实验四、用户及权限管理
实验目的
1掌握用户和组的管理
2 掌握文件权限管理
实验内容:
一、以超级用户登录。
1 创建用户lili,设置口令为123456。
查看/etc/passwd文件,解析其字段含义?
查看/etc/group 解析其字段含义?
2 创建一个新组,组名为:network,GID为2000
查看/etc/group,看是否添加组network?
3 修改用户lili的uid为1000,设定用户lili的附加组为network组。
查看/etc/passwd文件,看uid是否发生变化?
查看/etc/group,看组是否发生变化?
4 创建用户nana,基本组属于lili用户组,附加组为network组,设置口令为654321。
查看/etc/passwd文件,查看新添加的信息。
查看/etc/group,查看network组是否添加用户nana。
5 在虚拟终端1登录lili用户,复制/etc/hosts文件到当前用户主目录中,改名为myvi;
查看文件myvi的访问权限
6修改用户主目录中的文件myvi的访问权限设置为:所有者可读、可写、可执行;所属组可读、可执行;其他用户可读;
查看文件myvi的访问权限是否变化
7复制/etc/hosts文件到当前用户主目录中,改名为myfile;
查看文件的所有者和所属组。
8 修改文件myfile的所有者为nana,所属组为network;
查看myfile的所有者和所属组是否变化
9 查看当前有几个用户登录
10 注销lili用户
11 切换到图形界面,暂停用户lili
12 在虚拟终端1再登录lili用户,看是否能登录?
13 再切换到图形界面,恢复用户lili
14 在虚拟终端1再登录lili用户,看是否能登录?
15 再切换到图形界面,删除用户lili,保留其主目录下的文件
16 查看用户lili的主目录的访问权限
17 删除用户nana,并删除其主目录下的文件
二、
某软件开发公司要在linux上进行两个项目的开发。开发人员小张和小李组成一个小组,负责A项目的开发;开发人员小刘和小王组成一个小组,负责B项目的开发;
系统管理员要为这四名开发人员分别建立用户账号,并满足以下要求:
建立目录/pro_a,该目录里面的文件只能由小张和小李两人读取、增加、删除、修改以及执行,其他用户不能对该目录进行任何的访问操作
建立目录/pro_b,该目录里面的文件只能由小刘和小王两人读取、增加、删除、修改以及执
行,其他用户不能对该目录进行任何的访问操作
建立目录/project,该目录里面的文件只能由小刘、小王、小张和小李四人读取、增加、删除、修改以及执行,其他用户只可以该目录进行只读的访问操作。
(提示:先建立组,再添加用户及设置密码,再创建目录,再修改目录的组拥有者,最后修改目录的权限)
XXXX集团信息系统用户帐号及权限管理制度 管理要求 1.使用信息系统的各业务部门各岗位人员,除公司有特殊规定外,皆按本制度执行。 2.职责:网络管理部门负责用户的创建和权限分配,各业务部门根据各自岗位需求向信息系统管理部门提出用户创建需求和权限分配需求。 3.信息系统用户的管理:包括系统用户帐号的命名建立,用户帐号及相应权限的增加、修改,用户帐号及相应权限的终止,用户密码的修改,用户帐号及相应权限的锁定和解锁;用户帐号及相应权限的安全管理等。 4.信息系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户帐号及相应权限,必须根据《XXXX集团信息系统申请表》和相关领导签字审批才能进行相应操作,并将相关文档留档备存。 5.用户帐号及相应权限的持有人,必须保证用户帐号及相应权限和用户密码的保密和安全,不得对外泄漏,防止非此用户帐号的所有者登陆系统。 6.公司用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登陆系统,保证系统的安全。 7.帐号持有人要对其在系统内的行为负责,各部门领导要对本单位或本部门用户的行为负责。 8.用户帐号的命名由系统管理员执行,用户帐号命名应遵循易用性、最小重叠机率为用户帐号的命名规则,不得随意命名。 9.对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 页脚内容1
