三级等保中的三员管理

一、三权分立计划思路

1、什么是三权

三权指的是设置、授权、审计。
2、三员及权限的理解

• 系统管理员（设置）：重要负责系统的资源和运行进行设置、控制和管理，包括用户身份、系统资源设置、系统加载和启动、系统运行的非常处理、数据和设备的备份与恢复等。
  
• 审计管理员（审计）：重要负责对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。
  
• 安全管理员（授权）：重要对系统中的安全策略进行设置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，设置可信验证策略等。
  

3、三员之三权

三权分立重要是废除超等管理员，将权限分配。 三员是三脚色也是三人，每个人有自己的账户， 管理员与审计员必须非同一个人。
4、权限分别

• 系统管理员： 具有系统监控、网络设置、系统管理权限。
  
• 安全管理员： 具有系统监控、应用分析、数据中心（ 除设置日 志、 系统日 志）、 策略设置、 网络设置、 用户管理、 系统管理（ 基本设置、
  权限设置、 告警设置、 网页下令行、 证书管理）。
  
• 审计管理员：具有系统监控、应用分析、权限设置、权限模式（ 1. 不体现保存、 生效、设置领导的权限；2. 不能进入系统升级页面）。
  

5、“三员”职责

• 系统管理员：重要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、设置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。
  
• 安全管理员重要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销，用户操作活动的安全计划，安全保密设备管理，系统安全事件的审计、分析和处理，应急条件下的安全恢复。
  
• 审计管理员：重要负责对系统管理员和安全保密员的操作活动进行审计、分析和监督查抄，及时发现违规活动并定期向系统安全保密管理机构报告情况。
  

6、“三员”设置要求

• 系统管理员、安全保密管理员和安全审计员不能以其他用户身份登陆系统，不能查察和修改任何业务数据库中的信息，不能删改日志内容。
  
• 涉密信息系统应由办单位内部人员继承，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识，并签署保密承诺书。
  
• 系统管理员和安全保密管理员可由信息化部门专业技能人员继承，对于业务性较强的涉密信息系统可由干系业务部门继承，安全审计员根据工作必要由保密部门或其他能胜任安全审计员工作的人员继承。
  
• 同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全保密管理员和安全审计员不得由同一人兼任。
  

二、Linux系统设置三员管理

1. 1.创建三权账号
3. #新建系统管理员
4. useradd sysadmin
5. passwd sysadmin
7. #新建安全管理员
8. useradd secadmin
9. passwd secadmin
11. #新建审计管理员
12. useradd auditadmin
13. passwd auditadmin
15. 2.修改visudo配置
16. visudo
18. #系统管理员
19. Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
20. Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable
21. Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
22. sysadmin ALL=(root) SOFTWARE,SERVICES,STORAGE
24. #安全管理员
25. Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
26. Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
27. Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
28. secadmin ALL=(root) DELEGATING,PROCESSES,NETWORKING
30. #审计管理员的权限
31. auditadmin ALL=(root) NOPASSWD:/usr/sbin/aureport,NOPASSWD:/usr/sbin/autrace,NOPASSWD:/usr/sbin/ausearch,NOPASSWD:/usr/sbin/audispd,NOPASSWD:/usr/sbin/auditctl
33. 3.测试配置是否正确
34. visudo -c

复制代码

参考文章：
https://blog.csdn.net/dzqxwzoe/article/details/139364878
https://blog.csdn.net/u013008898/article/details/133922835

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。