数据权限文档
数据权限文档
实现业务系统中的用户权限管理--设计篇
B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。
需求陈述
?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。
?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事
情。所以,系统中就提出了对“组”进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。
?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套管理
系统,就要针对权限管理部分进行重新开发。
?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能。
关于设计
借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。
我们先来分析一下数据库结构:
首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
这三个表之间的关系是多对多的,一个权限可能同时属于多个管理组,一个管理组中也可能同时包含多个权限。同样的道理,一个人员可能同时属于多个管理组,而一个管理组中也可能同时包含多个人员。如下图:
由于这三张表之间存在着多对多的关系,那么它们之间的交互,最好使用另外两张表来完成。而这两张表起着映射的作用,分别是“actiongroup”表(以下简称“权限映射表”)和“mastergroup”表(以下简称“人员映射表”),前者映射了权限表与管理组表之间的交互。后者映射了人员表与管理组表之间的交互。如下图:
另外,还需要一张表来控制系统运行时左侧菜单中的权限分栏,也就是“权限分栏表”,如下图:
根据上面的分析,我们进行数据库结构设计,如下图:
点击这里查看权限管理系统数据表字段设计
为了能够进行良好的分析,我们将数据库结构图拆分开来,三张实体表的作用已经很清晰,现在我们来看一下两张映射表的作用。
一权限映射表如下图:
首先,我们来了解一下权限映射表与管理组表以及权限表之间的字段关联。
看图中的红圈,先看gorupid字段相关联,这种关联方式在实际数据库中的表现如下图:
如图中所示,管理组表中“超级管理员”的groupid为1,那么权限映射表中groupid为1的权限也就是“超级管理员”所拥有的权限。
使用groupid字段关联,是为了查到一个管理组能够执行的权限有哪些。但这些权限的详细信息却是action字段关联所查询到的。
action字段相关联在数据库中的表现如下图:
通过这种关联,才查询到权限映射表之中那些权限的详细信息。综合起来,我们就知道了一个管理组可以执行的权限有哪些,以及这些权限的详细信息是什么。
或许你会问,为什么不使用actionid字段相关联呢?因为:
?权限表中的id字段在经过多次的数据库操作之后可能会发生更改。
?权限映射表中仅仅记录着一个管理组可以执行的权限。
?一旦权限表中的id更改,那么权限映射表中的记录也就更改了。
?一个管理组可以执行的权限势必将出错,这是非常不希望的。
考虑到上面的情况,所以应该使用action字段相关联,因为:
?在权限表中,id可能发生变化,而action字段却是在任何情况下也不可能发生变化的。
?权限映射表中记录的action字段也就不会变。
?一个管理组可以执行的权限就不会出错了。
二人员映射表如下图:
我们来了解一下人员映射表与管理组表以及人员表之间的字段关联,如下图:
看图中的红圈部分,先看groupid字段关联,这种关联方式在数据库中的表现如下图:
如图,“超级管理员”组的groupid为1,我们再看人员映射表,admin属于超级管理员组,而administrator属于超级管理员组,同时也属于管理员组。
使用这种关联方式,是为了查到一个管理组中的人员有谁。和上面一样,人员的详细信息是靠id字段(人员映射表中是masterid字段)关联查询到的。
id字段(人员映射表中是masterid字段)关联表现在数据库中的形式如下图:
一个人员可能同时属于多个“管理组”,如图中,administrator就同时属于两个“管理组”。所以,在人员映射表中关于administrator的记录就会是两条。
这种关联方式才查询到管理组中人员的详细信息有哪些。综合起来,才可以知道一个管理组中的人员有谁,以及这个人员的详细信息。
再结合上面谈到的权限表和权限映射表,就实现了需求中的“组”操作,如下图:
其实,管理组表中仅仅记录着组的基本信息,如名称,组id等等。至于一个组中人员的详细信息,以及该组能够执行的权限的详细信息,都记录在人员表和权限表中。两张映射表才真正记录着一个组有哪些人员,能够执行哪些权限。通过两张映射表的衔接,三张实体表之间的交互才得以实现,从而完成了需求中提到的“组”操作。
我们再来看一下权限分栏表与权限表之间的交互。这两张表之间的字段关联如下图:
两张表使用了actioncolumnid字段相关联,这种关联方式在数据库中的表现如下图:
如图所示,通过这种关联方式,我们可以非常清晰的看到权限表中的权限属于哪个分栏。
现在,数据库结构已经很清晰了,分配权限的功能以及“组”操作都已经实现。下面我们再来分析一下需求中提到的关于权限管理系统的重用性问题。
为什么使用这种数据库设计方式搭建起来的系统可以重用呢?
