科技信息 高校理科研究 浅谈权限管理系统昀需求分析 东莞南博职业技术学院 黄欣欣 [摘要]本文针对某权限管理系统的需求分析,将系统的性能模块分为安全性需求和稳定性需求。从企业访问控制的元素、企业访 问控制的特点进行分析研究,才能有针对性地构建适合企业特点的访问控制系统。 [关键词】权限管理企业角色 一、系统概述 随着计算机和网络技术不断发展,企业内部及企业之问的合作不 断的加强,这使得企业越来越加强自己的信息化建设,网络办公和企业 (1)新添一个角色,即管理员可以向系统中添加一个新的角色; (2)可载入可用的角色列表; (3)可删除一个或者多个角色,如果该角色的已经分配了权限或者 内部的信息共享已经成为企业的工作模式。在企业信息化建设过程中, 企业的信息安全成为了企业信息化建设中的一个重要问题,因此,信息 系统安全成为企业信息化过程中所要解决的首要问题之一。 权限管理系统的设计目的在于利用先进的计算机技术和网络技 术,构建一个安全可靠的企业信息化平台,保证企业内部信息的不被外 界非法的获取、篡改以及删除,保护数据的完整性、一致性口l。 权限管理应该包括如下几个部分:用户,角色,资源等基本信息的 管理,还应该包括角色分配和权限分配,通过角色和权限的分配,实现 了对整个系统的比较灵活的安全配置,为访问控制提供支撑。 企业信息管理系统的安全授权管理包含众多的业务实体和事物处 理应用,情况也比较复杂,每个部门中同一职位因职能范围或地域的不 同而具有的权限不同,有时甚至对同一个用户,由于其在不同的业务 中,也会有不同的权限,反映在软件系统中就是实体的权限和应用资源 的对应关系,为了使得授权系统更加灵活,扩展性高,本课题采用 RBAC授权模型,可以减轻管理负担和降低权限管理难度。 根据企业的需求,系统的权限要按企业的职能分成各职能部门的 管理员,这些管理员的权限由系统的超级管理员来维护,即由企业的总 负责人来管理。各地区职能部门的管理员的权限相同,即为职能部门的 管理员是各地区共享的角色。 各地区的职能部门的负责人(职能部门管理员)可以创建角色以及 将自己权限的一部分或全部赋给他创建的角色,这些创建的角色具有 互斥性,即要受地区的,该角色只能赋给本地区的用户,被本地区 的管理员管理。因此,本地区管理员可按本地区的企业的经营模式和内 部组织情况来制定相应的角色及角色的权限。 二、系统功能需求分析 根据企业对权限管理系统的要求,采用了基于角色的访问控制模 型,并对其访问控制模型进行了扩展。能够很好的满足分布式系统中访 问控制的要求。因此,系统按照RBAC模型可为用户管理、用户角色管 理、角色权限管理等三大模块。 1、用户管理 用户管理要求能够实现管理员对用户的管理,是对RBAC系统控 制资源的主体进行有效管理的一个系统工具,用户管理的需求描述如 下: (1)添加一个新的用户; (2)查看用户列表; (3)删除一个或多个用户; (4)可以查看用户的基本信息; (5)查看用户所具有的权限。 2、用户角色管理 用户角色管理是RBAC系统中的一个重要部分,它管理和维护用 户与角色之间的关系,因而对用户来说,如果不为用户分配角色,那么 就算用户进入了企业信息系统,系统也不会向它提供可以访问的。为用 户分配角色是用户可以访问系统资源的第一步。用户角色管理的需求 描述如下: (1)能够为一个用户赋予角色,即向用户分配一个角色; (2)可保存用户角色分配信息; (3)撤销角色,即给某一个用户撤销一个或多个角色; (4)可载入可用的角色列表; (5)可查看角色的权限,即用户点击某一个角色,可以动态地加载 该角色所具有的权限。 3、角色权限管理 角色权限管理要求能够实现对角色的权限进行管理。在访问控制 方面要求能够对系统的访问权限进行有效的控制,要防止非法用户直 接在IE的地址栏中输入内部页面地址进行对系统资源的访问。角色权 限管理是RBAC系统对角色主体进行有效管理的一个系统工具,角色 权限管理的需求描述如下: 已经属于某个或某些用户时,同时也要删除角色与权限和用户与角色 之间的关联; (4)可撤销某个角色的一项或多项权限; (5)可为角色赋予一项或多项权限,即给一个角色添加一项或多项 权限; (6)可保存角色权限信息。 三、UML建模 在权限管理系统中主要分两种用户:一种是管理员;另一种就是一 般用户。由于企业信息的功能模块很多,这时里只给出权限管理子系统 的用户功能用例图。 1、管理员用户的用例关系图 权限管理系统的管理员用户分为二种类型的管理员用户:系统管 理员用户和部门管理员用户。