辛向利 陳秀敏 劉景匯

【摘 要】隨著我國(guó)信息和網(wǎng)絡(luò)技術(shù)的日益發(fā)展，企業(yè)的人力資源管理也進(jìn)入到了高效的信息化時(shí)代。但是網(wǎng)絡(luò)信息安全存在的問(wèn)題也日益突出。管理信息系統(tǒng)中安全性的設(shè)計(jì)則成為系統(tǒng)設(shè)計(jì)中的一個(gè)非常重要的課題。對(duì)用戶進(jìn)行身份驗(yàn)證，對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)控制都可以極大地減少安全隱患，進(jìn)一步提高系統(tǒng)的安全性。本文分析了RBAC訪問(wèn)控制模型，并結(jié)合企業(yè)人力資源管理系統(tǒng)的業(yè)務(wù)邏輯，確定了模型中的用戶、角色，資源，權(quán)限，通過(guò)對(duì)用戶賦予不同角色，給不同角色不同的對(duì)資源的訪問(wèn)權(quán)限，有效控制了系統(tǒng)資源的安全性訪問(wèn)。

【關(guān)鍵詞】角色；訪問(wèn)控制；角色；授權(quán)

一、引言

在當(dāng)今社會(huì)，各行各業(yè)都面臨著極大的生存和機(jī)遇挑戰(zhàn)。一個(gè)企業(yè)要想在競(jìng)爭(zhēng)中不斷發(fā)展，不僅與企業(yè)的工作管理模式、辦公效率及企業(yè)整體發(fā)展策略有極大地關(guān)系，而且企業(yè)對(duì)于員工的管理及個(gè)人發(fā)展規(guī)劃也有著決定性的作用[1]。本人力資源管理系統(tǒng)的設(shè)計(jì)目標(biāo)是充分利用企業(yè)網(wǎng)絡(luò)資源，簡(jiǎn)化人力資源的管理流程，提高人力資源部門(mén)的管理效率，加強(qiáng)不同部門(mén)的協(xié)作；增強(qiáng)員工自助服務(wù)的功能，改進(jìn)員工服務(wù)模式。由于企業(yè)用戶眾多、分屬不同部門(mén)、各部門(mén)的業(yè)務(wù)繁多，相互之間又聯(lián)系密切，因此如何保證系統(tǒng)資源被正確、有效的訪問(wèn)是亟待解決的問(wèn)題。

二、RBAC

訪問(wèn)是一種利用計(jì)算機(jī)資源去做某件事情的能力，訪問(wèn)控制是一種手段[2]，它不僅規(guī)定了“誰(shuí)”能以“何種方式（權(quán)限）”去訪問(wèn)某種“資源”，甚至對(duì)可訪問(wèn)資源的類(lèi)型都能加以控制。具體的控制方式可以在計(jì)算機(jī)系統(tǒng)或者外部設(shè)備中實(shí)現(xiàn)。

RBAC是Role-Based Access Control的縮寫(xiě)，即基于角色的訪問(wèn)控制。這種模型將訪問(wèn)控制看作是“Who對(duì)What進(jìn)行How的操作”。其中Who代表權(quán)限的擁有者或主體（如Principal、User、Group、Role、Actor等）；What代表可訪問(wèn)的對(duì)象或資源（Resource）；How代表了具體的權(quán)限（Permission）。RBAC的關(guān)注點(diǎn)在于Role和User， Permission的關(guān)系。在這種訪問(wèn)控制中，權(quán)限與角色相關(guān)聯(lián)，用戶通過(guò)成為適當(dāng)角色得到這些角色的權(quán)限；極大地簡(jiǎn)化了權(quán)限的管理[3]。

RBAC作為目前比較流行的訪問(wèn)控制策略，它通過(guò)在用戶及訪問(wèn)權(quán)限之間引入“角色”的概念，將用戶和權(quán)限分離。其核心思想是通過(guò)對(duì)用戶分配合適的角色，對(duì)角色進(jìn)行授權(quán)來(lái)控制用戶對(duì)資源的訪問(wèn)。在這種策略中，一個(gè)用戶允許同時(shí)擁有多個(gè)角色，一個(gè)角色也可以同時(shí)分配給多個(gè)用戶；一個(gè)角色也可以包含多個(gè)權(quán)限，一個(gè)權(quán)限也可以被多個(gè)角色包含。RBAC模型圖如圖1所示。

