角色管理
本系统采用 角色管理机制 来控制用户的功能权限。管理员可以根据岗位职责,为不同用户分配相应角色,以确保业务运行安全与高效。
- 角色作用
- 权限控制:不同角色拥有不同的操作权限,例如查看、编辑、审批或管理。
- 职责分工:通过角色分配,可以避免所有用户都拥有过高权限,降低误操作和滥用风险。
- 安全合规:角色机制有助于满足企业内部控制和审计要求。
- 风险与潜在问题
- 配置错误风险
- 若角色分配不当,可能导致某些用户获得过高权限,带来数据泄露或误操作的风险。
- 相反,若关键用户缺少必要权限,可能造成业务中断。
- 管理权丢失风险
- 如果管理员错误地收回了自身的管理权限,可能导致 无法继续管理系统角色与用户。
- 此类情况需要联系我们进行处理才能恢复,造成管理不便和安全隐患。
- 审计与责任界定风险
- 权限过度集中或缺乏明确分工,可能使后续审计难以界定责任人,影响企业合规性。
- 配置错误风险
- 建议措施
- 最小权限原则:仅为用户分配完成工作所需的最低权限。
- 定期检查:定期审查角色与用户权限配置,避免遗留风险。
- 保留安全管理员:确保至少有一名用户始终保留系统最高管理权限。
审计
调整权限时系统会自动添加记录,便于追溯与审计。
角色列表
系统中的角色名称通常由 功能域 + 权限后缀 组成。 以下是常见的后缀词含义:
| 后缀 | 含义 | 风险提示 |
|---|---|---|
| READ | 该功能域的只读权限。 用户可以查询数据,但无法执行修改、归档等操作。 | 风险较低,但若赋予过多用户,可能造成信息扩散。 |
| WRITE | 该功能域的只写权限。 用户可以执行新建、修改、归档等操作。 不包含永久删除、删除等操作。 | 若误操作可能导致业务数据错误,应限制给有业务操作需求的人员。 |
| EXPORT | 该功能域的导出权限。 用户可以将数据导出至外部文件如Excel、CSV等。 | 导出数据不受系统保护,存在泄露风险,应严格控制。 |
| PURGE | 该功能域的 永久删除 权限。 | 高风险操作,误删数据无法恢复,仅应授予少量管理员。 |
| ADMIN | 该功能域的最高管理权限。 通常包含创建、修改、归档、删除等所有操作。 | 权限最高,配置错误可能导致数据丢失或系统不可控。 建议仅分配给域管理员或负责人。 |
关于后缀
这里只列举了常见的后缀,有些后缀词出现频率有限并未列举出来,请查阅完整角色列表。
示例角色
- INVENTORY_READ
- 允许用户查看库存实时数据、历史数据,但不能执行出入库操作。
- INVENTORY_WRITE:
- 允许用户执行出入库操作。
- INVENTORY_ADJUST :
- 允许用户调整库存数据。
- INVENTORY_PURGE :
- 允许用户永久删除某项 SKU 的库存,清理后会破坏数据链路。
- INVENTORY_ADMIN :
- 允许用户执行所有库存相关的操作。
完整角色列表
| 角色名称 | 权限范围 | 风险评级 | 风险提示 |
|---|---|---|---|
| AUDIT_ADMIN 审计日志完全控制 | 查看和导出审计日志 | 极高 | 包含敏感信息,权限过大易导致数据泄露。 |
| AUDIT_EXPORT 导出审计日志 | 导出审计日志数据 | 高 | 导出后数据不受系统保护,存在泄露风险。 |
| AUDIT_READ 查看审计日志 | 浏览日志内容 | 中 | 若权限过宽可能导致敏感信息扩散。 |
| CLOUDFILE_ADMIN 云存储完全控制 | 上传、浏览、编辑、删除文件及策略配置 | 极高 | 错误操作可能导致文件丢失。 |
| CLOUDFILE_LEGALHOLD_MANAGE 管理法定保留文件 | 管理法定保留文件 | 高 | 配置错误可能导致合规风险。 |
| CLOUDFILE_PURGE 永久删除文件 | 永久删除文件 | 极高 | 操作不可恢复。 |
| CLOUDFILE_READ 浏览云存储内容 | 查看文件 | 中 | 低风险,但可能泄露敏感数据。 |
| CLOUDFILE_RETENTION_MANAGE 管理文件保留策略 | 调整文件保留策略 | 高 | 误配置可能导致重要文件过早删除或保存不当。 |
