一、經(jīng)典權(quán)限管理模型
1.自主訪問控制DAC模型
自主訪問控制DAC模型是指權(quán)限擁有者可根據(jù)自己的意愿自行授予或者通過傳遞授予又或者回收權(quán)限給他者。
DAC兩大特點:
(1)自主性,用戶可以按照自我意愿傳遞支配其擁有的訪問權(quán)限。
(2)傳遞性,可以自行決定將其訪問自主權(quán)傳遞給其他用戶。如初始狀態(tài),僅僅用戶A擁有O資源的操作權(quán)限,用戶B和用戶C沒有;此時用戶A將此權(quán)限授權(quán)給用戶B,后用戶B便擁有和用戶A擁有一樣的O資源訪問權(quán),與此同時用戶B也具備了自由支配權(quán),亦可以由用戶B將此訪問權(quán)限分配給用戶C,這樣用戶A、B、C同時具有了O資源的訪問權(quán)限。
2.強制性訪問控制MAC模型
強制性訪問控制MAC模型,是指基于不同信息資源采用不同層次的安全訪問策略,系統(tǒng)管理員或操作系統(tǒng)按照規(guī)則為訪問者和被訪問系統(tǒng)資源分配不同安全級別并貼上不同的敏感標簽。當訪問者提出對某被訪問系統(tǒng)資源的訪問請求時,首先對比分析兩者的安全級別,再判定訪問者可否訪問該系統(tǒng)資源,再對其進行何操作,這樣就實現(xiàn)了信息的單向流通,充分保障系統(tǒng)客體資源的安全完整不泄露,有效預防相應的非法越權(quán)和篡改等行為發(fā)生。
3.基于角色的權(quán)限管理RBAC
基于角色的權(quán)限管理RBAC模型,采用了用戶-角色-權(quán)限三層結(jié)構(gòu)模型,引入了角色概念,具體表示公司內(nèi)部員工在系統(tǒng)中的職能分工,一定數(shù)量權(quán)限的集合,擔任著橋梁一角,中間媒介的作用;同時新提出了“會話”概念,它表示角色集和用戶集之間的一個映射,其中會話和用戶之間屬于多對多關(guān)系。RBAC模型如圖1.1所示。
圖1.1 基于角色的模型示意圖
4.基于任務(wù)的訪問控制
基于任務(wù)的訪問控制TBAC模型DAC、MAC和RBAC顯然不太適用于工作流管理系統(tǒng),因為隨著工作流任務(wù)的執(zhí)行,操作人以及對應權(quán)限隨之變動。DAC和MAC很難做到這一點,而RBAC則需要頻繁更換角色,這就迫使我們必須考慮新的訪問控制,也就是TBAC(Task Based Access Control)。TBAC模型,引入了新概念“任務(wù)”,可動態(tài)實時授權(quán);同時與項目運行狀態(tài)有關(guān),狀態(tài)不同,對應授予的權(quán)限亦不同。TBAC模型模型如圖1.2所示。
圖1.2 基于任務(wù)的訪問控制模型示意圖
二、PDM系統(tǒng)對數(shù)據(jù)權(quán)限管理的實現(xiàn)方式
PDM系統(tǒng)對于權(quán)限的管理方式主要是基于角色的管理和基于任務(wù)的訪問控制。
基于角色的管理方式,是對角色賦予一定的靜態(tài)權(quán)限,這種權(quán)限的控制方式相對于自主訪問控制,更有利于對權(quán)限進行控制,使數(shù)據(jù)的安全性得到保障。相對于強制性訪問控制授權(quán)更加靈活,對于授權(quán)頻繁變動的系統(tǒng)可以減少很多系統(tǒng)管理員的工作量。此外,可以根據(jù)實際工作需要給用戶最小的必需權(quán)限,避免權(quán)限過大對數(shù)據(jù)安全帶來的不利。
在PDM系統(tǒng)中主要是通過策略管理器來實現(xiàn)基于角色的管理,這主要取決于五個要素:角色、數(shù)據(jù)類型、數(shù)據(jù)的狀態(tài)、數(shù)據(jù)存放位置、權(quán)限,通過這五個要素的不同組合,實現(xiàn)對不同角色賦予不同的權(quán)限,具體如圖2.1所示。
圖2.1 靜態(tài)權(quán)限的五個要素關(guān)系圖
基于任務(wù)的訪問控制在PDM系統(tǒng)中主要是通過生命周期管理(具體如圖2.2所示)和工作流管理來進行實現(xiàn)的,即通過程序直接對指定的用戶針對當前的對象賦予讀取、更改的權(quán)限,由于這種權(quán)限是動態(tài)的,所以當簽審過后其被賦予的權(quán)限會被系統(tǒng)收回,從而實現(xiàn)了實時授權(quán)。
