1.1. 三权分立 三权分立的管理员有系统管理员、安全保密管理员和安全审计员，各类型管 理员操作的功能模块如下描述。 1.1.1.三员密码管理 以上“三员”类型可修改个人密码，如果密码遗忘必须找系统开发公司进行 初始化。这个功能已经实现。登录后的首页右上角有修改密码功能。 1.1.2.系统管理员 系统资源模块有：资源管理、部门用户管理、业务角色配置、系统角色授权、 基础数据模型、工作流设计器。 资源管理：模块/标签页的创建、修改、删除、排序和查询。 组织体系管理：组织体系的创建、修改、删除、排序和查询。 部门用户管理：部门的创建、修改、删除、排序和查询。人员的创建、修改、 删除、排序和查询、增加岗位、迁移部门，人员的操作必须由“安全保密管理员” 审核通过后才能生效。 业务角色管理：业务角色的创建、修改、删除、排序和查询。 系统授权管理：将在资源管理下创建系统角色进行分配，可以分配给部门+ 业务角色、用户、群组三种授权方式。授权的维护是需要经由“安全保密管理员” 审核通过后才能生效。 申请查询：申请列表、审核通过列表、审核未通过列表 1.1.3.安全保密管理员 安全审核、查看系统日志。 查看日志：查看系统管理员和安全审计员操作日志。 系统授权审核：审核“系统管理员”提交的系统角色授权申请，对其审核， 

并生效。 业务授权审核：审核“系统管理员”提交的业务角色授权申请，对其审核， 并生效。 人员审核：审核“系统管理员”提交的人员相关操作的申请，对其审核，并 生效。 1.1.4.安全审计员 日志管理模块。主要包括日志的查看。 日志审核：查看所有人员操作（“三员”和普通用户）的所有类型日志（增 加、删除、修改、查询。审计日志支持备份、并可按时间、用户名和事件类型对 审计数据进行查询、统计。 用户登录日志：系统支持所有用户（包括三员）的登录日志（登录信息如下）。 日志主要属性包括按时间、人员姓名、IP、操作类型和操作内容等，并可根 据时间、人员、操作类型等条件进行检索查询。审计记录不被篡改、伪造和非授 权删除。 1.2. 安全审核 那些信息需要审核？ 1. 人员管理：人员的创建、修改、删除、排序和查询。注：对由人员的相 关操作，(创建、修改、删除)必须由“安全保密管理员”审核通过后才可生效。 2. 业务角色管理：维护系统内用户的系统角色名称的创建、修改等功能， 将创建好的“业务角色”分配相应的用户和撤销用户授权，注：分配和撤销操作 不能直接生效，必须由“安全保密管理员”审核通过后才可生效。 3. 系统授权管理：系统权限名称的创建、修改、删除和与系统功能的关联， 将创建好的“系统角色”分配相应的用户和撤销用户授权，注：分配和撤销操作 不能直接生效，必须由“安全保密管理员”审核通过后才可生效。 

1.3. 安全审计 安全审计要具备查询统计、备份等功能要求，目前把系统管理中的功能完善 即可，备份后继再实现。 1. 审计范围 包括系统所有业务审计（主要是业务表类的操作）和系统（主要是系统表类 的操作）2 大模块。 2. 审计记录的内容 包括操作人员（IP、用户名称）时间、操作类型（增加、修改、删除和查询）、 所属模块、操作内容（如添加了 XXXX 什么数据…）和结果（失败、成功），目前 结果无法记录。 3. 查询 根据时间段和日志模板进行查询。 4. 备份 系统支持数据按月、季度、年进行备份。 目前只需要把日志记录到日志审计表中即可，能提供查询。 5. 存储管理 系统应设计充足的审计记录存储空间，且当存储空间将满时能及时进行告警， 必须对已存储的审计记录进行保护，记录应至少保存 6 个月以上，6 个月以内的 数据不能删除、修改等操作。