宋晶晶

摘要：针对传统网络管理系统权限分配单一、操作复杂且易误操作的问题，提出了基于被管对象的网管权限分配技术。介绍了基于被管对象的网管权限分配技术的优点及软件设计的思路。针对各模块的功能进行了详细阐述，并对系统权限及授权机制和方法进行了介绍，实现了不同用户角色的分权管理和互相监督要求，保证了数据安全。通过实例验证了基于被管对象的网管权限分配技术的可行性和易操作性。

关键词：被管对象；权限分配；角色授权；数据安全

中图分类号：TP393文献标志码：A文章编号：1008-1739（2022）10-41-4

面对企业管理信息化进程的不断深化，各岗位分工趋于精细化，传统网管权限分配仅定义超级管理员权限和一般管理员权限。除超级管理员外，各软件管理员登录系统后看到的界面相同，只是不同的用户根据职责分工操作不同的被管对象，该模式界面复杂且易误操作，更有扩大信息知悉范围的风险，造成不必要的商业秘密泄露。基于被管对象的网管权限分配技术，根据不同的用户级别确定了不同的网管权限，可有效避免上述问题的发生。软件运行时，根据不同的用户管理不同的被管对象，通过对软件管理员账号分配不同的权限，可以实现对网络管理软件更加精细化的管理和维护，不仅可以有效提升网络管理系统的运营效率，最重要的是能够保证数据安全，提升企业的管理水平，增强企业的效益。

针对用户接入身份不同、操作功能不同等问题，需要将其操作权限化，合理、安全、高效、灵活的权限分配方法在访问控制中尤为重要[1]。访问控制是通过某种途径显式地准许或限制用户、组或角色对信息资源的访问能力及范围的一种方法。由于网络管理系统管理用户数量较多，为简化设计、降低开发难度、缩短开发周期，基于用户、角色、权限与实际相对应，模块化的基于被管对象的网管权限分配技术被提出，该技术有效降低了权限分配的复杂性，提高了授权管理的灵活度。

基于被管对象的网络管理系统权限分配技术的优点如下：

①软件管理员仅能看到负责的被管对象，用户内容更具针对性，界面清晰明了，操作简单，能有效避免误操作；

②根据软件管理员分工看被管对象，避免扩大信息的知悉范围，防止恶意篡改或泄密；

③利于数据采集归类、故障影响域分析及应急快速响应；

④利于告警分拣通知和告警处置；

⑤将管理人员向专业方向发展，提高精细化水平。

基于被管对象的网管权限分配，采用用户-角色-权限的关联机制，软件功能组成如图1所示。

2.1设计思路

基于被管对象的网络管理系统通过权限分配，将不同的职能显示与其各自的管理工作相结合，使用户各司其责进行管理工作，实现不同用户角色的分权管理和互相监督要求[2]。

2.2模块组成

基于被管对象的网管权限分配系统主要包括以下模块：

（1）用户管理

用户管理是将需要使用系统的人员信息添加到系统，并为其创建用户名和密码，能够对用户进行增加、删除、编辑和查询操作。系统以列表的方式将所有用户信息列出，每条用户记录包括以下信息：用户名称、真实姓名、联系方式、所属部门、所属班组、所属用户组、用户创建时间和联系方式等。通常情况下，系统在开通之初会生成一个拥有最大权限的用户（超级管理员），其他用户均由该用户创建。因超级管理员拥有系统的全部权限，可穿梭查看系统中的所有数据，如果使用不恰当，是系统管理的安全隐患，所以一般该账号在配置好系统、创建完各管理员账号之后建议被隐藏起来。

用户管理功能主要实现系统的用户登记功能，对登录网络管理系统的用户进行管理维护。根据管理权限不同，可将用户分为不同的用户组，每组拥有不同的操作权限。调用用户管理模块，可以对用户进行添加、修改和删除等操作，最终将用户信息保存到数据库。在删除用户时，需要注意，要把用户角色关系表中与被删除用户的相关信息级联删除，以减少冗余信息。

