[发明专利]一种信息系统权限管理装置及方法

说明书

本发明公开了一种信息系统权限管理装置及方法，其中，装置包括角色管理模块、资源管理模块、用户管理模块和数据存储模块；角色管理模块用于将角色按层级划分成系统管理员、普通管理员和普通用户，并定义每个角色的允许操作权限；资源管理模块用于将资源划分成系统资源、仓库资源和文件资源；数据存储模块用于将角色、资源和用户之间的对应关系存储到数据库中；用户管理模块用于根据角色、资源和用户之间的对应关系为用户分配一个或多个角色以使其具有特定资源的操作权限。本发明能够有效管理系统资源，为信息系统正常运行提供有效的安全保障。

技术领域

本发明涉及信息管理技术领域，具体涉及一种信息系统权限管理装置及方法。

背景技术

随着现代信息化技术的飞速发展，各种单位、企业也越来越重视自己的信息化建设，信息系统的大行其道，在不断提升现代企业的信息化水平的同时，也引入了越来越多的信息系统安全问题。利用安全漏洞进行非法入侵、数据窃取、网页篡改欺骗、计算机病毒等等安全问题层出不穷，已经严重影响了信息系统的稳定运行和企业业务的正常运营。在现代企业的信息化建设中，信息安全问题已经成为办公信息系统设计中一个非常重要的问题。

针对系统的信息安全问题，人们也提出了不同的安全机制，为了保证信息的安全，安全访问控制发挥着越来越重要的作用。图1是现有技术中一种安全访问机制的原理图，如图1所示，最初在访问控制领域主要使用自主访问控制DAC和强制访问控制MAC。由于DAC太弱，MAC太强，二者的工作量大，不便于管理。基于这两者存在的缺陷，人们逐渐认识到将角色作为一个管理权限的实体单独抽象出来的好处，此时把角色定义为组织中的一个职位或位置，是分离于用户之外的，并通过将角色指派给用户而使之获得某些权限。鉴于国内外对访问控制的研究现状分析表明自主访问控制DAC和强制访问控制MAC已不能满足当前系统的安全需求，于是就有当下提出的基于角色的访问控制。

基于角色的访问控制(Role-Based Access Control，RBAC)中引入了角色的概念，角色与权限进行关联后，通过对用户分配不同的角色来赋予其拥有不同的权限，在逻辑层面上实现了用户和访问权限的分离，进而对用户的访问进行控制。在信息系统的权限管理中引入RBAC，弥补了传统访问控制技术的不足，为安全访问的控制策略提供了一个较好的实现方式，能够更加灵活地制订和执行保护策略，简化了系统管理员的工作。

在任何一个企业的管理系统中，对机构、人员的信息都需要合理的规划，对每一个工作人员的职能权限也需要充分的控制。在管理系统中，权限管理是许多企业应用管理系统中的基础管理系统，配合其他系统完成组织结构、员工的信息维护，并对员工的权限进行管理。

随着单位及企业的不断壮大，其组织机构也越来越复杂，而对于其组织机构的权限管理也越来越复杂，为了系统的安全稳定的运行，有必要提供一种基于角色的访问控制的权限管理系统以针对每一用户的级别和工作范围做好恰当的权限分配。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明第一方面提出一种信息系统权限管理装置，包括角色管理模块、资源管理模块、用户管理模块和数据存储模块；

所述角色管理模块用于将角色按层级划分成系统管理员、普通管理员和普通用户，并定义每个角色的允许操作权限；其中，所述系统管理员具有所述普通管理员的全部权限，所述普通管理员具有所述普通用户的全部权限；

资源管理模块用于将资源划分成系统资源、仓库资源和文件资源；其中，系统资源包括所述仓库资源，所述仓库资源包括所述文件资源；

所述数据存储模块用于将角色、资源和用户之间的对应关系存储到数据库中；

所述用户管理模块用于根据所述角色、资源和用户之间的对应关系为用户分配一个或多个角色以使其具有特定资源的操作权限。