三、 系統(tǒng)訪問(wèn)控制設(shè)計(jì)

為了提高系統(tǒng)的安全性，進(jìn)一步細(xì)化用戶對(duì)系統(tǒng)模塊的使用權(quán)限，在人力資源管理系統(tǒng)引入基于權(quán)限的訪問(wèn)機(jī)制，可以將企業(yè)實(shí)際的管理權(quán)限具體分配到不同角色的用戶身上，使用戶對(duì)系統(tǒng)的操作保持在一定的范圍內(nèi)，提高了系統(tǒng)的安全性。

系統(tǒng)安全設(shè)計(jì)采用了用戶-角色-模塊（資源）的三層安全模式，分別為用戶層、角色層和模塊層。通過(guò)對(duì)用戶、角色和權(quán)限之間建立聯(lián)系，能夠控制用戶在系統(tǒng)操作時(shí)擁有角色對(duì)應(yīng)的權(quán)限，表現(xiàn)為對(duì)于不同的角色允許操作不同的功能模塊，有效避免了越權(quán)行為的發(fā)生。

（一）角色的認(rèn)定

在企業(yè)人力資源管理系統(tǒng)中，角色是為了完成企業(yè)的各種工作任務(wù)而創(chuàng)造的，用戶則依據(jù)其責(zé)任和資格來(lái)被指派相應(yīng)的角色，當(dāng)一個(gè)工作任務(wù)結(jié)束后，用這個(gè)角色即可被撤銷(xiāo)，如果有別的任務(wù)則重新分配其它角色。角色可根據(jù)企業(yè)管理需求變化被賦予不同的權(quán)限，而權(quán)限也可根據(jù)需要而從某角色中收回[3]。此種方法更符合企業(yè)的用戶、組織、數(shù)據(jù)和應(yīng)用特征。

人力資源管理系統(tǒng)是一個(gè)面向多用戶、多部門(mén)的開(kāi)放系統(tǒng)，其管理的信息多且復(fù)雜。通過(guò)問(wèn)卷調(diào)查、與企業(yè)各部門(mén)員工交流，我們了解了企業(yè)組織結(jié)構(gòu)的構(gòu)成、人力資源管理的業(yè)務(wù)流程以及各部門(mén)的業(yè)務(wù)需求，并結(jié)合中小型企業(yè)管理的特點(diǎn)，分析了企業(yè)人力資源管理的具體業(yè)務(wù)，本系統(tǒng)角色主要?jiǎng)澐譃橄到y(tǒng)管理員、模塊管理員和普通用戶。

系統(tǒng)管理員：擁有最高權(quán)限，具有對(duì)用戶、角色、模塊的管理功能；還包括對(duì)用戶的角色定位，權(quán)限授權(quán)等功能；

模塊管理員：擁有對(duì)相應(yīng)功能模塊的管理功能；

普通用戶：權(quán)限最低，根據(jù)被賦予的角色不同，擁有對(duì)不同模塊的訪問(wèn)權(quán)限。

（二）權(quán)限的認(rèn)定

人力資源管理系統(tǒng)中對(duì)權(quán)限定義為對(duì)某個(gè)資源模塊的訪問(wèn)，一般包括增加、刪除、修改、查詢(xún)四項(xiàng)基本操作權(quán)限。

（三）資源

資源是對(duì)細(xì)化了的系統(tǒng)功能模塊，本系統(tǒng)中劃分的主要功能模塊有：系統(tǒng)管理，人事信息管理、績(jī)效管理、考勤管理、招聘管理、培訓(xùn)管理和員工自助等七個(gè)模塊。