增加、修改用户帐号及相应权限的管理 10.信息系统中增加、修改用户帐号及相应流程规范: 10.1 新增员工:新员需要使用公司内部通讯系统,首先填写《XXXX集团信息系统申请表》ERP系统用户申请填写《XXXX集团公司ERP权限申请表》,由主管部门负责人核定审批、人事部复核审批,交由网络部留档备存、执行相应操作。 10.2 系统组织结构调整:部门新建、合并、分离、撤消,组织结构需求变更的。需由部门主管领导提出书面说明文件,报人事部审核,各分公司总经理复核,交由网络部留档备存、执行相应操作。 11.用户帐号及相应权限的增加、修改,须由申请人填写《XXXX集团信息系统申请表》、《XXXX集团公司ERP权限申请表》,所在部门负责人审批,网络安全部门负责人审批后交由系统管理员留档备存、执行相应操作。 用户帐号及相应权限终止的管理 12.用户帐号及相应权限的终止应符合:①用户帐号持有人工作调动,②用户帐号持有人辞职。 13.用户帐户持有人因工作调动需要终止帐户的,自相应调动通知公布后。由所属公司人事部门以书面方式通知网络管理部门,网络管理部门负责人审批后交由系统管理员留档备存、执行删除或冻结操作。 14.对于辞职人员用户帐号及相应权限终止,离职人员办理离职申请表,其它部门手续办理完结签字后,转由网络部及时清理该员工各系统帐号。 用户帐号的安全管理 15.用户帐号持有人忘记密码必须填写《XXXX集团信息系统申请表》,所在部门负责人审批,网络管理部门负责人审批后经系统管理员执行相应的操作。 页脚内容2
实验7 用户管理和密码管理 1 实验目的 1、通过实验掌握用户和组的管理命令。 2、了解与用户和组管理相关的文件。 2 实验环境 VMware中已经安装好CentOS6.2版本。 3 实验原理或背景知识 3.1 用户管理命令 用户管理的命令主要有3个,即useradd、userdel和usermod,分别用于用户的建立、用户的删除和用户属性的修改。它们的详细说明可参见教材P73~P74或查看帮助手册。 3.2 组管理命令 组管理命令主要有groupadd、groupdel和groupmod等,分别用于组的建立、组的删除和组的属性修改。它们的详细说明可参见教材P75或查看帮助手册。 3.3 密码管理 密码管理的命令是passwd和chage,passwd使用可参见教材P76或查看帮助手册,chage 的使用可参见man手册。 3.4 与用户管理相关的文件 与用户管理相关的文件有/etc/passwd、/etc/shadow、/etc/group、/etc/login.defs、/etc/default/useradd等,用于对用户设置和登录项目进行控制。这些文件的说明可参见教材。 4 实验任务 1、使用useradd、userdel、usermod、passwd、groupadd、groupdel等命令建立用户和
组,删除用户和组,修改用户或组的属性,将用户添加进入组或者从组中删除。 2、通过修改管理文件达到管理用户或组的目的。 5 实验步骤 练习1:使用命令进行用户帐号的管理操作 1、创建一个用户,用户名为Tom,描述信息为tommy,用户组为Tom,登录shell为 /bin/csh,登录主目录为/home/tom_office,用户ID为3600,帐号过期日期为2010处10月8号。 2、将用户帐号名由Tom改为Tommy。 3、为用户Tommy设置密码。 4、将用户帐号Tommy的帐号过期日期设为2010年9月30日,密码的最大生存期设 为100天,密码过期前10天起开始提醒用户。 练习2:使用命令进行用户组帐号的管理操作 5、创建一个GID为506,组名为company的用户组帐号。 6、创建用户Tom、employee1、employee2。 7、指定用户帐号Tom为用户组company的组管理员。 转换到用户帐户Tom登录,将用户employee1、employee2加入到组company中。 8、查看登录到系统的用户有哪些,再给这些用户发个消息通知他们你将在10分钟后关机。 6 实验总结 总结管理用户和组的命令有哪些?各有什么作用?
