◆甘清云
?
涉密信息系統“三員”淺談
◆甘清云
(中國直升機設計研究所 天津 300300)
系統管理員、安全保密管理員和安全審計員(簡稱“三員”)是涉密信息系統安全可靠運行的堅強后盾,具有非常重要的作用。本文介紹了涉密信息系統“三員”存在的問題、改進的措施。
涉密信息系統;“三員”;安全
涉密信息系統的系統管理員、安全保密管理員和安全審計員(以下簡稱“三員”)是涉密信息系統安全可靠運行的堅強后盾,具有非常重要的地位和作用。鑒于涉密信息系統“三員”掌握的信息多、權限大,如果不能有效地對“三員”進行監督,涉密信息系統的安全將受到嚴重威脅。本文主要介紹了涉密信息系統“三員”的概況、“三員”管理存在的問題以及改進的措施。
涉密信息系統“三員”是指系統管理員、安全保密管理員和安全審計員。系統管理員主要負責系統的日常運行維護工作;安全保密管理員主要負責系統的日常安全保密管理工作,包括用戶賬號管理以及安全保密設備和系統所產生日志的審查分析;安全審計員主要負責對系統管理員、安全保密管理員的操作行為進行審計、跟蹤、分析和監督檢查,以及時發現違規行為,并定期向安全保密管理機構匯報相關情況?!叭龁T”權限設置應相互獨立,相互制約,相互之間不得兼任或者替代。
涉密信息系統“三員”應具備信息安全保密知識和業務技能,認真履行崗位職責,積極完成與職責相關的工作,按照有關保密標準的要求建立健全工作記錄和日志文檔,并妥善保存;“三員”應掌握常見安全產品的適用方法和技術手段,熟悉數據庫、操作系統、網絡設備和應用系統的安全知識和技術防護措施;“三員”應當定期接受管理和業務方面的集中培訓,熟練掌握國家保密法規和標準要求,不斷提高技術技能和管理水平。
有的單位信息化人員數量不足,沒有足額配備“三員”,存在“三員”之間兼任或者替代現象;還有的單位“三員”未設立A、B角,缺乏備份機制;個別未建立涉密信息系統僅使用涉密計算機的單位,沒有按照要求配備安全保密管理員。
“三員”需要熟悉國家有關信息安全保密的法規標準和防護要求、具備信息安全保密知識、掌握計算機與信息系統的專業知識和運行維護技能。有的單位沒有按照要求組織“三員”在上崗前接受有關部門組織的專業培訓;有的單位在“三員”上崗前組織“三員”參加了培訓,但是沒有按照要求組織“三員”參加持續教育培訓。上崗前或上崗后專業技能培訓的缺失,使得“三員”的專業技能離要求還有一定的差距。
對“三員”的監督在技術層面和管理層面還面臨一些實際困難。在技術層面,不少系統中有“三員”功能模塊,但是安全審計員在系統中可能只能查看系統管理員和安全保密管理員的系統登錄、退出日志,而無法審計系統管理員和安全保密管理員在系統中具體干了什么,進行了什么操作;在管理層面,“三員”相互監督的制度是否嚴格執行,也在考驗我們的管理者和“三員”。
有的單位對網絡管理員、數據庫管理員、應用系統管理員的認識還有偏差。網絡管理員、數據庫管理員、應用系統管理員是不是屬于“三員”?如果是,則按照“三員”的要求管理即可;如果不是,那么針對網絡管理員、數據庫管理員、應用系統管理員應該怎么樣管理?
“三員”應當設置獨立的工作權限,實現相互監督、相互制約,相互之間不得兼任或者替代;單位“三員”應該設立A、B角,互為備份;單位應該按照最大化原則配備“三員”以滿足日常運維工作;無涉密信息系統僅使用涉密計算機的單位,應當配備安全保密管理員。
“三員”上崗前需要參加有關部門組織的培訓,具備上崗能力后方可上崗;“三員”上崗后要定期參加安全保密管理和專業技能方面的培訓,熟練掌握國家信息安全保密法規和標準要求,不斷提高技術技能和管理水平。
在系統運行維護過程中,如果可以從技術上實現配置變更兩人操作方可生效,則將該項配置的變更職責分屬于兩人;如果從技術上不能實現,則通過管理手段實現:要求一人完成配置變更,其操作日志由另一人負責審計。還可以通過部署堡壘主機等技術手段加強對“三員”的監督。
網絡管理員、數據庫管理員、應用系統管理員不是“三員”,不在單位的正式“三員”名單中,但是應當納入“三員”的管理范疇。以涉密應用系統為例,可以參照“三員”模式分別設立系統管理員、安全保密管理員、安全審計員。系統管理員注冊用戶賬號、注冊角色名稱;安全保密管理員為用戶和角色賦權并使賬號生效,審計用戶操作;安全審計員審計系統管理員和安全保密管理員的操作。
當前,涉密信息系統不斷面臨來自內部的安全隱患和來自外部的安全威脅,涉密信息系統安全保密形勢十分嚴峻。各單位要提高對“三員”工作重要性的認識,按照國家有關標準和要求,扎實做好“三員”的各項工作,充分發揮“三員”的重要作用,確保涉密信息系統安全可靠運行。
[1]張若虹,葉銘.涉密信息系統運行階段“三員”風險管理的探討[J].保密科學技術,2011.
[2]楊蕓.涉密信息系統“三員”[J].保密工作,2012.
[3]黃梁標,郭正華.涉密應用系統三員分離設計與研發[J].計算機光盤軟件與應用,2013.
[4]趙衛棟,丁鮮花.淺談保密網中“三員”的工作[J].計算機安全,2014.
[5]侯碧翀,孔斌.基于勝任力“冰山模型”的涉密信息系統三員選拔培訓方法研究 [J].保密科學技術,2016.