孫晨霞

（天津天鐵冶金集團(tuán)有限公司信息化處，河北056404）

0 引言

隨著集團(tuán)信息化技術(shù)的不斷加深，集團(tuán)管理順應(yīng)市場的需求，信息化管理顯得愈發(fā)重要。各種智能軟件的應(yīng)用不僅提高了日常的工作效率，而且也產(chǎn)生了很多復(fù)雜瑣碎的數(shù)據(jù)，怎樣建立行之有效的權(quán)限管理策略，用于攔截一些非法的用戶隨意訪問、修改、控制相關(guān)的數(shù)據(jù)是我們探索和研究的宗旨。本文以天鐵集團(tuán)財務(wù)管控系統(tǒng)權(quán)限管理為例，對基于角色的權(quán)限管理進(jìn)行了研究和探討。

權(quán)限管理是系統(tǒng)設(shè)置的安全規(guī)則或者安全策略，根據(jù)本崗位的職責(zé)、角色用戶可以訪問而且只能訪問被集團(tuán)管理員授權(quán)的資源。信息化處信息化科負(fù)責(zé)分配和維護(hù)（如解鎖和重置密碼等）該系統(tǒng)的管理權(quán)限。對于任何一個系統(tǒng)，建立健全行之有效合法的使用信息是系統(tǒng)的安全管理機(jī)制，防止一些非法獲取數(shù)據(jù)和破壞信息的基本保障。而財務(wù)管控系統(tǒng)中權(quán)限管理方法這種用戶、職責(zé)、角色權(quán)限管理模型，不僅能夠使財務(wù)管控系統(tǒng)安全管理較真實地體現(xiàn)，而且簡化了財務(wù)管控中對用戶的授權(quán)管理。

1 RBAC 模式的基本思想

NCV60 的權(quán)限模型是基于RBAC（Role-Based Access Control，基于角色的訪問控制）設(shè)計實現(xiàn)的以角色為主導(dǎo)的權(quán)限控制體系。

管理員采用實現(xiàn)用戶權(quán)限的授予和取消，從而來分配和取消不同的角色，即RBAC 授權(quán)模式的宗旨，不同的角色劃分給不同的職能部門及崗位，資源訪問許可被封裝在用戶角色中。用戶通過不同的角色間接地訪問信息系統(tǒng)的數(shù)據(jù)，進(jìn)而進(jìn)行相應(yīng)的操作。授權(quán)者根據(jù)實際需求，設(shè)定與之相適應(yīng)的訪問控制權(quán)限來定義不同的角色。授權(quán)和授予是根據(jù)用戶的工作性質(zhì)和在部門內(nèi)的不同職責(zé)分配不同的角色。所以，訪問權(quán)限和授予的角色相關(guān)聯(lián)，授予的角色再與實際用戶相關(guān)聯(lián)，即而實現(xiàn)了實際用戶和訪問控制權(quán)限的邏輯分離。

傳統(tǒng)的訪問控制直接訪問控制權(quán)限對象，雖然是靈活易用的數(shù)據(jù)訪問方式，但其安全性較低，非法用戶可以避開其所提供的安全保護(hù)，從而獲得訪問權(quán)，所以訪問權(quán)限可以隨時授予，導(dǎo)致管理方面的困難。

基于不同角色的訪問控制權(quán)限多層面、多層次的意義，它以不同的用戶、角色、訪問控制權(quán)限的對象這三者相集合為基礎(chǔ)，其核心是將不同用戶和訪問控制權(quán)限的對象通過角色間接的關(guān)聯(lián)起來，做到一個用戶可以通過分配給已經(jīng)被分配了某些訪問控制權(quán)限的角色而獲得某些訪問控制權(quán)限。傳統(tǒng)的訪問控制和RBAC 模型見圖1。

圖1 傳統(tǒng)的訪問控制和RBAC 模型

2 NCV60 權(quán)限模型的特點

以“角色為核心”的權(quán)限產(chǎn)品體系，如圖所示，即將系統(tǒng)所有的權(quán)限（包括功能權(quán)限、組織權(quán)限、數(shù)據(jù)權(quán)限等）一起打包分配給不同的角色，不同角色的權(quán)限是實際用戶通過成為適當(dāng)不同角色的成員而得到，從而簡化了權(quán)限管理的相應(yīng)任務(wù)。NCV60權(quán)限模型見圖2。

