郭曉明

（大連理工大學(xué) 網(wǎng)絡(luò)與信息化中心，遼寧 大連116023）

傳統(tǒng)基于角色的訪問控制（RBAC）是信息系統(tǒng)建設(shè)中一種常用且有效的訪問控制方式，高校信息化系統(tǒng)建設(shè)中也常常用到，但具體每個系統(tǒng)用到的角色數(shù)量卻往往很少，一般都是超級管理員、二級管理員和用戶三類，而且有些角色的名稱與實際的工作崗位名稱幾乎一樣，例如科研系統(tǒng)中的科研秘書角色、學(xué)工系統(tǒng)中的輔導(dǎo)員角色、教務(wù)系統(tǒng)的教務(wù)員角色等。綜合高校信息化中眾多系統(tǒng)基于角色的訪問控制模式，存在以下幾個共性的問題：

（1）系統(tǒng)角色只包含功能權(quán)限，而實際管理用戶還存在數(shù)據(jù)范圍權(quán)限，所以在系統(tǒng)分配某個用戶至角色時，還需要設(shè)定這個用戶能管理的數(shù)據(jù)范圍（科研秘書是組織機構(gòu)范圍，輔導(dǎo)員是班級范圍，教務(wù)員是學(xué)部院系范圍）。

（2）對于系統(tǒng)維護者來說，角色用戶維護往往是由一兩個超級管理員來完成，人員調(diào)整后更新難保證及時性；而學(xué)校機構(gòu)中崗位人員經(jīng)常變動，變動后各項工作任務(wù)往往能很快進行交接，但是系統(tǒng)中的權(quán)限交接往往跟不上。

（3）高校逐步在通過信息化手段完成業(yè)務(wù)流程化再造，建設(shè)網(wǎng)上辦事大廳，并把眾多審批、審核功能加入到流程建設(shè)中，在流程運轉(zhuǎn)過程中，普通用戶在發(fā)起流程時往往對有權(quán)進行審批或?qū)徍说挠脩粜畔⒉涣私庖膊徽莆?，例如本科生不知道教?wù)員是誰、科研項目申請者不知道科研秘書是誰等，同時進入系統(tǒng)時也沒有顯示。

（4）信息化系統(tǒng)更新?lián)Q代時，原有系統(tǒng)的角色數(shù)據(jù)往往很難復(fù)用，需要根據(jù)實際情況進行重新收集、整理并更新到新系統(tǒng)中。

除了基于角色的訪問控制之外，部門賬號模式在高校信息化系統(tǒng)建設(shè)中也較為常用，既在系統(tǒng)中為每個部門建立一個單獨賬號，并把賬號信息提供給各個部門負責(zé)人員。這類賬號往往在部門內(nèi)部工作人員中共享，變?yōu)楣操~號，密碼長期不做調(diào)整。這種模式存在較大安全風(fēng)險，無法進行用戶操作行為審計。

基于以上存在的各類情況和問題，同時為了更好地支撐學(xué)校信息化建設(shè)，方便師生用戶，大連理工大學(xué)在2016年底啟動的信息化基礎(chǔ)平臺建設(shè)項目中加入了統(tǒng)一崗位管理平臺（下文簡稱崗位平臺），把崗位作為師生用戶與信息系統(tǒng)角色權(quán)限連接的紐帶，強化實際工作中具體崗位，弱化系統(tǒng)中的角色權(quán)限。本文從崗位的界定和分類、崗位與組織機構(gòu)的關(guān)系、崗位的管理、崗位的應(yīng)用四個方面對平臺設(shè)計思路進行分享，期望對高校信息化建設(shè)提供參考。

一、崗位的界定和分類

支撐高校信息化建設(shè)的崗位數(shù)據(jù)來源于學(xué)校實際認定的崗位情況，但也需要有所擴展，考慮更多情況，包括更大范圍。具體涉及以下四類：

（1）學(xué)?，F(xiàn)行的實際工作崗位，而且不限于有行政級別或正式發(fā)布的崗位，只要實際從事具體工作即可，例如：組織員、人事專干、宣傳專干等。

（2）學(xué)校各具體辦事流程中所涉及的崗位，特別是在辦事大廳建設(shè)中，每個環(huán)節(jié)只需要設(shè)定具體的崗位，而不需要限定到具體的人，例如：負責(zé)審批的各領(lǐng)域分管工作領(lǐng)導(dǎo)、黨政和行政負責(zé)人等。

（3）各信息系統(tǒng)中二級管理人員可以抽象為具體且識別度高的崗位，統(tǒng)一納入崗位平臺管理，使系統(tǒng)中權(quán)限項管理與崗位人員管理分離開，例如：校內(nèi)公示系統(tǒng)負責(zé)發(fā)布管理的“校內(nèi)公示發(fā)布員”，負責(zé)學(xué)校校內(nèi)動態(tài)發(fā)布管理的“信息發(fā)布員”，消息平臺中負責(zé)發(fā)送消息的“消息發(fā)布員”等。

