OPEN3000工程化手册_权限及责任区

1OPEN3000系统工程化手册之六权限及责任区2006年5月2目录第八章权限管理(PRIV_MANAGER).............................................................................................38.1概述..............................................................................................................................................38.1.1功能......................................................................................................................................38.1.2特殊属性..............................................................................................................................38.1.3角色......................................................................................................................................48.1.4用户......................................................................................................................................48.1.5组..........................................................................................................................................58.2权限管理界面（PRIV_MANAGER）...................................................................................................58.2.1启动和退出..........................................................................................................................58.2.2功能的定义与维护..............................................................................................................88.2.3角色的定义与维护..............................................................................................................98.2.4组的定义与维护................................................................................................................128.2.5用户的定义与维护............................................................................................................168.3权限定义步骤举例....................................................................................................................24第九章责任区管理............................................................................................................................339.1概述............................................................................................................................................339.2定义责任区................................................................................................................................349.2.1启动责任区定义界面.........................................................................................................349.2.2定义基本责任区.................................................................................................................349.2.3定义复合责任区.................................................................................................................419.3选择责任区（责任区切换）....................................................................................................443第八章权限管理(priv_manager)8.1概述为了保证系统的安全性，不同的用户赋予不同的权限，只有被授权的用户才能作相应的操作。而“用户权限定义与管理界面”（priv_manager）就是定义不同用户权限的工具。系统的权限定义采用层次管理的方式。相关的主体有五种：功能、角色、特殊属性、用户和组。下面分别介绍这五个概念。8.1.1功能“功能”是最小的不可再分的权限单位。“功能”的定义原则是尽量简单化和单一化。一个“功能”只实现一种目的，两个不同的“功能”之间不能有权限重合的部分。权限管理中的功能是系统里设置了控制权限的功能。例如，“查看前置报文”，在权限管理中就没有该功能，因此，“查看前置报文”就没有权限控制，任何人都可以看前置报文。而权限管理中有“遥控“这个功能，因此，“遥控”功能是受权限控制的，只有具有“遥控”权限的用户才能进行遥控操作。用户不能添加权限定义里的功能。8.1.2特殊属性与功能一样，特殊属性也是最小的不可再分的权限单位。但特殊属性一定是作用在某一个具体的对象（包括数据表域，报表和图形）之上，用于对该具体对象权限的补充定义。一般来说当定义了“模型定义写”权限的用户可以对所有的表写操作，当然也可以对某些表的某些域或所有域（全表）定义禁止查询/只查询/修改/删除记录/增删改等等特殊属性权限。实际应用是，一般的远动维护人员可以对设备表，参数表等等进行读写操作，但是像PUBLIC/系统类/表信息表，域信息表，菜单表等等数据字典类的表非常关键，如果被误修改可能导致整个系统无法运行，像这些关键的表只能允许系统管理员修改，而普通具有“模型定义写”权限的角色则不能对这些特殊的表修改。可以设计如下，定义角色“系统维护”和角色“系统管理”都具有“模型定义写”功能，在角色“系统维护”里定义数据表域特殊属性，对表[表信息表，域信息表…菜单表]等等定义“只查询”，这样仅拥有“系统维护”角色的用户只能对上述定义了特殊属性的表（表信息表，域信息表。。菜单表）查询，而不能写，而拥有“系统管理”角色的用户则可以对所有的4表进行写操作，这样就增加了系统的安全性。同样，可以对某个角色（用户）定义某张具体的图形的“禁止读取/只读/可编辑”特殊属性，对某张具体的报表定义“读取/只读/可编辑”的特殊属性。8.1.3角色角色由一个或多个功能以及一个或多个特殊属性组成。角色定义的原则是：组成角色的功能之间应该具有横向或纵向的协作关系，完全没有关系的功能不应放入同一个角色之中，具有相反权限的功能也不应放入同一个角色之中,角色的定义应该尽量最小化，如果一个角色中有两类功能组合，最好定义成两个角色。例如，可以定义系统运行角色，系统维护角色和数据库管理员角色，系统运行角色包括“画面挂牌”，“画面遥测封锁”，“遥控”等等运行类功能，系统维护角色包括“告警方式定义”、“曲线定义”、“采样定义”、“画面文件写”、“报表文件写”、“公式修改”，“模型定义写”等等维护的功能，数据管理员角色包括“商用库恢复”、“商用户备份”等等数据库维护方面的功能。8.1.4用户用户是权限系统中最重要的主体，是用户权限设置的最终体现，一个用户可以定义包含几种角色，那么用户就可以拥有角色的全部权限。还可以单独对用户进行功能定义，比如单独增加角色中没有的功能，或者单独减去角色中的功能。还可以对用户进行特殊属性的设置。例如，定义了角色“系统维护”包括功能“公式修改”，“模型定义写”，角色“系统维护”，还包括对表“表信息表”只读的特殊属性，角色“数据管理员”包括功能“商用库恢复”、“商用库备份”，定义用户whz,包含角色“系统维护“，“数据管理员“，但是对功能“商用库恢复”定义了“单独减去“，对表“菜单表“定义了只读的特殊属性，则用户whz拥有的全部权限是从角色“系统维护“继承的“公式修改”，“模型定义写”和对“表信息表“只读，还有从角色“数据管理员“继承的“商用户备份”，还有自己单独定义的对表“菜单表”只读，即功能列表如下“公式修改”，“模型定义写”、“商用户备份”和对表“表信息表“、“菜单表”只读。系统中分为三种级别的用户：超级用户、组长、普通用户，不同级别的用户的权限不同。超级用户的权限最大，可以创建、删除用户，创建、删除角色、创建、删除组，以及定义，修改用户权限、角色权限，还可以定义组里的用户，但不能修改普通用户的密码，只能在创建时生成初始密码；组长级别的用户可以修改组员的权限，但不可以修改组员的密码，也不能创建、删除用户；而普通用户除了能浏览本组成员的5信息之外只能修改自己的密码。一般情况下超级用户不在界面上显示，只有用特殊参数登录时才显示。但也只能修改超户的密码，不能修改其它属性。8.1.5组组的引入是为了对用户进行分类，组本身不是权限的载体。组和用户的关系，类似于文件夹和文件的关系。一个用户可以不属于任何组，或者只能属于一个组，但不能同时属于多个组。8.2权限管理界面（priv_manager）8.2.1启动和退出权限定义与维护管理界面的启动方法有两种：方法一：在总控台选择“用户权限定义与维护管理”图标按钮；方法二：在命令窗口下执行priv_manager命令。无论执行上面两种方法的哪一种，都要先登录，由于不同级别的用户权限不同，因此启动用户权限定义与维护管理界面也是不同的。在登