羅 俊

（安徽建工集團有限公司，合肥 230001）

0 引言

多業(yè)態(tài)集團型企業(yè)由不同的業(yè)務單元組成，其中絕大部分的業(yè)務單元作為獨立的實體存在，由相對獨立的子公司負責運營。各子公司獨立制定業(yè)務策略，子公司可能經(jīng)營一項或者若干項具體的業(yè)務。各公司的行業(yè)特征明顯、下級公司數(shù)量眾多且跨行業(yè)分布，沒有統(tǒng)一的管控模式。

多業(yè)態(tài)集團型企業(yè)的權限管理體系要考慮到整個集團內(nèi)部不同行業(yè)、不同業(yè)務單元的具體情況以及公司的規(guī)章制度，包括權限分配、權限下放、權限范圍、資源實體、系統(tǒng)管理等。在權限管理體系規(guī)劃之前，應該展開充分的調研和論證，涉及基礎數(shù)據(jù)、業(yè)務數(shù)據(jù)、組織單元、功能模塊等。多業(yè)態(tài)集團的組織及職能如表1 所示。

表1 多業(yè)態(tài)集團的組織及職能

另外，對于多業(yè)態(tài)集團型企業(yè)而言，分權管理尤為重要，通過分權管理，可以實現(xiàn)下屬公司或組織機構的管理人員來管理自己的系統(tǒng)數(shù)據(jù)。大體而言，分權管理應該包括如下功能：系統(tǒng)組織結構、人員、角色的創(chuàng)建與權限等系統(tǒng)層面的權限分權，流程維護的權限分權，知識文檔維護的權限分權，項目管理的權限分權，資產(chǎn)管理的權限分權等。但是整個分權管理應該是一個很復雜的功能，權限的分發(fā)和回收必須要做到精準和安全。

1 現(xiàn)狀描述

隨著信息化發(fā)展水平的不斷提高，企業(yè)信息系統(tǒng)的門類和數(shù)量也在不斷增加，系統(tǒng)的用戶數(shù)量也在逐漸增加，如何精準地控制信息系統(tǒng)的用戶權限，有效保障系統(tǒng)及數(shù)據(jù)的安全，滿足企業(yè)實際的管理和權限要求，降低企業(yè)管理風險，是大型信息系統(tǒng)必須要考慮的問題。信息系統(tǒng)的權限管理體系分為系統(tǒng)級和應用級，系統(tǒng)級別的權限控制不在本文討論的范圍之內(nèi)，應用級別的權限管理是信息系統(tǒng)的核心所在。由于各企業(yè)管理內(nèi)容及管理模式存在千差萬別，作為一套成熟的信息系統(tǒng)的核心組成，其權限管理體系必須結合企業(yè)實際管理情況，只有這樣，才能適應各種企業(yè)的內(nèi)控管理需求，從而有效地為企業(yè)的管理服務。

結合目前市場上某些行業(yè)典型的信息系統(tǒng)的權限管理體系，從幾個方面來闡述多業(yè)態(tài)集團性企業(yè)的權限管理需求，從而更加直觀地反映企業(yè)實際的管理需求，研究這類在組織結構、業(yè)態(tài)分布、管理形式等方面都相對復雜的企業(yè)權限體系，對于其他直線型、集權型、單業(yè)態(tài)企業(yè)也具有普遍的適用性。多業(yè)態(tài)集團企業(yè)權限管理需求與行業(yè)信息系統(tǒng)對照表如表2 所示。

表2 多業(yè)態(tài)集團企業(yè)權限管理需求與行業(yè)信息系統(tǒng)對照表

通過分析，我們了解多業(yè)態(tài)集團權限體系需求與國內(nèi)行業(yè)成熟的信息系統(tǒng)的權限體系實現(xiàn)之間存在如下三個方面的問題。

（1）權限管理體系要求數(shù)據(jù)隔離，這一點信息系統(tǒng)基本都可以實現(xiàn)，只是在某些系統(tǒng)統(tǒng)一設置的參數(shù)，例如賬套、工資等參數(shù)設置時無法進行個性化設置，此外某些行業(yè)信息系統(tǒng)在組織和用戶權限方面未做好對組的控制，這些對于多業(yè)態(tài)集團型企業(yè)具有一定的局限性。

（2）權限管理體系細分為使用權和分配權，使用權是用戶具有的操作權限，分配權是用戶可以分配下放給其他用戶的權限，這樣可以實現(xiàn)權限的精細化管理。目前主流信息系統(tǒng)對于分配權的授予大多采用繼承方式，即默認用戶的使用權集合，可以實現(xiàn)分配權定制的也僅是部分功能。

（3）權限管理體系需求分權管理，而目前成熟信息系統(tǒng)基本都只具備部分功能的分權管理，未真正實現(xiàn)分級管理。此外，權限管理體系應該能夠適應實際需求，為可能發(fā)生變動的企業(yè)應用環(huán)境提供合適的解決方案。

