財務信息系統中的授權管理研究

[收稿日期]2009-01-18

[基金項目] 重慶市自然科學基金資助(CSTC，2008BB2320)。

[作者簡介]葉春曉(1973-)，重慶大學副教授，博士，主要研究方向:訪問控制，電子商務，數據庫。

[摘 要]財務信息的安全性顯得極其重要，包含多個不同的方面。本文就其中的授權管理進行了分析，特別是授權管理中最重要的兩個方面:角色設置和繼承管理，授權約束(主要是靜態約束)進行了詳細的分析。本文首先進行了理論分析，然后以一個實際的財務系統為例說明其具體實現。

[關鍵詞]財務信息系統;授權;角色;約束

doi:10.3969/j.issn.1673-0194.2009.17.019

[中圖分類號]F275;F232[文獻標識碼]A[文章編號]1673-0194(2009)17-0050-03

1 引 言

隨著科學技術的不斷發展，在各類信息系統中，用戶可訪問的數據資源的結構日益復雜，用戶規模日益增大，各類信息系統都面臨著對數據資源進行有效安全管理的難題。如何存儲信息系統中的大量數據資源，合理控制眾多用戶對數據資源的訪問權限，建立功能完善的用戶管理、授權及認證體系，對于保證系統數據的安全性有著重要的意義。

財務信息是企事業單位最重要的經濟信息，它連續、系統、全面、綜合地反映和監督企業經營狀況，并為管理、經營決策提供重要依據。財務信息系統以計算機為主要工具，對各種會計數據進行收集、記錄、存儲、處理與輸出，并完成對財務信息的分析，向使用者提供所需財務信息，輔助他們管理、預測和決策，提高企業管理水平與經濟效益。

為保證財務信息系統的數據安全，可采用多種安全措施，如數據加密、身份認證、權限管理、數據備份、安全審計等。不同的安全措施針對會計數據和信息管理過程的不同方面。其中，權限管理用來決定和控制財務信息系統中各個用戶在該系統中具有何種操作權限，能夠執行何種操作。權限管理中的授權管理是日常會計工作的相關管理規章制度在計算機中的直接體現，是保證整個權限管理能夠正常運行和滿足實際工作需要的基礎。

2 授權管理

21 RBAC模型

在財務信息系統建設過程中，授權管理可通過RBAC模型完成。RBAC(Role Base Access Control)授權模型的基本思想是通過分配和取消角色來完成用戶權限的授予和取消，根據不同的職能崗位來劃分角色，資源訪問許可被封裝在角色中，用戶通過賦予的角色間接地訪問系統資源和對系統資源進行的操作。授權者根據需要定義各類角色，并設置合適的訪問權限，而部門或用戶根據其工作性質和職責再被指派為不同的角色，完成權限操作。這樣整個訪問控制過程就分成兩個部分，即訪問權限與角色的關聯，角色再與部門或用戶關聯，從而實現了部門或用戶與訪問權限的邏輯分離。美國國家標準與技術研究院定義標準 RBAC 模型由 4 個子模型組成，分別是基本模型RBAC 0(Core RBAC)、角色分級模型RBAC 1 (Hierarchal RBAC)、角色限制模型RBAC 2(Constraint RBAC)和統一模型RBAC 3(Combines RBAC)。

現實工作中的職責劃分，在財務信息系統的授權管理中可體現為角色劃分和一系列的角色-權限授權(PRA)和用戶-角色授權(URA)完成。

22 角色劃分

RBAC模型中的角色劃分主要是根據用戶實際工作環境和權限管理需求，結合授權管理的具體實現方式實現的。不同的RBAC子模型在授權管理和實現的難度和復雜性上不同。根據財務信息系統的實際情況，當用戶數量較少，用戶間的層次結構不復雜和明顯的時候可采用RBAC 0模型。例如，小單位的財務信息系統用戶可能只有很少的幾個角色，如出納、會計、單位主管。而當用戶數量較多，用戶間的層次結構較為復雜的情況下，可采用RBAC 1模型。該模型支持角色之間的繼承關系，可減輕PRA和URA過程的復雜性，并能夠很好地描述現實工作環境的職責劃分。如大中型企業中，財務信息系統的用戶可以是出納、會計、財務經理、財務總監、單位主管等。不同職位的用戶其權限不同，相互間形成了層次關系。

因而，在RBAC模型中進行角色劃分時，一種重要的方法是參考財務信息系統所面向的實際工作環境中職位的設置，同時需要考慮用戶的工作內容和性質。理想情況下，某個具體的職位其工作內容和性質，即其擁有的權限是明確和單一的。但是，實際工作中，一個職位可能具有多個不同內容和性質的工作，如財務經理可能兼管信息系統。在進行角色劃分時，應當根據RBAC的要求將不同內容和性質的工作劃分到不同的角色中去。另一方面，由于現實環境中職位之間本身是有層次繼承關系的，如財務總監具有財務經理的所有權限。RBAC 1模型支持角色之間的層次繼承關系，可采用該模型種的角色繼承關系描述職位之間的層次關系和一人多職的情況。

23 授權約束

授權約束通常可看作是一些規則，用來表明用戶能夠訪問資源的條件。RBAC 2中通過各種約束來體現授權管理策略。該策略實際上體現了實際工作中的管理規章制度。約束主要體現在對用戶-角色授權以及用戶激活角色的限制上。前者體現為靜態約束，主要包括URA過程的授權先決條件、角色基數限制、靜態責權分離(SOD)、角色互斥、權限互斥等。后者體現為動態約束，包括激活角色數目限制、動態責權分離(DOD)。由于在財務信息系統中，授權管理主要是一個靜態過程，因而此處只重點考慮靜態約束。