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
系统账户权限管理规范 1.目的 为规范产业公司系统账户、权限管理,确保各使用单位与权限操作间的有效衔接,防止账户与权限管理失控给公司带来利益损失、经营风险。信息系统帐号的合理配置、有效使用、及时变更、安全保密,特制订本规范。 2.适用范围 本规范适用于多公司本部各单位、营销机构。 3.定义 3.1公司:指多媒体产业公司 3.2单位:指公司下属各单位,包含HR中体现为不同人事范围的直属部门、驻外机构。 3.3人事管理:指负责本单位人事信息人员,包括行政机构、驻外分公司人事经理、事业部、生产厂等部门级人事管理岗。 3.4权限管理员:负责本单位信息系统用户集中申请、变更,管理本单位信息系统用户对口的管理人员。包含单位自行开发和管理的信息系统(自行开发系统由所在部门指定系统管理员负责),如营销中心的“DDS”,研究“PDM”也是流程申请的维一发起人。 3.5系统管理员:指系统开发、系统配置管理的IT人员,部分虹信IT顾问为主。也可根据组织架构授权给某业务单位的相关人员,其负责某系统用户和权限的配置管理者。 3.6系统流:指每个系统固定的申请、审批流,原则上由系统管理员或权限管理员配置。 4.部门职责 4.1产业公司负责人: 4.1.1.公司信息系统立项、验收等审批工作。 4.1.2.公司信息系统,信息安全的第一责任人。 4.1.3.公司信息系统组织第一责任人
4.2人事部门: 4.2.1负责在人力资源管理系统(以下简称HR系统)处理人事档案,各单位权限管理员提交的信息系统需求协助。 4.2.2提供各单位的入职、调动、离职信息给信息系统管理部门。 4.2.3协助信息系统部门与人事相关的其它需求。 4.3控制中心: 4.3.1负责发布和制定信息建设规范,并组织通过技术手段或辅助工具管理。4.3.2负责组织周期性清理各信息系统账户。 4.3.3负责信息系统档案的建立。 4.3.4负责信息系统维护、权限配置、权限审核等相关事宜。 4.3.5 4.4用户申请部门和使用单位: 4.4.1各单位第一负责人管理本单位员工,各信息系统账户、权限申请、审核并对信息系统安全负责。定期组织相关人员对部门的信息系统帐号、权限进行清理和检查,申请职责可指定单位专人负责。 4.4.2权限管理员作为各单位信息系统申请的唯一发起人。 4.4.3权限管理员协助单位人事向公司人事部提交本单位入职、调动、离职信息。 4.4.4权限管理员负责本单位员工,各信息系统账户的新增、变更、冻结以及对应系统权限的申请工作。 4.4.5权限管理员负责定期核查本单位员工,对应系统账户的权限,若有偏差及时发起变更申请流程。 4.4.6帐号使用者不得将自己权限交由它人使用,部分岗位因工作需要交由同部门使用时,必须保证其安全和保密工作。 4.5系统操作部门: 4.5.1系统管理员负责对权限管理员提交的申请进行权限操作、审核。 4.5.2系统管理员定期在系统或SSU上获取信息系统的账号、权限分布表,并进行检查,对发现问题和风险的帐号及时告知相关部门并发起相应流程。 4.5.3系统管理员负责对系统故障进行处理或提交集团。 4.5.4系统管理员负责对系统操作手册的解释和编制工作。
信息系统用户帐号与角色权限管理流程 一、目的 碧桂园的信息系统已经在集团下下各公司推广应用,为了确保公司各应用信息系统安全、有序、稳定运行,我们需要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。 二、适用范围 适用于公司应用信息系统和信息服务,包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、数据管理平台等。 三、术语和定义 用户:被授权使用或负责维护应用信息系统的人员。 用户帐号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 角色:应用信息系统中用于描述用户权限特征的权限类别名称。 四、用户管理 (一)用户分类 1.系统管理员:系统管理员主要负责应用信息系统中的系统参数配置,用户帐号开通与维护管理、设定角 色与权限关系,维护公司组织机构代码和物品编码等基础资料。 2.普通用户:指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内 登陆和使用应用信息系统的权限。 (二)用户角色与权限关系 1.应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户帐号授予某个角色 或多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点 集合的权力),一个用户帐号可通过被授予多个角色而获得多种操作权限。 2.由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角 色在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统都需要在遵循《应 用信息系统角色与权限设置规范》基础上,分别制定适用于本系统的《碧桂园应用信息系统角色与权限 关系对照表》(表样见附表1)。具体详细各系统角色与权限关系表以各系统公布为准。 五、用户帐号实名制注册管理
