企業級信息系統功能權限統一管理方法

企業級信息系統功能權限統一管理方法
【技術領域】
[0001]本發明涉及信息技術領域，具體的說，是企業級信息系統功能權限統一管理方法。
【背景技術】
[0002]隨著現代社會信息化發展，國家在戰略上鼓勵企業信息安全建設全面發展。企業信息化的發展壯大，導致信息化應用發生翻天覆地的變化，同時，信息系統的安全和管理也越來越重要。另一方面，在《國家信息安全產業“十二五”發展規劃》、《中共中央關于全面深化改革若干重大問題的決定》等文件中均明確地對國家信息安全做出了規則，并指出了關于信息安全的相關要求。
[0003]在電力企業中，信息管理系統數量日益暴增、種類繁多，然而不同的信息管理系統在安全訪問和功能權限控制模型方面所采用的技術也不盡相同，為適應企業信息系統功能及權限統一控制，建立一套統一的功能權限統一管理系統來解決各信息系統的權限集中管理是信息化發展的要求。
[0004]在權限管理控制領域，RBAC (基于角色的訪問控制)模型是一個通常被引用的信息系統權限模型，RBAC的基本原理就是建立一系列角色對象，與資源和用戶進行關聯，對用戶指派相應權限的角色，從而實現了用戶與訪問權限的邏輯分離。
[0005]另外，通過統一用戶身份管理引用為不同業務應用服務，創建不同的業務組織體系及組織維度、組織單元，通過創建業務應用和應用節點來進行用戶數據、系統資源及權限數據的數據同步，從而進行業務系統權限控制，取代原有業務系統的權限模塊。
[0006]其次，對不同的業務系統在權限系統的集成上也有不同，這就要求數據同步的數據機構靈活適配，在權限管理系統采用策略模式進行匹配，通過策略進行數據管理及推送。
[0007]采用實體資源方式管理菜單及功能、采用角色實體方式管理角色數據、采用它們之間的關系進行關系管理。
[0008]隨著企業信息化發展壯大，信息系統新建種類和數量急劇遞增，然而各信息系統都需要建立一套身份及功能權限管理體系，因此，各系統之間的運行維護和安全管理就相對獨立，分散管理不僅不能提高管理效益，還給企業留下了信息安全隱患，各系統間的信息共享和權限信息共享成了問題。

