摘要：在企業信息化過程中，系統將準確記錄企業經營管理過程中的全部信息，將涉及到數據的安全性要求，除了數據存儲安全不能外泄之外，還需要在企業內部明確數據的開放範圍和讀寫權限，這是任何企業信息化建設必須要聚焦關注問題之一。本文將從用戶權限設計的角度來介紹如何解決企業數據的訪問範圍及讀寫權限控制。

當沒有數據訪問權限時，需要做好明確的拒絕訪問提示

來自企業家的擔心

信息化的幾個特點：客觀、透明、準確、及時等，這些優點為企業管理帶來了管理過程執行的規範性，實現跨時空的信息交互，為企業發展提供更加精準的參考依據。企業信息化給企業帶來一大堆好處的同時，也帶來了一個讓企業家擔心的問題：數據安全性。除了數據存儲安全外，在企業內部，涉及到不同的業務，不同的部門，產生不同的數據，而部分數據對員工而言是不開放的，如：核心商機、企業財務、客戶資源、系統代碼等，不同角色的員工訪問的數據不盡相同。曾經出現過員工越權訪問，複製出商業計劃，倒賣給競爭對手等惡性事件，企業家對數據訪問安全就更加重視，這是正常現象。從系統設計的技術角度，做好用戶權限體系，是支撐系統數據訪問安全的主要手段。

用戶權限體系

用戶權限體系是系統安全策略的重要方面。就像每個人都有身份證一樣，企業信息系統中，可以訪問系統內部功能的每個員工，都需要體現設置一個訪問賬號，賬號就是員工在系統中的身份證。

配置指紋識別的辦公環境

不同的系統賬號記錄方式不同，有的用賬號和密碼匹配；有的用指紋識別；有的用虹膜識別；有的用電子射頻卡；有的用磁卡等。如：銀行櫃檯業務系統，櫃檯員工在登錄系統時，還需要在特製的刷卡機上刷銀行頒發的一個磁卡，才能通過系統驗證。

身份認證只是允許用戶跨入系統「大門」的步驟。用戶登錄後，不同的用戶，對應不同的權限，訪問不同的系統功能、處理不同的業務數據，這就是用戶的權限體系。一個全面的管理系統，為系統管理員提供了能夠設置用戶權限的安全策略自定義功能，這個操作將掌握用戶訪問的「生殺大權」需要做特別授權。

用戶權限體系的兩個方向

當系統登錄後，可以從兩個維度來做好用戶權限控制：

1. 功能授權。明確用戶是否可以訪問，如果不能訪問，則不用在界面上展示。
2. 數據授權。用戶能獲取到的數據範圍，如自己操作的數據還是整個部門的數據等。

從兩個方面做好數據控制層面來做好權限控制：

1. 數據獲取。用戶只有讀取查看數據的權限，不能進行其他操作。
2. 數據提交。用戶可以編輯數據，並提交到更改。

系統設計時，可以從以下五個關鍵點。

關鍵點1：敏感數據整理

該操作在需求分析階段完成，系統需求分析中，除了做好業務流程梳理、系統功能定義之外，還需要完成系統數據定，在數據定義中，確定數據敏感性、開放範圍、訪問角色、讀寫權限等。一般來講，企業敏感數據主要有以下幾類：

1. 財務數據。包括企業應收、流動資金、利潤等日常管理數據。
2. 客戶資料。客戶資料主要指核心客戶資料，潛在客戶資料一般不列入敏感數據範圍。
3. 商業計劃。具有特定重大商業活動策劃方案，重大市場戰略方案等設計數據。
4. 核心技術。研發類企業在產品研發過程中的核心技術文檔、數據、方案等。

敏感數據整理和定義可參考下表：

數據敏感性需求分析整理表格

關鍵點2：涉及敏感數據的業務流程定義

在完成第一個關鍵點後，每一類敏感數據都被分類抽取出來，接下來需要完成的是業務流程定義。在企業信息化業務流程定義中，將涉及到流程梳理再造的問題。原來通過傳統方式完成的工作，在企業信息化之後，將有部分線下環節通過在線處理來實現，原來的工作方式將發生改變。同時，業務流程再造帶來的是工作方式再造、人力資源再分配、管理制度優化等一系列工作。

