资源权限(共9篇)
资源权限 篇1
矿产资源规划是矿产资源勘查、开发利用与保护的指导性文件, 是依法审批和监督管理矿产资源勘查、开采活动的重要依据。矿产资源规划的科学性、权威性是发挥其作用的基础。在资源环境约束日益趋紧的背景下, 审视我国矿产资源规划的实践, 发现规划过程中的各类问题, 探究各类问题背后存在的深层次制度诱因, 既有助于深刻理解矿产资源规划的现实, 也有利于通过规划制度的完善, 提高规划体系的质量, 实现矿产资源规划的功能目标。
一、矿产资源规划的内涵
矿产资源规划是根据国家或地区经济中长期规划、国家或地区矿产资源特点和开发利用现状, 对矿产资源勘查、保护和合理利用, 矿山生态环境保护和建设等, 在时间上和空间上所做的总体安排和布局。作为矿产资源勘探开采之前的一种活动, 矿产资源规划本质上是国家为实现经济社会的可持续发展, 对各类矿产资源在勘探开采的空间和时间上所做的一种配置, 包括品种规划、矿区规划、环境保护规划、矿业权规划等。作为人类计划活动的一种, 一项完整有效的矿产资源规划包括所针对的目标以及如何做、谁做、何时做、在何地做、需投入多少资源等基本问题。除此之外, 要明确在实施过程中什么情况下需修改规划, 即该项计划有效的前提条件;为了增强规划的适应性, 要注明当实际情况与规划前提条件不符时应采取的措施;为便于在情况发生较大变化、规划实施条件不具备时, 能够判断是应该放弃该项规划还是要竭尽全力、创造条件上, 规划书还应说明进行这项工作或实现相应目标的意义或重要性。综上所述, 一项完整的矿产资源规划应包括的要素如表1所示。 (表1)
矿产资源规划的最终结果是对矿业未来发展的行动方针作出预测和安排, 有效的规划通过清楚地明确目标以及实现目标的方式方法, 为整个矿产资源产业的未来行动提供路径图, 减少矿产资源勘探开发的不确定性和模糊性;事先的分析和规划有助于对有限的矿产资源禀赋做出合理的配置, 减少重叠和浪费性的活动;目标、任务、责任明确的各类规划, 可以清楚地说明目标和任务的关系, 制定出指导整个矿产资源勘探开采日常决策的原则;同时, 矿产资源规划通过事先的目标制定, 为整个矿产资源勘探、开采确定了事中、事后各类活动控制的标准, 从而提高各类活动的有效性。
二、矿产资源规划的体系构成
根据《矿产资源法》及《矿产资源法实施细则》、《国务院关于全国矿产资源规划的批复》 (国函[2001]39号) 、《国土资源部关于发布实施全国矿产资源规划的通知》、《矿产资源规划管理暂行办法》 (1999年) 、《国土资源部关于开展省级矿产资源规划工作的通知》 (国土资发[2001]39号) 、《省级矿产资源规划编制指南》 (国土资发[2001]39号) 、《市、县级矿产资源规划编制指导意见》 (国土资发[2002]152号) 等矿产资源规划的法律、法规、政策, 矿产资源规划体系由全国性矿产资源规划、地区性矿产资源规划和行业性矿产资源开发规划构成, 全国性矿产资源规划包括全国矿产资源总体规划和专项规划。其中专项规划主要包括地质矿产调查评价与勘查规划、矿产资源开发利用与保护规划、矿山生态环境保护规划等, 地区性矿产资源规划包括省级、市 (地) 级、县级和跨行政区域的矿产资源规划。行业性矿产资源开发规划指有关矿产资源开发产业行业管理部门编制的相关矿产资源开发规划。规划体系内各层次、各类规划之间的关系是:下级矿产资源规划服从上级矿产资源规划, 专项规划服从总体规划, 行业性规划和地区性规划服从全国性规划。规划体系的构成及关系如图1所示。 (图1)
从制度上看, 同级的专项规划与行业规划之间关系模糊不清, 在矿产资源规划的实践中表现为矿产资源规划与其他规划如工业规划、旅游区规划矛盾等问题十分突出。现实中同类各层次规划冲突、打架, 无规划盲目开采, 区域间难协调, 规划执行力差等现象层出不穷, 究其原因, 与同级的专项规划与行业规划矛盾、分歧一样, 首先在于制度安排本身在规划体系中各层次、各类规划功能定位上不准确、不清晰, 相应的指标化的目标体系细化、整合不充分。
三、矿产资源规划编制和审批的权限划分
造成规划体系不统一、区域难协调、规划冲突、执行力差、无规划盲目开采等问题的原因, 除了制度中各规划功能定位不准确、关系不明确外, 还有就是制度安排中各规划的编制、审批权限划分不当以及矿产资源规划的权限关系与各权力主体之间的法定职权关系不匹配。根据《矿产资源规划管理暂行办法》, 上级人民政府地质矿产主管部门负责指导下级矿产资源规划的编制, 地方各级人民政府领导本级矿产资源规划的编制, 地方各级地质矿产主管部门编制本区域内相应层级的矿产资源总体规划和专项规划, 各级政府相关部门编制本区域内相应级别的行业规划。矿产资源规划自上而下编制, 下级矿产资源规划的编制必须以上级矿产资源规划为依据, 并与上级相关规划相一致, 与同级相关规划相衔接。全国矿产资源规划由国务院批准;省 (自治区、直辖市) 的矿产资源总体规划由国土资源部批准;市级矿产资源规划由市政府审查同意后, 报省政府批准, 县级矿产资源规划则由县政府报市政府审核同意后, 报省国土资源厅批准。各级各类矿产资源规划的编制权限划分和审批权限划分如表2、表3所示。 (表2、表3)