信息系统用户及口令管理办法 第一章总则 第一条目的:为规避风险,杜绝安全隐患,进一步规范XX银行(以下简称“我行”)生产系统、测试环境和开发环境的用户及口令管理,特订定本办法。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行及所辖分、支行。 第四条定义 (一)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务、外币业务、大小额支付、交换中心、银联前置等银行对外营业的各种核心业务系统。 (二)管理信息系统:指我行从事日常办公及信息管理的计算机网络系统,具体包括办公自动化系统、信贷管理、人力资源管理、风险管理平台等用来进行内部管理的应用软件系统。 (三)生产系统:包括生产业务系统和管理信息系统。 (四)开发环境:指我行所有进行开发的系统环境。 (五)测试环境:指我行所有进行测试的系统环境。 (六)系统管理员:我行科技信息部各系统硬件及软件的系统管理人员。 (七)数据库管理员:我行科技信息部各系统的数据库管理人员。 (八)应用系统管理员:我行科技信息部各系统的应用维护人员。 (九)测试人员:我行各测试系统的测试人员。 (十)开发人员:我行各应用系统的开发人员。 第五条遵循原则 (一)预防性原则:遵循以预防为主、防患于未然的原则,预防案件、事故的发生。 (二)可审计性原则:口令的过程必须保留痕迹,可被审计或追溯。
(三)有限授权原则:对任何人都不能授予过度的、不受监督和制约的权限。 (四)分离制约原则:每一次使用生产系统口令,都必须有两人同时参与,由双人分段管理口令。 (五)职责不相容原则:对不相容职责进行岗位分离。 (六)监督制约原则:针对口令的使用及记录,建立相应的监督检查机制。 第二章用户管理要求 第六条对于每个系统,应根据职责不相容原则,建立权责分离的业务矩阵表,定义系统不同用户组及其访问权限,包括终端用户、系统开发人员、系统管理员、应用系统管理员等用户组。生产系统用户按照“知所必需”的存取控制原则,填写《用户权限申请表》,相关部门负责人审批通过后由系统管理人员操作。 第七条用户账号必须由运行维护中心负责人和系统管理员进行检查,确保用户不会被赋予互相冲突的权限。以下职责互相不相容,且应由不同人员担任: (一)系统开发 (二)测试 (三)系统运行维护管理 (四)系统安全检查 第八条对于每个生产系统,系统管理员、数据库管理员及应用系统管理员的授权必须由IT管理层审批,活动日志必须由信息定期审阅。应用系统管理员根据业务部门要求,维护用户权限并定期生成系统用户权限清单,交相应业务部门负责人审批确认,对于发现的不恰当权限及时修正。系统管理员维护操作系统的用户权限并定期生成用户权限清单,交部门负责人审批确定,对于发现的不恰当权限及时修正。 第九条禁止开发人员在正常情况下进入生产系统。只有在得到管理层批准执行紧急修复任务时,开发人员才能在运行维护中心的监控下临时进入生产系统,所有的紧急修复活动都应立即进行记录和审核。
信息系统用户和权限管理制度;第一章总则;第一条为加强信息系统用户账号和权限的规范化管理,;第二条本制度适用于场建设和管理的、基于角色控制和;法设计的各型信息系统,以及以用户口令方式登录的网;网站系统等;第三条信息系统用户、角色、权限的划分和制定,以人;第四条场协同办公系统用户和权限管理由场办公室负责;第五条信息系统用户和权限管理的基本原则是:;(一)用户、权 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方 法设计的各型信息系统,以及以用户口令方式登录的网络设备、 网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第七条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
用户权限管理制度 1、为了适应网络管理的需要,明确网络操作权限,确保网络安全稳定的运行,特制定本制度; 2、网络使用和征管软件的用户权限设置由各单位的网络管理员负责,其他任何人不得进行权限设置; 3、必须对服务器超级用户Administrator和数据库超级用户Sa 进行密码设置,以防止非授权用户对网络和数据库进行非法操作; 4、设置密码长度必须大于8位,必须由字母和数字混合组成,并按季度定期更改; 5、建立密码登记卡,记载密码的变更情况,密码登记卡由网络管理员在每次更改密码后认真填写更改记录并将其封存好,交由办公室放入金库内保存,以防止密码遗忘造成损失; 6、如发生上级网络管理人员需要超级用户权限对网络和数据库进行操作的情况,网络管理人员必须对此操作进行详细记录,并在操作后及时更改超级用户密码; 7、税收征管软件的用户权限必须由各单位的网络管理员设置,用户必须使用自己的用户名登录软件,程序将按用户登录名记载用户所做的操作,并以此确定责任。每个用户必须自己输入和保管密码,如密码泄密,造成冒名登录的,责任由用户自负; 8、在征管软件的使用中,网络管理员本人要建立自己的管理用户名,并赋予包括“系统维护”在内的全部控制权限,其他用户一
