中国沙漠建设 志愿者 兵团官方网站,创可贴在线设计网站,请别人做网站注意事项,政务网站集约化建设要求目录
一、三权分立设计思路
1、什么是三权
2、三员及权限的理解
3、三员之三权
4、权限划分
5、“三员”职责
6、“三员”配置要求
二、linux三权分立的用户创建
1、系统管理员
2、安全管理员
3、审计管理员 一、三权分立设计思路
1、什么是三权
三权指的是配置、…目录
一、三权分立设计思路
1、什么是三权
2、三员及权限的理解
3、三员之三权
4、权限划分
5、“三员”职责
6、“三员”配置要求
二、linux三权分立的用户创建
1、系统管理员
2、安全管理员
3、审计管理员 一、三权分立设计思路
1、什么是三权
三权指的是配置、授权、审计。
2、三员及权限的理解
1系统管理员配置主要负责系统的资源和运行进行配置、控制和管理包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
2审计管理员审计主要负责对审计记录进行分析并根据分析结果进行处理包括根据安全审计策略对审计记录进行存储、管理和查询等。
3安全管理员授权主要对系统中的安全策略进行配置包括安全参数的设置主体、客体进行统一安全标记对主体进行授权配置可信验证策略等。
3、三员之三权
三权分立主要是废除超级管理员将权限分配。 三员是三角色也是三人每个人有自己的账户 管理员与审计员必须非同一个人。
4、权限划分
1系统管理员 具有系统监控、网络配置、系统管理权限。
2安全管理员 具有系统监控、应用分析、数据中心 除配置日 志、 系统日 志、 策略配置、 网络配置、 用户管理、 系统管理 基本配置、 权限配置、 告警配置、 网页命令行、 证书管理。
3审计管理员具有系统监控、应用分析、权限配置、权限模式 1. 不显示保存、 生效、配置向导的权限2. 不能进入系统升级页面。
5、“三员”职责
1系统管理员主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理网络和系统的用户增加或删除网络和系统的数据备份、运行日志审查和运行情况监控应急条件下的安全恢复。
2安全管理员主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销用户操作行为的安全设计安全保密设备管理系统安全事件的审计、分析和处理应急条件下的安全恢复。
3审计管理员主要负责对系统管理员和安全保密员的操作行为进行审计、分析和监督检查及时发现违规行为并定期向系统安全保密管理机构汇报情况。
6、“三员”配置要求
1系统管理员、安全保密管理员和安全审计员不能以其他用户身份登陆系统不能查看和修改任何业务数据库中的信息不能删改日志内容。
2涉密信息系统应由办单位内部人员担任要求政治上可靠熟悉涉密信息系统管理操作流程具有较强的责任意识和风险防控意识并签署保密承诺书。
3系统管理员和安全保密管理员可由信息化部门专业技术人员担任对于业务性较强的涉密信息系统可由相关业务部门担任安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。
4同一设备或系统的系统管理员和安全审计员不能由同一人兼任安全保密管理员和安全审计员不得由同一人兼任。
二、linux三权分立的用户创建
1、系统管理员
1创建系统管理员sys用户并设置密码
[rootlocalhost ~]# useradd sys
[rootlocalhost ~]# passwd sys
2创建组并将用户添加到组/var是要给用户权限访问的路径并设置目录权限。
注这一步骤需要根据业务来确定是否配置以及配置的内容。
[rootlocalhost ~]# groupadd sysgroup
[rootlocalhost ~]# usermod -G sysgroup sys
[rootlocalhost ~]# chown -R sys:sysgroup /var
[rootlocalhost ~]# chmod 741 /var
2、安全管理员
1创建用户并指定登录的起始目录
[rootlocalhost ~]# useradd -d /etc anquan
[rootlocalhost ~]# passwd anquan
2只允许anquan用户访问/etc设置目录权限
注这一步骤需要根据业务来确定是否配置以及配置的内容。
[rootlocalhost ~]# chown -R anquan:anquan /etc
[rootlocalhost ~]# chmod 700 /etc
3、审计管理员
1创建用户
[rootlocalhost ~]# useradd shenji
[rootlocalhost ~]# passwd shenji
2设置shenji用户只有sudo的查看权限
编辑/etc/sudoers并在文件中加入以下语句
shenji ALL (ALL) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head
其中shenji ALL (ALL) 表示shenji用户在免密的情况下sudo使用查看文件的命令。
###如果是所有sudo命令的话可以把命令改为
shenji ALL (ALL) NOPASSWD: ALL 3设置只能shenji用户访问/var/log配置目录权限
注这一步骤需要根据业务来确定是否配置以及配置的内容。
[rootlocalhost ~]# chown -R shenji:shenji /var/log
[rootlocalhost ~]# chmod 700 /var/log