數(shù)據(jù)庫(kù)設(shè)計(jì)部分分別設(shè)計(jì)了用戶表、角色表、資源表和操作表四個(gè)基本表，并根據(jù)這四張表生成了三張關(guān)聯(lián)表，分別為用戶-角色表，操作-資源表（即權(quán)限表），以及角色-權(quán)限表。用戶、角色和權(quán)限的關(guān)系如圖2所示。

用戶和角色之間，角色和模塊之間都是多對(duì)多的關(guān)系，比如人事信息管理員角色的權(quán)限允許其對(duì)人事信息進(jìn)行增加、修改、刪除以及查詢(xún)操作，同時(shí)具備普通員工角色的修改個(gè)人密碼、查詢(xún)考勤記錄等權(quán)限，而招聘管理員角色具有對(duì)個(gè)人人事信息查詢(xún)的權(quán)限及招聘管理的所有權(quán)限、普通員工角色的所有權(quán)限等。用戶對(duì)模塊的訪問(wèn)變成用戶以某種角色對(duì)某個(gè)模塊進(jìn)行訪問(wèn)。系統(tǒng)安全管理圖如圖3所示。

四、系統(tǒng)訪問(wèn)控制的實(shí)現(xiàn)

（一）訪問(wèn)控制模塊的組成

（1）基本信息管理：包括用戶管理，角色管理，權(quán)限管理等。這部分由系統(tǒng)管理員來(lái)設(shè)置，其中用戶是使用該系統(tǒng)的所有員工；角色管理由系統(tǒng)管理員根據(jù)企業(yè)具體業(yè)務(wù)管理設(shè)計(jì)出不同角色，比如：人事信息管理員、考勤信息管理員等；將權(quán)限管理保證系統(tǒng)合法用戶的具體操作權(quán)限，可以精確到操作對(duì)象的范圍，主要分為瀏覽、添加、刪除、修改四個(gè)基本權(quán)限，達(dá)到有效分級(jí)的目的。

（2）授權(quán)管理：系統(tǒng)管理員根據(jù)員工的日常工作職責(zé)，為員工賦予不同的操作角色，根據(jù)員工在業(yè)務(wù)中的等級(jí)分配具體的操作權(quán)限，當(dāng)該業(yè)務(wù)完成后，該角色允許被修改或者刪除。進(jìn)一步提高用戶訪問(wèn)的安全性。

（二）訪問(wèn)控制實(shí)現(xiàn)過(guò)程

當(dāng)用戶以正確的用戶名和密碼成功登錄后，如果要對(duì)系統(tǒng)的某個(gè)資源即功能模塊進(jìn)行訪問(wèn)時(shí)，系統(tǒng)首先從該用戶角色管理表中取出當(dāng)前用戶擁有角色，再根據(jù)角色功能表中取出每個(gè)角色具有的對(duì)功能模塊的訪問(wèn)權(quán)限。用戶對(duì)每個(gè)模塊在進(jìn)行訪問(wèn)之前都要先判斷該用戶是否對(duì)該模塊具有訪問(wèn)權(quán)限，如果有則操作可行，如果沒(méi)有權(quán)限則禁止訪問(wèn)。

五、結(jié)束語(yǔ)

本文對(duì)訪問(wèn)控制中權(quán)限界定為對(duì)某個(gè)資源模塊的訪問(wèn)，實(shí)際在應(yīng)用中還可以把訪問(wèn)對(duì)象細(xì)化到某張具體的數(shù)據(jù)表。權(quán)限傳遞的約束力度會(huì)更加小，這些都會(huì)在未來(lái)進(jìn)一步研究。

參考文獻(xiàn)：

[1] SmithAndrew.Overcoming four HR outsourcing obstacles： Top tips for tackling a selection of HR outsourcing challenges.Strategic HR Review.2006， 5（4）：28-31.

[2] 石莉.基于LINUX安全模塊的RSBAC研究.陜西科技大學(xué)碩士論文.2007：4-5.

[3] 薛志兵， 藺荻.基于互聯(lián)網(wǎng)的民航城市值機(jī)系統(tǒng)信息安全性研究.中國(guó)民航大學(xué)學(xué)報(bào).2011， 29（3）：82-83.