H3C针对特定管理员的权限管理
报送单位:四川电力公司审核人:
类型:主机网络
关键字:管理员权限、H3C
1、引言
随着省公司新大楼的搬迁,省公司楼层内外网交换机将新上一大批二层交换设备作为用户接入使用。其中部分前期工作交给了其他第三方公司部署,因此网管人员需要建立一个特殊账号给第三方人员使用。但为了相关安全工作,只能给予此账号部分命令权限。
2、现象描述
由于此账号只需要管理员可以配置VLAN,进入接口配置IP地址,并做相关描述,最后将相关交换机端口划入指定VLAN,最后可以查询相关配置是否正确。因此给予这几条命令已经足够。
3、处理过程
H3C用户相关级别:
级别名称命令
0 参观 ping、tracert、telnet
1 监控 display、debugging (具有所有的查看权限)
2 配置所有配置命令(管理级的命令除外)
3 管理文件系统命令、FTP 命令、TFTP 命令、XMODEM 命令
1、首先建立账号及相关密码。
local-user aaaa
service-type telnet ssh
pass xxxx
lev 1
ssh user xxxx authentication-type password
ssh user xxxx service-type stelnet
super password level 3 cipher xxxx
public-key local create rsa
public-key local create dsa
2、配置此账号只能执行的相关命令。
command-privilege level 0 view system display
command-privilege level 0 view system display arp
command-privilege lev 0 view shell display ip
command-privilege level 0 view system display ip routing-table command-privilege level 0 view system display mac-address
command-privilege lev 0 view shell system
command-privilege level 0 view system interface
command-privilege level 0 view system quit
command-privilege level 0 view system interface eth
command-privilege level 0 view system interface eth 1/0/1
command-privilege level 0 view ethernet description
command-privilege level 0 view ethernet description scdl
command-privilege level 0 view ethernet port
command-privilege level 0 view ethernet port access
command-privilege level 0 view ethernet port access vlan
command-privilege level 0 view ethernet port access vlan 1
command-privilege level 0 view system display this
command-privilege level 0 view ethernet shutdown
command-privilege level 0 view ethernet undo
command-privilege level 0 view ethernet undo shutdown
command-privilege level 0 view sys save
4、原因分析
只有使用command-privilege level 0 给予最低权限上做相关配置,若不是在0级别,则会得到其他级别的相关执行命令权限。
5、经验总结
在用户视图上,在级别权限上要想执行system-view命令,必须有command-privilege lev 0 view shell system。在不同的视图下才能给予不同的命令权限,若不清楚有哪些视图,可以在command-privilege level 0 view 下打问号即可知道。
统一用户及权限管理系统概要设计说 明书
统一用户及权限管理系统 概要设计说明书 执笔人:K1273-5班涂瑞 1.引言 1.1编写目的 在推进和发展电子政务建设的进程中,需要经过统一规划和设计,开发建设一套统一的授权管理和用户统一的身份管理及单点认证支撑平台。利用此支撑平台能够实现用户一次登录、网内通用,避免多次登录到多个应用的情况。另外,能够对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理,实现多层次统一授权,审计各种权限的使用情况,防止信息共享后的权限滥用,规范今后的应用系统的建设。 本文档旨在依据此构想为开发人员提出一个设计理念,解决在电子政务整合中遇到的一些问题。 1.2项目背景 随着信息化建设的推进,各区县的信息化水平正在不断提升。截至当前,在各区县的信息化环境中已经建设了众多的应用系统并投入日常的办公使用,这些应用系统已经成为电子政务的重要组成部分。 各区县的信息体系中的现存应用系统是由不同的开发商在不同的时期采用不同的技术建设的,如:邮件系统、政府内
