略談RBAC在民辦高職院校人事管理系統中的應用

許秋月

摘要：隨著近年來高職院校人事管理制度的改革，借助互聯網技術構建現代化的人事管理系統已經是一種主流趨勢。尤其是通過現在各大學校園內正在倡導構建的校園網系統相連接，本文著重介紹了在人事管理系統構建過程中RBAC模型的應用。對于系統構建中的用戶、角色以及權限進行了綜合介紹，并對基于此技術的高校角色用戶訪問控制原理進行了分析。

關鍵詞：民辦高職院校；人事管理改革；系統構建；RBAC模型應用分析

1、在民辦高職院校的管理工作中，人事管理工作一直都是重點管理工作。伴隨著當前的高職院校的人事管理改革，借助現代化的技術手段，比如計算機技術構建現代化的人事管理系統已是一種普遍的趨勢。民辦高職院校的人事管理工作本身工作面就比較廣，而且工作內容比較繁瑣，人員變動頻繁，流動性大，所以民辦高職院校的人事工作人員的工作量比較大，只有通過構建現代化的人事管理系統可以有效的提高管理效率。通過應用RBAC模型，對用戶進行角色定性然后再根據用戶的角色進行訪問控制，這樣一方面提高了系統管理的安全性和規范性，同時也優化了管理系統，提高了RBAC模型的意義管理效率。

RBAC是Role Based Acess Control 的縮寫，翻譯為基于角色的訪問控制模型。這一模型最早是由美國大學的Rav教授提出的，主要是針對大量用戶訪問、大量數據客體以及訪問權限問題進行解決的授權管理問題。在這種模型中，主要是通過把系統的訪問角色與權限進行聯系，根據不同用戶的角色進行權限的訪問控制。所以RBAC是一種無確定性策略管理模型。在這一模型中主要應用的原則是安全性原則、最小特權原則以及責任分離原則和數據抽象原則。在這種角色方位的控制中，它的主要實體有四個，分別是用戶（User）、角色（Role）、權限（Permission）以及會話（Session）。在這種系統中，一個用戶可以將自己扮演成很多角色的成員，而一個角色也可以用于很多用戶。所以，在RBAC模型中，一個角色同時具有多個權限，而同一個權限，系統也可以同時指派給多個角色。這樣每一個系統會話都會把一個用戶和系統指派給他的角色相聯系起來。

在RBAC模型中，通過這樣的方式系統可以對每一個用戶在激發其所屬角色的某些子集時，通過建立了一個單獨的會話而實現。系統用戶可用的權限只限于當前會話激發的所有角色權限的并集，除此之外沒有其他的。任何 一個用戶都可以在同一時間與系統進行多個會話。而每個會話用戶可以以不同的角色進行。這種會話的概念類似于我們傳統的對系統控制主體進行方位時所進行的標記。一個主體可以看作是系統默認的一個訪問控制單位，而每一個用戶在同一時間可以以多個不同權限的角色身份對這一系統主體進行訪問。

2、RBAC模型在民辦高職院校人事管理中的應用

2.1 RBAC模型的應用思路

隨著民辦高職院校人事管理系統的改革，對于這一系統的開放性要求越來越高，系統面臨著向多應用客戶端以及多用戶的訪問，再加上人事管理工作管理的內容比較重要，許多涉及到學校的重要機密，而信息量比較復雜，對于系統的安全性和保密性要求比較高，所以在應用RBAC這種模型的時候，基于其角色訪問控制這一理論，可以在系統中設計完善的權限控制訪問，針對不同級別的用戶設置相對應的權限，控制不同人員對不同信息內容的訪問情況。所以在模型應用中，應該為每一個用戶進行單獨的角色分配，并同時在系統中設置相應的角色等級，進而控制不同用戶可以登錄的子系統以及在系統中可以進行的權限操作。

2.2 RBAC模型的數據庫設計

由于管理系統主要是高職院校的教師和學生，所以在進行系統權限設置時，可以根據學校的行政級別和職務進行劃分。總體上權限可以分為四個檔次，從低到高分別是：管理類訪問權限，功能類訪問權限，普通類訪問權限以及維護類權限。在這四類訪問權限中，管理操作類權限可以對系統內的表格或者文件進行相對應的操作權限，所以應該對應的是學校中的行政管理人員，而功能類權限主要是針對學校后勤部門的管理人員，按照系統的模塊進行操作。普通瀏覽類權限針對學校普通的教職工和學生，他們只具有訪問的權限而不具有任何操作權限。維護類權限針對的是系統的維護管理人員，他們主要根據系統的運行情況對系統進行清理維護工作。這樣通過這四類權限的設置，可以對不同人員的訪問進行控制，既滿足了訪問需求，又實現了對訪問身份的控制，保護了數據信息的安全性。

2.3 RBAC算法設計

在RBAC系統模型中，算法的設計原理是通過位映射來實現的，即每一個角色都對應一個系統的bit位，在系統中用“1”或者“0”來進行表示，“1”表示允許權限操作，“0”表示禁止權限操作。本質上來講，仍然是采用功能權限的二進制合成制，形成相對應的角色權限碼，對系統的訪問用戶進行權限控制。當訪問的用戶符合系統的權限設置規定時，系統會自動取出該用戶的權限碼允許其進行相關的操作。通過映射位原理實現了系統用戶與相對應的功能權限的連接。

2.4 RBAC模型的安全設計

對于管理系統的安全模塊的設計，主要是分為兩大板塊進行，第一板塊是對系統用戶設置數據訪問權限，第二模塊是對系統用戶進行模塊訪問權限設置。在第一模塊中，對用戶的系統數據訪問權限設置主要包括對系統數據的查詢、新增以及修改和刪除，這一權限的設置主要針對學校的教職工和管理人員。比如對于教職工，擁有對自己角色的數據訪問與修改的權限而不具有對所在的院系系統的訪問的數據修改權限，而人事管理部門和系統管理人員則具有這項權限。對于模塊權限的設置主要是對于系統的各個菜單的訪問與修改權限。比如系統的基本信息模塊中，教職人員的基本信息管理模塊，維護模塊等，需要對不同的角色進行權限設置，以防止有人篡改系統的模塊數據，帶來嚴重的管理問題。

3、結語

綜上所述，隨著近年來高職院校人事管理制度的改革，借助互聯網技術構建現代化的人事管理系統已經成為一種必然的趨勢。尤其是通過現在各大學校園內正在倡導構建的校園網系統相連接，實現校園網的訪問功能。在應用RBAC這種模型時，主要是通過其角色訪問控制理論進行系統構建，一方面實現了對于系統用戶的訪問瀏覽與操作權限的控制，另一方面也保護了系統數據的安全性和保密性，提高了系統的可靠性。

參考文獻：

[1]劉永明. 高校人事管理系統RBAC96模型應用與設計[J]. 信息技術與信息化，2014，06：60-63.

[2]蔡秀娟. 基于RBAC的人事管理系統的設計與實現[J]. 成功（教育），2015，09：218-219.

[3]陳怡，耿國華，李喆. 動態訪問控制技術的研究與應用[J]. 計算機技術與發展，2014，02：223-225.

[4]鄭鑫，馮仲科，姚杰，劉鵬，張茜. 人力資源信息管理系統研究與實現[J]. 齊齊哈爾大學學報（自然科學版），2015，02：1-5.

[5]夏冬梅. 基于RBAC企業通用用戶權限管理模型設計與應用[J]. 網絡安全技術與應用，2014，08：36-38.

[6]孔繁興. 基于角色的訪問控制在高校人事管理系統中的研究[J]. 電腦知識與技術，2015，10：2625-2626+2629.