關(guān)于數(shù)據(jù)的安全權(quán)限的問題

giraffe

我們公司所有的生產(chǎn)、人事、財務(wù)的PFFILE 都在一個庫里面 pflib ,現(xiàn)在想實(shí)現(xiàn)比如負(fù)責(zé)生產(chǎn)的相關(guān)的程序員不能看到人事的數(shù)據(jù)這樣的限定，如何實(shí)現(xiàn)呢？我想是不是要把人事的pffile 單獨(dú)的放到一個庫里面,然后對這個庫的權(quán)限作限制？
而且現(xiàn)在所有的程序員都是 *allobj權(quán)限。請大家?guī)兔χ更c(diǎn)一下，謝謝！

xuguopeng

拿掉*ALLOBJ權(quán)限才有可能

giraffe

可能我表達(dá)的不很清楚，重新描述一下我的問題
現(xiàn)狀：1）所有的程序員權(quán)限 *allobj  2）生產(chǎn)/人事所有的source/object都在相同的庫中

希望實(shí)現(xiàn)： 1）程序員分組 scgroup (生產(chǎn)相關(guān)的程序員）；rsgroup（負(fù)責(zé)人事的程序員）
           2）scgroup 不能訪問人事相關(guān)的數(shù)據(jù)

如何實(shí)現(xiàn)？請大家?guī)兔Γ�本人以前沒做過系統(tǒng)管理。  謝謝

xuguopeng

把程序員*ALLOBJ權(quán)限拿掉

在USRPRF中將程序員進(jìn)行分組后，分別針對LIB中各個OBJ進(jìn)行授權(quán)

嚴(yán)格的來說，程序員根本就不應(yīng)該在生產(chǎn)環(huán)境上有權(quán)限，更別說給*ALLOBJ權(quán)限了。。。。

giraffe

如果對LIB中各個OBJ進(jìn)行授權(quán)的話，工作量太大了點(diǎn)。而且新生成的obj 是否都要指定它的訪問權(quán)限啊
我們程序員也是各個應(yīng)用系統(tǒng)的維護(hù)員
還有別的方法嗎？

xuguopeng

麻煩肯定是麻煩的，畢竟前期的管理很混亂。

如果可以的話按應(yīng)用系統(tǒng)分 一個應(yīng)用系統(tǒng)一個LIB 這樣會好一些

giraffe

謝謝xuguopeng的答復(fù)。
我也感覺一個應(yīng)用系統(tǒng)一個庫比較好管理。
大家能談?wù)劯鱾�企業(yè)的數(shù)據(jù)安全怎么管理的嗎？希望能從中得到一些借鑒。

qingzhou

當(dāng)然，一個應(yīng)用一個LIB管理，然后按照SOURCE MEMBER的屬性再建QDDSSRC/QDSPSRC/QPRTSRC/QAPWSRC/QRPGSRC/QCLSRC/QCMDSRC，對備份和管理工作也會帶來極大的便利。

對于一些比較敏感性的數(shù)據(jù)，從數(shù)據(jù)OBJECT角度去授權(quán)限制會比較妥當(dāng)。不過，在企業(yè)，數(shù)據(jù)訪問安全設(shè)定一般沒有銀行、保險要求那么高，不出什么亂子就行了。

szhyl

樓上的關(guān)于增加各系統(tǒng)的訪問權(quán)限，我也有同感，雖然可以將各個應(yīng)用系統(tǒng)的LIB分開，但各個系統(tǒng)有時共用一個基本情報代碼系統(tǒng)，特別財務(wù)系統(tǒng)均與各系統(tǒng)相關(guān)共享數(shù)據(jù)，如對各系統(tǒng)加權(quán)限后，各應(yīng)用系統(tǒng)之間的數(shù)據(jù)共享如何實(shí)現(xiàn)？

xuguopeng

大部分業(yè)務(wù)系統(tǒng)都是把USER控制在MENU里面，通過PGM來控制USER能操作哪些功能，有的時候不能單單憑USER對LIB的權(quán)限去控制。例如可以用針對OBJ的權(quán)限，或者使用程序來控制哪些用戶可以使用，大多的前提是USER沒有命令行權(quán)限，即使他對其他LIB有權(quán)限他也訪問不到