矿产资源规划制度中按中央、省、市、县分层次划分规划编制权、审批权的安排, 权限明确、权力主体间关系清晰, 但这样的权限划分却不能保证规划体系 (目标体系、指标体系) 的协调性、一致性, 也不能保障矿产资源规划各项功能、目标、任务的实现, 矿产资源勘探开采的现实是各自为政的诸侯经济、盲目开采、采富弃贫、快速耗竭、环境污染等无序混乱状态。分析其原因:其一, 在编制权限的划分中, 各级规划都是上级职能部门指导、本级政府领导、本级职能部门编制的格局, 突出的是本级政府的意志, 而作为上级规划的代言者作用有限, 无法承担落实上级规划对下级规划制约的职责, 因而也就不能保证规划体系的一致性;同时各级政府则可以充分发挥各级规划领导者的作用, 尽可能地将地方局部利益、地方意志通过规划条例合法化, 为矿产资源勘探开采中各自为政的诸侯经济支起制度上的保护伞;其二, 在审批权限的划分中, 省级、县级的综合规划权、各级专项的规划权都在国家、省级政府的国土资源职能部门, 而非政令的中枢系统——各级政府, 削弱了各规划的权威性, 一定程度上造成了执行难的局面;其三, 行业规划、专项规划的编制权限、审批权限分属发改委、国土资源部两个自成体系的职能系统, 无上下位关系, 两个系列规划的协调和统一更难以实现。
规划编制中应该是上级国土矿产主管部门领导, 本级政府组织、国土矿产主管部门编写, 以确保上级规划在下级规划中的约束性和指导性, 实现规划体系的协调统一。同时, 省级规划审批权限应收归国务院、市县级规划审批权收归省政府, 以确保规划的权威性以及相关政令的统一性和执行力。
四、矿产资源规划权力主体之间的相互关系
矿产资源规划体系内各规划之间、各规划指标之间的关系决定于各层次、各类别规划制定权、审批权的划分, 决定于相应各层次权力主体之间的权力关系。不难理解, 各类规划编制、审批权限归属的权力主体所拥有的行政资源包括行政权力等的多寡、大小, 决定着各类规划的权威性的高低、执行力的大小;各权力主体在整个行政管理系统权力配置中的地位以及相互之间的关系直接影响、甚至决定着各类规划之间的关系。我国的行政权力配置是以国务院和省、市、县各级政府为主线、各级政府所属职能部门为辅助的系统。各级政府作为社会经济发展的直接责任者拥有与之级别和责任相匹配的近乎绝对的行政资源和权力, 上下级之间关系明确且不容挑战。发改委、国土资源主管机关等各级政府所属职能部门作为各归口业务的管理者, 主要职责是在同级政府的领导下提出业务领域内的参谋建议, 少有行政资源, 其相关政令的颁布实施需要得到同级政府的授权, 因而权力也受到同级政府的制约;上下级职能部门之间虽有上下位的关系, 但属归口管理, 专业指导性强、行政指令性弱, 是弱化了的上下级关系。各职能部门之间是平行关系, 但各职能部门影响政府决策的能力不同, 出自不同职能部门的法规之间的关系也就不是简单的平行。
考虑各类、各级规划编制、审批权限的责任主体以及责任主体在权力配置系统中的地位和相互关系, 如图1所示的矿产资源规划体系及其相互关系就演变为如图2所示的状态。弱化了的各级专项规划之间的关系、弱化了的行业规划之间的关系以及弱化了的上级专项规划、行业规划对下级总体规划的约束, 使得矿产资源勘探开采中的主要领域结构调整、环境保护、土地复垦等目标难以细化、落实, 各行业总体规划被虚置, 整个矿产资源规划沿各级政府的综合规划被条状分割, 协调性、统一性不能实现, 而大大小小的诸侯经济依靠各级政府对所属职能部门和下级政府的约束成为现实。 (图2)
五、结论与启示
通过对我国矿产资源规划制度的分析, 借鉴其他规划制度的优点长处, 我国矿产资源的规划制度应做以下方面的调整:一是简化体系构成, 减少规划的部门、层次;二是调整规划编制权限、审批权限, 加强上级规划部门在下级规划的编制过程中的作用;三是规划审批权收归国务院和省级政府, 增强规划的权威性和执行力;四是注意权限划分与各权力主体在权力配置系统中相互关系的匹配;五是考虑采用更为严格的规划许可制度, 进一步强化规划的法律约束地位。
摘要:矿产资源规划制度中各类规划功能定位不清晰, 编制、审批权限划分不当是现实世界规划体系中相互关系不明确、难实现以及一体性差、执行力不够的诱因, 矿产资源规划的权限划分应与其权力主体在权力配置中的地位相匹配。简化规划体系构成、调整权限划分、实施规划许可制度是提高矿产资源规划科学性、执行力的有效途径。
关键词:矿产资源,规划编制,权限划分,制度分析
参考文献
[1]宋顺等.矿产资源规划中存在的问题及其对策研究[J].资源经济, 2006.2.
[2]吴巧生, 王华.区域矿产资源规划的定位与定向[J].中国人口.资源与环境, 2001.4.
[3]王来峰等.中国土地与矿产资源规划制度比较研究[J].中国矿业, 2007.3.
[4]胡德斌, 周宏.英国矿产资源规划管理制度简介[J].中国国土经济, 2005.7.
