摘要：本文探讨了企业在信息化过程中面临的身份认证与授权管理问题,提出了一种基于模型化统一权限管理的研究与设计方案。通过集中账号管理和统一认证服务,实现了分级分类的授权机制,支持多粒度权限控制。文章详细描述了系统架构、功能模块设计以及技术实现,包括标准权限管理、权限申请流程、调整与查询功能等。该方案解决了重复授权问题,提升了运维效率和质量,形成了符合实际需求的统一权限管理标准。

　　关键词：模型化、统一权限管理、权限控制

　　1系统设计思路

　　系统采用基于模型的统一权限管理框架,各业务系统用户及权限管理均在统一平台完成,各系统遵循统一权限管理标准,便于集中授权管理。用户授权管理模块（UAMS）作为各信息系统的统一用户管理、权限管控及审计的平台,其设计遵循企业架构,为应用架构提供标准化认证授权服务,为数据架构定义权限规范,并为技术架构确立统一接口标准。系统为各应用系统提供用户管理、角色管理、身份认证、系统清单管理、角色权限分配、日志审计及画像服务。

　　用户授权管理服务系统（UAMS）由统一用户与权限管理服务和集成于各应用系统的用户管理模块构成。统一用户授权管理模块对外提供身份认证、权限授权服务、审计和画像服务等接口。用户登录应用系统,由系统用户认证与权限管理模块调用统一用户权限管理服务。UAMS依据用户名查询认证数据平台,获取该用户的各系统权限数据,返回给发起请求的应用系统,实现用户授权登录流程[1]。用户管理模块内嵌于应用系统,提供用户及权限管理的操作界面,权限数据从用户与权限管理服务接口自动同步[2]。

　　2系统架构设计

　　2.1权限管理核心模型

　　基于RBAC（角色—基于访问控制）与ABAC（属性—基于访问控制）,构建包含用户、组织、岗位/角色、职责、权限的权限管理模型。用户与岗位/角色、岗位/角色与权限、岗位/角色与职责之间均为多对多关系。一般来说,系统中普通用户不会脱离组织机构而独立存在,需要明确通过组织授权可访问数据的组织范围,组织中不同的职责对应着不同业务系统中的基础权限,通常是相对固定和标准的,通过为岗位/角色分配不同的职责来细化和补充用户的权限。

　　2.2业务架构设计

　　（1）集中账号管理。基于已有信息系统,构建统一的用户账号及组织信息管理平台,实现用户账号的统一管理,所有应用系统共用一套账号,实现归一化运维需求。（2）集中认证管理。在集中账号管理的条件下,构建统一认证服务作为资源调度中心,实现统一认证。认证完成后按照不同的数据请求指向不同的业务系统。（3）集中权限管理。针对不同应用系统建立不同权限控制模型,满足不同业务场景下的权限控制要求,实现不同应用系统的统一权限控制,提升信息系统运维效率。

　　2.3逻辑架构设计

　　（1）账号级权限管理。账号级权限管理通过用户账号生命周期管理同步实现,通过控制用户应用系统中账号的开通、启用、停用等,实现对用户访问应用系统权限的控制,实现“大门级”的权限管控。（2）职务级角色权限管理。针对企业用户的特殊性,建立不同的职务类角色,实现不同职务类角色在各应用系统内的权限控制。（3）其他角色级及细粒度功能权限级。针对角色级和细粒度功能权限级的控制,在统一身份管理平台上构建权限管理功能,将各应用的数据权限、功能权限注册到统一身份管理平台,并通过角色进行权限集的管理,将用户分配到角色获取相应的权限。对于不同权限管理层次的应用,改造深度不同,对于角色同步的改造较为简单,只需在用户同步时增加角色同步。但对于功能粒度级的改造,则需要针对鉴权模型进行调整。

