数字化档案馆管理系统权限设置及角分配
获得管理员权限数字化档案馆管理系统权限设置及角分配
作者:***
来源:《经营者》2015年第09期
        摘 要 现代化社会工作中,越来越多的业务需要各种软件系统的支持,随着科技的发展,软件技术的进步,对于如何才能更有效、安全地对用户权限进行合理的管理;如何保证信息的安全性;是软件发展中迫切需要解决的一个重要问题。电子商务、电子政务等系统的发展不但需要保护系统资源不受侵犯,更需要给适当的访问者提供最大化的服务。这就要求系统必须要能够控制:哪部分利用者能够访问系统的信息;利用者访问的是“什么信息”,利用者对他所访问的数据拥有何种“权限”。这些均涉及网络安全的重要内容,即权限管理与访问控制。与此同时,访问控制作为计算机网络信息安全管理的主要策略,如何通过合理的方式显示服务或限制用户、组或者角对信息资源的访问能力及范围,已成为现实中当务之急。
        关键词 权限 角 控制
        一、引言
        系统首先给角授权,然后将角分配给用户,角架起了访问控制中访问主体与客体之间的一座桥梁。之所以不将权限直接授予用户,是因为角比用户更具低耦合性。由于系统需求变化对用户进行变更时,只需修改角与用户的关联关系,而不必对角与访问控制客体之间的管理进行修改,使系统设计的灵活性有所增强,更具可控性,灵活性更强。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围被访问和使用;访问控制机制决定用户及代表一定用户利益的程序能提供何种服务,以及服务达到何种程度。
        二、现状分析
        传统的应用系统通常是通过使用用户名+口令的方式来实现访问控制的。系统通过验证用户在登录系统时输入用户名和口令确定用户的身份,同时,系统通过维护一张特定的表明确每个用户对特定系统对象的控制。例如,文件浏览或下载的操作权限。这种方法因为简便易行而得到了普遍的应用。但是对于一些复杂的组织机构来说,其网络结构比较复杂,应用
系统较多,用户数量巨大,采用这种方式需要不同的应用系统分别针对保护的资源进行权限的管理和控制,因而产生了以下问题:
        (一)管理紊乱
        对一个正规的企业而言,组织机构都是统一的。但是由于系统构思问题,不同的决策者对相同的人员采用不同的管理思路,对机构内的共享数据采用了不同的权限管理策略,这显然不合理,也不利于对机构资源的规划。
        (二)安全系数低
        不同的权限管理策略产生的安全强度是无规律的。这就可能造成机构信息安全管理的缺陷。因此,外来者就有可能瞄准那些权限管理相对薄弱、不健全的系统进行攻击和破坏,这就给机构资源的安全性带来极大的隐患。
        (三)依赖性高
        权限的赋予和撤销往往都是在访问控制应用中产生的,不同的访问控制应用之间尽管有
相同的用户和授权策略,但不能实现权限共享。每个应用都要维护自己的用户信息和授权方法,权限无法在分布的应用中和远程应用中使用。
        (四)对系统管理员要求过高
        不同的系统采用的权限管理策略是不同的,系统管理员不得不熟悉和操作不同的权限管理模式,这无疑对系统管理员的整体水平要求高。另外,大多数老系统都采用的是权限访问控制列表的方式,但是对于大型复杂应用使用此方式来分配权限,给系统管理员带来更高要求,而且容易出现问题。
        (五)开发复杂、费用高
        设计一个新的应用安全系统,权限管理是一个极其重要的部分。在缺乏统一权限管理模型的情况下,设计人员要考虑选择权限管理模型、访问控制授权方案等。而且开发人员也要根据业务的不同,时间上、精力上、构思上综合考虑来实现一套较健壮的权限管理功能。为一个应用开发的权限管理功能,往往无法在其他应用中复用,无疑增加了开发的费用,耗费了过多的人力、财力等。
        在最近几年,权限管理和访问控制作为安全的一个领域得到快速发展,目前应用和研究的重点集中于基于PKI(Public Key Infrastructure)的PMI(Privilege Management Infrastructure)研究。在PKI得到较大规模应用以后,人们已经认识到需要超越当前PKI提供的身份验证和机密性,步入授权领域,提供信息环境的权限管理将成为下一个主要目标。PMI实际提出了一个新的信息保护基础设施,能够系统地建立起对认可用户的授权。建立在PKI基础上的PMI,对权限管理进行了系统的定义和描述,已经将权限管理研究推到了应用前沿。
        第一,角与用户关系。角由用户自定义,根据实际业务的不同,定义不同的角。一个用户可以拥有多个角。将某特定角授予某一用户时,其拥有的权限不能超越该角权限。
        第二,菜单权限控制。用户对系统中功能菜单项的使用权,可以通过角授权来控制。对普通用户而言,拥有系统基本功能的使用权。例如,查询功能;对兼职档案管理员来说,拥有系统支持数据的收集、整理权限。例如,录入、修改等权限;对于全职档案管理员来说,拥有系统主要业务数据控制权及使用权,保证系统数据的有效性等;对系统管理员来讲,
主要涉及系统应用范畴功能操控权限,以保证系统正常使用、运行提供支持,同时赋予系统主要管理员相应的管理功能权限;安全管理员主要负责系统用户权限分配的维护接分配,保证系统使用者的日常工作顺利进行;审计管理员主要负责系统日志方面信息的维护,包括系统日志的导入、导出、备份等操作。
        第三,功能控制。功能控制是指应用系统窗口中的可视对象。例如,菜单项、按钮、下拉列表框、数据编辑控件及数据编辑控件的字段等。功能控制通过角与用户授权来实现。功能控制包括对功能属性的控制可对数据编辑控件中的数据记录的维护权限。对象属性:启用/禁止、显示/隐藏;记录维护:增加、删除、修改的组合;数据的访问:浏览、下载的组合。
        第四,结果集控制。结果集的控制是通过条件设置来实现,因此,需要控制结果集的数据库表需要设置专门的记录集筛选字段,而筛选条件由用户根据业务进行自定义,建立过滤规则,实现统一管理。
        第五,分级授权。上述提到的权限管理内容应该满足既可集中管理,也可分散管理的目标。
        (1)权限管理由系统管理员集中管理,系统管理员工作负担过大,难对所有岗位的分工有全面和具体的了解,从而需要对权限进行一系列的标准细致划分,对于大型的管理系统适合于把一部分设置权限的交由一些比较高级的用户来进行,有利于各岗位细致协调的工作。这就是权限的分散管理,类似于企业中的自上而下的管理模式。
        (2)要实现权限的分散管理,就须对授权模块进行一些授权管理,这要求整个管理系统往往是一个复杂地模块系统。例如,数字化档案管理系统就是由许多模块构成的,包括横向项目收集模块、纵向整理管理模块、利用管理模块等。每个模块都是相对独立的可执行程序。用户要进入每个管理模块并能够进行相应的操作,必须具有相应的权限。
        三、结束语
        在基于对角设置的分析及研究基础上,通过定义角继承、权限组继承作为媒介,使得权限控制管理的复杂度得到了降低,提高了权限控制的灵活性。在权限管理系统中,角控制比用户控制具有更好的灵活性,能够有效实现权责分离。基于角的权限管理系统已经能够很好地满足单域环境中的系统授权,针对跨域访问的权限机制和对权责分割理论的控制,是今后进一步工作的重点。
        (作者单位为南水北调中线干线工程建设管理局)

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。