CN104376237B

CN104376237B - 一种针对生产过程中信息的安全控制方法和系统

Info

Publication number: CN104376237B
Application number: CN201310352401.9A
Authority: CN
Inventors: 于海斌; 史海波; 宋宏; 李歆; 潘福成
Original assignee: Shenyang Institute of Automation of CAS
Current assignee: Shenyang Institute of Automation of CAS
Priority date: 2013-08-13
Filing date: 2013-08-13
Publication date: 2017-09-26
Anticipated expiration: 2033-08-13
Also published as: CN104376237A

Abstract

本发明涉及一种针对生产过程中敏感关键信息的安全控制方法，包括以下步骤：对人员登录名和密码进行基础校验，并通过访问地址与短信校验码完成附加校验；根据用户、角色及权限的配置信息获得登录用户的资源权限集合，通过对资源权限的存储结构的解析，实现对用户操作的权限控制；在用户资源操作过程中，根据流程状态配置信息，实现消息、日志及备份的触发。该方法贯穿于敏感关键信息的录入、存储、发布、查询、维护、异常处理等操作环节的全过程，实现了安全事件可预防、重点操作可跟踪和信息数据可恢复，具备配置性强、灵活度高的特点，为信息的管理和应用提供全面可靠的安全保障。

Description

一种针对生产过程中信息的安全控制方法和系统

技术领域

本发明涉及计算机应用技术领域，特别是涉及一种制造执行系统（MES）中生产过程敏感关键信息的安全控制方法和系统。

背景技术

在制造执行系统（MES）中，信息数据安全是系统管理的重中之重，特别是对于生产过程中的敏感关键信息，如生产配方、工艺规范、技术图纸、财务成本、生产数据等信息，其管理往往涉及严格的流程要求、权限要求、备份恢复等安全要求，以确保信息在使用管理过程中的安全。因此，提供一种覆盖全面、稳定可靠的安全控制方法，实现对生产过程敏感关键信息管理的安全控制是十分必要的。

现有MES系统中，对于信息安全机制的构建往往侧重不同或针对局部，缺乏全面性和可靠性；同时，由于采用普通的标记方法和存储结构，使得安全控制存在可配置性差、处理效率低等问题。

发明内容

为解决上述问题，本发明目的是提供一种针对MES系统中信息安全的控制方法和系统，构建完备、可靠的安全控制机制，并提高系统的可配置性和处理效率。

本发明为实现上述目的所采用的技术方案是：一种针对生产过程中信息的安全控制方法，包括以下步骤：

对人员登录名和密码进行基础校验，并通过访问地址与短信校验码完成附加校验；

根据用户、角色及权限的配置信息获得登录用户的资源权限集合，通过对资源权限的存储结构的解析，实现对用户操作的权限控制；

在用户资源操作过程中，根据流程状态配置信息，实现消息、日志及备份的触发；

消息触发时，根据流程节点的状态和权限分配情况，确定消息通知的内容和对象；通过对用户当前系统状态的判断，确定消息通知的方式；

日志触发时，对用户操作记录进行存储并加密；

备份触发时，对用户操作导致的数据变化进行即时备份，结合日志记录，实现信息的异常恢复。

所述根据用户、角色及权限的配置信息获得登录用户的资源权限集合包括以下步骤：

对用户可用的资源权限采用特征标签的方式进行标记，特征标签对应的权限内容采用XML形式进行描述，权限内容的存储结构为控件名节点—属性名节点—属性值节点；

针对用户权限集合，对权限的标记内容进行冲突检测和处理：检索Page页面内控件属性赋值和变量赋值是否存在二义性赋值；存在二义性赋值时，依据权限优先集合或者人工选择消除二义性赋值。

