赖葆青，刘苏，陈华昇

1 福建省烟草公司厦门市公司，厦门市湖光路66-67号 361004；2 福建省烟草公司，福州市北环中路133号 350013；3 厦门中软海晟信息技术有限公司，厦门市思明区软件园二期观日路2号 361008

历经“十二五”时期和“十三五”初期的发展，福建烟草商业企业已构建起福建烟草统一的应用展示门户、数据中心和覆盖经营管理各领域的信息系统，近40 套信息系统在福建烟草商业企业综合办公平台实现单点登录。随着信息系统的不断增多，对账号、权限进行规范管理的要求日益迫切，合理设计的权限管理系统才能既保障信息系统的正常使用又保障信息系统的安全使用。《烟草行业信息化发展规划（2014—2020 年）》及《福建烟草商业系统“十三五”信息化发展规划》明确指出要实现信息系统权限分配安全审核的流程化、痕迹化，强化信息系统使用权限控制。标准化岗位授权旨在通过信息系统授权的标准化、流程化、自动化实现信息系统授权的规范化。

每个信息系统都拥有很多功能，每个通过账号、密码登录系统的人员都可以使用系统的一部分功能。信息系统的权限是指控制用户在信息系统中可使用的功能或可访问的模块的权力限制。信息系统授权或信息系统权限变更是指增加或减少人员通过系统账号登录信息系统后可使用的系统功能，使之与人员所在部门及所在岗位的职责、权利相匹配。若人员可使用的信息系统功能超出其岗位职权范围，则其在信息系统所进行的越权操作或非法操作将对人员所在的机构带来风险甚至造成损失，这就是强调信息系统授权管理的必要性所在。

目前常用的权限管理模型是基于角色的RBAC（Role-Based Access Control）模型，即权限授予角色、角色授予帐号的权限分配模式。Sandhu 等人提出的RBAC96 模型是业界广泛认可的、经典的RBAC 模型。美国国家标准技术协会（NIST）于2000 年制定出RBAC 标准化模型RBAC2000[1]。之后，业界以此为原型衍生出了各种RBAC 的扩展模型。刘建圻等[2]根据信息系统中对相同角色分配不同权限及临时对用户授予权限的需求，将对用户授予角色而使用户获得权限及对用户直接授予权限相结合，同时允许用户在自己的可授权范围内选择部分权限授予其他用户并且可以设置时效，也可以随时收回自己的授权，从而形成了对基本RBAC 权限管理模型的改进方案。孙军红等[3]针对分布式系统域间互访及信任管理的安全需求，提出一种分布式环境基于角色的RBAC（Distributed Role-Based Access Control，DRBAC）模型，为角色增加属性，用以标识角色所赋予的用户属于本域还是外域，进而对本域和外域用户的访问权限加以区分。徐宏等[4]为适应工作流系统灵活多变的业务流程，提出面向工作流的RBAC 模型，所有系统资源的访问权限都通过工作流分配给角色，用户通过在工作流中担任的角色获取相应资源的访问权限。胡领等[5]为适应电子政务系统中不同机构相同角色的用户不可互相访问对方信息的安全需求，通过角色、岗位、机构等对系统资源进行分组归纳，再抽象出用户和系统资源的关系视图，提出了对RBAC基本模型的改进方案。林友谅等[6]在SAP ERP 系统中采用了面向对象的权限管理概念，角色以由一组权限对象组合成的权限参数文件的形式被授予用户。蔡婷等[7]针对分布式系统强化角色间层级管理，在传统模型的角色集和权限集之间引入由普通角色划分生成的最小角色集，建立了MR-RBAC（Mini-Roles RBAC）模型。蔡婷等[8]又针对多域协作的云计算系统主要需保证域间互操作策略合成安全的特点，提出ERBAC（Enhanced Role-Based Access Control）模型，引入结合上下文信息的基数约束，将简单的资源使用约束功能应用到RBAC 中。上述各种扩展的RBAC模型虽然都根据各自信息系统安全需求的特点对基本RBAC 权限管理模型进行了不同程度的调整，但都坚持了RBAC 模型的核心思想，即:通过在用户账号和系统权限之间引入角色解耦用户账号和权限的关联。将系统功能模块的访问权限附加到角色上，并为用户账号分配需要的角色，角色和权限之间、用户账号和角色之间都是多对多的关系。权限不直接赋予用户账号而是赋予角色，通过控制角色权限来间接控制用户对系统功能模块的访问，如图1 所示。

