賴葆青，劉蘇，陳華昇

1 福建省煙草公司廈門市公司，廈門市湖光路66-67號 361004；2 福建省煙草公司，福州市北環(huán)中路133號 350013；3 廈門中軟海晟信息技術(shù)有限公司，廈門市思明區(qū)軟件園二期觀日路2號 361008

歷經(jīng)“十二五”時期和“十三五”初期的發(fā)展，福建煙草商業(yè)企業(yè)已構(gòu)建起福建煙草統(tǒng)一的應(yīng)用展示門戶、數(shù)據(jù)中心和覆蓋經(jīng)營管理各領(lǐng)域的信息系統(tǒng)，近40 套信息系統(tǒng)在福建煙草商業(yè)企業(yè)綜合辦公平臺實現(xiàn)單點登錄。隨著信息系統(tǒng)的不斷增多，對賬號、權(quán)限進行規(guī)范管理的要求日益迫切，合理設(shè)計的權(quán)限管理系統(tǒng)才能既保障信息系統(tǒng)的正常使用又保障信息系統(tǒng)的安全使用?！稛煵菪袠I(yè)信息化發(fā)展規(guī)劃（2014—2020 年）》及《福建煙草商業(yè)系統(tǒng)“十三五”信息化發(fā)展規(guī)劃》明確指出要實現(xiàn)信息系統(tǒng)權(quán)限分配安全審核的流程化、痕跡化，強化信息系統(tǒng)使用權(quán)限控制。標(biāo)準化崗位授權(quán)旨在通過信息系統(tǒng)授權(quán)的標(biāo)準化、流程化、自動化實現(xiàn)信息系統(tǒng)授權(quán)的規(guī)范化。

每個信息系統(tǒng)都擁有很多功能，每個通過賬號、密碼登錄系統(tǒng)的人員都可以使用系統(tǒng)的一部分功能。信息系統(tǒng)的權(quán)限是指控制用戶在信息系統(tǒng)中可使用的功能或可訪問的模塊的權(quán)力限制。信息系統(tǒng)授權(quán)或信息系統(tǒng)權(quán)限變更是指增加或減少人員通過系統(tǒng)賬號登錄信息系統(tǒng)后可使用的系統(tǒng)功能，使之與人員所在部門及所在崗位的職責(zé)、權(quán)利相匹配。若人員可使用的信息系統(tǒng)功能超出其崗位職權(quán)范圍，則其在信息系統(tǒng)所進行的越權(quán)操作或非法操作將對人員所在的機構(gòu)帶來風(fēng)險甚至造成損失，這就是強調(diào)信息系統(tǒng)授權(quán)管理的必要性所在。