?三张实体表中记录着系统中的三个决定性元素。“权限”,“组”和“人”。
而这三种元素可以任意添加,彼此之间不受影响。无论是那种类型的业务
系统,这三个决定性元素是不会变的,也就意味着结构上不会变,而变的
仅仅是数据。
?两张映射表中记录着三个元素之间的关系。但这些关系完全是人为创建的,需要变化的时候,只是对数据库中的记录进行操作,无需改动结构。
?权限分栏表中记录着系统使用时显示的分栏。无论是要添加分栏,修改分栏还是减少分栏,也只不过是操作记录而已。
综上所述,这样设计数据库,系统是完全可以重用的,并且经受得住“变更”
考验的。
总结:
此套系统的重点在于,三张实体表牢牢地抓住了系统的核心成分,而两张映射表完美地映射出三张实体表之间的交互。其难点在于,理解映射表的工作,它记录着关系,并且实现了“组”操作的概念。而系统总体的设计是本着可以在不
同的MIS系统中“重用”来满足不同系统的功能权限设置。
附录:
权限管理系统数据表的字段设计
下面我们来看看权限管理系统的数据库表设计,共分为六张表,如下图:
action表:
action表中记录着系统中所有的动作,以及动作相关描述。
actioncolumn表:
actioncolumn表中记录着动作的分栏,系统运行时,左侧菜单栏提供了几块不同的功能,每一块就是一个分栏,每添加一个分栏,该表中的记录就会增加一条,相对应的,左侧菜单栏中也会新增机一个栏。
actiongroup表:
actiongroup表记录着动作所在的组。
groupmanager表:
groupmanager表记录着管理组的相关信息,每添加一个管理组,这里的记录就会增加一条。
mastergroup表:
mastergroup表记录着管理员所在的管理组,由于一名管理员可能同同时属于多个组,所以该表中关于某一名管理员的记录可能有多条。
master表:
master表记录着所有管理员的信息,每添加一个管理员,该表就会增加一条记录。
数据保护
数据加密
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
在银星商城购物网站中用的是MD5进行加密的,MD5的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science
式(就是把一个任意长度的字节串变换成一定长的大整数)。不管是MD2、MD4还是MD5,它们都需要获得一个随机长度的信息并产生一个128位的信息摘要。虽然这些算法的结构或多或少有些相似,但MD2的设计与MD4和MD5完全不同,那是因为MD2是为8位机器做过设计
向IETF提交。
关于用户权限的数据库设计
1 设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1 用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: 编号,在系统中唯一。 ü名称,在系统中唯一。 ü用户口令。 ü注释,描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述角色信息 1.3 权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、 修改和删除功能,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述权限信息 1.4 用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如 l 用户(User): UserID UserName UserPwd 1 张三 xxxxxx 2 李四 xxxxxx …… l 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员…… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如: l 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员
数据中心信息安全管理及管控要求
数据中心信息安全管理及管控要求 2012-02-24 11:29博客康楠 随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。 ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月, ISO27000-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,ISO27000-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO27000-2:1999被废止。现在,ISO27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(IDC)应逐步建立并完善标准化的信息安全管理体系。 一、数据中心信息安全管理总体要求 1、信息安全管理架构与人员能力要求 1.1信息安全管理架构 IDC在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。 1.2人员能力 具备标准化信息安全管理体系内部审核员、CISP(Certified Information Security Professional,国家注册信息安全专家)等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员 2、信息安全管理体系文件要求,根据IDC业务目标与当前实际情况,建立完善而分层次的IDC信息安全管理体系及相应的文档,包含但不限于如下方面: 2.1信息安全管理体系方针文件
某公司业务管理权限编制程序
