一偏灿、“三員”職責
系統(tǒng)管理員:主要負責系統(tǒng)的日常運行維護工作丹诀。包括網(wǎng)絡設備、安全保密產(chǎn)品翁垂、服務器和用戶終端铆遭、操作系統(tǒng)數(shù)據(jù)庫、涉密業(yè)務系統(tǒng)的安裝沿猜、配置枚荣、升級、維護啼肩、運行管理橄妆;網(wǎng)絡和系統(tǒng)的用戶增加或刪除;網(wǎng)絡和系統(tǒng)的數(shù)據(jù)備份祈坠、運行日志審查和運行情況監(jiān)控害碾;應急條件下的安全恢復。
安全保密管理員:主要負責系統(tǒng)的日常安全保密管理工作赦拘。包括網(wǎng)絡和系統(tǒng)用戶權限的授予與撤銷慌随;用戶操作行為的安全設計;安全保密設備管理躺同;系統(tǒng)安全事件的審計阁猜、分析和處理;應急條件下的安全恢復蹋艺。
安全審計員:主要負責對系統(tǒng)管理員和安全保密員的操作行為進行審計跟蹤剃袍、分析和監(jiān)督檢查,及時發(fā)現(xiàn)違規(guī)行為捎谨,并定期向系統(tǒng)安全保密管理機構匯報情況笛园。
二隘击、“三員”配置要求
1、系統(tǒng)管理員研铆、安全保密管理員和安全審計員不能以其他用戶身份登錄系統(tǒng);不能查看和修改任何業(yè)務數(shù)據(jù)庫中的信息;不能增刪改日志內(nèi)容州叠。
2棵红、涉密信息系統(tǒng)三員應由本單位內(nèi)部人員擔任,要求政治上可靠咧栗,熟悉涉密信息系統(tǒng)管理操作流程逆甜,具有較強的責任意識和風險防控意識;并簽署保密承諾書致板。
3交煞、系統(tǒng)管理人員和安全保密管理人員可由信息化部門專業(yè)技術人員擔任,對于業(yè)務性較強的涉密信息系統(tǒng)可由相關業(yè)務部門擔任斟或;安全審計員根據(jù)工作需要由保密部門或其他能勝任安全審計員工作的人員擔任素征。
4、同一設備或系統(tǒng)的系統(tǒng)管理員和安全審計員不能由同一人兼任萝挤,安全保密管理員員和安全審計員不得由同一人兼任御毅。
三、“三員”權限管理流程
當用戶需要使用涉密信息系統(tǒng)時怜珍,應該首先在本部門提出書面申請端蛆,該部門主管領導批準后,根據(jù)實際情況對此用戶在系統(tǒng)中的權限進行說明酥泛,并將整個情況報本單位的保密工作機構備案今豆。
系統(tǒng)管理員收到用戶書面申請后,根據(jù)該部門主管領導審批結果和本單位保密工作機構的核準認可柔袁,在系統(tǒng)中為該用戶生成標識符呆躲,創(chuàng)建用戶賬號。
安全保密管理員收到用戶書面申請后瘦馍,根據(jù)保密工作機構的審核結果歼秽,配置相應權限,并激活賬號情组。至此燥筷,該賬號才能使用。當用戶工作變動或權限發(fā)生變化時院崇,由用戶所在部門主管領導書面通知安全保密管理員肆氓,并報單位的保密工作機構備案。安全保密管理員接到通知后底瓣,根據(jù)變更結果注銷用戶賬號或進行權限調(diào)整谢揪。
安全審計員要定期查看與系統(tǒng)管理員蕉陋、安全保密管理員相關的審計日志,當發(fā)現(xiàn)有用戶賬號增加拨扶、刪除和用戶權限變化的情況時凳鬓,及時查閱相關手續(xù)文件,以確定系統(tǒng)管理員患民、安全保密管理員的操作是否經(jīng)過授權和批準缩举。
