身份认证与权限管理

网站安全性

―身份认证与权限管理1 简介 (3)

2准备环境 (3)

2.1准备数据库 (3)

2.2修改提供程序 (3)

2.3测试 (4)

3成员资格管理类 (4)

3.1M EMBERSHIP 类 (4)

3.1.1方法 (6)

3.1.2属性 (7)

3.1.3事件 (8)

3.2M EMBERSHIP U SER 类 (9)

3.2.1构造函数 (9)

3.2.2方法 (9)

3.2.3属性 (10)

3.3R OLES类 (11)

3.3.1方法 (11)

3.3.2属性 (12)

3.4F ORMS A UTHENTICATION 类 (14)

3.4.1构造函数 (15)

3.4.2方法 (15)

3.4.3属性 (16)

4操作实例 (17)

4.1搭建环境 (18)

4.2配置工具 (18)

4.3代码编程 (18)

4.3.1创建用户 (18)

4.3.2删除用户 (18)

4.3.3创建角色 (18)

4.3.4删除角色 (18)

4.3.5将用户添加至角色 (18)

4.3.6将用户从角色移除 (18)

4.3.7为角色添加用户 (18)

4.3.8判断用户是否属于角色 (18)

4.3.9验证用户登录是否 (18)

4.3.10修改用户密码 (18)

4.4为用户和角色设置访问权限 (18)

4.4.1配置站点地图提供程序 (18)

4.4.2配置工具设置 (18)

4.4.3配置文件设置 (18)

4.5测试 (18)

1简介

采用.NET自带身份验证与权限管理机制实现网站的身份验证与权限管理，保证网站安全性。

采用成员和角色的概念来实现权限管理，结合站点地图，可实现对不同权限的用户显示不同的菜单，允许操作不同的功能。

2准备环境

2.1准备数据库

1）新建自定义数据库，如db_Net.mdf

2）运行aspnet_regsql工具，位于C:\Windows\https://www.sodocs.net/doc/4610483047.html,\Framework\v2.0.50727目录，将AspNetSqlProvider的数据库修改为用户自定义数据库db_Net.mdf

2.2修改提供程序

1）在配置文件web.config中定义数据库连接字符串：

providerName="System.Data.SqlClient"/>

2）添加Membership定义

connectionStringName="NetCon" enablePasswordRetrieval="false"

enablePasswordReset="true" requiresQuestionAndAnswer="false"

applicationName="/" requiresUniqueEmail="true"

passwordFormat="Hashed"

maxInvalidPasswordAttempts="5" minRequiredPasswordLength="6"

minRequiredNonalphanumericCharacters="1" passwordAttemptWindow="10"

passwordStrengthRegularExpression=""

type="System.Web.Security.SqlMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />

3）添加Roles定义

type="System.Web.Security.SqlRoleProvider" connectionStringName="NetCon" applicationName="/"/>

4）添加SiteMapProvider定义

type="System.Web.XmlSiteMapProvider" securityTrimmingEnabled="true"/>

5）设置Authentication Mode

2.3测试

1)连接数据库db_Net，查看数据库的表和视图

2)在Visual Studio工具中，在“网站”菜单栏中选择“https://www.sodocs.net/doc/4610483047.html,配置”进入

配置程序

3成员资格管理类

3.1Membership 类

验证用户凭据并管理用户设置。无法继承此类。静态类，使用时不需要实例化，与MembershipUser 类有区别。

命名空间： System.Web.Security

在https://www.sodocs.net/doc/4610483047.html, 应用程序中，Membership类用于验证用户凭据并管理用户设置（如密码和电子邮件地址）。Membership类可以独自使用，或者与FormsAuthentication一起使用以创建一个完整的Web 应用程序或网站的用户身份验证系统。Login控件封装了Membership类，从而提供一种便捷的用户验证机制。Membership类提供的功能可用于：

?创建新用户。

?将成员资格信息（用户名、密码、电子邮件地址及支持数据）存储在Microsoft SQL Server 或其他类似的数据存储区。

?对访问网站的用户进行身份验证。可以以编程方式对用户进行身份验证，也可以使用Login控件创建一个只需很少代码或无需代码的完整的身份验证系统。

?管理密码，包括创建、更改、检索和重置密码等等。可以选择配置https://www.sodocs.net/doc/4610483047.html, 成员资格以要求一个密码提示问题及其答案来对忘记密码的用户的密码重置和检索请求进行身份验证。

虽然https://www.sodocs.net/doc/4610483047.html, 成员资格是https://www.sodocs.net/doc/4610483047.html, 中用来进行身份验证的独立功能，但它可以与https://www.sodocs.net/doc/4610483047.html, 角色管理集成来为站点提供授权服务。成员资格还可以与https://www.sodocs.net/doc/4610483047.html, 用户的System.Web.Profile 集成，以提供可为各个用户量身订做的特定于应用程序的自定义实现。有关详细信息，请参见了解角色管理和https://www.sodocs.net/doc/4610483047.html, 配置文件属性概述。

Membership类依赖于成员资格提供程序与数据源通信。.NET Framework 包括一个SqlMembershipProvider（将用户信息存储在Microsoft SQL Server 数据库中）。还可以实现一个自定义成员资格提供程序与可由Membership类使用的其他类似的数据源进行通信。自定义成员资格提供程序将继承MembershipProvider抽象类。有关更多信息，请参见实现成员资格提供程序。

默认情况下，https://www.sodocs.net/doc/4610483047.html, 成员资格可支持所有https://www.sodocs.net/doc/4610483047.html, 应用程序。默认成员资格提供程序为SqlMembershipProvider并在计算机配置中以名称AspNetSqlProvider指定。SqlMembershipProvider的默认实例配置为连接到Microsoft SQL Server 的一个本地实例。

可以通过修改默认设置将一个非AspNetSqlProvider实例的SqlMembershipProvider指定为默认提供程序，或使用Web.config 文件将自定义提供程序的实例指定为https://www.sodocs.net/doc/4610483047.html, 应用程序的默认提供程序。可以使用

