涉密信息系统“三员”的三个层面

  保密管理“三员”是以最小特权和权值分离为原则，将管理员分为系统管理员、安全管理员和安全审计管理员，各司其责，防止某一身份的管理员权限过大，引起安全威胁。同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全管理员和安全审计员不得由同一人兼任。
  在实际涉密网络中，尤其是使用了信创终端环境下，“三员”可以用在设备或系统的不同层面：
①终端层面：终端操作系统一般都有超级系统管理员，windows是administrator，Linux是root账户。基于SELinux技术，信创终端在本机划分管理三员，将超级用户特权集（root）细分为：系统管理员root、安全保密管理员、安全审计管理员。
②网络层面：网络系统管理员主要负责涉密网络的日常运行维护工作。网络安全保密管理员主要负责涉密网络的日常安全保密管理工作，包括用户账号管理以及安全保密设备和系统所产生日志的审查分析。网络安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查，发现、记录违规行为，并定期向涉密网络安全保密管理机构汇报相关情况。
   终端管理一般依赖终端安全管理平台，如三合一系统管理平台、主机审计管理平台、配置管理平台等，终端安全管理平台的“三员”，统称“安全平台管理员”，一般由网络管理“三员”承担，负责平台管理范围内终端的组织架构建立、终端注册信息录入、软件安装策略、硬件及输出管控策略和行为审计等。
③应用层面。业务应用系统也要求相应的“三员”管理机制，比如OA、安全邮件等。