基于被管對象的網管權限分配技術分析

宋晶晶

摘要：針對傳統網絡管理系統權限分配單一、操作復雜且易誤操作的問題，提出了基于被管對象的網管權限分配技術。介紹了基于被管對象的網管權限分配技術的優點及軟件設計的思路。針對各模塊的功能進行了詳細闡述，并對系統權限及授權機制和方法進行了介紹，實現了不同用戶角色的分權管理和互相監督要求，保證了數據安全。通過實例驗證了基于被管對象的網管權限分配技術的可行性和易操作性。

關鍵詞：被管對象；權限分配；角色授權；數據安全

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2022）10-41-4

面對企業管理信息化進程的不斷深化，各崗位分工趨于精細化，傳統網管權限分配僅定義超級管理員權限和一般管理員權限。除超級管理員外，各軟件管理員登錄系統后看到的界面相同，只是不同的用戶根據職責分工操作不同的被管對象，該模式界面復雜且易誤操作，更有擴大信息知悉范圍的風險，造成不必要的商業秘密泄露。基于被管對象的網管權限分配技術，根據不同的用戶級別確定了不同的網管權限，可有效避免上述問題的發生。軟件運行時，根據不同的用戶管理不同的被管對象，通過對軟件管理員賬號分配不同的權限，可以實現對網絡管理軟件更加精細化的管理和維護，不僅可以有效提升網絡管理系統的運營效率，最重要的是能夠保證數據安全，提升企業的管理水平，增強企業的效益。

針對用戶接入身份不同、操作功能不同等問題，需要將其操作權限化，合理、安全、高效、靈活的權限分配方法在訪問控制中尤為重要[1]。訪問控制是通過某種途徑顯式地準許或限制用戶、組或角色對信息資源的訪問能力及范圍的一種方法。由于網絡管理系統管理用戶數量較多，為簡化設計、降低開發難度、縮短開發周期，基于用戶、角色、權限與實際相對應，模塊化的基于被管對象的網管權限分配技術被提出，該技術有效降低了權限分配的復雜性，提高了授權管理的靈活度。

基于被管對象的網絡管理系統權限分配技術的優點如下：

①軟件管理員僅能看到負責的被管對象，用戶內容更具針對性，界面清晰明了，操作簡單，能有效避免誤操作；

②根據軟件管理員分工看被管對象，避免擴大信息的知悉范圍，防止惡意篡改或泄密；

③利于數據采集歸類、故障影響域分析及應急快速響應；

④利于告警分揀通知和告警處置；

⑤將管理人員向專業方向發展，提高精細化水平。

基于被管對象的網管權限分配，采用用戶-角色-權限的關聯機制，軟件功能組成如圖1所示。

2.1設計思路

基于被管對象的網絡管理系統通過權限分配，將不同的職能顯示與其各自的管理工作相結合，使用戶各司其責進行管理工作，實現不同用戶角色的分權管理和互相監督要求[2]。

2.2模塊組成

基于被管對象的網管權限分配系統主要包括以下模塊：

（1）用戶管理

用戶管理是將需要使用系統的人員信息添加到系統，并為其創建用戶名和密碼，能夠對用戶進行增加、刪除、編輯和查詢操作。系統以列表的方式將所有用戶信息列出，每條用戶記錄包括以下信息：用戶名稱、真實姓名、聯系方式、所屬部門、所屬班組、所屬用戶組、用戶創建時間和聯系方式等。通常情況下，系統在開通之初會生成一個擁有最大權限的用戶（超級管理員），其他用戶均由該用戶創建。因超級管理員擁有系統的全部權限，可穿梭查看系統中的所有數據，如果使用不恰當，是系統管理的安全隱患，所以一般該賬號在配置好系統、創建完各管理員賬號之后建議被隱藏起來。

用戶管理功能主要實現系統的用戶登記功能，對登錄網絡管理系統的用戶進行管理維護。根據管理權限不同，可將用戶分為不同的用戶組，每組擁有不同的操作權限。調用用戶管理模塊，可以對用戶進行添加、修改和刪除等操作，最終將用戶信息保存到數據庫。在刪除用戶時，需要注意，要把用戶角色關系表中與被刪除用戶的相關信息級聯刪除，以減少冗余信息。