图1 RBAC 授权模型Fig. 1 RBAC authorization model

福建烟草商业企业的信息系统授权采用的是RBAC 权限管理的基本模式。相较于对帐号直接授权，RBAC 虽然通过批量操作减轻了一些工作量，但角色的设置过于随意，甚至会因为权限管理员的改任而不断产生新的角色，导致角色的重复和闲置。本文提出的标准化岗位，授权克服了上述弊端，面向岗位进行授权，即先将权限授予岗位，再将岗位拥有的权限授予帐号。其中，岗位的源头为人力资源管理系统提供的标准化的岗位信息，不允许随意设置，所以确切地说是面向标准化后的岗位进行授权，这是标准化岗位授权体系区别于传统的RBAC 授权模式的本质所在。相较于一般意义上的RBAC，面向岗位的授权以标准化岗位替代角色，既保留了一般RBAC 可一次定义、批量授权的特点，又避免了随意设置角色导致角色重复和闲置的缺陷，使标准化的岗位信息作为数据中心主数据的一部分在下游信息系统发挥了应有的作用；更重要的，面向岗位的授权实现了人员到岗自动授权、人员离岗权限自动回收，有效地解决了目前普遍存在的大量离职、离岗人员账号权限未及时回收带来的安全隐患。

1 标准化岗位授权的实现

1.1 授权信息标准化

统一的信息标准是实现授权标准化的先决条件。通过对岗位信息、信息系统授权信息的整理清洗，并作为标准严格遵守和执行，是实现面向岗位授权的基础。

1.1.1 岗位信息标准化

清洗数据中心主数据中的岗位池，去除不规范的岗位名称，以人力资源管理系统提供的标准化的岗位信息作为各信息系统角色设置和权限分配的依据。

《福建烟草商业系统“十三五”信息化发展规划》要求：企业已建成的主数据，各信息系统建设应强制使用。岗位信息作为主数据的一部分，早已进入数据中心形成岗位池。标准化岗位授权的实施进一步对岗位信息进行了清洗，力图杜绝人事管理部门文件规定之外的岗位名称的出现。不同信息系统面向同一套标准化的岗位信息进行授权，避免以往信息系统角色标准不统一、随意设置、重复冗余造成的信息系统授权时的歧义问题，使数据中心的岗位主数据在下游信息系统发挥了应有的作用。

1.1.2 权限信息标准化

目前信息系统存在许多菜单路径不同、功能（URL）相同，甚至菜单路径相同、名称不同但功能（URL）相同的模块，针对这一现状，保留启用时间最新的URL，清除重复模块；并通过信息系统评价，剔除系统中的无用模块对系统进行“瘦身”。

1.1.3 岗位权限对应关系标准化

由人员岗位对应关系、帐号权限对应关系推导出岗位权限对应关系，完成岗位权限集初始化；进而针对现有各业务应用系统的岗位权限集，取同一岗位不同帐号权限的交集，使初始化的岗位权限符合信息系统最小化授权原则。

1.2 授权审批流程化

图2 信息系统权限变更流程Fig. 2 Permission change process of information system

建立信息系统授权审批流程。在综合办公管理平台统一门户界面中提供人员岗位变动的申请入口、权限管理入口，实现与主数据管理系统、权限管理中心的集成。在综合办公管理平台，岗位变更可触发授权变更，人员的岗位信息变更由人劳部门审批；系统的使用部门可向系统的主管部门申请系统权限，得到系统的主管部门准许后方可获得系统模块的支配权和使用权。权限管理中心的申请流程均可在综合办公管理平台的统一门户界面体现为待办并留痕。人事部门、信息系统主管部门和信息系统使用部门能够在统一门户上实现一站式的岗位变更和授权变更流程。

