信息化的浪潮把企业的运作搬到了“鼠标”平台之上,而所有的信息系统都必然会涉及到人员的权限管理。赋权管理在信息系统上的实现就是权限管理。所谓权限管理,指的就是把当前用户请求的资源与相应的用户权限做个比较,以确定用户是否有权进行操作。
由于权限必然涉及到人员、组织、角色、资源等许多元素,并且各种元素间和元素本身可能存在各种关联和包容关系,因而十分复杂。针对不同信息系统的需求,构建出逻辑完备、易于维护、扩展灵活的权限管理模型是有相当难度的。本文就信息系统中赋权管理模型的基本概念和一般方法做一个介绍。
用户:表示系统中的实际登录人,也是对系统中的各种资源进行操作的实际主体。一个用户往往用其独有的账号和密码以某个角色身份登入系统,根据其被允许的权限列表执行相应的操作。
组织:表示系统中的一个组织部门或者是一个抽象的范围。每个组织都包含其特有的组别、角色、资源和权限组合。每一个用户可以属于一个或者多个组织,而组织之间还存在层级关系。
角色:代表一个具有一定权限组合的虚拟用户。可以将一个角色赋予一个或者多个用户,使其拥有角色所包含的权限组合。
权限:是一个操作和资源的组合,例如:发表新闻、删除人员、开具发票、采购原料等等。但是一个没有指定范围的权限是不具有实际操作意义的。例如:“删除人员”本身意义不明确,“删除销售人员李某”才具有实际操作意义。这就是一个权限实例,是一个具有实际操作意义的,真正可以被角色包含并赋权给用户的实例。
资源:表示企业中抽象的具体资料,例如:新闻、人员资料、发票、产品等等,是脱离开实物的电子记录。同样,“人员资料”这个资源在加上“财务科小王”这个组织定义以后,就成为一个具体的资源实例了,它才是系统中具有实际操作意义的某一种资料。
组:表示一个角色和组织的集合体,一个组可以包含一个或者多个角色和其他组。实际上,即使没有组,由其他元素组成的这样一个权限管理系统也是完备的,然而加入组的概念后,会为权限管理创造更多便利:在将多个角色加入一个组的情况下,可以方便地给这多个角色同时添加或者删除一定数量的权限实例,这样管理员就不必为每个角色分别增减权限,避免了许多繁琐的工作;同时,系统还可将一个组织对应一个组,便于权限的增加和修改。
基本上,权限管理的方法是基于以上这些概念进行的,我们可以把这样的方法称为基于角色的访问控制法,这也是目前普遍采用的解决大型企业统一资源访问控制的有效方法。这一方法具有两个显著特征:一是降低管理难度,减少管理支出;二是灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
一般的权限管理都会包括如下的应用模块:登录页、用户权限管理、组织机构管理、应用权限管理和系统维护。其功能组涉及到登录页、用户基本信息管理、用户包含的角色管理、用户包含的权限管理、用户组织机构管理、用户岗位管理、组织机构基本信息管理、岗位基本信息管理、岗位包含的权限管理、岗位认证管理、拥有岗位的用户管理、应用系统基本信息管理、应用系统权限管理、应用系统角色管理、查询系统审计、查询应用审计等。
实际上,即便是基于传统金字塔组织结构的权限管理也是十分复杂的,需要通过对何人(Who)、何地(Where)、如何(How)、是什么(What)这些概念进行充分细化来实现。但是面对日益扁平化的组织结构和日趋灵活的组织职能,维护这样一个权限体系的成本是很高的。在这里,笔者查找、引用相关资料来为大家介绍一个更为开放和灵活的权限模型。
组织扁平化以后,员工的职责变得模糊,如果继续使用十分细致的权限管理,相关的修改和维护工作确实是一件令人头痛不已的事情。为了使权限设置简单,修改方便,我们引进一个安全级别的概念。每一个权限实例具有一个安全级别,同时赋予每个用户一个安全级别。要确定某一用户是否具有某个权限实例的操作和访问权,只需判断他(她)的安全级别是否达到权限实例的安全级别即可。
在这种权限管理模型下,权限实例和用户实例都与一个安全级别绑定,十分清晰易改,并且能与灵活的组织职能相匹配。由于其简单易行,所以在组织结构扁平化的趋势下,这种模型将逐渐得到广泛应用。新华通讯社的内部协同办公采用的就是这种模式。
赋权管理是随着企业组织结构的不断演变以及信息化的全面渗透而出现的,它不只是在理念上贴合现代企业管理的内容,而且在实践上也有很好的应用。相信理解了赋权管理的前因后果,管理者可以更清楚地知道企业的战略方向,人力资源部门也可以更加明确企业的人才需求。
徐嵩泉
