信息化系统中的权限和岗位责任体系构建董俊祺

产业与科技论坛2012年第11卷第21期

2012.(11).21

Industrial &Science Tribune 信息化系统中的权限和岗位责任体系构建

□董俊祺

【内容摘要】传统的信息化系统中的权限是直接和用户(人员)绑定的,在人员岗位频繁变更的企业中,往往会给系统管理员带

来很繁琐的工作,并且有时还会造成权限设置失误。RBAC 权限管理模型会改进很多,但由于角色往往是针对系统的,所以在角色和人员之间建立对于关系还有一定的维护工作。岗责权限管理模型则是建立在人员-岗位责任-角色之间的两次映射,人力资源负责人员-岗位责任之间的映射关系,系统管理员负责岗位责任-角色之间的关系。这种管理模式逻辑关系清晰,大大减轻了系统管理的复杂程度。

【关键词】信息化系统;RBAC ;权限

【作者简介】董俊祺(1981 ),男,上海人;上海轨道交通技术研究中心工程师;研究方向:信息化系岗位权责

近几年随着信息化系统的发展,各种信息化系统和模块大量上线,由于日常部门较多、分工较细化,对用户访问权限的管理维护工作就凸显繁重。如一个员工调理工作,一整套的访问权限都要重新设置。同时还有另一个问题就是当一个员工调入一个新岗位时,他(她)希望要对他(她)的前任的工作可以查询。这些需求将要求信息化系统的用户访问权限管理要有灵活性、易维护性。因此,我们想到在单点登录的模式下,用户权限信息需要集中管理,并且要建立岗位责任和访问权限的映射关系来代替原来的用户直接和访问权限的映射关系,这种权限管理模型我们称它为岗责权限管理模型。这种权限管理的模型是建立在RBAC 体系上的,它定义了模型中各个元素间的关系,而对于各元素的实际意义可以由各应用系统自行定义和解析,不同的应用系统可以通过这一权限定义体系来完成对本系统的权限模型定义。

图1统一权限管理框架

RBAC 权限管理模型是比较先进的权限管理模型,本系统的权限管理是基于RBAC 规范的用户权限管理模型,通过统一的角色定义与用户授权,来实现内网站用户对信息发布与订阅、协同工作应用、内部和外部应用系统中的相关对象的授权访问。

[1 2]

同时在RBAC 模型的基础上,引入了岗职

权限的设定,将事务处理的权限细化到行政岗位(职位),通过岗位的分配来对用户进行授权(见图1)。

通过以下的介绍我们可以看到这套权限管理体系中权限和角色是绑定在应用系统中的,而岗职是和部门绑定的,

也就是说不同应用系统中的角色有不同的定义,如不同的角色系统管理员在不同的应用系统中可以有完全不同的权限。

不同的职位在不同的部门中也有不同的职责范围,如A 部门的内勤和B 部门的内勤可以有不同的职责范围。通过这种岗职和角色的配置来形成岗职权限系统,当人员被赋予一定的职位后,他(她)的权限就形成了。

一、

RBAC 模型对于在网站环境的访问控制策略一般有3种:自主型访

问控制方法、强制型访问控制方法和基于角色的访问控制方法(RBAC )。[3 4]

其中自主型太弱,强制型太强,二者工作量大,不便于管理。基于角色的访问控制方法(RBAC )是目前公认的解决中大型机构或企业信息化的统一资源访问控制的有效方法。其显著的两大特征是:一是减小授权管理的复杂性,降低管理开销。二是灵活地支持系统的安全策略,并应对机构职能的变化可以有很大的伸缩性。

RBAC 认为权限授权实际上是Who 、What 、How 的问题。

在RBAC 模型中,Who 、What 、How 构成了访问权限三元组,也就是

“Who 对What (Which )进行How 的操作”。(一)Who 。权限的拥用者或主体(如Principal 、User 、Group 、Role 等等)。

(二)What 。权限针对的对象或资源(Resource 、Class )。(三)How 。具体的权限(Privilege ,正向授权与负向授

权)。

在RBAC 模型中,包含用户users (USERS )、角色roles (ROLES )、目标objects (OBS )、操作operations (OPS )、许可权permissions (PRMS )五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。会话sessions 是用户与激活的角色集合之间的映射。以下是一些基本名词解释和RBAC 基本模型图:

1.Objects 。目标,又称控制对象(What ),即系统所要保护的资源(Resource )。

2.Permissions 。许可权,又称权限,是对受保护资源的访

·

69·

相关推荐
相关主题
热门推荐