目前常用的權(quán)限管理模型是基于角色的RBAC（Role-Based Access Control）模型，即權(quán)限授予角色、角色授予帳號的權(quán)限分配模式。Sandhu 等人提出的RBAC96 模型是業(yè)界廣泛認可的、經(jīng)典的RBAC 模型。美國國家標(biāo)準技術(shù)協(xié)會（NIST）于2000 年制定出RBAC 標(biāo)準化模型RBAC2000[1]。之后，業(yè)界以此為原型衍生出了各種RBAC 的擴展模型。劉建圻等[2]根據(jù)信息系統(tǒng)中對相同角色分配不同權(quán)限及臨時對用戶授予權(quán)限的需求，將對用戶授予角色而使用戶獲得權(quán)限及對用戶直接授予權(quán)限相結(jié)合，同時允許用戶在自己的可授權(quán)范圍內(nèi)選擇部分權(quán)限授予其他用戶并且可以設(shè)置時效，也可以隨時收回自己的授權(quán)，從而形成了對基本RBAC 權(quán)限管理模型的改進方案。孫軍紅等[3]針對分布式系統(tǒng)域間互訪及信任管理的安全需求，提出一種分布式環(huán)境基于角色的RBAC（Distributed Role-Based Access Control，DRBAC）模型，為角色增加屬性，用以標(biāo)識角色所賦予的用戶屬于本域還是外域，進而對本域和外域用戶的訪問權(quán)限加以區(qū)分。徐宏等[4]為適應(yīng)工作流系統(tǒng)靈活多變的業(yè)務(wù)流程，提出面向工作流的RBAC 模型，所有系統(tǒng)資源的訪問權(quán)限都通過工作流分配給角色，用戶通過在工作流中擔(dān)任的角色獲取相應(yīng)資源的訪問權(quán)限。胡領(lǐng)等[5]為適應(yīng)電子政務(wù)系統(tǒng)中不同機構(gòu)相同角色的用戶不可互相訪問對方信息的安全需求，通過角色、崗位、機構(gòu)等對系統(tǒng)資源進行分組歸納，再抽象出用戶和系統(tǒng)資源的關(guān)系視圖，提出了對RBAC基本模型的改進方案。林友諒等[6]在SAP ERP 系統(tǒng)中采用了面向?qū)ο蟮臋?quán)限管理概念，角色以由一組權(quán)限對象組合成的權(quán)限參數(shù)文件的形式被授予用戶。蔡婷等[7]針對分布式系統(tǒng)強化角色間層級管理，在傳統(tǒng)模型的角色集和權(quán)限集之間引入由普通角色劃分生成的最小角色集，建立了MR-RBAC（Mini-Roles RBAC）模型。蔡婷等[8]又針對多域協(xié)作的云計算系統(tǒng)主要需保證域間互操作策略合成安全的特點，提出ERBAC（Enhanced Role-Based Access Control）模型，引入結(jié)合上下文信息的基數(shù)約束，將簡單的資源使用約束功能應(yīng)用到RBAC 中。上述各種擴展的RBAC模型雖然都根據(jù)各自信息系統(tǒng)安全需求的特點對基本RBAC 權(quán)限管理模型進行了不同程度的調(diào)整，但都堅持了RBAC 模型的核心思想，即:通過在用戶賬號和系統(tǒng)權(quán)限之間引入角色解耦用戶賬號和權(quán)限的關(guān)聯(lián)。將系統(tǒng)功能模塊的訪問權(quán)限附加到角色上，并為用戶賬號分配需要的角色，角色和權(quán)限之間、用戶賬號和角色之間都是多對多的關(guān)系。權(quán)限不直接賦予用戶賬號而是賦予角色，通過控制角色權(quán)限來間接控制用戶對系統(tǒng)功能模塊的訪問，如圖1 所示。

圖1 RBAC 授權(quán)模型Fig. 1 RBAC authorization model

福建煙草商業(yè)企業(yè)的信息系統(tǒng)授權(quán)采用的是RBAC 權(quán)限管理的基本模式。相較于對帳號直接授權(quán)，RBAC 雖然通過批量操作減輕了一些工作量，但角色的設(shè)置過于隨意，甚至?xí)驗闄?quán)限管理員的改任而不斷產(chǎn)生新的角色，導(dǎo)致角色的重復(fù)和閑置。本文提出的標(biāo)準化崗位，授權(quán)克服了上述弊端，面向崗位進行授權(quán)，即先將權(quán)限授予崗位，再將崗位擁有的權(quán)限授予帳號。其中，崗位的源頭為人力資源管理系統(tǒng)提供的標(biāo)準化的崗位信息，不允許隨意設(shè)置，所以確切地說是面向標(biāo)準化后的崗位進行授權(quán)，這是標(biāo)準化崗位授權(quán)體系區(qū)別于傳統(tǒng)的RBAC 授權(quán)模式的本質(zhì)所在。相較于一般意義上的RBAC，面向崗位的授權(quán)以標(biāo)準化崗位替代角色，既保留了一般RBAC 可一次定義、批量授權(quán)的特點，又避免了隨意設(shè)置角色導(dǎo)致角色重復(fù)和閑置的缺陷，使標(biāo)準化的崗位信息作為數(shù)據(jù)中心主數(shù)據(jù)的一部分在下游信息系統(tǒng)發(fā)揮了應(yīng)有的作用；更重要的，面向崗位的授權(quán)實現(xiàn)了人員到崗自動授權(quán)、人員離崗權(quán)限自動回收，有效地解決了目前普遍存在的大量離職、離崗人員賬號權(quán)限未及時回收帶來的安全隱患。

1 標(biāo)準化崗位授權(quán)的實現(xiàn)

1.1 授權(quán)信息標(biāo)準化

統(tǒng)一的信息標(biāo)準是實現(xiàn)授權(quán)標(biāo)準化的先決條件。通過對崗位信息、信息系統(tǒng)授權(quán)信息的整理清洗，并作為標(biāo)準嚴格遵守和執(zhí)行，是實現(xiàn)面向崗位授權(quán)的基礎(chǔ)。