Web.config 文件中membership 配置节来为Web 应用程序指定https://www.sodocs.net/doc/4610483047.html, 成员资格配置。可以使用membership 节的providers子节来指定默认提供程序之一以外的成员资格提供程序。

Membership类型公开了以下成员。

3.1.1方法

3.1.2属性

3.1.3事件

3.2MembershipUser 类

公开和更新成员资格数据存储区中的成员资格用户信息。属于一个用户实例，在使用前需要实例化。

MembershipUser对象用于表示成员资格数据存储区中的单个成员资格用户。该对象公开有关成员资格用户的信息（如电子邮件地址），并为成员资格用户提供功能（如更改或重置其密码的功能）。

MembershipUser对象可由GetUser和CreateUser方法返回，或是作为GetAllUsers、FindUsersByName和FindUsersByEmail方法返回的MembershipUserCollection的一部分返回。

当要更新现有成员资格用户的信息时，UpdateUser方法需要MembershipUser对象。

公开和更新成员资格数据存储区中的成员资格用户信息。

MembershipUser类型公开了以下成员。

3.2.1构造函数

3.2.2方法

3.2.3属性

3.3Roles类

管理角色中的用户成员资格，以便在https://www.sodocs.net/doc/4610483047.html, 应用程序中进行授权检查。无法继承此类。

命名空间： System.Web.Security

利用https://www.sodocs.net/doc/4610483047.html, 角色管理，您能够根据用户组（称为角色）来管理应用程序的授权。通过向用户分配角色，您可以根据角色来控制对您的Web 应用程序的不同部分或功能的访问，而无需通过根据用户名指定授权（或除了这样做之外）来控制此类访问。例如，某个员工应用程序可能具有如“经理”、“员工”、“董事”等角色，而且为每个角色都指定了不同的权限。

Roles类型公开了以下成员。

3.3.1方法

3.3.2属性

3.4FormsAuthentication 类

为Web 应用程序管理Forms 身份验证服务。无法继承此类。

命名空间： System.Web.Security

Forms 身份验证使不要求Windows 身份验证的Web 应用程序可以进行用户和密码验证。使用Forms 身份验证时，用户信息存储在外部数据源中，例如Membership数据库，或存储在应用程序的配置文件中。在用户通过身份验证后，Forms 身份验证即会在Cookie 或URL 中维护一个身份验证票证，这样已通过身份验证的用户就无需在每次请求时都提供凭据了。

可通过将authentication 配置元素的mode属性设置为Forms来启用Forms 身份验证。通过使用authorization 配置元素可要求所有对应用程序的请求均需包含有效的用户身份验证票证，从而拒绝任何未知用户的请求，如下面的示例所示。

复制代码

在上面的示例中，对作为应用程序的一部分的https://www.sodocs.net/doc/4610483047.html, 页的任何请求都需要Forms 身份验证提供的有效用户名。如果用户名不存在，则该请求重定向到所配置的LoginUrl。

FormsAuthentication类提供了相应的方法和属性，您可以在需对用户进行身份验证的应用程序中使用它们。RedirectToLoginPage方法将浏览器重定向到已配置的LoginUrl，以便用户可以登录到应用程序。RedirectFromLoginPage方法将通过身份验证的用户重定向回最初请求的受保护URL 或DefaultUrl。如果需要，还可以使用其他方法来管理Forms 身份验证票证。

FormsAuthentication类型公开了以下成员。

3.4.1构造函数

名称说明

FormsAuthentication 初始化FormsAuthentication 类的新实例。

3.4.2方法

3.4.3属性

4操作实例

4.1搭建环境

4.2配置工具

4.3代码编程

4.3.1创建用户

4.3.2删除用户

4.3.3创建角色

4.3.4删除角色

4.3.5将用户添加至角色

4.3.6将用户从角色移除

4.3.7为角色添加用户

4.3.8判断用户是否属于角色

4.3.9验证用户登录是否

4.3.10修改用户密码

4.4为用户和角色设置访问权限

4.4.1配置站点地图提供程序

4.4.2配置工具设置

4.4.3配置文件设置

4.5测试

公司数据安全管理规范

******有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理，保障公司各项数据的安全准确，特制定本制度。 1、信息部是公司信息系统的管理部门，负责全公司信息化设备的管理、ERP系统的正常运行，基本参数的设置，系统用户权限的划分管理，系统数据的提取变更。信息部门负责人为公司信息安全第一责任人，负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作，用户授权和权限管理采取保守原则，选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则： （1）为各部门各门店管理人员统一发放系统登陆账号，账号专人专用，账号下发后需立即更改初始密码，严禁使用他人工号或泄露密码。一经发现处以500元每次罚款，并永久性取消登录权限，由此造成的后果个人承担责任；情节严重的予以辞退。 （2）公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。（3）如需信息部配合提取系统销售数据或者需变更工号操作权限，需填写业务联系函写明原因并由部门负责人和执行副总签字，否则信息部不予配合。（4）人事部每月应将主管级以上人员离职名单传递信息中心，信息部接到通知后立即给予权限终止，防止数据外泄。 （5）公司员工计算机内涉及公司机密数据的，应给计算机设定开机密码并把文件进行加密处理，非工作需要不得以任何形式进行转移，不得随便拷贝到移动存储设备。 （6）离开原工作岗位的员工，各部门负责人需把其工作资料进行回收保存，并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的，电脑保留原岗位不变。 （7）公司内部经信息部确认需要送外维修的电脑，送修前需联系信息部拆除电脑的存储设备并由信息部保管，维修好后再联系信息部进行安装。 （8）对于公司连接外网的电脑，不得浏览来历不明的网站或下载不明网站的程