业务管理权限编制程序 1 目的 为提高公司运营效率,规避经营风险,落实分级授权管理制度,制定本程序。 2 范围 本程序适用于公司机关各部门、所属各单位业务管理权限管理。 3 术语和定义 3.1 业务管理权限 本程序所称业务管理权限是指管理人员在主管业务领域内具有的建议权(参与审核权)、审核权、审批权。 3.2 业务管理权限指引 本程序所称的业务管理权限指引是指对相关法律法规、制度文件、内部控制流程中涉及的权限进行梳理完善并予以列示,旨在帮助使用者清晰直观地了解公司权限管理整体状况。 4 职责 4.1 财务处 4.1.1 是公司业务管理权限指引管理的主管部门 4.1.2 负责组织与协调相关工作; 4.1.3 负责制定业务管理权限指引相关管理规定;
4.1.4 负责业务管理权限指引的编制与发布; 4.1.5 负责组织业务管理权限执行情况的监督检查; 4.1.6 负责修订更新业务管理权限指引。 4.2 相关处室 4.2.1 负责审核、确认相关业务管理权限指引; 4.2.2 负责执行相关业务管理权限指引; 4.2.3 负责提出修订业务管理权限指引申请。 4.3 所属各单位 4.3.1 负责审核、确认相关业务管理权限指引; 4.3.2 负责执行相关业务管理权限指引; 4.3.3 负责提出修订业务管理权限指引申请。 5 管理内容 5.1 业务管理权限指引编制 5.1.1 业务管理权限指引的编制基础 a) 国家相关法律、法规 b) 上市地监管要求 c) 集团相关制度、规定 d) 股份公司相关制度、规定
e) 管道公司体系文件 f) 内部控制业务流程 g) 关键控制管理文档 h) 相关岗位职责 5.1.2 业务管理权限指引编制原则 a) 完整性原则:业务管理权限指引的设计以内部控制框架为基础,全面覆盖相关业务流程。 b) 继承性原则:业务管理权限指引的设计是与公司现行管理体系相结合,在现有制度体系的基础上进行概括和描述,进一步指导体系文件内部控制流程的修订完善,以建立符合公司实际的内部控制体系。 c) 协调性原则:业务管理权限指引的设计必须遵守内部控制体系框架的各项原则和工作要求,并能与内部控制体系其他管理文件相对应,保证内部控制建设工作协调开展。 d) 有效性原则:业务管理权限指引的设计必须考虑实施的可行性,能够符合公司生产经营业务实际,从而促进公司管理水平的整体提升。 e) 权责一致性原则:即权力和责任相对等。同时应明确,相关权限是授予该职位而非担任该职位的任何个人。 f) 控制与监督原则:必须密切关注被授权对象在实际经营中可能存在的风险,对授权内容和额度谨慎考虑,及时完善相关授权。 5.1.3 业务管理权限指引编制范围
数据库用户管理(用户管理,权限分配)
学习资料:数据库用户管理 SQL Server的安全包括服务器安全和数据安全两部分。服务器安全是指可以SQL Server数据库服务器的登录管理、数据库数据的访问安全等,数据安全则包括数据的完整性、数据库文件的安全性。因此,如果你准备访问SQL Server数据库的数据,你应该具有SQL Server登录帐户和访问数据库的权限。 下面逐一讲解如何创建登录帐户、如何创建数据库用户和如何给用户授权。 一、SQL Server身份验证 在登录SQL Server时,需要选择身份验证的方式,SQL Server支持以下两种身份验证。 Windows身份验证。 SQL Server身份验证。 简单地说,Windows身份验证是使用当前登录到操作系统的用户去登录,而SQL Server身份验证是使用SQL Server中建立的用户去登录。 登录验证通过以后,就可以像管理本机SQL Server一样来管理远程机上的SQL Server 服务。 二、建立登录帐户并赋予权限 与创建数据库一样,建立SQL Server数据库的登录名、用户名,为其赋予权限也有两种方式。 1)使用SQL Server Management Studio建立登录账户并赋予权限 2)使用T-SQL建立登录账户并赋予权限 1.在SQL Server Management Studio中建立登录账户并赋予权限在SQL Server Management Studio中,通常需要进行三步操作。 1)建立SQL Server登录名 在SQL Server Management Studio中,建立登录的步骤如下。 (1)在“安全性”节点下,右击“登录名”,在右键菜单中选择“新建登录名”选项。
金蝶K3数据权限管理
金蝶K/3数据权限管理 (K/3 各版本数据权限管理) 概述 l本文档适用金蝶K/3各版本数据权限管理。 l学习完本文档以后,您将了解数据权限设置过程。 l2012年5月31日V1.0 编写人:孙新建 步骤 数据权限是指对系统中具体数据的操作权限,分为数据查询权、数据修改权、数据删除权。 数据权限控制范围包括基础资料、BOM、BOS基础资料。 一、设置数据权限控制 1、打开【系统设置】-【用户管理】-【用户管理】-【用户管理】,选择用户名,点击 菜单【数据权限】-【设置数据权限控制】,显示“设置数据权限控制”界面。
2、“设置数据权限控制”界面,选择“子系统”,在子系统下选择需要设置的“数据 类别”并勾选“启用数据权限控制”,并点击【应用】按钮保存设置结果。 二、用过【数据权限管理】对系统中的用户进行该类别数据进行数据授权操作。
1、选择某个用户名,点击菜单【数据权限】-【数据权限管理】,选择“数据类型”,首先 取消该用户【具有当前数据类型的全部数据权限】选项,使当前用户默认不再具有当前数据类型的全部数据权限。取消该选项时,可以选择清理当前数据的权限或保留当前数据的权限。 2、选择授权方式,可以“按明细数据授权”或“按上级组授权”。
3、点击【授予查询权】、【授予修改权】或【授予删除权】按钮,出现当前数据类型的F7 选择界面,可以通过F7 界面浏览或搜索选择需要进行数据授权的数据。当用户选中数据后,系统立即授予当前用户相应的权限,并将选择的数据具有的数据权限在权限浏览 界面中显示。
可以对每一条数据进 行分别设置查询权、 修改权、删除权 4、授权用户可以在权限浏览界面上修改数据相应的数据权限,并通过点击【保存权限】按 钮保存授权用户所修改的权限。用户可以批量选中多个数据进行授权操作。 5、授权用户可以通过【取消查询权】、【取消修改权】或【取消删除权】按钮,同样现当