（4）學(xué)校各部門自身獨有的崗位或者根據(jù)工作需要只在內(nèi)部設(shè)置的崗位，例如：部門正副職領(lǐng)導(dǎo)，部門下屬研究所的領(lǐng)導(dǎo)等。

根據(jù)以上分類的特點，在具體設(shè)計時分成通用崗位和部門崗位兩個大類，如圖1所示。

圖1 崗位分類

二、崗位與組織機構(gòu)關(guān)系

崗位平臺的設(shè)計中加入了組織機構(gòu)信息作為重要關(guān)聯(lián)點（如圖2所示）：通用崗位是分配給多個組織機構(gòu)并可在學(xué)校范圍內(nèi)達成共識的崗位，每個通用崗位與組織機構(gòu)信息是一對多的關(guān)系；部門崗位只與具體的組織機構(gòu)關(guān)聯(lián)，每個部門崗位與組織機構(gòu)信息是一對一的關(guān)系。

圖2 崗位與組織機構(gòu)的關(guān)系

每個通用崗位下將根據(jù)需要加入多個組織機構(gòu)，形成通用崗位視圖；每個組織機構(gòu)下將包含多個通用崗位、多個部門崗位，形成組織機構(gòu)崗位視圖，如圖3所示。這里的組織機構(gòu)不限定層級，可以是校區(qū)級、部處級、學(xué)部院系級，甚至是科室級。

把組織機構(gòu)作為重要因素納入崗位平臺，主要基于以下三點考慮：

（1）組織機構(gòu)是學(xué)校開展各項工作的基本單元，把信息化崗位落實到具體組織機構(gòu)，可以明確管理職能，實現(xiàn)崗位的二級管理，更好落實并推廣；

（2）通過組織機構(gòu)可以限定崗位人員的范圍，方便人員的設(shè)置和變更；

（3）很多系統(tǒng)或者功能都涉及人員數(shù)據(jù)權(quán)限范圍，組織機構(gòu)是最為常見的一種，與具體崗位關(guān)聯(lián)之后，可以方便各業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)范圍設(shè)定。

圖3 通用崗位視圖（左）和組織機構(gòu)崗位視圖（右）

三、崗位的管理

崗位平臺采用多級管理模式，管理主要有兩項工作，一個是設(shè)定崗位，一個是給具體崗位分配人員。整體的管理模式如圖4所示，其中虛線表示主要落實一項管理工作即可，實線則表示要落實兩項管理工作。

圖4 崗位平臺崗位管理模式

系統(tǒng)管理員主要是建立通用崗位并根據(jù)需要給每個通用崗位設(shè)定管理員。每個通用崗位管理員則負責(zé)把所管理的通用崗位設(shè)定到具體的組織機構(gòu)下，并設(shè)定崗位人員的設(shè)置模式、崗位人數(shù)上線、崗位基本信息等相關(guān)內(nèi)容。

為弱化系統(tǒng)管理功能，平臺中建立了兩個內(nèi)置的通用崗位與線下各單位的信息化隊伍相匹配一致，包括負責(zé)部門整體信息建設(shè)的“信息化負責(zé)人“和負責(zé)部門信息化具體實施、溝通、協(xié)調(diào)的“信息化專干“，兩個通用崗位的管理員由學(xué)校網(wǎng)絡(luò)與信息化中心（信息化建設(shè)管理辦公室）的相關(guān)人員承擔(dān)，主要負責(zé)信息化負責(zé)人、信息化專干的變更處理，給兩個崗位分配新增組織機構(gòu)數(shù)據(jù)。每個部門的信息化負責(zé)人可以調(diào)整本部門信息化專干的人員設(shè)定。

信息化專干是平臺實施二級管理的關(guān)鍵，每個組織機構(gòu)的信息化專干能看到本機構(gòu)的組織機構(gòu)崗位視圖，并負責(zé)維護本機構(gòu)下通用崗位的人員名單，另一方面可以在本機構(gòu)或下屬機構(gòu)下按需添加部門崗位并分配具體的人員。在通用崗位整體架構(gòu)設(shè)定完畢之后，所有人員與崗位的關(guān)系都由各組織機構(gòu)自己負責(zé)。每個信息化專干人員分配時都只能看到崗位所屬組織機構(gòu)以及下屬機構(gòu)的人員數(shù)據(jù)，如果存在其他機構(gòu)人員在本機構(gòu)任職的情況，則可以使用“精確查找“功能（如圖5所示）通過輸入職工號、學(xué)號和姓名獲取到相關(guān)信息來跳出人員數(shù)據(jù)范圍限制。