部办公系统、公文管理系统、呼叫系统、GIS系统等。这些应用系统中,大多数都有自成一体的用户管理、授权及认证系统,同一用户在进入不同的应用系统时都需要使用属于该系统的不同账号去访问不同的应用系统,这种操作方式不但为用户的使用带来许多不便,更重要的是降低了电子政务体系的可管理性和安全性。 与此同时,各区县正在不断建设新的应用系统,以进一步提高信息化的程度和电子政务的水平。这些新建的应用系统也存在用户认证、管理和授权的问题。 1.3定义 1.3.1 专门术语 数据字典:对数据的数据项、数据结构、数据流、数据存储、处理逻辑、外部实体等进行定义和描述,其目的是对数据流程图中的各个元素做出详细的说明。 数据流图:从数据传递和加工角度,以图形方式来表示系统的逻辑功能、数据在系统内部的逻辑流向和逻辑变换过程,是结构化系统分析方法的主要表示工具及用于表示软件模型的一种图示方法。 性能需求:系统必须满足的定时约束或容量约束。 功能需求:系统必须为任务提出者提供的服务。 接口需求:应用系统与她的环境通信的格式。 约束:在设计或实现应用系统时应遵守的限制条件,这些
信息系统用户帐号与角色权限管理流程 一、目的 碧桂园的信息系统已经在集团下下各公司推广应用,为了确保公司各应用信息系统安全、有序、稳定运行,我们需 要对应用信息系统用户帐号和用户权限申请与审批进行规范化管理,特制定本管理规定。 二、适用范围 适用于公司应用信息系统和信息服务,包括ERP系统、协同办公系统、各类业务应用系统、电子邮箱及互联网服务、 数据管理平台等。 三、术语和定义 用户:被授权使用或负责维护应用信息系统的人员。 用户帐号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 角色:应用信息系统中用于描述用户权限特征的权限类别名称。 四、用户管理 (一)用户分类 1.系统管理员:系统管理员主要负责应用信息系统中的系统参数配置,用户帐号开通与维护管理、设定角色与权限关 系,维护公司组织机构代码和物品编码等基础资料。 2.普通用户:指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内登陆和使用 应用信息系统的权限。 (二)用户角色与权限关系 1.应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户帐号授予某个角色或多个角色 的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点集合的权力),一个用 户帐号可通过被授予多个角色而获得多种操作权限。 2.由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角 色在不同应用信息系统中所匹配的具体权限范围可能存在差异, 所以每个应用信息系统都需要在遵循《应
物流信息系统用户和权限管理制度 第一章总则 第一条为加强物流信息系统用户账号和权限的规范化管理,确保物流信息系统安全、有序、稳定运行,防范应用风险,杜绝公司商业数据外泄,特制定本制度。 第二条物流信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第三条物流信息系统须指定系统管理员负责用户和权限管理的具体操作。 第四条物流信息系统用户和权限管理的基本原则是: (一)账号申请或权限修改,由使用人报本部门分管副总和总经理审核。 (二)用户、权限和口令设置、U盾由系统管理员全面负责。 (三)用户、权限和口令管理、U盾必须作为物流信息系统登陆的强制性技术标准或要求。 (四)用户采用实名制管理模式。 (五)用户必须使用自己的U盾和密码登陆系统,严禁挪用、转借他人。 第二章管理职责 第五条超级系统管理员职责 负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。 第八条业务管理员职责 负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有
权限实施相应业务信息管理活动。 第九条用户职责 用户须严格管理自己用户名和口令以及U盾,遵守保密性原则,除获得授权或另有规定外,不能将收集的数据信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建 (一)申请人在《用户账号申请和变更表》上填写基本情况,提交所在部门分管副总; (二)所在部门分管副总确认申请业务的用户身份权限,并在《用户账号申请和变更表》上签字确认,提交总经理审核。 (三)总经理审核并在《用户账号申请和变更表》上签字确认。 (四)申请人持签字确认的《用户账号申请和变更表》到行政后勤部领取U盾(修改权限不需领取U盾)。 (五)申请人持签字确认的《用户账号申请和变更表》和U盾到信息中心,创建用户或者变更权限。 (六)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (七)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。 第十一条用户变更和停用 (一)用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员和业务管理员对其权限进行修改或注销。 (二)行政后勤部主管确认此业务用户功能权限改变原因或离职,并在《用户账号申请和变更表》上签字确认; (三)用户归属部门主管确认此业务用户功能权限改变原因或离职,并
XX医院 应用信息系统用户帐号与角色权限管理办法 (讨论版) 新津县妇幼保健院信息科 二○一五年四月
