三级等保中的三员管理

最新推荐文章于 2024-08-12 17:51:05 发布
最新推荐文章于 2024-08-12 17:51:05 发布
阅读量227 收藏 6
点赞数 4
分类专栏: 日常积累 文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43038960/article/details/141113890
版权

一、三权分立设计思路

1、什么是三权

三权指的是配置、授权、审计。

2、三员及权限的理解

  • 系统管理员(配置):主要负责系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

  • 审计管理员(审计):主要负责对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

  • 安全管理员(授权):主要对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

3、三员之三权

三权分立主要是废除超级管理员,将权限分配。 三员是三角色也是三人,每个人有自己的账户, 管理员与审计员必须非同一个人。

4、权限划分

  • 系统管理员: 具有系统监控、网络配置、系统管理权限。

  • 安全管理员: 具有系统监控、应用分析、数据中心( 除配置日 志、 系统日 志)、 策略配置、 网络配置、 用户管理、 系统管理( 基本配置、
    权限配置、 告警配置、 网页命令行、 证书管理)。

  • 审计管理员:具有系统监控、应用分析、权限配置、权限模式( 1. 不显示保存、 生效、配置向导的权限;2. 不能进入系统升级页面)。

5、“三员”职责

  • 系统管理员:主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理;网络和系统的用户增加或删除;网络和系统的数据备份、运行日志审查和运行情况监控;应急条件下的安全恢复。

  • 安全管理员主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销,用户操作行为的安全设计,安全保密设备管理,系统安全事件的审计、分析和处理,应急条件下的安全恢复。

  • 审计管理员:主要负责对系统管理员和安全保密员的操作行为进行审计、分析和监督检查,及时发现违规行为并定期向系统安全保密管理机构汇报情况。

6、“三员”配置要求

  • 系统管理员、安全保密管理员和安全审计员不能以其他用户身份登陆系统,不能查看和修改任何业务数据库中的信息,不能删改日志内容。

  • 涉密信息系统应由办单位内部人员担任,要求政治上可靠,熟悉涉密信息系统管理操作流程,具有较强的责任意识和风险防控意识,并签署保密承诺书。

  • 系统管理员和安全保密管理员可由信息化部门专业技术人员担任,对于业务性较强的涉密信息系统可由相关业务部门担任,安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。

  • 同一设备或系统的系统管理员和安全审计员不能由同一人兼任,安全保密管理员和安全审计员不得由同一人兼任。

二、Linux系统配置三员管理

1.创建三权账号
 
#新建系统管理员
useradd sysadmin
passwd sysadmin
 
#新建安全管理员
useradd secadmin
passwd secadmin
 
#新建审计管理员
useradd auditadmin
passwd auditadmin
 
2.修改visudo配置
visudo
 
#系统管理员
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount
sysadmin ALL=(root) SOFTWARE,SERVICES,STORAGE
 
#安全管理员
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool
secadmin ALL=(root) DELEGATING,PROCESSES,NETWORKING
 
#审计管理员的权限
auditadmin ALL=(root) NOPASSWD:/usr/sbin/aureport,NOPASSWD:/usr/sbin/autrace,NOPASSWD:/usr/sbin/ausearch,NOPASSWD:/usr/sbin/audispd,NOPASSWD:/usr/sbin/auditctl
 
3.测试配置是否正确
visudo -c

参考文章:
https://blog.csdn.net/dzqxwzoe/article/details/139364878
https://blog.csdn.net/u013008898/article/details/133922835