| CLOUDFILE_WRITE 上传和管理文件 | 上传和编辑文件 | 中 | 若缺乏管控可能造成数据被覆盖或篡改。 |
| COMMENT_ADMIN 备注完全控制 | 查看、编辑、删除备注 | 高 | 可能导致信息丢失。 |
| COMMENT_PURGE 永久删除备注 | 永久删除备注 | 极高 | 操作不可恢复。 |
| COMMENT_READ 查看备注 | 查看备注 | 低 | 风险较低。 |
| COMMENT_WRITE 新增和编辑备注 | 新增和编辑备注 | 中 | 备注仅内部员工可见。 |
| COMPANY_BILLING_READ 查看公司账单 | 查看公司账单 | 高 | 涉及敏感财务数据,仅限财务人员。 |
| CONTACT_ADMIN 联系人完全控制 | 新增、编辑、查看、永久删除联系人 | 高 | 权限过大可能导致客户/员工信息丢失。 |
| CONTACT_PURGE 永久删除联系人 | 永久删除联系人 | 极高 | 操作不可恢复。 |
| CONTACT_READ 查看联系人 | 查看联系人信息 | 低 | 风险较低。 |
| CONTACT_WRITE 新增和编辑联系人 | 新增和编辑联系人 | 中 | 若操作不当可能导致信息不一致。 |
| CONTRACT_ADMIN 合同完全控制 | 审批、签署、终止、新增和编辑合同 | 极高 | 权限过大风险高,涉及法律责任和业务交易。 |
| CONTRACT_APPROVE 审批合同 | 审批合同 | 高 | 错误审批可能导致合规问题,如未授予任何员工此角色将导致合同流停滞。 |
| CONTRACT_EXPORT 导出合同 | 导出合同数据 | 中 | 可能泄露合同内容。 |
| CONTRACT_PURGE 永久删除合同 | 永久删除合同 | 极高 | 操作不可恢复。 |
| CONTRACT_READ 查看合同 | 查看合同 | 高 | 涉及商业机密,需控制权限。 |
| CONTRACT_SIGN 签署合同 | 签署合同 | 极高 | 法律责任重大。 |
| CONTRACT_TERMINATE 终止合同 | 终止合同 | 高 | 可能导致法律风险和经济损失。 |
| CONTRACT_WRITE 新增和编辑合同 | 新增和编辑合同 | 中 | 若操作不当可能造成合同错误。 |
| CUSTOMER_ADMIN 客户完全控制 | 新增、编辑、查看、永久删除客户 | 高 | 高风险,可能导致客户资料丢失。 |
| CUSTOMER_PURGE 永久删除客户 | 永久删除客户 | 极高 | 操作不可恢复。 |
| CUSTOMER_READ 查看客户 | 查看客户信息 | 中 | 权限过宽可能泄露客户隐私。 |
| CUSTOMER_WRITE 新增和编辑客户 | 新增和编辑客户 | 中 | 若不规范可能导致数据混乱。 |
| DELIVERY_ADMIN 送货单完全控制 | 查看、新增、编辑、执行、导出和永久删除送货单 | 高 | 权限过大风险高。 |
| DELIVERY_EXPORT 导出送货单 | 导出送货单数据 | 中 | 存在数据泄露风险。 |
| DELIVERY_PURGE 永久删除送货单 | 永久删除送货单 | 极高 | 操作不可恢复。 |
| DELIVERY_READ 查看送货单 | 查看送货单 | 低 | 风险较低。 |
| DELIVERY_WRITE 新增和编辑送货单 | 新增和编辑送货单 | 中 | 操作不当可能导致发货错误。 |
| DELIVERY_EXECUTE 执行送货 | 执行送货操作 | 高 | 若未授予此权限,会造成送货流程停滞。 |
| DEPARTMENT_ADMIN 部门完全控制 | 新增、编辑、查看、永久删除部门 | 高 | 权限过大可能导致组织架构混乱。 |
| DEPARTMENT_PURGE 永久删除部门 | 永久删除部门 | 极高 | 操作不可恢复。 |
| DEPARTMENT_READ 查看部门 | 查看部门信息 | 低 | 风险较低。 |
| DEPARTMENT_WRITE 新增和编辑部门 | 新增和编辑部门 | 中 | 误操作可能影响组织结构。 |
| DEVICE_ADMIN 设备完全控制 | 新增、编辑、查看、操作和永久删除设备 | 高 | 涉及资产与业务运行,误操作风险高。 |
