“數(shù)字人大”建設(shè)中RBAC分級(jí)模型的應(yīng)用課件

“數(shù)字人大”建設(shè)中

RBAC分級(jí)模型的應(yīng)用“數(shù)字人大”建設(shè)工程“十五”期間,我校信息化建設(shè)高起點(diǎn)、大規(guī)模、入主流、跨越式全面展開(kāi)、迅猛發(fā)展?！皵?shù)字人大”建設(shè)工程預(yù)期目標(biāo)舉例說(shuō)明身份證件智能化：一卡通行全校，既是身份的證明，又可進(jìn)行考勤、借閱、出入以及用餐、消費(fèi)等金融業(yè)務(wù)數(shù)據(jù)資源標(biāo)準(zhǔn)化：數(shù)據(jù)庫(kù)的各種信息均是依據(jù)統(tǒng)一的標(biāo)準(zhǔn)錄入，數(shù)據(jù)資源高度共享應(yīng)用運(yùn)行規(guī)范化：應(yīng)用系統(tǒng)建設(shè)完成后，交由各個(gè)部門(mén)使用，并依據(jù)業(yè)務(wù)和職能進(jìn)行相應(yīng)的數(shù)據(jù)維護(hù)，如人事信息來(lái)自人事處，只有人事處有權(quán)進(jìn)行人事信息的更改“數(shù)字人大”建設(shè)工程預(yù)期目標(biāo)應(yīng)用系統(tǒng)一個(gè)標(biāo)準(zhǔn)遵循國(guó)際、國(guó)家、教育部及行業(yè)標(biāo)準(zhǔn)，我校統(tǒng)一規(guī)范的標(biāo)準(zhǔn)體系。

一個(gè)數(shù)據(jù)庫(kù)涵蓋所有應(yīng)用數(shù)據(jù)、邏輯連接為一體的基礎(chǔ)共享數(shù)據(jù)庫(kù)；一個(gè)平臺(tái)立足于應(yīng)用建設(shè)長(zhǎng)期發(fā)展的應(yīng)用系統(tǒng)及其軟硬件平臺(tái)和應(yīng)用基礎(chǔ)技術(shù)框架平臺(tái)一個(gè)應(yīng)用無(wú)縫集成、一個(gè)系統(tǒng)一個(gè)門(mén)戶面向最終用戶（師生員工）的能夠集成公共信息、個(gè)性化信息、應(yīng)用模塊功能，具有信息推送能力的應(yīng)用信息門(mén)戶。

《中國(guó)人民大學(xué)“數(shù)字人大”建設(shè)工程總體規(guī)劃》2003年6月，完成“數(shù)字人大”建設(shè)工程總體規(guī)劃初稿；2003年10月，通過(guò)專家論證；2004年3月，校長(zhǎng)辦公會(huì)正式通過(guò)實(shí)施?！皵?shù)字人大”建設(shè)工程指導(dǎo)思想總體規(guī)劃、分步實(shí)施、標(biāo)準(zhǔn)統(tǒng)一、資源共享、重在應(yīng)用2003年6月自主完成《中國(guó)人民大學(xué)“數(shù)字人大”建設(shè)工程總體規(guī)劃》“數(shù)字人大”建設(shè)工程總體規(guī)劃

充分體現(xiàn)學(xué)?？傮w發(fā)展目標(biāo),滿足學(xué)校戰(zhàn)略發(fā)展需要，

2003年開(kāi)始,我校的信息化建設(shè)項(xiàng)目實(shí)踐均依據(jù)本規(guī)劃

近10萬(wàn)字，共分為：《總論》、《基礎(chǔ)設(shè)施建設(shè)》及《應(yīng)用系統(tǒng)建設(shè)》三個(gè)部分。對(duì)“數(shù)字人大”建設(shè)的指導(dǎo)原則、總體目標(biāo)、建設(shè)內(nèi)容、技術(shù)路線、規(guī)范與標(biāo)準(zhǔn)、預(yù)期效益、建設(shè)策略、主要措施、實(shí)施計(jì)劃及未來(lái)發(fā)展進(jìn)行了全面概括，內(nèi)容涵蓋了我校數(shù)字化校園建設(shè)的方方面面關(guān)于“數(shù)字人大”應(yīng)用一期建設(shè)建設(shè)目標(biāo)“五個(gè)一”：一個(gè)標(biāo)準(zhǔn)、一個(gè)數(shù)據(jù)庫(kù)、一個(gè)平臺(tái)、一個(gè)應(yīng)用、一個(gè)門(mén)戶標(biāo)準(zhǔn)規(guī)范體系：我校自己的應(yīng)用開(kāi)發(fā)標(biāo)準(zhǔn)體系，包括信息標(biāo)準(zhǔn)、代碼標(biāo)準(zhǔn)、軟件工程規(guī)范、應(yīng)用開(kāi)發(fā)標(biāo)準(zhǔn)、數(shù)據(jù)交換標(biāo)準(zhǔn)等硬件集群、數(shù)據(jù)集中、應(yīng)用集成