目录 2 适用范围............................................................ 3 术语和定义.......................................................... 4 用户管理............................................................ 用户分级............................................................ 用户分类............................................................ 用户角色与权限关系.................................................. 用户帐号实名制注册管理.............................................. 5 用户帐号申请与审批.................................................. 帐号申请............................................................ 帐号审批和开通...................................................... 6 安全管理............................................................ 帐号安全........................................................... 密码安全........................................................... 信息安全........................................................... 7 档案管理............................................................ 附表1应用信息系统角色与权限关系对照表(表样)......................... 附表2用户帐号申请单................................................... 附表3用户帐号批量申请单............................................... 附表4用户帐号管理工作登记表........................................... 1目的 为加强新津县妇幼保健院信息科计算机中心(以下简称:中心)应用信息 系统用户帐号和用户权限申请与审批的规范化管理,确保中心各应用信息系统 安全、有序、稳定运行,特制定本管理办法。
XXXXXX有限公司 管理信息系统权限管理制度 XXX-XX-XX 第一章总则 第一条目的 为规范公司管理信息系统的权限管理工作,明确不同权限系统用户的管理职责,结合公司实际情况,特制定本管理制度。 第二条定义 (一)管理信息系统:包含已经上线的财务会计、管理会计、供应链、生产制造、CRM(客户关系管理)、决策管理和后续上线的所有管理信息系统模块。 (二)权限:在管理信息系统中用户所能够执行的操作及访问数据的范围和程度。 (三)操作员:上述软件系统使用人员。 第三条适用范围 本制度适用于XXXXXX有限公司(以下简称XXXX、公司)、XXXXXXX有限公司、XXXXXX有限公司、XXXXXXXX有限公司。 XXXX股份有限公司控、参股的其他公司,应结合本公司实际情况,参照本制度制定相应管理制度,报XXXX质量信息部备案。 第二章职责划分 第四条管理信息系统管理部门 公司的管理信息系统由质量信息部负责管理和维护,同时也是管理信息系统用户权限的归口管理部门,主要负责各系统内用户权限的审批、开通、监控、删除及通知等管理工作。 第五条管理信息系统操作部门 除管理信息系统管理部门外,其他使用管理信息系统的部门,均为管理信息系统的操作部门,使用人员为各岗位操作员。
具体岗位职责如下: (一)负责岗位信息系统权限的申请及使用,并对权限申请后形成的业务结果负责。 (二)负责所使用模块的数据安全。 第六条管理信息系统系统管理员 管理信息系统的系统管理员由质量信息部指派,并报公司管理层领导备案。 系统管理员负责用户帐号管理、用户角色权限分配和维护、各模块运行的安全监管及数据备份,并定期进行管理信息系统安全审计。 第三章用户权限管理 第七条用户权限申请 各部门依据实际工作情况,当需要新增/变更/注销管理信息系统的用户权限时,可由操作员本人或所在部门领导指派的专人,填写《ERP权限新增/变更/注销申请表》(参附件1)。 第八条用户权限审批 《ERP权限新增/变更/注销申请表》由申请人提交,经所在部门领导、分管领导及质量信息部部门领导审批同意后,报送系统管理员。系统管理员根据申请人填写内容并与申请人以及部门领导沟通后,填写申请表中系统管理员之相应内容并存档。 第九条用户权限配置 用户权限审批通过后,系统管理员将在两个工作日内完成权限新增/变更/注销工作,并以电子邮件通知申请人以及部门领导。 第十条用户权限测试 申请人在接到权限开通通知后,须在三个工作日之内完成系统权限测试,如有问题可通过电子邮件(包含问题的文字说明及截图)反馈到系统管理员。系统管理员应及时给予解决,并将处理结果通过电子邮件及时反馈给申请人。 在三个工作日之内无问题反馈的,系统管理员将视此权限设置正确,后续如有问题将按照用户权限申请流程处理。
