扩展的 RBAC 模型设备管理系统的权限设置往往与组织结构与系统具有的功能相关。 这里讨论适用于组织结构是一个组织内部有一个主管设备的部门,然后下面是很多平行的部门的模式。 系统功能包括用户管理、角色管理、权限分配、系统设置、设备管理、综合查询、数据报表、日志管理、数据库维护等功能,如果采用传统的 RBAC 模型进行权限的分配,操作主体最小粒度只能设置到角色级别, 即权限设置只能针对每个部门进行设置,如果一个部门内部各个员工由于工作性质等原因,需要具有不同的权限,这时 RBAC 就显得无能为力。 如果将权限直接设置到每个具体的使用用户, 权限设置的工作量又显得过大。

图1 权限层次图
因此有必要对传统的 RBAC 进行扩展,本系统采用的扩展主要包括以下几个方面。 对角色与权限的分层处理将整个设备管理系统的权限分为 3 个层次:核心级权限、系统及权限、应用级权限,其中应用级权限又被分为必要级与可选级。 权限之间的关系如图 1 所示。
核心级权限是整个系统运行最为关键的操作, 比如:系统设置、数据库维护、日志管理等功能,而系统级权限要比核心级权限低,但是对于系统也比较重要,比如用户管理、角色管理、权限分配、数据报表等功能,而应用级权限最低,主要包含系统一些基本的操作,比如:设备管理、综合查询等。 而综合查询允许每个用户使用,所以属于必要级。 针对于设备管理中的添加设备、编辑设备、删除设备、维护设备、转借设备等功能,不同的员工因为岗位的不同而有所不同,所以这些功能属于可选级权限。

图2 设备管理系统扩展的RBAC模型
设备管理系统具有的所有用户按照角色进行划分的策略是:系统中只有一个系统管理员,系统管理员拥有核心级别的权限,组织中的每个部门设置一个设备管理员,设备管理员拥有系统级别的权限,每个部门在系统中都为一个不同的角色。 系统管理员为每个角色分配必要级的权限,而部门内部的设备管理员为部门内部的每个员工分配可选级别的权限。 所以系统中任何一个用户的权限被分为两个部分,一部分来源于系统管理员为角色分配的必要级权限,另一部分来源于各个部门的设备管理员为自己分配的可选级权限。 扩展后的 RBAC 的模型图如图 2 所示。
在扩展的 RBAC 模型中,设备管理系统管理员为设备管理员分配系统级权限,为每个部门分配该部门扮演的角色应具有的必要级权限。 每个设备管理员为自己所在部门的每个用户分配可选级权限。 扩展后的 RBAC 模型最小的操作粒度是每个用户,但是权限分配的工作量较小,因为系统管理员将自己原来要做的一些工作分散给了各个部门的设备管理员。 这样既保证了权限分配的灵活性, 又降低了权限设置的复杂性,在部门发生改变时, 只需要系统管理员设置该角色的权限,部门内部员工的权限再由设备管理员设置。
了解更多相关信息,请点击设备管理系统,或拨打 进行咨询。