律不再赋予“系统维护”权限; 9、网络管理员在建立征管软件管理用户名后,要将0000000用户在系统维护中删除,0000000用户由市局保留使用,管理用户的密码设置和保存比照超级用户密码进行管理; 10、网络管理员要严格执行本制度的规定,做好权限设置和密码保密工作,如因工作失职使密码泄密,造成权限失控、数据遗失等严重后果的,其责任由网络管理员自负。 11、本制度从发布之日起执行。 二〇〇二年五月一日
XX医院 应用信息系统用户帐号与角色权限管理办法 (讨论版) 新津县妇幼保健院信息科 二○一五年四月
目录 2 适用范围............................................................ 3 术语和定义.......................................................... 4 用户管理............................................................ 用户分级............................................................ 用户分类............................................................ 用户角色与权限关系.................................................. 用户帐号实名制注册管理.............................................. 5 用户帐号申请与审批.................................................. 帐号申请............................................................ 帐号审批和开通...................................................... 6 安全管理............................................................ 帐号安全........................................................... 密码安全........................................................... 信息安全........................................................... 7 档案管理............................................................ 附表1应用信息系统角色与权限关系对照表(表样)......................... 附表2用户帐号申请单................................................... 附表3用户帐号批量申请单............................................... 附表4用户帐号管理工作登记表........................................... 1目的 为加强新津县妇幼保健院信息科计算机中心(以下简称:中心)应用信息 系统用户帐号和用户权限申请与审批的规范化管理,确保中心各应用信息系统 安全、有序、稳定运行,特制定本管理办法。
**科技 信息系统用户权限管理制度 第一条为加强应用信息系统用户账号和用户权限申请与审批的规范化管理,确保公司各应用信息系统安全、有序、稳定运行,特制定本管理办法。 第二条适用范围 金蝶K3 Wise系统、OA系统 第三条术语和定义 1、用户:被授权使用或负责维护应用信息系统的人员。 2、用户账号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 3、权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 4、角色:应用信息系统中用于描述用户权限特征的权限类别名称。 第四条用户管理 用户分类 1、系统管理员 系统管理员主要负责应用信息系统中的系统参数配置,用户账号开通与维护管理、设定角色与权限关系,维护行政区划和组织机构代码等数据字典,系统日志管理以及数据管理等系统运行维护工作。 