基于RBAC的石油物探預(yù)算管理系統(tǒng)用戶權(quán)限設(shè)計(jì)及實(shí)現(xiàn)

李濤　陳鴻

摘要：用戶權(quán)限管理是指根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或者安全策略，用戶可以訪問而且只能訪問自己被授權(quán)的資源，它是管理系統(tǒng)不可缺少的一個(gè)部分。采用基于角色的訪問控制方法（RBAC）與石油物探工程預(yù)算業(yè)務(wù)流程相結(jié)合，實(shí)現(xiàn)分配直觀、操作簡(jiǎn)單、擴(kuò)展靈活的用戶權(quán)限管理。

關(guān)鍵詞：石油物探預(yù)算管理系統(tǒng);用戶權(quán)限;RBAC

中圖分類號(hào)：TP311? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）12-0082-03

隨著科學(xué)技術(shù)的發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)在石油物探工程造價(jià)領(lǐng)域已得到廣泛應(yīng)用，造價(jià)信息化管理顯得越來越重要。物探工程造價(jià)管理是一項(xiàng)集技術(shù)、管理、施工于一體的綜合性管理工程，不僅僅是造價(jià)管理部門的責(zé)任，所有與物探工程有關(guān)的部門都應(yīng)承擔(dān)相應(yīng)的工作職責(zé)。在管理系統(tǒng)中，合理控制眾多用戶對(duì)數(shù)據(jù)資源的訪問權(quán)限，建立功能完善的用戶管理、授權(quán)體系，對(duì)于保證管理系統(tǒng)數(shù)據(jù)的安全，實(shí)現(xiàn)各專業(yè)管理人員在各自職責(zé)范圍內(nèi)參與物探工程造價(jià)管理活動(dòng)有很重要意義。筆者通過《石油物探定額預(yù)算管理系統(tǒng)》的開發(fā)，就物探造價(jià)管理系統(tǒng)中的用戶權(quán)限設(shè)計(jì)談一點(diǎn)心得體會(huì)。

1 物探預(yù)算系統(tǒng)分析

1.1多部門參與物探工程項(xiàng)目預(yù)算

石油物探工程項(xiàng)目預(yù)算涉及項(xiàng)目信息、生產(chǎn)計(jì)劃、人力資源、材料、設(shè)備以及相關(guān)的費(fèi)用額度，多個(gè)部門參與其中，包含技術(shù)部門、生產(chǎn)管理部門、人力資源部門、設(shè)備管理部門、安全環(huán)保部門、財(cái)務(wù)經(jīng)營(yíng)部門等。各部門管理相應(yīng)的預(yù)算業(yè)務(wù)（見表1）。

1.2 預(yù)算業(yè)務(wù)的提交審核操作流程

一個(gè)部門內(nèi)，操作員進(jìn)行相關(guān)業(yè)務(wù)操作，完成業(yè)務(wù)操作后，提交到審核員進(jìn)行業(yè)務(wù)審核。審核員對(duì)業(yè)務(wù)審核后，可返回給操作員進(jìn)行修改調(diào)整;也可通過審核，業(yè)務(wù)將提交到審查員進(jìn)行審查。審查員經(jīng)對(duì)業(yè)務(wù)審查后，可返回操作員，重新進(jìn)行業(yè)務(wù)操作;也可以審查通過，業(yè)務(wù)將到下一部門進(jìn)行操作（見圖1）。

1.3 部門之間預(yù)算業(yè)務(wù)流程

各部門之間預(yù)算業(yè)務(wù)存在前后銜接邏輯關(guān)系，具體的預(yù)算流程見圖2所示（注：圖中是以項(xiàng)目審查在財(cái)務(wù)經(jīng)營(yíng)科為例進(jìn)行編制）。一個(gè)科室完成本科室的業(yè)務(wù)后，經(jīng)審核通過和審查通過后，才可進(jìn)行下一步業(yè)務(wù)流程。而項(xiàng)目審查有權(quán)將業(yè)務(wù)重新返回于前面流程中重新開始業(yè)務(wù)操作。

