[发明专利]面向装备管理业务的数据权限控制系统及其控制方法

说明书

技术领域

本发明属于装备管理业务技术，具体涉及一种适用于多部门、多角色和多用户依据权限获取和使用装备管理基础数据和业务数据的技术。

背景技术

在信息管理系统中，传统的访问控制以用户为基本对象授予权限，这使得大型复杂系统的授权管理复杂，由于同类用户的授权相同，数据库中有大量重复数据，权限维护工作量大，且容易出错。基于角色的访问控制参考模型，通过引入角色概念实现了用户与权限的逻辑分离，极大地方便了权限的管理。

现役装备管理业务系统中所使用的数据权限控制软件，将用户分类与业务数据资源通过规则变量表达式建立映射关系，在实际数据权限管理中有如下缺点：

(1)操作维护复杂。有别于机构、角色和用户，根据使用场景和权限控制需求建立大量的用户分类，并针对逐条业务数据的增、删、改、查等操作建立大量业务数据资源，在此基础上完成多种权限策略的设置，操作复杂，维护量大。

(2)权限调整困难。缺少数据对象的概念，以数据对象与操作的组合作为数据资源。一旦机构、角色和用户分配的数据对象发生变化时，已有的权限管理方法很难实现权限动态调整。

(3)权限难以跟踪。缺少数据对象的概念，难以跟踪某一数据对象权限扩散范围。在人员离职、调岗时，难以实现数据权限的批量移交。

(4)权限适配性弱。针对装备目录等树形结构数据，缺少数据权限的继承和传递，难以开展有效的数据权限控制。

(5)与业务实际差距较大。机关用户主要是在办理业务过程中将权限传递至相关用户，仅有少量业务是由数据权限管理员分配；而非目前由统一的数据权限管理员进行权限管理。

因此，在装备管理业务系统中提供一种面向装备管理业务的数据权限控制技术是提高装备管理业务效率的关键环节之一。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种面向装备管理业务的数据权限控制系统及其控制方法，本发明能够在线管理、灵活配置的面向装备管理业务的数据权限控制技术，使得装备管理业务系统中各级机构、各类角色和各个用户便捷、高效、安全和灵活获取和使用业务数据。

技术方案：本发明公开了一种面向装备管理业务的数据权限控制系统，包括数据对象管理模块、权限操作接口模块、权限在线调用模块、权限集中管理模块以及权限统一查询模块。所述数据对象管理模块根据实际业务需求从数据管理角度划分数据对象，摆脱传统数据权限颗粒度过粗或过细问题；所述权限操作接口模块将权限控制独立于业务功能之外，针对数据对象，提供便捷统一的权限操作接口，摆脱权限控制与业务功能的紧耦合关系；所述权限在线调用模块在权限操作接口基础上，封装权限操作、集成权限视图，提供更高层次的可视化的权限操作；所述权限集中管理模块将通过权限操作接口和权限在线调用产生的权限控制记录进行集中统一管理，支持维护数据对象在机构、角色和用户中的数据权限，维护机构、角色或用户所拥有的数据权限，实现角色或用户数据的批量移交；所述权限统一查询模块提供完整权限操作结果数据，支持查询机构、角色或用户所拥有的数据权限，查询数据对象在机构、角色和用户中的数据权限扩散情况。

通过上述各个模块之间的相互配合来确定权限控制颗粒度：根据装备管理业务系统数据权限控制需求，提供机构级、角色级和用户级多重颗粒度的数据权限控制机制。

本发明还公开了一种面向装备管理业务的数据权限控制系统的控制方法，依次包括以下步骤：

(1)确定权限控制颗粒度：由数据对象管理模块根据装备管理业务系统数据权限控制需求，提供机构级、角色级和用户级多重颗粒度的数据权限控制机制；

(2)通过数据对象管理模块来确定权限控制数据对象；

(3)建立权限控制记录表，建立独立于基础数据和业务数据的权限控制表，包括数据对象标识、数据对象类型、机构、角色、用户和权限字段；

(4)注入权限控制脚本；

(5)提供权限管理功能；

(6)支撑业务办理工作。

所述步骤(1)的详细过程是：针对装备调配、使用和维修相关业务部门实现机构级数据权限控制，即审批通过的补充计划在业务处全体人员均可查看；针对装备科研和装备采购相关业务部门，实现用户级数据权限控制，即不同的用户应能看到不同的科研计划和科研项目；针对装备战备、装备训练和质量相关业务部门实现角色级和用户级数据权限控制。