Resource Guide
数据大屏角色权限与审计验收矩阵
摘要:这份矩阵用于数据大屏、BI驾驶舱和经营看板在需求评审、开发联调和上线验收阶段,逐角色确认页面范围、行列数据范围、查看、导出、编辑或控制权限、敏感字段处理、终端限制、日志事件和反向测试证据。重点是验证低权限角色确实看不到、做不了不应获得的内容。
这份矩阵什么时候使用
建议在角色和页面范围初步确认后开始填写,并在接口联调、测试和上线前持续更新。它既适合固定展示终端,也适合需要登录、筛选、下钻、导出或后台维护的数据大屏。是否涉及等保、个人信息或行业专项要求,应由建设方和相关专业人员结合实际系统判断。
先定义真实角色,不从“管理员和普通用户”开始
角色应对应真实职责,例如管理层、部门负责人、区域负责人、值班人员、运营人员、审计人员、展厅终端和系统管理员。临时访客、外部合作方或跨区域查看也应单独列出,避免把所有特殊情况都塞进高权限账号。
页面、数据和操作权限要分别填写
能进入页面,不代表能看到全部数据;能查看汇总,不代表可以导出明细;能维护目标值,也不代表可以修改账号或发布页面。矩阵因此分别记录页面模块、行级范围、列级范围和查看、导出、编辑、控制等操作,接口和后端鉴权应与页面呈现使用同一授权依据。
敏感信息和固定终端要单独评估
人员、联系方式、精确位置、经营明细、财务数据和设备控制信息不应因为“大屏只是展示”而默认开放。能用汇总值解决的问题不展示明细;固定展厅或指挥中心终端应使用用途受限账号,并明确截屏、投屏、自动登录、会话过期和现场维护边界。
建议按什么顺序填写
- 列出真实使用者、固定终端和后台维护角色。
- 逐角色确认页面、组织、区域、项目、行和列的数据范围。
- 分别填写查看、筛选、导出、编辑、配置、发布和控制权限。
- 确认敏感字段脱敏、终端来源限制、授权依据和有效期。
- 定义应记录的日志事件、查看权限、保留要求和异常告警。
- 使用低权限、停用、过期和越权参数完成反向测试并留证。
验收证据至少覆盖什么
| 验收组 | 核对重点 | 建议证据 |
|---|---|---|
| 角色与范围 | 账号所属角色、页面、组织、区域、项目和字段范围 | 权限矩阵、测试账号、授权记录 |
| 操作权限 | 查看、导出、编辑、配置、发布和控制是否分别鉴权 | 正向与反向测试记录 |
| 敏感数据 | 汇总、脱敏、详情下钻、截屏和公开展示边界 | 页面截图、字段说明、评审结论 |
| 日志审计 | 登录失败、权限变更、导出、配置和异常拒绝是否留痕 | 日志样例、查询截图、告警记录 |
| 生命周期 | 授权依据、生效到期、停用、离职和定期复核 | 审批记录、复核记录、回收结果 |
反向测试比“管理员能用”更重要
至少验证未登录直达页面或接口、低权限修改地址或参数、跨部门与跨区域查询、停用账号和过期会话、导出明细、旧分享链接、日志中出现敏感值,以及日志服务异常等场景。测试结果要记录账号、输入、预期、实际结果和证据,不能只写“权限正常”。
参考依据与适用边界
涉及个人信息时,应结合国家统计局公开的《中华人民共和国个人信息保护法》判断处理目的、范围和权利保障。网络安全基线可参考国家标准全文公开系统中的 GB/T 22239-2019;个人信息保护合规审计可参考 GB/T 46903-2025。这些依据不等于所有项目采用相同等级或控制项,具体适用范围仍需专业判断。
常见问题
只在内网使用还需要做权限矩阵吗?
通常仍需要。内网边界不能替代应用层身份、页面、数据范围和操作权限控制。
只有查看功能还需要审计日志吗?
应根据风险至少考虑登录失败、权限变更、导出、配置修改和越权拒绝等事件,普通浏览记录范围和期限由项目制度确定。
行级权限和列级权限有什么区别?
行级权限限制能查看哪些组织、区域、项目或记录;列级权限限制同一记录中哪些字段可见或需要脱敏。
矩阵填写完成是否代表满足等保要求?
不代表。矩阵只用于项目权限与审计核验,等保适用级别和完整控制要求应由建设方及专业机构判断。
下载与相关资料
继续阅读 数据大屏权限、安全与审计怎么做,并配合 BI指标口径评审清单 和 上线运维、备份与恢复清单使用。网站内容责任与审核边界见 公司与网站信息。