中国免疫规划信息管理系统用户与权限管理规范 一、总则 (一)目的 加强中国免疫规划信息管理系统管理,规范系统用户与权限,保障免疫规划信息管理系统的安全运行,特制定本规范。 (二)依据 《计算机信息系统安全保护条例》 《疫苗流通和预防接种管理条例》 《卫生系统电子认证服务管理办法(试行)》 《预防接种工作规范》 《儿童预防接种信息报告管理工作规范(试行)》 《全国疑似预防接种异常反应监测方案》 《中国疾病预防控制中心计算机网络安全管理办法(试行)》 (三)适用范围 “中国免疫规划信息管理系统”包括预防接种、疫苗管理、疑似预防接种异常反应、冷链设备4个业务管理子系统和综合管理系统。 本规范适用于使用“中国免疫规划信息管理系统”的所有机构和用户,包括各级卫生计生行政部门、疾病预防控制机构、乡级防保组织和预防接种单位、药品不良反应监测机构及其它有关机构和用户。 二、用户管理 (一)用户类型
1、系统管理员 国家、省、市、县级疾病预防控制机构设立系统管理员,授权管理“中国免疫规划信息管理系统”用户,是履行用户管理与服务职能的唯一责任人。 2、审计管理员 国家、省、市、县级疾病预防控制机构设立审计管理员,授权“中国免疫规划信息管理系统”安全审计,是履行系统安全审计的责任人。 3、业务管理员 国家、省、市、县级疾病预防控制机构设立业务管理员,授权分配业务子系统用户权限,是履行所管业务子系统的权限分配、建立角色等职能的责任人。 4、普通用户 各级根据业务需求,由系统管理员建立普通用户,由业务管理员授权,是执行相应业务工作的责任人。 (二)用户职责 1、系统管理员 负责本级的业务管理员、普通用户以及下一级系统管理员的用户账号管理,县级系统管理员还需负责辖区内乡级普通用户的账号管理。包括各类用户的创建、有效性及密码等维护管理,分配业务子系统,为所管用户提供账号使用的操作培训和技术指导等。 2、审计管理员 负责本级及下一级操作安全审计,县级审计管理员还需负责辖区
乌拉特中旗人民医院 信息系统用户身份认证与权限管理办法 建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问,所有未被授权的人无法访问到这些数据。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。权限控制是信息系统设计中的重要环节,是系统安全运行的有力保证。身份认证与权限控制两者之间在实际应用中既有联系,又有具体的区别。为规范我院身份认证和权限控制特制定本措施: 一、身份认证 1、授权:医生、护理人员、其他信息系统人员账号的新增、变更、停止,需由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明权限范围后,交由信息科工作人员进行账户新建与授权操作。信息科将《信息系统授权表》归档、保存。 2、身份认证:我院身份认证采用用户名、密码形式。用户设置密码要求大小写字母混写并不定期更换密码,防止密码丢失于盗用。 二、权限控制 1、信息系统权限控制:医生、护理人员、其他人员信息系统权限,由本人填写《信息系统授权表》,医务科或护理部等部门审批并注明使用权限及其范围之后,交由信息科进行权限审核,审核通过后方可进行授权操作。 2、数据库权限控制:数据库操作为数据权限及信息安全的重中之重,
因此数据库的使用要严格控制在十分小的范围之内,信息科要严格保密数据库密码,并控制数据库权限,不允许对数据库任何数据进行添加、修改、删除操作。信息科职员查询数据库操作时需经信息科主任同意后,方可进行查询操作。 三、医疗数据安全 1、病人数据使用控制。在进行了身份认证与权限管理之后,我院可接触到病人信息、数据的范围被严格控制到了医生和护士,通过权限管理医生和护士只可对病人数据进行相应的计费等操作,保障了患者信息及数据的安全。 2、病人隐私保护。为病人保守医疗秘密,实行保护性医疗,不泄露病人的隐私。医务人员既是病人隐私权的义务实施者,同时也是病人隐私的保护者。严格执行《执业医师法》第22条规定:医师在执业活动中要关心、爱护、尊重患者,保护患者隐私;《护士管理办法》第24条规定:护士在执业中得悉就医者的隐私,不得泄露。 3、各信息系统使用人员要注意保密自己的用户口令及密码,不得泄露个他人。长时间离开计算机应及时关闭信息系统软件,防止泄密。 乌拉特中旗人民医院信息科
1.详细需求 1.1 业务需求 统一用户管理平台是一个高性能、易管控的用户和权限数据集成平台,能够统一管理企业中各个信息系统的组织信息和用户信息,能够实现单点登录,简化用户的登录过程,同时提供集中便捷的身份管理、资源管理、安全认证和审计管理,能够实现各个系统的独立的权限注册,配置不同的业务域,独立的业务组织体系模型,并且对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范畴,以满足用户对信息系统使用的方便性和安全管理的要求,最终实现异构系统的有机整合。在系统集成的过程中,借助其强大的系统管控能力,在实施过程中进行权限人员数据的规范化、数据同步自动化、系统访问可控化、权限管理统一化和监控审计可视化。 1.2 系统功能需求 1.2.1 统一用户管理 建立一套集中的用户信息库,利用同步接口提供的功能,把所有的系统用户进行统一存放,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。形成一套全局用户库,统一管理,作为企业内所有IT应用的用户源。在人员离职、岗位变动时,只需在管理中心一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除带来的安全风险。系统支持分级授权。 1.2.2 用户身份认证 遵循W3C的业界标准,在单点登录系统的基础上,实现基于域管理的身份认证服务构件,自主开发的系统能够使用该服务进行认证,同时提供多种认证方式,能实现双因素认证。采用LDAP(轻量目录访问协议,一个开放的目录服务标准)来建构统一用户信息数据库。LDAP已成为未来身份认证和身份管理的标准,具有很好的互操作性和兼容性,基于LDAP可以搭建一个统一身份认证和管理框架,并提供开发接口给各应用系统,为应用系统的后续开发提供了统一身份认证平台和标准。实现多种身份认证方式,支持LDAP、JDBC、WebService、Radius、Openid等多种身份认证方式。