lgily-1225
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
三级等保-linux服务器三权分立设置
u013008898的博客
10-19 3708
服务器未严格按照系统管理员权限、审计管理员权限、安全管理员权限进行分配管理员账户,未实现管理员用户的最小权限划分。建议服务器创建审计管理员、安全管理员等管理员账户,并划分相关管理员权限,实现最小权限分离。使用审计管理员进行添加用户/添加防火墙操作,查看权限是否正确控制。d)应授予管理用户所需的最小权限,实现管理用户的权限分离;可能存在管理员越权操作的风险。至此服务器三权分立设置完成。
mysql三级等保加固_Mysql等保部分加固
weixin_42351520的博客
01-19 625
一、等保要求:操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。实施步骤:启用口令复杂审核(5.6.6版本以上,才有此模块功能,需要重启mysql)。查看版本show variables like ‘version‘; 查看当前复杂度配置(空白显示没有配置)show variables like ‘validate_password%‘; 安装插件valid...
等保三级-MySQL 加固
qq_41867674的博客
05-21 2345
validate_password_mixed_case_count当validate_password_policy设置为MEDIUM或者STRONG时,密码至少同时拥有的小写和大写字母的数量,默认是1最小是0;validate_password_special_char_count当validate_password_policy设置为MEDIUM或者STRONG时,密码至少拥有的特殊字符的个数,默认1最小是0。validate_password_check_user_name,ON为打开。
三级等保要求
天道酬勤
10-29 2007
主机安全、 物理安全、网络安全、应用安全、数据安全、安全运行、安全管理等模块分析
等保测评3级-技术测评要求 上
ddcajdkdl的博客
06-05 1226
技术测评要求(S3A3G3) 等保测评3级技术评测要求 等级保护三级技术类测评控制点(S3A3G3)类别 序号 10. 11. 12. 13. 防雷 击 14. 15. 16. 防火 17. 18. 19. 防水 和防 潮 20. 21. 22. 测 评 内 容 应对介质分类标识, 存储在介质库或档案室。 (G2) 应利用光、电等技术设置机房防盗报警系统。 (G3) 应对机房设置监控报警系统。 (G3) 机房建筑应设置避雷装置。 (G2) 应设置防雷保安器,防止感应雷。 (G3) 机房应设置交流电源地
三级等保-安全管理制度-信息安全管理策略.docx
05-22
"三级等保-安全管理制度-信息安全管理策略"文件旨在规范组织的信息安全体系,确保业务系统的安全性、稳定性和可靠性,提升服务质量。这份策略遵循了国家相关法规,如《华人民共和国计算机信息系统安全保护条例》、...
医院等保建设(三级等报).docx
03-01
三级等保评审模块在医院等级保护建设的应用非常重要,它可以帮助医院信息系统管理员和安全人员更好地评估和审核医院信息系统的安全性和风险状况,从而更好地保护医院信息系统的安全性和可靠性。
等保三级评审-网络与信息安全-安全补丁管理流程
07-06
《网络安全与信息安全——等保三级评审的安全补丁管理流程》 网络安全是信息化时代不可或缺的一环,尤其是在等保三级评审的框架下,确保网络与信息安全显得尤为重要。安全补丁管理流程是这一过程至关重要的组成...
信息安全管理机构(三级等保要求文档模板).docx
08-04
【信息安全管理机构(三级等保要求文档模板)】 在信息技术领域,信息安全管理是保障组织信息资产安全的关键环节。三级等保(第三级等级保护)是国针对信息系统安全的一种法规要求,适用于涉及公民个人信息、社会...
等保三级应用测评指导书
01-21
在测评过程,应用系统管理员应按照等保三级应用测评指导书的要求,对应用系统进行逐项检查和测试,确保应用系统符合等保三级的安全要求。同时,应用系统管理员还应根据安全策略配置相关参数,确保应用系统的安全...
挖矿木马攻破了服务器
中年程序员一枚的博客
08-09 1355
systemctl status 6058 # 6058为病毒的PID。然后干掉,或者权限屏蔽等都可以,只要不执行,就没有危险!过一分钟后,服务又开始狂刷cpu。最近被国外的挖矿木马攻破了服务器。#top 看看什么占用cpu高。第四步根据pid查到服务地址。#last指令查看登录ip。第三步杀死狂刷CPU的服务。
将电脑打造成私人网盘,支持外网访问之详细操作教程
