关于数据的安全权限的问题

giraffe

我们公司所有的生产、人事、财务的PFFILE 都在一个库里面 pflib ,现在想实现比如负责生产的相关的程序员不能看到人事的数据这样的限定，如何实现呢？我想是不是要把人事的pffile 单独的放到一个库里面,然后对这个库的权限作限制？
而且现在所有的程序员都是 *allobj权限。请大家帮忙指点一下，谢谢！

xuguopeng

拿掉*ALLOBJ权限才有可能

giraffe

可能我表达的不很清楚，重新描述一下我的问题
现状：1）所有的程序员权限 *allobj  2）生产/人事所有的source/object都在相同的库中

希望实现： 1）程序员分组 scgroup (生产相关的程序员）；rsgroup（负责人事的程序员）
           2）scgroup 不能访问人事相关的数据

如何实现？请大家帮忙，本人以前没做过系统管理。  谢谢

xuguopeng

把程序员*ALLOBJ权限拿掉

在USRPRF中将程序员进行分组后，分别针对LIB中各个OBJ进行授权

严格的来说，程序员根本就不应该在生产环境上有权限，更别说给*ALLOBJ权限了。。。。

giraffe

如果对LIB中各个OBJ进行授权的话，工作量太大了点。而且新生成的obj 是否都要指定它的访问权限啊
我们程序员也是各个应用系统的维护员
还有别的方法吗？

xuguopeng

麻烦肯定是麻烦的，毕竟前期的管理很混乱。

如果可以的话按应用系统分 一个应用系统一个LIB 这样会好一些

giraffe

谢谢xuguopeng的答复。
我也感觉一个应用系统一个库比较好管理。
大家能谈谈各个企业的数据安全怎么管理的吗？希望能从中得到一些借鉴。

qingzhou

当然，一个应用一个LIB管理，然后按照SOURCE MEMBER的属性再建QDDSSRC/QDSPSRC/QPRTSRC/QAPWSRC/QRPGSRC/QCLSRC/QCMDSRC，对备份和管理工作也会带来极大的便利。

对于一些比较敏感性的数据，从数据OBJECT角度去授权限制会比较妥当。不过，在企业，数据访问安全设定一般没有银行、保险要求那么高，不出什么乱子就行了。

szhyl

楼上的关于增加各系统的访问权限，我也有同感，虽然可以将各个应用系统的LIB分开，但各个系统有时共用一个基本情报代码系统，特别财务系统均与各系统相关共享数据，如对各系统加权限后，各应用系统之间的数据共享如何实现？

xuguopeng

大部分业务系统都是把USER控制在MENU里面，通过PGM来控制USER能操作哪些功能，有的时候不能单单凭USER对LIB的权限去控制。例如可以用针对OBJ的权限，或者使用程序来控制哪些用户可以使用，大多的前提是USER没有命令行权限，即使他对其他LIB有权限他也访问不到