2 體系分析

多業(yè)態(tài)集團型企業(yè)權限管理體系的核心內(nèi)容是管控模式，“以事定崗，以崗定人”。設置崗位既要著眼于企業(yè)現(xiàn)實，又要著眼于企業(yè)發(fā)展。按照企業(yè)各部門職責范圍劃定崗位，以角色區(qū)分崗位，同一崗位的員工由于職責不同，擁有的權限和扮演的角色亦不同。通過權限管理體系將需要統(tǒng)一管理的內(nèi)容管起來，將不需要管理的事情放下去。而且管理方式的收放可以依據(jù)組織需求進行設定，具有一定的彈性。管理員隸屬于組織，獨立于用戶。各級組織的管理員賬戶與信息系統(tǒng)的管理員賬戶扮演的角色基本是一致的，區(qū)別在于：

（1）管理范圍的不同，信息系統(tǒng)管理員賬戶是整個系統(tǒng)的維護角色，而各級組織的管理員擔任相應組織的維護角色。

（2）可分配權限范圍不同，信息系統(tǒng)管理員賬戶可以分配系統(tǒng)內(nèi)所有的功能權限，而各級組織的管理員只能分配信息系統(tǒng)允許分配的相應權限集合。

通過前面分析，我們了解多業(yè)態(tài)集團型企業(yè)的組織形式和不同單元信息管理的側重點。多業(yè)態(tài)集團型企業(yè)對權限體系的需求總體可以歸納為以下三點：

（1） 支持在權限范圍內(nèi)靈活的組織結構自主維護與定制，支持層級機構和工作組機構，滿足現(xiàn)代企業(yè)機構復雜、靈活的矩陣式組織模型的要求，支持跨組織兼職、業(yè)務委托代理。

（2）支持多層級單位、多層級部門、多層級工作組的管理，支持相應層級的業(yè)務管理員的創(chuàng)建及權限管理操作，下級單位在上級單位授權范圍內(nèi)對本級及下級單位進行管理，各層級業(yè)務管理員可以查看與管理其權限范圍內(nèi)的業(yè)務數(shù)據(jù)和組織機構。

（3） 各級業(yè)務管理員必須由集團業(yè)務管理員創(chuàng)建和授權，各子公司業(yè)務管理員可以對其所在公司不同員工賦予不同的操作權限，以此類推，支持層級組織結構。

多業(yè)態(tài)集團型企業(yè)權限管理體系就其特點而言，要求集團公司將具體的系統(tǒng)管理及相關權限賦予分公司和子公司，下級單位在上級單位授予的權限范圍內(nèi)，建立自己的系統(tǒng)及應用，相互獨立運作，彼此互不干擾。多業(yè)態(tài)集團權限管理體系的實現(xiàn)過程如圖1 所示。

圖1 多業(yè)態(tài)集團型企業(yè)權限管理體系

企業(yè)內(nèi)部進行崗位劃分，依據(jù)崗位職責劃分管理類崗位與業(yè)務類崗位，同樣是總經(jīng)理崗位，可細分為分管財務或者分管營運的不同角色，以角色區(qū)分崗位。一種崗位可能包含多個角色，但是一個角色只能屬于一種崗位，用戶關聯(lián)角色獲取角色對應的權限，一個用戶可以關聯(lián)多個角色，在用戶登錄系統(tǒng)后進行權限校驗，權限集合應為該用戶關聯(lián)角色的權限合集。而目前市場主流信息系統(tǒng)選擇的方式都是用戶登錄時選擇相應的角色進行操作，這樣對用戶訪問操作是不友好的。同樣一個角色也可能屬于多個用戶，現(xiàn)實的企業(yè)管理中一個崗位由兩個用戶來完成也是存在的，例如輪班制管理。用戶與角色都可以通過組進行集中管理，此外，將權限集合通過資源池的方式整合，可以方便對單個用戶或者角色進行賦權，增加權限管理體系的靈活性。無論是崗位、角色組、用戶組、資源都隸屬于某個組織，在特定的組織范圍內(nèi)進行權限管控。

3 體系元素

（1）在權限管理體系設計中，如下元素有著相對應的含義：

①用戶（user）：信息系統(tǒng)的使用者，與角色關聯(lián)，隸屬于組織。

②角色（role）：區(qū)分某個崗位（jobs）具體職責的權限集合。

③組織（organization）：體現(xiàn)了用戶所屬單位及部門的行政關系。

④用戶組（user group）：具有相同職能的用戶的集合。

⑤角色組（role group）：具有相同職責的角色的集合。

⑥崗位（jobs）：具有功能權限的集合，直接與功能權限關聯(lián)，被分配相應職責即意味著有權執(zhí)行這些功能。職責表中的字段“functions”記錄相關的功能id，id 之間用逗號隔開。

⑦功能（function）：系統(tǒng)的一個或者多個執(zhí)行的準入，對應系統(tǒng)的功能控制、數(shù)據(jù)訪問、組織范圍、分配下放等相關權限。

