阮偉聰

隨著信息化的逐步推進(jìn)，現(xiàn)今各行各業(yè)都已經(jīng)使用信息系統(tǒng)來(lái)支撐其日常工作業(yè)務(wù)，而用戶(hù)權(quán)限管理在信息系統(tǒng)中扮演的重要角色。信息系統(tǒng)的用戶(hù)權(quán)限配置成為系統(tǒng)管理員日常運(yùn)維的重要工作。

信息系統(tǒng)經(jīng)過(guò)長(zhǎng)時(shí)間的運(yùn)行后，系統(tǒng)的用戶(hù)權(quán)限會(huì)變得越來(lái)越混亂，一般來(lái)說(shuō)會(huì)有以下幾個(gè)特點(diǎn)：1）用戶(hù)權(quán)限冗余；2）用戶(hù)權(quán)限逐步擴(kuò)大；3）用戶(hù)權(quán)限混亂，管理復(fù)雜。為解決以上用戶(hù)權(quán)限的管理問(wèn)題，我們對(duì)信息系統(tǒng)的用戶(hù)權(quán)限進(jìn)行了相關(guān)性的研究。

首先在系統(tǒng)剛剛建立之初，系統(tǒng)一般會(huì)將用戶(hù)權(quán)限進(jìn)行分類(lèi)、分成和分級(jí)，并在關(guān)系型數(shù)據(jù)庫(kù)中建立若干數(shù)據(jù)庫(kù)表進(jìn)行存儲(chǔ)。然后隨著系統(tǒng)的改造升級(jí)或業(yè)務(wù)流程變更，數(shù)據(jù)庫(kù)表的格式與內(nèi)容也會(huì)發(fā)生相應(yīng)改變。

一、用戶(hù)權(quán)限相關(guān)性分析的第一種方法

為了更直觀的研究系統(tǒng)用戶(hù)權(quán)限相關(guān)性，1）我們首先選取一位用戶(hù)，標(biāo)記為x用戶(hù)，并將x用戶(hù)的權(quán)限清單進(jìn)行輸出。2）將x用戶(hù)的每一條權(quán)限的所涉及的用戶(hù)進(jìn)行反查，繼而得出每一條權(quán)限涉及的用戶(hù)數(shù)，如圖1。我們可以簡(jiǎn)單以字母a，b，c，d代表權(quán)限用戶(hù)數(shù)，那么a，b用戶(hù)用戶(hù)數(shù)大的可以初步認(rèn)為是系統(tǒng)的基礎(chǔ)權(quán)限，c，d可以初步認(rèn)為的該用戶(hù)特有權(quán)限，那么c，d就可以作為一組輸出，具有c，d權(quán)限的用戶(hù)我們認(rèn)為與我們選取的x用戶(hù)相關(guān)。至于如何界定基礎(chǔ)權(quán)限與特有權(quán)限我們用一個(gè)參數(shù)n界定。n的取值與系統(tǒng)的權(quán)限分布相關(guān)?？蓞⒖枷到y(tǒng)公共權(quán)限數(shù)和特有權(quán)限數(shù)之比。

通過(guò)這樣的方法可以以一個(gè)用戶(hù)為輸入，查詢(xún)出與該用戶(hù)權(quán)限相關(guān)的其他用戶(hù)清單?？勺鰹橄到y(tǒng)管理員配置新用戶(hù)、或刪除冗余用戶(hù)的依據(jù)。

二、用戶(hù)權(quán)限相關(guān)性分析的第二種方法

我們首先選取用戶(hù)y1，y2 y3，y4，y5做為分析對(duì)象，將這些用戶(hù)涉及的權(quán)限清單進(jìn)行輸出，我們得到的各自權(quán)限數(shù)分別為5，6，10，11，20，如圖2：

我們初步認(rèn)為y1，y2相關(guān)，y3，y4相關(guān)，通過(guò)這樣的方法我們可以以一位用戶(hù)作為輸入，統(tǒng)計(jì)出與該用戶(hù)權(quán)限數(shù)量相等或在誤差值a內(nèi)的所有用戶(hù)（誤差值a可根據(jù)系統(tǒng)實(shí)際情況取值），認(rèn)為這些用戶(hù)權(quán)限相關(guān)，這些相關(guān)用戶(hù)的權(quán)限清單可作為系統(tǒng)管理員配置人員權(quán)限的參考值。

結(jié)合一、二種方法可以查找出相關(guān)性強(qiáng)的用戶(hù)組，這些用戶(hù)組可提供系統(tǒng)管理員做排重、清掃系統(tǒng)權(quán)限垃圾數(shù)據(jù)的依據(jù)，減輕權(quán)限管理難度。

三、結(jié)束語(yǔ)

總而言之，用戶(hù)權(quán)限管理是管理信息系統(tǒng)安全的保障，是整套系統(tǒng)中必不可少的模塊。實(shí)現(xiàn)權(quán)限管理的方法很多，文章在系統(tǒng)權(quán)限和角色的管理程序中，同時(shí)提供對(duì)角色的操作功能，使系統(tǒng)管理員可以對(duì)角色進(jìn)行添加、刪除等操作。與傳統(tǒng)的程序中定義幾種用戶(hù)組的做法相比，本方法具有很大的靈活性，使軟件使用方可根據(jù)實(shí)際情況及變動(dòng)情況設(shè)置角色分配權(quán)限。