深圳oa软件系统

一、概述

基于国家保密标准BMB20-2007明确规定，涉密信息系统要支持“三员分立” 的管理，3类管理员相互监督、相互制约。本次改造实现以下功能：

增加三个不同的管理员，分别对应不同的管理工作：

系统管理员：负责系统的日常运维维护工作；

安全保密员：负责系统的日常安全保密管理工作，包括用户账号管理以及对安全审计员的监督；

安全审计员：负责对系统管理员、安全保密员的操作系统进行审计跟踪分析和监督检查，以及时发现违规行为，并定期向系统安全保密管理机构汇报相关情况。

增加安全审计控制

各个模块的操作都留有待审计的日志。

审计日志级别有：【信息】【错误】【警告】【重大事件】四大类；

按照普通用户、系统管理员、安全保密员和安全审计员4类不同用户显示不同日志；

审计日志有权限控制，必须赋权才能查看。

审计日志可转为物理文件，并对物理文件存储方式进行控制

后台增加审计日志转为物理文件的配置界面，可配置至少保存1年的数据库日志，能够设置物理文件存储路径；

审计日志可以定时自动导出，也支持手动导出功能；

转存的物理文件为加密存储；

数据库日志空间大小可以设置，如果日志数据存储空间已满，系统能够通过告警方式来通知系统管理员。

二、三员分立管理开启

三员分立管理统一由非标功能【011分权系统】来控制，在【分权管理】设置界面，增加了设置项【启用三员分立管理】。

开启【启用三员分立管理】后。

权限管理中增加三员管理员维护菜单，点击初始化后可生成系统默认的三员管理员；

日志中心增加三员审计日志。

三员管理员维护规则。

系统管理员(sysadmin)可继续新建与系统默认的3个三员管理员同级的三员管理员；

按照“谁创建，谁负责”的原则，由系统管理员(sysadmin)创建的管理员账号，只能由系统管理员维护；

所有三员管理员账号，一旦进行了登录操作(产生了日志)，就不能被删除；

三员管理员一旦被建立，【管理员类型】就不能修改；

原始三员管理员无论系统是否分权，均不能修改【机构权限】。

三、审计日志

后端日志中心有审计日志菜单，可以查看普通员工日志、三员管理员日志和归档日志。

四、归档审计日志

数据库日志可以自动导出为物理文件存储进行存储备份。

在【手动归档】tab页，可以手动归档日志。

已经加密归档的审计日志，可能会存在重新翻查的情况，此时就需要有一个功能能够将归档日志还原到系统中查阅的功能。在归档日志导入中可以导入日志。