1 規范權限控制
1.1 用戶組的安全權限管理
(1)某用戶組或者用戶對某數據能否操作的安全權限管理;
(3)數據伴隨著開發流程的進行發生的狀態的變化所導致的安全權限管理;
安全與權限管理策略主要是通過對用戶組的管理來實現的,因為直接對各種數據對象進行操作的是用戶組。用戶組就是根據開發任務的不同形成的各個協同工作的小組。這些小組的安全權限管理就是賦予其對某種安全級別和安全類別的數據對象的某些操作方法進行授權。同一人員可以分屬不同的工作小組,而各個小組所具有的安全權限的綜合就是該人員相應具有的權限。在各個工作小組的內部還應該根據任務負責狀況,確定不同的級別,授予不同的權限。
為保證數據安全性,應實現應用系統的安全權限管理與分配、用戶登錄與退出、用戶操作權限管理、用戶操作審計與監督,以及某些特殊功能的口令檢查等等,以保證整個系統的正確、安全運行,有效的防止信息的泄密和抵御外界對系統的破壞與干擾。
PLM應用系統的每個用戶都有區別予其他用戶的唯一的用戶名稱,在安全子系統中,我們把它記為用戶標識號(UserlD)。所有合法用戶的標識號(UserlD)都登記在應用系統用戶登記表中,未在應用系統用戶登記表中登記的用戶必是非法用戶。由于用戶名稱的唯一性,我們很自然的就選定它作為用戶的標識。然而,出于對系統用戶進行規范化管理的需要,用戶的名稱對應用系統管理員、數據庫管理員和功能模塊管理員來說是公開的,從而,用戶名稱的保密程度是相當有限的,依靠它來鑒別一個系統用戶是不可靠的。為了正確鑒別系統用戶,我們允許每個用戶擁有他自己的用戶口令,在安全子系統中,我們把它記作用戶口令(UsERPassWord)。用戶的用戶口令(UsERPassWord)只能由用戶自己來管理,其他任何用戶(包括系統管理員、數據庫管理員和功能模塊管理員)都不得對其進行查詢或修改。用戶的用戶口令(UsERPassWord)的登記在用戶訪問權限表中。那么,對于一個合法的系統用戶,可以用用戶標識號(UserID)唯一的標識,而用用戶口令(UserPassWord)對其進行鑒別。
1.2.2 系統權限管理

圖1 系統權限管理
系統管理員程序是一個獨立的功能模塊,專供系統管理員使用。沒有系統管理員密碼是無法訪問其功能的。它的功能只有兩個:新建系統用戶、刪除系統用戶。新建一個系統用戶,就是往應用系統登記表和用戶訪問權限控制表中增加一條記錄,而且,記錄中除了用戶名、用戶所在部室、行政職務以外,其他的域都不由系統管理員填寫。刪除一個系統用戶,就是刪除應用系統用戶登記表和用戶訪問權限控制表中對應于該用戶的記錄。模塊管理員管理訪問該模塊的所有用戶,是通過模塊管理員函數實現。通過該函數,模塊管理員可以增加、刪除、修改訪問相應模塊及其各子功能的用戶,并可調整模塊的安全屬性(如圖2)。

圖2 系統管理模塊圖
在面向對象的開發系統中,數據的管理是以對象類型來組織管理的。系統的數據有兩種:一種是直接和數據有關的對象,如document等,另一種是提供產品開發支持的對象,如item、folder、engineer change等。不論是哪種對象,都具有相應的數據側面和操作方法側面。
不管是何種類型的對象,都具有一定的操作方法定義。這方面采取的策略主要是將這些操作方法分為兩種類型,一是開放的方法,也即這種管理之下的操作方法對于開發系統當中的任何用戶都可以使用。二是需要授權的方法,也即該種管理之下的操作方法必須通過相應的授權才能夠操作。
一個用戶進入系統時的用戶登錄與身份驗證可以準確識別用戶的身份,屏蔽非法用戶,獲取合法用戶對系統各功能的訪問權限以及當前系統各功能的安全屬性。所以它是訪問控制的基礎和關鍵。在PLM中,當用戶成功登錄后,用戶的訪問權限和相應模塊的安全屬性就已經記錄在安全庫中。這以后,該用戶要訪問該模塊中任一有安全性要求的功能時,就可以根據安全庫中的信息進行嚴格的訪問控制。具體地說,一個模塊所有有安全保密要求的功能都在該模塊內部進行編號,從1開始,依次為2、3、4......編號為1的功能即是指該模塊本身。在安全數據結構中,當前用戶編號為K的功能的訪問權限被記錄下來。所以,當用戶成功登錄后,要根據記錄編號為K的功能的訪問權限信息相應的修改各子功能對于用戶的可見性。比如,對于,沒有訪問權限的功能,用戶是不得訪問的,表現在界面上,就是執行該功能的菜單項對用戶灰顯,不可選的。另外,用戶訪問那些有安全保密要求的對用戶可見的子功能時,還必須再次經過權限驗證。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文網址:http://www.guhuozai8.cn/html/consultation/10820620152.html