随着国民经济的不断发展,国家和企业将比历史上任何时候都更加重视管理信息化建设。 “十一五”期间必将迎来企业管理信息化建设的新一轮高潮,并在应用中提出更高更进一步的要求,为企业带来更大效益。
无论企业进行多大规模的管理信息化建设,如何保证系统动态、便捷、完整、安全将是领导者和开发者首先需要考虑的问题。 同时,需要考虑系统的健壮性和可扩展性。 此类需求系统将企业部门、岗位、人员分开,按职能进行规划建设。
本文作者对管理信息系统的权限约束系统进行了系统的研究,并提出了完整的权限约束系统解决方案。 实现中,采用严格的“用户/角色/功能权限”三级权限限制控制策略,更好地解决实际的权限约束,并按照组件化思想对权限限制方案进行分层封装,保证系统成熟直接提供给后续系统。 使用并具有良好的便携性。
1 现状及需求
由于每个企业的管理内容和管理模式差异很大,企业实施的MIS系统一般都是由专业的软件开发单位根据企业的实际需求定制开发。 系统稳定运行后,软件开发单位提供有限服务或提供有偿服务。 给企业带来额外的费用系统角色权限管理设计,而且当企业想要独立解决各种问题时,又缺乏相关的专业技术人员(需要对业务知识、数据库技术、前端开发工具等有深刻的理解和掌握),尤其是中小型企业规模企业一般没有相关技术人员。 的条件. 各种因素给MIS系统的使用带来巨大的风险。
在各企业业务内容不变的前提下,如果发生外部合并、内部重组或人员职位变动,一旦发生,MIS系统可能需要能够动态、安全、有效、便捷地进行变更相关权限限制。 系统管理员应当按照企业根据部门、岗位、人员的实际需要,对业务职能和管理流程进行合理、有效的权限配置。
软件开发单位需要提供通用、易用、安全、动态、成熟的MIS系统权限限制方案和解决方案。 该方案可以让软件开发单位在接下来的项目中直接使用,同时也有利于MIS系统实施单位。
2 系统研究
现有的许多MIS系统在系统权限约束方面还不能体现出良好的通用性、易用性、安全性、动态性和稳定性。 很多系统在交付前就捆绑了权限,甚至根本不限制权限。 目前国内大型MIS系统开发商提供的权限控制机制均采用“用户/权限”两级权限限制控制机制创作人,其中包括自主访问控制。 自由访问控制(DAC)和强制访问控制(MAC),这种机制在权限约束的灵活性和安全性上存在严重缺陷; 现在先进的MIS系统开发商都采用基于角色的权限约束控制(Role-Based Access Control,RBAC)“用户/角色/权限”三级权限限制控制机制。
无论是二级权限限制机制还是三级权限限制机制,结合服务器的数据库来开发和使用每个用户的权限限制方案是最安全的。 MIS系统运行过程中,数据库和客户端系统中的权限约束控制方案需要按照相同的协议规定进行操作。 如果MIS系统的权限约束控制机制不开发为前端软件,全部工作都交给系统管理员进行日常维护,势必会对系统管理员提出很高的要求。 使用策略进行权限控制需要用户具备数据库等相关专业知识系统角色权限管理设计,因为合理分配数据对象的操作权限并不容易,尤其是当系统内部关系比较复杂时。 向下。 一旦不仔细考虑逻辑关系,直接操作数据库底层可能会造成重大安全风险,甚至导致系统瘫痪; 另一方面,如果直接控制数据库,则会泄露数据库超级密码等需要严格控制的信息。 如果密码泄露,整个系统中的所有信息将毫无秘密可言,可能会给企业带来巨大的损失。
尽管现有的一些MIS系统采用了“用户/角色/权限”的三级权限限制机制,但仍然局限于某些特定的功能。 综合考虑,建立一套完整、系统、可视化、友好的前端软件权限限制控制机制是MIS系统开发人员迫切需要解决的问题。
本文作者对MIS系统的权限约束子系统进行了研究,提出了基于“用户/角色/权限”三级权限约束系统框架的完整解决方案。 在系统规划和实施过程中,尤其需要解决角色的定义和基于角色的权限管理的授权。 只有解决了这两个问题,才能有效控制用户使用MIS系统的功能。 系统需要达到的最终目标是动态控制系统在适当的时间、适当的场合、以适当的方式将适当的信息传递到适当的地点和适当的人,做到不遗漏或冗余信息。 。
一方面,权限限制子系统是MIS系统的一个子系统。 另一方面,权限限制子系统分解为用户及密码管理子系统、用户隶属关系管理子系统、功能模块访问限制管理子系统、功能模块操作权限子系统。 包括约束管理子系统和功能模块字段访问约束控制管理子系统五个方面。 通过建立MIS系统权限约束控制框架,可以更好地解决MIS系统的动态功能约束能力。 该系统的不断完善是MIS系统发展的必然要求。 在实现上,根据系统固有的模块和功能,动态创建角色和用户后,系统管理员根据需要进行授权,如图1所示。
