等保测评三权分立的设计与实施1. 设计思路1.1 三权的理解配置,授权,审计1.2 三员的理解• 操作员(配置权力)•管理员(授权权力)• 审计员(审计权力)1.3 三员之三权废除超级管理员,三员是三角色并非三人,管理员与审计员必须非同一个人2. 人员分工• 系统管理员(专人,不兼任其他角色) 操作系统安装、配置• 应用系统管理员(专人,不兼任其他角色) 应用系统、数据库安装、配置• 网络管理员(专人,不兼任其他角色) 所有网络设备、防火墙安装、配置• 安全员(专人,不兼任其他角色)入侵检测、防病毒、态势感知、网闸、漏扫设备•审计员(专人,不兼任其他角色)日志审计设备、上网行为管理、数据库审计、堡垒机3. 岗位职责3.1 安全员的职责如下:(安全员不可兼职)• 执行信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全 现状评估报告;• 定期编制信息安全现状报告,向相关领导报告信息安全整体情况;• 负责安全管理系统、终端管理系统和主机防病毒系统的日常运行维护工 作;• 组织编制安全管理系统、终端管理系统和主机防病毒系统的安全配置标 准;• 负责沟通、协调和组织处理信息安全事件,确保信息安全事件能够及时处 置和响应。
• 网络安全设备的安装与维护3.2 网络管理员的安全职责如下:• 负责网络及网络安全设备的配置、部署、运行维护和日常管理工作;• 负责编制网络及网络安全设备的安全配置标准;• 能够及时发现、处理网络、网络安全设备的故障和相关安全事件,并能及 时上报,减少信息安全事件的扩大和影响3.3 数据库管理员的安全职责如下:•负责数据库的备份、恢复、测试及安全存储;•负责数据库存储、备份以及存储备份设备的日常安全运行管理工作;• 能够及时发现、处理数据和数据备份相关安全事件,并能根据流程及时上 报,减少信息安全事件的扩大和影响3.4 系统管理员的安全职责如下:• 负责服务器和终端的日常安全管理工作,确保操作系统的漏洞最小化,保障主机设备安全稳定运行;• 负责编制操作系统的安全配置标准;• 能够及时发现、处理主机和操作系统相关安全事件,并能根据流程及时上 报,减少信息安全事件的扩大和影响3.5 应用管理员的安全职责如下:• 负责支持和协助所管辖应用系统中涉及信息安全的相关标准、规范与管 理制度建设;• 负责对所管辖业务应用系统进行安全配置,负责应用系统设计、实施和运 维的信息安全管理工作;• 负责对所管辖业务应用系统的用户权限分配和管理,对登录用户进行监 测和分析;• 负责实施系统软件版本管理,应用软件备份和恢复管理;• 负责监督和管理第三方应用系统开发时的安全管理工作;• 能够及时发现、处理应用系统相关的安全事件,并能根据流程及时上报, 减少信息安全事件的扩大和影响。
3.6 资产管理员的安全职责如下:•负责物理资产的采购、登记、分发、回收、废弃等安全管理工作3.7 审计员的安全职责如下:• 参与信息安全技术规范的制订• 负责实施和维护信息安全管理制度和技术规范• 负责信息安全解决方案的评估检查工作• 负责信息安全审计工作• 监督、检查各处安全管理工作• 审计范围审计功能的启动和关闭,用户的增加、修改和删除以及权限变更,系统管理 员、安全保密管理员、安全审计员和用户所实施的各种操作,包括查阅、备 份、维护和导出审计日志• 审计记录内容应包括事件发生的时间、地点、类型、主体、客体和结果(开始、结束、失 败、成功等)• 审计事项管理审计事项管理是指对核心业务操作、需要进行审计的事件的定义和管理,配 置和定义所有可能需要审计的事项或操作• 审计策略配置审计策略配置是指审计事项和审计人员之间的关联、设置关系,也就是设置 哪些关键人员的哪些关键操作事项需要审计;而且根据国家标准要求,用户 的增加和删除、权限的变更、系统管理员、审计管理员、安全管理员和用户 所实施的操作必须审计,因此根据审计内容审计分为两类强制审计和可配置审计审计信息的存储 系统应设计充足的审计记录存储空间,且当存储空间将满时能及时进行告警,必须对已存储的审计记录进行保护,能检测或防止对审计记录的修改和伪造, 记录应至少保存六个月4. 权限划分操作员:具有系统监控、网络配置、系统管理权限 管理员:具有系统监控、应用分析、数据中心(除配置日志、系统日志)、策略 配置、网络配置、用户管理、系统管理(基本配置、权限配置、告警配置、网页 命令行、证书管理) 审计员:具有系统监控、应用分析、权限配置、权限模式(1. 不显示保存、生效、 配置向导的权限;2. 不能进入系统升级页面;)。