资源权限 篇2
2. 配合研究院领导推动研究院各项人事管理制度,参与控制研究院相关经营成本(人事、行政、资采),组织制定并落实,实施研究院人力资源管理;
3. 根据上级管理单位要求,结合实际,拟定、汇总、核算人力资源成本;
4. 审核年度招聘计划并实施,完善招聘渠道、手段和程序;
5. 审核薪酬计划,提出薪酬控制方案,申报工资总额和计划,审批薪酬发放,签发薪酬报表;
6. 制定年度培训计划,包括经费预算 、外部培训供应商的评估和筛选;
7. 编写人事行政相关受控文件及规章制度;
8. 进行组织架构设计和工作设计,组织、落实架构设置,监督定岗、定员、定薪等情况;
9. 根据研究院对绩效管理的要求,制定评价政策,不断完善绩效管理体系,并对各部门绩效评价过程进行监督控制;
10. 各种重大活动的组织协调、全程管控,企业公众号的维护,新闻通稿编写,领导文件的撰写;
11. 梳理人事行政和资采流程;
12. 员工劳动关系的维护;
资源权限 篇3
一、访问权限控制概念
访问权限控制是指通过安全访问规则限制访问主体对客体的访问权限, 从而使计算机系统在合法范围内使用。主体指访问资源的用户或应用 (如用户、进程以及服务等) , 客体指系统的资源 (如程序、文件等) 。只有经过授权的用户向系统正确提交并验证了自己的身份后, 才被允许访问特定的系统资源。其主要任务是保证网络信息资源不被非法使用和访问, 它是对网络信息资源进行安全防范和保护的主要策略。一般的防火墙、入侵检测系统 (IDS) 、防病毒软件等只能检测到异常的进攻行为, 而对系统中伪装成正常用户的行为、用户权限过大所造成的误操作或有目的的破坏行为、对数据库内部的非法操作等都无能为力。而这些正可以通过访问权限控制技术得以解决。
二、访问权限控制技术
1、采用用户名、口令的方式进行入网访问控制
用户名、口令方式受控是最简单的实现网络数据资源共享的控制技术。这种方式使得服务器接受授权用户的操作, 对于非法用户采取受限控制, 并且能控制用户的入网时间和入网地点。这种方式的基本操作时为入网访问用户设置了三道关卡:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过, 该用户便不能进入该网络。
2、数据加密技术
对在网上传输的数据进行加密, 以保证数据传输过程数据的机密性和完整性, 确保在传输过程中不会发生信息被窃取现象。加密技术分为对称式加密和非对称式加密, 前者是指加密和解密利用同一个密钥;后者是指加密和解密所使用的不是同一个密钥, 通常有两个密钥, 称为公钥和私钥, 公钥和私钥必须配对使用, 否则将不能打开加密文件。
3、数字签名技术
加密技术只能防止信息传输中不被非法截获和读取, 保护文件在传输过程中免遭他人恶意破坏, 但是它确无法对发信任的身份进行确认, 用户身份确认可以采取数字签名技术, 它的工作原理是采用一组字符串代替书写签名或印章, 起到与书写签名或印章同样法律效用的安全技术。采用数字签名技术, 它能保证两点, 一是信息是由签名者发送的, 二是信息自签发后到收到为止未曾作过任何修改。它可以用来防止电子信息因被修改而人为作伪、冒用别人名义发送信息或发出 (收到) 信息后又加以否认等行为的发生。
4、数字认证技术
数字认证是通过认证中心和利用数字证书, 核实活动双方身份的真实性和有效性。其实质是通过电子手段来证实一个用户的身份和对网络资源的访问权限, 它克服了密码在安全性和方便性方面的局限, 只要一份已签名的文件有丝毫的改名, 都会导致数字证书验证过程的失败。并且由于在证书内包含了访问特许权等信息, 因而能够有效控制用户哪些数据库可以访问, 哪些不能访问。
5、防火墙技术
它具有限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问, 哪些外部服务可由内部人访问。它具有五大基本功能:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动以及对网络攻击进行检测和告警。
三、基于访问权限控制的信息资源共享的实现
要想实现网络数据库资源安全共享, 就要通过对信息资源中的相关数据进行控制, 通过附加标准标签的方式来表达数据的逻辑结构和含义, 使之成为一种程序能自动理解的规范。通过这种方式, 一是可以解决各数据库的数据接口不统一的问题, 避免产生人为壁垒, 妨碍信息资源的共享;二是在检索过程中可以提供更多检索入口, 便于共享访问权限的控制。
利用电子商务的网上办公系统, 通过群体的协同工作技术来实现系统内机构之间或地区间的信息资源共享。共享的内容包括表格数据资源共享, 网上协同办公等。
内部信息资源的共享专指在局域网或者本系统内的用户之间的数据操作控制, 不对外公布。对于这方面的信息资源的安全控制, 我们可以通过建立防火墙方式, 首先将内部与外部分隔开来, 限制外部非法用户的访问, 并且对内部不同身份的工作人员, 通过用户、口令限制方式, 对其权限进行限制, 做到不同身份的工作人员可以获取与其相适应的、相匹配的数据信息, 做到点对点的个性化服务。在用户管理、权限认证的基础上, 根据系统内用户不同的角色, 可以方便地了解消息以及工作所需要的资源等。同时每个工作人员根据自己的职务和权限, 访问不同的业务信息系统和电子信息资源, 从而为办公提供一个完全个性化的应用服务, 提高了的办事效率。并且由于操作权限等的控制, 操作员只能取得与之相对应的操作权限和阅览权限, 避免了信息的泄密等情况的发生。
四、小结
信息资源共享平台的建立, 是一把双刃剑, 一方面可以方便用户获取信息, 对信息经常加工处理, 提高办事效率;另一方面也留下安全防患, 为恶意破坏者打开了一扇方便之门。但是从未来的发展趋势来看, 信息资源的共享是不可逆转的潮流, 因此, 只有好好研究和利用信息资源共享的访问控制技术, 做到防患于未然。
参考文献
[1]陆俊:《公共图书馆开展政府信息公开服务研究》, 中国优秀硕士学位论文全文数据库, 2010年。
资源权限 篇4
通过分析Web国土资源办公系统对权限管理的特点,对如何将基于角色权限控制模型(RBAC)应用于国土资源办公系统进行研究.将RBAC权限管理模型中的权限管理对应到国土资源办公系统中的各项活动、功能模块和网页(表单)的.管理,从而形成扩展的RNM五层权限管理模型,细化和强化了国土资源办公系统权限的控制能力.