图1 授权/回收示意图
用户和密码管理子系统。 控制系统登录用户名、密码、密码找回等信息,防止非法用户越权使用系统。
用户隶属关系管理子系统。 根据单位管理分层的要求,系统管理员可以根据隶属关系将人员按照岗位、部门等进行抽象分组,使得各自的逻辑上级可以在下属的控制下使用逻辑下级员工的部分功能。系统管理员。 例如,为了便于工作开展,管理员可以控制上级及时了解和查询某个员工的工作状态,并屏蔽其他不相关的员工信息。 这保证了公司信息相关内容的保密性3D场景,特别是对于特定的军工企业。
功能模块访问限制管理子系统。 一般来说,MIS系统管理的功能和范围都比较大。 如果将权限约束控制到各个功能模块的各个字段,并结合控制功能模块的权限操控功能,理论上是可以的。 然而,基于广义笛卡尔积展开的系统交付对于系统管理员来说,系统管理员将几乎无法胜任他的工作。 为了使系统结构清晰,减轻工作强度,将系统约束功能逐层分解为访问授权管理、功能模块现场访问控制管理等,只有系统管理员将功能模块访问权限分配给某个人员后,特定用户(角色)可以将功能模块的权限限制功能和功能模块字段分配权限分配给特定用户。
功能模块控制权限约束管理子系统。 控制用户在获得特定功能访问权限的基础上控制功能模块的能力,包括信息维护能力(添加、修改和删除等)、查询、统计、分析、报表和导出能力(使用OLE技术控制Office的word、Excel等)和限制能力(例如只能操作特定时间范围内的信息,而限制其他信息)。 系统管理员可以统一定义管理层、接入层等角色,并为角色分配具体的约束权限,然后结合用户模块授权,完成对模块的权限控制。
功能模块现场访问限制控制管理子系统。 当前面的所有工作完成后,系统管理员通过系统控制不同用户的字段访问能力,限制用户对特定字段的访问权限。
从另一个方面来说,权限约束系统方案可以用来控制用户登录系统时系统数据库读取的SQL语句。 例如select[distinct]A from B where C,通过控制A,可以限制用户对功能模块字段的访问。 控制用于管理。 通过控制B,可以约束用户管理功能模块的访问限制。 通过控制C,可以约束用户管理用户本身和用户隶属关系。 当然,实际开发过程中的情况比这复杂得多,需要仔细考虑。 系统管理员登录系统后,根据系统预设的工作模式进行功能授权和回收,实现权限受限的功能,如图2所示。
图2 系统处理逻辑图
3 实施与应用
表1是系统功能模块中显示字段权限控制的数据库设计方案。 软件系统实现后,系统管理员可以控制不同的用户显示不同的字段名称,用户可以自定义显示位置和显示字段的宽度,具有良好的可操作性。 这里需要注意的是,如果用户有添加信息的权限,系统管理员在授权时需要对系统要求的非空字段进行授权,否则会出现异常。
表1 字段权限控制
图3所示为功能模块授权管理子系统的用户(角色)-功能模块访问授权及回收管理界面。 可根据用户需求配置用户及密码管理子系统、用户隶属关系管理子系统、功能模块访问限制管理子系统、功能模块操作权限限制管理子系统、功能模块字段访问限制控制管理子系统等权限限制功能。 使用不同的组合。 如果用户只需要使用其中的一部分,其他功能会通过参数设置内部自动分配。 在开发过程中,需要考虑各种异常情况并进行初步的软件测试。 为了让操作不那么复杂,建议按照功能批量处理接口。
图3 实现效果图
作为MIS系统的重要组成部分,完善的权限限制控制子系统已在多家企业投入使用。 该系统可以严格控制MIS系统的权限限制,具有友好的操作界面,无需做任何改动即可轻松移植到各种项目中。 大大提高了软件开发效率,受到各方好评。
4 总结
在MIS系统中,对于管理权限约束系统的控制和管理一直没有很好的解决方案。 本文作者系统地研究了MIS系统的管理权限约束理论,并提出了实施方案。 通过在多个系统中的应用,作者取得了良好的使用效果。 系统管理员只需在前台登录系统,通过友好的可视化图形界面点击鼠标即可完成所有工作,大大降低了工作强度,降低了工作能力要求。 同时,这套权限约束管理系统可以方便地移植到多个项目中。 基于后端数据库协议,无需改动,具有良好的应用价值。
文章来源:https://articles.e-works.net.cn/managementoverview/Article74177.htm
