系统管理员

.

精品

涉密系统设计解决方案——三员管理

一、“三员”职责

系统管理员：主要负责系统的日常运行维护工作。包括

网络设备、安全保密产品、服务器和用户终端、操作系统数

据库、涉密业务系统的安装、配置、升级、维护、运行管理；

网络和系统的用户增加或删除；网络和系统的数据备份、运

行日志审查和运行情况监控；应急条件下的安全恢复。

安全保密管理员：主要负责系统的日常安全保密管理工

作。包括网络和系统用户权限的授予与撤销；用户操作行为

的安全设计；安全保密设备管理；系统安全事件的审计、分

析和处理；应急条件下的安全恢复。

安全审计员：主要负责对系统管理员和安全保密员的操

作行为进行审计跟踪、分析和监督检查，及时发现违规行为，

并定期向系统安全保密管理机构汇报情况。

二、“三员”配置要求

1、系统管理员、安全保密管理员和安全审计员不能以

其他用户身份登录系统;不能查看和修改任何业务数据库中

的信息；不能增删改日志内容。

2、涉密信息系统三员应由本单位内部人员担任，要求

政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的

责任意识和风险防控意识；并签署保密承诺书。

.

精品

3、系统管理人员和安童年的句子 全保密管理人员可由信息化部门

专业技术人员担任，对于业务性较强的涉密信息系统可由相

关业务部门担任；安全审计员根据工作需要由保密部门或其

他能胜任安全审计员工作的人员担任。

4、同一设备或系统的系统争做文明学生 管理员和安全审计员不能由

同一人兼任，安全保密管理员员和安全审计员不得由同一人

兼任。

三、“三员”权限管理流程

当用户需要使用涉密信息系统时，应该首先在本部门提

出书面申请，该部门主管领导批准后，根据实际情况对此用

户在系统中的权限进行说明，并将整个情况报本单位的保密

.

精品

工作机构备案。

.

精品

系统管理员收到用户书面申请后，根据该部门主管领导

审批结果和本单位保密工作机构的核准英国历代国王 认可，在系统中为该

用户生成标识符，创建用户账号。

安全保密管理员收到用户书面申请后，根据保密工作机

构的审核结果，配置相应权限，并激活账号。至此，该账号

才能使用。当用户工作变动或权限发生变化时，由用户所在

部门主管领导书面通知安全保密管理员，并报单位的保密工

作机构备案。安全保密管理员接到通知后，根据变更结果注

销用户账号或进行权限调整。

安全审计员要定期查看与系统管理员、安全保密管理员

相关的审计日志，当发现有用户账号增加、删除和用户权限

变化的情况时，及时查阅相关手续文件，以确定系统管理员、

安全保密管理员的操作是否经过授权和批准。

在实际工作中，通过类似上述的管理流程，使3类安全

保密管理人员各司其职，充分发挥作用，再加上完善的安全

保密审批监督机制，就能深入贯彻安全保密管理措施，全面

实现系统的安全保密目标。

四、涉密信息系统提供“三员”权限划分等安全保密防

护措施

（一）“三员”等权限设置

系统管理员、安全保密管理员和安全审计员是否能够发

挥实效作用，除了人员设置和管理到位外，还取决于系统使

.

精品

用的业务应用系统和安全保密产品是否提供相应的管理员

账号，以及权限划分和审计日英文电影台词 志功能。因此，在设计开发业

务应用系统和安全保密产品时，应充分考虑该方面的需求，

为使用人员提供相应功能。

.

精品

管理员角色划分

序号角色职责

1系统管

理员

1.负责系统参数，如流程、表单的配置、维护和管理。

2.负责用户的注册、删除,保证用户标识符在系统生命周

期的唯一性;

3.负责组织机构的变动调整,负责与用户权限相关的各

类角色的设置。

2安全保

密管理

员

1.负责人员涉密等级和职务等信息调整和用户权限的分

配;

2.负责保管所有除系统管理员以外的所有用户的ID标志

符文件。安全保密管理员不能以其他用户身份登录系统;

3.不能查看和修改任何业务数据库中的信息；

4.负责用户审计日志以及安全审计员日志的查看，但不能

增删改日志内容。

3安全审

计员

1.负责监督查看系统管理员、安全保密管理员和安全审计

管理员的操作日志,但不能增删改日志内容;

2.负责定期备份、维护和导出日志。

.

精品

在应用系统设计过程中应避免超级用户，即该用户具有

完全的资源访问权限。

对于普通用户的权限，应按照最小授权原则峨眉山一线天 进行划分，

将其权限设定在完成工作所需的最小授权范围内。

（二）安全审计功能

审计功能主要记录系统用户业务操作的过程，为安全保

密管理员和安全审计员判断用户操作的合法性提供依据。

1.审计范围。包括：审计功能的启动和关闭，用户的增

加、修改和删除以及权限变更，系统管理员、安全保密管理

员、安全审计员和用户所实施的各种操作，包括查阅、备份、

维护和导出审计日志。

2.审计记录内容。应包括事件发生质量浓度公式 的时间、地点、类型、

主体、客体和结果（开始、结束、失败、成功等）。

3.审计事项管理。审计事项管理是指对核心业务操作、

需要进行审计的事件的定义和管理，配置和定义所有可能需

要审计的事项或操作。

4.审计策略配置。审计策略配置是指审计事项和审计人

员之间的关联、设置关系，也就是设置哪些关键人员的哪些

关键操作事项需要审计；而且根据国家标准要求，用户的增

加和删除、权限的变更、系统管理员、审计管理员、安全管

理员和用户所实施的操作必须审计，因此根据审计内容审计

分为两类强制审计和可配置审计

.

精品

。

5.审计信息的存储。系统应设计充足的审计记录存储空

间，且当存储空间将满时能及时进行告警，必须对已存储的

审计记录进行保护，能检测或防止对审计记录的修改和伪

造，记录应至少保存三个月。

如有侵权请联系告知删除，感谢你们的配合！