系统设计的三员管理

1、系统设计的三员管理一、“三员”职责系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产 品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维 护、运行管理，网络和系统的用户增加或删除，网络和系统的数据备份、运行日志 审 查和运行情况监控，应急条件下的安全恢复。安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户 权限的授予与撤销，用户操作行为的安全设计，安全保密设备管理，系统安全事件 的审计、分析和处理，应急条件下的安全恢复。安全审计员：主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分 析和监督检查及时发现违规行为并定期向系统安全

2、保密管理机构汇报情况。二、“三员”配置要求1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统不 能查看和修改任何业务数据库中的信息，不能增删改日志内容。2、涉密信息系统三员应由本单位内部人员担任要求政治上可靠熟悉涉密信 息系统管理操作流程具有较强的责任意识和风险防控意识，并签署保密承诺书。3、系统管理人员和安全保密管理人员可由信息化部门专业技术人员担任对于 业务性较强的涉密信息系统可由相关业务部门担任，安全审计员根据工作需要由保 密部门或其他能胜任安全审计员工作的人员担任。4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任安全保密管 理员员和安全审计员不得由同一人兼任

3、。三、“三员”权限管理流程应牛审2 K当用户需要使用涉密信息系统时应该首先在本部门提出书面申请该部门主管领导批准后根据实际情况对此用户在系统中 的权限进行说明并将整个情况报本单位的保密工作机构备案。系统管理员收到用户书面申请后根据该部门主管领导审批结果和本单位保密 工 作机构的核准认可在系统中为该用户生成标识符创建用户账号。安全保密管理员收到用户书面申请后根据保密工作机构的审核结果配置相 应 权限并激活账号。至此该账号才能使用。当用户工作变动或权限发生变化时由 用户所在部门主管领导书面通知安全保密管理员并报单位的保密工作机构备案。安 全保密管理员接到通知后根据变更结果注销用户账号或进行权限调整

4、。安全审计员要定期查看与系统管理员、安全保密管理员相关的审计日志当发 现 有用户账号增加、删除和用户权限变化的情况时及时查阅相关手续文件以确 定系 统管理员、安全保密管理员的操作是否经过授权和批准。在实际工作中通过类似上述的管理流程使3类安全保密管理人员各司其职 充分发挥作用再加上完善的安全保密审批监督机制就能深入贯彻安全保密管理措施全面实现系统的安全保密目标。四、涉密信息系统提供“三员”权限划分等安全保密防护措施三员”等权限设置系统管理员、安全保密管理员和安全审计员是否能够发挥实效作用除了人员设 置和管理到位外还取决于系统使用的业务应用系统和安全保密产品是否提供相应的 管理员账号以及权限划分

5、和审计日志功能。因此在设计开发业务应用系统和安全 保密产品时应充分考虑该方面的需求为使用人员提供相应功能。管理员角色划分序号角色职责1系统管1.负责系统参数如流程、表单的配置、维护和管理员理。负责用户的注册、删除，保证用户标识符在系统生命周期的唯一性；负责组织机构的变动调整，负责与用户权限相关的各类角色的设置。2安全保1.负责人员涉密等级和职务等信息调整和用户权密管限的分配；理员2.负责保管所有除系统管理员以外的所有用户的ID标志符文件。安全保密管理员不能以其他用户身份登录系统；不能查看和修改任何业务数据库中的信息，负责用户审计日志以及安全审计员日志的查看但不能增删改日志内容。3安全审1.负责

6、监督查看系统管理员、安全保密管理员和计员 安全审计管理员的操作日志，但不能增删改日志内容；负责定期备份、维护和导出日志。在应用系统设计过程中应避免超级用户即该用户具有完全的资源访问权限。对于普通用户的权限应按照最小授权原则进行划分将其权限设定在完成工作 所需的最小授权范围内。,二，安全审计功能审计功能主要记录系统用户业务操作的过程为安全保密管理员和安全审计员判断用户操作的合法性提供依据。审计范围。包括：审计功能的启动和关闭用户的增加、修改和删除以及权 限变更系统管理员、安全保密管理员、安全审计员和用户所实施的各种操作包括查阅、备份、维 护和导出审计日志。审计记录内容。应包括事件发生的时间、地点、类型、主体、客体和结果，开 始、结束、失败、成功等，。审计事项管理。审计事项管理是指对核心业务操作、需要进行审计的事件的定 义和管理配置和定义所有可能需要审计的事项或操作。审计策略配置。审计策略配置是指审计事项和审计人员之间的关联、设置关系 也就是设置哪些关键人员的哪些关键操作事项需要审计，而且根据国家标准要求 用户的增加和删除、权限的变更、系统管理员、审计管理员、安全管理员和用户所 实施的操作必须审计因此根据审