jiedianxiaobao的博客
08-09 436
你想过把自己电脑打造成随时随地访问的网盘吗?就是那种拥有一个属于自己的影音库,不用担心被和谐,随时可以登录访问电脑上的各种文件,相比传统网盘省心又安全。使用Everything和节点小宝将电脑搭建成私人网盘,可以实现在任何网络环境下随时随地访问自己电脑上的文件。
服务器数据恢复—Raid5阵列热备盘上线过程断导致阵列崩溃的数据恢复案例
beiya123的博客
08-09 305
两组分别由4块SAS硬盘组建的raid5磁盘阵列,ext3文件系统+lvm结构。 磁盘阵列一块硬盘离线,热备盘自动上线替换离线硬盘并开始同步数据。在热备盘同步数据的过程该组raid另外一块硬盘出现故障掉线,该组Raid阵列崩溃,LVM结构不完整,文件系统不可用,服务器瘫痪。 管理员检查掉线的两块硬盘,前面掉线的硬盘无法识别,后掉线的硬盘可以识别。
haproxy是什么?以及haproxy基础实验
Tai_hua的博客
08-07 411
rhel9克隆:haproxy(172.25.254.100)、webserver1(172.25.254.10)、webserver2(172.25.254.20)大约在69行左右,添加以下内容,选择其一种方式,即可实现haproxy的轮询效果。
Linux-服务器硬件及RAID配置实验
最新发布
qq_42520799的博客
08-12 977
RAID磁盘阵列介绍、RAID主要优点、RAID级别、RAID配置实例实验等提示:以下是本篇文章正文内容,下面案例可供参考RAID(Redundant Array of Independent Disks,独立冗余磁盘阵列)是一种利用多个硬盘驱动器(HDD或SSD)组合起来提供更大存储容量、更高的数据传输速率和/或数据的冗余性的技术。通过将多个物理硬盘虚拟化为一个或多个逻辑硬盘,RAID允许操作系统将它们视为一个单一的存储资源。或。
linux挂载服务器本机的硬盘
qq_43814415的博客
08-08 491
完成以上步骤后,你应该能够看到两个 NVMe 磁盘已经挂载到指定的挂载点。如果在执行过程遇到任何问题,请提供详细的错误信息,我会进一步帮助你排查和解决。文件,确保在系统重启后磁盘仍然挂载。好的,我们可以分别为两个 NVMe 硬盘。,使用相同的步骤创建一个新的分区。
在没有硬盘的情况下进行电脑数据迁移
A_awen的博客
08-06 460
在没有硬盘的情况下进行电脑数据迁移
如何为服务器生成一个TLS证书
a1546464545454的博客
08-09 304
要生成 TLS 1.3 的证书,可以使用 OpenSSL 工具,它是一个广泛使用的开源工具,能够生成和管理 SSL/TLS 证书。以下是生成自签名 TLS 1.3 证书的详细步骤。
Linux知识复习第1期
weixin_68256171的博客
08-08 1525
软链接有自己的node,是linux特殊文件的一种,作为一个文件, 它的数据是它所连接的文件的路径。两个数据区之间是同步的,用一个节点来指定这两个区域【用备份非常琐碎的文件,小且大量,为防止节点区枯竭用完,备份失败,所有的备份可用硬链接来做,让一个的节点对应多个数据区域,来完成对数据的备份】 CTRL+v进入可视化模式,再按上下键选要添加字符的列,再按大写i键,进入插入模式,加入“#”,再按ESC键退出,最后保存退出即可(g行首,G行尾)相同分区里的复制则是按照模板,对于指定的文件重新生成。
什么事三级等保网络管理员需要做什么
07-08
作为三级等保网络管理员,您需要承担以下职责和任务: 1. 网络安全评估:对网络系统进行全面评估,识别潜在的安全风险和漏洞,并制定相应的应对措施。 2. 安全策略制定:制定和实施网络安全策略,确保网络系统的安全性和合规性,并制定相关的安全政策、准则和流程。 3. 网络监控与防护:使用安全监控工具和技术,对网络流量进行实时监控和分析,及时发现和应对可能的入侵、恶意软件和其他安全威胁。 4. 安全事件响应:建立并负责网络安全事件的响应机制,包括及时识别、调查和应对网络安全事件,以最小化潜在损失。 5. 安全培训与意识提升:开展网络安全培训和意识提升活动,提高员工对网络安全的认知和应对能力,预防人为因素导致的安全漏洞。 6. 安全日志管理管理和分析网络安全相关的日志信息,确保及时发现异常活动和潜在威胁,并根据需求进行报告和审计。 7. 安全漏洞管理:定期进行安全漏洞扫描和评估,及时修复或升级系统补丁,保持网络系统的安全性和稳定性。 8. 安全合规性审查:参与网络安全合规性审查工作,确保网络系统符合相关法律法规和标准要求。 以上是三级等保网络管理员的主要职责,具体还会根据组织的需求和行业要求而有所差异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值