2、普通用户 指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内登陆和使用应用信息系统的权限。 2、用户角色与权限关系 应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户账号授予某个角色或多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点集合的权力),一个用户账号可通过被授予多个角色而获得多种操作权限。为实现用户管理规范化和方便系统维
护,公司各应用信息系统应遵循统一的角色与权限设置规范,在不同的应用信息系统中设置的角色名称及对应的权限特征,应遵循权限设置规范基本要求。由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角色在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统应分别制定适用于本系统的权限设置规范。 3 、用户账号实名制注册管理 为保证应用信息系统的运行安全和对用户提供跟踪服务,各应用信息系统用户账号的申请注册实行“实名制”管理方式,即在用户账号申请注册时必须向网络工程部提供用户真实姓名、隶属单位与部门、联系方式等真实信息。 4、用户账号申请与审批 账号申请任何一个用户账号的申请与开通均须经过公司统一制定的账号申请与审批备案管理流程,且一个用户在同一个应用信息系统中只能注册和被授予一个用户账号。公司各应用信息系统的用户账号及角色权限的申请开通、注销和密码初始化等账号管理工作均使用公司制定的《信息系统账户开通/权限变更申请单》办理。用户权限的申请应严格岗位职务配置相应的权限执行,不得越级或超范围申请。 附件: 1、金蝶系统岗位权限明细表 2、OA系统使用岗位/人员明细表
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
信息系统权限分级管理制度 为了进一步规范我院的信息系统使用,保障网络信息系统安全,特制定本制度。 一、分级操作原则与级别划分 根据对信息系统安全性的威胁程度,以及各部门对电脑系统的应用需要,进行分级。对我院信息系统操作人员划分为以下级别: 1级:全局管理员,对医院信息化网络享有全面权限的人员。 本级权限由院信息化领导小组授权信息科科长,可对我院信息系统因业务需要开展的新建、部署、维护等各方面工作。 2级:专业管理员,具体包括: 2.1包括软件系统管理员:享有对操作系统及应用系统进行安装调试、修复、应用软件测试、部署、版本控制、文档等职能。 本权限由信息科赋予指定专人负责,在1级权限所有人指导与批准下开展工作。 2.2数据库管理员:享有对数据库系统的操作、备份、调整、测试等权限。 本权限由信息科科长指定专人负责,在1级权限所有人指导与批准下开展工作。 2.3操作员授权管理员:享有对操作系统、数据库系统、应用软件按规定流程设定操作权限的权利 本权限由信息科赋予指定专人负责,在1级权限所有人指导与批准下开展工作。 2.4网络授权管理员:享有对网络设备及网络管理软件的操作、备份、调整、测试等权限。 本权限由信息科赋予指定专人负责,在1级权限所有人指导与批准下开展工作。 3级:字典维护员,对信息系统中包括床位、费用、药剂、材料等基础数据字典按规定进行维护的权限,具体包括: 3.1诊疗维护员:享有对各项医技、治疗、材料等诊疗收费字典按规定进行新增、调价、变更、废止等权限。
本权限由信息科指定专人负责,经正常手续由2.3级权限所有人进行软件授权后开展工作。 3.2药品维护员:享有对西药、成药、草药等常规字典按规定进行新增、调价、变更、废止等权限 本权限由药剂科指定专人负责,经正常手续由2.3级权限所有人进行软件授权后开展工作。 3.3其他字典维护员:享有对除诊疗与药品之外的其他字典如床位、患者类别、付费方式等按规定进行新增、变更、废止等权限。 本权限由信息科指定专人负责,经正常手续由2.3级权限所有人进行软件授权后开展工作。 4级:部门管理员,部门主管或指定人员享有因本部门业务需要的部门及管理权限,具体包括: 1)门诊收费管理员:发票管理、重打印由于软件或硬件原因造成的错误单据、部门工作统计与审核等,本权限赋予门诊收费处指定人员。 2)药房、药库管理员:药品库存管理、部门工作审核等,本权限赋予药房及药库指定人员。 3)结账室收费管理员:住院发票及预交金数据管理、重打印由于软件或硬件原因造成的错误单据、部门工作统计与审核等,本权限赋予结账室指定人员。 4)其他部门管理人员:享有对本部门工作的信息系统数据审核、查询等权限的人员,由各部门领导或其指定人员享有。 5级:业务操作员,直接在电脑终端应用系统上进行包括门诊、医技、药剂、住院、护理等相关工作的普通工作人员。 本级人员包括除上述1-4级权限之外的所有电脑应用操作人员。 二、人员授权原则 在为操作人员分配权限时应遵循以下原则: 1)1、2级权限享有人不得同时享有3、4级权限;