关于用户权限的数据库设计
1设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: 编号,在系统中唯一。 ü名称,在系统中唯一。 ü用户口令。 ü注释,描述用户或角色的信息。 1.2角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述角色信息 1.3权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、 修改和删除功能,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述权限信息 1.4用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如l用户(User): UserID UserName UserPwd 1张三xxxxxx 2李四xxxxxx …… l角色(Role): RoleID RoleName RoleNote 01系统管理员监控系统维护管理员 02监控人员在线监控人员 03调度人员调度工作人员 04一般工作人员工作人员…… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如:l角色(Role): RoleID RoleName RoleNote 01系统管理员监控系统维护管理员 02监控人员在线监控人员
信息系统权限及数据管理办法
******股份有限公司 信息系统权限及数据管理办法(试行) 第一章总则 第一条为了加强对******股份有限公司(简称:公司)各运行信息系统权限和数据的管理,明确权限及数据管理相关责任部门,提高信息系统的安全运行和生产能力,规范公司业务系统权限申请及数据管理流程,防范业务系统操作风险,公司制定了信息系统权限及数据管理办法,以供全公司规范执行。 第二条本办法所指信息系统权限及数据包括,但不仅限于公司运行的OA 办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理,以及数据的提取和变更。 第三条本办法遵循责权统一原则对员工进行系统授权管理,控制公司相关信息传播范围或防范进行违规操作。 第四条信息技术部是本办法主要执行部门,设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人(简称:数据权限管理员)负责统一按本办法所制定的流程执行相关操作,或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。 第五条用户授权和权限管理应采取保守原则,选择最小的权限满足用户需求。 第二章系统权限管理 第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成,风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批,信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限(信息技术部可以拥有开发测试环境超级用户权限),风险与合规部拥有超级用户权限,风险与合规部数据权限管理员拥有对权限列表进行查询的权限,以方便行使监督职能。
数据中心安全管理制度
数据中心安全管理制度 ST-YW-ZD-1.3
目录 一、适用范围 (3) 二、门禁安全管理 (3) 三、机房保安制度 (3) 四、机房消防制度 (4) 五、视频监控管理 (5)
一、适用范围 计算数据中心 二、门禁安全管理 1)机房门禁卡管理系统由专人管理,门禁卡应严格控制,统一调配 2)门禁卡按照一人一卡的原则配置,设置确定的权限,不得借给他人使用 3)门禁必须设有紧急开关按钮,出现紧急情况可以通过击碎紧急按钮玻璃逃生第四条 4)平时不使用的机房门必须从机房内侧反锁,门上用十字封条封死; 5)门禁系统需与消防联动,当消防告警,门禁系统自动失效,机房内人员可以逃生 6)门禁卡必须设置备用卡,由专人保管,在紧急事件中使用 7)门禁系统实行分级授权管理制度,授权相应办公人员的进入级别,并可限制其进入的 区 8)员工进入数据中心及相应办公区域必须使用门禁感应卡 9)门禁感应卡的持有人有责任保管好自己的感应卡,若有遗失,需立即通知管理人员禁 止该丢失卡的使用权限,持卡人在使用中发现问题应立即联系管理人员维修,持卡人若离职或调动,管理人员需将感应卡收回或重新设定使用权限 10)申请办理门禁卡,设定使用权限或者其他人员因遗失申请补办门禁卡,需报机房服务 部批准并发卡,由相关人员设置权限,原则上不为客户提供门禁卡 11)持卡人应刷卡出入权限规定的机房,确保门禁系统的记录完整、真实;相关单位新增 门禁卡或变更门禁卡权限,需专门提出书面申请填写《数据中心门禁权限申请表》,经相关领导申批通过后,由门禁系统管理人员负责核实并制卡 12)数据中心所有门需常闭,即进出后随手关门 三、机房保安制度 1)各岗位保安应着制服,保持仪容整洁、精神状态佳、态度和蔼、认真负责 2)坚守岗位,不擅离职守,因事离开岗位时必须有人代班,无关人员不得进入保安室 3)值班保安严禁睡觉、看小杂志、酗酒、听收音机等做与工作无关的事,监守自盗 4)不定时巡察机房重要区域的安全,防止意外事件的发生 5)发生民事纠纷,应及时劝阻和制止,并及时报告保安队长或综合管理部处理 6)接班后,警具、警械应随身携带,不得交于无关人员玩耍
权限指引(D)——权限指引说明
