Логическая модель системы безопасности АССОИ

Общие положения

Система безопасности определяет доступ к документам пользователям системы и возможные действия над ними.

На уровне базы данных организация системы безопасности строится на следующих принципах:

  • все, что связанно с данными, организуется в виде записей в таблицах базы данных

  • все, что связано с функциональностью системы, организуется в виде битовых полей таблиц базы данных

Элементы системы безопасности

Системные роли

(определяются как битовые поля в таблице core.Users)

Системные роли связаны с функциональностью ядра системы. К таким ролям относятся:

  • IsAdmin - администратор холдинга

  • IsDepAdmin - администратор департамента

  • IsDivAdmin - администратор дивизиона

  • IsOrgAdmin - администратор предприятия

  • IsTester - тестирование неопубликованных документов

  • IsDesigner - настройка структуры документа

  • IsOverDocBlock - редактирование заблокированного документа

  • IsOverPeriodBlock - редактирование документа в заблокированном периоде

  • IsOverControlPoint - блокировка документа без учета контрольных точек

  • IsHoldBlocker - блокировка уровня холдинга

  • IsDivBlocker - блокировка уровня дивизиона

  • IsDocWriter - редактирование документации

По мере развития ядра АССОИ в систему могут добавляться новые системные роли.

Предметные роли (или просто роли)

(определяются как записи в таблице spr.Roles)

Предметные роли объединяют логически однородные документы. К таким ролям относятся:

а) стандартные роли, настройка которых производится на уровне отдельных предприятий администраторами предприятий

  • KPI - Основные показатели

  • FIN - Финансовая отчетность

  • NAL - Налоги

  • DZK - Задолженность

  • KAZN - Казначейство

  • BANK - Кредиты и займы

  • FA - Финансовые вложения

  • DR - Доходы и расходы

  • COST - Калькуляции

  • INVDR - Инвестиционные расходы

  • MTR - Сырье

  • SALE - Продажи

  • ZP - Заработная плата

  • KADR - Кадры

  • EDU - Подготовка кадров

  • OBPROIZ - Объемы производства

  • ENERGO - Энергоресурсы

  • OS - Основные средства

  • BIO - Экология

  • SOC - Соцсфера

  • INV - Строительство

б) специфические роли, настройка которых производится администраторами холдинга:

  • BUDGET - Бюджетирование

  • DAVCHERMEDSVOD - Давальческая черновая медь

  • ORG_TEHDIR - Отчеты технического директора

  • ORG_TEHDIR_PTO - Отчеты производственно-технического отдела

  • ORG_RUDADIR - Отчеты директора по горному производству

  • ORG_KOMDIR_UMTS - Отчеты управления снабжения

  • PS_SFO - Стандарт финансовой отчетности

  • PS_SFOCONS - Консолидированная отчетность

  • ORG_GB_MSFO - Отчетность по международным стандартам

  • ORG_FINDIR - Отчеты финансового директора

  • SPRAV - Справочники

  • CONS_OCM - Консолидированная отчетность дивизиона ОЦМ

  • SIR_OCM - Отчеты по сырью дивизиона ОЦМ

  • OLAP - Олап-отчеты

По мере добавления новых документов могут создаваться новые роли.

У каждого документа может быть установлена только одна роль.

Действия над документами

(определяются как битовые поля в таблице link.PermitRoles

Действия над документами являются системными признаками функций, которые могут быть применены пользователями системы к документу в процессе работы с ним. Основные действия над документами являются:

  • DoRead - чтение

  • DoWrite - редактирование

  • DoBlock - изменение статуса (блокировка)

Пропуска

(определяются как записи в таблице core.Permits)

Пропуск объединяет в себе совокупность ролей, связанных с документами, и возможных действий над ними. Кроме того, роли и действия могут дифференцироваться по группам периодов, среди которых типовыми являются:

  • PLAN - план

  • FACT - факт

  • OZHID - ожидаемое

  • KORR - корректив

При первоначальном экспорте данных из старой в новую систему для каждого пользователя создается свой уникальный пропуск на основе установленных для него ролей.

В последующем в результате обобщения наиболее типовых сочетаний ролей будут созданы типовые пропуска, которые будут использоваться при определении ролей пользователям предприятий и управляющих компаний.

Пропуска пользователей

(определяются как записи в таблице link.UserPermits)

Каждому пользователю может быть сопоставлен один или несколько пропусков. При этом для каждого пропуска устанавливается сфера его применения:

  • единичный объект учета (обычно это предприятие, на котором работает пользователь)

  • группа объектов учета (этот вариант используется для управляющих компаний, которым необходим доступ к данным курируемых ими предприятий)

Единичный объект учета может настраивать администратор предприятия (устанавливается по умолчанию свое предприятие, на котором он зарегистрирован), а группы объектов учета - только администраторы более высокого уровня (дивизиона, департамента, холдинга).