淺談財務管控系統的權限管理

孫晨霞

（天津天鐵冶金集團有限公司信息化處，河北056404）

0 引言

隨著集團信息化技術的不斷加深，集團管理順應市場的需求，信息化管理顯得愈發重要。各種智能軟件的應用不僅提高了日常的工作效率，而且也產生了很多復雜瑣碎的數據，怎樣建立行之有效的權限管理策略，用于攔截一些非法的用戶隨意訪問、修改、控制相關的數據是我們探索和研究的宗旨。本文以天鐵集團財務管控系統權限管理為例，對基于角色的權限管理進行了研究和探討。

權限管理是系統設置的安全規則或者安全策略，根據本崗位的職責、角色用戶可以訪問而且只能訪問被集團管理員授權的資源。信息化處信息化科負責分配和維護（如解鎖和重置密碼等）該系統的管理權限。對于任何一個系統，建立健全行之有效合法的使用信息是系統的安全管理機制，防止一些非法獲取數據和破壞信息的基本保障。而財務管控系統中權限管理方法這種用戶、職責、角色權限管理模型，不僅能夠使財務管控系統安全管理較真實地體現，而且簡化了財務管控中對用戶的授權管理。

1 RBAC 模式的基本思想

NCV60 的權限模型是基于RBAC（Role-Based Access Control，基于角色的訪問控制）設計實現的以角色為主導的權限控制體系。

管理員采用實現用戶權限的授予和取消，從而來分配和取消不同的角色，即RBAC 授權模式的宗旨，不同的角色劃分給不同的職能部門及崗位，資源訪問許可被封裝在用戶角色中。用戶通過不同的角色間接地訪問信息系統的數據，進而進行相應的操作。授權者根據實際需求，設定與之相適應的訪問控制權限來定義不同的角色。授權和授予是根據用戶的工作性質和在部門內的不同職責分配不同的角色。所以，訪問權限和授予的角色相關聯，授予的角色再與實際用戶相關聯，即而實現了實際用戶和訪問控制權限的邏輯分離。

傳統的訪問控制直接訪問控制權限對象，雖然是靈活易用的數據訪問方式，但其安全性較低，非法用戶可以避開其所提供的安全保護，從而獲得訪問權，所以訪問權限可以隨時授予，導致管理方面的困難。

基于不同角色的訪問控制權限多層面、多層次的意義，它以不同的用戶、角色、訪問控制權限的對象這三者相集合為基礎，其核心是將不同用戶和訪問控制權限的對象通過角色間接的關聯起來，做到一個用戶可以通過分配給已經被分配了某些訪問控制權限的角色而獲得某些訪問控制權限。傳統的訪問控制和RBAC 模型見圖1。

圖1 傳統的訪問控制和RBAC 模型

2 NCV60 權限模型的特點

以“角色為核心”的權限產品體系，如圖所示，即將系統所有的權限（包括功能權限、組織權限、數據權限等）一起打包分配給不同的角色，不同角色的權限是實際用戶通過成為適當不同角色的成員而得到，從而簡化了權限管理的相應任務。NCV60權限模型見圖2。

圖2 NCV60 權限模型

（1）NC 產品中人員檔案和用戶是兩個檔案，一個實際用戶只能關聯一個人員，反之，一個人員可以關聯一個或多個實際用戶，一個人員是否可以關聯多個用戶是由參數[RBAC009-允許人員關聯多個實際用戶控制的，如果改參數的參數值為“是”，一個人員可以關聯多個實際用戶；

（2）職責和功能權限的關系是多對多的；

（3）角色和職責的關系是多對多的，一個角色即可關聯多個職責，一個職責也可分配給多個實際用戶；

（4）一個角色關聯了多個職責時，那么該角色就擁有這些職責所對應的功能權限的合集；

（5）角色和組織權限的關系多對多的；

（6）角色和資源實體的關系是多對多的；

（7）角色和實際用戶是多對多的關系；一個角色可以關聯多個實際用戶，一個實際用戶也可以分配多個角色；

（8）當一個實際用戶關聯了多個角色時，該實際用戶擁有多個角色所對應的權限的合集；

（9）可以定義集團級的角色和業務單元級的角色。

3 RBAC 的價值優勢

（1）以RBAC 為核心的權限模型；

（2）支持功能權限、數據權限、組織權限、參數權限多類權限資源；

（3）支持基于數據對象的數據權限控制；

（4）借助職責簡化、規范集團業務權限體系的規劃；

（5）支持多種的安全認證方式，并且可擴展其他方式；

（6）利用二次認證、數字簽名等保護敏感業務和核心數據；

（7）支持對特殊人群直接授予特殊業務權限的靈活性；

（8）隨時調整業務需求對資源訪問的權限，能靈活定義權限資源類型；

（9）支持集中與分層的授權管理，以可管理組織、可授權功能/服務、可管理數據資源、可管理用戶、可管理角色來描述授權權模型；

（10）支持組織、檔案等的使用權延伸到引用這些對象業務數據的數據權限控制，簡化業務數據權限定義，并支持不同場景下使用權的差異。

4 應用流程

創建的集團管理員的身份登錄NC（財務管控）系統，就可以進行權限管理的相關操作。登錄系統后，該集團管理員可以切換管理多個集團，如圖3 所示。在進行切換時，相當于重新登錄系統，進行環境變量的初始化，所有打開的窗口會被關閉后重新打開。

5 結束語

本文選擇在RBAC 模式下，利用靈活的功能項處理系統分配的角色權限，形成了適應本單位本部門的權限管理。財務管控系統已在天鐵集團各個分廠內實施，并取得了良好的成效。權限管理不僅使系統的數據更安全，而且能夠在職能范圍內維護和共享系統的各種數據，體現了集團信息化管理帶來的成效。