XXXX公司信息系统用户帐号及权限管理制度

XXXX集团信息系统用户帐号及权限管理制度 管理要求 1．使用信息系统的各业务部门各岗位人员，除公司有特殊规定外，皆按本制度执行。 2．职责：网络管理部门负责用户的创建和权限分配，各业务部门根据各自岗位需求向信息系统管理部门提出用户创建需求和权限分配需求。 3．信息系统用户的管理：包括系统用户帐号的命名建立，用户帐号及相应权限的增加、修改，用户帐号及相应权限的终止，用户密码的修改，用户帐号及相应权限的锁定和解锁；用户帐号及相应权限的安全管理等。 4．信息系统管理员（以下简称系统管理员）在系统中不得任意增加、修改、删除用户帐号及相应权限，必须根据《XXXX集团信息系统申请表》和相关领导签字审批才能进行相应操作，并将相关文档留档备存。 5．用户帐号及相应权限的持有人，必须保证用户帐号及相应权限和用户密码的保密和安全，不得对外泄漏，防止非此用户帐号的所有者登陆系统。 6．公司用户管理员要定期检查系统内用户使用情况，防止非法授权用户恶意登陆系统，保证系统的安全。 7．帐号持有人要对其在系统内的行为负责，各部门领导要对本单位或本部门用户的行为负责。 8．用户帐号的命名由系统管理员执行，用户帐号命名应遵循易用性、最小重叠机率为用户帐号的命名规则，不得随意命名。 9.对用户申请表等相关文档各申请部门的用户管理员必须存档，不得遗失。 页脚内容1

增加、修改用户帐号及相应权限的管理 10.信息系统中增加、修改用户帐号及相应流程规范： 10.1 新增员工：新员需要使用公司内部通讯系统，首先填写《XXXX集团信息系统申请表》ERP系统用户申请填写《XXXX集团公司ERP权限申请表》,由主管部门负责人核定审批、人事部复核审批，交由网络部留档备存、执行相应操作。 10.2 系统组织结构调整：部门新建、合并、分离、撤消，组织结构需求变更的。需由部门主管领导提出书面说明文件，报人事部审核，各分公司总经理复核，交由网络部留档备存、执行相应操作。 11.用户帐号及相应权限的增加、修改，须由申请人填写《XXXX集团信息系统申请表》、《XXXX集团公司ERP权限申请表》，所在部门负责人审批，网络安全部门负责人审批后交由系统管理员留档备存、执行相应操作。 用户帐号及相应权限终止的管理 12.用户帐号及相应权限的终止应符合：①用户帐号持有人工作调动，②用户帐号持有人辞职。 13.用户帐户持有人因工作调动需要终止帐户的，自相应调动通知公布后。由所属公司人事部门以书面方式通知网络管理部门，网络管理部门负责人审批后交由系统管理员留档备存、执行删除或冻结操作。 14.对于辞职人员用户帐号及相应权限终止，离职人员办理离职申请表，其它部门手续办理完结签字后，转由网络部及时清理该员工各系统帐号。 用户帐号的安全管理 15.用户帐号持有人忘记密码必须填写《XXXX集团信息系统申请表》，所在部门负责人审批，网络管理部门负责人审批后经系统管理员执行相应的操作。 页脚内容2

信息系统用户和权限管理制度

物流信息系统用户和权限管理制度 第一章总则 第一条为加强物流信息系统用户账号和权限的规范化管理,确保物流信息系统安全、有序、稳定运行，防范应用风险，杜绝公司商业数据外泄，特制定本制度。 第二条物流信息系统用户、角色、权限的划分和制定，以人力资源部对部门职能定位和各业务部门内部分工为依据。 第三条物流信息系统须指定系统管理员负责用户和权限管理的具体操作。 第四条物流信息系统用户和权限管理的基本原则是： （一）账号申请或权限修改，由使用人报本部门分管副总和总经理审核。 （二）用户、权限和口令设置、U盾由系统管理员全面负责。 （三）用户、权限和口令管理、U盾必须作为物流信息系统登陆的强制性技术标准或要求。 （四）用户采用实名制管理模式。 （五）用户必须使用自己的U盾和密码登陆系统，严禁挪用、转借他人。 第二章管理职责 第五条超级系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第八条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有

权限实施相应业务信息管理活动。 第九条用户职责 用户须严格管理自己用户名和口令以及U盾，遵守保密性原则，除获得授权或另有规定外，不能将收集的数据信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息，即实名制登记。 第三章用户管理 第十条用户申请和创建 （一）申请人在《用户账号申请和变更表》上填写基本情况，提交所在部门分管副总； （二）所在部门分管副总确认申请业务的用户身份权限，并在《用户账号申请和变更表》上签字确认，提交总经理审核。 （三）总经理审核并在《用户账号申请和变更表》上签字确认。 （四）申请人持签字确认的《用户账号申请和变更表》到行政后勤部领取U盾（修改权限不需领取U盾）。 （五）申请人持签字确认的《用户账号申请和变更表》和U盾到信息中心,创建用户或者变更权限。 （六）系统管理员和业务管理员将创建的用户名、口令告知申请人本人，并要求申请人及时变更口令； （七）系统管理员和业务管理员将《用户账号申请和变更表》存档管理。 第十一条用户变更和停用 （一）用户因工作岗位变动，调动、离职等原因导致使用权限发生变化或需要注销其账号时，应填写《用户账号申请和变更表》，按照用户账号停用的相关流程办理，由系统管理员和业务管理员对其权限进行修改或注销。 （二）行政后勤部主管确认此业务用户功能权限改变原因或离职，并在《用户账号申请和变更表》上签字确认； （三）用户归属部门主管确认此业务用户功能权限改变原因或离职，并

管理信息系统权限管理制度(定稿)

XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作，明确不同权限系统用户的管理职责，结合公司实际情况，特制定本管理制度。 第二条定义 （一）管理信息系统：包含已经上线的财务会计、管理会计、供应链、生产制造、CRM（客户关系管理）、决策管理和后续上线的所有管理信息系统模块。 （二）权限：在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 （三）操作员：上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司（以下简称XXXX、公司）、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司，应结合本公司实际情况，参照本制度制定相应管理制度，报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护，同时也是管理信息系统用户权限的归口管理部门，主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外，其他使用管理信息系统的部门，均为管理信息系统的操作部门，使用人员为各岗位操作员。

