羅 俊

（安徽建工集團(tuán)有限公司，合肥 230001）

0 引言

多業(yè)態(tài)集團(tuán)型企業(yè)由不同的業(yè)務(wù)單元組成，其中絕大部分的業(yè)務(wù)單元作為獨(dú)立的實(shí)體存在，由相對(duì)獨(dú)立的子公司負(fù)責(zé)運(yùn)營(yíng)。各子公司獨(dú)立制定業(yè)務(wù)策略，子公司可能經(jīng)營(yíng)一項(xiàng)或者若干項(xiàng)具體的業(yè)務(wù)。各公司的行業(yè)特征明顯、下級(jí)公司數(shù)量眾多且跨行業(yè)分布，沒有統(tǒng)一的管控模式。

多業(yè)態(tài)集團(tuán)型企業(yè)的權(quán)限管理體系要考慮到整個(gè)集團(tuán)內(nèi)部不同行業(yè)、不同業(yè)務(wù)單元的具體情況以及公司的規(guī)章制度，包括權(quán)限分配、權(quán)限下放、權(quán)限范圍、資源實(shí)體、系統(tǒng)管理等。在權(quán)限管理體系規(guī)劃之前，應(yīng)該展開充分的調(diào)研和論證，涉及基礎(chǔ)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、組織單元、功能模塊等。多業(yè)態(tài)集團(tuán)的組織及職能如表1 所示。

表1 多業(yè)態(tài)集團(tuán)的組織及職能

另外，對(duì)于多業(yè)態(tài)集團(tuán)型企業(yè)而言，分權(quán)管理尤為重要，通過分權(quán)管理，可以實(shí)現(xiàn)下屬公司或組織機(jī)構(gòu)的管理人員來管理自己的系統(tǒng)數(shù)據(jù)。大體而言，分權(quán)管理應(yīng)該包括如下功能：系統(tǒng)組織結(jié)構(gòu)、人員、角色的創(chuàng)建與權(quán)限等系統(tǒng)層面的權(quán)限分權(quán)，流程維護(hù)的權(quán)限分權(quán)，知識(shí)文檔維護(hù)的權(quán)限分權(quán)，項(xiàng)目管理的權(quán)限分權(quán)，資產(chǎn)管理的權(quán)限分權(quán)等。但是整個(gè)分權(quán)管理應(yīng)該是一個(gè)很復(fù)雜的功能，權(quán)限的分發(fā)和回收必須要做到精準(zhǔn)和安全。

1 現(xiàn)狀描述

隨著信息化發(fā)展水平的不斷提高，企業(yè)信息系統(tǒng)的門類和數(shù)量也在不斷增加，系統(tǒng)的用戶數(shù)量也在逐漸增加，如何精準(zhǔn)地控制信息系統(tǒng)的用戶權(quán)限，有效保障系統(tǒng)及數(shù)據(jù)的安全，滿足企業(yè)實(shí)際的管理和權(quán)限要求，降低企業(yè)管理風(fēng)險(xiǎn)，是大型信息系統(tǒng)必須要考慮的問題。信息系統(tǒng)的權(quán)限管理體系分為系統(tǒng)級(jí)和應(yīng)用級(jí)，系統(tǒng)級(jí)別的權(quán)限控制不在本文討論的范圍之內(nèi)，應(yīng)用級(jí)別的權(quán)限管理是信息系統(tǒng)的核心所在。由于各企業(yè)管理內(nèi)容及管理模式存在千差萬別，作為一套成熟的信息系統(tǒng)的核心組成，其權(quán)限管理體系必須結(jié)合企業(yè)實(shí)際管理情況，只有這樣，才能適應(yīng)各種企業(yè)的內(nèi)控管理需求，從而有效地為企業(yè)的管理服務(wù)。

結(jié)合目前市場(chǎng)上某些行業(yè)典型的信息系統(tǒng)的權(quán)限管理體系，從幾個(gè)方面來闡述多業(yè)態(tài)集團(tuán)性企業(yè)的權(quán)限管理需求，從而更加直觀地反映企業(yè)實(shí)際的管理需求，研究這類在組織結(jié)構(gòu)、業(yè)態(tài)分布、管理形式等方面都相對(duì)復(fù)雜的企業(yè)權(quán)限體系，對(duì)于其他直線型、集權(quán)型、單業(yè)態(tài)企業(yè)也具有普遍的適用性。多業(yè)態(tài)集團(tuán)企業(yè)權(quán)限管理需求與行業(yè)信息系統(tǒng)對(duì)照表如表2 所示。