航开发系统用户账号及权限管理制度 第一章总则 第一条 航开发系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;应急用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 航开发系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《系统用户账号申请及权限审批表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。
第六条 用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
**科技 信息系统用户权限管理制度 第一条为加强应用信息系统用户账号和用户权限申请与审批的规范化管理,确保公司各应用信息系统安全、有序、稳定运行,特制定本管理办法。 第二条适用范围 金蝶K3 Wise系统、OA系统 第三条术语和定义 1、用户:被授权使用或负责维护应用信息系统的人员。 2、用户账号:在应用信息系统中设置与保存、用于授予用户合法登陆和使用应用信息系统等权限的用户信息,包括用户名、密码以及用户真实姓名、单位、联系方式等基本信息内容。 3、权限:允许用户操作应用信息系统中某功能点或功能点集合的权力范围。 4、角色:应用信息系统中用于描述用户权限特征的权限类别名称。 第四条用户管理 用户分类 1、系统管理员 系统管理员主要负责应用信息系统中的系统参数配置,用户账号开通与维护管理、设定角色与权限关系,维护行政区划和组织机构代码等数据字典,系统日志管理以及数据管理等系统运行维护工作。 2、普通用户 指由系统管理员在应用信息系统中创建并授权的非系统管理员类用户,拥有在被授权范围内登陆和使用应用信息系统的权限。 2、用户角色与权限关系 应用信息系统中对用户操作权限的控制是通过建立一套角色与权限对应关系,对用户账号授予某个角色或多个角色的组合来实现的,一个角色对应一定的权限(即应用信息系统中允许操作某功能点或功能点集合的权力),一个用户账号可通过被授予多个角色而获得多种操作权限。为实现用户管理规范化和方便系统维
护,公司各应用信息系统应遵循统一的角色与权限设置规范,在不同的应用信息系统中设置的角色名称及对应的权限特征,应遵循权限设置规范基本要求。由于不同的应用信息系统在具体的功能点设计和搭配使用上各不相同,因此对角色的设置以及同样的角色在不同应用信息系统中所匹配的具体权限范围可能存在差异,所以每个应用信息系统应分别制定适用于本系统的权限设置规范。 3 、用户账号实名制注册管理 为保证应用信息系统的运行安全和对用户提供跟踪服务,各应用信息系统用户账号的申请注册实行“实名制”管理方式,即在用户账号申请注册时必须向网络工程部提供用户真实姓名、隶属单位与部门、联系方式等真实信息。 4、用户账号申请与审批 账号申请任何一个用户账号的申请与开通均须经过公司统一制定的账号申请与审批备案管理流程,且一个用户在同一个应用信息系统中只能注册和被授予一个用户账号。公司各应用信息系统的用户账号及角色权限的申请开通、注销和密码初始化等账号管理工作均使用公司制定的《信息系统账户开通/权限变更申请单》办理。用户权限的申请应严格岗位职务配置相应的权限执行,不得越级或超范围申请。 附件: 1、金蝶系统岗位权限明细表 2、OA系统使用岗位/人员明细表
实现业务系统中的用户权限管理--设计篇 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便 的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致 的人员编入同一组,然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套 管理系统,就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统 之间,功能权限是可以重用的,而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。 我们先来分析一下数据库结构: 首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
统一用户以及权限管理系统需求分析报告,统一用户及权限管理系统, 软件需求说明书 作者: 完成日期: 签收人: 签收日期: 修改情况记录: 软件需求说明 书 (1) 1. 引言...................................................................... 3 1.1 编写的目 的 (3) 1.2 背 景 (3) 1.3 参考资 料 (3) 2 项目概述 (4) 2.1 待开发软件产品描 述 (4) 2.2总体需 求 (4)
