涉密信息系統(tǒng)“三員”淺談

◆甘清云

?

涉密信息系統(tǒng)“三員”淺談

◆甘清云

（中國直升機設(shè)計研究所 天津 300300）

系統(tǒng)管理員、安全保密管理員和安全審計員(簡稱“三員”)是涉密信息系統(tǒng)安全可靠運行的堅強后盾，具有非常重要的作用。本文介紹了涉密信息系統(tǒng)“三員”存在的問題、改進的措施。

涉密信息系統(tǒng)；“三員”；安全

0 引言

涉密信息系統(tǒng)的系統(tǒng)管理員、安全保密管理員和安全審計員（以下簡稱“三員”）是涉密信息系統(tǒng)安全可靠運行的堅強后盾，具有非常重要的地位和作用。鑒于涉密信息系統(tǒng)“三員”掌握的信息多、權(quán)限大，如果不能有效地對“三員”進行監(jiān)督，涉密信息系統(tǒng)的安全將受到嚴(yán)重威脅。本文主要介紹了涉密信息系統(tǒng)“三員”的概況、“三員”管理存在的問題以及改進的措施。

1 涉密信息系統(tǒng)“三員”

涉密信息系統(tǒng)“三員”是指系統(tǒng)管理員、安全保密管理員和安全審計員。系統(tǒng)管理員主要負責(zé)系統(tǒng)的日常運行維護工作；安全保密管理員主要負責(zé)系統(tǒng)的日常安全保密管理工作，包括用戶賬號管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析；安全審計員主要負責(zé)對系統(tǒng)管理員、安全保密管理員的操作行為進行審計、跟蹤、分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并定期向安全保密管理機構(gòu)匯報相關(guān)情況。“三員”權(quán)限設(shè)置應(yīng)相互獨立，相互制約，相互之間不得兼任或者替代。

涉密信息系統(tǒng)“三員”應(yīng)具備信息安全保密知識和業(yè)務(wù)技能，認真履行崗位職責(zé)，積極完成與職責(zé)相關(guān)的工作，按照有關(guān)保密標(biāo)準(zhǔn)的要求建立健全工作記錄和日志文檔，并妥善保存；“三員”應(yīng)掌握常見安全產(chǎn)品的適用方法和技術(shù)手段，熟悉數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的安全知識和技術(shù)防護措施；“三員”應(yīng)當(dāng)定期接受管理和業(yè)務(wù)方面的集中培訓(xùn)，熟練掌握國家保密法規(guī)和標(biāo)準(zhǔn)要求，不斷提高技術(shù)技能和管理水平。

2 涉密信息系統(tǒng)“三員”管理存在的問題

2.1 “三員”的配備還存在不合理現(xiàn)象

有的單位信息化人員數(shù)量不足，沒有足額配備“三員”，存在“三員”之間兼任或者替代現(xiàn)象；還有的單位“三員”未設(shè)立A、B角，缺乏備份機制；個別未建立涉密信息系統(tǒng)僅使用涉密計算機的單位，沒有按照要求配備安全保密管理員。

2.2 “三員”的專業(yè)技能還有待提高

“三員”需要熟悉國家有關(guān)信息安全保密的法規(guī)標(biāo)準(zhǔn)和防護要求、具備信息安全保密知識、掌握計算機與信息系統(tǒng)的專業(yè)知識和運行維護技能。有的單位沒有按照要求組織“三員”在上崗前接受有關(guān)部門組織的專業(yè)培訓(xùn)；有的單位在“三員”上崗前組織“三員”參加了培訓(xùn)，但是沒有按照要求組織“三員”參加持續(xù)教育培訓(xùn)。上崗前或上崗后專業(yè)技能培訓(xùn)的缺失，使得“三員”的專業(yè)技能離要求還有一定的差距。

