基于角色訪問(wèn)控制的公積金業(yè)務(wù)系統(tǒng)權(quán)限管理

龍璨

摘 要：基于傳統(tǒng)RBAC模型的概念，提出一種住房公積金業(yè)務(wù)系統(tǒng)的權(quán)限擴(kuò)展模型，并闡述了此模型的概念、原則、數(shù)據(jù)庫(kù)設(shè)計(jì)以及在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)的具體方法。該模型根據(jù)公積金實(shí)際組織機(jī)構(gòu)引入部門這一對(duì)象，通過(guò)對(duì)部門、角色、用戶、權(quán)限等的分析，得出一種適應(yīng)徐州市公積金業(yè)務(wù)系統(tǒng)的權(quán)限管理方法。

關(guān)鍵詞：角色訪問(wèn)控制；權(quán)限管理；擴(kuò)展模型；公積金；業(yè)務(wù)系統(tǒng)

訪問(wèn)控制技術(shù)是保障系統(tǒng)安全的核心技術(shù)之一，通過(guò)對(duì)用戶訪問(wèn)權(quán)限的合理規(guī)劃和分配，實(shí)現(xiàn)合法用戶對(duì)系統(tǒng)資源的安全訪問(wèn)和對(duì)非授權(quán)行為的有效阻止。傳統(tǒng)的訪問(wèn)控制模型有自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制模型。隨著應(yīng)用系統(tǒng)的不斷發(fā)展，如何降低權(quán)限管理的復(fù)雜性和管理成本，增強(qiáng)權(quán)限配置的靈活性成為一個(gè)重要課題，這為權(quán)限管理提出了更高的要求。基于角色訪問(wèn)控制的權(quán)限管理（Role-Based Access Control，簡(jiǎn)稱RBAC）通過(guò)引入角色的概念，實(shí)現(xiàn)了用戶與訪問(wèn)許可的邏輯分離，在權(quán)限管理方面顯示出更大的優(yōu)勢(shì)，是當(dāng)前較為有效的權(quán)限訪問(wèn)控制方法。

1 基于角色的訪問(wèn)控制簡(jiǎn)介

1.1 基本概念

基于角色的訪問(wèn)控制（Role-Based Access Control），簡(jiǎn)稱RBAC。在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶通過(guò)成為適當(dāng)角色的成員而得到這些角色的權(quán)限。在一個(gè)組織中，角色是為了完成各種工作而創(chuàng)造，用戶則依據(jù)它的責(zé)任和資格來(lái)被指派相應(yīng)的角色，用戶可以很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可根據(jù)需要而從某角色中回收。

RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who、What、How的問(wèn)題。在RBAC模型中描述了“Who對(duì)What（Which）進(jìn)行How的操作”，即權(quán)限的擁有者對(duì)操作的對(duì)象或資源進(jìn)行具體的操作。

在業(yè)務(wù)系統(tǒng)權(quán)限管理中，一個(gè)用戶可以擁有若干角色，一個(gè)角色擁有若干權(quán)限，用戶通過(guò)角色賦予的權(quán)限，針對(duì)不同的操作的對(duì)象可以進(jìn)行具體操作。這樣就構(gòu)成了“用戶-角色-權(quán)限”的授權(quán)模型，其中用戶和角色之間，角色和權(quán)限之間都是多對(duì)多的關(guān)系（如圖1）。

1.2 RBAC模型安全三原則

1.2.1 最小權(quán)限原則

最小權(quán)限原則是系統(tǒng)安全中最基本的原則之一。最小權(quán)限指的是在完成某種操作時(shí)所賦予系統(tǒng)中每個(gè)用戶必不可少的特權(quán)。限定系統(tǒng)中每個(gè)用戶所必須的最小特權(quán)，能夠有效確保可能的違規(guī)操作、錯(cuò)誤等給系統(tǒng)造成的損失達(dá)到最小。例如，貸款初審和復(fù)審都可以對(duì)貸款受理情況進(jìn)行查詢，但此功能并非角色的必要權(quán)限，則將查詢權(quán)限設(shè)定在貸款業(yè)務(wù)統(tǒng)計(jì)角色中。

1.2.2 責(zé)任分離原則

職責(zé)分離是指遵循不相容職責(zé)相分離的原則，實(shí)現(xiàn)合理的組織分工。例如貸款業(yè)務(wù)的初審（主要完成貸款資格校驗(yàn)、受理和材料錄入等）和復(fù)審（對(duì)貸款資格、貸款額度、貸款材料的復(fù)驗(yàn)等），不應(yīng)該由一個(gè)人擔(dān)任。