系统管理员用户是权限管理系统中权限 最高的用户,它的主要任务是对系统中的用户、角色及权限进行管理, 包括对一般的管理员用户的管理,但其不参与系统的业务。其具体的功 能如:增加用户、删除用户、查看用户、给用户授予角色、撤销用户角色、 查看用户角色、查看用户权限、增加角色、删除角色、查看角色、给角色 授予权限和查看角色权限等功能。一般管理员用户除了系统管理员用 户所拥有的功能外,其还可以参与企业的业务操作,即还具有业务功 能,由于企业信息系统很大,在这里就不列出业务部分的功能用例图, 只给出权限管理子系统的功能用例图,因此,在这里系统管理员和一般 管理员的功能用例图是一样的,都称为管理员的功能用例图。管理员的 用例关系图如图1所示。 图1管理员的用例关系图 2、一般用户的用例关系图 图2一般用户的用例关系图 权限管理系统中除管理员外就都分为一般用户。一般用户在权限 管理子系统中,其权限比较低,只能查看系统中的用户信息、角色信息 一69— 科技信息 高校理科研究 用户的这种变化性和流动性是企业规模变化和企业业务增加的必然结 果。 ’ ‘ 2)信息资源特点 企业信息系统中业务流程比较复杂,系统需要处理的大量的信息 数据,而且大多属于敏感信息;此外,企业环境的快速变更将直接导致 信息资源的快速变更,因此,信息数据量大、信息资源变化迅速是企业 信息资源的主要特征。 3)企业的组织结构特点 企业的组织结构多种多样,而且类型复杂,各个企业的组织结构都 有其自己的特点、并且大型企业往往存在地域上分布式的特点。组织结 构的多样性和地域分布式使得访问控制系绕的管理变得更为复杂。 4)权限继承特点 企业组织结构的层次性决定了用户权限的继承性,继承给访问控 制系统的管理和配置带来了极大的便利。但在企业实际应用中,很多数 据带有敏感性,为了保证安全性,用户对敏感数据的处理权限不能被其 上级继承,因而企业环境中的继承不能只是全部继承,还应该满足部分 继承。 5)任务特点 企业环境中,任务的量多而且类型复杂,根据是否属于业务流程, 可分为业务流程的任务和非业务流程的任务,两种任务分别需要采用 不同的访问控制。 因此,基于企业对访问控制的安全性需求,采用了扩展的、灵活的 RBAC访问控制模型。访问控制模块获取用户的身份、访问的资源及访 问所需的操作权限,根据授权管理设定的访问控制策略来判定用户是 否有权访问该资源,从而达到访问控制的目的。对于企业信息的安全性 目的是防止非授权用户对资源的访问,防止合法用户以非授权方式访 问资源,使合法用户以授权的方式访问资源。 在系统中,存在多种资源,有着不同的访问控制策略,访问控制一 般和身份认证结合起来考虑。一般地,认证功能决定是否允许用户放这 个整个系统,进而,访问控制决定是否允许这个用户具体的访问要求。 2、稳定性需求分析 稳定性是软件质量好坏的一个重要标准。软件在持续操作时间内 出错的概率就是指软件的稳定性,例如在一天内会出错几次。软件的稳 定性可从设计角度出发,要靠经验丰富的专业开发人员,考虑到该如何 合理划分系统模块,在每块模块上如何详细设计,模块之闻的关系,强 调架构的稳定性,即使更改需求、代码等对软件系统的影响尽可能小。 和权限信息。但是在企业信息系统中还有其他的功能,他是企业信息系 统的主体,参与企业的工作、业务流程,同样,在这里也不给出企业的业 务模块功能方面的用例图,只给出其在权限管理子系统中的用例图。在 权限管理子系统中一般用户具有的权限有:查看用户信息、查看用户角 色、查看角色、查看角色权限和查看用户权限等。一般用户的用例关系 图。 四、系统的性能分析 1、安全性需求分析 企业信息系统的安全风险是指在广泛使用计算机技术、网络通信 技术时涉及到计算机安全管理的方面时,缺乏科学性、规范性和完善 性,就存在可能导致系统运行不稳定和不安全,给企业造成直接和间接 损失的因素总和。 为了构建一个适合某企业环境下的安全访问控制模型,首先要了 解该企业环境下访问控制有哪些具体需求。由于每个不同的企业都有 其自身的特殊性,因此,分析企业环境的访问控制需求是构建一个成功 模型的基础所在。企业中的访问控制需求包含两层含义,一是与访问控 制相关的具体元素;二是企业环境中访问控制的特点。只有准确地把握 好控制需求,才能有针对性地构建适合企业特点的访问控制系统。 (1)企业访问控制的元素 企业环境中与访问控制相关的元素主要有:用户、信息资源、企业 的组织结构、工作岗位、业务角色、任务、业务流程以及业务规则等。下 面是对企业访问控制的元素的分析: 用户是企业信息系统中的主体,是参与企业信息系统业务流程与 非业务流程的参与者,如企业信息系统的管理员、部门经理、主管及工 作员工等。 