2.3 用户特 点 (4) 3 具体需求 (4) 统一用户及权限管理系统的主要功能模块为: ............................. 4 3.1.1登录 ........................................................... 5 3.1.2用户授权管理 ................................................... 5 3.1.3组织机构管理 ................................................... 6 3.1.4应用权限定制 ................................................... 7 3.1.5系统维护 ....................................................... 7 3.2 接口说 明 (7) 3.2.1用户界面 ....................................................... 8 3.2.3 软件接口 ...................................................... 10 3.2.4硬件接口 ...................................................... 11
******股份有限公司 信息系统权限及数据管理办法(试行) 第一章总则 第一条为了加强对******股份有限公司(简称:公司)各运行信息系统权限和数据的管理,明确权限及数据管理相关责任部门,提高信息系统的安全运行和生产能力,规范公司业务系统权限申请及数据管理流程,防范业务系统操作风险,公司制定了信息系统权限及数据管理办法,以供全公司规范执行。 第二条本办法所指信息系统权限及数据包括,但不仅限于公司运行的OA 办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理,以及数据的提取和变更。 第三条本办法遵循责权统一原则对员工进行系统授权管理,控制公司相关信息传播范围或防范进行违规操作。 第四条信息技术部是本办法主要执行部门,设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人(简称:数据权限管理员)负责统一按本办法所制定的流程执行相关操作,或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。 第五条用户授权和权限管理应采取保守原则,选择最小的权限满足用户需求。 第二章系统权限管理 第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成,风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批,信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限(信息技术部可以拥有开发测试环境超级用户权限),风险与合规部拥有超级用户权限,风险与合规部数据权限管理员拥有对权限列表进行查询的权限,以方便行使监督职能。
Through the joint creation of clear rules, the establishment of common values, strengthen the code of conduct in individual learning, realize the value contribution to the organization.信息系统权限管理制度正 式版
信息系统权限管理制度正式版 下载提示:此管理制度资料适用于通过共同创造,促进集体发展的明文规则,建立共同的价值观、培养团队精神、加强个人学习方面的行为准则,实现对自我,对组织的价值贡献。文档可以直接使用,也可根据实际需要修订后使用。 为了医院信息管理系统数据的安全管理,避免操作权限失控,并防止一些用户利用取得的权限进行不正确的操作,特制定医院信息管理系统权限管理制度,对各科室工作人员操作医院信息管理系统进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证我院信息管理系统的正常运转,特制定本管理制度。 一、总则 1.1用户帐号: 登录信息系统需要有用户帐号,相当
于身份标识,用户帐号采用人员工号的编排,规则如下: (1)采用员工工号编排。 工号以人事部按顺序规定往后编排提供信息科。 1.2密码: 为保护信息安全而对用户帐号进行验证的唯一口令。 1.3权限: 指在信息系统中某一用户的访问级别和权利,包括所能够执行的操作及所能访问的数据。 二、职责与分工 2.1职能部门: (1)权限所有部门:负责某一个模块的
权限管理和该模块的数据安全; a.财务处负责财务收费系统和部分资产系统权限; b.护理部负责病区护士管理系统权限; c.医务部负责医生工作站管理系统的权限; (2)负责指定一个部门权限负责人(建议为科室负责人),对涉及本部门负责权限的新增,变更,注销进行签字审批; (3)本部门人员申请本部门负责权限,需要部门权限负责人签批,签批后由系统管理员设置; 2.2单位权限负责人 (1)负责签批部门间的权限的授予;
公司信息化系统用户权限管理制度 第一章总则 第一条为了规范公司信息化系统的权限管理工作,明确系统用户权限的管理职责,结合公司实际情况,特制定本制度。 第二条相关名词解释 信息化系统:公司ERP系统,炼钢生产管控系统、报表系统、在线质量判定系统、物资计量网、调度日报系统、能力计划系统、物资计量系统、热轧自动仓储、冷轧自动仓储、一卡通、OA、内网、文档管理、IT运行管理等系统。 权限:在信息化系统中用户所能够执行的操作及访问的数据。 第三条本制度的适用范围为公司各单位,其中派驻站、ERP权限变更按照其归属部门流程提报。 第二章职责分工 第四条运营改善部作为信息化系统用户权限的归口 管理部门,主要负责各系统内用户权限的命名、审批、上报、配置、监控、删除、通知和培训等管理工作。负责《公司信息化系统用户权限管理制度》的修订、培训、实施、检查。 第五条各相关部室和作业部负责指定本单位权限管理员和权限审批者参与权限管理工作,权限管理员负责本单位信息系统权限的收集、申请、下发、测试、反馈;权限审