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。 第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的
业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第八条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。 第九条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建 (一)申请人在《用户账号申请和变更表》上填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》上签字确认。 (三)信息系统管理部门经理进行审批后,由系统管理员和业务员创建用户或者变更权限。 (四)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。
实验5 用户管理与密码管理 一实验目的 (1) 熟悉Linux系统的用户和组的概念。 (2) 掌握常见的用户和组的配置文件修改。 (3) 掌握用户和组以及密码的管理命令。 (4) 熟悉用户和位置的其他管理命令。 二实验要求 (1) 熟练掌握用户和组的配置文件修改的方法。 (2) 重点掌握户和组的管理命令以及相关命令。 三实验内容 (1) 练习用户和组的配置文件修改。 (2) 练习在图形界面管理用户和组以及密码。 (3) 练习使用用户、组、密码管理命令。 (4) 练习使用用户和位置的其他相关管理命令。 四实验步骤: 启动虚拟机,加载Rad Hat Linux9.0操作系统,登录后按照课本第四章教程的指导,练习使用下述命令。可以参教材P383第4章内容。 (1)打开管理用户和组/密码的图形界面并熟悉其使用方法。(4.4) (2)使用编辑命令vi查看并修改/etc/passwd和/etc/shadow和/etc/group等相关用 户管理文件。(4.2) (3)练习使用用户管理的命令:useradd(增加用户)、userdel(删除用户)、 usermod(修改用户)。(4.3) (4)练习使用组管理的命令:groupadd(增加组)、groupdel(删除组)、 groupmod(修改组)。(4.3) (5)练习使用密码管理的命令:passwd,掌握密码的锁定、解索、删除、修改等 操作。(4.3) (6)练习使用用户和位置的其他相关管理命令:(4.5) 1)使用who命令查询已登陆用户的信息。 2)使用id命令查询用户和组的相关信息。 3)使用whoami命令查询当前有效用户id和其相关的用户名。 4)使用tty命令查询当前用户使用的终端设备。 5)使用su命令切换当前用户到其他用户(不退出系统的前提下)。 6)使用gpasswd进行组密码管理。 7)使用grpck进行组内容检查。 8)使用newgrp命令修改用户组(不退出系统的前提下) 9)使用wall命令向系统中登陆的用户发信息。 五实验结果:
******股份有限公司 信息系统权限及数据管理办法(试行) 第一章总则 第一条为了加强对******股份有限公司(简称:公司)各运行信息系统权限和数据的管理,明确权限及数据管理相关责任部门,提高信息系统的安全运行和生产能力,规范公司业务系统权限申请及数据管理流程,防范业务系统操作风险,公司制定了信息系统权限及数据管理办法,以供全公司规范执行。 第二条本办法所指信息系统权限及数据包括,但不仅限于公司运行的OA 办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理,以及数据的提取和变更。 第三条本办法遵循责权统一原则对员工进行系统授权管理,控制公司相关信息传播范围或防范进行违规操作。 第四条信息技术部是本办法主要执行部门,设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人(简称:数据权限管理员)负责统一按本办法所制定的流程执行相关操作,或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。 第五条用户授权和权限管理应采取保守原则,选择最小的权限满足用户需求。 第二章系统权限管理 第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成,风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批,信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限(信息技术部可以拥有开发测试环境超级用户权限),风险与合规部拥有超级用户权限,风险与合规部数据权限管理员拥有对权限列表进行查询的权限,以方便行使监督职能。