1.1.1 崗位信息標(biāo)準化

清洗數(shù)據(jù)中心主數(shù)據(jù)中的崗位池，去除不規(guī)范的崗位名稱，以人力資源管理系統(tǒng)提供的標(biāo)準化的崗位信息作為各信息系統(tǒng)角色設(shè)置和權(quán)限分配的依據(jù)。

《福建煙草商業(yè)系統(tǒng)“十三五”信息化發(fā)展規(guī)劃》要求：企業(yè)已建成的主數(shù)據(jù)，各信息系統(tǒng)建設(shè)應(yīng)強制使用。崗位信息作為主數(shù)據(jù)的一部分，早已進入數(shù)據(jù)中心形成崗位池。標(biāo)準化崗位授權(quán)的實施進一步對崗位信息進行了清洗，力圖杜絕人事管理部門文件規(guī)定之外的崗位名稱的出現(xiàn)。不同信息系統(tǒng)面向同一套標(biāo)準化的崗位信息進行授權(quán)，避免以往信息系統(tǒng)角色標(biāo)準不統(tǒng)一、隨意設(shè)置、重復(fù)冗余造成的信息系統(tǒng)授權(quán)時的歧義問題，使數(shù)據(jù)中心的崗位主數(shù)據(jù)在下游信息系統(tǒng)發(fā)揮了應(yīng)有的作用。

1.1.2 權(quán)限信息標(biāo)準化

目前信息系統(tǒng)存在許多菜單路徑不同、功能（URL）相同，甚至菜單路徑相同、名稱不同但功能（URL）相同的模塊，針對這一現(xiàn)狀，保留啟用時間最新的URL，清除重復(fù)模塊；并通過信息系統(tǒng)評價，剔除系統(tǒng)中的無用模塊對系統(tǒng)進行“瘦身”。

1.1.3 崗位權(quán)限對應(yīng)關(guān)系標(biāo)準化

由人員崗位對應(yīng)關(guān)系、帳號權(quán)限對應(yīng)關(guān)系推導(dǎo)出崗位權(quán)限對應(yīng)關(guān)系，完成崗位權(quán)限集初始化；進而針對現(xiàn)有各業(yè)務(wù)應(yīng)用系統(tǒng)的崗位權(quán)限集，取同一崗位不同帳號權(quán)限的交集，使初始化的崗位權(quán)限符合信息系統(tǒng)最小化授權(quán)原則。

1.2 授權(quán)審批流程化

圖2 信息系統(tǒng)權(quán)限變更流程Fig. 2 Permission change process of information system

建立信息系統(tǒng)授權(quán)審批流程。在綜合辦公管理平臺統(tǒng)一門戶界面中提供人員崗位變動的申請入口、權(quán)限管理入口，實現(xiàn)與主數(shù)據(jù)管理系統(tǒng)、權(quán)限管理中心的集成。在綜合辦公管理平臺，崗位變更可觸發(fā)授權(quán)變更，人員的崗位信息變更由人勞部門審批；系統(tǒng)的使用部門可向系統(tǒng)的主管部門申請系統(tǒng)權(quán)限，得到系統(tǒng)的主管部門準許后方可獲得系統(tǒng)模塊的支配權(quán)和使用權(quán)。權(quán)限管理中心的申請流程均可在綜合辦公管理平臺的統(tǒng)一門戶界面體現(xiàn)為待辦并留痕。人事部門、信息系統(tǒng)主管部門和信息系統(tǒng)使用部門能夠在統(tǒng)一門戶上實現(xiàn)一站式的崗位變更和授權(quán)變更流程。

流程化是標(biāo)準化崗位授權(quán)體系的保障，保障了崗位信息及崗位權(quán)限對應(yīng)關(guān)系等授權(quán)信息標(biāo)準化的可持續(xù)性。在標(biāo)準化崗位授權(quán)體系的日常運行過程中，人員的崗位信息變更和崗位權(quán)限對應(yīng)關(guān)系變更分別由人勞部門和系統(tǒng)的主管部門審批把關(guān)，以有效避免標(biāo)準化崗位授權(quán)體系在系統(tǒng)初始化后崗位設(shè)立和崗位授權(quán)的隨意性。