作 者:杨进 黄俊 岳建伟 Yang Jin Huang Jun Yue Jianwei 作者单位:杨进,Yang Jin(河南省基础地理信息中心,河南郑州,450003)黄俊,Huang Jun(柳州市国土资源局,广西柳州,545001)
资源权限 篇5
区域空间资源综合管理系统主要是利用GIS技术对独立区域的空间资源进行综合管理,如对各类建筑物、构筑物、建设规划、通信、供排水、电力、燃气、电视电缆等空间资源的管理。与传统的城市各类管线管理系统相比,区域空间资源综合管理具有领域广、综合性强等特点。
区域空间资源综合管理系统,从结构上分为2个部分:一是以空间地理数据录入、编辑、为主的数据维护部分;二是以空间信息查询和日常业务办理为主的业务管理部分。由于空间数据录入、编辑的复杂性,专业空间数据录入、编辑的数据维护部分大都采用的是C/S体系结构。以空间信息查询和日常业务办理为主的业务管理部分,主要是为了各相关职能部门以及领导可以方便地进行空间信息查询和日常业务办理。该部分基本采用B/S体系结构,具有使用方便,客户端不需要安装专业应用软件,维护成本低等特点。
由于区域空间资源综合管理系统从结构上包括了C/S结构和B/S结构的多个子系统,并且必须针对每个系统控制好每个用户的查看范围、查看资源、维护权限等,因此针对系统多、角色多、部门多等特点,设计实现了区域空间资源综合管理系统的权限控制模块,便于维护、使用,为系统提供安全保障。
1 区域空间资源综合管理系统安全总体设计原则
区域空间资源综合管理系统中管理对象的空间位置、属性等对不同的用户有不同的权限:有的用户可查看,有的用户可编辑,有的用户无任何权限。因此在系统总体设计时,不仅要考虑到系统本身的安全可靠性,还必须加强对数据的访问权限严格控制,确保系统的安全。
1.1 安全性总体设计
系统主要从以下几个方面进行安全性设计:
(1)身份认证。
应用软件自身的身份认证,对用户密码可以进行强制的复杂度设置;对密码采取加密存储,即使从数据库中也无法获取用户密码;第三方强身份认证的集成。
(2)强制数据访问控制。
区域空间资源综合管理系统访问控制的特点在于除了传统信息系统中按角色进行功能授权外,还必须根据不同用户,对不同子系统、不同的控制区域、不同类型的图层以及不同图层数据的控制权等进行访问控制授权,以确保数据的安全性。
(3)审计功能。
用户登录信息与登录结果的审计;用户对应用系统中的功能模块操作的审计;用户在应用系统中对信息的输入和输出审计;数据库服务器的启动和关闭信息、数据备份和载入信息的审计。
(4)严格实行三权分离制度。
内置职责权分离的3个管理用户(系统管理员、系统安全员和系统审计员),进行与系统应用及安全相关的管理和运行维护;这三个管理用户在系统中各自有且只有一个,他们之间的管理权限分离、操作没有交叉。其中,系统管理员的操作范围包括组织机构管理、用户管理和备份管理;系统安全员的操作范围包括帐户管理、角色管理和用户角色管理;系统审计员的操作范围只有对审计记录的查询。
1.2 多维强制数据访问控制
区域空间资源综合管理系统访问控制原则:
(1)对于特定子系统,只有授权的用户才能进入;
(2)对于特点区域的数据,只有授权的用户才能访问;
(3)对于所有专业图形数据的编辑操作,只有显式授权的用户才能进行;
(4)对于某具体功能,只有授权的用户才能访问。
也就是说,该系统要实现按系统、区域、图层、角色的多维数据安全访问控制。
2 权限控制设计
2.1 权限控制分析
根据区域空间资源综合管理系统安全设计原则,分别对C/S结构系统和B/S结构系统的权限控制进行分析,从中分解出涉及的对象及之间的关系,进而才能针对这些对象及关联关系设计数据结构。
(1)C/S结构系统权限控制分析
(1)首先判断是否有进入此系统的权限;
(2)如果有就要查看登录者所属区域的图层权限;
(3)当编辑某图层时,查看登录者是否有对某个区域的某个图层有此权限。
C/S结构系统涉及的权限控制对象包括:部门(区域)、角色、应用系统名、用户、图层名。
(2)B/S结构系统权限控制分析
(1)首先判断是否有进入此系统的权限;
(2)如果有则获取登录者能查看的部门区域;
(3)添加图层时只能加入有权限查看的图层;
(4)选择菜单项时,如果没有对此图层对象的属性查看授权,则无权查看。
B/S系统涉及的权限控制对象包括:部门(区域)、角色、应用系统名、用户、图层名、菜单资源。
2.2 权限控制对象关系
综合系统权限控制分析,设计对象包括部门、角色、应用系统名、用户、图层名、菜单资源、角色用户表、应用系统名表、角色图层表、角色菜单表,它们间的关系如图1所示。
3 权限控制实现
根据上述分析,区域空间资源综合管理系统权限控制模块主要实现的功能包括:部门管理、角色管理、图层授权管理、菜单管理、菜单授权管理、用户管理、日志管理等功能。如图2所示。其中:
部门管理
系统管理员实现部门的增加、修改、删除、查询功能;
用户管理
用户包括属于超级管理员角色的用户、分系统管理员的用户、及分系统的查看、编辑用户、分系统审计员等类。用户管理模块是系统管理员实现用户的增加、修改、删除、查询功能;
图层授权管理
系统管理员实现对角色进行图层访问控制权限的修改功能;
角色管理
角色包括超级管理员角色、分系统管理员角色、编辑角色、查看角色、审计员角色等类别。系统管理员实现角色的增加、修改、删除、查询功能;
菜单管理
针对B/S结构的应用系统,系统管理员实现对某B/S系统菜单的增加、修改、删除、查询功能。
菜单授权管理
针对B/S结构的应用系统,系统管理员实现对角色进行菜单访问控制权限的修改功能
日志管理
审计员实现对日志信息的查询、删除功能。
4权限控制在空间资源综合管理系统中的应用
各系统在登录页面中根据用户名获取其角色,再根据此角色首次获取对应图层、资源的相关权限;在各系统运行期间,C/S结构系统每次对空间数据维护时必须再次确认编辑权限;B/S结构系统访问每个页面必须再次进行资源访问权限的确认,同时对业务数据的查询分析必须再次进行图层访问权限的确认。C/S,B/S结构登录流程如图3和图4所示。
5结语
在区域空间资源综合管理系统的权限控制模块的设计中,已经考虑到今后的扩展,如区域的变化、新应用系统的加入等,所以在今后不同业务的GIS和WebGIS应用中都具有较强的适应性。目前该权限控制在体系上已经初具模型,具有较强的灵活性,希望通过今后的应用在细节与功能上对其进行不断的完善与改进,为相关系统的访问控制安全提供较强的保障。
参考文献
[1]宁葵.访问控制安全技术及应用[M].北京:电子工业出版社,2005.
