需求测试问题-权限泄露

用户权限需求：1.系统管理员可新增模块A管理员，系统管理员无权限查看模块A的数据-----该需求没有问题，为了实现功能和数据权限的隔离，保证用户数据不泄露

                          2.模块A管理元可新增A数据，在新增A数据时，可执行该条数据权限的浏览权限人员-------问题出在该条需求上，系统目前功能权限未实现到按钮粒度，当赋予A数据权限浏览的同时，被赋予权限的人就同时有了新增、操作A模块数据的权限，而这部分操作有可能会对系统造成破坏如：1)指定无权限人员为数据成员，造成数据泄露,2)伪造数据审批通过，数据安全上存在严重的泄露、越权问题。