231 授權先決條件

授權先決條件主要是只當進行用戶-角色授權時，用戶在被授予某個角色時應當滿足的先決條件。這和現實環境中對某個職位的人所具有的任職條件和資格要求，如財務經理需要擔任過會計，在授權管理中就可以將財務經理的授權先決條件設置為“必須擔任過會計”。在RBAC 2模型中可通過角色來指明。當然，該先決條件只能對用戶目前所擁有的角色進行約束，還無法表述更為復雜的任職條件和資格要求，如“擔任會計3年以上”。可進一步改進。

232 角色基數

角色基數表明一個角色所能夠授予的用戶數量限制。在現實工作中，某些角色只能授予一個用戶，如財務總監只能是一個人，該角色的基數就是1。而有些角色可以授予多個用戶，如財務部門可能有多個會計和出納，則這兩個角色的基數就大于1。設置角色基數避免了權限的擴散，使得重要權限只能由受限的人獲得。

233 靜態責權分離

可解決角色系統中潛在的利益沖突，避免用戶超出其當前職位合理的權限等級。簡單地說，就是避免兩個角色間的沖突，如會計和出納，一般來說公司是不允許同一個人兼任的，所以在分配角色的時候，應禁止將這兩種角色賦予同一個人。該約束可利用角色互斥實現。

234 權限互斥

在角色-權限授權時，避免將互斥的兩個和多個權限授權到同一個角色中。如財務部門中，差旅費的審批與報銷權限互斥，不能賦予同一個角色。

靜態責權分離和權限互斥主要是滿足財務工作中的不相容職務需求，如授權進行某項經濟業務和執行該項業務的職務要分離，要求有權決定或審批材料采購的人員不能同時兼任采購員職務;執行某些經濟業務和審核這些經濟業務的職務要分離，要求填寫銷貨發票的人員不能兼任審核人員。

3 實 例

本節以一個公司財務信息系統為例說明如何利用RBAC實現授權管理。將在角色繼承和授權約束方面進行說明:

31 角色繼承

圖1給出了財務信息系統中角色之間的繼承關系。

在圖1中，各個圓圈代表一個角色，與現實工作的職位上下級關系類似，不同角色按照其上下位置關系構成了繼承關系，即上級角色繼承下級角色的所有權限。但實際工作環境中，并非下級角色所有權限都被上級角色所繼承，這是由于財務系統與其他信息系統不同。因而此處引入兩個概念:私有權限和公有權限。所謂私有權限，是指該權限為該角色所獨有，其上級角色不能繼承該權限;相應的公有權限是指其上級角色可以繼承的權限。引入這兩個概念的目的是考慮到實際工作的如下情況:比如成本會計具有記賬權限，但該權限就不能為會計主管所有;而成本會計的賬務查詢權限就可以為會計主管所有。因而記賬權限就是成本會計角色的私有權限，而查詢權限就是其公有權限。

信息系統設置了一個最基本的角色“財務人員”，該角色具有最基本的權限。而其上的多個會計和出納角色均繼承了該角色，擁有該角色的所有權限。在此基礎上，各個不同的角色具有各自不同的權限。如:“成本會計”具有“成本記賬”的私有權限和“查詢成本賬務”公有權限;“費用會計”具有“費用記賬”的私有權限和“查詢費用賬務”公有權限;而現金出納具有“現金日記登記”私有權限和“查詢現金日記”公有權限等。

“會計主管”和“出納主管”分別作為會計和出納的上級角色，分別繼承了其下各個會計和出納的公有權限。其上的“財務經理”和“總會計師”類似形成了繼承關系。

32 授權約束

表1從3個方面說明了授權約束:

其中，“|”表示前后角色之間為或關系，角色基數為1表示該角色只能賦予一個用戶，而角色基數為n表示可賦予超過一人。

表1中的授權先決條件表明該角色授予某用戶時必須要求用戶具備先決條件所制定的角色。而靜態責權分離則表示該列所列出的角色和該行所對應的角色不能授予同一人。如BC、CC和MC就不能同時授予一個用戶。

權限互斥沒有詳細列出，此處以CA為例說明:CA不能同時具有“費用審核”和“費用報銷”權限，因而可在授權約束中表示為“費用審核|費用報銷”，即兩個權限只選其一。

在實際實現時，一個角色相關的授權約束可表示為:(授權先決條件，角色基數，靜態責權分離，權限互斥)這樣一個4元組。如CA的授權約束可表示為:(FE，n，BC|CC，費用審核|費用報銷)。

4 結 語

本文就財務信息系統中的授權管理進行了研究，主要就財務信息系統中的角色設置和授權約束進行了分析，并用一個實際系統進行了說明。分析結果表明:雖然大多數情況下財務信息系統中的角色設置可與實際工作職位相對應，但從角色管理的角度來說，角色和職位之間不能一一對應。考慮到角色繼承關系，可將公有權限賦予一個虛擬角色，以便角色之間的相互繼承。通常的財務信息系統只考慮了部分授權約束，本文考慮了財務系統中的主要授權約束，更加符合實際工作需要。本文主要考慮了授權管理中的靜態約束，下一步的工作將主要考慮動態約束。

主要參考文獻

[1]王華.會計軟件應用中系統管理員崗位的設置與分析[J].煤炭技術，2003(4).

[2]馮永榮.會計電算化工作中的系統管理員[J].山西煤炭管理干部學院學報，2002(2).

[3]張有峰.系統管理員的角色定位與職權配置[J].財會月刊:綜合版，2006(19).

[4]裴海橋，陳國旗. 基于Web的高校財務管理信息系統報表的設計與實現[J]. 計算機與現代化，2008(6).

[5]曹天杰，張永平.管理信息系統中基于角色的訪問控制[J].計算機應用，2001(8).