所述权限优先集合通过以下步骤得到：

首先，针对同一Page页面下的权限标签，依据权限内容逐项分析权限冲突情况，形成权限冲突集合；

以P代表权限，则与第i项权限Pi冲突的权限集合表示为F_i={P_m,……,P_n}；然后，遍历F_i集合中每项权限P_k，与P_i进行优先级判定，若Pi的优先级高，则将P_k计入P_i的优先集合中，反之则将P_i计入P_k的优先集合中；P_k与P_i的优先级仅设定一次，在F_k集合的遍历过程中将不再处理；最终，形成各权限的优先集合U_i，代表权限P_i优先于集合中的各项权限。

所述日志的记录以树状结构进行存储，以信息的控制版本作为树的根节点，以信息的操作流程节点作为二级节点，以具体操作内容作为叶子节点。

一种针对生产过程中信息的安全控制系统，包括：

系统准入模块，对人员登录名和密码进行基础校验，并通过访问地址与短信校验码完成附加校验；

资源权限模块，根据用户、角色及权限的配置信息获得登录用户的资源权限集合，通过对资源权限的存储结构的解析，实现对用户操作的权限控制；

状态触发模块，在用户资源操作过程中，根据流程状态配置信息，实现消息、日志及备份的触发；

消息触发模块，消息触发时，根据流程节点的状态和权限分配情况，确定消息通知的内容和对象；通过对用户当前系统状态的判断，确定消息通知的方式；

日志跟踪模块，日志触发时，对用户操作记录进行存储并加密；

备份恢复模块，备份触发时，对用户操作导致的数据变化进行即时备份，结合日志记录，实现信息的异常恢复。

所述资源权限模块包括：

权限存储模块，对用户可用的资源权限采用特征标签的方式进行标记，特征标签对应的权限内容采用XML形式进行描述，权限内容的存储结构为控件名节点—属性名节点—属性值节点；

权限冲突检测处理模块，针对用户权限集合，对权限的标记内容进行冲突检测和处理：检索Page控件属性赋值和变量赋值是否存在二义性赋值；存在二义性赋值时，依据权限优先集合或者人工选择消除二义性赋值。

所述日志的记录为树状存储结构；树的根节点为信息的控制版本，二级节点为信息的操作流程节点，叶子节点为操作内容。

本发明具有以下有益效果及优点：

1)本发明所采用的安全控制机制完备性较好，覆盖关键信息管理中维护、存储、使用等各个环节，实现资源权限的定义与标记、灵活分配、冲突处理，处理流程、重要操作的跟踪回溯以及信息异常的处理与恢复。

2)本发明构建独立的安全控制模块，通过服务调用的方式与业务管理模块相集成，实现了代码的分离；同时，通过丰富的配置界面，实现对资源权限、工作流程及触发条件等信息的灵活配置。

3)本发明的资源权限的标记采用页面控件属性和权限变量相结合的XML结构进行定义和存储，能够有效提高资源权限的可配置性，减少源程序代码的修改；针对角色权限分配中存在的权限冲突，提供基于权限优先级的检测和处理方法，实现处理效率和灵活性的统一。

4)本发明的日志采用基于信息控制版本和流程操作节点的树状存储方式，并进行加密处理，提高了信息检索速度和防篡改能力。

附图说明

图1为本发明的总体结构图；

图2为资源权限冲突示意图；

图3为资源权限的分配与控制流程图；

图4为生产配方管理状态机示意图；

图5为生产配方操作树结构示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

本发明是一种综合安全控制的方法和系统，贯穿于对敏感关键信息的全过程操作与应用，涉及系统准入、资源权限、状态触发、日志跟踪、备份恢复等机制。敏感关键信息是指涉密性强、对安全控制要求较高的信息，如生产配方、工艺规范、技术图纸、财务成本、生产数据等。

系统准入机制，主要针对敏感关键信息管理的系统登录，对准入资格进行校验与控制，在基础身份验证基础上，根据登录地点的不同选择不同附加身份验证方式，同时包括登录超时限制等控制方法。