用戶管理功能執行流程如圖2所示。

在用戶管理界面進行用戶信息操作時，系統根據指令調用用戶管理模塊相關函數，執行用戶的添加、修改及刪除等操作，將用戶數據存入數據庫，并向前臺界面返回操作成功與否的消息，提示管理員操作結果。

（2）角色管理

角色是一組訪問權限的集合，當需要對一組用戶賦予相同的權限時，可以使用角色來授權，這樣的好處是將抽象的權限具體化，管理員僅需要思考每個角色應該賦予什么樣的權限即可。基于角色的授權可以大大簡化授權流程，便于進行批量調整權限，降低授權管理的復雜性及管理成本。角色管理主要包括添加角色、修改角色、回收角色及查詢角色信息等。

基于被管對象的網絡管理系統根據使用需求設置網系管理員角色、值班員角色、技術總體角色和指揮員角色4種角色，不同角色根據崗位分工及職責，設置了不同的權限，具體如下：

網系管理員角色能夠查看和管理自身網系子系統的資源、故障、告警、模型等信息。

值班員角色能夠綜合查看所有網系的資源及告警，并且能夠發起故障、維修工單。值班員能夠查看的內容包括：綜合監視管理、綜合業務管理、綜合資源管理和即時通信管理。值班員能夠查看所有的網系信息。

技術總體角色能夠查看所有網系的資源及告警，并發起工單。技術總體能夠查看的內容包括：任務保障管理、綜合監視管理、綜合業務管理、綜合資源管理和即時通信管理。技術總體角色能夠查看所有的網系信息。

指揮員角色能夠從全局角度查看網絡態勢、任務態勢和保障力量等信息。指揮員能夠查看的內容包括：網絡運行態勢、保障任務態勢、任務保障管理、綜合監視管理、綜合業務管理、綜合資源管理和即時通信管理。指揮員角色能夠查看所有的網系信息。

（3）權限管理

權限管理是將系統中的操作權限和資源權限賦予某個角色，進行角色的權限分配，使其具有登錄系統并進行相應操作的能力，將創建的用戶和角色進行綁定，用戶就能夠獲得該角色中授予的訪問權限。系統的操作權限主要是權限的增加、刪除、修改和查詢。資源權限主要包括菜單權限和數據權限；對于沒有權限操作的用戶，直接隱藏對應的菜單選項，這種方法簡單、快捷、直接，對于一些安全且不太敏感的權限，使用這種方式非常高效；對于安全需求高的權限管理，僅從前端限制隱藏菜單、隱藏編輯按鈕是不夠的，還需要在數據接口上做限制，如果用戶試圖通過非法手段編輯不屬于自己權限的數據，服務器端會識別、記錄并限制訪問。

權限配置執行流程如圖3所示。

不同角色具有不同的權限，根據實際需求確定系統中網系管理員角色、值班員角色、技術總體角色和指揮員角色的權限后，在系統前臺界面創建一用戶A，系統調用用戶管理模塊相關函數，對用戶A進行數據合法性判定后，調用系統后臺用戶存庫服務函數，將用戶A的信息存庫，之后根據用戶A需要授予的權限，對其進行權限配置，并存庫，這樣用戶A就被授予了對應的權限。

權限定義了“用戶在什么對象上可以執行哪些操作”[3]。權限要素包括執行者、執行對象和操作，權限圖解如圖4所示。

一個角色可以與多個用戶關聯，管理員只需要把該角色賦予用戶，用戶就有了該角色下的所有權限。角色起到了橋梁的作用，連接了用戶和權限的關系，每個角色可以管理多個權限，同時一個用戶關聯多個角色，保證這個用戶擁有多個角色的多個權限。

（4）日志管理

日志管理是將系統本身及軟件管理員操作系統的每個動作如實記錄，且軟件管理員無法將日志信息進行修改、刪除操作，確保軟件能夠對抗外部和內部威脅、數據丟失。它記錄系統所產生的所有行為，并按照某種規范表達出來，確保系統的完整性，保證任何人都無法掩蓋自己或其他人的蹤跡。通過日志分析，可檢測系統運行是否異常，以及發現網絡中的可疑行為。該模塊的核心功能為日志數據的記錄、獲取及日志數據索引（用于快速搜索）。