具体岗位职责如下： （一）负责岗位信息系统权限的申请及使用，并对权限申请后形成的业务结果负责。 （二）负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派，并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份，并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况，当需要新增/变更/注销管理信息系统的用户权限时，可由操作员本人或所在部门领导指派的专人，填写《ERP权限新增/变更/注销申请表》（参附件1）。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交，经所在部门领导、分管领导及质量信息部部门领导审批同意后，报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后，填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后，系统管理员将在两个工作日内完成权限新增/变更/注销工作，并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后，须在三个工作日之内完成系统权限测试，如有问题可通过电子邮件（包含问题的文字说明及截图）反馈到系统管理员。系统管理员应及时给予解决，并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的，系统管理员将视此权限设置正确，后续如有问题将按照用户权限申请流程处理。

信息系统用户帐号和角色权限管理流程

信息系统用户帐号与角色权限管理流程 一、目的 碧桂园的信息系统已经在集团下下各公司推广应用，为了确保公司各应用信息系统安全、有序、稳定运行，我们需要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。 二、适用范围 适用于公司应用信息系统和信息服务，包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、数据管理平台等。 三、术语和定义 用户：被授权使用或负责维护应用信息系统的人员。 用户帐号：在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息，包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 权限：允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 角色：应用信息系统中用于描述用户权限特征的权限类别名称。 四、用户管理 （一）用户分类 1.系统管理员：系统管理员主要负责应用信息系统中的系统参数配置，用户帐号开通与维护管理、设定角 色与权限关系，维护公司组织机构代码和物品编码等基础资料。 2.普通用户：指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户，拥有在被授权范围内 登陆和使用应用信息系统的权限。 （二）用户角色与权限关系 1.应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系，对用户帐号授予某个角色 或多个角色的组合来实现的，一个角色对应一定的权限（即应用信息系统中允许操作某功能点或功能点 集合的权力），一个用户帐号可通过被授予多个角色而获得多种操作权限。 2.由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同，因此对角色的设置以及同样的角 色在不同应用信息系统中所匹配的具体权限范围可能存在差异，所以每个应用信息系统都需要在遵循《应 用信息系统角色与权限设置规范》基础上，分别制定适用于本系统的《碧桂园应用信息系统角色与权限

一种通用的应用系统权限管理的实现方法

收稿日期：2000-10-09 基金项目：国家863/CIMS 并行工程主题资助项目（863-511-930-009） 一种通用的应用系统权限管理的实现方法! 朱建江，王宁生 （南京航空航天大学CIMS 工程研究中心，江苏南京210016） 摘要：从数据库访问权限和应用层各个子系统访问权限两个方面，介绍了一种用于管理信息系统的通用权限管理 方法，并给出了相应的功能模型（DFD ） 和信息模型（ER 图）及部分程序设计代码。关键词：系统权限管理；管理信息系统 中图分类号：TP309.2文献标识码：A 文章编号：1001-3695（2001）07-0062-02 A General Method for the Right Management of Application System ZHU Jian-jiang ，WANG Ning-sheng （CIMS Research Center ，Nanjing Uniuersity of Aeronautics and Astro nautics ，Nanjing Jiangsu 210016，China ） Abstract ：From the two aspect of the accessing right of database and sub-system ，a generaI right management method for management information sys-tem is presented ，and the correspondent function modeI （DFD ），information modeI （ER diagram ）and a part of program code are aIso given .Key words ：System right management ；Management information system !前言一套管理信息系统设计、开发的最后一个步骤就是应用系统的权限管理。所谓权限管理就是应用系统的不同用户，拥有与其角色相配的对特定几个应用子系统（或模块）的不同的操作权限，如对于某模块，系统超级用户拥有“插入、修改、删除、查询”等权限，而对于普通用户仅拥有“查询”权限。应用系统的权限管理从功能模型和信息模型的角度可分为两个层次，即功能层的访问权限管理和数据库访问层的权限管理。目前多数管理软件仅做到应用系统功能层上的权限控制，而没有做到数据库访问层的权限控制。功能层上的权限管理主要有两种，一种是仅控制到应用子系统，即不同的用户可以访问不同的应用子系统的“窗体”，而没有控制到“窗体”上的各个功能菜单。这种做法比较简单，仅在管理信息系统技术发展的初期或非常简单的应用系统中采用，目前多数已经弃之不用。另一种是控制到应用子系统“窗体”上的菜单层，即拥有不同角色的不同用户可以访问不同的应用子系统“窗体”，而且对于窗体上的不同功能菜单拥有不同的权限。这种处理方式是当前系统权限管理技术的主流。然而这种处理方式并没有控制到后台数据库基本表；即什么角色的用户可以对哪些基本表拥有哪几种操作权限。由于仅控制到功能层，并没有给软件用户的系统管理员来说提供一个分配数据库基本表的访问控制界面，系统管理员设置角色权限，给系统用户分配 角色等操作不得不通过手工写SOL 语句来实现， 因此对于系统管理员来说很不方便，尤其是当系统管理员需要分配多个角色、用户时。本文提出一种通用的管理到应用系统功能层和数据库访问层的权限管理方法，对于功能层管理到“窗体”的菜单层，对于数据库访问层管理到基本表和基本表的“增加、删除、修改、查询”等基本操作权限。 " 应用系统权限管理的功能模型设计 ［1］ 功能模型的表达采用数据流程图—Data FIow Diagram （DFD ）。应用系统的权限管理从功能上可分为权限管理基本信息维护、角色管理和用户管理三个处理过程，其相关的数据流、数据存储以及输入、输出关系如图1 所示。 图1应用系统权限管理功能模型（DFD 图） #应用系统权限管理的信息模型设计 信息模型的表达采用“实体—关系图（ER 图）”。在工程 领域，信息模型的设计应满足“三范式”，即非键属性既不函数 依赖于主键，也不传递依赖于主键［2］。在权限管理的信息模 型设计之前首先进行实体的标识。对应用系统功能层和数据库访问层进行权限管理的信息模型应包含以下实体：用户、角色、数据库访问权限、基本表、应用子系统、功能模块访问权限、模块菜单。 系统权限管理信息模型分为两个部分（见图2）：对数据库访问权限的管理和对应用系统功能层的访问权限管理。数据库访问权限的管理包括用户表、角色表、数据库访问权限表、数据库基本表。其中用户表用于存储应用系统的所有用户；角色表用于存储所有角色；数据库基本表用于存储应用系统中的所有数据库基本表；对于一个特定的角色可访问多个应用系统的数据库基本表；一个数据库基本表可被多个角色访问，即角色与数据库基本表之间是“多对多”的关系。在数据库设计中这种“多对多”关系是“非确定的”，必须 予以消除，因此引入“中间实体”、“数据库访问权限表”进行处理。给一个角色分配了权限后，就可将这个角色分配给多个用户，角色表和用户表之间是“一对多”的关系。

