- 定义:RBAC(Role-Based Access Control),角色型访问控制。
1 RBAC的行业特例-涉密系统三员分立 #
“三员”,在国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》中提出,要求涉密信息系统应当配备系统管理员、安全保密员和安全审计员三类安全保密管理人员(简称为“三员”),分别负责系统运行、安全保密管理和安全审计工作。
“三员”并不是特指三个人,而是代表涉密信息系统安全保密管理的三类岗位或角色,对应不同的职责,由相关人员担任,以相应权限的管理员账号登录设备或系统来完成各项工作。“三员”担负维护系统安全、稳定、可靠运行的重要任务,对涉密信息系统和国家秘密安全具有重要作用。
“三员”的主要职责和分工:
- 系统管理员主要负责系统的日常运行维护,包括:
- 网络设备、安全保密产品、服务器和用户终端、操作系统、数据库、涉密业务应用系统的安装、配置、升级、维护、运行管理;
- 网络和系统的用户增加或删除;
- 网络和系统的数据备份、运行日志审查和运行情况监控;
- 应急条件下的安全恢复,等等。
- 安全保密管理员主要负责系统日常安全保密管理,包括:
- 网络和系统用户权限的授予与撤销;
- 用户操作行为的安全审计;
- 安全保密设备管理;
- 系统安全事件的审计、分析、处理;
- 应急条件下的安全恢复,等等。
- 安全审计员主要负责安全审计工作,包括:
- 对系统管理员、安全保密管理员的操作行为进行审计分析和监督检查,以及时发现违规行为。
- 此外,“三员”还应承担保密和信息化部门赋予的其他相关工作。比如,管理设备台账,组织设备维修,定期对涉密信息系统使用人员进行培训,配合开展涉密信息系统安全保密测评审批、保密检查等工作。
“三员”的配置:
- 根据中央有关文件规定,涉密信息系统“三员”应当由本单位内部人员担任。担任涉密信息系统“三员”的人员,政治上应当可靠,应熟悉涉密信息系统管理操作流程,具有较强的责任意识和风险防控意识。
- 在实际工作中,网络设备、安全保密设备、服务器、用户终端、操作系统、数据库等通用设备和系统的管理,技术性要求较高,管理这些设备和系统的系统管理员、安全保密管理员可由信息化部门专业技术人员担任。
- 对于涉密信息系统中运行的一些业务性比较强的涉密应用系统,如人事管理系统、财务管理系统等,对业务要求相对较高,因此,管理这些业务应用系统的系统管理员、安全保密管理员可由相关业务部门的人员担任。
- 此外,各类设备和系统的安全审计员可根据工作需要,由保密部门或其他能够胜任安全审计员工作的人员担任。需要注意的是,同一设备或系统的系统管理员和安全审计员不得由同一人兼任,安全保密管理员和安全审计员也不得由同一人兼任。