　　细粒度的权限控制不仅可以实现权限的集中控制,还可实现企业级的权限审计,有效降低企业应用越权使用风险。

　　基于模型化统一权限管理的技术指标如下。

　　（1）系统基于权限模型设计,具有较好的扩展性和灵活性；（2）分层授权管理,具备组织统一授权以及多级组织内部逐级授权；（3）标准权限授权管理,具备单个应用独立授权以及多个应用标准权限集中授权；（4）个性权限授权管理,根据权限模型,对每个应用实施不同粒度的权限控制；（5）实现3个以上应用系统的统一授权管理,建立权限管理模型,用于后续系统实施。

　　2.4技术架构设计

　　（1）HR基础服务。HR系统模块提供用户及组织信息的基础数据服务。（2）统一用户与授权管理服务。该模块以“三权”分立原则设计,主要使用对象为应用系统的系统管理员、安全管理员、审计管理员。模块提供统一应用系统组织机构管理、系统用户账号管理、应用系统清单管理、系统权限配置管理、系统角色管理、角色权限配置管理、用户角色权限分配、审计日志管理等功能。（3）认证接口服务。该模块提供应用系统身份认证接口、系统权限认证接口、权限数据访问接口。应用系统通过调用身份认证接口实现用户身份认证,确认用户有无系统访问权限；调用系统权限认证接口实现对用户标准权限与个性权限的认证与同步；通过调用权限数据接口实现对组织机构、用户、角色等配置数据的同步以及权限画像数据提取。（4）认证数据平台。认证数据平台负责提供统一用户及权限管理的基础数据、权限配置数据、审计数据存储服务,同时提供画像所需数据服务。（5）集成接口。通过建立权限模型,对权限配置功能进行结构化设计,为各系统提供标准化的接口,通过接口对接或自动化程序实现组织、人员、角色、权限等信息的集成。

　　3安全机制设计

　　3.1最小权限原则

　　严格遵循最小权限原则,为用户分配完成工作所需的最小权限集合。设计时,基于实际业务职权建立标准职责权限清单,并对每个用户的工作职责进行详细分析,明确其必要的操作权限。同时,还应考虑事件知悉范围（例如人员密级的限制）、行政职权等限定条件,对于从事特殊或特定业务的人员建立关键职责的权限清单,限定分配用户或用户组。例如,对于普通财务人员,仅赋予其基础财务报表的查阅权限和基础录入权限,而审核、审批权限则分配给上一级财务主管人员,避免权限过度分配带来的风险。同时,建立用户权限的定期审查核查机制,对用户工作职责发生变动、工作职责调整带来的权限调整等进行识别和查验,一方面确保变动时权限的及时调整,另一方面避免权限的非授权操作,确保权限始终与实际需求相匹配[3]。

　　3.2权限隔离

　　建立权限的隔离机制,对于业务领域存在的权限互斥进行逻辑检查和条件性的限制,例如财务领域会计与出纳的权限互斥管控,预算批复、商务竞谈和账款支付等职责的权限互斥管控等。建立基础的权限互斥策略清单,并按程序完善,实现业务权限的隔离管控。同时,用户访问认证也需与数据分级、系统分级进行逻辑匹配和安全隔离。

　　3.3权限安全审计

　　构建针对用户授权的全要素安全审计与权限画像功能,实现对所有权限操作的记录,包括登录用户信息、登录时间、登录IP、操作行为、操作内容、退出时间、操作结果等。建立支持多维度的日志记录查询,包括时间维度、用户维度、系统维度、操作类型维度、操作结果维度等,同时,管理员账户支持日志查询结果的导出,但需屏蔽日志信息的修改、更新或删除操作,确保审计的有效性、完整性和真实性。提供基础的可视化审计报表,例如某时间周期内的权限变更趋势、异常操作统计等,协助安全审计人员发现管理异常,并为权限管理人员调整权限策略、发现管理缺陷提供数据支撑,便于及时调整权限策略,确保权限控制的安全性与合规性。

　　4功能模块设计

　　实现对各系统的基础规范定义,将各系统权限项目作为自定义权限项目进行参数化管理,多个权限项可以组合成权限组,可以定义系统使用人员范围及各子系统使用人员范围,对于系统及各级权限配置项实现与数据分级、知悉范围、业务范围的关联,以此控制权限组定义与权限项和人员的自动匹配[4]。