(完整版)应用系统权限及数据管理安全管理办法

用友系统权限及数据管理办法 一、总则 为了保障在用友系统使用及管理过程中因不安全的操作而导致的数据泄漏、被盗取等安全事件的发生，特制定本办法。 二、本管理办法仅适用于公司全员。 三、职责与分工 1、职能部门： （1）公司权限负责人：总经理 1）负责签批部门间的权限的授予； 2）负责对用友系统用户帐号及密码安全进行不定期抽查； （2）系统管理员：财务负责人 1）用友系统管理由财务部负责，除总经理及财务部指定的系统管理员外任何部门不得担任系统管理员一职。 2）负责帐号、各岗位权限分配、系统维护、各模块使用情况的安全运行监管。 3）负责根据《用友用户新增\变更\注销请示单》在系统中设置用户权限； 4）负责维护本单位用户和权限清单； 5）遵守职业道德，接受总经理权限负责人的抽查。 （3）各岗位系统操作员：负责所使用模块的权限管理和该模块的数据安全； A.采购部负责有关产品基础信息定义、系统采购模块使用。 B.销售部负责系统销售模块使用。 C.物流部负责仓库管理权限和销售单打印、查询权限； 2、用户帐号: 登录用友系统需要有用户帐号，用户帐号是由财务部系统管理员根据员工工作岗位员工的工作性质规定下进行系统岗位功能、权限分配和设置的。 （1）密码设置及更改： 1）第一次登录用友系统时，用户必须改变事先由管理员分配的初始密码； 2）系统管理员及操作员密码每三个月必须变更一次，密码不少于6位。 3、帐号与密码保管： 系统使用人必须保证用户ID和用户密码的保密和安全，不得对外泄漏，用户帐号不可转借他人使用；

3、责任承担及注意事项： （1）帐号的对应的使用者应对该帐号在系统中所做的操作及结果负全部责任。（2）系统管理员应该每天检查系统日志，对发现的非法登录、访问等行为。（3）管理帐号及管理权限的增加、删除必须经总经理书面批准，任何人不得任意增加、修改、删除。 （4）任何人除所负责权限岗位以外的信息数据不得随意导出：如客户资料、产品进价、销售数据等，如有需要需提交书面申请交总经理审批后统一由财务部导出打印，并建立打印档案。 （5）非财务部指定的系统管理人员未经许任何人不得擅自操作和对运行系统及各种设置进行更改。 四、用户申请\变更\注销流 （1）由用户本人提出申请（填写《请示单》）经部门主管审核交财务部并报总经理审核批示使用权限； （2）财务部系统管理员根据经总经理审批《请示单》在系统中进行权限设置后通知申请人； （3）申请人应在收到通知的当天修改初始口令。 （4）当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时，应填写书面《请示单》经总经理审批后系统管理员应及时进行用户的变更、暂停或注销权限。 三、数据备份及安全管理 1、服务器数据库要设置每日自动备份，每周五财务部应进行一次介质数据的备份并异地存放，确保系统一旦发生故障时能够快速恢复，备份数据不得更改。 2、系统管理人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。 3、服务器是用友系统的关键设备，不得随意调试、挪作它用。 4、系统操作时，外来人员不得随意操作、靠近观看。对外来人员不合理要求应婉拒，外来人员不得未经同意不得查看、操作系统。 二、计算机病毒防范制度 1、系统管理人员应有较强的病毒防范意识，定期进行病毒检测。 2、不得在服务器上安装新软件，若确为需要安装，安装前应进行病毒例行检测。 3、经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。 4、定期进行电脑杀毒，对电脑中毒后在各种杀毒办法无效后，须重新对电脑格

中国免疫规划信息管理系统用户与权限管理规范

中国免疫规划信息管理系统用户与权限管理规范 一、总则 （一）目的 加强中国免疫规划信息管理系统管理，规范系统用户与权限，保障免疫规划信息管理系统的安全运行，特制定本规范。 （二）依据 《计算机信息系统安全保护条例》 《疫苗流通和预防接种管理条例》 《卫生系统电子认证服务管理办法（试行）》 《预防接种工作规范》 《儿童预防接种信息报告管理工作规范（试行）》 《全国疑似预防接种异常反应监测方案》 《中国疾病预防控制中心计算机网络安全管理办法（试行）》 （三）适用范围 “中国免疫规划信息管理系统”包括预防接种、疫苗管理、疑似预防接种异常反应、冷链设备4个业务管理子系统和综合管理系统。 本规范适用于使用“中国免疫规划信息管理系统”的所有机构和用户，包括各级卫生计生行政部门、疾病预防控制机构、乡级防保组织和预防接种单位、药品不良反应监测机构及其它有关机构和用户。 二、用户管理 （一）用户类型

