区域空间资源综合管理系统在结构上分为两部分:一是数据维护部分,主要以空间地理数据录入、编辑、编辑为主; 二是业务管理部分,主要以空间信息查询和日常业务处理为主。 由于空间数据录入和编辑的复杂性UI界面,专业空间数据录入和编辑的数据维护部分大多采用C/S架构。 业务管理部分以空间信息查询和日常业务处理为主,主要供相关职能部门和领导方便地进行空间信息查询和日常业务处理。 这部分基本采用B/S架构,使用方便,不需要客户端安装专业应用软件,维护成本低。
由于区域空间资源综合管理系统在结构上包括C/S结构和B/S结构的多个子系统,并且必须针对每个系统对每个用户的查看范围、查看资源、维护权限等进行控制,因此具有以下特点:多系统、多角色、多部门,设计并实现了区域空间资源综合管理系统的权限控制模块,方便维护和使用,为系统提供安全保障。
l 区域空间资源综合管理系统总体安全设计原则
区域空间资源综合管理系统中管理对象的空间位置和属性对于不同的用户具有不同的权限:部分用户可以查看。 有些用户可以编辑,有些用户没有任何权限。 因此,在设计整体系统时,不仅要考虑系统本身的安全性和可靠性,还要加强对数据访问权限的严格控制,以保证系统的安全。
1.1 总体安全设计
系统主要从以下几个方面进行安全设计:
(一)身份认证。 应用软件本身的身份认证可以设置用户密码的强制复杂度; 密码加密存储,即使从数据库也无法获取用户密码; 集成第三方强身份认证。
(2)强制数据访问控制。 区域空间资源综合管理系统访问控制的特点是除了传统信息系统中按角色进行功能授权外,还必须基于不同用户、不同子系统、不同控制区域、不同类型图层、不同图层数据。 控制权限等访问控制授权,确保数据安全。
(3)审计职能。 用户登录信息及登录结果的审核; 对用户对应用系统功能模块的操作进行审计; 对用户在应用系统中输入和输出的信息进行审计; 数据库服务器启动和关闭信息、数据备份和加载信息的审计。
(四)严格实行三权分立制度。 内置三个管理用户(系统管理员、系统安全员、系统审核员),责权分离,进行系统应用和安全相关的管理和运行维护; 这三个管理用户中的每一个在系统中都只有一个。 他们之间的管理权是分开的,业务上不存在重叠。 其中,系统管理员的操作范围包括组织管理、用户管理和备份管理; 系统安全员的操作范围包括账户管理、角色管理和用户角色管理; 系统审计员的操作范围只是审计记录的查询。
1.2 多维度强制数据访问控制
区域空间资源综合管理系统访问控制原则:
(1)对于特定子系统,只有授权用户才能进入;
(2)只有授权用户才能访问特征区域的数据;
(3) 对于所有专业图形数据编辑操作,只有明确授权的用户才能执行;
(4) 对于特定功能,只有授权用户才能访问。
也就是说,系统必须实现按系统、按区域、按层次、按角色进行多维度的数据安全访问控制。
2 权限控制设计
2.1 权限控制分析
根据区域空间资源综合管理系统的安全设计原则角色权限设计,分别对C/S结构体系和B/S结构体系的权限控制进行分析,分解涉及的对象及相互关系,进而实现区域空间资源综合管理系统的安全设计。对象和关系可以有针对性地设计数据结构。
(1)C/S结构系统权限控制分析
① 首先判断您是否有权限进入系统;
②如果有角色权限设计技能特效,检查登录用户所属区域的图层权限;
③编辑图层时,检查登录者是否对某个区域的某个图层有该权限。
C/S结构体系涉及的权限控制对象包括:部门(区域)、角色、应用系统名称、用户、层级名称。
(2)B/S结构系统权限控制分析
① 首先判断您是否有权限进入系统;
② 如果有,获取登录用户可以查看的部门区域;
③添加图层时,只能添加您有权限查看的图层;
④选择菜单项时,如果没有权限查看该图层对象的属性,则无权查看。
B/S系统涉及的权限控制对象包括:部门(区域)、角色、应用系统名称、用户、图层名称、菜单资源等。
2.2 权限控制对象关系
综合系统权限控制分析,设计对象包括部门、角色、应用系统名称、用户、图层名称、菜单资源、角色用户表、应用系统名称表、角色图层表、角色菜单表。 它们之间的关系如图1所示。
3 权限控制实现
综合以上分析,区域空间资源综合管理系统权限控制模块实现的主要功能包括:部门管理、角色管理、图层授权管理、菜单管理、菜单授权管理、用户管理、日志管理等功能。 如图2所示:
部门管理系统管理员可以实现部门的添加、修改、删除、查询功能;
用户管理用户包括超级管理员角色用户、子系统管理员用户、子系统查看编辑用户、子系统审核员等。用户管理模块可以让系统管理员实现添加、修改、删除、删除等功能。查询用户;
分层授权管理系统管理员实现修改角色的分层访问控制权限的功能;
角色管理角色包括超级管理员角色、子系统管理员角色、编辑者角色、查看者角色、审核员角色等类别。 系统管理员可以添加、修改、删除、查询角色;
菜单管理针对的是B/S结构的应用系统。 系统管理员可以对某个B/S系统的菜单进行添加、修改、删除、查询等操作。
菜单权限管理针对B/S结构的应用系统,系统管理员可以修改角色的菜单访问控制权限。
日志管理审计器实现日志信息的查询和删除功能。
4 权限控制在空间资源综合管理系统中的应用
各系统根据登录页面的用户名获取自己的角色,然后根据该角色首次获取对应层级和资源的相关权限; 各系统运行过程中,C/S结构系统每次维护空间数据时都必须重新确认编辑。 权限; 在访问B/S结构系统中的各个页面时,必须再次确认资源访问权限,业务数据的查询分析必须再次确认层访问权限。 C/S、B/S结构登录流程如图3、图4所示。
5 结论
图3 C/S结构登录流程示意图。 区域空间资源综合管理系统的权限控制模块在设计时已经考虑到了未来的扩展,比如区域变化、增加新的应用系统等,所以未来不同业务的地理标志在webGIS应用中具有很强的适应性。 目前,权限控制体系已初具规模,具有较强的灵活性。 希望通过今后的应用,在细节和功能上不断完善和完善,为相关系统的访问控制安全提供有力保障。 。
