基于大數據分析在應用系統權限管控中的分析

陳晨 張元文

摘要：以南方電網營銷管理系統的應用系統權限管控現狀為例，基于大數據分析方法對應用系統權限管控模型進行分析構建，為電力行業應用系統獨立向大數據框架下集成縱深應用轉變提供權限管控應用實踐解決思路。

關鍵詞：大數據分析1;權限管控2;RBAC模型3

引言

隨著企業信息化發展水平的不斷提高，企業管理的信息系統越做越大，用戶數量在不斷增加，應用場景變的多元化，產生越來越多企業級內部應用系統數據融合的業務需求，這些需求來源于不同的部門、業務和應用場景，各種需求交織在一起產生的問題可由大數據系統做進一步解析與挖掘。在這個過程中，如何精確地控制系統用戶的訪問權限，如何解決權限管控顆粒度不一致的問題，以滿足企業內控管理要求，降低企業管理風險，是應用系統管控功能建設需要考慮的重要問題。

1.應用系統權限管控的意義與內涵

權限對于一個信息系統來說，就是用戶在系統中能夠做哪些操作。說起來看似簡單，但是實際實現起來并不是一件容易的事，這要涉及到系統的用戶管理、角色管理、權限對象管理、權限分配管理、內控互斥檢查等，要求系統在最初設計時就要考慮到每個系統功能都要關聯權限控制的問題。

企業的應用權限管控，從廣義上講是對企業中各應用系統的權限從申請授予，到權限分配使用，再到權限回收進行全程閉環流程的監控，建立權限管理進而保證應用系統的安全性。從狹義上講權限管控是指在每個用戶在各部門、業務以及個人角色上都定位有自己的權限，不允許越權使用系統，因此需要建立一個分配和管理這些權限的機制與方法，這就是權限管理。

2.南方電網營銷管理系統權限管控痛點問題

目前南網營銷管理系統擁有上百個角色，上千個功能菜單，上千個流程環節，其中有一百余個環節是動態指定角色，由于南網營銷管理系統角色、流程配置過于雜亂，引發了三個主要問題：

（1）人員的權限和崗位沒有直接關聯，配置角色、流程過于復雜

權限角色是系統功能權限設置的基礎，相當于用戶分組，所有用戶對應到相應權限角色，便具有該權限角色所賦予的所有功能權限，崗位是在組織架構下的精細崗位劃分，是業務流程控制、業績考核、預警體系的基礎，不同的機構、部門下的同一職務作為不同的崗位管理的。角色人員權限實際上部分相當于崗位權限分類的概念，但并沒有把崗位直接作為系統功能權限設置的對象而是引入了權限角色概念，南方電網營銷管理系統一個崗位需要配置多個角色才能滿足，是因為崗位非常多，而很多不同的機構、部門下的同一職務擁有同樣的功能權限，一位用戶的角色甚至多達幾十個。

（2）相同崗位下的人員權限不統一，業務安全風險及審計風險均較大

由于營銷管理系統涉及到公司不同部門、崗位及工種的人員，系統涉及到的人員較多，加之目前人員的崗位變動較為頻繁，人員素質參差不齊，基層人員申請角色權限沒有明確參照，對權限分配時往往不能統一且不遵循最小化原則。部分員工對自身權限保管和使用的安全意識了解學習不到位，崗位發生變動或離職時權限變更、注銷也不及時，極大影響了營銷系統的使用安全性，也造成了潛在的業務安全及審計風險，嚴重時甚至可能會給企業造成巨大的經濟損失

（3）缺乏角色權限校驗模型，難以保障角色申請合規性。

在以往的權限管理中，應用權限的管理處于一個相對粗放的模式，權限新角色申請、變更及關閉往往通過提交流轉環節復雜的申請工單進行匹配操作，但由于上述兩點問題的長期存在，難以構建一個標準的角色校驗模型，現今權限開通變更仍然依靠系統管理員，通過人工審查更改，各權限、角色、崗位之間界限模糊，對權限申請與授權都是根據工作需要臨時進行處理，導致人工審查工作量大，審查人員只能按照申請工單內容進行操作，核查權限開通變更是否合規成為一個棘手問題，手工操作差錯難以避免，角色申請合規性難以保障。