公司信息化系统用户权限管理制度 第一章总则 第一条为了规范公司信息化系统的权限管理工作,明确系统用户权限的管理职责,结合公司实际情况,特制定本制度。 第二条相关名词解释 信息化系统:公司ERP系统,炼钢生产管控系统、报表系统、在线质量判定系统、物资计量网、调度日报系统、能力计划系统、物资计量系统、热轧自动仓储、冷轧自动仓储、一卡通、OA、内网、文档管理、IT运行管理等系统。 权限:在信息化系统中用户所能够执行的操作及访问的数据。 第三条本制度的适用范围为公司各单位,其中派驻站、ERP权限变更按照其归属部门流程提报。 第二章职责分工 第四条运营改善部作为信息化系统用户权限的归口管理部门,主要负责各系统内用户权限的命名、审批、上报、配置、监控、删除、通知和培训等管理工作。负责《公司信息化系统用户权限管理制度》的修订、培训、实施、检查。 第五条各相关部室和作业部负责指定本单位权限管理员和权限审批者参与权限管理工作,权限管理员负责本单位信息系统权限的收集、申请、下发、测试、反馈;权限审批者负责本单位申请的系统权限进行审批把关,并对权限申请后形成的业务结果负责。 第六条系统用户负责本人权限测试、保管工作;负责权限密码泄密后的上报和密码更换工作;负责依据本人权限进行相应系统操作。
第三章系统用户权限管理 第七条用户权限的申请 业务部门根据实际业务,需要新建(变更)信息化系统用户的权限,由本部门权限管理员在公司IT运行管理系统中填报权限新增(变更)申请。 第八条用户权限的审批 信息系统用户权限新增(变更)申请在公司IT运行管理系统中由申请单位权限审批者进行审批。 第九条用户权限的系统实现 经公司IT运行管理系统申请的系统权限,由运营改善部权限管理员于收到权限申请后一个工作日内完成权限审批、配置、变更工作,对于审批通过的ERP权限申请,由运营改善部按照《R/3系统用户申请表》、《用户权限变更申请表》要求完成上报工作。 第十条用户权限的系统测试 申请单位权限管理员在接到权限配置完成的信息后,应及时通知相关用户,在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。申请单位权限管理员在接到权限删除完成的信息后,由权限管理员在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。 在两个工作日之内无问题反馈的,运营改善部将视此权限设置正确,以后该申请权限存在的任何问题重新按照权限新增(变更)流程处理。 第四章用户权限的使用和管理 第十一条系统权限用户命名由运营改善部权限管理员负责,ERP权限命名规则为首字母Q加上模块名(如:FI、MM、PP)加上连接字符“-”,再加上4位用户
用户账号和密码安全管理规范 V 1.0
目录 概述 (3) 适用范围 (4) 用户帐号的分类 (5) 用户帐号的创建 (6) 用户帐号创建流程 (6) 用户帐号创建的安全事宜 (6) 密码设置标准和最小强度规定 (8) 密码设置标准 (8) 密码最小强度规定 (8) 用户帐号和密码的保护 (10) 用户帐号和密码的管理 (12) 用户密码的变更 (12) 用户帐号的禁止 (12) 用户帐号的删除 (12) 用户帐号和密码管理制度的实施 (14) 实施工作流程 (14) 更新维护要求 (14) 奖励和处罚 (15) 参考文献 (16)
概述 用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码” 的用户身份验证机制上。因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。 本管理制度的主要作用在于对**用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。 本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述: ?用户帐号的分类 根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。 ?用户帐号的创建 规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。 密码的设置标准和最小强度要求 规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。 ?用户帐号和密码保护 规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。 ?用户帐号和密码的管理 规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。 ?用户帐号和密码管理制度的实施 规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。