企业信息化应用系统的授权管理体系研究

刘涛

摘要：授权管理体系已成为企业信息化应用系统中非常重要的组成部分，该文提出一种基于角色控制模型（RBAC）的企业信息化应用系统授权策略模型，通过对授权单元中字段控制及角色的分配实现企业信息化应用系统的授权管理。

关键词：企业信息化应用系统；授权管理体系；授权策略；授权单元

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）03-0006-02

1 概述

近年来，随着计算机技术的迅猛发展，特别是云计算、大数据等技术的大力发展下，各种信息化应用系统已在各大企业广泛应用，而作为一个完整的企业信息化应用系统，安全、合理、规范的授权管理机制是不可缺少的，尤其在当今信息安全在备受关注的背景下，更有必要做好企业信息化应用系统的授权管理。

2 企业信息化应用系统授权管理体系研究的必要性

2.1企业信息化应用系统授权管理的定义

授权是指企业中的领导根据公司岗位的职责定义，将具体的岗位职责授权给具体下属负担，责令其负责所担任岗位的管理性或事务性的工作。企业信息化应用系统用户授权管理就是根据用户在现实工作中承担的工作，通过正式审批流程后授予用户在企业信息化应用系统中与现实工作相应的权限，用户登录指定的系统后可执行相应的功能，并且管理人员定期对系统中用户权限的合理性、合法性、合规性进行检查，对发现授权不当的问题上报有关部门并进行整改，确保系统核心业务数据的安全、保密与规范。

2.2用户授权管理的重要意义

虽然企业信息化应用系统已经在我们身边到处存在了，但是还是有很多人对企业信息化应用系统的重要程度认识不够，认为企业信息化应用系统只是一个方便我们工作的工具，于是对系统用户授权管理的重视程度不够，在授权时不够严谨导致企业信息化应用系统出现授权不当的问题，权限过小可能会影响企业正常业务的开展，权限过大可能出现损害企业利益的情况，因此只有合理的授权才能保证系统的稳定运行及系统数据的安全。

3 授权管理的常用策略

授权管理策略是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，可以是非形式化的，也可以是形式化的。它综合了各种因素，包括系统的使用方式、使用环境、授权的定义、共享的资源和受控思想。授权策略通过对用户的识别来限制对资源的访问权限。常见的授权策略，一般有三种[1]：

3.1 自主授权策略（DAC）

自主授权策略是根据用户自主访问控制策略建立的一种策略。策略规定的资源仅允许合法用户访问，同时用户还可以对资源属性进行修改，有选择性的让他用户访问自己的资源，用户自己有分配权。其优点是资源分配比较灵活；缺点是增加用户负担、管理代价较高、安全性差。

3.2 强制授权策略（MAC）

强制授权策略是系统独立于用户行为强制执行访问控制的策略，这种策略将用户和资源分别指定安全级别，用户可访问同级别的资源，从而实现对资源的保护。其优点是权限体系具有清晰的结构，减轻用户负担，管理代价较低；缺点是不够灵活。

3.3 基于角色的授权策略（RBAC）

RBAC的原理就是对系统资源的访问不是直接赋予用户，而且在系统用户和系统资源之间建立一个角色集合。每一个角色对应一定的系统资源，当用户分配了特定的角色后，该用户就拥有此角色所有的权限。其显著的两大特征是：1）减小授权管理的复杂性，降低管理开销；2）灵活地支持企业授权管理策略[2]。

4 企业信息化应用系统授权管理体系研究

4.1利用合理有效的技术手段

在企业信息化应用系统中，授权管理的最终目的是为了确保用户在对系统资源访问的过程中，用户所执行的操作及用户所访问的数据范围均是合规、合法的，对通过身份认证后的合法用户提供用户所需且通过授权的权限，杜绝出现用户超权的权限请求，保证用户在系统授权策略下合理访问系统。结合企业信息化应用系统授权管理的特点，综合几种常用的授权策略，基于角色的授权策略（RBAC）比较适合用于企业信息化应用系统。目前很多主流系统的授权架构均采用此模型，比如ERP、自动化办公、企业门户等系统。