日志可以作為系統運行和網絡訪問的重要事件記錄，幫助管理人員了解系統的運行狀況及安全狀況等，為定位、調試線上出現的問題及安全隱患提供便利，節省大量時間及精力。為保證日志便于查看，有利于定位和解決問題，本系統中日志輸出時信息盡量詳細，如將文件名、行號、打印時間和錯誤原因等情況輸出。為保證日志更具便捷性，本系統將日志設置了4個不同的日志級別并分級別存放，包括調試、信息、警告及錯誤。4類日志級別根據嚴重程度級別不斷上升，利于管理人員查找相關操作情況，實現設計的友好。

（5）在線幫助

在線幫助是系統搜集了用戶容易碰到的使用問題及解答，使用戶隨時隨地都可以獲得及時幫助，大大改善用戶體驗。在線幫助支持模糊查詢、查詢定位等功能。模糊查詢主要是搜索部分的字詞，系統就可自動查找出所有相關信息；查詢定位主要是通過搜索到的字詞，系統定位到當頁并特別標識。

2.3權限及授權機制和方法

通過對用戶角色和權限進行設置，可以方便實現對用戶權限的控制。一個用戶擁有若干角色，每一個角色擁有若干權限，用戶與角色之間、角色與權限之間，一般是多對多的關系。

（1）權限

權限的執行者為用戶。執行對象是指用戶在哪里執行操作[4]，包括系統和資源，其中系統是指本軟件系統，資源包括用戶管理、資源管理等功能模塊；操作是指用戶執行的操作包含對系統各個功能模塊的調用。

（2）授權機制

授權是為用戶授予在哪些對象上可執行哪些操作權限的過程[5]。用戶管理的授權機制如下：

①將要執行操作的對象加入用戶所在角色的管理對象中，以定義角色中的用戶可以在哪些對象上操作。

②將對象的操作加到用戶所在角色的操作權限中，以定義角色中的用戶可以在對應的對象上執行哪些操作。

用戶管理的授權原理如圖5所示。

用戶管理提供的授權方法為用戶綁定角色授權，即先設置角色權限（管理對象和操作權限），然后將用戶加入角色，使用戶繼承角色的權限[6]。為用戶授權時，進行一次授權操作便可完成一個崗位所有用戶的授權。同時，當崗位人員發生變動時，在角色中刪除原用戶、添加新用戶便可實現對新用戶的授權。

基于被管對象的網管權限分配技術在某綜合網絡管理系統中進行了應用，取得了預期效果。具體操作過程如下。

新建網系管理員角色、值班員角色、技術總體角色和指揮員角色，根據系統設定的角色操作權限，創建角色時，將角色操作權限進行勾選，不同角色被賦予不同權限。再新建4個用戶a1，a2，a3，a4，分別授予其網系管理員角色、值班員角色、技術總體角色和指揮員角色，這樣用戶a1，a2，a3，a4便分別具有了系統賦予的4種角色的不同操作權限。用不同的用戶登錄系統，看到的界面不同，達到了分權控制的目的。系統添加角色如圖6所示。

基于被管對象的網管權限分配技術，很好地解決了傳統系統中職責分工不明確、責任不清晰的問題。各崗位責任人根據崗位分工被賦予不同被管對象的管理及操作權限，系統顯示界面一目了然，各被管對象清晰展示，有利于進行系統的告警分揀、告警處置及數據采集歸類等，并為信息的及時捕捉及快速響應提供了必要的技術手段，提高了工作效率及管理水平，提升了企業的精細化管理能力，有效降低了操作人員失泄密及誤操作的風險，取得了良好的效果。

[1]朱佳偉，喻梁文，關志，等.Android權限機制安全研究綜述[J].計算機應用研究，2015，32（10）：2881-2885.

[2]楊家海，任憲坤，王沛瑜.網絡管理原理與實現技術[M].北京：清華大學出版社，2000.

[3]周佩德.數據庫原理及應用[M].北京：電子工業出版社，2004.

[4]李紅.管理信息系統開發與應用[M].北京：電子工業出版社， 2003.

[5]朱二莉.高校科研管理系統中的權限管理[J].電腦知識與技術，2014，10（29）：6813-6815.

[6]蔡寶玉.計算機網絡安全技術在電子商務中的應用[J].計算機產品與流通，2020（5）：18.