1.3 崗位授權(quán)自動化

通過主數(shù)據(jù)管理系統(tǒng)和上下游系統(tǒng)接口的打通，主數(shù)據(jù)管理系統(tǒng)及時接收上游人力資源系統(tǒng)提供的組織機構(gòu)、人員崗位等主數(shù)據(jù)變動信息，并作為標(biāo)準數(shù)據(jù)及時推送給權(quán)限管理系統(tǒng)。當(dāng)權(quán)限管理系統(tǒng)獲取人員的崗位信息變動后，隨即在崗位權(quán)限對應(yīng)表中自動匹配相應(yīng)的系統(tǒng)權(quán)限，在權(quán)限管理中心納管的下游各信息系統(tǒng)，自動將人員對應(yīng)崗位的權(quán)限賦予人員在信息系統(tǒng)中的帳號，實現(xiàn)人員到崗系統(tǒng)自動授權(quán)、離崗權(quán)限及時回收，及時滿足了人員崗位調(diào)整后對信息系統(tǒng)的使用需求，同時也符合了煙草行業(yè)信息系統(tǒng)賬號安全的規(guī)范性要求。

標(biāo)準化是崗位授權(quán)自動化的基礎(chǔ)。標(biāo)準化崗位授權(quán)體系是在分別對崗位和系統(tǒng)權(quán)限進行標(biāo)準化、進而梳理出崗位和系統(tǒng)權(quán)限的對應(yīng)關(guān)系的基礎(chǔ)上，才有條件實現(xiàn)人員到崗時自動將崗位對應(yīng)的權(quán)限賦予人員的賬號，人員離崗時自動將人員賬號所擁有的權(quán)限及時回收。

1.4 授權(quán)管理規(guī)范化

引入“部門可支配模塊”及“崗位可支配模塊”的概念，當(dāng)系統(tǒng)的使用部門授予所轄部門的模塊超出所轄部門可支配模塊范圍時，需向系統(tǒng)的主管部門發(fā)起申請，由系統(tǒng)的主管部門審批后才能獲得相應(yīng)的系統(tǒng)權(quán)限。此外，基于崗位的授權(quán)自動化實現(xiàn)了人員離崗時系統(tǒng)權(quán)限的及時回收，從而使信息系統(tǒng)的權(quán)限管理達到了煙草行業(yè)信息系統(tǒng)權(quán)限安全的規(guī)范性要求。

如上所述，信息系統(tǒng)授權(quán)相關(guān)信息的標(biāo)準化是崗位授權(quán)自動化的基礎(chǔ)，而授權(quán)審批流程化和崗位授權(quán)自動化又是授權(quán)管理規(guī)范化的基礎(chǔ)。由此可見，標(biāo)準化崗位授權(quán)體系環(huán)環(huán)相扣、彼此支撐。

圖3 標(biāo)準化崗位授權(quán)體系Fig. 3 Standardized post authorization system

2 權(quán)限管理中心的構(gòu)建

權(quán)限管理中心接收到數(shù)據(jù)中心主數(shù)據(jù)管理系統(tǒng)從人力資源管理系統(tǒng)傳來的人員崗位信息，對所納管的信息系統(tǒng)在人員賬號權(quán)限按崗位變更自動調(diào)整的前提下，充分考慮操作的靈活性，通過“系統(tǒng)的主管設(shè)置”“主管部門授權(quán)”“使用部門授權(quán)”等前臺功能模塊，適應(yīng)一人多崗和一崗多人、不同分工等權(quán)限分配調(diào)整的多種情形，最大限度地滿足授權(quán)管理的個性化需求。

2.1 系統(tǒng)的主管設(shè)置

各部門的負責(zé)人或權(quán)限管理員可設(shè)置本部門主管的信息系統(tǒng)，如果設(shè)置有誤，可由部門間線下協(xié)調(diào)，一方取消后由正確的部門合理設(shè)置系統(tǒng)的主管部門。

2.2 部門的歸屬設(shè)置

各部門的負責(zé)人或權(quán)限管理員可設(shè)置本部門所轄的部門，可同時將本部門和其它部門納入本部門系統(tǒng)權(quán)限分配的管轄范圍，在各部門對系統(tǒng)權(quán)限的可支配范圍內(nèi)設(shè)置一人多崗或一崗多人時區(qū)分細化相同崗位不同帳號間的權(quán)限差異。

