許秋月

摘要：隨著近年來高職院校人事管理制度的改革，借助互聯(lián)網(wǎng)技術構(gòu)建現(xiàn)代化的人事管理系統(tǒng)已經(jīng)是一種主流趨勢。尤其是通過現(xiàn)在各大學校園內(nèi)正在倡導構(gòu)建的校園網(wǎng)系統(tǒng)相連接，本文著重介紹了在人事管理系統(tǒng)構(gòu)建過程中RBAC模型的應用。對于系統(tǒng)構(gòu)建中的用戶、角色以及權限進行了綜合介紹，并對基于此技術的高校角色用戶訪問控制原理進行了分析。

關鍵詞：民辦高職院校；人事管理改革；系統(tǒng)構(gòu)建；RBAC模型應用分析

1、在民辦高職院校的管理工作中，人事管理工作一直都是重點管理工作。伴隨著當前的高職院校的人事管理改革，借助現(xiàn)代化的技術手段，比如計算機技術構(gòu)建現(xiàn)代化的人事管理系統(tǒng)已是一種普遍的趨勢。民辦高職院校的人事管理工作本身工作面就比較廣，而且工作內(nèi)容比較繁瑣，人員變動頻繁，流動性大，所以民辦高職院校的人事工作人員的工作量比較大，只有通過構(gòu)建現(xiàn)代化的人事管理系統(tǒng)可以有效的提高管理效率。通過應用RBAC模型，對用戶進行角色定性然后再根據(jù)用戶的角色進行訪問控制，這樣一方面提高了系統(tǒng)管理的安全性和規(guī)范性，同時也優(yōu)化了管理系統(tǒng)，提高了RBAC模型的意義管理效率。

RBAC是Role Based Acess Control 的縮寫，翻譯為基于角色的訪問控制模型。這一模型最早是由美國大學的Rav教授提出的，主要是針對大量用戶訪問、大量數(shù)據(jù)客體以及訪問權限問題進行解決的授權管理問題。在這種模型中，主要是通過把系統(tǒng)的訪問角色與權限進行聯(lián)系，根據(jù)不同用戶的角色進行權限的訪問控制。所以RBAC是一種無確定性策略管理模型。在這一模型中主要應用的原則是安全性原則、最小特權原則以及責任分離原則和數(shù)據(jù)抽象原則。在這種角色方位的控制中，它的主要實體有四個，分別是用戶（User）、角色（Role）、權限（Permission）以及會話（Session）。在這種系統(tǒng)中，一個用戶可以將自己扮演成很多角色的成員，而一個角色也可以用于很多用戶。所以，在RBAC模型中，一個角色同時具有多個權限，而同一個權限，系統(tǒng)也可以同時指派給多個角色。這樣每一個系統(tǒng)會話都會把一個用戶和系統(tǒng)指派給他的角色相聯(lián)系起來。

在RBAC模型中，通過這樣的方式系統(tǒng)可以對每一個用戶在激發(fā)其所屬角色的某些子集時，通過建立了一個單獨的會話而實現(xiàn)。系統(tǒng)用戶可用的權限只限于當前會話激發(fā)的所有角色權限的并集，除此之外沒有其他的。任何 一個用戶都可以在同一時間與系統(tǒng)進行多個會話。而每個會話用戶可以以不同的角色進行。這種會話的概念類似于我們傳統(tǒng)的對系統(tǒng)控制主體進行方位時所進行的標記。一個主體可以看作是系統(tǒng)默認的一個訪問控制單位，而每一個用戶在同一時間可以以多個不同權限的角色身份對這一系統(tǒng)主體進行訪問。

2、RBAC模型在民辦高職院校人事管理中的應用

2.1 RBAC模型的應用思路

隨著民辦高職院校人事管理系統(tǒng)的改革，對于這一系統(tǒng)的開放性要求越來越高，系統(tǒng)面臨著向多應用客戶端以及多用戶的訪問，再加上人事管理工作管理的內(nèi)容比較重要，許多涉及到學校的重要機密，而信息量比較復雜，對于系統(tǒng)的安全性和保密性要求比較高，所以在應用RBAC這種模型的時候，基于其角色訪問控制這一理論，可以在系統(tǒng)中設計完善的權限控制訪問，針對不同級別的用戶設置相對應的權限，控制不同人員對不同信息內(nèi)容的訪問情況。所以在模型應用中，應該為每一個用戶進行單獨的角色分配，并同時在系統(tǒng)中設置相應的角色等級，進而控制不同用戶可以登錄的子系統(tǒng)以及在系統(tǒng)中可以進行的權限操作。