配套的安全保障體系長(zhǎng)期建設(shè)與發(fā)展的技術(shù)隊(duì)伍和規(guī)范化模式關(guān)于“數(shù)字人大”應(yīng)用一期建設(shè)建設(shè)內(nèi)容應(yīng)用平臺(tái)建設(shè)：信息發(fā)布平臺(tái)、統(tǒng)一身份認(rèn)證和用戶管理、共享數(shù)據(jù)庫(kù)、應(yīng)用業(yè)務(wù)部署等平臺(tái)建設(shè)六個(gè)主干應(yīng)用和兩個(gè)輔助應(yīng)用：辦公自動(dòng)化、本科教務(wù)、研究生教務(wù)、人事管理、科研管理、學(xué)生管理等六個(gè)主干應(yīng)用；網(wǎng)絡(luò)管理與服務(wù)、干部考核等兩個(gè)輔助系統(tǒng)標(biāo)準(zhǔn)體系：遵循并制定相關(guān)標(biāo)準(zhǔn)電子校務(wù)應(yīng)用系統(tǒng)2005年1月開(kāi)始建設(shè)，9月開(kāi)始，一期建設(shè)的辦公自動(dòng)化、本科教學(xué)管理、研究生管理、人事管理、科研管理、學(xué)生管理等業(yè)務(wù)系統(tǒng)子模塊逐步投入使用，初步完成了學(xué)校應(yīng)用體系的建設(shè)，形成需求文檔1976頁(yè)，形成設(shè)計(jì)文檔7224頁(yè)，已完成的功能點(diǎn)數(shù)為935個(gè)。電子校務(wù)系統(tǒng)中的權(quán)限模型

電子校務(wù)系統(tǒng)是大型管理信息系統(tǒng)，功能模塊覆蓋學(xué)校管理的方方面面，如此龐大的管理信息系統(tǒng)，用戶的授權(quán)極為復(fù)雜，如果統(tǒng)一集中由一個(gè)部門(mén)進(jìn)行用戶權(quán)限管理，一是工作量大；二是沒(méi)有任何一個(gè)部門(mén)能掌握全校所有崗位的業(yè)務(wù)權(quán)限

電子校務(wù)系統(tǒng)中的權(quán)限模型采用分級(jí)的基于角色的訪問(wèn)控制(分級(jí)RBAC)方法，即將系統(tǒng)權(quán)限管理分為兩級(jí)，與之對(duì)應(yīng)設(shè)置兩級(jí)系統(tǒng)管理員一級(jí)系統(tǒng)管理員負(fù)責(zé)對(duì)二級(jí)系統(tǒng)管理員的授權(quán)二級(jí)系統(tǒng)管理員負(fù)責(zé)對(duì)最終業(yè)務(wù)用戶的授權(quán)這樣使集中的權(quán)限控制變?yōu)榧瓤杉锌刂?，又可分散控制，降低了?quán)限管理的復(fù)雜度。RBAC基本思想RBAC改進(jìn)模型設(shè)計(jì)(分級(jí)RBAC)定義1資源：就是系統(tǒng)的資源，例如部門(mén)信息，文檔等各種可以被提供給用戶訪問(wèn)的數(shù)據(jù)對(duì)象。定義2權(quán)限：是與系統(tǒng)模塊的功能點(diǎn)相對(duì)應(yīng)的。就是指，這個(gè)權(quán)限是綁定在特定的資源實(shí)例上的，是對(duì)計(jì)算機(jī)系統(tǒng)中被保護(hù)數(shù)據(jù)或資源的訪問(wèn)許可。比如說(shuō)查看教職工基本信息，叫做"職工基本信息查詢權(quán)限"。權(quán)限是由開(kāi)發(fā)人員在做開(kāi)發(fā)業(yè)務(wù)模塊時(shí)就確定的。定義3角色：是接口概念，抽象的通稱。角色是業(yè)務(wù)邏輯的接口，也是權(quán)限分配的單位與載體。角色對(duì)外的接口應(yīng)該是用戶，對(duì)內(nèi)是具體業(yè)務(wù)邏輯的權(quán)限。權(quán)限不分配給特定的用戶，在業(yè)務(wù)邏輯的判斷中，用戶僅應(yīng)關(guān)注其直接屬于的角色，從而具有該角色的權(quán)限。RBAC改進(jìn)模型設(shè)計(jì)(分級(jí)RBAC)定義4用戶：每個(gè)登陸系統(tǒng)的人都可稱為用戶。用戶僅僅是純粹的用戶，權(quán)限是被分離出去了的。用戶不能與權(quán)限直接相關(guān)的，用戶要擁有對(duì)某種資源的權(quán)限，必須通過(guò)角色去關(guān)聯(lián)。用戶分成兩類，一類為系統(tǒng)管理用戶，另一類為業(yè)務(wù)用戶。系統(tǒng)管理用戶負(fù)責(zé)系統(tǒng)的授權(quán)，可以把權(quán)限分配給業(yè)務(wù)用戶；業(yè)務(wù)用戶是業(yè)務(wù)功能模塊的使用者。定義5角色的可管理組織機(jī)構(gòu)：角色的權(quán)限對(duì)應(yīng)的可操作的數(shù)據(jù)范圍。在系統(tǒng)中可管理組織機(jī)構(gòu)是指數(shù)據(jù)級(jí)的權(quán)限，登陸用戶能查看維護(hù)的數(shù)據(jù)范圍。在電子校務(wù)系統(tǒng)中是以院系所部為單位的?？晒芾斫M織機(jī)構(gòu)本部門(mén)：能查看和維護(hù)的數(shù)據(jù)僅限于用戶所在部門(mén)。全校：能查詢和維護(hù)全校所有院系所部的數(shù)據(jù)信息。特定部門(mén)：能查看和維護(hù)的數(shù)據(jù)范圍是在特定部門(mén)列出的院系所部的數(shù)據(jù)。分級(jí)RBAC模型進(jìn)一步細(xì)化

