“数字人大”建设中 RBAC分级模型的应用.pptVIP

“数字人大”建设中RBAC分级模型的应用 中国人民大学网络与教育技术中心 赵文广 zwg@ruc.edu.cn “数字人大”建设工程 “十五”期间,我校信息化建设 高起点、大规模、入主流、跨越式 全面展开、迅猛发展。 “数字人大”建设工程预期目标 举例说明 身份证件智能化：一卡通行全校，既是身份的证明，又可进行考勤、借阅、出入以及用餐、消费等金融业务 数据资源标准化：数据库的各种信息均是依据统一的标准录入，数据资源高度共享 应用运行规范化：应用系统建设完成后，交由各个部门使用，并依据业务和职能进行相应的数据维护，如人事信息来自人事处，只有人事处有权进行人事信息的更改 “数字人大”建设工程预期目标 举例说明 校务管理电子化：学校日常行政办公均基于统一的应用平台，针对一个数据库操作，科学、规范、高效地处理各项行政事务 统计数据实时化：校领导或行政部门依据各自需要获取实时的统计信息，并且统计数据唯一 信息服务个性化：全校师生依据各自权限，方便地定制自己想要的教学、科研、管理以及新闻类信息 “数字人大”建设工程预期目标 应用系统 一个标准 遵循国际、国家、教育部及行业标准，我校统一规范的标准体系。 一个数据库 涵盖所有应用数据、逻辑连接为一体的基础共享数据 库； 一个平台 立足于应用建设长期发展的应用系统及其软硬件平台和应用基础技术框架平台 一个应用 无缝集成、一个系统 一个门户 面向最终用户（师生员工）的能够集成公共信息、个性化信息、应用模块功能，具有 信息推送能力的应用信息门户。 《中国人民大学“数字人大”建设工程总体规划》 《中国人民大学“数字人大”建设工程总体规划》 《中国人民大学教育管理信息化标准(第一部分)》 关于“数字人大”应用一期建设 建设目标 “五个一”：一个标准、一个数据库、一个平台、一个应用、一个门户 标准规范体系：我校自己的应用开发标准体系，包括信息标准、代码标准、软件工程规范、应用开发标准、数据交换标准等 硬件集群、数据集中、应用集成 配套的安全保障体系 长期建设与发展的技术队伍和规范化模式 关于“数字人大”应用一期建设 建设内容 应用平台建设：信息发布平台、统一身份认证和用户管理、共享数据库、应用业务部署等平台建设 六个主干应用和两个辅助应用：办公自动化、本科教务、研究生教务、人事管理、科研管理、学生管理等六个主干应用；网络管理与服务、干部考核等两个辅助系统 标准体系：遵循并制定相关标准 电子校务应用系统 2005年1月开始建设， 9月开始，一期建设的办公自动化、本科教学管理、研究生管理、人事管理、科研管理、学生管理等业务系统子模块逐步投入使用，初步完成了学校应用体系的建设，形成需求文档1976页，形成设计文档7224页，已完成的功能点数为935个。 电子校务应用系统 电子校务系统中的权限模型 电子校务系统是大型管理信息系统，功能模块覆盖学校管理的方方面面，如此庞大的管理信息系统，用户的授权极为复杂，如果统一集中由一个部门进行用户权限管理，一是工作量大；二是没有任何一个部门能掌握全校所有岗位的业务权限 电子校务系统中的权限模型 采用分级的基于角色的访问控制(分级RBAC)方法，即将系统权限管理分为两级，与之对应设置两级系统管理员 一级系统管理员负责对二级系统管理员的授权 二级系统管理员负责对最终业务用户的授权 这样使集中的权限控制变为既可集中控制，又可分散控制，降低了权限管理的复杂度。 RBAC基本思想 RBAC基本思想 优点是当用户发生变化时只需修改用户和角色之间的关联而不必修改角色与权限的关联，当某一角色下的权限因需求调整时，也不必更改用户和角色之间的关联。 RBAC改进模型设计(分级RBAC) 定义1资源：就是系统的资源，例如部门信息，文档等各种可以被提供给用户访问的数据对象。 定义2权限：是与系统模块的功能点相对应的。就是指，这个权限是绑定在特定的资源实例上的，是对计算机系统中被保护数据或资源的访问许可。比如说查看教职工基本信息，叫做职工基本信息查询权限。权限是由开发人员在做开发业务模块时就确定的。 定义3角色：是接口概念，抽象的通称。角色是业务逻辑的接口，也是权限分配的单位与载体。角色对外的接口应该是用户，对内是具体业务逻辑的权限。权限不分配给特定的用户，在业务逻辑的判断中，用户仅应关注其直接属于的角色，从而具有该角色的权限。 RBAC改进模型设计(分级RBAC) 定义4用户：每个登陆系统的人都可称为用户。用户仅仅是纯粹的用户，权限是被分离出去了的。用户不能与权限直接相关的，用户要拥有对某种资源的