SYS MANAGEMENT 系统管理 信息系 J口√ 司、 统权限管理集成接入研究与应用 ◆许畅胡聪李彦生 摘要:国网公司推广统一权限平台,即将身份授权工作整合到一个系统中使用。这样做 不仅可以提高应用安全性、统一操作体验提高授权效率。但是公司目前现存系统已有自己的 身份权限管理模式,如何在现存业务系统尽量少改造又能达到相应管理效果。本文主要对信 息系统的用户权限管理基本功能进行了分析,并台在这些功能基础上进一步分析了权限的几 种集成粒度,最后通过统一权限平台的实践案例对现存系统的接入策略进行了阐述。 关键词:身份授权;应用集成;权限管理 么样的规则。请求是想通过工作流来规范企业对用户权限的 引言 随着企业信息化建设的不断深入,在业务应用的集成 过程中通常会遇到一些来自技术层面或者管理层面带来的问 分配。并给出了计算给定用户拥有的目标系统访问权限P:P =User-Role X Role—Definition+Rules—Function(User-Attributes )+Request—Definition 题。管理层面上,随着公司信息系统建设项目增加,多用户 多账号,权限规则多样化、公共账号。权限管理散落在各个 系统中,业务功能会存在重复建设,系统之间对共性的管理 需求仍然存在壁垒,用户面临多系统的使用也降低了用户的 使用体验。技术层面上,不同的开发平台中权限模型各不相 通过将系统权限赋予角色,灵活地支持IT系统权限调 整,并对企业的变化有很大的伸缩性。通过将角色赋予用 户,代替繁琐的逐个用户操作,减小授权管理的复杂性。 用户能够根据工作需要申请承担相应的业务角色,而不必了 解后端IT系统的权限定义。根据用户的身份属性(部门、职 同,导致不同系统中的组织机构数据、权限管理模式的差异 性。映射可能是现在绝大多数的处理方式,但这样一来往往 务、职位等)进行匹配,动态计算角色成员资格。角色加规 则可预测自动化权限分配,多余的系统权限自动撤销,避免 会造成很大数据清理工作量和较差的后期维护性,其中最为 普遍的是用户组织管理问题或因其牵涉出来其他业务数据集 成问题。 一权限过度堆积。将请求作为对规则和角色的有益补充集中统 一管理。 但不论采用哪种功能实现模型,都是要解决分散的流程 、基本功能分析 和不一致的管理界面带来的权限服务于安全管理问题。与未 来能够将申请审批流程在系统内固化,与实现自动化多种系 统设计思路和授权模型不同,为降低实施风险,统一权限平 身份权限管理是信息系统的基础功能,根据系统复杂度 不同可能设计到十余种场景。其中,身份管理,功能权限分 配、功能权限定义、权限资源维护是权限管理的核心功能。 台应能够支持多种授权模式,并能够支持集成业务系统向基 于角色授权的模式演进。 其他主体功能根据实际应用场景不同可能会增加。例如,拥 有大量用户的系统会增加业务组织的管理以方便对账号进行 三、集成粒度与需求分析 把权限的控制粒度分为登录级、功能级和数据级三个等 级。 检索,拥有大量管理员操作的系统会考虑加入身份分级管 理、权限分级管理的功能,当系统功能不断累加产生多个子 系统时会考虑将业务组织或者角色共用等,当系统中有不相 容岗位时要考虑加入角色互斥等。 登录级集成粒度。主要为哪些页面需要登录控制、登录 验证逻辑、登录后页面转向哪里,以及权限菜单等问题。严 格意义来说,登录控制并不属于权限管理内容,它属于用户 二、功能实现分析 业界在进行权限功能大致分为了三个大的阶段,自主访 问控制(DAC)和强制访问控制(MAC)、基于角色访问 控制(RBAC)阶段和基于SOA的RBAC权限控制阶段,在 身份认证内容。但是权限基本都与用户相关,首先涉及到用 户名密码验证。从开发角度需求主要考虑几方面,哪些页面 需要登录后才能查看,而且哪些页面还需要进一步验证角色 权限。登录页面的位置,登录用户名、密码验证,登录后转 向的页面。 每个阶段里面又有一些衍生模型出现。从理论上讲,我们认 为华北电网公司在2010年提出应用了R3权限功能实现的方法 论基本可以较为浅显易懂的表达权限管理的功能实现关系, 即角色(Role)、规则(Rule)、请求(Request)。角色实 现了基于角色的管理(RBAC)的功能权限控制。规则建立 了对用户角色分配的规则的数据权限控制,某人应该拥有什 50 信息系统工程l 2015 3 2O 功能即集成粒度。RBAC已经广泛运用于各个系统,基 础RBAC0关系并不复杂。通过给用户赋予角色、角色拥有 权限的模式,达到控制用户具有权限的目的。同时,还复用 了角色,这样可以让多个相同职务(或职能)的人拥有同样 的角色。