信息资源是访问控制的客体,例如用户的基本资料、文件、数据表 等。主体佣户)必须具备一定的权限才能访问客体(信息资源)。 企业中的组织结构是指了企业的权限等级,如经理、部门经理、部 门主管、员工。但是不同的部门的员工有不同的权限。 工作岗位和业务角色,二者虽具有很大的相似性,但它们之间是有 差别的,它们在企业中的侧重点不一样。工作岗位是用户在企业中所处 的职位,强调管理。业务角色是用户在企业中所充当的工作角色,强调 业务活动。在基于企业的访问控制中,用户的不同工作岗位和不同的业 务角色了用户所具备的权限。 任务是业务流程中的一个逻辑单元,又称为工作职能。任务是根据 用户的工作岗位或业务角色进行分配的。 业务流程是指为了完成某一目标而相关的任务组成的一个序列。 在企业环境中,根据任务是否属于业务流程可分为两类,即业务流程的 任务和非业务流程的任务。因而一个业务流程包括了一个或多个相关 的任务。 业务规则是企业访问控制中要满足的相关准则,一般根据企业自 身的特点来制定,如职责分离原则。因此企业环境下的访问控制模型必 须能充分满足企业制定的相关规定。 (2)企业访问控制的特点 在企业信息系统中,为了满足企业对安全访问控制的需要,因此访 问控制模型要具有良好的适应性以满足动态和特定的用户安全需求, 应该首先了解并分析企业访问控制的特点。 1)用户特点 企业信息系统的用户数量众多,用户工作岗位变化频繁,如调进、 调出、新进、辞职等。新业务的增加使得用户的工作职能也会频繁变化。 (上接第68页) 教育的重要途径。学生是校园文化活动的主体,良好 的校园文化活动有利于大学生掌握理论知识,增强实践能力和创新能 力,对大学生的成长成才起着促进作用。因此,学校可以通过形式多样 的校园文化活动,营造学习、文化和育人的环境.,培养学生积极向上的 学习精神,树立学生求真务实、坚韧不拔的学习意识,从而全面提高大 学生的综合素质,保证优良学风的形成。 第五、加强社会知名度。学校要发展,离不开社会的认可,离不开社 会因素的影响。而良好的学风是让家长、社会“走进”学校的前提之一。 因此,新建本科院校在推进学风建设的工作中,在抓好内部环境的同 时,还必须充分关注社会因素,因势利导,利用时代发展所出现的一些 积极因素,克服不利因素,提高学风建设的工作成效。主动走出校门,了 解社会,及时、准确地把握和调整办学思路、方向和培养目标,提高人才 培养的针对性,提高学风建设的有效性。充分实现内增凝聚力,外争知 名度。 四、结束语 如果一个系统出错的概率比较大(一天内出错二次或更多),或者重启或 重装后就可以正常运行。这就表明系统的稳定比较差,这会给企业带来 无穷的烦恼,如:数据不准确、不及时、系统性能低而且经常瘫痪、业务 无法正常运转。 、导致系统的稳定差的原因主要是系统的并发数和容错能力。在企 业信息管理系统中,企业内部的员工数在8000左右,考虑到企业未来 十年的发展及企业外部人员可能的访问数量,系统设置的用户并发数 量为4000。在系统的容错能力方面,系统设计了对所有可能出现错误的 异常类,并能够对相应地错误进行处理和自动恢复的能力,进而满足客 户对系统稳定的需求。 参考文献 [1]易高翔,杨春生,马良俊,魏利军,吴宗之.B/S模式下基于角色的 权限管理系统设计与实现中全生产科学技术 建本科院校来讲,学风建设面临更加严峻的考验,但机遇和挑战并存。 参考文献 [1]王淑文.当前高校学风建设问题分析及对策【J].教书育人,2008— 3. f2]黄金生,杨晓宁.大学学风的丰富内涵与学风建设途径[J]文化 学刊,2008,(1). [3]王道俊,王汗谰.教育学[M].北京:人民教育出版社,1999:238— 239 [4]潘懋元.大众化阶段的精英教育[J].高等教育研究,2003(6):3—5. [5]郝文静.新建本科院校学风建设的突破口与切入点[J].浙江工 商大学学报,2007(3):92-95. [6]李淑芳.新建本科院校学风建设问题分析 ].高校高职研究, 2008(12):139—142. [7]周建军.当前高校学风建设存在的问题及对策[‘I].牡丹江大学 学报,20o9 ):160—162. 新建本科院校要办成合格的、成熟的本科大学,需要很长的一段成 长过程。在这个过程中,他们必须不断学习、不断研究,不断创新,并立 足于学校的现状、围绕提高办学水平和培养人才的总目标进行。对于新 一[8]赵大鹏,高娜.关于当代大学生学风建设的思考与探索[T].辽宁 教育行政学报,2009(6):30. 70一
