数字化档案馆管理系统权限设置及角色分配.docVIP

数字化档案馆管理系统权限设置及角色分配 　　摘 要 现代化社会工作中，越来越多的业务需要各种软件系统的支持，随着科技的发展，软件技术的进步，对于如何才能更有效、安全地对用户权限进行合理的管理；如何保证信息的安全性；是软件发展中迫切需要解决的一个重要问题。电子商务、电子政务等系统的发展不但需要保护系统资源不受侵犯，更需要给适当的访问者提供最大化的服务。这就要求系统必须要能够控制：哪部分利用者能够访问系统的信息；利用者访问的是“什么信息”，利用者对他所访问的数据拥有何种“权限”。这些均涉及网络安全的重要内容，即权限管理与访问控制。与此同时，访问控制作为计算机网络信息安全管理的主要策略，如何通过合理的方式显示服务或限制用户、组或者角色对信息资源的访问能力及范围，已成为现实中当务之急。 　　关键词 权限 角色 控制 　　一、引言 　　系统首先给角色授权，然后将角色分配给用户，角色架起了访问控制中访问主体与客体之间的一座桥梁。之所以不将权限直接授予用户，是因为角色比用户更具低耦合性。由于系统需求变化对用户进行变更时，只需修改角色与用户的关联关系，而不必对角色与访问控制客体之间的管理进行修改，使系统设计的灵活性有所增强，更具可控性，灵活性更强。访问控制是信息安全保障机制的核心内容，它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体（或称为发起者，是一个主动的实体；如用户、进程、服务等），对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围被访问和使用；访问控制机制决定用户及代表一定用户利益的程序能提供何种服务，以及服务达到何种程度。 　　二、现状分析 　　传统的应用系统通常是通过使用用户名+口令的方式来实现访问控制的。系统通过验证用户在登录系统时输入用户名和口令确定用户的身份，同时，系统通过维护一张特定的表明确每个用户对特定系统对象的控制。例如，文件浏览或下载的操作权限。这种方法因为简便易行而得到了普遍的应用。但是对于一些复杂的组织机构来说，其网络结构比较复杂，应用系统较多，用户数量巨大，采用这种方式需要不同的应用系统分别针对保护的资源进行权限的管理和控制，因而产生了以下问题： 　　（一）管理紊乱 　　对一个正规的企业而言，组织机构都是统一的。但是由于系统构思问题，不同的决策者对相同的人员采用不同的管理思路，对机构内的共享数据采用了不同的权限管理策略，这显然不合理，也不利于对机构资源的规划。 　　（二）安全系数低 　　不同的权限管理策略产生的安全强度是无规律的。这就可能造成机构信息安全管理的缺陷。因此，外来者就有可能瞄准那些权限管理相对薄弱、不健全的系统进行攻击和破坏，这就给机构资源的安全性带来极大的隐患。 　　（三）依赖性高 　　权限的赋予和撤销往往都是在访问控制应用中产生的，不同的访问控制应用之间尽管有相同的用户和授权策略，但不能实现权限共享。每个应用都要维护自己的用户信息和授权方法，权限无法在分布的应用中和远程应用中使用。 　　（四）对系统管理员要求过高 　　不同的系统采用的权限管理策略是不同的，系统管理员不得不熟悉和操作不同的权限管理模式，这无疑对系统管理员的整体水平要求高。另外，大多数老系统都采用的是权限访问控制列表的方式，但是对于大型复杂应用使用此方式来分配权限，给系统管理员带来更高要求，而且容易出现问题。 　　（五）开发复杂、费用高 　　设计一个新的应用安全系统，权限管理是一个极其重要的部分。在缺乏统一权限管理模型的情况下，设计人员要考虑选择权限管理模型、访问控制授权方案等。而且开发人员也要根据业务的不同，时间上、精力上、构思上综合考虑来实现一套较健壮的权限管理功能。为一个应用开发的权限管理功能，往往无法在其他应用中复用，无疑增加了开发的费用，耗费了过多的人力、财力等。 　　在最近几年，权限管理和访问控制作为安全的一个领域得到快速发展，目前应用和研究的重点集中于基于PKI（Public Key Infrastructure）的PMI（Privilege Management Infrastructure）研究。在PKI得到较大规模应用以后，人们已经认识到需要超越当前PKI提供的身份验证和机密性，步入授权领域，提供信息环境的权限管理将成为下一个主要目标。PMI实际提出了一个新的信息保护基础设施，能够系统地建立起对认可用户的授权。建立在PKI基础上的PMI，对权限管理进行了系统的定义和描述，已经将权限管理研究推到了应用前沿。 　　第一，角色与用户关系。角色由用户自定义，根据实际业务的不同，定义不同的角色。一个用户可以拥有多个角色。将某特定角色授予某一用户时，其拥有的权限不能超越该角色权限。 　　第二，菜单权限控制。用户对系统中功能菜单项的使用权，可以通