功能级权限也有大小之分,大的可以是一个业务模 SYS MANAGEMENT 系统管理 块,小的也可以是一个按钮。功能级权限一般由菜单、url、 按钮这些元素组成。列举几个功能访问权限典型场景进行 举例:(1)给张三赋予“人资管理员”角色,“人资管理 员”具有“员工查询”、“员工新增”、“员工信息修改” 系统。第二种是做角色级的权限管理、统一权限管理角色 与用户的关系,业务应用管理角色与权限对象的关系、只能 针对部分进行改造的业务应用。例 ̄NSAP系统,他的权限管 理员主要是做用户与通用角色与本地角色的关系维护,具体 TCode与角色的关系多为BASIS顾问完成。第三种是功能级 和“员工删除”权限,此时张三能够进入人资系统并可以进 行这些操作。(2)去掉李四的“人资管理员”角色,此时 李四就不能够进行系统进行这些操作了。 数据级集成粒度。主要指访问数据的可见范围,一般 的权限管理,统一权限管理所有权限信息,适用于拥有较强 改造能力的业务系统。第四种是做到数据级权限的权限管 理,最后一种权限管理可能更多的是根据不同的权限控制业 务场景划分到二次开发人员通过权限中间件定制策略实现, 一包括当前操作人可见、部门可见、部门及子部门可见等。数 据级权限目前常用做法就是在业务模块的表中增加操作人字 般不由管理员定义。 段,然后通过AOP或者是在基类的查询、查看、更新、删 除中,把字段值与可见范围进行特殊处理。列举几个数据权 五、总结 本文首先阐述了信息系统统一权限管理的概念,并对信 息系统的权限管理的基本功能进行了分析,系统提出了业务 限控制的典型场景进行举例:(1)因为张三是北京分公司 的“人资管理员”,所以他只能够管理北京分公司员工其下 属子公司的员工。(2)普通审查员审查财务数据的权限, 系统与统一权限平台的集成粒度划分,探讨了统一权限平台 在推广实施过程中应对不同研发实施厂商的不同业务系统可 以采取的集成方式和策略。 参考文献 …李伟,郭登峰,徐正山.基于R3方法论的企业级统一角色权限管理 在电力企业中的运用IJ].电力信息化,2010,7. 在教育业审核最高限额是50万元,在生产制造业最高限额是 1000万元,高级审查员不受该限额限制。 H 数据级权限管理需求主要包括:支持不同用户查询到数 据是不同的,支持数据库行级、列级查询,支持分页查询包 括分页查出数据并能告知总数据条数是多少两方面;支持自 定义条件(比如:张三在自己的查询权限范围内,查询50w 以上的订单)。 (作者单位:国网安徽省电力公司信息通信分公司) 四、集成方式与策略 信息系统的权限集成方式主要有四种。第一种方式是 做业务应用级的权限管理、统一权限管理业务应用可以由哪 些单位的用户从门户进行访问、改造存在较大难度的业务应 用。对用户来讲能够实现单点登录的效果,例如电子邮件 (上接27页) 通、移动、电信3G),加上卫星通讯方式,多组合网络组成 (2)因音视频采集设备接口较多,且全部接人大连捷 成UNT AV 8x8一FL音视频矩阵中,同时输出时,导致音频 方式,保证应急时网络保障,同时可自备发电机工作,在大 震基础设施严重毁坏的情况下,可独立完成应急保障需要, 发挥重要作用。 参考文献 …章熙海,胡秀敏,付荣国,等地震应急通讯保障系统的设计与思考 rI].防灾减灾工程学报,2011,31(1):111—114. [2】范楷.新一代应急指挥调度通信系统研究[『J.通信技 术,2011,44(03):35—37,41. 效果不理想,有时有杂音,音调时高时低现象。解决方法 是,做好各采集设备接入口的屏蔽,所有线路采用高端屏蔽 线缆,插头、插座焊铆接牢靠。 帅 三、结语 江苏省现场技术系统自两辆车集成以来,对星操作简 便,链路建立快速,各个系统汇集运行良好,两车既可单 [3]付荣国,章熙海,肖飞,刘鹏飞.地震应急卫星通信指挥车通信系统 设计【lll通信技术,2014,7(2):215—220. 独作业,也可共同组网作业,两车之间配有两个500米双绞 线,通过以太网互联设备YKG.400宽带延伸器相连,最远可 达1公里,可直接和各类以太网设备连接。两种车上配备目 前所有的通讯方式,VPN隧道5选1(海事卫星、地面网、联 【4]杨乐,曾薇,谭颖.地震应急卫星通信系统的设计与应用U】l震灾防 御技术,2012,7(1):100—109. 【5]李英.海事卫星:抗震救灾的信息生命线[I1.中国远洋航务,2008,6. (作者单位:江苏省地震局应急救援中心) 信息系统工程l 2015.3.2O 51