批者负责本单位申请的系统权限进行审批把关,并对权限申请后形成的业务结果负责。 第六条系统用户负责本人权限测试、保管工作;负责权限密码泄密后的上报和密码更换工作;负责依据本人权限进行相应系统操作。 第三章系统用户权限管理 第七条用户权限的申请 业务部门根据实际业务,需要新建(变更)信息化系统用户的权限,由本部门权限管理员在公司IT运行管理系统中填报权限新增(变更)申请。 第八条用户权限的审批 信息系统用户权限新增(变更)申请在公司IT运行管理系统中由申请单位权限审批者进行审批。 第九条用户权限的系统实现 经公司IT运行管理系统申请的系统权限,由运营改善部权限管理员于收到权限申请后一个工作日内完成权限审批、配置、变更工作,对于审批通过的ERP权限申请,由运营改善部按照《R/3系统用户申请表》、《用户权限变更申请表》要求完成上报工作。 第十条用户权限的系统测试 申请单位权限管理员在接到权限配置完成的信息后,应及时通知相关用户,在两个工作日之内完成系统权限测试,存在问题的由权限管理员反馈运营改善部。申请单位权限管
1.详细需求 1.1业务需求 统一用户管理平台是一个高性能、易管控的用户和权限数据集成平台,能够统一管理企业中各个信息系统的组织信息和用户信息,能够实现单点登录,简化用户的登录过程,同时提供集中便捷的身份管理、资源管理、安全认证和审计管理,能够实现各个系统的独立的权限注册,配置不同的业务域,独立的业务组织体系模型,并且对于不同权限级别的用户和管理员都有不同的系统功能和数据访问范畴,以满足用户对信息系统使用的方便性和安全管理的要求,最终实现异构系统的有机整合。在系统集成的过程中,借助其强大的系统管控能力,在实施过程中进行权限人员数据的规范化、数据同步自动化、系统访问可控化、权限管理统一化和监控审计可视化。 1.2系统功能需求 1.2.1统一用户管理 建立一套集中的用户信息库,利用同步接口提供的功能,把所有的系统用户进行统一存放,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。形成一套全局用户库,统一管理,作为企业内所有IT应用的用户源。在人员离职、岗位变动时,只需在管理中心一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。方便了用户管理,也防止过期的用户身份信息未及时删除带来的安全风险。系统支持分级授权。 1.2.2用户身份认证 遵循W3C的业界标准,在单点登录系统的基础上,实现基于域管理的身份认证服务构件,自主开发的系统能够使用该服务进行认证,同时提供多种认证方式,能实现双因素认证。采用LDAP(轻量目录访问协议,一个开放的目录服务标准)来建构统一用户信息数据库。LDAP已成为未来身份认证和身份管理的标准,具有很好的互操作性和兼容性,基于LDAP可以搭建一个统一身份认证和管理框架,并提供开发接口给各应用系统,为应用系统的后续开发提供了统一身份认证平台和标准。实现多种身份认证方式,支持LDAP、JDBC、WebService、Radius、Openid等多种身份认证方式。
文件编号: 统一用户及权限管理平台 解决方案及设计报告 版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________
目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义 (1) 1.4参考资料 (1) 第二章统一权限管理解决方案 (2) 2.1需求分析 (2) 2.2系统架构 (3) 2.3系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1组织机构管理 (8) 3.2用户管理............................................................................................................. 错误!未定义书签。 3.3应用系统管理、应用系统权限配置管理 (9) 3.4角色管理 (8) 3.5角色权限分配 (9) 3.6用户权限(角色)分配 (9) 3.7用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1概述 (10) 4.2接口详细描述 (10) 4.2.1获取用户完整信息 (14) 4.2.2获取用户拥有的功能模块的完整信息 (15) 4.2.3获取用户拥有的一级功能模块 (16) 4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17) 4.2.5获取用户拥有的某一末级功能模块的操作列表 (19) 4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20) 4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)
N C系统用户及权限管 理规定 集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]
N C-E R P系统用户账号及权限管理制度 第一章总则 第一条 NC-ERP系统用户的管理包括系统用户ID的命名;用户ID的主数据的建立;用户ID的增加、修改;用户ID的终止;用户密码的修改;用户ID的锁定和解锁;临时用户的管理;用户ID的安全管理等。 第二章管理要求 第二条 NC-ERP系统管理员(以下简称系统管理员)在系统中不得任意增加、修改、删除用户ID,必须根据《NC-ERP系统用户账号申请表》和相关领导签字审批才能进行相应操作,并将相关文档存档。 第三条 用户ID的持有人特别是共享的用户ID必须保证用户ID和用户密码的保密和安全,不得对外泄漏,防止非此用户ID的所有者登录系统。 第四条 用户管理员要定期检查系统内用户使用情况,防止非法授权用户恶意登录系统,保证系统的安全。 第五条 用户ID持有人要对其在系统内的行为负责,各部门领导要对本部门用户的行为负责。 第六条
