企業人力資源管理系統中訪問控制的設計與實現

辛向利 陳秀敏 劉景匯

【摘 要】隨著我國信息和網絡技術的日益發展，企業的人力資源管理也進入到了高效的信息化時代。但是網絡信息安全存在的問題也日益突出。管理信息系統中安全性的設計則成為系統設計中的一個非常重要的課題。對用戶進行身份驗證，對網絡資源進行訪問控制都可以極大地減少安全隱患，進一步提高系統的安全性。本文分析了RBAC訪問控制模型，并結合企業人力資源管理系統的業務邏輯，確定了模型中的用戶、角色，資源，權限，通過對用戶賦予不同角色，給不同角色不同的對資源的訪問權限，有效控制了系統資源的安全性訪問。

【關鍵詞】角色；訪問控制；角色；授權

一、引言

在當今社會，各行各業都面臨著極大的生存和機遇挑戰。一個企業要想在競爭中不斷發展，不僅與企業的工作管理模式、辦公效率及企業整體發展策略有極大地關系，而且企業對于員工的管理及個人發展規劃也有著決定性的作用[1]。本人力資源管理系統的設計目標是充分利用企業網絡資源，簡化人力資源的管理流程，提高人力資源部門的管理效率，加強不同部門的協作；增強員工自助服務的功能，改進員工服務模式。由于企業用戶眾多、分屬不同部門、各部門的業務繁多，相互之間又聯系密切，因此如何保證系統資源被正確、有效的訪問是亟待解決的問題。

二、RBAC

訪問是一種利用計算機資源去做某件事情的能力，訪問控制是一種手段[2]，它不僅規定了“誰”能以“何種方式（權限）”去訪問某種“資源”，甚至對可訪問資源的類型都能加以控制。具體的控制方式可以在計算機系統或者外部設備中實現。

RBAC是Role-Based Access Control的縮寫，即基于角色的訪問控制。這種模型將訪問控制看作是“Who對What進行How的操作”。其中Who代表權限的擁有者或主體（如Principal、User、Group、Role、Actor等）；What代表可訪問的對象或資源（Resource）；How代表了具體的權限（Permission）。RBAC的關注點在于Role和User， Permission的關系。在這種訪問控制中，權限與角色相關聯，用戶通過成為適當角色得到這些角色的權限；極大地簡化了權限的管理[3]。

RBAC作為目前比較流行的訪問控制策略，它通過在用戶及訪問權限之間引入“角色”的概念，將用戶和權限分離。其核心思想是通過對用戶分配合適的角色，對角色進行授權來控制用戶對資源的訪問。在這種策略中，一個用戶允許同時擁有多個角色，一個角色也可以同時分配給多個用戶；一個角色也可以包含多個權限，一個權限也可以被多個角色包含。RBAC模型圖如圖1所示。

三、 系統訪問控制設計

為了提高系統的安全性，進一步細化用戶對系統模塊的使用權限，在人力資源管理系統引入基于權限的訪問機制，可以將企業實際的管理權限具體分配到不同角色的用戶身上，使用戶對系統的操作保持在一定的范圍內，提高了系統的安全性。

系統安全設計采用了用戶-角色-模塊（資源）的三層安全模式，分別為用戶層、角色層和模塊層。通過對用戶、角色和權限之間建立聯系，能夠控制用戶在系統操作時擁有角色對應的權限，表現為對于不同的角色允許操作不同的功能模塊，有效避免了越權行為的發生。

（一）角色的認定

在企業人力資源管理系統中，角色是為了完成企業的各種工作任務而創造的，用戶則依據其責任和資格來被指派相應的角色，當一個工作任務結束后，用這個角色即可被撤銷，如果有別的任務則重新分配其它角色。角色可根據企業管理需求變化被賦予不同的權限，而權限也可根據需要而從某角色中收回[3]。此種方法更符合企業的用戶、組織、數據和應用特征。

人力資源管理系統是一個面向多用戶、多部門的開放系統，其管理的信息多且復雜。通過問卷調查、與企業各部門員工交流，我們了解了企業組織結構的構成、人力資源管理的業務流程以及各部門的業務需求，并結合中小型企業管理的特點，分析了企業人力資源管理的具體業務，本系統角色主要劃分為系統管理員、模塊管理員和普通用戶。

系統管理員：擁有最高權限，具有對用戶、角色、模塊的管理功能；還包括對用戶的角色定位，權限授權等功能；

模塊管理員：擁有對相應功能模塊的管理功能；

普通用戶：權限最低，根據被賦予的角色不同，擁有對不同模塊的訪問權限。

（二）權限的認定

人力資源管理系統中對權限定義為對某個資源模塊的訪問，一般包括增加、刪除、修改、查詢四項基本操作權限。

（三）資源

資源是對細化了的系統功能模塊，本系統中劃分的主要功能模塊有：系統管理，人事信息管理、績效管理、考勤管理、招聘管理、培訓管理和員工自助等七個模塊。

數據庫設計部分分別設計了用戶表、角色表、資源表和操作表四個基本表，并根據這四張表生成了三張關聯表，分別為用戶-角色表，操作-資源表（即權限表），以及角色-權限表。用戶、角色和權限的關系如圖2所示。

用戶和角色之間，角色和模塊之間都是多對多的關系，比如人事信息管理員角色的權限允許其對人事信息進行增加、修改、刪除以及查詢操作，同時具備普通員工角色的修改個人密碼、查詢考勤記錄等權限，而招聘管理員角色具有對個人人事信息查詢的權限及招聘管理的所有權限、普通員工角色的所有權限等。用戶對模塊的訪問變成用戶以某種角色對某個模塊進行訪問。系統安全管理圖如圖3所示。

四、系統訪問控制的實現

（一）訪問控制模塊的組成

（1）基本信息管理：包括用戶管理，角色管理，權限管理等。這部分由系統管理員來設置，其中用戶是使用該系統的所有員工；角色管理由系統管理員根據企業具體業務管理設計出不同角色，比如：人事信息管理員、考勤信息管理員等；將權限管理保證系統合法用戶的具體操作權限，可以精確到操作對象的范圍，主要分為瀏覽、添加、刪除、修改四個基本權限，達到有效分級的目的。

（2）授權管理：系統管理員根據員工的日常工作職責，為員工賦予不同的操作角色，根據員工在業務中的等級分配具體的操作權限，當該業務完成后，該角色允許被修改或者刪除。進一步提高用戶訪問的安全性。

（二）訪問控制實現過程

當用戶以正確的用戶名和密碼成功登錄后，如果要對系統的某個資源即功能模塊進行訪問時，系統首先從該用戶角色管理表中取出當前用戶擁有角色，再根據角色功能表中取出每個角色具有的對功能模塊的訪問權限。用戶對每個模塊在進行訪問之前都要先判斷該用戶是否對該模塊具有訪問權限，如果有則操作可行，如果沒有權限則禁止訪問。

五、結束語

本文對訪問控制中權限界定為對某個資源模塊的訪問，實際在應用中還可以把訪問對象細化到某張具體的數據表。權限傳遞的約束力度會更加小，這些都會在未來進一步研究。

參考文獻：

[1] SmithAndrew.Overcoming four HR outsourcing obstacles： Top tips for tackling a selection of HR outsourcing challenges.Strategic HR Review.2006， 5（4）：28-31.

[2] 石莉.基于LINUX安全模塊的RSBAC研究.陜西科技大學碩士論文.2007：4-5.

[3] 薛志兵， 藺荻.基于互聯網的民航城市值機系統信息安全性研究.中國民航大學學報.2011， 29（3）：82-83.