　　支持根据文件和制度要求,由系统安全员对人员授予标准权限；支持用户提出申请经过审批流程确认权限；支持根据要求对人员权限进行变更调整,同时保留调整前后的数据,以便于后期审计；支持二级管理要求。

　　4.1标准权限管理

　　人员权限新增。填写内部审批单,增加人员所属权限组,通过审批后自动追加到人员权限信息中；对于重复添加需要提醒；将申请单备案。

　　人员权限修改。对现有人员权限进行变更处理,通过审批后自动变更到人员权限信息中；将变更单备案。对于由于人员相关属性变化引起的变动提醒,系统应根据标准权限对照关系在提醒单中给出应取消和应新增的提示信息,由安全管理员修改确认后自动更新到人员权限信息中。

　　4.2权限申请管理

　　用户填写权限申请单,在权限申请单中应有该用户已有权限的说明信息。用户可以在未选权限组中选取（所列权限组是根据申请人的基本信息筛选匹配过的结果,避免人为选到其他权限组）。对于超出或没有对应权限组的权限,系统给出可选清单和文本输入区,所选权限经审批后自动更新到人员权限表中。超出权限可以在审批环节中修改,若通过审批,系统安全员做相应的追加处理[5]。

　　4.3权限调整管理

　　对于由权限项、权限组的变化引起的全员标准权限变化,通过该功能进行人员权限统一授权处理,同时系统将授权前的人员权限信息作为历史版本保留。

　　4.4权限查询管理

　　通过大数据平台对权限数据进行分析和开发,实现三个维度的权限基础查询与画像,一是按照单位、时间、系统维度查询权限申请和调整情况；二是按照单位、时间、系统维度查询标准权限统一调整的各版本权限情况；三是按照单位、时间、系统维度查询超出标准权限范围的人员权限情况。

　　本文通过梳理现有应用系统的权限管理架构,不断完善统一权限管理模型,实现了各应用系统的统一授权、统一管理,解决了运维工作中不同业务系统重复授权的问题,提升了信息系统运维效率,提高了运维工作质量,形成了符合现场实际需求的权限管理模型,建立了统一权限管理标准。

　　5结语

　　本文研究并设计了基于模型化的统一权限管理系统,在传统业务系统RBAC和ABAC模型独立权限管控的基础上,立足多系统统一权限安全管控的业务需求,解决运维人员多系统分散操作、用户权限精准管控难度大等问题,基于用户、组织、岗位/角色、职责、权限三层五项权限管控核心模型,从业务架构、逻辑架构、技术架构、安全机制四个方面进行了统一权限管控的系统设计,实现了权限的集中管理、动态分配和细粒度控制,提高了企业权限管理的效率和安全性,一定程度上规避了企业数据的安全风险。

　　数字化时代,技术不断发展,大数据、大模型、区块链等技术在实现统一权限管控方面都是可以深入挖掘的技术方式；企业实现权限的精准管控需要同步建立健全管理机制,针对岗位的标准化清单建设、权限策略管控模型的建立和完善等是做好统一权限管控的重要内容。基于此,后续研究将根据企业信息系统不同的权限架构,选定使用的技术工具和路径,开发适用、友好、安全的管理平台,为更多相同需求的企业提供应用和研究参考。

参考文献

　　[1](美)Karl E.Wiegers著,软件需求2[M].刘伟琴,刘洪涛,译.北京:清华大学出版社,2004.

　　[2]温昱.业务架构•应用架构•数据架构实战(第2版)[M].北京:电子工业出版社,2022.

　　[3]郭树行,曾宗根,李红波,主编.企业数字化总体架构[M].北京:清华大学出版社,2022.

　　[4]张海波,郝二伟,李竞.一种统一授权管理系统的设计与实现[J].网络空间安全,2017,8(10):27-30.

　　[5]夏明忠,夏以轩,姜丽萍.统一用户认证和授权管理的实现[J].计算机与应用化学,2011,28(8):1087-1090.