1、系统管理员 国家、省、市、县级疾病预防控制机构设立系统管理员，授权管理“中国免疫规划信息管理系统”用户，是履行用户管理与服务职能的唯一责任人。 2、审计管理员 国家、省、市、县级疾病预防控制机构设立审计管理员，授权“中国免疫规划信息管理系统”安全审计，是履行系统安全审计的责任人。 3、业务管理员 国家、省、市、县级疾病预防控制机构设立业务管理员，授权分配业务子系统用户权限，是履行所管业务子系统的权限分配、建立角色等职能的责任人。 4、普通用户 各级根据业务需求，由系统管理员建立普通用户，由业务管理员授权，是执行相应业务工作的责任人。 （二）用户职责 1、系统管理员 负责本级的业务管理员、普通用户以及下一级系统管理员的用户账号管理，县级系统管理员还需负责辖区内乡级普通用户的账号管理。包括各类用户的创建、有效性及密码等维护管理，分配业务子系统，为所管用户提供账号使用的操作培训和技术指导等。 2、审计管理员 负责本级及下一级操作安全审计，县级审计管理员还需负责辖区

应用系统的角色、权限分配管理制度

应用系统的角色、权限分配管理制度 第一条、用户权限管理 一、用户类型 1．系统管理员： 为应用系统建立账号及分配权限的用户 2．高级用户： 具有对应用系统内的数据进行查询和修改的用户 3．普通用户： 只对系统内数据有查询功能的用户 二、用户建立 1．建立的原则 （1）不同类型用户的建立应遵循满足其工作需要的原则，而用户的权限分配则应以保障数据直报的高效、准确、安全为原则。 （2）用户的权限分配应尽量使用系统提供的角色划分。如需特殊的操作权限，应在准确理解其各项操作内容的基础上，尽量避免和减少权限相互抵触、交叉及嵌套情况的发生，经调试成功后，再创建相应的角色赋予本级用户或直报用户。 （3）通过对用户进行角色划分，分配报告用户权限，合理限制对个案数据的修改权限，将数据报告与数据利用剥离，即原始数据报告与统计加工后信息利用分开。 （4）系统内所有涉及报告数据的帐户信息均必须采用真实信息，即

实名制登记。 2．建立的程序 （1）用户申请 可由使用部门使用人填写应用系统用户申请表，经单位领导签字批准后，向本单位负责应用的相关部门提出申请。 （2）用户创建 负责应用系统的相关部门在收到用户申请表后，系统管理员根据用户申请的内容和实际的工作范围，为其建立用户帐号并授予相应的角色，再填写用户申请回执表，经部门主管领导签字批准后，反馈给申请单位。 创建用户的步骤：①建立用户帐号；②创建角色；③为角色配置权限； ④将角色授予用户。 第二条、用户安全 一、系统安全 1.用户必须遵守国家法律、单位规章制度，不得参加任何非法组织和发布任何反动言论；严守单位机密，不得对外散布、传播本系统内部信息；不得有诋毁、诽谤、破坏本系统声誉的行为。 2.用户必须按“传染病监测信息应用工作与技术指南”对系统进行操作，尽量做到专人、专机运行使用本系统，并避免使用公共场所（如网吧）的计算机使用应用系统。 3.用户应在运行本系统的计算机上安装杀毒软件、防火墙，定期杀毒；禁止在运行本系统的计算机上安装、运行含有病毒、恶意代码、木马

数据库安全管理

西南石油大学实验报告 一、实验课时：2 二、实验目的 (1) 掌握使用T-SQL语句创建登录帐户的方法。 (2) 掌握使用T-SQL语句创建数据库用户的方法。 (3) 掌握使用T-SQL语句创建数据库角色的方法。 (4) 掌握使用T-SQL语句管理数据库用户权限方法。 三、实验要求 (1) 使用SQL Server 2008查询分析器。 (2) 严格依照操作步骤进行。 四、实验环境 (1) PC机。 (2) SQL Server 2008。 五、实验内容及步骤 注意事项： （1）首先在C盘根目录创建文件夹Bluesky，执行脚本文件“PracticePre-第11章安全管理.sql”，创建数据库BlueSkyDB和表； （2）如何建立“数据库引擎查询”； （3）使用“select user_name()”可查询当前登录账号在当前数据库中的用户名。

TUser3，初始密码均为“123456”。 步骤2 使用TUser1建立一个新的数据库引擎查询，在“可用数据库”下拉列表框中是否能看到并选中BlueSkyDB数据库？为什么？ 可以看到数据库BlueSkyDB但是不能选中打开，因为用户仅仅是能够使用服务器的合法用户，但不能访问数据库

映射为数据库BlueSkyDB的用户，用户名同登录名。 步骤4 再次使用TUser1建立一个新的数据库引擎查询，这次在“可用数据库”下拉列表框中是否能看到并选中BlueSkyDB数据库？为什么？

能够选中BlueSkyDB，因为TUser1已经成为该数据库的合法用户了 步骤5 用TUser1用户在BlueSkyDB数据库中执行下述语句，能否成功？为什么？ SELECT * FROM BOOKS；

系统用户及权限管理制度

系统用户及权限管理制度

航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名；用户ID的主数据的建立；用户ID的增加、修改；用户ID的终止；用户密码的修改；用户ID的锁定和解锁；临时用户的管理；应急用户的管理；用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员（以下简称系统管理员）在系统中不得任意增加、修改、删除用户ID，必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作，并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全，不得对外泄漏，防止非此用户ID的所有者登录系统。

第四条 用户管理员要定期检查系统内用户使用情况，防止非法授权用户恶意登录系统，保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责，各部门领导要对本部门用户的行为负责。 第六条 用户ID的命名由系统管理员执行，用户ID 命名应遵循用户ID的命名规则，不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一，在用户ID发生改变时，用户管理员应及时保证主数据库的更新，并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用 户管理员必须存档，不得遗失。 第九条

公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理 第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一： 1、因工作需要新增或修改用户ID； 2、用户ID持有人改变； 3、用户ID封存、冻结、解冻； 4、单位或部门合并、分离、撤消； 5、岗位重新设置； 6、其他需要增加或修改公司NC-ERP系统中 用户ID的情况。 第十一条 用户ID的增加、修改，须由申请人填写《NC-ERP用户账号申请表》，所在部门主管签字审批后，系统管理员审查并报主管领导审批后执行相应的操作。 第四章用户ID终止的管理