4.2 企业信息化应用系统中RBAC的授权策略模型

在企业信息化应用系统开发过程中好的授权机制不仅能为系统的安全保驾护航，还能提高系统开发效率，并且系统易用性、可维护性也大大提高。为了达到上述目的，并实现高效的企业信息化应用系统的授权管理，特在传统的RBAC授权策略模型基础上设立两类角色：

1）功能角色，操作系统功能模块或者系统菜单的角色。这类角色可以根据用户需求，包含一个到多个系统功能或系统菜单，将这类角色赋予到系统中的账号中，使相应账号具备相应操作系统功能的权限；

2）组织角色，组织角色控制的是用户对数据组织范围的访问，公司按组织划分，不同组织形成不同的组织角色，分配不同的组织角色，用户就可以对相应组织的数据进行访问。比如采购组A中的用户只能访问属于采购组A的订单信息。

通过上述两类角色，我们可以将系统功能及数据组织授权给用户。但是对系统功能或系统菜单内的字段及操作无法做到更详细的控制。所以必须将控制深度进行延伸。要确保系统功能或系统菜单（简称“授权单元”）内的所有字段也可以实现控制。所以我们增加两个控制点（见图1）：

1）字段权限，通过对字段的授权控制，可以实现用户对一个系统模块或系统页面内特定字段的访问；

2）操作权限，用户对系统模块或系统页面中的字段的操作，一般有增、删、改、查等操作，操作权限就是用于限定用户对字段中数据的操作行为。

图1 企业信息化应用系统中RBAC的授权策略模型

企业信息化应用系统中RBAC的授权策略模型为系统授权体系的核心架构。如图1所示，模型由传统RBAC模型衍生，在RBAC模型基础上将用户角色进行了分类，并将权限控制延伸到授权单元，授权单元为权限控制实体，授权单元定义了用户对系统功能或系统菜单的控制及数据访问。

为了实现授权控制的灵活性，一个角色可包含多个授权单元，一个授权单元可配置给不同角色，系统用户可按需分配相应角色。

4.3 严谨、完整的管理制度

要想用好一个信息化系统，尤其是做好系统中的授权管理，必须依靠一个有效、严禁的管理制度。为了确保企业信息化应用系统授权管理体系的有效实施，须建立相应的企业信息化应用系统授权管理制度，明确授权流程及各级职责等内容，作为授权管理工作的章程和准则，使企业信息化应用系统授权管理规范化。

授权管理制度作为授权管理的依据及执行标准，须包含以下内容：账号的管理、角色的管理、授权的管理，这三部分是一个企业信息化系统中授权体系涉及到的主要工作；清晰的授权流程，明确规定流程中各个节点的职责及负责人，用好流程来确保授权工作的合理性；完善的审阅机制，随着企业人员岗位的变动，人员在系统中的权限也应该随着变动，同时由于授权管理本身是一个比较主观的工作，也可能存在授权不当的情况，这就很有必要引入对系统用户权限的审阅机制，通过定期的用户权限审阅，双层确保用户权限的合理性，从而保证系统数据的安全。

综上所诉，企业信息化应用系统的用户授权管理不仅是技术性的问题，也是一个综合性的管理问题，如何在企业信息系统中对用户进行授权及如何做好系统的授权管理很大程度上还是由管理者的主观因素决定，所以授权管理不能仅仅从技术角度考虑，在管理上更要重视，将技术手段和管理手段两手抓起才能做好企业信息化应用系统的用户授权，从而建立完善的企业信息系统授权管理体系。

参考文献：

[1] 信息安全技术，中国信息安全技术评测中心[Z].

[2] 黄永生，张祖平，龙军.开源单点登录与角色权限管理的融合研究应用[J].计算机系统应用，2010（10）.