[2]汪伦伟.访问控制框架中多策略模块的组合方法[EB/OL].http://www.ibm.com/developer works/cn/linux/l-acfl,2005.
[3]郝斌.基于角色管理的系统访问控制[EB/OL].http://www.900.ibm.com/,2001.
[4]金步国.认证、授权、访问控制[Z].2006.
[5]石文昌,孙玉芳.安全操作系统研究的发展[J].计算机科学,2002,29(6):5-13.
[6]Department of Defense.Trusted Computer System Evalua-tion Criteria[S].DOD 5200.28-STD,1985.
[7]Ray Spencer,Stephen Smalley,Peter Loscocco,et al.TheFlask Security Architecture:System Support for Diverse Se-curity Policies[A].Proceedings of the Eighth USENIX Se-curity Symposium[C].The USENIX Association,1999.
[8]Stephen Smalley,Timothy Fraser.A Security Policy Configuration for the Security-Enhanced Linux,NAI Labs TechnicalReport[R].2001.
[9]Peter Loscocco,Stephen Smalley.Meeting Critical SecurityObjectives with Security-Enhanced Linux[A].Proceedingsof the 2001 Ottawa Linux Symposium[C].2001.
资源权限 篇6
◎会计信息系统中的权限分类
企业启用会计信息系统之初,应首先进行用户管理,即明确哪些人有权登录系统并对系统进行操作。根据企业内部控制的要求,系统用户要有严格的岗位分工,不能越权操作。权限设置的作用就是对允许登录系统的用户规定操作权限,严禁越权操作的行为发生。
根据权限控制对象不同,会计信息系统中的权限分为以下几类,见表1。
将以上几种权限组合使用,可以使得系统的权限设置功能更灵活、更有效。
◎功能权限及其授权控制
1.理解功能权限
会计信息系统是由多个子系统构成,各个子系统服务于企业的不同层面,为不同的管理需要服务。如典型的会计信息系统包括总账管理、报表管理、固定资产管理、应收款管理、应付款管理等子系统。每个子系统下又按照企业应用流程划分为几个大的功能组,如总账管理系统中一般分为设置、凭证、出纳、账表、期末几组,每个组适用于在不同的应用时段完成不同的功能;每个功能组下再按照实现的业务需求不同细分成若干功能节点,如凭证下又细分为填制凭证、审核凭证、记账等功能节点,由此构成树型功能结构,如图1所示。
功能权限授权的作用主要是明确用户登录系统后能使用系统提供的哪些功能,由此把某些手工管理环节中的不相容职责的划分由此前的制度规定转化为由系
2.功能权限的授权
功能权限的授权对象是角色或用户。角色是指在会计信息系统中拥有某一类职能的组织,这个角色组织可以是实际的部门,也可以是由拥有同一类职能的人构成的虚拟组织。在设置了角色后,就可以定义角色的权限,建立用户时,可以将用户归属于某个角色,如图2所示,这样用户就相应地拥有了该角色的权限。利用角色的方便之处在于可以根据职能统一进行授权,方便管理。一个角色可以拥有多个用户,一个用户也可以分属于不同角色。
功能权限的授权内容是系统所包括的功能,其本质是赋予用户相应岗位职责所拥有的权限。
进行功能权限授权时,注意应先选择授权对象,即对哪个账套进行授权,对哪个用户或角色进行授权;然后再明确所授权的内容。如出纳员张子彬的岗位是出纳员,那么我们应该在功能权限授权中赋予张子彬系统中的“出纳”、“出纳签字”等相应权限,如图3所示。
◎数据权限及其授权控制
1.理解数据权限
企业应用会计信息系统之初,首先需要在系统中建立企业的基本信息、核算方法、编码规则等,称之为“建账”,这里的“账”也称“账套”。账套数据在会计信息系统中以数据库的形式存在,不同性质的数据信息又是存放在不同的数据表中。很多情况下,不同的用户对应的管理内容是不同的。例如:客户档案是企业的一项重要资源,手工管理方式下,客户信息一般散落在业务员手中,每个业务员掌握数量不等的客户信息资源。业务员一旦离开企业,极易造成客户资源的流失,给企业带来损失。企业建立会计信息系统时,需要全面整理客户资料并录入系统,以便有效地管理客户、服务客户。客户信息包括以下几个方面的内容,如图4所示。
基本信息:包括客户编码、客户名称、客户简称、税号、开户银行、银行账号等。
联系信息:包括地址、邮编、联系人、电话、发货地址、发货方式、发货仓库等。
信用信息:包括价格级别、信用等级、信用额度、付款条件、应收余额等。
其他信息:包括分管部门、分管业务员、停用日期等。
看到这里,也许有人会问:如此全面的客户信息存储在系统中,是否容易造成客户信息泄露呢?企业不同管理岗位其所能接触和管理的客户范围和客户内容是不同的,如限定销售员杜壮壮只能查看和管理自己辖区的客户,而无权查阅企业所有的客户;数据录入员孟凡杰参照客户时只能看到客户编码、客户名称几项基本内容,不能看到客户联系人、信用情况等信息。这便属于数据权限所管理的内容。