企业级应用系统权限管理办法

企业级应用系统权限管理办法（暂行） 一、目的 为加强企业级应用系统权限管理，保证公司应用系统所涉及各类信息安全，不因系统权限设置发生信息泄密事故，特制定本管理办法。 二、适用范围 本办法适用于公司上线的企业级应用系统。 三、权限设置原则 （一）公司各应用系统权限设置分为“功能权限”和“数据权限”。功能权限指应用系统中为完成某项业务所开发的系统功能，“数据权限”指使用某项功能时可获取的数据范围。 （二）功能权限原则上授予各工作岗位，按照岗位从事的业务范围和职责授予该岗位相应的功能权限，处于该工作岗位的员工自动获得该岗位的功能权限；公司总经理、信息化领导小组组长的功能权限为系统中所有查询、统计类权限；各业务主分管领导功能权限为所主分管各业务部门所拥有的查询、统计类权限合集。 （三）数据权限设置分主分管领导、系统管理员、总部部门、项目经理部分别设置。一般情况下，总经理、信息化领导小组组长、系统管理员数据权限为系统所有数据；主分管领导数据权限为所主分管各业务部门数据权限合集；总部部门数据权限为相应系统功能中所有数据；项目数据权限为本项目数据。 （四）企业级应用系统上线时，应同时完成系统权限分配表的签发工作，系统权限设置以权限分配表为依据。 四、岗位人员设置 （一）应用系统中各岗位人员设置，公司有明确规定的，按照公司规定设置。 （二）应用系统中各岗位人员设置，公司无明确规定的，由各单位申报名单，按申报名单设置。 五、权限管理职责 （一）信息化领导小组组长是信息化系统权限管理最高领导，全面负责信息化系统权限管理工作，负责信息化系统权限分配表的批准、签发。 （二）信息管理室作为企业级信息化系统权限管理的牵头部门，负责指定各应用系统系统管理员；负责制定权限分配表，并根据公司管理需要、系统功能调

网络数据和信息安全管理规范

网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。 术语 本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。 普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

信息系统权限分级管理制度

信息系统权限分级管理制度 为了进一步规范我院的信息系统使用，保障网络信息系统安全，特制定本制度。 一、分级操作原则与级别划分 根据对信息系统安全性的威胁程度，以及各部门对电脑系统的应用需要，进行分级。对我院信息系统操作人员划分为以下级别: 1级：全局管理员，对医院信息化网络享有全面权限的人员。 本级权限由院信息化领导小组授权信息科科长，可对我院信息系统因业务需要开展的新建、部署、维护等各方面工作。 2级：专业管理员，具体包括： 2.1包括软件系统管理员：享有对操作系统及应用系统进行安装调试、修复、应用软件测试、部署、版本控制、文档等职能。 本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。 2.2数据库管理员：享有对数据库系统的操作、备份、调整、测试等权限。 本权限由信息科科长指定专人负责，在1级权限所有人指导与批准下开展工作。 2.3操作员授权管理员：享有对操作系统、数据库系统、应用软件按规定流程设定操作权限的权利 本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。 2.4网络授权管理员：享有对网络设备及网络管理软件的操作、备份、调整、测试等权限。 本权限由信息科赋予指定专人负责，在1级权限所有人指导与批准下开展工作。 3级：字典维护员，对信息系统中包括床位、费用、药剂、材料等基础数据字典按规定进行维护的权限，具体包括： 3.1诊疗维护员：享有对各项医技、治疗、材料等诊疗收费字典按规定进行新增、调价、变更、废止等权限。

本权限由信息科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。 3.2药品维护员：享有对西药、成药、草药等常规字典按规定进行新增、调价、变更、废止等权限 本权限由药剂科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。 3.3其他字典维护员：享有对除诊疗与药品之外的其他字典如床位、患者类别、付费方式等按规定进行新增、变更、废止等权限。 本权限由信息科指定专人负责，经正常手续由2.3级权限所有人进行软件授权后开展工作。 4级：部门管理员，部门主管或指定人员享有因本部门业务需要的部门及管理权限，具体包括： 1）门诊收费管理员：发票管理、重打印由于软件或硬件原因造成的错误单据、部门工作统计与审核等，本权限赋予门诊收费处指定人员。 2）药房、药库管理员：药品库存管理、部门工作审核等，本权限赋予药房及药库指定人员。 3）结账室收费管理员：住院发票及预交金数据管理、重打印由于软件或硬件原因造成的错误单据、部门工作统计与审核等，本权限赋予结账室指定人员。 4)其他部门管理人员：享有对本部门工作的信息系统数据审核、查询等权限的人员，由各部门领导或其指定人员享有。 5级：业务操作员，直接在电脑终端应用系统上进行包括门诊、医技、药剂、住院、护理等相关工作的普通工作人员。 本级人员包括除上述1-4级权限之外的所有电脑应用操作人员。 二、人员授权原则 在为操作人员分配权限时应遵循以下原则： 1）1、2级权限享有人不得同时享有3、4级权限；

最全系统账户权限的管理规范完整版.doc

系统账户权限管理规范 1.目的为规范产业公司系统账户、权限管理，确保各使用单位与权限操作间的有效衔接，防止账户与权限管理失控给公司带来利益损失、经营风险。信息系统帐号的合理配置、有效使用、及时变更、安全保密，特制订本规范。 2.适用范围本规范适用于多公司本部各单位、营销机构。 3.定义 3.1公司：指多媒体产业公司 3.2单位：指公司下属各单位，包含HR中体现为不同人事范围的直属部门、驻外机构。 3.3人事管理：指负责本单位人事信息人员，包括行政机构、驻外分公司人事经理、事业部、生产厂等部门级人事管理岗。 3.4权限管理员：负责本单位信息系统用户集中申请、变更，管理本单位信息系统用户对口的管理人员。包含单位自行开发和管理的信息系统（自行开发系统由所在部门指定系统管理员负责），如营销中心的“ DDS”，研究“ PDM”也是流程申请的维一发起人。 3.5系统管理员：指系统开发、系统配置管理的IT 人员，部分虹信IT 顾问为主。也可根据组织架构授权给某业务单位的相关人员，其负责某系统用户和权限的配置管理者。 3.6 系统流：指每个系统固定的申请、审批流，原则上由系统管理员或权限管理员配置。 4.部门职责 4.1产业公司负责人： 4.1.1.公司信息系统立项、验收等审批工作。 4.1.2.公司信息系统，信息安全的第一责任人。 4.1.3.公司信息系统组织第一责任人 4.2人事部门：