表2 多業(yè)態(tài)集團(tuán)企業(yè)權(quán)限管理需求與行業(yè)信息系統(tǒng)對(duì)照表

通過分析，我們了解多業(yè)態(tài)集團(tuán)權(quán)限體系需求與國內(nèi)行業(yè)成熟的信息系統(tǒng)的權(quán)限體系實(shí)現(xiàn)之間存在如下三個(gè)方面的問題。

（1）權(quán)限管理體系要求數(shù)據(jù)隔離，這一點(diǎn)信息系統(tǒng)基本都可以實(shí)現(xiàn)，只是在某些系統(tǒng)統(tǒng)一設(shè)置的參數(shù)，例如賬套、工資等參數(shù)設(shè)置時(shí)無法進(jìn)行個(gè)性化設(shè)置，此外某些行業(yè)信息系統(tǒng)在組織和用戶權(quán)限方面未做好對(duì)組的控制，這些對(duì)于多業(yè)態(tài)集團(tuán)型企業(yè)具有一定的局限性。

（2）權(quán)限管理體系細(xì)分為使用權(quán)和分配權(quán)，使用權(quán)是用戶具有的操作權(quán)限，分配權(quán)是用戶可以分配下放給其他用戶的權(quán)限，這樣可以實(shí)現(xiàn)權(quán)限的精細(xì)化管理。目前主流信息系統(tǒng)對(duì)于分配權(quán)的授予大多采用繼承方式，即默認(rèn)用戶的使用權(quán)集合，可以實(shí)現(xiàn)分配權(quán)定制的也僅是部分功能。

（3）權(quán)限管理體系需求分權(quán)管理，而目前成熟信息系統(tǒng)基本都只具備部分功能的分權(quán)管理，未真正實(shí)現(xiàn)分級(jí)管理。此外，權(quán)限管理體系應(yīng)該能夠適應(yīng)實(shí)際需求，為可能發(fā)生變動(dòng)的企業(yè)應(yīng)用環(huán)境提供合適的解決方案。

2 體系分析

多業(yè)態(tài)集團(tuán)型企業(yè)權(quán)限管理體系的核心內(nèi)容是管控模式，“以事定崗，以崗定人”。設(shè)置崗位既要著眼于企業(yè)現(xiàn)實(shí)，又要著眼于企業(yè)發(fā)展。按照企業(yè)各部門職責(zé)范圍劃定崗位，以角色區(qū)分崗位，同一崗位的員工由于職責(zé)不同，擁有的權(quán)限和扮演的角色亦不同。通過權(quán)限管理體系將需要統(tǒng)一管理的內(nèi)容管起來，將不需要管理的事情放下去。而且管理方式的收放可以依據(jù)組織需求進(jìn)行設(shè)定，具有一定的彈性。管理員隸屬于組織，獨(dú)立于用戶。各級(jí)組織的管理員賬戶與信息系統(tǒng)的管理員賬戶扮演的角色基本是一致的，區(qū)別在于：

（1）管理范圍的不同，信息系統(tǒng)管理員賬戶是整個(gè)系統(tǒng)的維護(hù)角色，而各級(jí)組織的管理員擔(dān)任相應(yīng)組織的維護(hù)角色。

（2）可分配權(quán)限范圍不同，信息系統(tǒng)管理員賬戶可以分配系統(tǒng)內(nèi)所有的功能權(quán)限，而各級(jí)組織的管理員只能分配信息系統(tǒng)允許分配的相應(yīng)權(quán)限集合。

通過前面分析，我們了解多業(yè)態(tài)集團(tuán)型企業(yè)的組織形式和不同單元信息管理的側(cè)重點(diǎn)。多業(yè)態(tài)集團(tuán)型企業(yè)對(duì)權(quán)限體系的需求總體可以歸納為以下三點(diǎn)：