⑧資源（resource）：信息系統(tǒng)中所有權限控制點，包括功能權限、操作權限、組織權限等，可在此對用戶進行個性化賦權。

（2）結合上面的元素分析可以在體系中定義以下幾類角色：

①系統(tǒng)管理員：信息系統(tǒng)的基礎數(shù)據(jù)、數(shù)據(jù)庫連接等的配置。

②集團管理員：集團數(shù)據(jù)的管理者，包括集團組織機構樹的創(chuàng)建，下級單位管理員的創(chuàng)建、權限的分配等。

③集團基礎數(shù)據(jù)管理員：集團層面需要統(tǒng)一設置的基礎數(shù)據(jù)的設置、維護和管理，例如賬套、會計期間等。

④公司管理員：二級單位的管理員，本身也可能是個集團型組織，需要創(chuàng)建自身的組織結構樹及權限的下放、分配等。

⑤公司基礎數(shù)據(jù)管理員：公司層面依據(jù)具體情況需要統(tǒng)一設置的基礎數(shù)據(jù)的設置、維護和管理，例如工資等。

⑥組織管理員：三級單位及以下組織的管理員，負責相應組織的組織創(chuàng)建、人員創(chuàng)建、權限分配等。

⑦組織基礎管理員：組織層面依據(jù)具體情況需要統(tǒng)一設置的基礎數(shù)據(jù)的設置、維護和管理，例如工作時間等。

⑧業(yè)務管理員：負責具體業(yè)務的管理和運營等相關工作的人員。

通過分析可設計權限管理體系模型分級權限如表3 所示。

表3 權限管理體系模型分級權限表

4 體系設計

4.1 邏輯模型

權限管理體系使用ERStudio 8 進行建模，邏輯模型設計后的總體視圖如圖2 所示，相關表及字段設計不盡完善，具體使用中可能會添加若干相關字段或輔助表。本圖僅為本文討論需要及功能實現(xiàn)。

圖2 邏輯模型設計的總體視圖

首先，功能表、操作表、分配表和單位表位于整個設計的最底層，它們與職責表通過關聯(lián)，進行權限賦予、范圍限定，彼此之間是多對多的關系，同時職責依據(jù)權限類型不同劃分為管理類職責與業(yè)務類職責。其次，將職責表關聯(lián)到相應角色表，角色同樣區(qū)分管理類型與業(yè)務類型。最后，才將角色關聯(lián)到用戶，角色與用戶均可以進行分組管理，便于統(tǒng)一管理，而用戶最終具有角色包含職責所具有的權限集合和組織范圍，用戶可以在上級用戶設定的權限范圍內(nèi)完成當前組織的所有工作，實現(xiàn)集團公司組織的分級管理。除此之外，還可以通過資源表對用戶進行直接的權限賦予，實現(xiàn)權限管理的個性化需求。

4.2 物理模型

接下來以Oracle 11G 數(shù)據(jù)庫環(huán)境為例，將前面的邏輯模型轉換為物理模型。包括實體表與關系表以及表的主鍵與外鍵等。物理模型的總體視圖示如圖3 所示。

圖3 物理模型設計的總體視圖

5 總結

通過權限管理體系的控制，一個用戶可以擁有多種角色，但同一時刻用戶只能用一種角色進入系統(tǒng)，在用戶登錄系統(tǒng)后，會進行相關權限驗證，將用戶具有的功能權限菜單予以顯示，在進行相關數(shù)據(jù)操作時會自動根據(jù)用戶所具有的組織權限進行數(shù)據(jù)篩選。另外還可以單獨對用戶進行賦權操作，直接在資源池中進行賦權管理，可個性化地進行權限分配。以上討論的實體均關聯(lián)相應的組織，即不同組織間允許相同名稱的職責、角色和用戶的存在，功能集合的定義由不同組織的管理員自行設置，這樣就可以在同一體系下根據(jù)不同組織的需要創(chuàng)建符合自身情況的權限架構方案。

由于多業(yè)態(tài)集團型企業(yè)的業(yè)務需求，所屬公司從事的行業(yè)及崗位設置、職責以及權限管理可能均有不同，所以需要在整個權限管理體系中設定基礎數(shù)據(jù)管理員的角色，這個角色可以對集團要求統(tǒng)一的參數(shù)進行設置與修改。而公司層面可以設定公司管理員的角色，這個角色可以完成在相應公司范圍內(nèi)的所有相關操作，包括創(chuàng)建基礎數(shù)據(jù)及角色與權限的管理。這樣就可以實現(xiàn)各組織內(nèi)的個性化定制功能，而且組織之間數(shù)據(jù)相互隔離。

通過對需求的調研及分析，結合目前成熟信息系統(tǒng)的權限體系，多業(yè)態(tài)集團型企業(yè)權限管理體系，采取以下三種方法解決問題：

（1）設計使用權與分配權分離的方式有效解決目前行業(yè)信息系統(tǒng)可能出現(xiàn)的權責不清的問題。

（2）設計嚴格的組織范圍權限控制有效地保障公司內(nèi)部各單位與各組織之間的信息安全，實現(xiàn)數(shù)據(jù)隔離，有效控制用戶和角色的權限范圍。

（3）設計有效的分權管理體系，實現(xiàn)集團公司組織的分級、分層管理，充分發(fā)揮下級單位自主管理的能動性，分而治之。