2.2 RBAC模型的數(shù)據(jù)庫設計

由于管理系統(tǒng)主要是高職院校的教師和學生，所以在進行系統(tǒng)權限設置時，可以根據(jù)學校的行政級別和職務進行劃分。總體上權限可以分為四個檔次，從低到高分別是：管理類訪問權限，功能類訪問權限，普通類訪問權限以及維護類權限。在這四類訪問權限中，管理操作類權限可以對系統(tǒng)內(nèi)的表格或者文件進行相對應的操作權限，所以應該對應的是學校中的行政管理人員，而功能類權限主要是針對學校后勤部門的管理人員，按照系統(tǒng)的模塊進行操作。普通瀏覽類權限針對學校普通的教職工和學生，他們只具有訪問的權限而不具有任何操作權限。維護類權限針對的是系統(tǒng)的維護管理人員，他們主要根據(jù)系統(tǒng)的運行情況對系統(tǒng)進行清理維護工作。這樣通過這四類權限的設置，可以對不同人員的訪問進行控制，既滿足了訪問需求，又實現(xiàn)了對訪問身份的控制，保護了數(shù)據(jù)信息的安全性。

2.3 RBAC算法設計

在RBAC系統(tǒng)模型中，算法的設計原理是通過位映射來實現(xiàn)的，即每一個角色都對應一個系統(tǒng)的bit位，在系統(tǒng)中用“1”或者“0”來進行表示，“1”表示允許權限操作，“0”表示禁止權限操作。本質(zhì)上來講，仍然是采用功能權限的二進制合成制，形成相對應的角色權限碼，對系統(tǒng)的訪問用戶進行權限控制。當訪問的用戶符合系統(tǒng)的權限設置規(guī)定時，系統(tǒng)會自動取出該用戶的權限碼允許其進行相關的操作。通過映射位原理實現(xiàn)了系統(tǒng)用戶與相對應的功能權限的連接。

2.4 RBAC模型的安全設計

對于管理系統(tǒng)的安全模塊的設計，主要是分為兩大板塊進行，第一板塊是對系統(tǒng)用戶設置數(shù)據(jù)訪問權限，第二模塊是對系統(tǒng)用戶進行模塊訪問權限設置。在第一模塊中，對用戶的系統(tǒng)數(shù)據(jù)訪問權限設置主要包括對系統(tǒng)數(shù)據(jù)的查詢、新增以及修改和刪除，這一權限的設置主要針對學校的教職工和管理人員。比如對于教職工，擁有對自己角色的數(shù)據(jù)訪問與修改的權限而不具有對所在的院系系統(tǒng)的訪問的數(shù)據(jù)修改權限，而人事管理部門和系統(tǒng)管理人員則具有這項權限。對于模塊權限的設置主要是對于系統(tǒng)的各個菜單的訪問與修改權限。比如系統(tǒng)的基本信息模塊中，教職人員的基本信息管理模塊，維護模塊等，需要對不同的角色進行權限設置，以防止有人篡改系統(tǒng)的模塊數(shù)據(jù)，帶來嚴重的管理問題。

3、結(jié)語

綜上所述，隨著近年來高職院校人事管理制度的改革，借助互聯(lián)網(wǎng)技術構(gòu)建現(xiàn)代化的人事管理系統(tǒng)已經(jīng)成為一種必然的趨勢。尤其是通過現(xiàn)在各大學校園內(nèi)正在倡導構(gòu)建的校園網(wǎng)系統(tǒng)相連接，實現(xiàn)校園網(wǎng)的訪問功能。在應用RBAC這種模型時，主要是通過其角色訪問控制理論進行系統(tǒng)構(gòu)建，一方面實現(xiàn)了對于系統(tǒng)用戶的訪問瀏覽與操作權限的控制，另一方面也保護了系統(tǒng)數(shù)據(jù)的安全性和保密性，提高了系統(tǒng)的可靠性。

參考文獻：

[1]劉永明. 高校人事管理系統(tǒng)RBAC96模型應用與設計[J]. 信息技術與信息化，2014，06：60-63.

[2]蔡秀娟. 基于RBAC的人事管理系統(tǒng)的設計與實現(xiàn)[J]. 成功（教育），2015，09：218-219.

[3]陳怡，耿國華，李喆. 動態(tài)訪問控制技術的研究與應用[J]. 計算機技術與發(fā)展，2014，02：223-225.

[4]鄭鑫，馮仲科，姚杰，劉鵬，張茜. 人力資源信息管理系統(tǒng)研究與實現(xiàn)[J]. 齊齊哈爾大學學報（自然科學版），2015，02：1-5.

[5]夏冬梅. 基于RBAC企業(yè)通用用戶權限管理模型設計與應用[J]. 網(wǎng)絡安全技術與應用，2014，08：36-38.

[6]孔繁興. 基于角色的訪問控制在高校人事管理系統(tǒng)中的研究[J]. 電腦知識與技術，2015，10：2625-2626+2629.