用户管理功能执行流程如图2所示。

在用户管理界面进行用户信息操作时，系统根据指令调用用户管理模块相关函数，执行用户的添加、修改及删除等操作，将用戶数据存入数据库，并向前台界面返回操作成功与否的消息，提示管理员操作结果。

（2）角色管理

角色是一组访问权限的集合，当需要对一组用户赋予相同的权限时，可以使用角色来授权，这样的好处是将抽象的权限具体化，管理员仅需要思考每个角色应该赋予什么样的权限即可。基于角色的授权可以大大简化授权流程，便于进行批量调整权限，降低授权管理的复杂性及管理成本。角色管理主要包括添加角色、修改角色、回收角色及查询角色信息等。

基于被管对象的网络管理系统根据使用需求设置网系管理员角色、值班员角色、技术总体角色和指挥员角色4种角色，不同角色根据岗位分工及职责，设置了不同的权限，具体如下：

网系管理员角色能够查看和管理自身网系子系统的资源、故障、告警、模型等信息。

值班员角色能够综合查看所有网系的资源及告警，并且能够发起故障、维修工单。值班员能够查看的内容包括：综合监视管理、综合业务管理、综合资源管理和即时通信管理。值班员能够查看所有的网系信息。

技术总体角色能够查看所有网系的资源及告警，并发起工单。技术总体能够查看的内容包括：任务保障管理、综合监视管理、综合业务管理、综合资源管理和即时通信管理。技术总体角色能够查看所有的网系信息。

指挥员角色能够从全局角度查看网络态势、任务态势和保障力量等信息。指挥员能够查看的内容包括：网络运行态势、保障任务态势、任务保障管理、综合监视管理、综合业务管理、综合资源管理和即时通信管理。指挥员角色能够查看所有的网系信息。

（3）权限管理

权限管理是将系统中的操作权限和资源权限赋予某个角色，进行角色的权限分配，使其具有登录系统并进行相应操作的能力，将创建的用户和角色进行绑定，用户就能够获得该角色中授予的访问权限。系统的操作权限主要是权限的增加、删除、修改和查询。资源权限主要包括菜单权限和数据权限；对于没有权限操作的用户，直接隐藏对应的菜单选项，这种方法简单、快捷、直接，对于一些安全且不太敏感的权限，使用这种方式非常高效；对于安全需求高的权限管理，仅从前端限制隐藏菜单、隐藏编辑按钮是不够的，还需要在数据接口上做限制，如果用户试图通过非法手段编辑不属于自己权限的数据，服务器端会识别、记录并限制访问。

权限配置执行流程如图3所示。

不同角色具有不同的权限，根据实际需求确定系统中网系管理员角色、值班员角色、技术总体角色和指挥员角色的权限后，在系统前台界面创建一用户A，系统调用用户管理模块相关函数，对用户A进行数据合法性判定后，调用系统后台用户存库服务函数，将用户A的信息存库，之后根据用户A需要授予的权限，对其进行权限配置，并存库，这样用户A就被授予了对应的权限。

权限定义了“用户在什么对象上可以执行哪些操作”[3]。权限要素包括执行者、执行对象和操作，权限图解如图4所示。

一个角色可以与多个用户关联，管理员只需要把该角色赋予用户，用户就有了该角色下的所有权限。角色起到了桥梁的作用，连接了用户和权限的关系，每个角色可以管理多个权限，同时一个用户关联多个角色，保证这个用户拥有多个角色的多个权限。

（4）日志管理

日志管理是将系统本身及软件管理员操作系统的每个动作如实记录，且软件管理员无法将日志信息进行修改、删除操作，确保软件能够对抗外部和内部威胁、数据丢失。它记录系统所产生的所有行为，并按照某种规范表达出来，确保系统的完整性，保证任何人都无法掩盖自己或其他人的踪迹。通过日志分析，可检测系统运行是否异常，以及发现网络中的可疑行为。该模块的核心功能为日志数据的记录、获取及日志数据索引（用于快速搜索）。

