基于RBAC的石油物探預算管理系統(tǒng)用戶權限設計及實現(xiàn)

李濤　陳鴻

摘要：用戶權限管理是指根據(jù)系統(tǒng)設置的安全規(guī)則或者安全策略，用戶可以訪問而且只能訪問自己被授權的資源，它是管理系統(tǒng)不可缺少的一個部分。采用基于角色的訪問控制方法（RBAC）與石油物探工程預算業(yè)務流程相結合，實現(xiàn)分配直觀、操作簡單、擴展靈活的用戶權限管理。

關鍵詞：石油物探預算管理系統(tǒng);用戶權限;RBAC

中圖分類號：TP311? ? 文獻標識碼：A

文章編號：1009-3044（2021）12-0082-03

隨著科學技術的發(fā)展，計算機和網(wǎng)絡技術在石油物探工程造價領域已得到廣泛應用，造價信息化管理顯得越來越重要。物探工程造價管理是一項集技術、管理、施工于一體的綜合性管理工程，不僅僅是造價管理部門的責任，所有與物探工程有關的部門都應承擔相應的工作職責。在管理系統(tǒng)中，合理控制眾多用戶對數(shù)據(jù)資源的訪問權限，建立功能完善的用戶管理、授權體系，對于保證管理系統(tǒng)數(shù)據(jù)的安全，實現(xiàn)各專業(yè)管理人員在各自職責范圍內參與物探工程造價管理活動有很重要意義。筆者通過《石油物探定額預算管理系統(tǒng)》的開發(fā)，就物探造價管理系統(tǒng)中的用戶權限設計談一點心得體會。

1 物探預算系統(tǒng)分析

1.1多部門參與物探工程項目預算

石油物探工程項目預算涉及項目信息、生產(chǎn)計劃、人力資源、材料、設備以及相關的費用額度，多個部門參與其中，包含技術部門、生產(chǎn)管理部門、人力資源部門、設備管理部門、安全環(huán)保部門、財務經(jīng)營部門等。各部門管理相應的預算業(yè)務（見表1）。

1.2 預算業(yè)務的提交審核操作流程

一個部門內，操作員進行相關業(yè)務操作，完成業(yè)務操作后，提交到審核員進行業(yè)務審核。審核員對業(yè)務審核后，可返回給操作員進行修改調整;也可通過審核，業(yè)務將提交到審查員進行審查。審查員經(jīng)對業(yè)務審查后，可返回操作員，重新進行業(yè)務操作;也可以審查通過，業(yè)務將到下一部門進行操作（見圖1）。

1.3 部門之間預算業(yè)務流程

各部門之間預算業(yè)務存在前后銜接邏輯關系，具體的預算流程見圖2所示（注：圖中是以項目審查在財務經(jīng)營科為例進行編制）。一個科室完成本科室的業(yè)務后，經(jīng)審核通過和審查通過后，才可進行下一步業(yè)務流程。而項目審查有權將業(yè)務重新返回于前面流程中重新開始業(yè)務操作。

1.4 企業(yè)之間預算管理存在差異

不同的物探企業(yè)對于物探工程預算項目管理不完全相同，相同的預算業(yè)務可能由不同部門負責管理。管理系統(tǒng)將用戶權限分成系統(tǒng)操作權限及業(yè)務操作權限兩類，并通過物探企業(yè)管理員的兩次權限分配，來實現(xiàn)不同企業(yè)業(yè)務操作的差異，滿足預算管理的需要。

2 系統(tǒng)用戶權限設計

2.1基本思路

本次管理系統(tǒng)開發(fā)權限管理模式采用基于角色的訪問控制方法（Role-Based Access Control 簡稱RBAC），這是目前公認的解決大型企業(yè)的統(tǒng)一資源訪問控制的有效方法。其基本思路就是把整個訪問過程分為兩步：權限授予角色，即權限與角色相關聯(lián);用戶則依據(jù)責任和資格來被指派相應的角色，即角色被授權給用戶，用戶不直接與許可關聯(lián)， 從而實現(xiàn)了用戶與訪問權限的邏輯分離（見圖3）。

權限的授予由管理員統(tǒng)一管理，管理員根據(jù)單位中不同的崗位定義不同的角色，用戶根據(jù)其職能和責任被賦予相應的角色。一旦用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。

根據(jù)物探項目預算的具體情況，管理系統(tǒng)訪問控制基本思路（見圖4），用戶歸屬于部門，角色也屬于部門，用戶由管理員授予一定角色;系統(tǒng)操作權限由管理員授權到角色，業(yè)務操作權限由管理員分配到不同的系統(tǒng)操作權限之中。