那么系统是如何实现这种数据权限管理需求的呢?让我们从系统中的数据存储层面来解释这个问题。在数据库中,全部客户信息存储在“客户”表中,如表2所示。
在“客户”这张二维表中,一行是一个客户的完整信息,称之为记录,一列代表了客户某一方面的属性,称之为字段,对应地数据权限分为字段级权限控制和字段级权限控制。这样我们就把上述需求表述成:销售员杜壮壮仅对客户表中的某些记录有查询和录入权限,而数据录入员孟凡杰仅对客户表中的某些字段有查看权限。
2.数据权限的授权
如果企业需要利用数据权限进行权限的精细控制,首先需要先进行数据权限控制设置,以指定对哪些业务对象进行权限控制,如图5所示。
再例如,企业有产品库和原料库两个仓库,房芳主管产品库,丁聪负责原料库,为他们设置功能权限时,他们均为“仓库主管”角色,拥有库存管理系统的所有功能。两者之间仓库权限的严格区分是由数据权限设置规定,如图6所示。授权之后,房芳就只拥有产品库的记录的查询和录入权限。
◎金额权限及其授权控制
1.理解金额权限
严洁是刚刚毕业的大学生,会计主管分配其负责办理日常费用报销业务,为了谨慎起见,希望设定严洁制单时的金额额度为2000元。在会计信息系统中是通过金额权限设置满足上述需求的。金额级权限主要用于设置用户可使用的金额级别,会计信息系统中提供了对如下业务对象的金额级权限设置:采购订单的金额审核额度、科目的制单金额额度。
2.金额权限的授权
设置金额权限前,应首先设置金额级别。如图7中对库存现金科目设置三个级别,然后指定用户严洁的对应级别为级别一,这样就可以控制用户严洁制单时所用金额额度了。
浅谈统一权限管理平台 篇7
应用统一权限管理平台提高权限的集中管理, 进一步加快各业务系统之间的信息共享与融合, 可以使信息资源重复利用, 同时为业务功能组件化管理提供权限服务支撑, 提高业务应用及分析决策能力, 避免了在权限调整过程中存在用户权限放大的隐患。加快统一权限管理平台的建设, 以确保系统内人员、组织机构数据的一致性, 利用权限分析检测功能, 对人员权限进行全面监控与合规性检测, 通过安全、高效的数据同步技术、提高调整效率。
1 统一权限平台
统一权限平台架构。统一权限管理系统包括统一身份、统一认证管理、统一授权与安全审计四个核心功能模块, 实现人员身份管理、组织机构管理、授权管理、合规性管理、安全审计等模块功能, 实现统一管理、流程规范、过程受控、备案审查的目的。整体架构如图1所示:
2 统一权限平台技术支撑
2.1 分布式缓存
统一权限管理平台在系统缓存方面采用了memcached分布式缓存技术, 客户端的分布式设计成集群模式, 客户端集群由多个客户端节点组成, 应用程序在保存数据时先通过分布式算法获取到某一客户端节点, 客户端节点通过内部算法求出需存入的缓存服务器节点, 同时将存入对象放入异步同步线程池中, 同步给集群中的其它客户端节点。
具体如下:
(1) 数据缓存通过内存缓存、磁盘缓存作为存储介质, 通过同步、分片、路由实现灵活的集群、数据冗余。
(2) 系统数据缓服务提供统一的缓存访问接口API, 接口支持以RESTful方式访问。
(3) 数据缓存提供基于Web的配置、管理、监控界面。
(4) 平台通过提供LRU (Least Recently Used, 最近最少使用算法) 、LFU (Least Frequently Used , 最不经常使用算法) 和FIFO (First Input First Output, 先入先出算法) 等缓存策略及时清理过期缓存项目。
(5) 数据缓存套件服务于系统的其他所有模块, 数据访问层包含数据缓存服务的API。
2.2 SSO认证
统一权限管理平台主要采用单点登陆认证技术 (Single Sign On, SSO) , 通过使用单点登陆, 用户登陆门户后, 可直接访问相关业务平台, 在身份凭证有效期内, 也不需要再次进行认证, 提高了系统的易用性、安全性和稳定性。在系统服务器上, 通过部署SSO认证包, 实现即装即用, 具有很强的灵活性, 并且可以精确记录用户的日志等, 对后续业务系统扩展有良好的兼容性。
单点登陆的具体步骤如下: (1) 登陆系统平台后, 从登陆认证结果中获取相关用户id; (2) 由用户id映射不同应用系统的用户账号; (3) 最后用映射后的账号访问相应的业务系统。
3 统一权限平台与业务系统集成
统一权限与业务系统集成逻辑架构。由统一权限系统提供统一的登录认证模块, 访问业务系统若发现未登录则会跳转到统一权限的登录页面, 登录认证后返回用户访问的业务系统的页面。统一权限是相关权限数据在统一权限系统中维护, 正向同步到业务系统中, 常用同步范围如对用户、业务组织、业务角色分组、菜单的新增、删除、修改业务角色的权限分配、业务角色分配人员等。图2 为统一权限与业务系统集成逻辑架构:
4 结束语
本文针对统一权限系统从系统架构、技术支撑、与业务系统集成方式进行了介绍和分析。通过建设统一权限管理平台, 加强企业权限的集中、统一、精益和高效的管理, 进一步提升对企业内组织、人员、账号、权限的管控能力, 加强了对资源的共享。
摘要:随着互联网的迅猛发展以及internet技术的广泛应用, 加快企业信息化建设变得尤为迫切。目前, 国内信息化程度较高的行业纷纷启动并实施了统一权限管理系统的建设。本文通过建设的统一权限管理平台, 从而能够更加灵活、迅速的实现身份权限管理需求, 提升公司身份权限管控水平, 降低身份安全控制风险。
Delphi简易权限设置方法 篇8