资源权限机制，主要指在敏感关键信息操作资源配置的基础上，实现资源权限、角色、人员的灵活分配、存储以及冲突处理，主要涉及权限的存储和控制方法、权限冲突的处理方法。

状态触发机制，主要指依据敏感关键信息管理工作流程，对操作动作做出及时响应，流程状态改变的同时，实现消息通知的触发、日志记录的触发和数据备份的触发。

日志跟踪机制，基于状态机配置信息和触发条件，对敏感关键信息管理中的重点操作进行详细记录，以树状结构进行存储，并利用加密技术提高日志记录的防篡改能力，最终实现信息操作的跟踪和回溯。

备份恢复机制，主要指对信息数据进行备份，并依据操作日志对信息数据进行分析与恢复。数据备份包括基于状态触发的即时备份和基于计划的周期备份两种方式。

本发明涉及的安全控制方法包含以下机制，整体的机制结构图如图1所示。

1.系统准入模块

系统准入主要针对敏感关键信息管理的人员登录进行控制，包括基础校验和附加校验两层校验机制。

基础校验，完成人员登录名和密码的合法性校验。其中，密码信息以加密方式存储，由于无需解密，仅需校验密码密文的一致性，因此选取散列加密算法MD5。另外，为避免反复尝试密码而增加密码破解机会，准入机制提供密码错误限制，即连续指定次数的错误密码校验后，将对登录进行锁定，需等待解锁周期或管理员解锁后方可再次登录。

附加校验是在基础校验的基础上，增加访问地址校验与手机短信校验相结合的校验方式，对访问人员身份进行校验。其中，访问地址校验方式适用于生产局域网环境中，计算机MAC地址与网络端口、IP地址绑定情况下，信息的登录绑定到有限计算机范围内的准入需求，通过配置绑定信息，实现对访问点的登录校验；手机短信校验方式适用于不同地点的移动登录，利用系统移动短信平台，通过发送验证码请求，实现手机短信接收动态验证码的校验。在具体的系统应用中，两种附加校验方式配置为可选方式，以适应不同地点的登录要求。

同时，为避免用户登录系统后，忘记及时退出而产生他人盗用的情况，准入机制提供登录超时退出功能，在关键信息管理过程中，若无任何操作的持续时间超过设定时间，系统将自动注销登录。

2.资源权限模块

资源权限模块基于资源、权限、角色和用户的多层结构进行构建，包括资源权限的标记方法和权限分配冲突处理两部分内容。用户、角色及权限的配置信息包括：资源与权限的关系为一对多关系、权限与角色的关系为多对多关系、角色与用户的关系为多对多关系，最终通过“资源”—“权限”—“角色”—“用户”的逐层分配，实现用户对资源的控制。

2.1资源权限的标记方法

在基于Web浏览器运行的MES系统中，“资源”对应于具体的Page页面，“权限”对应于该Page下的各类原子操作、组合操作、资源限制以及特殊的处理逻辑，体现为对Page中单一或组合控件（如按钮、链接、窗口）的可见性、使能性等属性限制以及特殊业务逻辑处理方法（如不同口径的统计方法和报表展现形式）。

资源权限采用特征标签的方式进行标记，在同一Page内具有惟一性，如只读权限标识为“Readonly”、修改权限标识为“Modified”等。特征标签对应的权限内容采用XML形式进行描述，对于控件操作控制类型的权限，体现为“控件名节点—属性名节点—属性值节点”三层结构，如下形式：

每个特征标签可以赋予多个控件、多个属性及相应的属性值。Page页面加载时，将根据标签解析相应的XML内容，对Page中指定的控件进行属性赋值，如可见性Visibility属性的可选值包括Visible、Hidden和Collapsed，进而实现对控件的操作控制。Page页面内控件的相关属性具有默认值，权限描述只需对要改变的控件属性进行赋值即可，如对于Page中的查询按钮，通常为所有权限都可操作的，因此其Visibility属性的默认值为Visible，无需对其进行更改。

