陳晨 張元文

摘要：以南方電網(wǎng)營銷管理系統(tǒng)的應(yīng)用系統(tǒng)權(quán)限管控現(xiàn)狀為例，基于大數(shù)據(jù)分析方法對應(yīng)用系統(tǒng)權(quán)限管控模型進行分析構(gòu)建，為電力行業(yè)應(yīng)用系統(tǒng)獨立向大數(shù)據(jù)框架下集成縱深應(yīng)用轉(zhuǎn)變提供權(quán)限管控應(yīng)用實踐解決思路。

關(guān)鍵詞：大數(shù)據(jù)分析1;權(quán)限管控2;RBAC模型3

引言

隨著企業(yè)信息化發(fā)展水平的不斷提高，企業(yè)管理的信息系統(tǒng)越做越大，用戶數(shù)量在不斷增加，應(yīng)用場景變的多元化，產(chǎn)生越來越多企業(yè)級內(nèi)部應(yīng)用系統(tǒng)數(shù)據(jù)融合的業(yè)務(wù)需求，這些需求來源于不同的部門、業(yè)務(wù)和應(yīng)用場景，各種需求交織在一起產(chǎn)生的問題可由大數(shù)據(jù)系統(tǒng)做進一步解析與挖掘。在這個過程中，如何精確地控制系統(tǒng)用戶的訪問權(quán)限，如何解決權(quán)限管控顆粒度不一致的問題，以滿足企業(yè)內(nèi)控管理要求，降低企業(yè)管理風(fēng)險，是應(yīng)用系統(tǒng)管控功能建設(shè)需要考慮的重要問題。

1.應(yīng)用系統(tǒng)權(quán)限管控的意義與內(nèi)涵

權(quán)限對于一個信息系統(tǒng)來說，就是用戶在系統(tǒng)中能夠做哪些操作。說起來看似簡單，但是實際實現(xiàn)起來并不是一件容易的事，這要涉及到系統(tǒng)的用戶管理、角色管理、權(quán)限對象管理、權(quán)限分配管理、內(nèi)控互斥檢查等，要求系統(tǒng)在最初設(shè)計時就要考慮到每個系統(tǒng)功能都要關(guān)聯(lián)權(quán)限控制的問題。

企業(yè)的應(yīng)用權(quán)限管控，從廣義上講是對企業(yè)中各應(yīng)用系統(tǒng)的權(quán)限從申請授予，到權(quán)限分配使用，再到權(quán)限回收進行全程閉環(huán)流程的監(jiān)控，建立權(quán)限管理進而保證應(yīng)用系統(tǒng)的安全性。從狹義上講權(quán)限管控是指在每個用戶在各部門、業(yè)務(wù)以及個人角色上都定位有自己的權(quán)限，不允許越權(quán)使用系統(tǒng)，因此需要建立一個分配和管理這些權(quán)限的機制與方法，這就是權(quán)限管理。

2.南方電網(wǎng)營銷管理系統(tǒng)權(quán)限管控痛點問題

目前南網(wǎng)營銷管理系統(tǒng)擁有上百個角色，上千個功能菜單，上千個流程環(huán)節(jié)，其中有一百余個環(huán)節(jié)是動態(tài)指定角色，由于南網(wǎng)營銷管理系統(tǒng)角色、流程配置過于雜亂，引發(fā)了三個主要問題：

（1）人員的權(quán)限和崗位沒有直接關(guān)聯(lián)，配置角色、流程過于復(fù)雜

權(quán)限角色是系統(tǒng)功能權(quán)限設(shè)置的基礎(chǔ)，相當(dāng)于用戶分組，所有用戶對應(yīng)到相應(yīng)權(quán)限角色，便具有該權(quán)限角色所賦予的所有功能權(quán)限，崗位是在組織架構(gòu)下的精細(xì)崗位劃分，是業(yè)務(wù)流程控制、業(yè)績考核、預(yù)警體系的基礎(chǔ)，不同的機構(gòu)、部門下的同一職務(wù)作為不同的崗位管理的。角色人員權(quán)限實際上部分相當(dāng)于崗位權(quán)限分類的概念，但并沒有把崗位直接作為系統(tǒng)功能權(quán)限設(shè)置的對象而是引入了權(quán)限角色概念，南方電網(wǎng)營銷管理系統(tǒng)一個崗位需要配置多個角色才能滿足，是因為崗位非常多，而很多不同的機構(gòu)、部門下的同一職務(wù)擁有同樣的功能權(quán)限，一位用戶的角色甚至多達幾十個。