在設計敏感性數據事的業務流程定義，需要遵循以下原則：

1. 安全性原則。只要是設計敏感數據的業務流程，不能因為要採用系統在線處理產生數據泄露等問題，新的業務流程通過系統管理後，需要做到數據的準確展示和處理，不該訪問的用戶，就不能訪問，不該更改的數據，就不能更改。
2. 可行性原則。數據敏感性可以制定一個安全策略，既能保證訪問，又可確認數據安全。不能只強調安全性，結果應該訪問數據的用戶，部分數據卻不能訪問，或訪問到的數據不全面，不完整。
3. 普適性原則。數據安全策略不能因為流程變化而不可用，需要在業務不斷變化的過程中，通過系統管理配置實現數據安全可控性，且對於不同業務類型的業務流程，也同樣可以通過配置完成數據安全策略部署。

遵照以上三個原則，開展系統業務流程數據，在業務流程梳理中，需要明確業務節點，操作條件，訪問數據範圍，數據訪問機制和更改機制等。銘感數據的業務流程定義，可參考下面的流程定義模板：

業務流程數據中涉及敏感數據的節點定義

關鍵點3：角色控制

數據安全策略中一個關鍵的概念是角色（Role），角色將賬號從具體的用戶中分離出來，讓系統權限定義的依據不再是用戶，而是角色下包含的賬號。這樣一來，可以根據操作需求定義不同的角色，每個角色包含不同的賬號，賬號和用戶之間建立關聯關係。系統對權限的控制只針對角色，而不再針對用戶。如：系統中有一個財務審批的流程如下：

費用申請審批流程圖中的節點角色定義

在《費用申請審批業務流程》圖中，明確定義了費用申請審批的發起流程、審批過程、審批跳轉條件、以及每個操作節點上的操作角色。在該流程中並沒有定義用戶，而是用角色代替了用戶，在業務流程中，系統功能、角色、賬號、用戶之間的關係，構成了系統的權限體系和安全配置策略體系。

從系統技術設計的角度來看，系統功能、角色、賬號、用戶的設計關係如下，該關係具有普適性，任何管理系統權限體系皆適用！

功能權限系統實體關係（E_R）設計圖

在上圖中，從權限管理的角度，突出角色的概念，通過角色將系統功能、數據和賬號、用戶關聯起來，達到用戶和數據的松耦合和可配置，從而實現系統數據訪問安全。

在賬號對象中，可以擴展賬號屬性，如：是否採用指紋識別，如果採用，則需要再建設一個賬號指紋庫，將指紋和賬號關聯，即可通過指紋識別完成用戶指紋——賬號——角色——功能——數據的邏輯處理。同理，其他對象也可以根據企業信息化需要，擴展相應的屬性，在通過對象關聯，最終達到用戶（員工）和功能、數據的訪問安全策略配置。

關鍵點4：審核機制

對於企業信息化敏感數據，在系統操作和運行維護中，務必要建設審核機制。在今年2月份發生的微盟用戶數據惡意刪除事情，根據微盟對外公告，很明顯，是因為數據運維時沒有審核機製造成的。對在線網運行的數據，任何後台維護操作都需要做好數據備份，同時對更新、刪除等敏感操作，需要做好至少二級審核。

從技術上，數據更改審核機制需要實現數據備份、數據修改、修改審核、確認生效等操作。而該操作在系統中可能是數據修改發起方提交一個申請和展示，在審核方做內容核准，然後生效的過程。其原則是斷絕後台數據操作單點性。

從管理上，需要制定專門的系統運行維護機制，其中對後台數據侵入式管理需要有明確的規定。如：數據備份規定、數據庫運行維護規定、數據變更審核規定等。一旦企業信息系統正式運行後，系統管理將交由專門制定的運行維護人員管理，系統提供專門的運行維護模塊，並配合管理制度完成後台管理審批流程。

關鍵點5：可視化配置

要保證企業信息系統的可維護性，可視化配置功能必不可少，尤其對現網運行系統的維護，盡量避免對數據庫進行「侵入式」管理，即運維人員直接登錄數據庫管理平台，打開後台數據庫進行數據修改操作。所有涉及後台數據操作，都需要通過管理平台進行。在管理平台中，其中對用戶權限進行可視化配置就非常關鍵且必要！用戶權限可視化配置中，根據設計將進行企業組織機構管理（部門管理），員工管理、賬號管理、角色管理、權限配置等操作。如下圖實例：

角色權限管理可視化配置實例

可視化配置中，需要嚴格限制管理員授權，並有監督機制。

後記

用戶權限設計，是企業信息化數據安全和系統架構可擴展性的基礎性功能設計，一個號的用戶權限設計，可以為後期系統使用帶來極大便利，同時在保證數據安全和系統運維安全中，起到直觀重要的作用。請參考以上五個關鍵點，在信息化之初做好權限體系布局，以適應企業發展中的不同也無需求，便可做到任其風吹浪打，勝似閑庭信步。