保密管理“三员”是以最小特权和权值分离为原则,将管理员分为系统管理员、安全管理员和安全审计管理员,各司其责,防止某一身份的管理员权限过大,引起安全威胁。同一设备或系统的系统管理员和安全审计员不能由同一人兼任,安全管理员和安全审计员不得由同一人兼任。
  在实际涉密网络中,尤其是使用了信创终端环境下,“三员”可以用在设备或系统的不同层面:
①终端层面:终端操作系统一般都有超级系统管理员,windows是administrator,Linux是root账户。基于SELinux技术,信创终端在本机划分管理三员,将超级用户特权集(root)细分为:系统管理员root、安全保密管理员、安全审计管理员。
②网络层面:网络系统管理员主要负责涉密网络的日常运行维护工作。网络安全保密管理员主要负责涉密网络的日常安全保密管理工作,包括用户账号管理以及安全保密设备和系统所产生日志的审查分析。网络安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查,发现、记录违规行为,并定期向涉密网络安全保密管理机构汇报相关情况。
   终端管理一般依赖终端安全管理平台,如三合一系统管理平台、主机审计管理平台、配置管理平台等,终端安全管理平台的“三员”,统称“安全平台管理员”,一般由网络管理“三员”承担,负责平台管理范围内终端的组织架构建立、终端注册信息录入、软件安装策略、硬件及输出管控策略和行为审计等。
③应用层面。业务应用系统也要求相应的“三员”管理机制,比如OA、安全邮件等。