2.3 主管部門授權(quán)

系統(tǒng)的主管部門可將其主管的信息系統(tǒng)中的模塊分配給系統(tǒng)的使用部門，使之成為使用部門的可支配模塊；系統(tǒng)的使用部門須向系統(tǒng)的主管部門申請、經(jīng)主管部門審批后方可得到系統(tǒng)模塊的使用權(quán)和支配權(quán)。

2.4 使用部門授權(quán)

系統(tǒng)的使用部門在系統(tǒng)按崗位對帳號自動賦予權(quán)限的基礎(chǔ)上，在所轄部門可支配的系統(tǒng)權(quán)限范圍內(nèi)，可通過“帳號授權(quán)管理”及“崗位授權(quán)管理”等前臺操作，靈活、便捷地對所轄帳號及所轄崗位的權(quán)限進行個性化調(diào)整。系統(tǒng)的使用部門既受制于系統(tǒng)的主管部門，又作為自治機構(gòu)擁有部分的權(quán)限分配的自主權(quán)。

3 標(biāo)準化崗位授權(quán)體系的應(yīng)用成效

標(biāo)準化崗位授權(quán)體系目前已在福建煙草商業(yè)企業(yè)的移動辦公平臺及數(shù)據(jù)中心報表等系統(tǒng)的授權(quán)管理中得到應(yīng)用，其設(shè)計思路和實現(xiàn)方法已得到初步驗證[9]。

在標(biāo)準化崗位授權(quán)體系實行之前，福建煙草商業(yè)企業(yè)信息系統(tǒng)的授權(quán)是傳統(tǒng)的RBAC 授權(quán)模式，其過程充滿了隨意性。系統(tǒng)角色的設(shè)置缺乏依據(jù)，大量角色重復(fù)、閑置, 系統(tǒng)的角色設(shè)置異常復(fù)雜。系統(tǒng)使用的權(quán)限需求被隨意滿足，人員賬號的權(quán)限只增不減，人員每調(diào)整一次崗位，其系統(tǒng)賬號就增加一些系統(tǒng)的使用權(quán)限；人員已離崗甚至離職，其系統(tǒng)賬號仍可隨意登錄、使用系統(tǒng)，甚至可以對系統(tǒng)數(shù)據(jù)進行增刪改操作，給信息系統(tǒng)的正常使用帶來了潛在的威脅，與煙草行業(yè)信息系統(tǒng)賬號安全的規(guī)范性要求差距較大。

通過權(quán)限管理中心的部署構(gòu)建標(biāo)準化崗位授權(quán)體系，解決了福建煙草商業(yè)企業(yè)信息系統(tǒng)授權(quán)過程中存在的下列幾方面問題：

3.1 信息系統(tǒng)授權(quán)的統(tǒng)一性

標(biāo)準化崗位授權(quán)體系的實行首先摒棄了以往信息系統(tǒng)授權(quán)體系中紛亂龐雜的系統(tǒng)角色，以標(biāo)準化的崗位信息替代傳統(tǒng)RBAC 授權(quán)模式中的角色，以人事部門的標(biāo)準化文件規(guī)范主數(shù)據(jù)崗位池中的崗位名稱，并下發(fā)推送給權(quán)限管理中心納管的各信息系統(tǒng)。不同信息系統(tǒng)面向同一套標(biāo)準化的崗位信息進行授權(quán)，實現(xiàn)跨業(yè)務(wù)、跨系統(tǒng)的崗位數(shù)據(jù)對接，解決不同信息系統(tǒng)角色設(shè)置的不一致問題，使各信息系統(tǒng)授權(quán)由權(quán)限管理中心統(tǒng)一納管成為可能。