所謂不相容職責(zé)是指系統(tǒng)里某些相互關(guān)聯(lián)的職責(zé)，如果集中于一個(gè)人身上，就會(huì)大大增加差錯(cuò)和舞弊的可能性，對(duì)業(yè)務(wù)的規(guī)范性、公平性造成威脅，給稽核部門的工作帶來(lái)更大的難度。通常對(duì)于以下一些不相容的職責(zé)必須進(jìn)行分離：歸提貸業(yè)務(wù)完整流程中的逐級(jí)審批、開發(fā)商準(zhǔn)入流程中的各級(jí)審批等。

1.2.3 數(shù)據(jù)抽象原則

數(shù)據(jù)抽象可以通過(guò)權(quán)限的抽象來(lái)體現(xiàn)，系統(tǒng)中提取業(yè)務(wù)的材料錄入即為抽象權(quán)限，而不用操作系統(tǒng)提供的典型的讀、寫、執(zhí)行權(quán)限。

2 基于角色訪問(wèn)控制的系統(tǒng)權(quán)限管理設(shè)計(jì)

2.1 系統(tǒng)權(quán)限設(shè)計(jì)思路

目前，徐州市公積金內(nèi)部人員結(jié)構(gòu)的特點(diǎn)是部門眾多，權(quán)限復(fù)雜。不同部門的人員具有不同的權(quán)限，相同部門的人員之間也有不同的權(quán)限。而權(quán)限又細(xì)分為數(shù)據(jù)權(quán)限和功能權(quán)限，數(shù)據(jù)權(quán)限指的是用戶能在系統(tǒng)里看到什么，一是指對(duì)業(yè)務(wù)類型的操作權(quán)限，如業(yè)務(wù)類型細(xì)分為歸集、提取、貸款等，銀行歸集人員只擁有對(duì)歸集數(shù)據(jù)的操作權(quán)限，綜合柜員擁有對(duì)提取和貸款數(shù)據(jù)的操作權(quán)限；二是指訪問(wèn)數(shù)據(jù)的可見(jiàn)范圍，例如貸款處人員具有全徐州市的數(shù)據(jù)權(quán)限，可以對(duì)全徐州市的貸款信息進(jìn)行訪問(wèn)；而管理部貸款科長(zhǎng)只有本管理部的數(shù)據(jù)權(quán)限，其他管理部或營(yíng)業(yè)部的貸款信息對(duì)其不可見(jiàn)。功能權(quán)限指的是用戶能在系統(tǒng)里做什么，如銀行歸集人員可以在繳存基數(shù)調(diào)整模塊對(duì)個(gè)人繳存基數(shù)進(jìn)行查詢、修改、增加的操作。

2.2 RBAC模型擴(kuò)展

根據(jù)中心實(shí)際情況，系統(tǒng)對(duì)RBAC模型進(jìn)行了擴(kuò)展，引入部門這一對(duì)象，通過(guò)部門-用戶、部門-角色、角色-用戶的關(guān)系，抽象出部門-角色-用戶的關(guān)系圖。角色的設(shè)置主要是對(duì)權(quán)限的設(shè)置，具體權(quán)限的設(shè)置包含菜單、頁(yè)面按鈕和可操作文件等幾大方面，對(duì)不同模塊的功能做出約束。RBAC權(quán)限模型的擴(kuò)展模型的設(shè)計(jì)圖如下：

3 基于角色訪問(wèn)控制的系統(tǒng)權(quán)限管理應(yīng)用

公積金業(yè)務(wù)系統(tǒng)在系統(tǒng)權(quán)限管理方面，遵循以下操作步驟：（1）在系統(tǒng)內(nèi)完善組織機(jī)構(gòu)圖，設(shè)立部門；（2）根據(jù)業(yè)務(wù)處室劃分的具體權(quán)限設(shè)置崗位（系統(tǒng)中設(shè)立的崗位即為模型中的角色，下同），主要通過(guò)對(duì)具體菜單、頁(yè)面元素等的選擇完成；（3）根據(jù)具體部門的職能，將崗位分設(shè)于部門下；（4）建立新用戶時(shí)，選定部門，并從部門崗位范圍中定崗，同時(shí)設(shè)置數(shù)據(jù)權(quán)限，完成新用戶的添加。

參考文獻(xiàn)

[1]范小康，何連躍，王曉川，等.一種基于RBAC模型的角色管理方法[J].計(jì)算機(jī)研究與發(fā)展，2012，（S1）：211-215.

[2]董永峰，陸軍，劉建波，等.改進(jìn)的RBAC模型在信息服務(wù)平臺(tái)上的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2012，（5）：99-103.

[3]熊厚仁，陳性元，杜學(xué)繪，等.RBAC中職責(zé)分離策略的一致性分析與判定方法[J].小型微型計(jì)算機(jī)系統(tǒng)，2016，（5）：1084-1090.

[4]趙衛(wèi)東，畢曉清，盧新明.基于角色的細(xì)粒度訪問(wèn)控制模型的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013，（2）：474-479.

[5]吳波，王晶.基于基本RBAC模型的權(quán)限管理框架的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2011，（4）：50-54.

（作者單位：徐州市住房公積金管理中心）