權(quán)限的分類：權(quán)限與系統(tǒng)的每個(gè)功能點(diǎn)對(duì)應(yīng)，對(duì)于每個(gè)功能點(diǎn)，將其分為“使用權(quán)限”和“管理權(quán)限”。角色擁有“使用權(quán)限”是指角色通過(guò)操作該功能點(diǎn)可以處理相應(yīng)的業(yè)務(wù)，如人事模塊中的人員信息修改權(quán)限，角色通過(guò)該權(quán)限修改人員的信息角色擁有“管理權(quán)限”則指角色可以將該功能點(diǎn)的使用權(quán)限分配其他角色或創(chuàng)建擁有該功能點(diǎn)使用權(quán)限的新角色。分級(jí)RBAC模型進(jìn)一步細(xì)化

角色的分類：由于權(quán)限被分類成使用權(quán)限和管理權(quán)限，在給角色授權(quán)時(shí)，有的角色被授予使用權(quán)限，有的角色被授予管理權(quán)限。我們稱前者普通角色，后者為系統(tǒng)管理角色。普通角色只擁有其被授權(quán)限功能點(diǎn)的使用權(quán)，不能將其擁有的權(quán)限再分配給其他角色。系統(tǒng)管理角色可以創(chuàng)建角色、可以給角色分配權(quán)限，可以為角色指定用戶；同時(shí)也可以刪除角色中的權(quán)限，可以刪除角色中的用戶，也可以刪除已有角色分級(jí)RBAC模型進(jìn)一步細(xì)化權(quán)限的分級(jí)管理就是指針對(duì)于集中授權(quán)，在這里被設(shè)計(jì)成分級(jí)授權(quán)，可設(shè)置多個(gè)系統(tǒng)管理角色，每個(gè)系統(tǒng)管理角色能管理的權(quán)限不同。一級(jí)系統(tǒng)管理角色可以管理整個(gè)電子校務(wù)系統(tǒng)中的所有權(quán)限、所有角色和用戶；二級(jí)系統(tǒng)管理角色管理覆蓋其部門(mén)業(yè)務(wù)功能的系統(tǒng)模塊的分配權(quán)限?？梢栽O(shè)置三級(jí)甚至更多級(jí)的系統(tǒng)管理角色。分級(jí)的RBAC管理模型普通角色“院系發(fā)文管理員”授權(quán)例子由二級(jí)管理員創(chuàng)建“發(fā)文管理員”角色，為該角色分配發(fā)文管理等權(quán)限，同時(shí)設(shè)置其可管理組織機(jī)構(gòu)為本院系當(dāng)為一名用戶選擇了“發(fā)文管理員”角色，則即可獲得該角色的權(quán)限同時(shí)該用戶又是教師，為其選擇“教師”角色，則這名用戶獲得的權(quán)限就是“教師”權(quán)限和“教務(wù)秘書(shū)”權(quán)限的合集的關(guān)系如系統(tǒng)管理員對(duì)“發(fā)文管理員”角色的權(quán)限做修改的時(shí)候，則這名用戶獲得的最終權(quán)限也隨之變化結(jié)束語(yǔ)本文結(jié)合中國(guó)人民大學(xué)電子校務(wù)系統(tǒng)的實(shí)際情況，提出了分級(jí)RBAC的模型設(shè)計(jì)和具體實(shí)現(xiàn)方法。把業(yè)務(wù)功能模塊的使用權(quán)管理分散到各業(yè)務(wù)部門(mén)是順暢的