1.4 企業(yè)之間預(yù)算管理存在差異

不同的物探企業(yè)對(duì)于物探工程預(yù)算項(xiàng)目管理不完全相同，相同的預(yù)算業(yè)務(wù)可能由不同部門負(fù)責(zé)管理。管理系統(tǒng)將用戶權(quán)限分成系統(tǒng)操作權(quán)限及業(yè)務(wù)操作權(quán)限兩類，并通過物探企業(yè)管理員的兩次權(quán)限分配，來實(shí)現(xiàn)不同企業(yè)業(yè)務(wù)操作的差異，滿足預(yù)算管理的需要。

2 系統(tǒng)用戶權(quán)限設(shè)計(jì)

2.1基本思路

本次管理系統(tǒng)開發(fā)權(quán)限管理模式采用基于角色的訪問控制方法（Role-Based Access Control 簡(jiǎn)稱RBAC），這是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問控制的有效方法。其基本思路就是把整個(gè)訪問過程分為兩步：權(quán)限授予角色，即權(quán)限與角色相關(guān)聯(lián);用戶則依據(jù)責(zé)任和資格來被指派相應(yīng)的角色，即角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)， 從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離（見圖3）。

權(quán)限的授予由管理員統(tǒng)一管理，管理員根據(jù)單位中不同的崗位定義不同的角色，用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色。一旦用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。

根據(jù)物探項(xiàng)目預(yù)算的具體情況，管理系統(tǒng)訪問控制基本思路（見圖4），用戶歸屬于部門，角色也屬于部門，用戶由管理員授予一定角色;系統(tǒng)操作權(quán)限由管理員授權(quán)到角色，業(yè)務(wù)操作權(quán)限由管理員分配到不同的系統(tǒng)操作權(quán)限之中。

2.2系統(tǒng)部門與角色設(shè)定

物探企業(yè)的管理員負(fù)責(zé)本企業(yè)用戶管理、部門管理、權(quán)限管理等;參與預(yù)算的部門分別設(shè)操作員和審核員角色，其中操作員負(fù)責(zé)本部門系統(tǒng)操作權(quán)限的編制、提交等操作，而審核員負(fù)責(zé)對(duì)操作員提交的業(yè)務(wù)進(jìn)行審核等操作;審查員對(duì)每個(gè)部門審核后的業(yè)務(wù)進(jìn)行審查，并查看本處預(yù)算項(xiàng)目的情況，掌握已結(jié)束預(yù)算項(xiàng)目、未結(jié)束預(yù)算項(xiàng)目、每個(gè)預(yù)算的流程進(jìn)展明細(xì)等。

2.3系統(tǒng)操作權(quán)限與業(yè)務(wù)操作權(quán)限

管理系統(tǒng)中把用戶權(quán)限分成系統(tǒng)操作權(quán)限及業(yè)務(wù)操作權(quán)限兩類。其中系統(tǒng)操作權(quán)限是指用戶訪問而且只能訪問被授權(quán)的系統(tǒng)資源，包含用戶管理、項(xiàng)目管理等等，業(yè)務(wù)操作權(quán)限就是指項(xiàng)目預(yù)算涉及的具體業(yè)務(wù)流程操作，如項(xiàng)目鉆井參數(shù)、項(xiàng)目詳細(xì)參數(shù)、項(xiàng)目測(cè)量明細(xì)、采集直接工程費(fèi)、間接工程費(fèi)、預(yù)算報(bào)表等（見圖5）。

業(yè)務(wù)操作權(quán)限能分別授權(quán)于系統(tǒng)操作權(quán)限中的參數(shù)信息、生產(chǎn)計(jì)劃、人力計(jì)劃、設(shè)備配置、HSE預(yù)算和預(yù)算費(fèi)用;而系統(tǒng)操作權(quán)限能分別授予不同部門和不同崗位，由企業(yè)管理員來負(fù)責(zé)本企業(yè)的權(quán)限分配。通過對(duì)這兩部分權(quán)限分配，可滿足各企業(yè)實(shí)際項(xiàng)目預(yù)算的工作要求。

3 管理系統(tǒng)的實(shí)現(xiàn)