权限指引(D)——权限指引说明 1、1 本《权限指引》分为基本的6个层级,各分公司在施行过程中可制订本分公司向下延伸的权限级别;子公司按照“子公司形式、分公司地位”的原则,比照分公司权限执行。 1、2 本《权限指引》中的权限为该项业务的决定权、审批权、最终处置权,不包括过程中的建议权、拟议权。表中的“预算”(“计划”)包括初始预算(计划)及追加、调整预算(计划)。 1、3 本表中的权限项目按照业务流程编号的顺序依次排列,并将其中最重要控制点上的最终决策权限一一对应,单列而成。“○”表示该业务在该权限层级上不允许分解、设置的权限;“-”表示该业务在该权限层级上总部不统一设置权限,由各单位在延伸制定本单位的《权限指引》时自行补充的部分;空格部分表示本栏的业务类型为标题栏,或为不牵涉审批权限、设置权限无实际意义的部分。本表中部分权限项目暂未编写相关流程或现有流程中暂未体现,如第 7、7、7、8项。2 权限指引内容 2、1 《权限指引》以矩阵式表格描述,由横向、纵向两个指标体系构成。 2、1、1 横向为六层两级权限系列。六层是指自股东大会、董事会、总裁办公会、事业部/职能部门主任、分公司经理/经理班子,直至分公司处室负责人/业务经理等六个层次;两级是指董
事会再对董事长的授权,总裁再对高级副总裁/财务总监/分管副总裁的授权,事业部/职能部门主任对副主任的授权,分公司经理对副经理/总会计师的授权。权限设置体现了公司权力从股东大会到董事会、到总裁,再按各职能部门(事业部)的职责范围及各分公司的经营范围层层分解、下放的管理原则。 本表横向左端为业务的执行部门,右端为该业务的会签部门或复核岗位,体现了不相容职责分开和独立监控的要求。 2、1、2 纵向是设置权限的各类型业务,按照《内部控制手册》中已有的15大类55项具体业务排序。表中纵向业务类型与业务流程编号是一一对应关系。 2、1、3 表格中间部分内容,是对不同业务类型中的各级别设置的具体权限。 2、2 考虑到不同板块、不同类型单位的业务存在差异,部分业务按照企业板块、规模设置差别化权限。本《权限指引》参照xx年度合并会计报表中的销售收入,将现有分(子)公司按照各业务板块分别划分为三个类别。不同板块、同一类别的分(子)公司,在部分业务流程中权限设置标准有所不同;未指定板块或类别的权限,适用于全部分(子)公司,但需与业务流程适用单位相对应。 2、2、1 油田分(子)公司一类企业(1户):胜利油田分公司二类企业(5户):中原油田分公司、西北分公司、江汉油田分公司、河南油田分公司、江苏油田分公司三类企业(7户):西南
数据库管理员常工作权限和流程
目录 1数据库操作规范: 1.1数据库关键参数配置: ·新项目或系统、数据库填写系统上线更新记录表; ·mysql数据库应用服务端口设定,默认实例服务端口是3306,其它实例需注意服务端口值; ·数据库内存使用是实际物理内存三分之二,如果是双机系统建议不要超过二分 之一; ·严禁按照Internet上查找的资料中只言片语,对数据库进行调整; 1.2数据库数据提取流程: 1业务部门相关人员填写“数据申请单”; 2部门负责人签字; 3DBA依情况操作; 4需求申请部门验收。 1.3数据库操作管理制度: ①业务部门要求的数据库操作需要有书面审批流程,DBA应保留原始文件一份; ②业务部门所填写的数据申请表单,一定需要相关负责人签字后方可执行。 ③在做数据库更改操作前,必须和业务人员核对业务逻辑,在完全清楚业务逻辑后进 行数据库操作; ④所有数据库更改操作,必须先进行测试,并将操作放在事物中,分步执行; ⑤保留重要操作的脚本、操作前数据、操作过程结果,以便日后查对; ⑥在完成操作后,要给操作需求方最终结果报告,使需求方可以及时核对; ⑦对于一些核心机密数据,需要遵守公司相关的保密协议,不能向外泄露;
⑧注意维护数据库服务器的硬盘空间,及盘阵上磁盘状态; ⑨按流水记录数据操作日志,作为以后查对凭证; ⑩以后有关数据库手工操作之前,一定通知所有应用程序开发人员,以便评估、保存操作结果; ⑾DBA个人使用的计算机应严格管理,尽可能不要在办公区外上网,更不要浏览和工作无关的网站,一定要安装防毒套装软件,避免感染病毒和木马, 严禁安装与工作无关的应用软件; ⑿当数据库需要调整时,严禁按照网上查找的资料操作数据库,一定是先查看官方完整文档或权威文档,通过严格测试,书写完整报告,经评估后,填写 数据库维护申请表,获审批方可操作; ⒀严禁在其它地方使用工具连接生产数据库,进行操作; ⒁操作流程:填写数据申请单 ·业务部门业务人员提出申请; ·业务部门负责人审核; ·运营DBA执行,操作完成后,需在“DBA操作结果”中写明操作语 句和影响记录条数; ·运营核查; ·业务部门任务申请人员检验操作结果,并签字确认; ·单据由运营部门保留。 1.4操作系统帐号管理制度: ①在数据库服务器、关键应用服务器上,只能有数据库DBA人员的帐号,开发人 员需要介入时,填写开发人员使用数据库申请单; ②在操作系统中需要启动本地安全策略中有关帐户管理的安全策略,策略如下: ·启动密码必须符合复杂性要求; ·密码长度最小值6个字符; ·帐户锁定时间10分钟; ·帐户锁定阀值5次; ③每两个星期检查一次操作系统日志; 1.5数据库帐号管理制度: ①应用程序帐号权限需要做严格限制,对不同应用需求使用不同权限和操作范围帐号, 要有部门负责人确认; ②在不同应用服务器上相同应用程序应使用不同数据库访问帐号; ③帐号密码需要有复杂性要求(字母、数字14位以上); ⑤所有帐号名称、访问权限、应用程序名称必须记录在案(如:表格形式); ⑥在防火墙上严格限制数据库端口访问的IP地址,只有正常对外服务的应用服务器 IP可以访问相关数据库; ⑦数据库超级用户权限使用严格限制;
数据库用户权限划分
(Database Department ) Tel: (86-10)51652500 Fax: (86-10)51388462 数据库用户权限划分 一、 数据库公共对象设定 公共对象是指在数据库中大家经常要用到的一些参数表、视图等实例。以及由某个开发的可以共用的一些函数、过程、程序集等功能模块。凡是可以连接该数据库中用户均具备此项权限。可在对象属性中设置此权限。 公共表 公共视图公共函数 公共过程 插入 查看定义√√ 更改更新 接管所有权控制删除选择√√引用√√ √执行 √ √ 对象 公共对象权限 二、 数据库用户权限设定 用户权限是指用户对于该数据库中的所有对象拥有的权限。用户不需要对特定对象设置即可拥有。可在数据库上设置此权限。