流程化是标准化岗位授权体系的保障，保障了岗位信息及岗位权限对应关系等授权信息标准化的可持续性。在标准化岗位授权体系的日常运行过程中，人员的岗位信息变更和岗位权限对应关系变更分别由人劳部门和系统的主管部门审批把关，以有效避免标准化岗位授权体系在系统初始化后岗位设立和岗位授权的随意性。

1.3 岗位授权自动化

通过主数据管理系统和上下游系统接口的打通，主数据管理系统及时接收上游人力资源系统提供的组织机构、人员岗位等主数据变动信息，并作为标准数据及时推送给权限管理系统。当权限管理系统获取人员的岗位信息变动后，随即在岗位权限对应表中自动匹配相应的系统权限，在权限管理中心纳管的下游各信息系统，自动将人员对应岗位的权限赋予人员在信息系统中的帐号，实现人员到岗系统自动授权、离岗权限及时回收，及时满足了人员岗位调整后对信息系统的使用需求，同时也符合了烟草行业信息系统账号安全的规范性要求。

标准化是岗位授权自动化的基础。标准化岗位授权体系是在分别对岗位和系统权限进行标准化、进而梳理出岗位和系统权限的对应关系的基础上，才有条件实现人员到岗时自动将岗位对应的权限赋予人员的账号，人员离岗时自动将人员账号所拥有的权限及时回收。

1.4 授权管理规范化

引入“部门可支配模块”及“岗位可支配模块”的概念，当系统的使用部门授予所辖部门的模块超出所辖部门可支配模块范围时，需向系统的主管部门发起申请，由系统的主管部门审批后才能获得相应的系统权限。此外，基于岗位的授权自动化实现了人员离岗时系统权限的及时回收，从而使信息系统的权限管理达到了烟草行业信息系统权限安全的规范性要求。

如上所述，信息系统授权相关信息的标准化是岗位授权自动化的基础，而授权审批流程化和岗位授权自动化又是授权管理规范化的基础。由此可见，标准化岗位授权体系环环相扣、彼此支撑。

图3 标准化岗位授权体系Fig. 3 Standardized post authorization system

2 权限管理中心的构建

权限管理中心接收到数据中心主数据管理系统从人力资源管理系统传来的人员岗位信息，对所纳管的信息系统在人员账号权限按岗位变更自动调整的前提下，充分考虑操作的灵活性，通过“系统的主管设置”“主管部门授权”“使用部门授权”等前台功能模块，适应一人多岗和一岗多人、不同分工等权限分配调整的多种情形，最大限度地满足授权管理的个性化需求。

2.1 系统的主管设置

各部门的负责人或权限管理员可设置本部门主管的信息系统，如果设置有误，可由部门间线下协调，一方取消后由正确的部门合理设置系统的主管部门。

2.2 部门的归属设置

各部门的负责人或权限管理员可设置本部门所辖的部门，可同时将本部门和其它部门纳入本部门系统权限分配的管辖范围，在各部门对系统权限的可支配范围内设置一人多岗或一岗多人时区分细化相同岗位不同帐号间的权限差异。

2.3 主管部门授权

系统的主管部门可将其主管的信息系统中的模块分配给系统的使用部门，使之成为使用部门的可支配模块；系统的使用部门须向系统的主管部门申请、经主管部门审批后方可得到系统模块的使用权和支配权。

2.4 使用部门授权

系统的使用部门在系统按岗位对帐号自动赋予权限的基础上，在所辖部门可支配的系统权限范围内，可通过“帐号授权管理”及“岗位授权管理”等前台操作，灵活、便捷地对所辖帐号及所辖岗位的权限进行个性化调整。系统的使用部门既受制于系统的主管部门，又作为自治机构拥有部分的权限分配的自主权。

