张虎涛、余康、李昱
中国电建集团华东勘测设计研究院有限公司 311122
摘 要:在企业集团化运作和管控模式下,信息系统作为其重要手段,对于优化企业管控模式、提高企业管控能力和效率发挥着十分重要的作用,但同时也带来了组织关系和用户权限复杂等问题。本文研究并设计了基于多级门户下的分级权限管理体系,以解决集团化系统中门户、组织、用户和权限等问题,增强系统功能,提升安全性,保障集团化管控手段和力度。
关键词:集团化管控;多级门户;分级权限;
Research on multi-level portals and hierarchical permissions under collectivized management and control mode
Abstract:In the context of collectivized operation and control mode, the information system is a key means of corporation, which plays an increasingly important role in optimizing the management and control mode of enterprises, improving their management ability and efficiency. For this paper, numerous information system has been researched and designed to manage the sub-parent companies and project, leading to solve the aporia of the portals, organizations, users and permissions in ??collectivized system. In this case, the system functions and security will be improved, and could guarantee the means and strength of collectivized management and control.
Keywords: Collectivized management and control; Multi-level portals; Hierarchical permissions;
一、引言
集团化企业是指以母公司为基础,以产权关系为纽带,通过合资、合作或股权投资等方式把三个及三个以上的独立企业法人联系在一起。集团成员企业之间在研发、采购、制造、销售、管理等环节紧密联系在一起,协同运作。因此在集团化运作模式下,信息系统的设计会变得复杂,在系统门户、用户和权限等方面尤为突出。
本文主要对集团化运作和管控模式下的系统进行了分析和研究,通过建立多级门户,将各级成员企业间的信息进行划分隔离,并设计了基于RBAC的多层级、可扩展、松耦合的分级权限体系,从而提高系统功能性、安全性和可用性,增强集团管控的手段和力度。
二、关键技术与方法
(1)RBAC访问控制
基于角色的访问控制(RBAC)是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是对系统操作的各种权限不直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合,每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,简化用户的权限管理,减少系统的开销。
在RBAC模型中有3个基础组成部分,分别是用户、角色和权限。RBAC通过定义角色的权限,并对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大地方便了权限的管理。
三、详细设计与实现
3.1 多级门户架构设计
为实现上级门户对下级门户的权限管控,系统在授权时分为通用和门户独有两种角色。通用角色为某一层级门户的公共角色,上级门户可以通过授权通用角色的方式为下级门户授权;门户独有角色为单一门户独有,只能在该门户建立与生效。
菜单和按钮在分级权限中以门户的层级作为划分,每一级门户可拥有一类通用的菜单与按钮,门户之间相互隔离。菜单和按钮被分配给角色,角色分配给用户从而实现基于角色的访问控制。
组织机构分为集团完整的组织机构和门户独有的组织机构。集团完整的组织机构用于集团级门户使用,且集团级门户可读取集团中所有用户的数据;门户独有的组织机构下的用户只能在当前门户操作的时候被读取,从而实现人员的分级权限管控。
3.3 数据库设计
多级门户和分级权限体系在数据库设计上主要包括门户表、用户表、菜单表、按钮表、组织表、角色表和其他业务表。所有表通过外键与门户表进行关联,表示当前数据所归属的门户。通过类型表示当前门户的级别(如集团、子公司、项目部、分支机构等)。系统在获取数据时,通过检索门户表ID获取不同门户下的数据,从而实现门户数据的隔离。
门户表是对集团、子公司、项目部、分支机构的抽象,每个门户分别对应一条独立的数据。
角色表通过IS_GENERAL标识是否为通用角色,通过该字段和类型确定每个角色所生效的门户。
菜单表和按钮表是对系统内资源的映射,每个门户中的菜单与按钮在数据表中都有一条数据记录。
用户表和门户表之间为多对多关系,即一个用户可属于多个门户,一个门户也可以包含多个用户。
组织机构表一般都能在门户表中找到对应的数据,它们之间为一对一的关系,门户表范围可大于组织机构表。
四、总结与展望
本文在企业集团化管控的背景下,为了适应企业的统一管理需求,研究了多级门户和分级权限下的体系,并基于该体系结构设计了一套系统完成了对该体系的实现。该系统严格按照软件设计的编码规范进行开发,并运用在多个项目当中,获得不错的应用效果。
后续在此基础上,结合全球化发展和企业的特性,持续优化系统设计,并在系统的易用性和友好性上进一步改善和提升。
参考文献
[1]张丽丽,邬锡江,杨玉梅,张冲.基于RBAC的权限管理设计与自主开发应用[J].现代信息科技,2020,4(16):88-91.
[2]郭斌. SaaS平台访问控制系统设计与实现[D].西南交通大学,2018.
[3]王硕琼. 面向微服务的软件全生命周期一体化平台设计与实现[D].山东大学,2020.
[4]赵梦. 企业内部门户系统设计与实现[D].吉林大学,2009.
作者简介:张虎涛(1995- ),男,河南洛阳,中国电建集团华东勘测设计研究院有限公司,本科,研究方向:企业信息化。