3.營銷管理系統權限管控整改思路

利用Python進行大數據對比、分析，重新梳理營銷系統現有角色權限，重構營銷系統角色，精簡角色及流程環節適配，營銷角色權限分析模型，建立具體流程可遵從如下思路開展：

（1）角色權限數據收集

由于流程環節中有上百個環節是動態指定處理，每一個動態指定處理都是一段代碼，解析后動態指定處理有人員和角色，角色中存在較多權限，因此在整改中，如果動態指定角色廢棄后重新梳理，會帶來較大的工作量，但如果不重新梳理，一個操作員需要配置的角色可能就會有多個，并且會導致權限過大，出現崗位和權限不匹配的情況，而降低申請和審批工作量之所以可行，關鍵是把一些大同小異的重復過程，通過抽象，變成一次性的過程，而一個用戶，他的工作職責和范圍在短期內往往是相對固定的。

可在保持營銷系統現有權限體系不變的前提下，基于用戶角色權限設計方案，解偶權限點和具體的人員的映射關系，通過Python應用大數據比對分析技術，從營銷系統中提取角色對應的權限數據并進行歸類，從業務環節、模塊、流程多維度梳理，利用數據分析框架對結構化的權限數據進行控制和操作比對，對異常數據進行清理處理，篩選重合冗余的動態角色權限，完成已有角色的相似度比對。

（2）與相關部門聯動進行系統權限重新劃分

建立權限管控與市場部、地市供電局之間的雙相聯動機制，保持部門間的良好溝通，針對不同類型用戶的建立獨立的權限分配原則及標準，對于用戶權限的分配以保障數據直報的高效、準確、安全為原則，及時調研參照組織架構、崗位設置以及權限互斥原則對營銷系統角色進行重構。

通過對用戶角色進行重新劃分，重新分配用戶權限，合理限制對個例數據的修改權限，將原始數據與統計梳理后信息利用分開，對用戶角色權限清單進行初步分析排查，標注不滿足互斥要求角色、菜單及流程，重新按照系統崗位對角色進行重新配置，確保重新配置后的人員崗位及角色滿足業務管控要求，并基于修正后的人員角色精簡并對流程環節對應角色進行重新適配。

（3）構建營銷角色權限分析梳理模型

分層級對人員崗位角色存在的差異進行調整，調整角色規范，通過調整角色權限配置邏輯、角色關聯用戶及角色關聯權限的方式間接賦予用戶權限，處理用戶、角色與模塊菜單之間的關系，對角色規范進行調整。

以RBAC模型作為基礎，按照上述“權限數據收集-權限數據清洗篩選-系統權限重新劃分-系統權限重新配置”流程，構建營銷角色權限的分析模型，通過提供用戶可配置的資源點與數據集合，將各個角色權限、流程權限及所涉及的動態角色權限的管控納入到模型中進行統一的管理，錄入到權限管理模型中，由用戶界面統一配置，根據業務場景和流程可進行自定義的設置，靈活地為多用戶配置不同流程和操作權限，提高權限配置的合規性，為后續角色申請合理性提供自動校驗工具。

（4）完善應用系統角色管控體系

所謂權限管理體系，就是如何控制操作使用者對軟件功能和系統數據的訪問權限的各個方面。針對權限不足或權限設定不合理的情況，可通過權限梳理工具持續變更崗位權限，后臺運維人員及時更新到營銷系統中，對于確實無法避免用戶權限互斥的問題，在管理上要對這些崗位人員的操作加強監控，定期檢查，避免出現管理風險，給企業造成不必要的損失。

從整體上來說，應該明確應用系統權限分配的流程和建立權限分配的閉環管理模式。通過營銷角色權限分析模型的建立，完善系統角色管控體系，使得角色配置在合規同時更加靈活多變，用戶可更加便捷地獲取和變更權限，縮短權限申請配置時間，在權限設置上達到事半功倍的效果。

4.結論

權限管理工作，不是簡單的安全問題，更多的時候是一個產品設計和業務治理的理念和目標問題。隨著大數據技術的發展，權限管理直接影響著應用系統與企業數據資源的安全，對于重視應用系統權限管控、建立完善的系統權限管控體系對于企業發展信息化轉型具有很大的幫助，賦予管理者分配權力的同時，既可以提升工作效率，還可以做到工作區域承擔，這也將會是信息化發展必然的結果。