“三员”是计算机管理系统的专业用词,指系统管理员、安全保密员和安全审计员。
涉密信息系统的“三员”很好理解,但很多使用涉密单机、无涉密网的单位,对是否需要设“系统管理员”会感到困惑。 其实,根据保密有关规定,“系统管理员”、“安全保密员”允许由同一人兼任;但“安全审计员”不允许兼任另外两员中的任意一员。笔者建议,无论是否有涉密网均设立“三员”,因为不仅在网络层面有区分“三员”的需要,在终端、应用、安全保密产品层面均应分设“三员”账户,让对应的角色去使用和运维,防止某一角色权限过大,引起安全威胁,从而实现“三员”的相互独立、相互制约。
【典型案例】
某科研院所的“三员”管理制度流于形式,系统内的所有帐号、密码均记录在一张纸上,平时纸张就放在机房内。该单位虽分设了“三员”,但其中任一员其实都是“超级管理员”。直至在某起策反案中,查到系统管理员梁某出卖该单位大量涉密敏感数据;但在此之前,梁某的窃密行为却丝毫未被察觉。原来,梁某每次作案后,都会将安全审计员的审计日志删除干净。该案显示,有关单位“三员”机制和有关安全保密产品存在漏洞。
【保密提醒】
“三员”的配备和权限设置应当相互独立、相互制约,安全审计员不得兼任系统管理员或安全保密员。
来源:知乎@保密资质
|