Tel: (86-21)51695700 Fax: (86-10)85895199 Website: https://www.360docs.net/doc/7614611524.html, Zip:200030 库用户权限1DBA (参见角色)数据修改数据查询局部(参见角色)库用户权限2DBA (参见角色)数据修改数据查询 局部 (参见角色) 备份日志√更改任意对称密钥√备份数据库√更改任意非对称密钥√插入√√更改任意服务√查看定义√更改任意架构√查看数据库状态√更改任意角色 √创建XML 架构集合√更改任意路由 √创建表√√更改任意全文索引√创建程序集√更改任意数据空间 √创建队列 √更改任意数据库DDL 触发器√创建对称密钥√更改任意数据库事件通知√创建服务√更改任意消息类型√创建规则√√更改任意应用程序角色√创建过程√√更改任意用户√创建函数√√更改任意远程服务绑定√创建架构√更改任意约定√创建角色√更改任意证书√创建类型√更新√√创建路由√检查点√创建默认值√√接管所有权√创建全文目录√√控制√创建视图√√控制聚合 √创建数据库DDL 事件通知√连接 √√√√创建同义词√连接复制√创建消息类型√删除√√创建远程服务绑定√身份验证√创建约定√显示计划√创建证书√选择√√√订阅查询通知√引用√√更改√√执行√√更改任意程序集 √
通用数据权限管理系统设计
通用数据权限管理系统设计 作者:逸云来源:网络 前言: 本文提供一种集成功能权限和数据权限的解决方法,以满足多层次组织中权限管理方面的集中控制。本方法是RBAC(基于角色的访问控制方法)的进一步扩展和延伸,即在功能权限的基础上增加数据权限的管理,实现数据权限和功能权限的集中处理。 解释: 功能权限:能做什么的问题,如增加销售订单; 数据权限:能在哪里干什么的问题,如察看北京分公司海淀销售部张三的销售订单; 术语: 资源:系统中的资源,主要是各种业务对象,如销售单、付款单等; 操作类型:对资源可能的访问方法,如增加、删除、修改等; 功能:对资源的操作,是资源与操作类型的二元组,如增加销售单、修改销售单等; 数据类型:业务系统中常用的数据权限类型,如公司、部门、项目、个人等; 数据对象:具体的业务对象,如甲公司、乙部门等等,包括所有涉及到数据权限的对象值; 权限:角色可使用的功能,分角色的功能权限和角色的数据权限; 角色:特定权限的集合; 用户:参与系统活动的主体,如人,系统等。 通用数据权限管理系统设计(二) 方法说明: 在实际应用中,数据权限的控制点一般相对固定,如针对公司、部门、个人、客户、供应商等,也就是说数据权限一般针对指定数据类型下的一些数据对象。 本方法中,数据权限的依赖于功能权限,是对功能权限的进一步描述,说明角色在指定的功能点上的数据控制权限。 本方法中采用“没有明确规定即视为有效”的原则,如果没有定义功能的数据权限,则说明该角色具有该功能的全部的权限。如果定义了功能的某种类型的数据权限,则该用户只具有该类型下指定数据的数据权限。 这段话比较绕口,下面举个例子实际例子。 某公司有北京销售部、上海销售部和广州销售部三个销售部,现在需要定义几种角色: ?销售总监-- 能察看所有销售部的销售订单; ?北京销售经理-- 只能察看北京销售部的所有销售订单; ?上海销售经理-- 只能察看上海销售部的所有销售订单;
数据中心机房相关管理人员要求及制度
为了能够高效的进行机房管理,机房管理人员应具有一定的技术能力和基本的设备维护经验。 机房管理人员的基本岗位职责如下: 1、负责机房设备的日常管理,做好日常巡检工作,包括配电、空调、消防等设施以及网络设备、服务器、存储等设备的检查工作; 2、机房以及部门所属各种资产的管理,做好设备清点、分类、统计、标示等工作; 3、负责安排机房设备维修工作,协调相关设备维修人员进行维修,安排好相关维修工作; 4、对机房各类设备的运行情况进行分析,制定预防和常用方案。 5、对机房各类设备上所运行的系统、服务进行管理和配置,满足办公部门的IT服务需求。 相关技术能力和经验要求如下: 1、计算机及相关专业,本科及以上学历;两年以上相关工作经验,最好有机房管理经验者。 2、熟悉winsever、linux等操作系统的硬件维护、网络和服务配置。 3、熟悉VM和相关虚拟化技术; 4、熟悉Oracle数据库; 5、熟悉存储技术,熟悉存储光纤交换机的配置; 6、熟悉H3C核心设备及接入网络设备的基本配置和命令; 注:以上技术能力和经验并不要求某一管理人员全部具备或精通,各个机房管理人员技术能力可各有侧重,互补配合进行机房管理。 为了使机房日常维护工作制度化、规范化,对于数据机房的管理,要求制定以下机房管理维护制度(参考),以下重要制度应上墙: 《机房现场管理制度》 《机房值班制度》 《机房突发事件应急预案》 《机房交接班制度》 《外来人员操作管理制度》
《机房现场管理制度》参考 一、 机房维护人员应注意监控设备运行情况,发现故障及时处理,对于重大故障,在对故障进行处理的同时要按传报流程向上汇报。 二、 机房维护人员应定时对机房环境进行巡检,并根据表格做好相应记录;机房内温度应保持在23±3℃,相对湿度在40%~60%,机房照明应有应急备用。如遇到通信保障期间、电源变化、气候恶劣等情况时,应加强巡回检查。 三、 机房维护人员应对出入机房人员身份进行确认,不允许无关人员进入机房,对于得到主管部门同意进入机房的外来人员,机房维护人员应督促其在《机房出入登记簿》上登记,并督促其遵守机房各项规章制度。外来人员进入机房工作,机房维护人员应要求其出示工单或者上级部门通知。 四、 定期检查机房各消防设备情况,如消防设备有异常情况,需及时向上级汇报。 五、 机房内非特殊需要,严禁使用明火,要动用明火必须得到主管领导和上级安全部门的同意。 六、 机房内各种图纸资料、文件、工具仪表未经允许不准擅自带出机房,使用后归还原处。 七、 机房内系统的网络拓扑图和各设备所配置的资料均属于保密范围,未经上级部门同意,外来人员不得查阅、复制。 八、机房内严禁在终端和PC机上运行游戏程序及其他与工作无关的程序。
MySQL数据库管理之权限管理
