Appearance
敏感操作权限怎么控制?
控制目标
敏感操作权限控制的是高风险动作,不只是页面入口。春喜铜系统里删除、批量导入、库存调整、价格修改、权限分配、客户资料外发、账期修改、作废单据等动作,一旦误操作或被滥用,后续很难靠口头解释补回来。
敏感操作要做到少数人可做、做前有确认、做后能追溯、异常能复核。
敏感动作
| 动作 | 风险 |
|---|---|
| 删除和作废 | 历史依据丢失、责任链断开 |
| 批量导入 | 大量数据被覆盖或串行 |
| 库存调整 | 账实差异被掩盖 |
| 价格修改 | 报价和经营利润受影响 |
| 权限分配 | 造成越权查看或操作 |
| 数据导出 | 数据离开系统边界 |
操作步骤
- 先列出各模块的敏感动作清单。
- 为每个敏感动作指定业务负责人和审批人。
- 权限只授给确需执行的人,查看权限不自动包含敏感操作。
- 高风险动作启用二次确认、审批、备注或附件证明。
- 临时敏感权限设置到期时间,不长期挂在个人账号上。
- 操作日志记录操作前后值、对象、时间、账号和来源 IP。
- 定期复核高频操作、非工作时间操作和失败重试记录。
授权边界
临时帮忙不能直接给管理员。比如协助调整库存,只给指定仓库、指定单据或指定批次的处理权限;协助导入资料,只给模板导入权限,不给删除和权限分配。
异常复核
发现敏感操作异常时,先冻结后续影响,再看审批依据、操作前后值和相关业务单据。不能只问“是谁点的”,还要确认为什么系统允许这样操作。
记录要求
保留敏感动作清单、授权原因、审批记录、有效期、操作日志、异常复核和权限收回记录。权限设计要能经得起事后追问。