2.2系統(tǒng)部門與角色設定

物探企業(yè)的管理員負責本企業(yè)用戶管理、部門管理、權限管理等;參與預算的部門分別設操作員和審核員角色，其中操作員負責本部門系統(tǒng)操作權限的編制、提交等操作，而審核員負責對操作員提交的業(yè)務進行審核等操作;審查員對每個部門審核后的業(yè)務進行審查，并查看本處預算項目的情況，掌握已結束預算項目、未結束預算項目、每個預算的流程進展明細等。

2.3系統(tǒng)操作權限與業(yè)務操作權限

管理系統(tǒng)中把用戶權限分成系統(tǒng)操作權限及業(yè)務操作權限兩類。其中系統(tǒng)操作權限是指用戶訪問而且只能訪問被授權的系統(tǒng)資源，包含用戶管理、項目管理等等，業(yè)務操作權限就是指項目預算涉及的具體業(yè)務流程操作，如項目鉆井參數(shù)、項目詳細參數(shù)、項目測量明細、采集直接工程費、間接工程費、預算報表等（見圖5）。

業(yè)務操作權限能分別授權于系統(tǒng)操作權限中的參數(shù)信息、生產(chǎn)計劃、人力計劃、設備配置、HSE預算和預算費用;而系統(tǒng)操作權限能分別授予不同部門和不同崗位，由企業(yè)管理員來負責本企業(yè)的權限分配。通過對這兩部分權限分配，可滿足各企業(yè)實際項目預算的工作要求。

3 管理系統(tǒng)的實現(xiàn)

3.1數(shù)據(jù)庫設計

為實現(xiàn)對用戶權限的需求，管理系統(tǒng)數(shù)據(jù)庫的用戶權限部分采用如下設計（見圖7）。數(shù)據(jù)庫內建立有物探處表、部門表、用戶表、角色表、系統(tǒng)操作權限表和業(yè)務操作權限表，還有角色與系統(tǒng)操作權限映射表及系統(tǒng)權限操作與業(yè)務權限映射表。

物探企業(yè)的管理員通過對用戶表的操作，實現(xiàn)對本企業(yè)用戶添加、用戶修改、用戶角色授予等系統(tǒng)操作;對角色及角色與系統(tǒng)權限映射兩張表操作，可實現(xiàn)角色添加、角色修改以及角色權限授予等系統(tǒng)操作;通過對系統(tǒng)權限與業(yè)務權限映射操作可實現(xiàn)將業(yè)務分配到不同的系統(tǒng)權限內。

3.2系統(tǒng)用戶權限管理的操作

3.2.1用戶管理

企業(yè)管理員對本企業(yè)的用戶進行管理操作，主要操作包括：新建用戶、用戶查詢、用戶密碼初始化、刪除用戶等。新建用戶操作如下：輸入用戶名稱，選擇好用戶所屬部門和操作角色后，點擊“添加”按鈕，完成建立用戶及授予角色操作。

3.2.2角色管理

企業(yè)管理員對本企業(yè)的角色進行管理操作，主要操作包括：新建角色、用戶查詢、刪除角色等。新建角色操作如下：輸入角色名稱，選擇角色的系統(tǒng)操作權限，點擊“添加”按鈕，如用戶角色未能添加成功，則彈出“用戶角色添加失敗”對話框。

3.2.3預算操作權限修改

企業(yè)管理員對本企業(yè)的預算操作權限管理操作，主要操作包括：預算操作權限查詢、預算操作權限修改等。

預算操作權限修改如下：在預算操作權限列表中，找到需要進行修改的權限名稱，點擊其對應的“修改”鏈接，跳轉到修改系統(tǒng)權限的預算操作頁面。

重新選擇預算操作權限后，點擊“保存”按鈕;當預算操作權限修改成功后，系統(tǒng)彈出“預算操作權限修改成功”;如預算操作權限未能修改成功，則彈出“預算操作權限修改失敗”對話框。

4 結束語

通過本次管理系統(tǒng)開發(fā)，對基于角色的訪問控制方法（RBAC）有更深入的了解。在充分了解和掌握石油物探造價業(yè)務流程的基礎上，再結合該方法能減小系統(tǒng)授權管理的復雜性，能靈活支持業(yè)務流程的變化，是解決管理系統(tǒng)資源訪問控制的有效方法。

參考文獻：

[1] 曹天杰，張永平.基于角色訪問控制的總體設計[J].計算機應用與軟件，2001，18（8）：23-25，59.

[2] 劉曉玲，郭龍.基于RBAC的用戶權限管理的研究與實現(xiàn)[J].電腦知識與技術，2013，9（7）：1487-1490.

【通聯(lián)編輯：聞翔軍】