| DEVICE_PURGE 永久删除设备 | 永久删除设备 | 极高 | 操作不可恢复。 |
| DEVICE_READ 查看设备 | 查看设备信息 | 低 | 风险较低。 |
| DEVICE_WRITE 新增和编辑设备 | 新增和编辑设备 | 中 | 误操作可能导致配置错误。 |
| DEVICE_OPERATE 控制设备 | 远程操作设备 | 极高 | 风险极高,可能影响生产运行。 |
| DEVICE_MAINTENANCE 维保设备 | 执行设备维护 | 中 | 误操作可能造成设备损坏。 |
| EMPLOYEE_ADMIN 员工完全控制 | 新增、编辑、查看、永久删除员工 | 高 | 涉及隐私和人事数据。 |
| EMPLOYEE_EXPORT 导出员工信息 | 导出员工数据 | 高 | 可能导致隐私泄露。 |
| EMPLOYEE_PURGE 永久删除员工 | 永久删除员工 | 极高 | 操作不可恢复。 |
| EMPLOYEE_READ 查看员工 | 查看员工信息 | 中 | 涉及个人隐私。 |
| EMPLOYEE_WRITE 新增和编辑员工 | 新增和编辑员工 | 中 | 误操作可能导致信息不准确。 |
| INVENTORY_ADMIN 库存完全控制 | 新增、编辑、查看、调整、永久删除库存 | 高 | 涉及资产和财务,误操作风险高。 |
| INVENTORY_ADJUST 调整库存 | 修改库存数量 | 高 | 误操作可能导致账实不符。 |
| INVENTORY_PURGE 永久删除库存 | 永久删除库存记录 | 极高 | 操作不可恢复。 |
| INVENTORY_READ 查看库存 | 查看库存信息 | 中 | 创建送货单需要此权限。 |
| INVENTORY_WRITE 新增和编辑库存 | 新增和编辑库存 | 中 | 若不规范可能导致库存混乱。 |
| INVOICE_ADMIN 发票完全控制 | 新增、编辑、审批、作废、导出、查看和永久删除发票 | 极高 | 涉及财务和税务,误操作风险极高。 |
| INVOICE_APPROVE 审批发票 | 审批发票 | 高 | 错误审批可能导致财务风险。 |
| INVOICE_CANCEL 作废发票 | 作废发票 | 高 | 操作不当可能造成财务混乱。 |
| INVOICE_EXPORT 导出发票 | 导出发票数据 | 中 | 可能泄露财务数据。 |
| INVOICE_PURGE 永久删除发票 | 永久删除发票 | 极高 | 操作不可恢复。 |
| INVOICE_READ 查看发票 | 查看发票信息 | 中 | 涉及财务敏感数据。 |
| INVOICE_WRITE 新增和编辑发票 | 新增和编辑发票 | 高 | 误操作可能导致税务问题。 |
| ORDER_ADMIN 订单完全控制 | 新增、编辑、审批、签署、查看、导出和永久删除订单 | 极高 | 涉及核心业务交易,误操作风险极高。 |
| ORDER_APPROVE 审批订单 | 审批订单 | 高 | 错误审批可能导致交付问题。 |
| ORDER_EXPORT 导出订单 | 导出订单数据 | 中 | 可能泄露客户数据。 |
| ORDER_PURGE 永久删除订单 | 永久删除订单 | 极高 | 操作不可恢复。 |
| ORDER_READ 查看订单 | 查看订单 | 中 | 风险较低。 |
| ORDER_SIGN 签署订单 | 签署订单 | 高 | 涉及合同风险。 |
| ORDER_WRITE 新增和编辑订单 | 新增和编辑订单 | 中 | 误操作可能导致合同错误。 |
| PAYMENT_ADMIN 付款条款完全控制 | 新增、编辑、查看、永久删除付款条款 | 高 | 涉及财务核心数据,操作错误可能造成混乱。 |
| PAYMENT_PURGE 永久删除付款条款 | 永久删除付款条款 | 极高 | 操作不可恢复。 |
| PAYMENT_READ 查看付款条款 | 查看付款条款 | 中 | 涉及付款信息,权限过宽可能泄露财务数据。 |
| PAYMENT_WRITE 新增和编辑付款条款 | 新增和编辑付款条款 | 高 | 操作不当可能导致结算错误。 |
