來到新單位后,由於接觸的項目都是涉密項目,慢慢接觸到了“三權分立”這樣一個名詞。但后來被糾正說正確的說法應該是“三員分立”,其實我覺得兩種叫法其實都說的過去,只是后者更容易理解一些。
之前做的系統並沒有將系統管理員按照各自職責進行細分為三員,系統僅有一個最大權限的系統管理員,可對系統配置、用戶及授權進行管理。后來在網上查了一些相關資料,在此總結一下,自己以后查閱也方便一些。
三員是指以最小特權和權值分離為原則,將超級用戶特權集細分為:系統管理員、安全管理員和審計管理員,各司其責。
- 系統管理員:負責用戶管理和系統日常運作相關的維護工作
- 安全管理員:負責安全策略的配置和系統資源安全屬性的設定
- 審計管理員:對系統審計信息進行管理
采用三員分立的目的是為了防止某一身份的管理員權限過大,引起安全威脅。
個人理解覺得其實“安全管理員”所被賦予的權限就是主要對系統運行所需的一些基礎數據進行維護配置及可以對系統用戶進行維護,“安全管理員”則對用戶可以操作哪些功能,可以查看哪些數據進行設置授權,“審計管理員”則對系統管理員和審計管理員的操作日志進行監督審閱。