一、三权分立设计思路
1、什么是三权
三权指的是配置、授权、审计。
2、三员及权限的理解
- 系统管理员(配置):主要负责系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
- 审计管理员(审计):主要负责对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
- 安全管理员(授权):主要对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
3、三员之三权
三权分立主要是废除超级管理员,将权限分配。 三员是三角色也是三人,每个人有自己的账户, 管理员与审计员必须非同一个人。
4、权限划分
- 系统管理员: 具有系统监控、网络配置、系统管理权限。
- 安全管理员: 具有系统监控、应用分析、数据中心( 除配置日 志、 系统日 志)、 策略配置、 网络配置、 用户管理、 系统管理( 基本配置、 权限配置、 告警配置、 网页命令行、 证书管理)。
- 审计管理员:具有系统监控、应用分析、权限配置、权限模式( 1. 不显示保存、 生效、配置向导的权限;2. 不能进入系统升级页面)。
5、“三员”职责
- 系统管理员:主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理;网络和系统的用户增加或删除;网络和系统的数据备份、运行日志审查和运行情况监控;应急条件下的安全恢复。
- 安全管理员主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销,用户操作行为的安全设计,安全保密设备管理,系统安全事件的审计、分析和处理,应急条件下的安全恢复。
- 审计管理员:主要负责对系统管理员和安全保密员的操作行为进行审计、分析和监督检查,及时发现违规行为并定期向系统安全保密管理机构汇报情况。
6、“三员”配置要求
- 系统管理员、安全保密管理员和安全审计员不能以其他用户身份登陆系统,不能查看和修改任何业务数据库中的信息,不能删改日志内容。
- 涉密信息系统应由办单位内部人员担任,要求政治上可靠,熟悉涉密信息系统管理操作流程,具有较强的责任意识和风险防控意识,并签署保密承诺书。
- 系统管理员和安全保密管理员可由信息化部门专业技术人员担任,对于业务性较强的涉密信息系统可由相关业务部门担任,安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。
- 同一设备或系统的系统管理员和安全审计员不能由同一人兼任,安全保密管理员和安全审计员不得由同一人兼任。
二、Linux系统配置三员管理
1.创建三权账号
#新建系统管理员
useradd sysadmin
passwd sysadmin
#新建安全管理员
useradd secadmin
passwd secadmin
#新建审计管理员
useradd auditadmin
passwd auditadmin
2.修改visudo配置
visudo
#系统管理员
Cmnd_Alias SOFTWARE = /bin/rpm,/usr/bin/up2date,/usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/sbin/chkconfig,/usr/bin/systemctl start,/usr/bin/systemctl stop,/usr/bin/systemctl reload,/usr/bin/systemctl restart,/usr/bin/systemctl status,/usr/bin/systemctl enable,/usr/bin/systemctl disable
Cmnd_Alias STORAGE = /sbin/fdisk,/sbin/sfdisk,/sbin/parted,/sbin/partprobe,/bin/mount,/bin/umount
sysadmin ALL=(root) SOFTWARE,SERVICES,STORAGE
#安全管理员
Cmnd_Alias DELEGATING = /usr/sbin/visudo,/bin/chown,/bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice,/bin/kill,/usr/bin/kill,/usr/bin/killall
Cmnd_Alias NETWORKING = /sbin/route,/sbin/ifconfig,/bin/ping,/sbin/dhclient,/usr/bin/net,/sbin/iptables,/usr/bin/rfcomm,/usr/bin/wvdial,/sbin/iwconfig,/sbin/mii-tool
secadmin ALL=(root) DELEGATING,PROCESSES,NETWORKING
#审计管理员的权限
auditadmin ALL=(root) NOPASSWD:/usr/sbin/aureport,NOPASSWD:/usr/sbin/autrace,NOPASSWD:/usr/sbin/ausearch,NOPASSWD:/usr/sbin/audispd,NOPASSWD:/usr/sbin/auditctl
3.测试配置是否正确
visudo -c
参考文章:
https://blog.csdn.net/dzqxwzoe/article/details/139364878
https://blog.csdn.net/u013008898/article/details/133922835
版权归原作者 lgily-1225 所有, 如有侵权,请联系我们删除。