◆甘清云



涉密信息系统“三员”浅谈

◆甘清云

（中国直升机设计研究所 天津 300300）

系统管理员、安全保密管理员和安全审计员(简称“三员”)是涉密信息系统安全可靠运行的坚强后盾，具有非常重要的作用。本文介绍了涉密信息系统“三员”存在的问题、改进的措施。

涉密信息系统；“三员”；安全

0 引言

涉密信息系统的系统管理员、安全保密管理员和安全审计员（以下简称“三员”）是涉密信息系统安全可靠运行的坚强后盾，具有非常重要的地位和作用。鉴于涉密信息系统“三员”掌握的信息多、权限大，如果不能有效地对“三员”进行监督，涉密信息系统的安全将受到严重威胁。本文主要介绍了涉密信息系统“三员”的概况、“三员”管理存在的问题以及改进的措施。

1 涉密信息系统“三员”

涉密信息系统“三员”是指系统管理员、安全保密管理员和安全审计员。系统管理员主要负责系统的日常运行维护工作；安全保密管理员主要负责系统的日常安全保密管理工作，包括用户账号管理以及安全保密设备和系统所产生日志的审查分析；安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查，以及时发现违规行为，并定期向安全保密管理机构汇报相关情况。“三员”权限设置应相互独立，相互制约，相互之间不得兼任或者替代。

涉密信息系统“三员”应具备信息安全保密知识和业务技能，认真履行岗位职责，积极完成与职责相关的工作，按照有关保密标准的要求建立健全工作记录和日志文档，并妥善保存；“三员”应掌握常见安全产品的适用方法和技术手段，熟悉数据库、操作系统、网络设备和应用系统的安全知识和技术防护措施；“三员”应当定期接受管理和业务方面的集中培训，熟练掌握国家保密法规和标准要求，不断提高技术技能和管理水平。

2 涉密信息系统“三员”管理存在的问题

2.1 “三员”的配备还存在不合理现象

有的单位信息化人员数量不足，没有足额配备“三员”，存在“三员”之间兼任或者替代现象；还有的单位“三员”未设立A、B角，缺乏备份机制；个别未建立涉密信息系统仅使用涉密计算机的单位，没有按照要求配备安全保密管理员。

2.2 “三员”的专业技能还有待提高

“三员”需要熟悉国家有关信息安全保密的法规标准和防护要求、具备信息安全保密知识、掌握计算机与信息系统的专业知识和运行维护技能。有的单位没有按照要求组织“三员”在上岗前接受有关部门组织的专业培训；有的单位在“三员”上岗前组织“三员”参加了培训，但是没有按照要求组织“三员”参加持续教育培训。上岗前或上岗后专业技能培训的缺失，使得“三员”的专业技能离要求还有一定的差距。

2.3 对“三员”的监督还有待进一步加强

对“三员”的监督在技术层面和管理层面还面临一些实际困难。在技术层面，不少系统中有“三员”功能模块，但是安全审计员在系统中可能只能查看系统管理员和安全保密管理员的系统登录、退出日志，而无法审计系统管理员和安全保密管理员在系统中具体干了什么，进行了什么操作；在管理层面，“三员”相互监督的制度是否严格执行，也在考验我们的管理者和“三员”。

2.4 对网络管理员、数据库管理员、应用系统管理员等的管理还存在模糊认识

有的单位对网络管理员、数据库管理员、应用系统管理员的认识还有偏差。网络管理员、数据库管理员、应用系统管理员是不是属于“三员”？如果是，则按照“三员”的要求管理即可；如果不是，那么针对网络管理员、数据库管理员、应用系统管理员应该怎么样管理？

3 涉密信息系统“三员”管理的改进措施

3.1 根据实际工作需要足额配备“三员”

“三员”应当设置独立的工作权限，实现相互监督、相互制约，相互之间不得兼任或者替代；单位“三员”应该设立A、B角，互为备份；单位应该按照最大化原则配备“三员”以满足日常运维工作；无涉密信息系统仅使用涉密计算机的单位，应当配备安全保密管理员。

3.2 扎实做好“三员”上岗前及上岗后的技能培训

“三员”上岗前需要参加有关部门组织的培训，具备上岗能力后方可上岗；“三员”上岗后要定期参加安全保密管理和专业技能方面的培训，熟练掌握国家信息安全保密法规和标准要求，不断提高技术技能和管理水平。

3.3 从技术和管理上做好对“三员”的监督工作

在系统运行维护过程中，如果可以从技术上实现配置变更两人操作方可生效，则将该项配置的变更职责分属于两人；如果从技术上不能实现，则通过管理手段实现：要求一人完成配置变更，其操作日志由另一人负责审计。还可以通过部署堡垒主机等技术手段加强对“三员”的监督。

3.4 相关管理员也应该纳入“三员”管理范畴

网络管理员、数据库管理员、应用系统管理员不是“三员”，不在单位的正式“三员”名单中，但是应当纳入“三员”的管理范畴。以涉密应用系统为例，可以参照“三员”模式分别设立系统管理员、安全保密管理员、安全审计员。系统管理员注册用户账号、注册角色名称；安全保密管理员为用户和角色赋权并使账号生效，审计用户操作；安全审计员审计系统管理员和安全保密管理员的操作。

4 结束语

当前，涉密信息系统不断面临来自内部的安全隐患和来自外部的安全威胁，涉密信息系统安全保密形势十分严峻。各单位要提高对“三员”工作重要性的认识，按照国家有关标准和要求，扎实做好“三员”的各项工作，充分发挥“三员”的重要作用，确保涉密信息系统安全可靠运行。

[1]张若虹，叶铭.涉密信息系统运行阶段“三员”风险管理的探讨[J].保密科学技术，2011.

[2]杨芸.涉密信息系统“三员”[J].保密工作，2012.

[3]黄梁标，郭正华.涉密应用系统三员分离设计与研发[J].计算机光盘软件与应用，2013.

[4]赵卫栋，丁鲜花.浅谈保密网中“三员”的工作[J].计算机安全，2014.

[5]侯碧翀，孔斌.基于胜任力“冰山模型”的涉密信息系统三员选拔培训方法研究 [J].保密科学技术，2016.