三員管理

語言: CN / TW / HK

一、“三員”職責

系統管理員:主要負責系統的日常執行維護工作。包括網路裝置、安全保密產品、伺服器和使用者終端、作業系統資料庫、涉密業務系統的安裝、配置、升級、維護、執行管理;網路和系統的使用者增加或刪除;網路和系統的資料備份、執行日誌審查和執行情況監控;應急條件下的安全恢復。


安全保密管理員:主要負責系統的日常安全保密管理工作。包括網路和系統使用者許可權的授予與撤銷;使用者操作行為的安全設計;安全保密裝置管理;系統安全事件的審計、分析和處理;應急條件下的安全恢復。


安全審計員:主要負責對系統管理員和安全保密員的操作行為進行審計跟蹤、分析和監督檢查,及時發現違規行為,並定期向系統安全保密管理機構彙報情況。  

二、“三員”配置要求

1、系統管理員、安全保密管理員和安全審計員不能以其他使用者身份登入系統;不能檢視和修改任何業務資料庫中的資訊;不能增刪改日誌內容。
2、涉密資訊系統三員應由本單位內部人員擔任,要求政治上可靠,熟悉涉密資訊系統管理操作流程,具有較強的責任意識和風險防控意識;並簽署保密承諾書。
3、系統管理人員和安全保密管理人員可由資訊化部門專業技術人員擔任,對於業務性較強的涉密資訊系統可由相關業務部門擔任;安全審計員根據工作需要由保密部門或其他能勝任安全審計員工作的人員擔任。
4、同一裝置或系統的系統管理員和安全審計員不能由同一人兼任,安全保密管理員員和安全審計員不得由同一人兼任。

 

三、“三員”許可權管理流程 

 

當用戶需要使用涉密資訊系統時,應該首先在本部門提出書面申請,該部門主管領導批准後,根據實際情況對此使用者在系統中的許可權進行說明,並將整個情況報本單位的保密工作機構備案。
系統管理員收到使用者書面申請後,根據該部門主管領導審批結果和本單位保密工作機構的核準認可,在系統中為該使用者生成識別符號,建立使用者賬號。
安全保密管理員收到使用者書面申請後,根據保密工作機構的稽核結果,配置相應許可權,並激活賬號。至此,該賬號才能使用。當用戶工作變動或許可權發生變化時,由使用者所在部門主管領導書面通知安全保密管理員,並報單位的保密工作機構備案。安全保密管理員接到通知後,根據變更結果登出使用者賬號或進行許可權調整。
安全審計員要定期檢視與系統管理員、安全保密管理員相關的審計日誌,當發現有使用者賬號增加、刪除和使用者許可權變化的情況時,及時查閱相關手續檔案,以確定系統管理員、安全保密管理員的操作是否經過授權和批准。
在實際工作中,通過類似上述的管理流程,使3類安全保密管理人員各司其職,充分發揮作用,再加上完善的安全保密審批監督機制,就能深入貫徹安全保密管理措施,全面實現系統的安全保密目標。

四、涉密資訊系統提供“三員”許可權劃分等安全保密防護措施

 

(一)“三員”等許可權設定
系統管理員、安全保密管理員和安全審計員是否能夠發揮實效作用,除了人員設定和管理到位外,還取決於系統使用的業務應用系統和安全保密產品是否提供相應的管理員賬號,以及許可權劃分和審計日誌功能。因此,在設計開發業務應用系統和安全保密產品時,應充分考慮該方面的需求,為使用人員提供相應功能。
管理員角色劃分
序號 角色 職責
1、系統管理員
1.負責系統引數,如流程、表單的配置、維護和管理。 2.負責使用者的註冊、刪除,保證使用者識別符號在系統生命週期的唯一性;
3.負責組織機構的變動調整,負責與使用者許可權相關的各 類角色的設定。


2 、安全保密管理員
1.負責人員涉密等級和職務等資訊調整和使用者許可權的分配; 2.負責保管所有除系統管理員以外的所有使用者的ID標誌符檔案。安全保密管理員不能以其他使用者身份登入系統; 3.不能檢視和修改任何業務資料庫中的資訊; 4.負責使用者審計日誌以及安全審計員日誌的檢視,但不能增刪改日誌內容。


3 、安全審計員
1.負責監督檢視系統管理員、安全保密管理員和安全審計管理員的操作日誌,但不能增刪改日誌內容; 2.負責定期備份、維護和匯出日誌。
在應用系統設計過程中應避免超級使用者,即該使用者具有完全的資源訪問許可權。
對於普通使用者的許可權,應按照最小授權原則進行劃分,將其許可權設定在完成工作所需的最小授權範圍內。


(二)安全審計功能
審計功能主要記錄系統使用者業務操作的過程,為安全保密管理員和安全審計員判斷使用者操作的合法性提供依據。
1.審計範圍。包括:審計功能的啟動和關閉,使用者的增加、修改和刪除以及許可權變更,系統管理員、安全保密管理員、安全審計員和使用者所實施的各種操作,包括查閱、備份、維護和匯出審計日誌。
2.審計記錄內容。應包括事件發生的時間、地點、型別、主體、客體和結果(開始、結束、失敗、成功等)。
3.審計事項管理。審計事項管理是指對核心業務操作、需要進行審計的事件的定義和管理,配置和定義所有可能需要審計的事項或操作。
4.審計策略配置。審計策略配置是指審計事項和審計人員之間的關聯、設定關係,也就是設定哪些關鍵人員的哪些關鍵操作事項需要審計;而且根據國家標準要求,使用者的增加和刪除、許可權的變更、系統管理員、審計管理員、安全管理員和使用者所實施的操作必須審計,因此根據審計內容審計分為兩類強制審計和可配置審計。  
5.審計資訊的儲存。系統應設計充足的審計記錄儲存空間,且當儲存空間將滿時能及時進行告警,必須對已儲存的審計記錄進行保護,能檢測或防止對審計記錄的修改和偽造,記錄應至少儲存三個月。