MYSQL数据库管理之权限管理 小编做客服有一阵子了,总是有人在QQ群或者论坛上问关于mysql权限的问题,今天就总结一下关于MYSQL数据库的权限管理的经验。希望大家看完有所收获啦~ 一、MYSQL权限简介 关于mysql的权限简单的理解就是mysql允许你做你权利以内的事情,不可以越界。比如只允许你执行select操作,那么你就不能执行update操作。只允许你从某台机器上连接mysql,那么你就不能从除那台机器以外的其他机器连接mysql。 那么MYSQL的权限是如何实现的呢?这就要说到mysql的两阶段的验证,下面详细来介绍: 第一阶段:服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制,可以限制成本地、某个IP、某个IP段、以及任何地方等,只允许你从配置的指定地方登录。后面在实战的时候会详细说关于主机的限制。 第二阶段:如果你能连接,MYSQL会检查你发出的每个请求,看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表,MYSQL会检查你对哪个表或者某个列是否有权限。再比如,你要运行某个存储过程,MYSQL会检查你对存储过程是否有执行权限等。 MYSQL到底都有哪些权限呢?从官网复制一个表来看看: 权限权限级别权限说明 CREATE数据库、表或索引创建数据库、表或索引权限DROP数据库或表删除数据库或表权限 GRANT OPTION数据库、表或保存的程序赋予权限选项 REFERENCES数据库或表 ALTER表更改表,比如添加字段、索引等DELETE表删除数据权限 INDEX表索引权限 INSERT表插入权限 SELECT表查询权限 UPDATE表更新权限 CREATE VIEW视图创建视图权限 SHOW VIEW视图查看视图权限 ALTER ROUTINE存储过程更改存储过程权限 CREATE ROUTINE存储过程创建存储过程权限 EXECUTE存储过程执行存储过程权限
2、数据中心工作人员岗位职责
数据中心工作人员岗位职责 一、数据中心工作人员全面负责数据中心的日常使用、安全、清扫和管理等工作;负责网络、软件、设备的管理和维护。 二、数据中心工作人员应按照相关规定,严格履行职责,应加强日常学习和交流,及时掌握网络建设和管理最新技术,加以运用,确保操作水平和技能逐步提高。 三、数据中心工作人员应熟练掌握该数据中心各种设备的技术参数、性能指示和使用注意事项,应全面了解和掌握各系统设备的连接布线方式和易出现问题的重要环节,出现问题及时解决。 四、数据中心工作人员在使用各系统设备的过程中,应严格按照设备使用说明书和操作规程,操作各种设备,不得随意损坏设备,确保不发生因操作失误造成设备损坏的事件。 五、数据中心工作人员应强化网络日常建设与管理,定期检修和维护各种设备、网络信息资源等,确保网络正常运行。 六、数据中心工作人员应加强各系统设备的日常管理,不得随意变更、私接或挪用各种设备,如因工作需要必须变更和使用的,应事前请示经理同意后,方可实施。 七、数据中心工作人员应强化网络安全管理,按照相关规定,设定密码和各种权限,并要牢记;应定期查杀网络病毒、木马,以及做好防黑客攻击等工作,以确保网络安全运行;有权利阻止无关人员进入,对进出数据中心的人员或设备要实时登记,确保数据中心设施设备安
全。 八、数据中心工作人员应妥善保管数据中心内各种设备的使用说明书、操作规程,以及设备相关的软、硬件设备等,确保出现问题能及时检修。 九、数据中心工作人员应加强数据中心日常清洁工作,确保地面、操作台、各种设备表面日常清洁无灰尘,并做好设备防尘、防静电及室内恒温等工作;禁止在数据中心内吸烟、使用设备以外电器等。 十、数据中心工作人员有义务对各科室网络和计算机等设备进行维修和维护,并及时对各科室提出的问题给予答复,确保全局网络正常运行。
内部控制手册第4部分-权限指引(D)——权限指引说明
中国石油化工股份有限公司权限指引说明 为适应股份公司一级法人为主的经营体制,提高 运营效率,最大限度地规避风险,更好地落实分 级授权制度,特制订本《权限指引》。 本《权限指引》所列权限适用于股份公司总部各 部门、各分(子)公司,各单位在向下延伸制定 实施细则时,须按照“更严、更细、更具体”的 原则设置权限。 1 权限指引一般介绍 本《权限指引》分为基本的6个层级,各分公司在施行过程中可制订本分公司向下延伸的权限级别;子公 司按照“子公司形式、分公司地位”的原则,比照 分公司权限执行。 本《权限指引》中的权限为该项业务的决定权、审批权、最终处置权,不包括过程中的建议权、拟议权。表 中的“预算”(“计划”)包括初始预算(计划)及 追加、调整预算(计划)。
本表中的权限项目按照业务流程编号的顺序依次排列,并将其中最重要控制点上的最终决策权限一一对 应,单列而成。 “○”表示该业务在该权限层级上不允许分解、设 置的权限;“-”表示该业务在该权限层级上总部 不统一设置权限,由各单位在延伸制定本单位的 《权限指引》时自行补充的部分;空格部分表示本 栏的业务类型为标题栏,或为不牵涉审批权限、 设置权限无实际意义的部分。本表中部分权限项 目暂未编写相关流程或现有流程中暂未体现,如 第、项。 2 权限指引内容 《权限指引》以矩阵式表格描述,由横向、纵向两个指标体系构成。 2.1.1 横向为六层两级权限系列。六层是指自股东大会、 董事会、总裁办公会、事业部/职能部门主任、分公 司经理/经理班子,直至分公司处室负责人/业务经 理等六个层次;两级是指董事会再对董事长的授 权,总裁再对高级副总裁/财务总监/分管副总裁的 授权,事业部/职能部门主任对副主任的授权,分公 司经理对副经理/总会计师的授权。权限设置体现了
JAVA用户角色权限数据库设计
实现业务系统中的用户权限管理 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。 就像是组件一样的可以被不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。 我们先来分析一下数据库结构: 首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