（2）相同崗位下的人員權(quán)限不統(tǒng)一，業(yè)務(wù)安全風(fēng)險及審計風(fēng)險均較大

由于營銷管理系統(tǒng)涉及到公司不同部門、崗位及工種的人員，系統(tǒng)涉及到的人員較多，加之目前人員的崗位變動較為頻繁，人員素質(zhì)參差不齊，基層人員申請角色權(quán)限沒有明確參照，對權(quán)限分配時往往不能統(tǒng)一且不遵循最小化原則。部分員工對自身權(quán)限保管和使用的安全意識了解學(xué)習(xí)不到位，崗位發(fā)生變動或離職時權(quán)限變更、注銷也不及時，極大影響了營銷系統(tǒng)的使用安全性，也造成了潛在的業(yè)務(wù)安全及審計風(fēng)險，嚴(yán)重時甚至可能會給企業(yè)造成巨大的經(jīng)濟損失

（3）缺乏角色權(quán)限校驗?zāi)Ｐ?，難以保障角色申請合規(guī)性。

在以往的權(quán)限管理中，應(yīng)用權(quán)限的管理處于一個相對粗放的模式，權(quán)限新角色申請、變更及關(guān)閉往往通過提交流轉(zhuǎn)環(huán)節(jié)復(fù)雜的申請工單進行匹配操作，但由于上述兩點問題的長期存在，難以構(gòu)建一個標(biāo)準(zhǔn)的角色校驗?zāi)Ｐ?，現(xiàn)今權(quán)限開通變更仍然依靠系統(tǒng)管理員，通過人工審查更改，各權(quán)限、角色、崗位之間界限模糊，對權(quán)限申請與授權(quán)都是根據(jù)工作需要臨時進行處理，導(dǎo)致人工審查工作量大，審查人員只能按照申請工單內(nèi)容進行操作，核查權(quán)限開通變更是否合規(guī)成為一個棘手問題，手工操作差錯難以避免，角色申請合規(guī)性難以保障。

3.營銷管理系統(tǒng)權(quán)限管控整改思路

利用Python進行大數(shù)據(jù)對比、分析，重新梳理營銷系統(tǒng)現(xiàn)有角色權(quán)限，重構(gòu)營銷系統(tǒng)角色，精簡角色及流程環(huán)節(jié)適配，營銷角色權(quán)限分析模型，建立具體流程可遵從如下思路開展：

（1）角色權(quán)限數(shù)據(jù)收集

由于流程環(huán)節(jié)中有上百個環(huán)節(jié)是動態(tài)指定處理，每一個動態(tài)指定處理都是一段代碼，解析后動態(tài)指定處理有人員和角色，角色中存在較多權(quán)限，因此在整改中，如果動態(tài)指定角色廢棄后重新梳理，會帶來較大的工作量，但如果不重新梳理，一個操作員需要配置的角色可能就會有多個，并且會導(dǎo)致權(quán)限過大，出現(xiàn)崗位和權(quán)限不匹配的情況，而降低申請和審批工作量之所以可行，關(guān)鍵是把一些大同小異的重復(fù)過程，通過抽象，變成一次性的過程，而一個用戶，他的工作職責(zé)和范圍在短期內(nèi)往往是相對固定的。

可在保持營銷系統(tǒng)現(xiàn)有權(quán)限體系不變的前提下，基于用戶角色權(quán)限設(shè)計方案，解偶權(quán)限點和具體的人員的映射關(guān)系，通過Python應(yīng)用大數(shù)據(jù)比對分析技術(shù)，從營銷系統(tǒng)中提取角色對應(yīng)的權(quán)限數(shù)據(jù)并進行歸類，從業(yè)務(wù)環(huán)節(jié)、模塊、流程多維度梳理，利用數(shù)據(jù)分析框架對結(jié)構(gòu)化的權(quán)限數(shù)據(jù)進行控制和操作比對，對異常數(shù)據(jù)進行清理處理，篩選重合冗余的動態(tài)角色權(quán)限，完成已有角色的相似度比對。