4.2.1负责在人力资源管理系统（以下简称HR 系统）处理人事档案，各单位权限管理员提交的信息系统需求协助。 4.2.2提供各单位的入职、调动、离职信息给信息系统管理部门。 4.2.3协助信息系统部门与人事相关的其它需求。 4.3控制中心： 4.3.1负责发布和制定信息建设规范，并组织通过技术手段或辅助工具管理。 4.3.2负责组织周期性清理各信息系统账户。 4.3.3负责信息系统档案的建立。 4.3.4负责信息系统维护、权限配置、权限审核等相关事宜。 4.3.5 4.4 用户申请部门和使用单位: 4.4.1各单位第一负责人管理本单位员工，各信息系统账户、权限申请、审核并对信息系统安全负责。定期组织相关人员对部门的信息 系统帐号、权限进行清理和检查，申请职责可指定单位专人负责。4.4.2权限管理员作为各单位信息系统申请的唯一发起人。 4.4.3权限管理员协助单位人事向公司人事部提交本单位入职、调动、离职信息。 4.4.4权限管理员负责本单位员工，各信息系统账户的新增、变更、冻结以及对应系统权限的申请工作。 4.4.5权限管理员负责定期核查本单位员工，对应系统账户的权限，若有偏差及时发起变更申请流程。 4.4.6帐号使用者不得将自己权限交由它人使用，部分岗位因工作需要交由同部门使用时，必须保证其安全和保密工作。 4.5 系统操作部门： 4.5.1系统管理员负责对权限管理员提交的申请进行权限操作、审核。 4.5.2系统管理员定期在系统或SSU 上获取信息系统的账号、权限分布表，并进行检查，对发现问题和风险的帐号及时告知相关部门并发起相应流程。

系统权限管理设计方案(优选.)

OA系统权限管理设计方案 l 不同职责的人员，对于系统操作的权限应该是不同的。优秀的业务系统，这是最基本的功能。 l 可以对“组”进行权限分配。对于一个大企业的业务系统来说，如果要求管理员为其下员工逐一分配系统操作权限的话，是件耗时且不够方便的事情。所以，系统中就提出了对“组”进行操作的概念，将权限一致的人员编入同一组，然后对该组进行权限分配。 l 权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用，而不是每开发一套管理系统，就要针对权限管理部分进行重新开发。 l 满足业务系统中的功能权限。传统业务系统中，存在着两种权限管理，其一是功能权限的管理，而另外一种则是资源权限的管理，在不同系统之间，功能权限是可以重用的，而资源权限则不能。 针对OA系统的特点，权限说明： 权限 在系统中，权限通过模块+动作来产生，模块就是整个系统中的一个子模块，可能对应一个菜单，动作也就是整个模块中（在B/S系统中也就是一个页面的所有操作，比如“浏览、添加、修改、删除”等）。将模块与之组合可以产生此模块下的所有权限。 权限组 为了更方便的权限的管理，另将一个模块下的所有权限组合一起，组成一个“权限组”，也就是一个模块管理权限，包括所有基本权限操作。比如一个权限组（用户管理），包括用户的浏览、添加、删除、修改、审核等操作权限，一个权限组也是一个权限。

角色 权限的集合，角色与角色之间属于平级关系，可以将基本权限或权限组添加到一个角色中，用于方便权限的分配。 用户组 将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限（角色），快速使一类人具有相同的权限，来简化对用户授予权限的繁琐性、耗时性。用户组的划分，可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。 通过给某个人赋予权限，有4种方式(参考飞思办公系统) A. 通过职位 a) 在职位中，职位成员的权限继承当前所在职位的权限，对于下级职位拥有的权限不可继承。 b) 实例中：如前台这个职位，对于考勤查询有权限，则可以通过对前台这个职位设置考勤查询的浏览权，使他们有使用这个对象的权限，然后再设置个，考勤查询权（当然也可以不设置，默认能进此模块的就能查询），则所有前台人员都拥有考勤查询的权利。 B. 通过项目 a) 在项目中，项目成员的权限来自于所在项目的权限，他们同样不能继承下级项目的权限，而对于项目组长，他对项目有全权，对下级项目也一样。 b) 实例中：在项目中，项目成员可以对项目中上传文档，查看本项目的文档,可以通过对项目设置一个对于本项目的浏览权来实现进口，这样每个成员能访问这个项目了，再加上项目文档的上传权和查看文档权即可。

数据安全管理规范

业务平台安全管理制度 —数据安全管理规范 XXXXXXXXXXX公司网络运行维护事业部

目录 一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四. 数据信息完整性安全规范 (5) 五. 数据信息保密性安全规范 (6) 5.1密码安全 (6) 5.2密钥安全 (6) 六. 数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)

一. 概述 数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。

二. 数据信息安全管理制度 2.1 数据信息安全存储要求 数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定： ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信 息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无 用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和 应用加密技术时，应符合以下规范： ?必须符合国家有关加密技术的法律法规； ?根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密 钥的长度； ?听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。 ◆机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称 加密。 ◆机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数 字签名时应符合以下规范： ?充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。 ?采取保护公钥完整性的安全措施，例如使用公钥证书； ?确定签名算法的类型、属性以及所用密钥长度； ?用于数字签名的密钥应不同于用来加密内容的密钥。