对于Page中的特殊处理逻辑，无法通过赋予控件属性进行控制，此时需要对Page中的控制处理逻辑的变量进行赋值，实现控制逻辑的处理，其中变量类型为字符类型。对应的XML包括“变量名节点—变量值节点”两层结构，如下所示：

每个权限特征标签可以赋予多个变量及相应的变量值。Page页面加载时，首先对指定的Page变量进行初始化赋值，在处理相应逻辑之前，对相应变量值进行判断，以决定执行哪段处理逻辑。如统计报表展现权限划分为表格展现形式和图形展现形式，则权限内容分别通过为Page中变量“ReportView”赋值“gird”和“chart”来进行描述，报表统计处理前需要对变量“ReportView”的赋值进行判断，如果为“gird”，则进行表格形式的报表查询；否则，则进行图形形式的报表查询。

综合以上两种类型的权限描述，形成最终的XML描述结构，如下所示，可以实现控件属性和变量的单一或联合赋值。

采用上述的特征标签权限标记方法，通过对Page控件属性值和变量的赋值，可以实现对Page页面操作内容的任意组合，实现权限的灵活控制。而且，在既定内容的Page页面条件下，无需修改页面代码，通过更改标签的配置内容，即可实现权限内容的变更，提高系统的可维护性和灵活性。

2.2权限冲突的检测与处理

同一资源下的权限之间，存在两类关系：①包含的关系，如“审核”权限包含“只读”权限（保证维护人和审核人分离）、“导出”权限包含“打印”权限（导出即可打印）；②互斥的关系，如“只读”权限和“修改”权限之间互斥。在特征标签的权限描述中，两种关系分别体现为Page页面下同一控件或变量的赋值存在相等或不等情况。相等的情况对于赋值，会造成重复性影响，而在不等情况下，则会造成赋值的二义性。如“审核”权限和“只读”权限都需要对添加、删除、修改按钮的可见性属性进行了隐藏赋值（Hidden），同时处理这两个特征标签，将对这些按钮的可见性属性进行两次隐藏赋值；而由于“修改”权限需要对这些按钮的可见性属性进行了可见赋值（Visible），因此在同时处理“只读”和“修改”时，按钮的可见性属性赋值出现二义性。

如上所述，资源权限的冲突定义为：在同一个Page页面下，需要同时处理两个或多个存在赋值二义性的权限特征标签。由于无法给相应的控件属性或变量赋值，进而影响权限控制。

权限分配最终体现为两个权限集合：角色的权限集合与用户的权限集合。在角色的权限集合中，不允许出现权限冲突情况，而在用户的权限集合中，由于角色和用户为多对多关系，权限冲突将可能出现。图2展示了一个权限分配示例：在权限角色分配层级，角色A首先分配资源A的“审核”和“打印”权限，此时如果分配“删除”权限，则视为出现互斥，因为“审核”权限与包括“删除”权限互斥的“只读”权限；在角色用户分配层级，当角色A和角色B时分配给用户A时，用户A的权限集合出现了资源A的两个互斥权限“只读”和“修改”，产生了权限分配的冲突。

对于权限的冲突，包括冲突检测和冲突处理两个方面。冲突检测即针对用户权限集合，对权限的标记内容进行检测，检索Page控件属性赋值和变量赋值是否存在二义性赋值情况。冲突处理的过程即消除控件属性或变量的二义性赋值的过程，最终实现唯一性赋值。采用的主要方法为“权限优先级法”，即针对同一资源页面下的互斥权限，定义其优先级别，以区分发生冲突时，优先处理的权限，如配置只读权限优先级高于编辑权限，则当发生冲突时，页面资源将优先应用只读权限。

