略谈RBAC在民办高职院校人事管理系统中的应用

许秋月

摘要：随着近年来高职院校人事管理制度的改革，借助互联网技术构建现代化的人事管理系统已经是一种主流趋势。尤其是通过现在各大学校园内正在倡导构建的校园网系统相连接，本文着重介绍了在人事管理系统构建过程中RBAC模型的应用。对于系统构建中的用户、角色以及权限进行了综合介绍，并对基于此技术的高校角色用户访问控制原理进行了分析。

关键词：民办高职院校；人事管理改革；系统构建；RBAC模型应用分析

1、在民办高职院校的管理工作中，人事管理工作一直都是重点管理工作。伴随着当前的高职院校的人事管理改革，借助现代化的技术手段，比如计算机技术构建现代化的人事管理系统已是一种普遍的趋势。民办高职院校的人事管理工作本身工作面就比较广，而且工作内容比较繁琐，人员变动频繁，流动性大，所以民办高职院校的人事工作人员的工作量比较大，只有通过构建现代化的人事管理系统可以有效的提高管理效率。通过应用RBAC模型，对用户进行角色定性然后再根据用户的角色进行访问控制，这样一方面提高了系统管理的安全性和规范性，同时也优化了管理系统，提高了RBAC模型的意义管理效率。

RBAC是Role Based Acess Control 的缩写，翻译为基于角色的访问控制模型。这一模型最早是由美国大学的Rav教授提出的，主要是针对大量用户访问、大量数据客体以及访问权限问题进行解决的授权管理问题。在这种模型中，主要是通过把系统的访问角色与权限进行联系，根据不同用户的角色进行权限的访问控制。所以RBAC是一种无确定性策略管理模型。在这一模型中主要应用的原则是安全性原则、最小特权原则以及责任分离原则和数据抽象原则。在这种角色方位的控制中，它的主要实体有四个，分别是用户（User）、角色（Role）、权限（Permission）以及会话（Session）。在这种系统中，一个用户可以将自己扮演成很多角色的成员，而一个角色也可以用于很多用户。所以，在RBAC模型中，一个角色同时具有多个权限，而同一个权限，系统也可以同时指派给多个角色。这样每一个系统会话都会把一个用户和系统指派给他的角色相联系起来。

在RBAC模型中，通过这样的方式系统可以对每一个用户在激发其所属角色的某些子集时，通过建立了一个单独的会话而实现。系统用户可用的权限只限于当前会话激发的所有角色权限的并集，除此之外没有其他的。任何 一个用户都可以在同一时间与系统进行多个会话。而每个会话用户可以以不同的角色进行。这种会话的概念类似于我们传统的对系统控制主体进行方位时所进行的标记。一个主体可以看作是系统默认的一个访问控制单位，而每一个用户在同一时间可以以多个不同权限的角色身份对这一系统主体进行访问。

2、RBAC模型在民办高职院校人事管理中的应用

2.1 RBAC模型的应用思路

随着民办高职院校人事管理系统的改革，对于这一系统的开放性要求越来越高，系统面临着向多应用客户端以及多用户的访问，再加上人事管理工作管理的内容比较重要，许多涉及到学校的重要机密，而信息量比较复杂，对于系统的安全性和保密性要求比较高，所以在应用RBAC这种模型的时候，基于其角色访问控制这一理论，可以在系统中设计完善的权限控制访问，针对不同级别的用户设置相对应的权限，控制不同人员对不同信息内容的访问情况。所以在模型应用中，应该为每一个用户进行单独的角色分配，并同时在系统中设置相应的角色等级，进而控制不同用户可以登录的子系统以及在系统中可以进行的权限操作。

2.2 RBAC模型的数据库设计

由于管理系统主要是高职院校的教师和学生，所以在进行系统权限设置时，可以根据学校的行政级别和职务进行划分。总体上权限可以分为四个档次，从低到高分别是：管理类访问权限，功能类访问权限，普通类访问权限以及维护类权限。在这四类访问权限中，管理操作类权限可以对系统内的表格或者文件进行相对应的操作权限，所以应该对应的是学校中的行政管理人员，而功能类权限主要是针对学校后勤部门的管理人员，按照系统的模块进行操作。普通浏览类权限针对学校普通的教职工和学生，他们只具有访问的权限而不具有任何操作权限。维护类权限针对的是系统的维护管理人员，他们主要根据系统的运行情况对系统进行清理维护工作。这样通过这四类权限的设置，可以对不同人员的访问进行控制，既满足了访问需求，又实现了对访问身份的控制，保护了数据信息的安全性。

2.3 RBAC算法设计

在RBAC系统模型中，算法的设计原理是通过位映射来实现的，即每一个角色都对应一个系统的bit位，在系统中用“1”或者“0”来进行表示，“1”表示允许权限操作，“0”表示禁止权限操作。本质上来讲，仍然是采用功能权限的二进制合成制，形成相对应的角色权限码，对系统的访问用户进行权限控制。当访问的用户符合系统的权限设置规定时，系统会自动取出该用户的权限码允许其进行相关的操作。通过映射位原理实现了系统用户与相对应的功能权限的连接。

2.4 RBAC模型的安全设计

对于管理系统的安全模块的设计，主要是分为两大板块进行，第一板块是对系统用户设置数据访问权限，第二模块是对系统用户进行模块访问权限设置。在第一模块中，对用户的系统数据访问权限设置主要包括对系统数据的查询、新增以及修改和删除，这一权限的设置主要针对学校的教职工和管理人员。比如对于教职工，拥有对自己角色的数据访问与修改的权限而不具有对所在的院系系统的访问的数据修改权限，而人事管理部门和系统管理人员则具有这项权限。对于模块权限的设置主要是对于系统的各个菜单的访问与修改权限。比如系统的基本信息模块中，教职人员的基本信息管理模块，维护模块等，需要对不同的角色进行权限设置，以防止有人篡改系统的模块数据，带来严重的管理问题。

3、结语

综上所述，随着近年来高职院校人事管理制度的改革，借助互联网技术构建现代化的人事管理系统已经成为一种必然的趋势。尤其是通过现在各大学校园内正在倡导构建的校园网系统相连接，实现校园网的访问功能。在应用RBAC这种模型时，主要是通过其角色访问控制理论进行系统构建，一方面实现了对于系统用户的访问浏览与操作权限的控制，另一方面也保护了系统数据的安全性和保密性，提高了系统的可靠性。

参考文献：

[1]刘永明. 高校人事管理系统RBAC96模型应用与设计[J]. 信息技术与信息化，2014，06：60-63.

[2]蔡秀娟. 基于RBAC的人事管理系统的设计与实现[J]. 成功（教育），2015，09：218-219.

[3]陈怡，耿国华，李喆. 动态访问控制技术的研究与应用[J]. 计算机技术与发展，2014，02：223-225.

[4]郑鑫，冯仲科，姚杰，刘鹏，张茜. 人力资源信息管理系统研究与实现[J]. 齐齐哈尔大学学报（自然科学版），2015，02：1-5.

[5]夏冬梅. 基于RBAC企业通用用户权限管理模型设计与应用[J]. 网络安全技术与应用，2014，08：36-38.

[6]孔繁兴. 基于角色的访问控制在高校人事管理系统中的研究[J]. 电脑知识与技术，2015，10：2625-2626+2629.