| PURCHASE_ADMIN 采购单完全控制 | 查看、新增、编辑、导出、永久删除采购单 | 高 | 涉及供应链核心数据,误操作风险高。 |
| PURCHASE_EXPORT 导出采购单 | 导出采购单数据 | 中 | 可能泄露供应链数据。 |
| PURCHASE_PURGE 永久删除采购单 | 永久删除采购单 | 极高 | 操作不可恢复。 |
| PURCHASE_READ 查看采购单 | 查看采购单 | 中 | 风险较低。 |
| PURCHASE_WRITE 新增和编辑采购单 | 新增和编辑采购单 | 中 | 操作不当可能导致采购混乱。 |
| REPORT_EXPORT 导出报表 | 导出报表数据 | 中 | 可能包含敏感业务数据。 |
| RETURNED_ADMIN 退货单完全控制 | 查看、新增、编辑、导出、永久删除退货单 | 高 | 涉及物流与客户信息,误操作风险高。 |
| RETURNED_EXPORT 导出退货单 | 导出退货单数据 | 中 | 可能泄露客户和产品信息。 |
| RETURNED_PURGE 永久删除退货单 | 永久删除退货单 | 极高 | 操作不可恢复。 |
| RETURNED_READ 查看退货单 | 查看退货单 | 中 | 风险较低。 |
| RETURNED_WRITE 新增和编辑退货单 | 新增和编辑退货单 | 中 | 操作不当可能导致物流混乱。 |
| SKU_ADMIN 产品SKU完全控制 | 查看、新增、编辑、导出、永久删除SKU | 高 | 涉及产品信息,误操作风险高。 |
| SKU_EXPORT 导出产品SKU | 导出产品SKU数据 | 中 | 可能泄露商业机密。 |
| SKU_PURGE 永久删除产品SKU | 永久删除SKU | 极高 | 操作不可恢复。 |
| SKU_READ 查看产品SKU | 查看SKU信息 | 中 | 风险较低。 |
| SKU_WRITE 新增和编辑产品SKU | 新增和编辑SKU | 中 | 误操作可能导致产品信息错误。 |
| STATISTICAL_READ 查看统计信息 | 查看统计报表 | 中 | 若权限过宽可能泄露经营数据。 |
| SUPPLIER_ADMIN 供应商完全控制 | 查看、新增、编辑、永久删除供应商 | 高 | 涉及供应链和采购数据,误操作风险高。 |
| SUPPLIER_PURGE 永久删除供应商 | 永久删除供应商 | 极高 | 操作不可恢复。 |
| SUPPLIER_READ 查看供应商 | 查看供应商信息 | 中 | 风险较低。 |
| SUPPLIER_WRITE 新增和编辑供应商 | 新增和编辑供应商 | 中 | 操作不当可能导致数据不准确。 |
| SYSTEM_ADMIN 系统管理员 | 系统超级管理员 | 极高 | 权限极高,慎重分配。 |
| SYSTEM_PREFERENCE_READ 查看系统偏好设置 | 查看系统配置 | 中 | 风险较低。 |
| SYSTEM_PREFERENCE_WRITE 编辑系统偏好设置 | 修改系统业务参数 | 高 | 操作不当可能导致系统异常。 |
| WORKFLOW_ADMIN 工作流完全控制 | 查看、新增、编辑、永久删除工作流 | 高 | 涉及业务流程配置,误操作可能影响业务运行。 |
| WORKFLOW_PURGE 永久删除工作流 | 永久删除工作流 | 极高 | 操作不可恢复。 |
| WORKFLOW_READ 查看工作流 | 查看工作流 | 中 | 风险较低。 |
| WORKFLOW_WRITE 新增和编辑工作流 | 新增和编辑工作流 | 中 | 操作不当可能影响业务流程。 |
推荐实践
为了保障数据安全和工作有序,管理员应该为每位成员分配不同的权限。
我们给出一个较为合理角色分配供您参考。
1. 系统管理员
仅把 SYSTEM_ADMIN 权限分配给一个账号,此账号负责管理成员账号、调整订阅计划,同时可以配置系统参数。
提示
如果用户有且仅有 SYSTEM_ADMIN 权限时,您不需要为此账号支付订阅费。
2. 普通用户
客户关系维护、库存管理员、售后团队、财务人员等任何使用系统完成日常事务的成员都称之为 普通用户。
建议
- 在分配角色权限时遵守最小权限原则,仅为账号分配必要的权限
- 将角色分工与实际岗位保持一致,以保证流程顺畅