浅谈财务管控系统的权限管理

孙晨霞

（天津天铁冶金集团有限公司信息化处，河北056404）

0 引言

随着集团信息化技术的不断加深，集团管理顺应市场的需求，信息化管理显得愈发重要。各种智能软件的应用不仅提高了日常的工作效率，而且也产生了很多复杂琐碎的数据，怎样建立行之有效的权限管理策略，用于拦截一些非法的用户随意访问、修改、控制相关的数据是我们探索和研究的宗旨。本文以天铁集团财务管控系统权限管理为例，对基于角色的权限管理进行了研究和探讨。

权限管理是系统设置的安全规则或者安全策略，根据本岗位的职责、角色用户可以访问而且只能访问被集团管理员授权的资源。信息化处信息化科负责分配和维护（如解锁和重置密码等）该系统的管理权限。对于任何一个系统，建立健全行之有效合法的使用信息是系统的安全管理机制，防止一些非法获取数据和破坏信息的基本保障。而财务管控系统中权限管理方法这种用户、职责、角色权限管理模型，不仅能够使财务管控系统安全管理较真实地体现，而且简化了财务管控中对用户的授权管理。

1 RBAC 模式的基本思想

NCV60 的权限模型是基于RBAC（Role-Based Access Control，基于角色的访问控制）设计实现的以角色为主导的权限控制体系。

管理员采用实现用户权限的授予和取消，从而来分配和取消不同的角色，即RBAC 授权模式的宗旨，不同的角色划分给不同的职能部门及岗位，资源访问许可被封装在用户角色中。用户通过不同的角色间接地访问信息系统的数据，进而进行相应的操作。授权者根据实际需求，设定与之相适应的访问控制权限来定义不同的角色。授权和授予是根据用户的工作性质和在部门内的不同职责分配不同的角色。所以，访问权限和授予的角色相关联，授予的角色再与实际用户相关联，即而实现了实际用户和访问控制权限的逻辑分离。

传统的访问控制直接访问控制权限对象，虽然是灵活易用的数据访问方式，但其安全性较低，非法用户可以避开其所提供的安全保护，从而获得访问权，所以访问权限可以随时授予，导致管理方面的困难。

基于不同角色的访问控制权限多层面、多层次的意义，它以不同的用户、角色、访问控制权限的对象这三者相集合为基础，其核心是将不同用户和访问控制权限的对象通过角色间接的关联起来，做到一个用户可以通过分配给已经被分配了某些访问控制权限的角色而获得某些访问控制权限。传统的访问控制和RBAC 模型见图1。

图1 传统的访问控制和RBAC 模型

2 NCV60 权限模型的特点

以“角色为核心”的权限产品体系，如图所示，即将系统所有的权限（包括功能权限、组织权限、数据权限等）一起打包分配给不同的角色，不同角色的权限是实际用户通过成为适当不同角色的成员而得到，从而简化了权限管理的相应任务。NCV60权限模型见图2。

图2 NCV60 权限模型

（1）NC 产品中人员档案和用户是两个档案，一个实际用户只能关联一个人员，反之，一个人员可以关联一个或多个实际用户，一个人员是否可以关联多个用户是由参数[RBAC009-允许人员关联多个实际用户控制的，如果改参数的参数值为“是”，一个人员可以关联多个实际用户；

（2）职责和功能权限的关系是多对多的；

（3）角色和职责的关系是多对多的，一个角色即可关联多个职责，一个职责也可分配给多个实际用户；

（4）一个角色关联了多个职责时，那么该角色就拥有这些职责所对应的功能权限的合集；

（5）角色和组织权限的关系多对多的；

（6）角色和资源实体的关系是多对多的；

（7）角色和实际用户是多对多的关系；一个角色可以关联多个实际用户，一个实际用户也可以分配多个角色；

（8）当一个实际用户关联了多个角色时，该实际用户拥有多个角色所对应的权限的合集；

（9）可以定义集团级的角色和业务单元级的角色。

3 RBAC 的价值优势

（1）以RBAC 为核心的权限模型；

（2）支持功能权限、数据权限、组织权限、参数权限多类权限资源；

（3）支持基于数据对象的数据权限控制；

（4）借助职责简化、规范集团业务权限体系的规划；

（5）支持多种的安全认证方式，并且可扩展其他方式；

（6）利用二次认证、数字签名等保护敏感业务和核心数据；

（7）支持对特殊人群直接授予特殊业务权限的灵活性；

（8）随时调整业务需求对资源访问的权限，能灵活定义权限资源类型；

（9）支持集中与分层的授权管理，以可管理组织、可授权功能/服务、可管理数据资源、可管理用户、可管理角色来描述授权权模型；

（10）支持组织、档案等的使用权延伸到引用这些对象业务数据的数据权限控制，简化业务数据权限定义，并支持不同场景下使用权的差异。

4 应用流程

创建的集团管理员的身份登录NC（财务管控）系统，就可以进行权限管理的相关操作。登录系统后，该集团管理员可以切换管理多个集团，如图3 所示。在进行切换时，相当于重新登录系统，进行环境变量的初始化，所有打开的窗口会被关闭后重新打开。

5 结束语

本文选择在RBAC 模式下，利用灵活的功能项处理系统分配的角色权限，形成了适应本单位本部门的权限管理。财务管控系统已在天铁集团各个分厂内实施，并取得了良好的成效。权限管理不仅使系统的数据更安全，而且能够在职能范围内维护和共享系统的各种数据，体现了集团信息化管理带来的成效。