系统安全

1. 权限管理及数据安全

   ① 功能权限要求可以细化控制到按钮。数据权限要求可以通过部门类别、人员类别、人员等多维度控制。数据项权限要求可以细化控制到字段。

   ② 系统还需要提供以下数据安全保证：数据存储加密（或关键数据加密）、数据传输加密、操作日志、历史数据的完整性、用户名、密码机制。

2. 访问控制

   使用基于角色的权限控制方式对系统资源的访问进行授权，支持根据业务角色不同赋予权限，支持到功能模块、文件、报表的细腻权限控制；严格限制默认账户的访问权限；权限分离应采用最小授权原则，授予用户完成承担任务所需的最小权限；系统支持对特权用户的权限分离，如将管理与审计赋予不同用户；具备对重要信息资源设置敏感标记的功能，并制定统一安全策略严格控制用户对有敏感标记的重要信息资源的操作访问。

3. 通信保密性

   用户访问平台的数据通信应支持使用加密技术，在会话初始化时进行认证，并在通信过程中对整个会话过程进行加密。

4. 日志

   对用户的登录、重要用户行为、系统资源的异常使用和重要系统功能的执行等进行日志记录；日志应包括日期和时间、类型、标识、敏感标记、事件的结果等。