胡美慧　馮磊　王楷

摘 要：目前，國內(nèi)信息化程度較高的行業(yè)開始研究并實施了統(tǒng)一權(quán)限管理系統(tǒng)，權(quán)限管理系統(tǒng)的實用性、易用性、穩(wěn)定性和安全性受到了越來越多的關(guān)注。本文提出一種基于RBAC模型的改進(jìn)權(quán)限模型。通過建設(shè)的統(tǒng)一權(quán)限管理平臺，從而能夠更加靈活、迅速的實現(xiàn)身份權(quán)限管理需求，提升公司身份權(quán)限管控水平，降低身份安全控制風(fēng)險。

關(guān)鍵詞：系統(tǒng)架構(gòu)；集成方式；RBAC模型；統(tǒng)一權(quán)限

DOI：10.16640/j.cnki.37-1222/t.2016.04.197

0 引言

隨著應(yīng)用系統(tǒng)集成的深入一級SG-UAP平臺的推廣以及集中部署、新建應(yīng)用系統(tǒng)的建設(shè)，對權(quán)限服務(wù)的功能需求、性能需求和業(yè)務(wù)系統(tǒng)的權(quán)限集成粒度要求越來越高，特別是數(shù)據(jù)權(quán)限的控制管理方面，以及如何進(jìn)一步提高組件化水平，促進(jìn)軟件資產(chǎn)重用，實現(xiàn)軟件資產(chǎn)利益的最大化，對完善權(quán)限模型和權(quán)限管控能力方面提出了更高的要求。

1 統(tǒng)一權(quán)限模式基本架構(gòu)

2 單系統(tǒng)權(quán)限管理模式

單系統(tǒng)權(quán)限管理模式中，各業(yè)務(wù)系統(tǒng)獨立運維，由于權(quán)限模型差異無法實現(xiàn)統(tǒng)一的權(quán)限管理一直，造成業(yè)務(wù)系統(tǒng)權(quán)限分配差異大、運維分散；且無統(tǒng)一遵循的管理方法，信息部門很難審查各系統(tǒng)權(quán)限是否分配合理，權(quán)限使用是否安全合規(guī)，因此很難統(tǒng)計權(quán)限分配情況。

3 改進(jìn)的統(tǒng)一權(quán)限管理模式

改進(jìn)的統(tǒng)一權(quán)限管理模式，通過建立統(tǒng)一權(quán)限平臺，完成與各業(yè)務(wù)系統(tǒng)集成，實現(xiàn)用戶身份、權(quán)限集中存儲與管理，提升企業(yè)信息化服務(wù)支撐的能力，促進(jìn)信息運維化統(tǒng)一化，同時通過掌握業(yè)務(wù)系統(tǒng)的建設(shè)使用情況、分析業(yè)務(wù)需求與建設(shè)的合理性，幫助企業(yè)管理人員迅速了解企業(yè)的權(quán)限分布情況，加強了業(yè)務(wù)系統(tǒng)功能使用審計與權(quán)限分配審查。明確信息部分與業(yè)務(wù)部門在權(quán)限管理方面的職責(zé)，分層管理，對權(quán)限分配工作分解到各單位、部門，實現(xiàn)分層分級授權(quán)，進(jìn)而提升管理規(guī)范和效率。通過應(yīng)用組建化接入，為業(yè)務(wù)系統(tǒng)融合及統(tǒng)一展現(xiàn)提供支撐。

4 基于SG-UAP開發(fā)系統(tǒng)的權(quán)限管理模式

基于SG-UAP的新建業(yè)務(wù)系統(tǒng)無需再單獨開發(fā)組織、賬號、權(quán)限管理功能模塊，縮短了業(yè)務(wù)系統(tǒng)開發(fā)周期，節(jié)約信息化建設(shè)投資。以服務(wù)模式集成，可以對人員身份信息、組織、權(quán)限的集中存儲，通過統(tǒng)一權(quán)限平臺進(jìn)行認(rèn)證、鑒權(quán)，可強制系統(tǒng)執(zhí)行統(tǒng)一制定的規(guī)范，強化信息化管控力度，加強安全控制，促進(jìn)權(quán)限合規(guī)。

5 基于RBAC改進(jìn)的權(quán)限模型

統(tǒng)一權(quán)限管理平臺對企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)的權(quán)限進(jìn)行統(tǒng)一管理并提供集中的功能展示。目前它包括基準(zhǔn)組織體系管理、業(yè)務(wù)組織體系管理、業(yè)務(wù)角色管理、業(yè)務(wù)系統(tǒng)功能管理、權(quán)限管理功能及權(quán)限集成等相關(guān)接口服務(wù)。統(tǒng)一權(quán)限管理系統(tǒng)權(quán)限模型如圖2所示：

該模型是以標(biāo)準(zhǔn)的權(quán)限模型（Role-Based Access Control）為基礎(chǔ)，并結(jié)合身份授權(quán)體系進(jìn)行設(shè)計的，其中，業(yè)務(wù)角色、業(yè)務(wù)組織角色用戶分配資源（功能、權(quán)限對象）；角色分組是根據(jù)業(yè)務(wù)需要將角色進(jìn)行歸類。一個業(yè)務(wù)系統(tǒng)的業(yè)務(wù)角色，是指要完成該業(yè)務(wù)系統(tǒng)的業(yè)務(wù)需要幾種角色來完成。業(yè)務(wù)角色屬于業(yè)務(wù)系統(tǒng)，它與業(yè)務(wù)組織沒有關(guān)系。業(yè)務(wù)組織角色是具體關(guān)聯(lián)業(yè)務(wù)角色、業(yè)務(wù)組織機構(gòu)、和人的對象，它會繼承與之對應(yīng)的業(yè)務(wù)角色上的功能權(quán)限，同時它也位于某個業(yè)務(wù)組織下，并且要在業(yè)務(wù)角色上分配人員。角色體系的作用主要是集中控制角色權(quán)限分配方案，為統(tǒng)一工作流實現(xiàn)流程的通用化定義實現(xiàn)支撐。該模型在RBAC的基礎(chǔ)上，增加了身份授權(quán)體系，滿足職責(zé)分離的要求，達(dá)到了權(quán)限的最少訪問等優(yōu)點。

6 結(jié)束語

本文針對統(tǒng)一權(quán)限系統(tǒng)從系統(tǒng)架構(gòu)、技術(shù)支撐、與業(yè)務(wù)系統(tǒng)集成方式進(jìn)行了介紹和分析，并提出了一種基于RBAC的改進(jìn)權(quán)限模型。通過建設(shè)統(tǒng)一權(quán)限管理平臺，加強企業(yè)權(quán)限的集中、統(tǒng)一、精益和高效的管理，進(jìn)一步提升對企業(yè)內(nèi)組織、人員、賬號、權(quán)限的管控能力，加強了對資源的共享。

作者簡介：胡美慧（1990-），女，新疆阿勒泰人，碩士，主要從事：門戶、目錄及統(tǒng)一權(quán)限系統(tǒng)。