（2）與相關(guān)部門聯(lián)動進行系統(tǒng)權(quán)限重新劃分

建立權(quán)限管控與市場部、地市供電局之間的雙相聯(lián)動機制，保持部門間的良好溝通，針對不同類型用戶的建立獨立的權(quán)限分配原則及標(biāo)準(zhǔn)，對于用戶權(quán)限的分配以保障數(shù)據(jù)直報的高效、準(zhǔn)確、安全為原則，及時調(diào)研參照組織架構(gòu)、崗位設(shè)置以及權(quán)限互斥原則對營銷系統(tǒng)角色進行重構(gòu)。

通過對用戶角色進行重新劃分，重新分配用戶權(quán)限，合理限制對個例數(shù)據(jù)的修改權(quán)限，將原始數(shù)據(jù)與統(tǒng)計梳理后信息利用分開，對用戶角色權(quán)限清單進行初步分析排查，標(biāo)注不滿足互斥要求角色、菜單及流程，重新按照系統(tǒng)崗位對角色進行重新配置，確保重新配置后的人員崗位及角色滿足業(yè)務(wù)管控要求，并基于修正后的人員角色精簡并對流程環(huán)節(jié)對應(yīng)角色進行重新適配。

（3）構(gòu)建營銷角色權(quán)限分析梳理模型

分層級對人員崗位角色存在的差異進行調(diào)整，調(diào)整角色規(guī)范，通過調(diào)整角色權(quán)限配置邏輯、角色關(guān)聯(lián)用戶及角色關(guān)聯(lián)權(quán)限的方式間接賦予用戶權(quán)限，處理用戶、角色與模塊菜單之間的關(guān)系，對角色規(guī)范進行調(diào)整。

以RBAC模型作為基礎(chǔ)，按照上述“權(quán)限數(shù)據(jù)收集-權(quán)限數(shù)據(jù)清洗篩選-系統(tǒng)權(quán)限重新劃分-系統(tǒng)權(quán)限重新配置”流程，構(gòu)建營銷角色權(quán)限的分析模型，通過提供用戶可配置的資源點與數(shù)據(jù)集合，將各個角色權(quán)限、流程權(quán)限及所涉及的動態(tài)角色權(quán)限的管控納入到模型中進行統(tǒng)一的管理，錄入到權(quán)限管理模型中，由用戶界面統(tǒng)一配置，根據(jù)業(yè)務(wù)場景和流程可進行自定義的設(shè)置，靈活地為多用戶配置不同流程和操作權(quán)限，提高權(quán)限配置的合規(guī)性，為后續(xù)角色申請合理性提供自動校驗工具。

（4）完善應(yīng)用系統(tǒng)角色管控體系

所謂權(quán)限管理體系，就是如何控制操作使用者對軟件功能和系統(tǒng)數(shù)據(jù)的訪問權(quán)限的各個方面。針對權(quán)限不足或權(quán)限設(shè)定不合理的情況，可通過權(quán)限梳理工具持續(xù)變更崗位權(quán)限，后臺運維人員及時更新到營銷系統(tǒng)中，對于確實無法避免用戶權(quán)限互斥的問題，在管理上要對這些崗位人員的操作加強監(jiān)控，定期檢查，避免出現(xiàn)管理風(fēng)險，給企業(yè)造成不必要的損失。

從整體上來說，應(yīng)該明確應(yīng)用系統(tǒng)權(quán)限分配的流程和建立權(quán)限分配的閉環(huán)管理模式。通過營銷角色權(quán)限分析模型的建立，完善系統(tǒng)角色管控體系，使得角色配置在合規(guī)同時更加靈活多變，用戶可更加便捷地獲取和變更權(quán)限，縮短權(quán)限申請配置時間，在權(quán)限設(shè)置上達到事半功倍的效果。

4.結(jié)論

權(quán)限管理工作，不是簡單的安全問題，更多的時候是一個產(chǎn)品設(shè)計和業(yè)務(wù)治理的理念和目標(biāo)問題。隨著大數(shù)據(jù)技術(shù)的發(fā)展，權(quán)限管理直接影響著應(yīng)用系統(tǒng)與企業(yè)數(shù)據(jù)資源的安全，對于重視應(yīng)用系統(tǒng)權(quán)限管控、建立完善的系統(tǒng)權(quán)限管控體系對于企業(yè)發(fā)展信息化轉(zhuǎn)型具有很大的幫助，賦予管理者分配權(quán)力的同時，既可以提升工作效率，還可以做到工作區(qū)域承擔(dān)，這也將會是信息化發(fā)展必然的結(jié)果。