（1） 支持在權(quán)限范圍內(nèi)靈活的組織結(jié)構(gòu)自主維護(hù)與定制，支持層級(jí)機(jī)構(gòu)和工作組機(jī)構(gòu)，滿足現(xiàn)代企業(yè)機(jī)構(gòu)復(fù)雜、靈活的矩陣式組織模型的要求，支持跨組織兼職、業(yè)務(wù)委托代理。

（2）支持多層級(jí)單位、多層級(jí)部門、多層級(jí)工作組的管理，支持相應(yīng)層級(jí)的業(yè)務(wù)管理員的創(chuàng)建及權(quán)限管理操作，下級(jí)單位在上級(jí)單位授權(quán)范圍內(nèi)對(duì)本級(jí)及下級(jí)單位進(jìn)行管理，各層級(jí)業(yè)務(wù)管理員可以查看與管理其權(quán)限范圍內(nèi)的業(yè)務(wù)數(shù)據(jù)和組織機(jī)構(gòu)。

（3） 各級(jí)業(yè)務(wù)管理員必須由集團(tuán)業(yè)務(wù)管理員創(chuàng)建和授權(quán)，各子公司業(yè)務(wù)管理員可以對(duì)其所在公司不同員工賦予不同的操作權(quán)限，以此類推，支持層級(jí)組織結(jié)構(gòu)。

多業(yè)態(tài)集團(tuán)型企業(yè)權(quán)限管理體系就其特點(diǎn)而言，要求集團(tuán)公司將具體的系統(tǒng)管理及相關(guān)權(quán)限賦予分公司和子公司，下級(jí)單位在上級(jí)單位授予的權(quán)限范圍內(nèi)，建立自己的系統(tǒng)及應(yīng)用，相互獨(dú)立運(yùn)作，彼此互不干擾。多業(yè)態(tài)集團(tuán)權(quán)限管理體系的實(shí)現(xiàn)過程如圖1 所示。

圖1 多業(yè)態(tài)集團(tuán)型企業(yè)權(quán)限管理體系

企業(yè)內(nèi)部進(jìn)行崗位劃分，依據(jù)崗位職責(zé)劃分管理類崗位與業(yè)務(wù)類崗位，同樣是總經(jīng)理崗位，可細(xì)分為分管財(cái)務(wù)或者分管營(yíng)運(yùn)的不同角色，以角色區(qū)分崗位。一種崗位可能包含多個(gè)角色，但是一個(gè)角色只能屬于一種崗位，用戶關(guān)聯(lián)角色獲取角色對(duì)應(yīng)的權(quán)限，一個(gè)用戶可以關(guān)聯(lián)多個(gè)角色，在用戶登錄系統(tǒng)后進(jìn)行權(quán)限校驗(yàn)，權(quán)限集合應(yīng)為該用戶關(guān)聯(lián)角色的權(quán)限合集。而目前市場(chǎng)主流信息系統(tǒng)選擇的方式都是用戶登錄時(shí)選擇相應(yīng)的角色進(jìn)行操作，這樣對(duì)用戶訪問操作是不友好的。同樣一個(gè)角色也可能屬于多個(gè)用戶，現(xiàn)實(shí)的企業(yè)管理中一個(gè)崗位由兩個(gè)用戶來完成也是存在的，例如輪班制管理。用戶與角色都可以通過組進(jìn)行集中管理，此外，將權(quán)限集合通過資源池的方式整合，可以方便對(duì)單個(gè)用戶或者角色進(jìn)行賦權(quán)，增加權(quán)限管理體系的靈活性。無論是崗位、角色組、用戶組、資源都隸屬于某個(gè)組織，在特定的組織范圍內(nèi)進(jìn)行權(quán)限管控。

