开发运维飞行手册

涉密系统三员手册

涉密系统“三员”并不是特指三个人,而是代表涉密信息系统安全保密管理的三类岗位或角色,对应不同的职责,由相关人员担任,以相应权限的管理员账号登录设备或系统来完成各项工作。

三员工作分工

  • 系统管理员:主要负责系统的日常运行维护,包括网络设备、安全保密产品、服务器和用户终端、操作系统、数据库、涉密业务应用系统的安装、配置、升级、维护、运行管理;网络和系统的用户增加或删除;网络和系统的数据备份、运行日志审查和运行情况监控;应急条件下的安全恢复,等等。
  • 安全保密管理员:主要负责系统日常安全保密管理,包括网络和系统用户权限的授予与撤销;用户操作行为的安全审计;安全保密设备管理;系统安全事件的审计、分析、处理;应急条件下的安全恢复,等等。
  • 安全审计员:主要负责对系统管理员、安全保密管理员的操作行为进行审计分析和监督检查,以及时发现违规行为。

三员系统功能

在设计涉密应用系统时,需要进行三员分立的设计,权限应当划分如下:

系统管理员

  • 负责系统的日常运行维护工作
  • 负责系统用户创建、用户删除

安全保密管理员

  • 负责系统的日常安全保密管理工作
  • 负责系统用户修改、用户密码重置、用户停启
  • 负责系统用户的角色分配、角色的功能资源分配
  • 负责管理与审查系统用户及安全审计管理员的操作日志

安全审计员

  • 负责对系统管理员和安全保密管理员的日常操作行为进行审计跟踪分析和监督检查
  • 审计管理员禁止访问管理平台安装的系统文件和直接访问数据库
  • 禁止执行其它项目管理平台管理工作

应用系统设计要求

三员的角色、账号,应当是内置的,不允许查询、修改、删除,独立于业务系统以外。