3.2 信息系統(tǒng)授權(quán)的及時性

標(biāo)準化崗位授權(quán)體系在崗位信息標(biāo)準化的基礎(chǔ)上進一步構(gòu)建了崗位與權(quán)限對應(yīng)關(guān)系。當(dāng)權(quán)限管理中心獲取人員的崗位信息變動后，隨即在崗位權(quán)限對應(yīng)表中自動匹配相應(yīng)的系統(tǒng)權(quán)限，實現(xiàn)了人員到崗時其系統(tǒng)賬號的自動授權(quán)，改變了以往人員崗位變動后遲遲無法獲取新崗位所需系統(tǒng)權(quán)限的現(xiàn)象。同時，標(biāo)準化崗位授權(quán)體系在綜合辦公管理平臺的統(tǒng)一門戶界面實現(xiàn)了人事部門、信息系統(tǒng)主管部門和信息系統(tǒng)使用部門可共同介入的一站式的崗位變更及系統(tǒng)權(quán)限變更申請審批流程，崗位變更可觸發(fā)授權(quán)變更。信息系統(tǒng)的使用部門在統(tǒng)一門戶接收到相關(guān)待辦流程后，通過權(quán)限管理中心的“帳號授權(quán)管理”及“崗位授權(quán)管理”等前臺操作，可及時對其所轄部門人員賬號已自動獲取的系統(tǒng)權(quán)限進行個性化的靈活調(diào)整，使所轄部門的人員在崗位變動后獲取的系統(tǒng)權(quán)限更加貼近實際工作安排的具體分工，盡早使用信息系統(tǒng)開展工作。

3.3 信息系統(tǒng)授權(quán)的規(guī)范性

標(biāo)準化崗位授權(quán)體系通過系統(tǒng)固化了信息系統(tǒng)授權(quán)相關(guān)的審批流程，在權(quán)限管理系統(tǒng)中為每個信息系統(tǒng)設(shè)置了系統(tǒng)的主管部門，改變了以往系統(tǒng)的主管部門在系統(tǒng)上線之后基本不再問津系統(tǒng)的權(quán)限如何分配的狀況，使系統(tǒng)的主管部門參與到信息系統(tǒng)權(quán)限管理的全過程。系統(tǒng)的使用部門申請的系統(tǒng)使用權(quán)限須經(jīng)由系統(tǒng)的主管部門審批后，系統(tǒng)的使用部門方可對所申請模塊進行支配和使用。

3.4 信息系統(tǒng)授權(quán)的安全性

在標(biāo)準化崗位授權(quán)體系中，人員調(diào)整崗位后，其系統(tǒng)賬號在自動獲取新崗位的系統(tǒng)權(quán)限之前，其原有崗位所擁有的系統(tǒng)權(quán)限會從其賬號被自動剝離；而人員離職時，其賬號原有的系統(tǒng)權(quán)限將被清空。在權(quán)限管理中心，系統(tǒng)的主管部門可對所管系統(tǒng)的使用權(quán)限進行復(fù)核，回收不必要的權(quán)限；系統(tǒng)的使用部門則可對所屬人員賬號自動獲取的崗位權(quán)限進行“去權(quán)”操作，達到一崗多人、不同分工的效果。標(biāo)準化崗位授權(quán)體系改變了以往人員賬號擁有的系統(tǒng)權(quán)限與人員的崗位職責(zé)不相匹配的局面，使信息系統(tǒng)的最小授權(quán)原則得以延續(xù)，消除了過度授權(quán)帶來的安全隱患，保障了信息系統(tǒng)的安全使用。

4 結(jié)論

本文針對傳統(tǒng)的基于角色授權(quán)模式的局限性，以來源于人力資源管理系統(tǒng)、經(jīng)數(shù)據(jù)中心主數(shù)據(jù)管理系統(tǒng)標(biāo)準化的崗位替代一般意義上的角色，實現(xiàn)標(biāo)準化崗位授權(quán)。一方面通過面向標(biāo)準化崗位的授權(quán)方式實現(xiàn)了人員到崗、賬號自動授權(quán)及人員離崗、權(quán)限自動回收，有效降低了人員離崗后信息系統(tǒng)帳號仍可繼續(xù)使用帶來的安全風(fēng)險。另一方面，通過權(quán)限管理中心的構(gòu)建，實現(xiàn)了信息系統(tǒng)授權(quán)的流程化及痕跡化，與此同時，通過權(quán)限管理中心靈活的前臺操作實現(xiàn)了信息系統(tǒng)授權(quán)的個性化便捷管理。標(biāo)準化崗位授權(quán)使信息系統(tǒng)權(quán)限的規(guī)范化管理成為可能，為福建煙草商業(yè)企業(yè)信息系統(tǒng)一體化平臺的建設(shè)提供基礎(chǔ)和保障。