数据中心建设与运行管理
数据中心建设与运行管理 2010年07月26日 《数据中心建设与运行管理》 作者:林小村主编马玉林翁小云副主编(2010年04月第1版第1次) 科学出版社SCIENCE PRESS https://www.360docs.net/doc/7614611524.html, 北京东黄城根北街16号(100717) 内容简介 本书旨在为推动我国企业(机构)数据中心的发展而献出微力。《数据中心建设与运行管理》介绍了数据中心建设和管理的具体做法和体会,全面阐述了数据中心建设的规划与基本要求。全书共12章,包括:数据中心概述、数据中心总体规划、数据中心机房、数据中心网络系统、数据中心主机和存储系统、数据规划和数据库设计、数据中心应用支撑平台、数据中心应用系统、数据中心安全系统、数据中心容灾备份系统、数据中心建设管理、数据中心运行管理。 《数据中心建设与运行管理》观点前瞩、面向应用、深入浅出、图文并茂、重于实用,以数据中心的规划为主线,涵盖了数据中心系统工程全过程、全方位、多目标的全部内容。
《数据中心建设与运行管理》可供企业(机构)信息化管理部门、各类数据中心的建设与管理人员、技术人员、各级信息系统工程建设单位等参考,也可作为工科院校相关专业师生的辅导材料。 P2,互联网接入服务提供商ISP主要为各机构单位或个人提供互联网接入服务,同时还提供公共服务器空间租赁,实现电子邮件通信、网络信息检索等功能;有的单位则将自己的WEB服务器存放在ISP所在地,分享ISP所租用的线路,以降低成本。无论是租用ISP的服务器空间还是委托ISP管理WEB服务器都是Web hosting 模式(空间租用、主机托管)。在ASP模式中,各经济组织将基于WEB技术的应用交由ASP运营商托管,又叫做Application Hosting 模式。 P7,数据中心分类:企业数据中心(Corporate/Enterprise Data Center)、互联网数据中心(Internet Data Center)。 P38,数据交换平台 数据交换平台时数据中心数据与其他应用系统沟通的桥梁,是进行数据交换的基站。数据交换平台负责从各个业务系统采集数据,对数据进行清洗与整合,按照数据中心建设标准规范数据,形成核心数据库,并提供给其他应用系统使用。
(完整版)应用系统权限及数据管理安全管理办法
用友系统权限及数据管理办法 一、总则 为了保障在用友系统使用及管理过程中因不安全的操作而导致的数据泄漏、被盗取等安全事件的发生,特制定本办法。 二、本管理办法仅适用于公司全员。 三、职责与分工 1、职能部门: (1)公司权限负责人:总经理 1)负责签批部门间的权限的授予; 2)负责对用友系统用户帐号及密码安全进行不定期抽查; (2)系统管理员:财务负责人 1)用友系统管理由财务部负责,除总经理及财务部指定的系统管理员外任何部门不得担任系统管理员一职。 2)负责帐号、各岗位权限分配、系统维护、各模块使用情况的安全运行监管。 3)负责根据《用友用户新增\变更\注销请示单》在系统中设置用户权限; 4)负责维护本单位用户和权限清单; 5)遵守职业道德,接受总经理权限负责人的抽查。 (3)各岗位系统操作员:负责所使用模块的权限管理和该模块的数据安全; A.采购部负责有关产品基础信息定义、系统采购模块使用。 B.销售部负责系统销售模块使用。 C.物流部负责仓库管理权限和销售单打印、查询权限; 2、用户帐号: 登录用友系统需要有用户帐号,用户帐号是由财务部系统管理员根据员工工作岗位员工的工作性质规定下进行系统岗位功能、权限分配和设置的。 (1)密码设置及更改: 1)第一次登录用友系统时,用户必须改变事先由管理员分配的初始密码; 2)系统管理员及操作员密码每三个月必须变更一次,密码不少于6位。 3、帐号与密码保管: 系统使用人必须保证用户ID和用户密码的保密和安全,不得对外泄漏,用户帐号不可转借他人使用;
3、责任承担及注意事项: (1)帐号的对应的使用者应对该帐号在系统中所做的操作及结果负全部责任。(2)系统管理员应该每天检查系统日志,对发现的非法登录、访问等行为。(3)管理帐号及管理权限的增加、删除必须经总经理书面批准,任何人不得任意增加、修改、删除。 (4)任何人除所负责权限岗位以外的信息数据不得随意导出:如客户资料、产品进价、销售数据等,如有需要需提交书面申请交总经理审批后统一由财务部导出打印,并建立打印档案。 (5)非财务部指定的系统管理人员未经许任何人不得擅自操作和对运行系统及各种设置进行更改。 四、用户申请\变更\注销流 (1)由用户本人提出申请(填写《请示单》)经部门主管审核交财务部并报总经理审核批示使用权限; (2)财务部系统管理员根据经总经理审批《请示单》在系统中进行权限设置后通知申请人; (3)申请人应在收到通知的当天修改初始口令。 (4)当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时,应填写书面《请示单》经总经理审批后系统管理员应及时进行用户的变更、暂停或注销权限。 三、数据备份及安全管理 1、服务器数据库要设置每日自动备份,每周五财务部应进行一次介质数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。 2、系统管理人员应恪守保密制度,不得擅自泄露中心各种信息资料与数据。 3、服务器是用友系统的关键设备,不得随意调试、挪作它用。 4、系统操作时,外来人员不得随意操作、靠近观看。对外来人员不合理要求应婉拒,外来人员不得未经同意不得查看、操作系统。 二、计算机病毒防范制度 1、系统管理人员应有较强的病毒防范意识,定期进行病毒检测。 2、不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。 3、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 4、定期进行电脑杀毒,对电脑中毒后在各种杀毒办法无效后,须重新对电脑格