2.3 對“三員”的監(jiān)督還有待進一步加強

對“三員”的監(jiān)督在技術(shù)層面和管理層面還面臨一些實際困難。在技術(shù)層面，不少系統(tǒng)中有“三員”功能模塊，但是安全審計員在系統(tǒng)中可能只能查看系統(tǒng)管理員和安全保密管理員的系統(tǒng)登錄、退出日志，而無法審計系統(tǒng)管理員和安全保密管理員在系統(tǒng)中具體干了什么，進行了什么操作；在管理層面，“三員”相互監(jiān)督的制度是否嚴(yán)格執(zhí)行，也在考驗我們的管理者和“三員”。

2.4 對網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員等的管理還存在模糊認識

有的單位對網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員的認識還有偏差。網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員是不是屬于“三員”？如果是，則按照“三員”的要求管理即可；如果不是，那么針對網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員應(yīng)該怎么樣管理？

3 涉密信息系統(tǒng)“三員”管理的改進措施

3.1 根據(jù)實際工作需要足額配備“三員”

“三員”應(yīng)當(dāng)設(shè)置獨立的工作權(quán)限，實現(xiàn)相互監(jiān)督、相互制約，相互之間不得兼任或者替代；單位“三員”應(yīng)該設(shè)立A、B角，互為備份；單位應(yīng)該按照最大化原則配備“三員”以滿足日常運維工作；無涉密信息系統(tǒng)僅使用涉密計算機的單位，應(yīng)當(dāng)配備安全保密管理員。

3.2 扎實做好“三員”上崗前及上崗后的技能培訓(xùn)

“三員”上崗前需要參加有關(guān)部門組織的培訓(xùn)，具備上崗能力后方可上崗；“三員”上崗后要定期參加安全保密管理和專業(yè)技能方面的培訓(xùn)，熟練掌握國家信息安全保密法規(guī)和標(biāo)準(zhǔn)要求，不斷提高技術(shù)技能和管理水平。

3.3 從技術(shù)和管理上做好對“三員”的監(jiān)督工作

在系統(tǒng)運行維護過程中，如果可以從技術(shù)上實現(xiàn)配置變更兩人操作方可生效，則將該項配置的變更職責(zé)分屬于兩人；如果從技術(shù)上不能實現(xiàn)，則通過管理手段實現(xiàn)：要求一人完成配置變更，其操作日志由另一人負責(zé)審計。還可以通過部署堡壘主機等技術(shù)手段加強對“三員”的監(jiān)督。

3.4 相關(guān)管理員也應(yīng)該納入“三員”管理范疇

網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員不是“三員”，不在單位的正式“三員”名單中，但是應(yīng)當(dāng)納入“三員”的管理范疇。以涉密應(yīng)用系統(tǒng)為例，可以參照“三員”模式分別設(shè)立系統(tǒng)管理員、安全保密管理員、安全審計員。系統(tǒng)管理員注冊用戶賬號、注冊角色名稱；安全保密管理員為用戶和角色賦權(quán)并使賬號生效，審計用戶操作；安全審計員審計系統(tǒng)管理員和安全保密管理員的操作。

4 結(jié)束語

當(dāng)前，涉密信息系統(tǒng)不斷面臨來自內(nèi)部的安全隱患和來自外部的安全威脅，涉密信息系統(tǒng)安全保密形勢十分嚴(yán)峻。各單位要提高對“三員”工作重要性的認識，按照國家有關(guān)標(biāo)準(zhǔn)和要求，扎實做好“三員”的各項工作，充分發(fā)揮“三員”的重要作用，確保涉密信息系統(tǒng)安全可靠運行。

[1]張若虹，葉銘.涉密信息系統(tǒng)運行階段“三員”風(fēng)險管理的探討[J].保密科學(xué)技術(shù)，2011.

[2]楊蕓.涉密信息系統(tǒng)“三員”[J].保密工作，2012.

[3]黃梁標(biāo)，郭正華.涉密應(yīng)用系統(tǒng)三員分離設(shè)計與研發(fā)[J].計算機光盤軟件與應(yīng)用，2013.

[4]趙衛(wèi)棟，丁鮮花.淺談保密網(wǎng)中“三員”的工作[J].計算機安全，2014.

[5]侯碧翀，孔斌.基于勝任力“冰山模型”的涉密信息系統(tǒng)三員選拔培訓(xùn)方法研究 [J].保密科學(xué)技術(shù)，2016.