3 體系元素

（1）在權(quán)限管理體系設(shè)計(jì)中，如下元素有著相對(duì)應(yīng)的含義：

①用戶（user）：信息系統(tǒng)的使用者，與角色關(guān)聯(lián)，隸屬于組織。

②角色（role）：區(qū)分某個(gè)崗位（jobs）具體職責(zé)的權(quán)限集合。

③組織（organization）：體現(xiàn)了用戶所屬單位及部門的行政關(guān)系。

④用戶組（user group）：具有相同職能的用戶的集合。

⑤角色組（role group）：具有相同職責(zé)的角色的集合。

⑥崗位（jobs）：具有功能權(quán)限的集合，直接與功能權(quán)限關(guān)聯(lián)，被分配相應(yīng)職責(zé)即意味著有權(quán)執(zhí)行這些功能。職責(zé)表中的字段“functions”記錄相關(guān)的功能id，id 之間用逗號(hào)隔開。

⑦功能（function）：系統(tǒng)的一個(gè)或者多個(gè)執(zhí)行的準(zhǔn)入，對(duì)應(yīng)系統(tǒng)的功能控制、數(shù)據(jù)訪問、組織范圍、分配下放等相關(guān)權(quán)限。

⑧資源（resource）：信息系統(tǒng)中所有權(quán)限控制點(diǎn)，包括功能權(quán)限、操作權(quán)限、組織權(quán)限等，可在此對(duì)用戶進(jìn)行個(gè)性化賦權(quán)。

（2）結(jié)合上面的元素分析可以在體系中定義以下幾類角色：

①系統(tǒng)管理員：信息系統(tǒng)的基礎(chǔ)數(shù)據(jù)、數(shù)據(jù)庫連接等的配置。

②集團(tuán)管理員：集團(tuán)數(shù)據(jù)的管理者，包括集團(tuán)組織機(jī)構(gòu)樹的創(chuàng)建，下級(jí)單位管理員的創(chuàng)建、權(quán)限的分配等。

③集團(tuán)基礎(chǔ)數(shù)據(jù)管理員：集團(tuán)層面需要統(tǒng)一設(shè)置的基礎(chǔ)數(shù)據(jù)的設(shè)置、維護(hù)和管理，例如賬套、會(huì)計(jì)期間等。

④公司管理員：二級(jí)單位的管理員，本身也可能是個(gè)集團(tuán)型組織，需要?jiǎng)?chuàng)建自身的組織結(jié)構(gòu)樹及權(quán)限的下放、分配等。

⑤公司基礎(chǔ)數(shù)據(jù)管理員：公司層面依據(jù)具體情況需要統(tǒng)一設(shè)置的基礎(chǔ)數(shù)據(jù)的設(shè)置、維護(hù)和管理，例如工資等。

⑥組織管理員：三級(jí)單位及以下組織的管理員，負(fù)責(zé)相應(yīng)組織的組織創(chuàng)建、人員創(chuàng)建、權(quán)限分配等。

⑦組織基礎(chǔ)管理員：組織層面依據(jù)具體情況需要統(tǒng)一設(shè)置的基礎(chǔ)數(shù)據(jù)的設(shè)置、維護(hù)和管理，例如工作時(shí)間等。

⑧業(yè)務(wù)管理員：負(fù)責(zé)具體業(yè)務(wù)的管理和運(yùn)營(yíng)等相關(guān)工作的人員。

通過分析可設(shè)計(jì)權(quán)限管理體系模型分級(jí)權(quán)限如表3 所示。

表3 權(quán)限管理體系模型分級(jí)權(quán)限表

4 體系設(shè)計(jì)

4.1 邏輯模型

權(quán)限管理體系使用ERStudio 8 進(jìn)行建模，邏輯模型設(shè)計(jì)后的總體視圖如圖2 所示，相關(guān)表及字段設(shè)計(jì)不盡完善，具體使用中可能會(huì)添加若干相關(guān)字段或輔助表。本圖僅為本文討論需要及功能實(shí)現(xiàn)。