3.1數(shù)據(jù)庫(kù)設(shè)計(jì)

為實(shí)現(xiàn)對(duì)用戶權(quán)限的需求，管理系統(tǒng)數(shù)據(jù)庫(kù)的用戶權(quán)限部分采用如下設(shè)計(jì)（見圖7）。數(shù)據(jù)庫(kù)內(nèi)建立有物探處表、部門表、用戶表、角色表、系統(tǒng)操作權(quán)限表和業(yè)務(wù)操作權(quán)限表，還有角色與系統(tǒng)操作權(quán)限映射表及系統(tǒng)權(quán)限操作與業(yè)務(wù)權(quán)限映射表。

物探企業(yè)的管理員通過對(duì)用戶表的操作，實(shí)現(xiàn)對(duì)本企業(yè)用戶添加、用戶修改、用戶角色授予等系統(tǒng)操作;對(duì)角色及角色與系統(tǒng)權(quán)限映射兩張表操作，可實(shí)現(xiàn)角色添加、角色修改以及角色權(quán)限授予等系統(tǒng)操作;通過對(duì)系統(tǒng)權(quán)限與業(yè)務(wù)權(quán)限映射操作可實(shí)現(xiàn)將業(yè)務(wù)分配到不同的系統(tǒng)權(quán)限內(nèi)。

3.2系統(tǒng)用戶權(quán)限管理的操作

3.2.1用戶管理

企業(yè)管理員對(duì)本企業(yè)的用戶進(jìn)行管理操作，主要操作包括：新建用戶、用戶查詢、用戶密碼初始化、刪除用戶等。新建用戶操作如下：輸入用戶名稱，選擇好用戶所屬部門和操作角色后，點(diǎn)擊“添加”按鈕，完成建立用戶及授予角色操作。

3.2.2角色管理

企業(yè)管理員對(duì)本企業(yè)的角色進(jìn)行管理操作，主要操作包括：新建角色、用戶查詢、刪除角色等。新建角色操作如下：輸入角色名稱，選擇角色的系統(tǒng)操作權(quán)限，點(diǎn)擊“添加”按鈕，如用戶角色未能添加成功，則彈出“用戶角色添加失敗”對(duì)話框。

3.2.3預(yù)算操作權(quán)限修改

企業(yè)管理員對(duì)本企業(yè)的預(yù)算操作權(quán)限管理操作，主要操作包括：預(yù)算操作權(quán)限查詢、預(yù)算操作權(quán)限修改等。

預(yù)算操作權(quán)限修改如下：在預(yù)算操作權(quán)限列表中，找到需要進(jìn)行修改的權(quán)限名稱，點(diǎn)擊其對(duì)應(yīng)的“修改”鏈接，跳轉(zhuǎn)到修改系統(tǒng)權(quán)限的預(yù)算操作頁(yè)面。

重新選擇預(yù)算操作權(quán)限后，點(diǎn)擊“保存”按鈕;當(dāng)預(yù)算操作權(quán)限修改成功后，系統(tǒng)彈出“預(yù)算操作權(quán)限修改成功”;如預(yù)算操作權(quán)限未能修改成功，則彈出“預(yù)算操作權(quán)限修改失敗”對(duì)話框。

4 結(jié)束語(yǔ)

通過本次管理系統(tǒng)開發(fā)，對(duì)基于角色的訪問控制方法（RBAC）有更深入的了解。在充分了解和掌握石油物探造價(jià)業(yè)務(wù)流程的基礎(chǔ)上，再結(jié)合該方法能減小系統(tǒng)授權(quán)管理的復(fù)雜性，能靈活支持業(yè)務(wù)流程的變化，是解決管理系統(tǒng)資源訪問控制的有效方法。

參考文獻(xiàn)：

[1] 曹天杰，張永平.基于角色訪問控制的總體設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用與軟件，2001，18（8）：23-25，59.

[2] 劉曉玲，郭龍.基于RBAC的用戶權(quán)限管理的研究與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2013，9（7）：1487-1490.

【通聯(lián)編輯：聞翔軍】