在實際工作中,通過類似上述的管理流程匹颤,使3類安全保密管理人員各司其職仅孩,充分發(fā)揮作用,再加上完善的安全保密審批監(jiān)督機制印蓖,就能深入貫徹安全保密管理措施辽慕,全面實現(xiàn)系統(tǒng)的安全保密目標。
四赦肃、涉密信息系統(tǒng)提供“三員”權限劃分等安全保密防護措施
(一)“三員”等權限設置
系統(tǒng)管理員溅蛉、安全保密管理員和安全審計員是否能夠發(fā)揮實效作用,除了人員設置和管理到位外摆尝,還取決于系統(tǒng)使用的業(yè)務應用系統(tǒng)和安全保密產(chǎn)品是否提供相應的管理員賬號温艇,以及權限劃分和審計日志功能。因此堕汞,在設計開發(fā)業(yè)務應用系統(tǒng)和安全保密產(chǎn)品時勺爱,應充分考慮該方面的需求,為使用人員提供相應功能讯检。
管理員角色劃分
序號 角色 職責
1
系統(tǒng)管理員
1.負責系統(tǒng)參數(shù)琐鲁,如流程、表單的配置人灼、維護和管理围段。 2.負責用戶的注冊、刪除,保證用戶標識符在系統(tǒng)生命周期的唯一性;
3.負責組織機構的變動調(diào)整,負責與用戶權限相關的各 類角色的設置投放。
2 安全保密管理員
1.負責人員涉密等級和職務等信息調(diào)整和用戶權限的分配; 2.負責保管所有除系統(tǒng)管理員以外的所有用戶的ID標志符文件奈泪。安全保密管理員不能以其他用戶身份登錄系統(tǒng); 3.不能查看和修改任何業(yè)務數(shù)據(jù)庫中的信息; 4.負責用戶審計日志以及安全審計員日志的查看灸芳,但不能增刪改日志內(nèi)容涝桅。
3 安全審計員
1.負責監(jiān)督查看系統(tǒng)管理員、安全保密管理員和安全審計管理員的操作日志,但不能增刪改日志內(nèi)容; 2.負責定期備份烙样、維護和導出日志冯遂。
在應用系統(tǒng)設計過程中應避免超級用戶,即該用戶具有完全的資源訪問權限谒获。
對于普通用戶的權限蛤肌,應按照最小授權原則進行劃分壁却,將其權限設定在完成工作所需的最小授權范圍內(nèi)。
(二)安全審計功能
審計功能主要記錄系統(tǒng)用戶業(yè)務操作的過程裸准,為安全保密管理員和安全審計員判斷用戶操作的合法性提供依據(jù)展东。
1.審計范圍。包括:審計功能的啟動和關閉炒俱,用戶的增加琅锻、修改和刪除以及權限變更,系統(tǒng)管理員向胡、安全保密管理員、安全審計員和用戶所實施的各種操作惊完,包括查閱僵芹、備份、維護和導出審計日志小槐。
2.審計記錄內(nèi)容拇派。應包括事件發(fā)生的時間、地點凿跳、類型件豌、主體、客體和結果(開始控嗜、結束茧彤、失敗、成功等)疆栏。
3.審計事項管理曾掂。審計事項管理是指對核心業(yè)務操作、需要進行審計的事件的定義和管理壁顶,配置和定義所有可能需要審計的事項或操作珠洗。
4.審計策略配置。審計策略配置是指審計事項和審計人員之間的關聯(lián)若专、設置關系许蓖,也就是設置哪些關鍵人員的哪些關鍵操作事項需要審計;而且根據(jù)國家標準要求调衰,用戶的增加和刪除膊爪、權限的變更、系統(tǒng)管理員窖式、審計管理員蚁飒、安全管理員和用戶所實施的操作必須審計,因此根據(jù)審計內(nèi)容審計分為兩類強制審計和可配置審計萝喘。
5.審計信息的存儲淮逻。系統(tǒng)應設計充足的審計記錄存儲空間琼懊,且當存儲空間將滿時能及時進行告警,必須對已存儲的審計記錄進行保護爬早,能檢測或防止對審計記錄的修改和偽造哼丈,記錄應至少保存三個月。