圖2 NCV60 權(quán)限模型

（1）NC 產(chǎn)品中人員檔案和用戶是兩個檔案，一個實際用戶只能關(guān)聯(lián)一個人員，反之，一個人員可以關(guān)聯(lián)一個或多個實際用戶，一個人員是否可以關(guān)聯(lián)多個用戶是由參數(shù)[RBAC009-允許人員關(guān)聯(lián)多個實際用戶控制的，如果改參數(shù)的參數(shù)值為“是”，一個人員可以關(guān)聯(lián)多個實際用戶；

（2）職責(zé)和功能權(quán)限的關(guān)系是多對多的；

（3）角色和職責(zé)的關(guān)系是多對多的，一個角色即可關(guān)聯(lián)多個職責(zé)，一個職責(zé)也可分配給多個實際用戶；

（4）一個角色關(guān)聯(lián)了多個職責(zé)時，那么該角色就擁有這些職責(zé)所對應(yīng)的功能權(quán)限的合集；

（5）角色和組織權(quán)限的關(guān)系多對多的；

（6）角色和資源實體的關(guān)系是多對多的；

（7）角色和實際用戶是多對多的關(guān)系；一個角色可以關(guān)聯(lián)多個實際用戶，一個實際用戶也可以分配多個角色；

（8）當(dāng)一個實際用戶關(guān)聯(lián)了多個角色時，該實際用戶擁有多個角色所對應(yīng)的權(quán)限的合集；

（9）可以定義集團(tuán)級的角色和業(yè)務(wù)單元級的角色。

3 RBAC 的價值優(yōu)勢

（1）以RBAC 為核心的權(quán)限模型；

（2）支持功能權(quán)限、數(shù)據(jù)權(quán)限、組織權(quán)限、參數(shù)權(quán)限多類權(quán)限資源；

（3）支持基于數(shù)據(jù)對象的數(shù)據(jù)權(quán)限控制；

（4）借助職責(zé)簡化、規(guī)范集團(tuán)業(yè)務(wù)權(quán)限體系的規(guī)劃；

（5）支持多種的安全認(rèn)證方式，并且可擴(kuò)展其他方式；

（6）利用二次認(rèn)證、數(shù)字簽名等保護(hù)敏感業(yè)務(wù)和核心數(shù)據(jù)；

（7）支持對特殊人群直接授予特殊業(yè)務(wù)權(quán)限的靈活性；

（8）隨時調(diào)整業(yè)務(wù)需求對資源訪問的權(quán)限，能靈活定義權(quán)限資源類型；

（9）支持集中與分層的授權(quán)管理，以可管理組織、可授權(quán)功能/服務(wù)、可管理數(shù)據(jù)資源、可管理用戶、可管理角色來描述授權(quán)權(quán)模型；

（10）支持組織、檔案等的使用權(quán)延伸到引用這些對象業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)權(quán)限控制，簡化業(yè)務(wù)數(shù)據(jù)權(quán)限定義，并支持不同場景下使用權(quán)的差異。

4 應(yīng)用流程

創(chuàng)建的集團(tuán)管理員的身份登錄NC（財務(wù)管控）系統(tǒng)，就可以進(jìn)行權(quán)限管理的相關(guān)操作。登錄系統(tǒng)后，該集團(tuán)管理員可以切換管理多個集團(tuán)，如圖3 所示。在進(jìn)行切換時，相當(dāng)于重新登錄系統(tǒng)，進(jìn)行環(huán)境變量的初始化，所有打開的窗口會被關(guān)閉后重新打開。

5 結(jié)束語

本文選擇在RBAC 模式下，利用靈活的功能項處理系統(tǒng)分配的角色權(quán)限，形成了適應(yīng)本單位本部門的權(quán)限管理。財務(wù)管控系統(tǒng)已在天鐵集團(tuán)各個分廠內(nèi)實施，并取得了良好的成效。權(quán)限管理不僅使系統(tǒng)的數(shù)據(jù)更安全，而且能夠在職能范圍內(nèi)維護(hù)和共享系統(tǒng)的各種數(shù)據(jù)，體現(xiàn)了集團(tuán)信息化管理帶來的成效。