首先建一操作员表“operator”,有四个主要字段名称:“char (10)”、“password:char (10)”、“privilege:integer”和“ismanager:boolean”,分别表示用户姓名、口令、权限和是否为系统管理员。
Delphi中的每个控件都有一个属性tag,该属性的值默认为0,现在将系统中的每个功能项对应的控件(比如菜单项)的tag按以下规律设置:
第一项:1 (二进制00001);第二项:2 (二进制00010);第三项:4 (二进制00100);……;第n项:2n-1(即其二进制的第n位为1)。
operator表中某用户的权限为他能操作的所有菜单项tag值之和。如只能操作第一项,其privilege=1;只能操作二、三项,其Privilege=2+4=6……
利用位“与运算”来决定系统中各菜单项或功能按钮是否有效,即当前登录用户是否有权操作此项功能。结果不为0表示有效,否则无效。
2 授权
当用户登录系统后,取出其privilege值和每一个菜单项的tag进行“与运算”,结果不为0者,即令该菜单项有效,否则令其无效,这样就决定了此用户的操作权限。
授权代码示例如下:
3 权限设置
建一个form放置若干checkbox控件,设置每个checkbox的caption和tag属性与相应菜单项的caption和tag一样,在保存设置时,遍历form上的所有checkbox,将被选中者的tag属性值累加写入operator表的privilege字段,即完成了权限设置。
权限设置代码示例如下:
4结语
本文介绍的方法应用于功能简单,安全性要求不是很高的系统中十分方便。同时还可以将权限数据privilege适当加密以增强安全性。本文示例用的是两级菜单,可以扩展其级数,利用递归遍历进行授权。
参考文献
[1]吕宗智,汪世攀,王晟等.Delphi实用技术精粹[M].北京:人民邮电出版社,2000.
[2]邓毅,李华,李涵等.Delphi4.0入门与提高[M].北京:清华大学出版社,1999.
用友U8的权限设置细分 篇9
在用友U8系统中,操作员权限设置分为三个层次:功能级权限、数据级权限和金额级权限,见表1。
二、用友U8操作员权限设置
(一)功能级权限的设置
所谓功能级权限设置,是指对某操作员是否具备某功能模块相关业务处理的权限进行设置。作用主要是明确用户对系统中的哪些功能有操作权限,由此把手工管理环节中的不相容职责的划分由制度规定转化为由系统自动进行控制。进行功能权限授权时,注意应先选择授权对象,即对哪个账套进行授权,对哪个用户或角色进行授权;然后再明确所授权的内容。
总的来说,系统管理员负责整个电算化系统的维护工作,而账套主管负责本账套的维护工作。
功能权限的授权对象是角色或用户。角色是指在用友U8中拥有某一类职能的组织,该角色可以是实际的部门,也可以是某些拥有同一类职能的人构成的虚拟组织。完成角色设置后,就应定义角色的权限。一个用户可以分属于不同角色,一个角色可以拥有多个用户。
功能权限的内容是系统所包括的功能,设置权限的本质是赋予不同岗位所对应的权限。需要注意的是,每个操作员至少应该有公共目录管理的所有权限。然后根据不同操作员所属岗位的职责分别选择权限。例如,会计可以拥有公共目录设置、除出纳和账套主管权限外其他总账的权限等,具体权限根据不同企业赋予会计的职责而定。出纳拥有总账下所有查账的权限、出纳签字的权限、有关银行和现金业务的所有权限,其他权限视出纳做的事情而定。但不管怎样,不能给出纳过多的权限。此外,对于用友ERP-U8操作员权限中的供应链、生产制造、人力资源等不同权限也应该根据企业具体情况进行分配。
功能级权限管理设置完成后,对于那些操作人员较多且分工很细的企业,可以继续对数据级和金额级权限进行设置。
(二)数据级权限的设置
功能级权限的设置在“系统管理”中通过“权限分配”设置,数据级权限的设置是在“企业门户”中通过“基础信息/数据权限”设置,且必须是在系统管理的功能权限分配完成后才能进行。数据权限设置是功能权限设置的细化,是对某操作员的具体业务处理对象或具体处理内容进行的控制。如果在功能权限设置中赋予某一操作员填制凭证的权力,如果不做进一步限制,则该操作员具有使用所有科目、填制所有类型凭证的权力。如果需要做进一步限制,使操作员只能使用部分科目、填制部分类型的凭证,就需要对数据权限进行设置,实现对业务的精细管理。见图1。
数据权限设置分为记录级权限设置和字段级权限设置。用户可以针对16个记录级业务对象和105个字段级业务对象进行有选择的控制。所谓记录级权限设置,是指对具体业务对象进行的权限设置,例如对凭证类别、项目、客户、供应商、存货、部门、业务员、仓库、货位、资金单位等档案设置权限时分查询和录入权限,其中录入权限自动包含查询权限,即当一个用户对某一记录只具有查询权限时,表示该用户不能录入当前记录发生的业务数据,只能查看当前记录所对应的业务数据;当一个用户对某一记录同时拥有查询/录入权限时,即表示该用户既可以录入当前记录的业务数据又能查看其所对应的所有业务数据。所谓字段级权限设置,是指对某具体业务对象的某些字段进行的控制,例如对某一档案需要进行字段权限控制(可设置查询权限、录入权限、无权限),则进入基础档案卡片、基础档案列表时只显示有查询或录入权限的栏目,同时在参照时也只显示有查询或录入权限的栏目。
需要注意的是,只有账套主管才有权对其他操作员进行数据权限控制设置,其他操作员是无权进行数据权限控制设置的。
1.设置记录级数据权限,见图2。
(1)设置操作员可以访问的部门,见图3。
(2)设置操作员可以使用的会计科目,见图4、图5。
(3) 设置操作员可以使用的凭证类别, 见图6。
