保密“三员”应相互独立、相互制约

“三员”是计算机管理系统的专业用词，指系统管理员、安全保密员和安全审计员。

涉密信息系统的“三员”很好理解，但很多使用涉密单机、无涉密网的单位，对是否需要设“系统管理员”会感到困惑。

其实，根据保密有关规定，“系统管理员”、“安全保密员”允许由同一人兼任；但“安全审计员”不允许兼任另外两员中的任意一员。笔者建议，无论是否有涉密网均设立“三员”，因为不仅在网络层面有区分“三员”的需要，在终端、应用、安全保密产品层面均应分设“三员”账户，让对应的角色去使用和运维，防止某一角色权限过大，引起安全威胁，从而实现“三员”的相互独立、相互制约。

【典型案例】

某科研院所的“三员”管理制度流于形式，系统内的所有帐号、密码均记录在一张纸上，平时纸张就放在机房内。该单位虽分设了“三员”，但其中任一员其实都是“超级管理员”。直至在某起策反案中，查到系统管理员梁某出卖该单位大量涉密敏感数据；但在此之前，梁某的窃密行为却丝毫未被察觉。原来，梁某每次作案后，都会将安全审计员的审计日志删除干净。该案显示，有关单位“三员”机制和有关安全保密产品存在漏洞。

【保密提醒】

“三员”的配备和权限设置应当相互独立、相互制约，安全审计员不得兼任系统管理员或安全保密员。

来源：华东融合装备技术研究院