3 标准化岗位授权体系的应用成效

标准化岗位授权体系目前已在福建烟草商业企业的移动办公平台及数据中心报表等系统的授权管理中得到应用，其设计思路和实现方法已得到初步验证[9]。

在标准化岗位授权体系实行之前，福建烟草商业企业信息系统的授权是传统的RBAC 授权模式，其过程充满了随意性。系统角色的设置缺乏依据，大量角色重复、闲置, 系统的角色设置异常复杂。系统使用的权限需求被随意满足，人员账号的权限只增不减，人员每调整一次岗位，其系统账号就增加一些系统的使用权限；人员已离岗甚至离职，其系统账号仍可随意登录、使用系统，甚至可以对系统数据进行增删改操作，给信息系统的正常使用带来了潜在的威胁，与烟草行业信息系统账号安全的规范性要求差距较大。

通过权限管理中心的部署构建标准化岗位授权体系，解决了福建烟草商业企业信息系统授权过程中存在的下列几方面问题：

3.1 信息系统授权的统一性

标准化岗位授权体系的实行首先摒弃了以往信息系统授权体系中纷乱庞杂的系统角色，以标准化的岗位信息替代传统RBAC 授权模式中的角色，以人事部门的标准化文件规范主数据岗位池中的岗位名称，并下发推送给权限管理中心纳管的各信息系统。不同信息系统面向同一套标准化的岗位信息进行授权，实现跨业务、跨系统的岗位数据对接，解决不同信息系统角色设置的不一致问题，使各信息系统授权由权限管理中心统一纳管成为可能。

3.2 信息系统授权的及时性

标准化岗位授权体系在岗位信息标准化的基础上进一步构建了岗位与权限对应关系。当权限管理中心获取人员的岗位信息变动后，随即在岗位权限对应表中自动匹配相应的系统权限，实现了人员到岗时其系统账号的自动授权，改变了以往人员岗位变动后迟迟无法获取新岗位所需系统权限的现象。同时，标准化岗位授权体系在综合办公管理平台的统一门户界面实现了人事部门、信息系统主管部门和信息系统使用部门可共同介入的一站式的岗位变更及系统权限变更申请审批流程，岗位变更可触发授权变更。信息系统的使用部门在统一门户接收到相关待办流程后，通过权限管理中心的“帐号授权管理”及“岗位授权管理”等前台操作，可及时对其所辖部门人员账号已自动获取的系统权限进行个性化的灵活调整，使所辖部门的人员在岗位变动后获取的系统权限更加贴近实际工作安排的具体分工，尽早使用信息系统开展工作。

3.3 信息系统授权的规范性

标准化岗位授权体系通过系统固化了信息系统授权相关的审批流程，在权限管理系统中为每个信息系统设置了系统的主管部门，改变了以往系统的主管部门在系统上线之后基本不再问津系统的权限如何分配的状况，使系统的主管部门参与到信息系统权限管理的全过程。系统的使用部门申请的系统使用权限须经由系统的主管部门审批后，系统的使用部门方可对所申请模块进行支配和使用。

3.4 信息系统授权的安全性

在标准化岗位授权体系中，人员调整岗位后，其系统账号在自动获取新岗位的系统权限之前，其原有岗位所拥有的系统权限会从其账号被自动剥离；而人员离职时，其账号原有的系统权限将被清空。在权限管理中心，系统的主管部门可对所管系统的使用权限进行复核，回收不必要的权限；系统的使用部门则可对所属人员账号自动获取的岗位权限进行“去权”操作，达到一岗多人、不同分工的效果。标准化岗位授权体系改变了以往人员账号拥有的系统权限与人员的岗位职责不相匹配的局面，使信息系统的最小授权原则得以延续，消除了过度授权带来的安全隐患，保障了信息系统的安全使用。

4 结论

本文针对传统的基于角色授权模式的局限性，以来源于人力资源管理系统、经数据中心主数据管理系统标准化的岗位替代一般意义上的角色，实现标准化岗位授权。一方面通过面向标准化岗位的授权方式实现了人员到岗、账号自动授权及人员离岗、权限自动回收，有效降低了人员离岗后信息系统帐号仍可继续使用带来的安全风险。另一方面，通过权限管理中心的构建，实现了信息系统授权的流程化及痕迹化，与此同时，通过权限管理中心灵活的前台操作实现了信息系统授权的个性化便捷管理。标准化岗位授权使信息系统权限的规范化管理成为可能，为福建烟草商业企业信息系统一体化平台的建设提供基础和保障。