圖5 “精確查找“功能跳出人員范圍限制

四、崗位的應(yīng)用

崗位平臺的崗位信息當前主要應(yīng)用于網(wǎng)上辦事大廳、第三方系統(tǒng)和崗位人員數(shù)據(jù)對外展示三個方面。

網(wǎng)上辦事大廳每個流程都涉及具體的人員，但是實際上具體人員是一直在發(fā)生變化，不可能在設(shè)計流程時把具體人員與流程進行綁定，而是通過崗位平臺中的崗位與具體流程進行綁定，使人員與流程進行管理分離。流程設(shè)計時只與崗位綁定，并不關(guān)注崗位下的具體人員；在流程運轉(zhuǎn)時，通過崗位平臺實時找到流程節(jié)點綁定崗位下的具體人員。流程與人員通過崗位平臺中的崗位進行了解耦，也進行了關(guān)聯(lián)。同時通過崗位與組織機構(gòu)的關(guān)系，使流程對應(yīng)崗位的人員范圍大大縮小了，例如：本科生在申請學(xué)籍異動時，流程會根據(jù)學(xué)生所在的學(xué)部院系，精確定位到其學(xué)部學(xué)院的教務(wù)員老師，而不是把全部教務(wù)員都列出來進行大范圍的選擇。

崗位平臺崗位所對應(yīng)人員信息是由各個部門或者具體負責(zé)部門維護，基本能保證及時性，為第三方系統(tǒng)提供崗位下人員信息，可以優(yōu)化各項工作的開展。可以減輕第三方系統(tǒng)數(shù)據(jù)初始化工作：對于已有的崗位數(shù)據(jù)，第三方系統(tǒng)可以直接使用，無需做初始化；若沒有支撐第三方系統(tǒng)的崗位信息，可以快速地在崗位平臺建立對應(yīng)的崗位并維護其中的人員?？梢员ＷC人員數(shù)據(jù)的及時性和有效性：第三方系統(tǒng)管理角色完全依賴于崗位平臺，并實現(xiàn)聯(lián)動，崗位下人員新增、變更、刪除都能及時體現(xiàn)，無需第三方系統(tǒng)再行調(diào)整。實現(xiàn)崗位數(shù)據(jù)的有效復(fù)用：第三方系統(tǒng)更新時，崗位數(shù)據(jù)仍然可以繼續(xù)使用，同一份崗位數(shù)據(jù)可以用到多個第三方系統(tǒng)中。

部分崗位人員數(shù)據(jù)是與具體工作崗位相關(guān)，還有一部分是與具體系統(tǒng)功能相關(guān)，這些都是師生比較關(guān)注的信息。一方面，師生通過具體崗位人員信息，可以了解到各項工作開展的具體聯(lián)系人，例如：要開展科研工作可以通過科研崗位找到科研秘書；要通過校內(nèi)通知系統(tǒng)發(fā)布通知，可以通過“信息發(fā)布員”崗位找到本機構(gòu)哪些人員有在系統(tǒng)中發(fā)布通知的權(quán)限。另一方面，師生可以對崗位人員數(shù)據(jù)進行核對、監(jiān)督，確保崗位對應(yīng)的人員數(shù)據(jù)正確并能及時更新。同時，崗位管理部門可以把崗位人員數(shù)據(jù)信息嵌入到部門網(wǎng)站中，以保證人員數(shù)據(jù)的及時更新并對外發(fā)布，例如：“本科教務(wù)員”崗位人員數(shù)據(jù)頁面直接掛到教務(wù)處網(wǎng)站中。

在具體技術(shù)層面，有三種方式對外提供應(yīng)用：一個是通過公共數(shù)據(jù)交換工具（可以是ODI、kettle等）采用定時同步方式提供給業(yè)務(wù)系統(tǒng)；另一種是通過實時的數(shù)據(jù)接口（Data Service）方式提供；還有一種是提供H5自適用的展示頁面，直接嵌入到網(wǎng)站中使用。

五、總結(jié)與思考

崗位平臺是人員、組織機構(gòu)、崗位數(shù)據(jù)整合和組合的平臺，使聚合的信息數(shù)據(jù)得到高效、方便、快捷的應(yīng)用是平臺成功的關(guān)鍵。經(jīng)過近兩年時間的建設(shè)，崗位平臺各項功能已基本落地，當前主要服務(wù)于學(xué)校各基礎(chǔ)平臺，包括校園門戶、消息平臺、辦事大廳等，但是如何有效支撐全校信息化建設(shè)并得到全校認可，成為學(xué)校信息化真正的基礎(chǔ)支撐平臺，是崗位平臺下一步要開展的主要工作。

崗位平臺是高校信息化建設(shè)中的一個新平臺，并沒有以業(yè)務(wù)部門的具體業(yè)務(wù)驅(qū)動來開展建設(shè)，而是作為信息化重要基礎(chǔ)平臺來建設(shè)，其與傳統(tǒng)的三大平臺有很大區(qū)別，是高校信息化中平臺化建設(shè)方向的探索和有效嘗試。