用户ID的命名由系统管理员执行,用户ID命名应遵循用户ID的命名规则,不得随意命名。 第七条 用户ID主数据库的建立应保证准确、完整和统一,在用户ID发生改变时,用户管理员应及时保证主数据库的更新,并做好用户ID变更的归档工作。 第八条 对用户申请表等相关文档各申请部门的用户管理员必须存档,不得遗失。 第九条 公司NC-ERP系统中各部门必须明确一名运维管理人员负责本部门用户管理、权限管理及基础数据维护等相关工作。 第三章增加、修改用户ID的管理 第十条 公司NC-ERP系统中增加、修改用户ID应符合下列情况之一: 1、因工作需要新增或修改用户ID; 2、用户ID持有人改变; 3、用户ID封存、冻结、解冻; 4、单位或部门合并、分离、撤消; 5、岗位重新设置; 6、其他需要增加或修改公司NC-ERP系统中用户ID的情况。 第十一条
系统用户和权限管理制度 第一章总则 第一条为加强系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的客户端。 第三条系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。 第四条协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须按照要求进行分配管理。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第七条系统管理员职责 创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为用户授权和操作培训和技术指导。 第八条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第十条用户申请和创建
(一)申请人填写基本情况,提交本部门负责人; (二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》确认。 (三)经由部门经理进行审批后,由系统管理员创建用户或者变更权限。 (四)系统管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令; (五)系统管理员将《用户账号申请和变更表》存档管理。 第十一条用户变更和停用 (一)人力资源部主管确认此业务用户角色权限或变更原因。 (二)执行部门主管确认此业务用户角色权限或变更原因。 (三)系统管理员变更 系统管理员变更,应及时向上级系统管理员报告,并核对其账户信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。 (四)业务管理员变更 业务变更应及时向本级管理或上级业务管理报告,上级业务管理和系统管理员及时变更业务管理信息。 (五)用户注销 用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其分配账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员对其权限进行注销。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。 第十三条口令管理 (一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。 (二)用户在初次使用系统时,应立即更改初始密码。 (三)用户应定期变更登陆密码。 (四)用户不得将账户、密码泄露给他人。 第十四条帐号审计
xxxxx医院 信息系统用户和权限管理制度 第一章总则 第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。 第二条本制度适用于基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的信息系统等。 第三条信息系统用户、角色、权限的划分和制定,以人事处对部门职能定位和各部门内部分工为依据。 第四条各系统用户和权限管理由医院办公室、医教科、人事处负责,所有信息系统须指定系统管理员负责用户和权限管理的具体操作。 第五条信息系统用户和权限管理的基本原则是: (一)用户、权限和口令设置由系统管理员全面负责。 (二)用户、权限和口令管理必须作为信息系统的强制性技术标准或要求。 (三)用户、权限和口令管理采用实名制管理模式。 (四)严禁杜绝一人多账号登记注册。 第二章管理职责 第六条系统管理员职责 负责本级用户管理以及对下一级系统用户管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的信
息系统、提供用户操作培训和技术指导。 第七条用户职责 用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。 第三章用户管理 第八条用户申请和创建 由人事处将人员名单报医教科,医教科报信息中心进行维护; 第九条用户变更和停用 (一)科室发现医师权限与实际情况不符由本人提出书面申请,经科主任签名、质控办审核后报医教科、信息中心进行权限的调整。 (二)调离本院、取消或暂停处方权的人员由人事处、医教科出具书面通知信息中心,信息中心及时取消权限或调整相应权限。 第四章安全管理 第十二条使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。 第十三条口令管理 (一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。