权限的优先级定义的过程为：首先，针对同一Page页面下的权限标签，依据权限内容逐项分析权限冲突情况，形成权限冲突集合。以P代表权限，则与第i项权限P_i冲突的权限集合表示为F_i={P_m,……,P_n}；然后，遍历F_i集合中每项权限P_k，与P_i进行优先级判定，若Pi的优先级高，则将P_k计入P_i的优先集合中，反之则将P_i计入P_k的优先集合中。由于冲突是相互的，因此P_k与P_i的优先级仅设定一次，在F_k集合的遍历过程中将不再处理；最终，形成各权限的优先集合U_i，代表权限P_i优先于集合中的各项权限。

在此基础上，冲突处理即可依据权限优先集合进行判定，达到消除权限冲突的目的。这种通过配置，利用权限优先集合处理权限冲突的方法，能够实现权限冲突的自动处理，可称之为“静态处理法”；与此同时，为增强系统权限分配的灵活性，提供权限优先级的人工选择方法，称之为“即时选择法”。冲突检测机制将检测结果以权限标签的方式展现到前端界面，由权限分配人员进行即时选择，以体现出不同人员分配的差异。将两种方法结合起来，实现了效率与灵活的统一。

3.状态触发模块

状态触发模块，主要针对具有规范工作流程的信息管理过程，首先依据实际业务流程构建管理过程状态机，明确各流程环节的信息变化状态和操作触发条件，为状态触发处理提供条件。流程状态配置信息是指状态机中各流程节点的操作动作、信息状态及权限分配等配置信息。图4为MES系统中生产配方管理的状态机示意图，描述了一个版本配方由拟定开始直至回收为止的全过程操作和状态转换机制。

在状态机构建的基础上，进一步构建相应状态的触发内容。状态触发包括备份触发、日志触发和消息触发三部分内容。状态机的状态转换，基于对信息的触发操作、触发前状态、触发后状态，将操作动作信息、数据前后变化信息和状态变更信息分别传递给日志跟踪模块、数据备份模块及消息通知模块，实现上述三部分触发内容。触发的过程以备份触发为优先处理对象，只有备份成功后方可提交状态变更、日志触发以及消息触发，具体过程为：客户端提交状态变更申请；组织备份信息调用数据备份，若备份返回成功后保存状态变更，否则返回，申请失败；保存状态变更后依次调用日志跟踪和消息通知模块。

对于消息触发，需要结合状态机中（流程结点）操作资源的权限分配信息，以明确消息通知的人员对象，如配方信息的状态由“编辑”转换为“审核”，是由具备“审核权限”的人员接收到配方版本信息、审核请求信息后，进行审核完成的。消息通知采用系统级消息平台和短信息通知平台两种结合的方式，通过判断当前用户的系统登录状态，自动选择相应的消息通知模式。

4.日志跟踪模块

日志跟踪模块，是在资源权限的基础上，对配置的资源操作进行日志记录并实现跟踪和回溯。日志记录包含操作的资源、人员、时间信息以及操作造成的信息状态变化和数据变更情况。在日志记录的基础上，信息操作的跟踪和回溯体现为由操作向结果的正向查询和由结果向操作的反向查询，日志查询线索包括操作时间、人员、资源版本及操作类型，查询结果包括资源的状态、内容的具体变更情况，以级联报表的形式展现。

针对MES系统中具有规范工作流程的关键信息管理，采用以信息版本为根节点，操作流程节点为二层节点，具体操作内容为叶子节点的树结构方式对日志信息进行存储，可以有效记录该版本信息在其生命周期内的操作情况，较之传统的流水日志记录方法，具有存储结构清晰、检索统计高效的特点。

日志跟踪信息的记录是由第3部分“状态触发模块”触发的，在状态机的状态发生改变时，即时获取很存储影响状态变化的操作类型、部门、人员、时间等信息。以MES生产配方管理为例，基于配方管理状态机，如图5所示，一个生产配方版本的完整生命周期包括拟定、审核、发布、接收、查询、绑定、停用、启用、作废与回收等关键操作节点，树状存储结构即依据节点内容进行构建。随着拟定配方的开始，将首先形成该版本配方的树结构的根节点和拟定子节点，同时将拟定的详细操作信息形成节点记录到拟定节点下，后续的存储过程随着操作的变更以此类推。每个流程节点下存储所有该流程的详细操作子节点，以操作时间为顺序，包括操作部门、操作用户、操作内容等信息。其中，对于拟定、审核、发布等节点，由于业务逻辑，只操作固定次数，因此其叶子节点数量有限；而对于查询、生产绑定等节点，其叶子节点的数量则根据配方版本的使用情况呈动态变化，生命周期越长，则叶子节点的数量越大。