日志可以作为系统运行和网络访问的重要事件记录，帮助管理人员了解系统的运行状况及安全状况等，为定位、调试线上出现的问题及安全隐患提供便利，节省大量时间及精力。为保证日志便于查看，有利于定位和解决问题，本系统中日志输出时信息尽量详细，如将文件名、行号、打印时间和错误原因等情况输出。为保证日志更具便捷性，本系统将日志设置了4个不同的日志级别并分级别存放，包括调试、信息、警告及错误。4类日志级别根据严重程度级别不断上升，利于管理人员查找相关操作情况，实现设计的友好。

（5）在线帮助

在线帮助是系统搜集了用户容易碰到的使用问题及解答，使用户随时随地都可以获得及时帮助，大大改善用户体验。在线帮助支持模糊查询、查询定位等功能。模糊查询主要是搜索部分的字词，系统就可自动查找出所有相关信息；查询定位主要是通过搜索到的字词，系统定位到当页并特别标识。

2.3权限及授权机制和方法

通过对用户角色和权限进行设置，可以方便实现对用户权限的控制。一个用户拥有若干角色，每一个角色拥有若干权限，用户与角色之间、角色与权限之间，一般是多对多的关系。

（1）权限

权限的执行者为用户。执行对象是指用户在哪里执行操作[4]，包括系统和资源，其中系统是指本软件系统，资源包括用户管理、资源管理等功能模块；操作是指用户执行的操作包含对系统各个功能模块的调用。

（2）授权机制

授权是为用户授予在哪些对象上可执行哪些操作权限的过程[5]。用户管理的授权机制如下：

①将要执行操作的对象加入用户所在角色的管理对象中，以定义角色中的用户可以在哪些对象上操作。

②将对象的操作加到用户所在角色的操作权限中，以定义角色中的用户可以在对应的对象上执行哪些操作。

用户管理的授权原理如图5所示。

用户管理提供的授权方法为用户绑定角色授权，即先设置角色权限（管理对象和操作权限），然后将用户加入角色，使用户继承角色的权限[6]。为用户授权时，进行一次授权操作便可完成一个岗位所有用户的授权。同时，当岗位人员发生变动时，在角色中删除原用户、添加新用户便可实现对新用户的授权。

基于被管对象的网管权限分配技术在某综合网络管理系统中进行了应用，取得了预期效果。具体操作过程如下。

新建网系管理员角色、值班员角色、技术总体角色和指挥员角色，根据系统设定的角色操作权限，创建角色时，将角色操作权限进行勾选，不同角色被赋予不同权限。再新建4个用户a1，a2，a3，a4，分别授予其网系管理员角色、值班员角色、技术总体角色和指挥员角色，这样用户a1，a2，a3，a4便分别具有了系统赋予的4种角色的不同操作权限。用不同的用户登录系统，看到的界面不同，达到了分权控制的目的。系统添加角色如图6所示。

基于被管对象的网管权限分配技术，很好地解决了传统系统中职责分工不明确、责任不清晰的问题。各岗位责任人根据岗位分工被赋予不同被管对象的管理及操作權限，系统显示界面一目了然，各被管对象清晰展示，有利于进行系统的告警分拣、告警处置及数据采集归类等，并为信息的及时捕捉及快速响应提供了必要的技术手段，提高了工作效率及管理水平，提升了企业的精细化管理能力，有效降低了操作人员失泄密及误操作的风险，取得了良好的效果。

[1]朱佳伟，喻梁文，关志，等.Android权限机制安全研究综述[J].计算机应用研究，2015，32（10）：2881-2885.

[2]杨家海，任宪坤，王沛瑜.网络管理原理与实现技术[M].北京：清华大学出版社，2000.

[3]周佩德.数据库原理及应用[M].北京：电子工业出版社，2004.

[4]李红.管理信息系统开发与应用[M].北京：电子工业出版社， 2003.

[5]朱二莉.高校科研管理系统中的权限管理[J].电脑知识与技术，2014，10（29）：6813-6815.

[6]蔡宝玉.计算机网络安全技术在电子商务中的应用[J].计算机产品与流通，2020（5）：18.