、连接特定接口,使用特定客户端、使用特殊URL等。
1.31.3对于人机接口以及可远程访问的机机接口,不得存在用户无法修改的口令(含程序中的硬编码口令)。
1.41.4用于加密通过非信任网络传输的数据的密钥,不能在程序中硬编码,应提供密钥管理或密钥协商的机制。
1.51.5所有帐户都必须可被系统管理,禁止存在用户未知的帐户(如超级账号/口令),并在产品资料中提供所有账号及管理操作说明。
1.61.6对于出厂时缺省设置的账号/口令或用于传输的加密密钥,产品必须提供客户修改机制,产品CPI资料中应提醒用户修改及定期更新,并提示风险。
隐隐私私保保护护1.71.7严禁使用私有的密码算法。
1.81.8所有非查询类操作(含处于隐藏模式下的命令、参数、生产调测命令等)必须有日志记录1.91.9对于不需要的或按照红线要求需要清理的功能,如果采用解释性语言(如Shell/python/perl脚本、jsp、html等)实现,必须彻底删除,严禁使用注释行等形式仅使代码失效。
未未公公开开接接口口PartPart22:
对对产产品品中中未未公公开开的的命命令令/接接口口的的相相关关要要求求2.12.1对于现网维护期间不会使用的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),必须删除(如编译宏)。
2.22.2对于需在现网维护阶段使用的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等向客户或监管机构公开或受限公开。
2.32.3对于涉及产品知识产权、高危操作、可外部调用的内部接口等不期望向所有客户人员公开的内容,可采取受限公开的形式资料化,主动向客户/政府特定人员公开或仅在客户要求时再公开(与客户签署保密协议)。
2.42.4受限公开的资料作为产品的正式资料,应与公开资料同等质量要求。
在正式发布的面向客户的产品资料中须注明受限公开资料的获取方式/途径。
电电软软资资料料解解读读产产品品侧侧落落地地时时待待确确认认点点涉及产品:
有合法监听功能的相关产品。
资料要求:
1、对于涉及合法监听功能的产品,资料需要严格按照国家和地区区分。
即:
发往A国家的版本只能有对应A国家标准的相关资料。
2、合法监听接口的资料要与其他产品资料隔离,独立交付。
3、合法监听接口资料不向客户所有人员公开,因此该资料在support网站的密级为A,该资料由服务交付团队点对点交付。
4、产品资料中对产品涉及合法监听接口的维护功能进行描述(包括监听功能的目的、范围、处理方式、时限),并提供必要的声明,其中:
功功能能:
指接口的维护功能。
如维护操作的命令等。
目目的的:
维护命令/参数/接口等的目的。
时时限限:
指“处理该数据的时长”。
因为DPA规定对数据的存储不要超过处理目的以外的必要时长。
声声明明:
要求客户使用该功能时遵从当地适用的法律法规。
资料声明描述,见“声明”页签。
在GPI(给服务的资料)资料中明确提示:
1)必须获得客户合法监听相关部门的授权,并在其指定人员的监督下进行;2)对合法监听接口的维护操作只能在现网进行,相关信息不允许带出客户网络如华为人员进行合法监听接口的维护操作,建议由当地公民执行。
确认产品是否有合法监听接口如果有合法监听接口,确认销售到该局点的合法监听接口标准是什么?
确认产品是否支持合法监听接口标准之外的特殊需求涉及产品:
处理保障网络运营和服务的目的,涉及采集用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的产品。
涉及资料:
安全技术白皮书/故障处理/操作指南/对应特性的描述信息/故障信息采集指导/采集工具的资料。
产品资料中描述相关功能的目的、范围、处理方式、时限,并提供必要的声明,其中:
目目的的:
采集通信内容的目的;范范围围:
涉及到的通信内容范围。
处处理理方方式式:
如何使用/处理的,提供了哪些安全保护机制。
时时限限:
存储/采集的时长。
关于此类功能的声明,请参考“声明”页签。
在GPI(给服务的资料)资料中明确提示:
任何涉及客户现网数据的相关操作必须得到客户的授权。
注意:
各产品对日志功能做了一些安全红线整改,如短信的日志中不再包含短信的原始内容。
产品资料中可能涉及截取一些日志内容,资料整改时需要注意。
确认产品是否会采集用户通信内容?