(4) 设置操作员可以访问的用户, 见图7。
设置记录级权限时需要注意以下四个方面: (1) 对角色进行权限分配时,相当于将这些权限同时分配给该角色包含的所有用户,即实现对多个用户批量分配权限。若对其中的个别用户还要进行权限的添加、删除,则可通过对该用户的权限分配达到最终目的。 (2) 如果是集团账套,则增加业务分配对象“集团企业目录”的设置。 (3) 在设置记录级权限时,如果选中主管,该用户对此业务对象拥有所有记录权限,并不允许对该用户分配此业务对象的记录权限。 (4) 记录级权限设置必须与总账选项中的“制单权限控制到科目”、“制单权限控制到凭证类别”、“凭证审核控制到操作员”配合起来才能生效。见图8。
记录级权限设置的效果,如表2所示。
具体来看,如果使用了未被授权的会计科目,将出现图9所示的提示:
在填制凭证时,只能看到和选择被授权填制的凭证类别,见图10。
2.设置字段级数据权限控制设置, 见图11。
对字段级权限进行设置的效果,如表3所示:
对于记录级对象的权限,只有“直接授权”、“继承角色”两种来源;字段级对象的权限有四种来源,增加“继承敏感资源”、“默认权限”两种。所谓“直接授权”,是数据权限管理员直接分配给该操作员的;所谓“继承角色”,是由于该操作员所属的角色具有该权限,操作员继承角色权限从而获得此权限;所谓“继承敏感资源”,是由于该操作员对这个敏感资源有权限,从而继承敏感资源权限获得此权限;所谓“默认权限”,是由于此对象的默认权限(数据权限控制设置中),所有操作员不进行授权就有此权限,该操作员继承对象默认权限从而获得此权限。
字段级权限设置中的敏感数据权限的设置,其子产品应选择基础档案。敏感数据是为了方便使用字段级数据权限而定义的一些抽象业务对象,方便对多个实际的业务对象进行统一控制,以避免用户对每个业务对象都要进行权限设置及分配,可以配合字段级权限设置一起使用。将敏感对象的末级属性和具体业务对象的字段建立映射关系后,通过添加对这些敏感对象的权限控制能完成对其所映射的业务对象的字段级权限控制。例如,在敏感数据对象设计器中设置敏感对象“客户”的末级属性“收款金额”,将“收款金额”与业务对象“发货单列表”的字段“累计收款金额”、“委托代销发货单列表”的字段“未回款金额”建立映射关系,如果在分配字段级权限时,可以给某用户授予“客户”这个敏感对象的“收款金额”属性为“录入”权限,则不必再为该用户单独设置“发货单列表”上的“累计收款金额”和“委托代销发货单列表”上的“未回款金额”两个字段的权限,该用户对这两个字段的权限自动为“录入”权限。
敏感数据对象被授权后,还可对其关联的某个实际业务对象进行单独的字段级权限调整,如果两者的权限不一致,则按照单独设置的实际业务对象的权限处理。比如上面的例子中,给某用户授予“客户”这个敏感对象的“收款金额”属性为“录入”权限后,设置“发货单列表”上“累计收款金额”的字段级权限为“查询”权限,那么该用户对“累计收款金额”字段还是只有“查询”权限,对“委托代销发货单列表”上的“未回款金额”有“录入”权限。
设置字段级权限时需要注意以下两方面: (1) 对角色进行权限分配时,相当于将这些权限同时分配给该角色包含的所有用户,即实现对多个用户批量分配权限。若对其中的个别用户还要进行权限的添加、删除,则可通过对该用户的权限分配达到最终目的。 (2) 当用户与所隶属角色的字段权限互斥时,执行用户权限。如用户是“无权限”,而隶属角色是“读权限”,则按“无权限”处理。
(三)金额权限设置
金额权限设置是指对某操作员可以使用的金额级别进行的设置。只有账套主管才有权进行金额权限的设置,其他操作员无权进行数据权限的设置。对某操作员进行金额权限设置时,可以从科目金额级别和采购订单级别两方面进行。科目金额级别控制是对某操作员填制会计凭证时涉及的会计科目从金额上进行的控制;采购订单级别控制是对某操作员填制采购订单时对涉及的金额进行的控制。
对某操作员进行金额权限设置时,首先应进行金额权限级别的设置,然后再根据该操作员的具体职权情况,选择相应的金额级别。设置方法如下:以账套主管身份登录企业门户,运行“基础信息|数据权限|金额权限分配”命令,打开“金额权限设置”窗口,单击“级别”按钮,打开“金额级别设置”窗口,根据需要选择“科目金额级别”或“采购订单级别”,单击“增加”按钮,即可进行会计科目或采购订单的金额级别设置。金额级别共六级,可以根据需要对每一级别设置不同的金额额度,但金额必须是逐级递增,不允许中间级别金额为空的情况出现,但允许最后有不设置的级别存在。金额级别设置完毕后,单击“退出”按钮,退出金额级别设置窗口,回到金额权限设置窗口。在金额权限设置窗口,针对不同的操作员,选择不同的金额级别,即可完成金额权限设置。见图12、图13。
金额级别设置完成以后就可以进行用户金额权限的设置。见图14。
值得注意的是, 金额权限的设置必须与总账选项中的“操作员进行金额权限控制”配合起来才能生效, 见图15。
金额权限设置成功以后,如果用户超过了授权金额,将出现以下提示:“超过授权金额,是否进行授权签字?”。
摘要:用友ERP-U8可以满足各级管理者对信息化的不同要求, 在业务操作层面上, 为了突出精细管理的特征 (如财务管理中资金的精确管理、整个供应链的执行过程控制等) , 可以通过设置操作员权限并进行权限细分来实现。本文对用友U8软件中的权限设置进行了理论上的阐述, 并结合软件描述了权限设置细分的具体操作。
关键词:U8,权限设置,细分
参考文献
[1].马继伟, 刘海涛, 高建立.用友ERP-U8操作员权限设置探析.中国管理信息化, 2006;5