-
-
maox 初学数据Lv2
发表于2021-10-19 19:58
楼主
信息系统三员分立参考三权分立做设置,在应用系统中应制定系统管理员、安全保密管理员和安全审计员三类角色,负责系统的管理、审计工作。
1) 严禁存在具有最高权限的超级管理员,系统管理员、安全保密管理员、安全审计员按最小授权原则进行权限划分,各管理员间的权限能够互相独立、互相监督、相互制约。
2) 系统管理员根据业务实际,配置、调整应用系统参数,对系统进行日常维护工作。主要负责建立业务组织结构与用户账户,根据需求增加、删除、修改账号信息,建立的系统账户应确保在系统中的唯一性,账户列表不被非授权访问;查看系统运行日志、管理系统数据空间、进行系统数据及运行日志备份。
3) 安全保密管理员主要负责系统的日常安全保密管理工作,包括用户账号授权,增加、删除、修改用户权限;以及应用系统所产生日志的审查分析,定期备份业务用户和安全审计员操作日志。
4) 安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查,以及时发现违规行为,并定期向系统安全保密管理机构汇报相关情况。
5) 业务用户在系统中,应具备密级属性,不得具有默认权限,所有权限均应由安全保密管理员授予。
三员定义参考资料:
https://wenku.baidu.com/link?url=HoXOTpMG1X43RzJ_3LVOgzorxFqQVRBl1cM3MwSGZ5-wgTKHSK8WbDIwoTrNqKVYXHdBewv3PaB9VdMGUFaa2_w-rzmUd6EVgYGb0a86h9tcW-I3f7KwLuwTQd-AALS4