涉及资料:
安全技术白皮书/产品描述、特性描述在产品资料中对产品涉及用户隐私的功能进行描述和声明:
目目的的:
处理个人数据的目的;范范围围:
涉及到的个人数据范围。
处处理理方方式式:
如何使用/处理的,提供了哪些安全保护机制。
时时限限:
存储/使用的时长。
关于此类功能的声明,请参考“声明”页签确认产品是否涉及以及涉及哪些个人数据涉及文档:
安全技术白皮书/故障处理/操作指南/对应特性的描述信息/故障信息采集指导/采集工具的资料。
涉及的活动包括不限于:
故障处理/定位(日志、抓包、跟踪、录音)、客户信息管理(oss)、用户定位(无线)、数据备份(包含个人信息)对于涉及个人数据采集和导出的产品,需要增加关于安全声明类的描述,具体内容请参考“声明”页签。
补补充充:
涉及个人用户数据的导出和采集两项功能,包括由华为工程师在客户现场使用接入客户网络的工具(包含华为研发的、以及外购的)。
对于公司内部自用的维护工具,如需接入(包括远程接入)客户网络,需在相关工具的GPI资料中写明:
1、工具涉及哪些个人数据的采集和处理,用途是什么,采取了何种保护措施,数据保留的时长等。
并提示工程师在使用此类工具前,应事先向客户主动提供上述内容。
2、提示工程师任何维护操作必须得到客户的授权,禁止进行超出客户审批范围的任何操作;3、提示工程师将问题定位数据传出客户网络必须得到客户的授权。
确认产品在问题定位数据如需传出客户网络时是否对其中的个人数据进行匿名化处理?
确认有哪些公司内部自用但会介入客户网络的维护工具?
产品是否为工具专门留有接口?
必须在产品资料中对产品涉及用户隐私的功能进行描述和声明:
目目的的:
采集通信内容的目的;范范围围:
涉及到的通信内容范围。
处处理理方方式式:
如何使用/处理的,提供了哪些安全保护机制。
时时限限:
存储/采集的时长。
关于此类功能的声明,请参考“声明”页签在GPI资料中描述:
相关操作必须得到客户的授权,禁止进行超出客户审批范围的任何操作,在完成服务后,必须在客户的监督下对所涉及的个人数据进行安全删除,针对敏感市场未经客户授权禁止传出客户网络涉及文档:
硬件描述、操作类手册、工具配套资料、用户清单、密码修改指南、安全维护1、描述在设备外部可见的能对系统进行管理的物理接口的接入认证机制,与产品功能保持一致。
注:
硬件类产品例如ATAE提供满足要求的硬件描述或产品描述。
2、如果产品支持关闭认证机制,应在给客户的资料中提示风险。
3、在产品资料中提供所有账号及管理操作说明,建议的知识点分布:
(1)在密码修改指南中“用户清单”附件中提供所有可以修改密码的用户列表,以及密码修改操作。
(2)提供单独的用户清单资料(Excel形式),给出所有的用户列表(账号只被禁用但没有删除,还是需要在资料中描述。
)。
(3)除了账户的密码修改操作,其他管理操作,在安全维护中描述,例如延迟有效期,修改权限等。
(4)在密码修改指南中,对于“出厂时缺省设置的账号/口令或用于传输的加加密密密密钥钥”,提醒用户修改及定期更新,并提示风险。
(5)对于可以修改口令的界面和工具,在其对应的资料中描述密码修改的方法。
(6)如果不出单独的密码修改指南,可以在安全维护或者管理员指南等资料中描述。
用户清单模板:
http:
/涉及产品知识产权、高危操作、可外部调用的内部接口涉及文档:
硬件描述、操作类手册、工具配套资料、用户清单、密码修改指南、安全维护1、描述在设备外部可见的能对系统进行管理的物理接口的接入认证机制,与产品功能保持一致。
注:
硬件类产品例如ATAE提供满足要求的硬件描述或产品描述。
2、如果产品支持关闭认证机制,应在给客户的资料中提示风险。
3、在产品资料中提供所有账号及管理操作说明,建议的知识点分布:
(1)在密码修改指南中“用户清单”附件中提供所有可以修改密码的