同时，为了保证日志信息的防篡改，对存储详细操作信息的叶子节点进行加密处理，为每个节点的操作部门、操作用户、操作时间、数据变更等信息分别进行加密。由于不涉及信息的传递，仅对本地信息进行加密，因此选择对称加密算法中的AES算法，保证加解密效率的同时也保证了加密的安全性。AES算法支持128bit、192bit、256bit三种密钥长度，通过为每个叶子结点生成一个唯一标识GUID（32字符长度，不含连接符），恰好可以构造256bit长度的密钥，从而实现了每个叶子节点加密密钥的不同，提高了安全性。

在此基础上，信息操作的回溯过程即对日志存储树结构的遍历和检索过程：以独立版本的信息作为主体，以操作时间为顺序，依次检索各流程节点及其叶子节点，可以形成该版本信息的完整生命周期操作视图、以及任意流程节点下的详细视图，最终以操作树的统计形式展现到前端界面。由于存储的叶子节点为加密信息，因此在呈现回溯结果之前需要以该节点GUID作为密钥对其进行AES算法解密。

5.备份恢复模块

备份恢复模块包括两类备份方式：由操作触发的即时备份和计划的定时备份。如前所述，即时备份是由状态触发机制中的状态转换触发的，通过检查信息状态变化前后的数据变化情况，选择性的备份进行备份，如配方中原料组分的替换、掺配比例的变更等；定时备份是依据设定备份周期，对信息的表数据进行完整备份。两类备份在备份时间粒度、精细程度上实现了较好的结合。同时，为保证备份的可靠性，备份数据定期进行迁移，迁移到异地服务器或导出到光盘等介质。

备份的恢复，主要参照操作日志进行，依据内容包括操作的时间、人员、类型等信息，系统将自动分析出指定时间区间、状态变更节点上的恢复数据，最终经由人工确认和处理。

以下，按以上五种机制顺序就安全控制方法的实现及应用流程说明如下：

1)构建系统准入模块，首先创建相关数据库存储表和相应前端配置界面。数据表包括：①用户表，存储用户登录名、经MD5加密后的密码及手机号码等信息；②登录表，存储登录用户、登录时间、连续错误登录次数、锁定时间、短信验证码等信息；③信息授权访问表，存储允许访问的计算机IP地址及MAC地址等信息；④信息操作记录表，存储用户即时操作的最新时间信息。然后构建短信平台及相应的接口服务，实现动态验证码的发送和校验。

系统接收登录口令后，进行登录身份校验，若发生校验失败，则更新该用户的连续错误登录次数，当达到累计次数上限，则对该用户登录进行锁定，只能在设定时间间隔后方可再次登录。登录成功及解锁后，连续错误登录次数将重新初始化为0。

通过基础校验后，依据附加校验方式实现对访问地址或人员动态身份进行校验，系统通过检索信息授权访问表实现对登录计算机终端的验证，通过调用短信平台服务实现随机验证码的短信发送。短信验证码以设定位数的随机数字组成，当短信发送成功后，将存储到登录信息表中，用来校验用户提交的确认验证码。

在通过基础校验和附加校验后的信息管理过程中，系统将对设定的各主要操作进行实时状态监测，实时更新用户的最新操作动作的时间戳。当用户的操作时刻距离上一次操作时刻间隔超出设定的时间范围，系统将自动注销本次登录，实现无操作动作超时情况下的自动注销。