【發明內容】

[0009]本發明的目的在于解決企業級信息系統中功能機構、權限模型不一致，功能權限管理分散，用戶身份不統一管控的問題，建立一整套身份、資源及授權集中管理的授權體系，利用企業級信息系統功能權限統一管理方法，打破信息孤島，降低運行維護成本及安全管控成本，切實有效的保證身份、資源及權限數據一致性、完整性和安全性。
[0010]本發明通過下述技術方案實現:企業級信息系統功能權限統一管理方法，包括以下步驟:
I)建立身份管理中心:構建一套完整的用戶身份管理中心，其數據主要覆蓋企業所有“用戶”、“基準組織單元”、“崗位”及“業務用戶”;所述“用戶”、“基準組織單元”、“崗位”構成基準組織體系；
2)建立組織管理中心:構建一套完整的業務組織體系管理中心，其數據主要覆蓋企業級信息系統的“業務組織體系”、“組織維度”、“業務組織性質”、“業務組織單元”；
3)建立資源管理中心:構建一套完整的資源管理中心，其數據主要覆蓋企業級信息系統的“業務域”、“業務應用”、“子系統”、“資源”及“權限對象”；
4)建立角色管理中心:構建一套完整的角色管理中心，“角色”的建立按照業務應用維護建立“業務角色”;按照業務組織維護建立“組織角色”;按照業務崗維護建立“崗位角色”，并確定授權體系。
[0011]進一步的，為更好的實現本發明，所述步驟3)包括以下步驟:
3.1)在新建完一個企業級信息系統時，首先要識別該企業級信息系統所在企業戰略的業務應用域，整理出企業級信息系統所涵蓋的組織范圍；企業級信息系統在首次使用時，可根據企業的信息資源規劃完成“業務域”和“業務組織體系”的初始化，該步驟的建立需要從企業的信息資源規劃的整體上出發，即自上而下；
3.2)如果“業務域”或“業務組織體系”不存在，則需要先梳理出該“業務域”所參與的組織部門及企業級信息系統的業務需求，并結合公司的行政機構完成“業務組織體系”、“業務組織性質”、“業務組織單元”的建立；如果已經存在，則根據企業級信息系統所屬“業務域”選擇對應的“業務組織體系”即可；
3.3)創建“業務應用”，完成業務需求在“業務應用系統”的劃分，并進一步構建完成“子系統”，通過“子系統”的業務信息梳理，建立資源分類劃分和資源組裝。
[0012]進一步的，為更好的實現本發明，所述步驟4)包括以下步驟:
4.1)根據“業務應用系統”的業務權限要求建立“業務角色”定義及模板規范，完成“業務應用系統”中“業務角色”的創建和資源劃分；
4.2)根據“業務應用系統”的業務權限要求建立“組織角色”定義，完成“組織角色”的創建和資源劃分；“組織角色”的權限建立是通過“業務角色”的權限指派派生而來，但“組織角色”可根據場景進行權限自定義；
4.3)根據“業務應用系統”的業務權限要求建立“業務崗位”定義，完成“業務應用系統”中“業務崗位”的創建和角色關聯；
4.4)根據“業務應用系統”的權限業務要求，進一步確定授權體系，所述授權體系包括:“角色”與“資源”的指派，“角色”與“用戶”的指派，“角色”內部自身的指派。
[0013]進一步的，為更好的實現本發明，“組織角色”采用“業務應用系統”進行安全域隔離，“崗位”和“組織角色”是多對多的關系；“業務崗位”直接與“業務角色”和“組織角色”進行關聯掛接，“業務崗位”跟“資源”直接是一種松耦合的關系，“業務崗位”可直接授予具體的人員。
[0014]進一步的，為更好的實現本發明，所述“用戶”是人資權威源人員信息，通過企業自定義權威來源的方式確定“用戶”統一來源；所述“基準組織單元”是行政機構，按照職能目標進行劃分；所述“崗位”是行政組織下需要完成的一項或多項責任權力的統稱。
[0015]進一步的，為更好的實現本發明，由“基準組織體系”擴展構建一整套完整的業務組織體系；由“用戶”根據業務特性構建一整套“業務用戶”所屬應用和組織，“業務用戶”所屬應用和組織的產生是根據企業級信息系統策略生成。
[0016]本發明與現有技術相比，具有以下優點及有益效果:
(I)本發明解決企業級信息系統中功能機構、權限模型不一致，功能權限管理分散，用戶身份不統一管控的問題，建立一整套身份、資源及授權集中管理的授權體系，利用企業級信息系統功能權限統一管理方法，打破信息孤島，降低運行維護成本及安全管控成本，切實有效的保證身份、資源及權限數據一致性、完整性和安全性。
[0017](2)本發明將企業級身份權限資源數據進行統一管理，所有的用戶、權限、資源對象或它們之間的關系統一管控，受控實體按照企業業務能力進行劃分，不同業務域之間互不干擾、單獨管理，能大大提高企業級管理效率、降低生產成本和運維成本。
[0018](3)本發明通過企業自定義權威來源的方式確定用戶統一來源，繼承了原有用戶和組織信息，擴展了用戶信息和復制，方便了運維管理，統一了用戶的唯一性。
[0019](4)本發明所述組織體系作為一系列相關組織的頂層架構，負責相關組織的創建及統一管理。
【附圖說明】
[0020]圖1為本發明企業級信息系統功能權限統一管理方法的模型架構圖。
[0021]圖2為本發明所述身份管理中心示意圖。
[0022]圖3為本發明所述組織管理中心示意圖。
[0023]圖4為本發明所述資源管理中心示意圖。
[0024]圖5為本發明所述角色管理中心示意圖。
【具體實施方式】
[0025]下面結合實施例對本發明作進一步地詳細說明，但本發明的實施方式不限于此。
[0026]業務應用域:信息企業的核心業務領域，它的劃分根據業務關聯性和業務能力進行組合，和企業組織組織機構中部門的劃分比較類似。
[0027]業務應用系統:設置在企業級信息系統內，為實現企業同一業務功能目標、模塊之間進行緊密聯系的同類型的