圖2.2 生命周期管理示意圖
三、企業(yè)對EPM數(shù)據(jù)的權(quán)限管理
現(xiàn)在的企業(yè)面臨著激烈的競爭,企業(yè)需要在短時間內(nèi)不斷推出新的產(chǎn)品;另外,市場對產(chǎn)品的價格高度敏感,那么研發(fā)成本的控制就顯得格外重要。
縮短產(chǎn)品開發(fā)周期、減少產(chǎn)品的成本,一個很重要的方式就是在產(chǎn)品的開發(fā)過程中更多的選擇借用以往開發(fā)機型的零部件、標準件或者通用件,這就需要盡可能把零部件的借用權(quán)限賦予給更多的設(shè)計員。但是與此同時還要考慮以下的問題:
(1)如何滿足涉及企業(yè)核心技術(shù)零部件的保密需求;
(2)如何避免設(shè)計員借用未受控的數(shù)據(jù);
(3)不同的開發(fā)機型項目,成員、項目經(jīng)理都不相同,如何滿足不同項目組成員的權(quán)限需求,同時不增加系統(tǒng)管理員的工作負擔。
其實,針對這些問題可以通過策略管理器中五個要素的進行組合解決各種權(quán)限要求。根據(jù)需要,可以對五個要素進行如下分類:
(1)數(shù)據(jù)類型:按照數(shù)據(jù)類型分為EPM文檔和Part;
EPM文檔:三維軟件通過與PDM系統(tǒng)的集成,可以將通過其所繪制的三維模型和二維工程圖上傳至PDM系統(tǒng),該類文件稱之為EPM文檔。
Part:Part又被稱之為部件,不僅可以體現(xiàn)物料的屬性,同時可以表示該零部件與其他零部件之間的上下級關(guān)系。
(2)數(shù)據(jù)狀態(tài):按照狀態(tài)可以分為正在工作(表示數(shù)據(jù)還沒有走簽審流程),正在審閱(表示數(shù)據(jù)在簽審的過程中),已受控(表示數(shù)據(jù)已完成簽審并受控);
(3)存儲位置:按照存儲位置可以新建三類產(chǎn)品庫:通用件庫、公用產(chǎn)品庫、項目保密庫;
(4)操作權(quán)限:按照權(quán)限分為創(chuàng)建、讀取、下載、修訂、移動、更改權(quán)限;
(5)用戶角色:按照角色可以分為項目經(jīng)理、項目成員、借用人員。對產(chǎn)品經(jīng)理賦予管理權(quán)限(即移除和添加團隊成員及借用人員的權(quán)限),對項目成員角色賦予讀取+下載+修訂+創(chuàng)建的權(quán)限(即創(chuàng)建、讀取、下載和修訂產(chǎn)品庫數(shù)據(jù)的權(quán)限),對于借用人員角色賦予借用已發(fā)放數(shù)據(jù)的權(quán)限。
對于比較成熟且經(jīng)常被借用的數(shù)據(jù)一律放到通用件庫,然后把有可能用到這些數(shù)據(jù)的設(shè)計員都加到“借用人員”角色,從而保證數(shù)據(jù)方便更多的人借用;把專門負責通用件管理的人員添加到“項目經(jīng)理”角色,通過對不同角色的調(diào)整來實現(xiàn)通用件庫中數(shù)據(jù)修訂權(quán)限的開通和收回。
而對于保密的數(shù)據(jù),可以根據(jù)需要新建多個項目保密庫,把項目負責人添加到“產(chǎn)品經(jīng)理”角色,項目經(jīng)理根據(jù)實際需要把必要人員加入到“項目成員”角色中以方便項目組成員檢入和修改數(shù)據(jù),而且項目負責人可以根據(jù)實際需要對“成員”角色進行調(diào)整,從而保證保密數(shù)據(jù)的安全性。
四、小結(jié)
權(quán)限管理是企業(yè)在PDM系統(tǒng)使用過程中所無法回避的一個難題,如果對權(quán)限的管理過嚴則影響數(shù)據(jù)的查看和借用,但是如果過松又會有肯能導致保密數(shù)據(jù)泄密,這不僅涉及到靜態(tài)權(quán)限設(shè)置,而且涉及到動態(tài)權(quán)限設(shè)置。本文首先對權(quán)限管理的經(jīng)典模型及PDM系統(tǒng)中權(quán)限管理方式進行了介紹,另外企業(yè)的具體需求對靜態(tài)權(quán)限設(shè)置提出了可行的方案。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/