来到新单位后,由于接触的项目都是涉密项目,慢慢接触到了“三权分立”这样一个名词。但后来被纠正说正确的说法应该是“三员分立”,其实我觉得两种叫法其实都说的过去,只是后者更容易理解一些。
之前做的系统并没有将系统管理员按照各自职责进行细分为三员,系统仅有一个最大权限的系统管理员,可对系统配置、用户及授权进行管理。后来在网上查了一些相关资料,在此总结一下,自己以后查阅也方便一些。
三员是指以最小特权和权值分离为原则,将超级用户特权集细分为:系统管理员、安全管理员和审计管理员,各司其责。
- 系统管理员:负责用户管理和系统日常运作相关的维护工作
- 安全管理员:负责安全策略的配置和系统资源安全属性的设定
- 审计管理员:对系统审计信息进行管理
采用三员分立的目的是为了防止某一身份的管理员权限过大,引起安全威胁。
个人理解觉得其实“安全管理员”所被赋予的权限就是主要对系统运行所需的一些基础数据进行维护配置及可以对系统用户进行维护,“安全管理员”则对用户可以操作哪些功能,可以查看哪些数据进行设置授权,“审计管理员”则对系统管理员和审计管理员的操作日志进行监督审阅。