一、經典權限管理模型

    1.自主訪問控制DAC模型

    自主訪問控制DAC模型是指權限擁有者可根據自己的意愿自行授予或者通過傳遞授予又或者回收權限給他者。

    DAC兩大特點：

    (1)自主性，用戶可以按照自我意愿傳遞支配其擁有的訪問權限。

    (2)傳遞性，可以自行決定將其訪問自主權傳遞給其他用戶。如初始狀態，僅僅用戶A擁有O資源的操作權限，用戶B和用戶C沒有；此時用戶A將此權限授權給用戶B，后用戶B便擁有和用戶A擁有一樣的O資源訪問權，與此同時用戶B也具備了自由支配權，亦可以由用戶B將此訪問權限分配給用戶C，這樣用戶A、B、C同時具有了O資源的訪問權限。

    2.強制性訪問控制MAC模型

    強制性訪問控制MAC模型，是指基于不同信息資源采用不同層次的安全訪問策略，系統管理員或操作系統按照規則為訪問者和被訪問系統資源分配不同安全級別并貼上不同的敏感標簽。當訪問者提出對某被訪問系統資源的訪問請求時，首先對比分析兩者的安全級別，再判定訪問者可否訪問該系統資源，再對其進行何操作，這樣就實現了信息的單向流通，充分保障系統客體資源的安全完整不泄露，有效預防相應的非法越權和篡改等行為發生。

    3.基于角色的權限管理RBAC

    基于角色的權限管理RBAC模型，采用了用戶-角色-權限三層結構模型，引入了角色概念，具體表示公司內部員工在系統中的職能分工，一定數量權限的集合，擔任著橋梁一角，中間媒介的作用；同時新提出了“會話”概念，它表示角色集和用戶集之間的一個映射，其中會話和用戶之間屬于多對多關系。RBAC模型如圖1.1所示。

圖1.1 基于角色的模型示意圖

    4.基于任務的訪問控制

    基于任務的訪問控制TBAC模型DAC、MAC和RBAC顯然不太適用于工作流管理系統，因為隨著工作流任務的執行，操作人以及對應權限隨之變動。DAC和MAC很難做到這一點，而RBAC則需要頻繁更換角色，這就迫使我們必須考慮新的訪問控制，也就是TBAC（Task Based Access Control）。TBAC模型，引入了新概念“任務”，可動態實時授權；同時與項目運行狀態有關，狀態不同，對應授予的權限亦不同。TBAC模型模型如圖1.2所示。

圖1.2 基于任務的訪問控制模型示意圖

二、PDM系統對數據權限管理的實現方式

    PDM系統對于權限的管理方式主要是基于角色的管理和基于任務的訪問控制。

    基于角色的管理方式，是對角色賦予一定的靜態權限，這種權限的控制方式相對于自主訪問控制，更有利于對權限進行控制，使數據的安全性得到保障。相對于強制性訪問控制授權更加靈活，對于授權頻繁變動的系統可以減少很多系統管理員的工作量。此外，可以根據實際工作需要給用戶最小的必需權限，避免權限過大對數據安全帶來的不利。

    在PDM系統中主要是通過策略管理器來實現基于角色的管理，這主要取決于五個要素：角色、數據類型、數據的狀態、數據存放位置、權限，通過這五個要素的不同組合，實現對不同角色賦予不同的權限，具體如圖2.1所示。

圖2.1 靜態權限的五個要素關系圖

    基于任務的訪問控制在PDM系統中主要是通過生命周期管理（具體如圖2.2所示）和工作流管理來進行實現的，即通過程序直接對指定的用戶針對當前的對象賦予讀取、更改的權限，由于這種權限是動態的，所以當簽審過后其被賦予的權限會被系統收回，從而實現了實時授權。

圖2.2 生命周期管理示意圖

三、企業對EPM數據的權限管理

    現在的企業面臨著激烈的競爭，企業需要在短時間內不斷推出新的產品；另外，市場對產品的價格高度敏感，那么研發成本的控制就顯得格外重要。

    縮短產品開發周期、減少產品的成本，一個很重要的方式就是在產品的開發過程中更多的選擇借用以往開發機型的零部件、標準件或者通用件，這就需要盡可能把零部件的借用權限賦予給更多的設計員。但是與此同時還要考慮以下的問題：

    （1）如何滿足涉及企業核心技術零部件的保密需求；

    （2）如何避免設計員借用未受控的數據；

    （3）不同的開發機型項目，成員、項目經理都不相同，如何滿足不同項目組成員的權限需求，同時不增加系統管理員的工作負擔。

    其實，針對這些問題可以通過策略管理器中五個要素的進行組合解決各種權限要求。根據需要，可以對五個要素進行如下分類：

    (1)數據類型：按照數據類型分為EPM文檔和Part；

    EPM文檔：三維軟件通過與PDM系統的集成，可以將通過其所繪制的三維模型和二維工程圖上傳至PDM系統，該類文件稱之為EPM文檔。

    Part：Part又被稱之為部件，不僅可以體現物料的屬性，同時可以表示該零部件與其他零部件之間的上下級關系。

    （2）數據狀態：按照狀態可以分為正在工作（表示數據還沒有走簽審流程），正在審閱（表示數據在簽審的過程中），已受控（表示數據已完成簽審并受控）；

    （3）存儲位置：按照存儲位置可以新建三類產品庫：通用件庫、公用產品庫、項目保密庫；

    （4）操作權限:按照權限分為創建、讀取、下載、修訂、移動、更改權限；

    （5）用戶角色：按照角色可以分為項目經理、項目成員、借用人員。對產品經理賦予管理權限（即移除和添加團隊成員及借用人員的權限），對項目成員角色賦予讀取+下載+修訂+創建的權限（即創建、讀取、下載和修訂產品庫數據的權限），對于借用人員角色賦予借用已發放數據的權限。

    對于比較成熟且經常被借用的數據一律放到通用件庫，然后把有可能用到這些數據的設計員都加到“借用人員”角色，從而保證數據方便更多的人借用；把專門負責通用件管理的人員添加到“項目經理”角色，通過對不同角色的調整來實現通用件庫中數據修訂權限的開通和收回。

    而對于保密的數據，可以根據需要新建多個項目保密庫，把項目負責人添加到“產品經理”角色，項目經理根據實際需要把必要人員加入到“項目成員”角色中以方便項目組成員檢入和修改數據，而且項目負責人可以根據實際需要對“成員”角色進行調整，從而保證保密數據的安全性。

四、小結

    權限管理是企業在PDM系統使用過程中所無法回避的一個難題，如果對權限的管理過嚴則影響數據的查看和借用，但是如果過松又會有肯能導致保密數據泄密，這不僅涉及到靜態權限設置，而且涉及到動態權限設置。本文首先對權限管理的經典模型及PDM系統中權限管理方式進行了介紹，另外企業的具體需求對靜態權限設置提出了可行的方案。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：PDM系統權限管理方式及在企業應用的研究

本文網址：http://www.guhuozai8.cn/html/news/10515417916.html