圖2 邏輯模型設(shè)計(jì)的總體視圖

首先，功能表、操作表、分配表和單位表位于整個(gè)設(shè)計(jì)的最底層，它們與職責(zé)表通過關(guān)聯(lián)，進(jìn)行權(quán)限賦予、范圍限定，彼此之間是多對(duì)多的關(guān)系，同時(shí)職責(zé)依據(jù)權(quán)限類型不同劃分為管理類職責(zé)與業(yè)務(wù)類職責(zé)。其次，將職責(zé)表關(guān)聯(lián)到相應(yīng)角色表，角色同樣區(qū)分管理類型與業(yè)務(wù)類型。最后，才將角色關(guān)聯(lián)到用戶，角色與用戶均可以進(jìn)行分組管理，便于統(tǒng)一管理，而用戶最終具有角色包含職責(zé)所具有的權(quán)限集合和組織范圍，用戶可以在上級(jí)用戶設(shè)定的權(quán)限范圍內(nèi)完成當(dāng)前組織的所有工作，實(shí)現(xiàn)集團(tuán)公司組織的分級(jí)管理。除此之外，還可以通過資源表對(duì)用戶進(jìn)行直接的權(quán)限賦予，實(shí)現(xiàn)權(quán)限管理的個(gè)性化需求。

4.2 物理模型

接下來以O(shè)racle 11G 數(shù)據(jù)庫環(huán)境為例，將前面的邏輯模型轉(zhuǎn)換為物理模型。包括實(shí)體表與關(guān)系表以及表的主鍵與外鍵等。物理模型的總體視圖示如圖3 所示。

圖3 物理模型設(shè)計(jì)的總體視圖

5 總結(jié)

通過權(quán)限管理體系的控制，一個(gè)用戶可以擁有多種角色，但同一時(shí)刻用戶只能用一種角色進(jìn)入系統(tǒng)，在用戶登錄系統(tǒng)后，會(huì)進(jìn)行相關(guān)權(quán)限驗(yàn)證，將用戶具有的功能權(quán)限菜單予以顯示，在進(jìn)行相關(guān)數(shù)據(jù)操作時(shí)會(huì)自動(dòng)根據(jù)用戶所具有的組織權(quán)限進(jìn)行數(shù)據(jù)篩選。另外還可以單獨(dú)對(duì)用戶進(jìn)行賦權(quán)操作，直接在資源池中進(jìn)行賦權(quán)管理，可個(gè)性化地進(jìn)行權(quán)限分配。以上討論的實(shí)體均關(guān)聯(lián)相應(yīng)的組織，即不同組織間允許相同名稱的職責(zé)、角色和用戶的存在，功能集合的定義由不同組織的管理員自行設(shè)置，這樣就可以在同一體系下根據(jù)不同組織的需要?jiǎng)?chuàng)建符合自身情況的權(quán)限架構(gòu)方案。

由于多業(yè)態(tài)集團(tuán)型企業(yè)的業(yè)務(wù)需求，所屬公司從事的行業(yè)及崗位設(shè)置、職責(zé)以及權(quán)限管理可能均有不同，所以需要在整個(gè)權(quán)限管理體系中設(shè)定基礎(chǔ)數(shù)據(jù)管理員的角色，這個(gè)角色可以對(duì)集團(tuán)要求統(tǒng)一的參數(shù)進(jìn)行設(shè)置與修改。而公司層面可以設(shè)定公司管理員的角色，這個(gè)角色可以完成在相應(yīng)公司范圍內(nèi)的所有相關(guān)操作，包括創(chuàng)建基礎(chǔ)數(shù)據(jù)及角色與權(quán)限的管理。這樣就可以實(shí)現(xiàn)各組織內(nèi)的個(gè)性化定制功能，而且組織之間數(shù)據(jù)相互隔離。

通過對(duì)需求的調(diào)研及分析，結(jié)合目前成熟信息系統(tǒng)的權(quán)限體系，多業(yè)態(tài)集團(tuán)型企業(yè)權(quán)限管理體系，采取以下三種方法解決問題：

（1）設(shè)計(jì)使用權(quán)與分配權(quán)分離的方式有效解決目前行業(yè)信息系統(tǒng)可能出現(xiàn)的權(quán)責(zé)不清的問題。

（2）設(shè)計(jì)嚴(yán)格的組織范圍權(quán)限控制有效地保障公司內(nèi)部各單位與各組織之間的信息安全，實(shí)現(xiàn)數(shù)據(jù)隔離，有效控制用戶和角色的權(quán)限范圍。

（3）設(shè)計(jì)有效的分權(quán)管理體系，實(shí)現(xiàn)集團(tuán)公司組織的分級(jí)、分層管理，充分發(fā)揮下級(jí)單位自主管理的能動(dòng)性，分而治之。