2)构建资源权限模块，重点在于建立权限标记和权限冲突的检测与处理。

2-1）数据存储结构

权限的标记，在数据库中采用“权限ID”、“资源ID”、“特征标签名称”、“权限内容”的表结构存储（Right_Tag），如表一所示（以Oracle数据库为例）。其中，“资源ID”字段作为外键，关联资源表的主键，用于标识唯一的资源Page页面，以体现资源与权限的一对多关系；“特征标签名称”即前端界面分配时可见的用于描述权限含义的字符名称；“权限内容”字段，存储前述的XML结构数据，用于描述Page页面中控件属性值及变量的赋值情况。

表一

字段名称	字段类型	存储内容
			Right_ID	Number(10)	主键
Page_ID	Number(10)	外键、资源页ID
			Right_Tag	Varchar2(20)	权限特征标签
Right_Content	Clob	权限内容XLM

权限的优先级，在数据库中采用“权限ID”、“冲突权限集”的表结构存储（Right_Conflict），用于表示权限的优先集合，如下表所示（以Oracle数据库为例）。其中，“权限ID”字段代表该优先集合的优先权限，与权限表中的主键对应；“冲突权限集”字段记录该优先集合中的成员权限，采用英文分号“;”间隔的权限ID格式进行存储。

字段名称	字段类型	存储内容
			Right_ID	Number(10)	外键、权限ID
Conflict_Right	varchar(200)	冲突权限集合

权限分配的“即时选择法”要求为每个用户存储一份动态的权限优先记录，在数据库中采用“用户ID”、“权限ID”、“冲突权限集”的表结构存储（User_CRight），用于表示该用户下的权限的优先集合，如表二所示（以Oracle数据库为例）。“权限ID”、“冲突权限集”如上描述。

表二

字段名称	字段类型	存储内容
			User_ID	Number(10)	外键、用户ID
Right_ID	Number(10)	外键、权限ID
			Conflict_Right	varchar(200)	冲突权限集合

此外，还包括角色-权限分配表（Role_Right）、用户-角色分配表（User_Role），用于记录“权限—角色—用户”的逐层分配内容。

2-2）数据处理逻辑

基于以上主要表结构，结合图3，对权限分配过程以及权限控制过程的数据处理逻辑描述如下：

角色权限分配，主要对权限的冲突情况进行检查，通过表“Right_Conflict”对角色的权限集合进行冲突检索，当发现冲突权限，则不允许保存分配结果，以体现同一角色不允许出现权限冲突的限定。

用户角色分配，首先基于角色权限的分配情况，构建用户的权限分配集合，然后通过检索权限冲突表“Right_Conflict”，获取权限冲突情况，若存在权限冲突，则将冲突的权限信息展现到前端界面。此时，提供给权限分配人员两个选择：“自动冲突处理”和“人工冲突处理”，自动处理将依据“Right_Conflict”的优先级设定自动保留优先级高的权限，而人工处理将依据界面提示，自由选择需要保留的冲突权限。无论选择哪种冲突处理方法，最终的权限优先级结果都记录在用户冲突权限表“User_CRight”中。

Page页面运行过程中，在页面的启动事件中，首先按照登录用户的信息，通过检索用户角色表“User_Role”、角色权限表“Role_Right”及用户冲突权限表“User_CRight”获取该用户的最终权限集合；然后依据权限ID检索权限表“Right_Tag”，解析XML结构的权限内容，并依次对Page下的控件属性或变量值进行赋值，完成Page页面的初始化，此时对于控件属性的赋值影响将能够直接从Page页面展现出来。在Page中的特殊处理逻辑代码段，首先针对变量进行判断，以选取不同的处理路径，此类权限的影响通过用户的前端进行触发和展现。

3)构建状态触发模块，包括建立信息管理的状态机、触发机制和消息通知机制。①构建系统状态机，首先依据实际业务逻辑将信息管理划分为若干状态节点，然后通过触发操作将相应的状态节点连接起来，最终形成具有流程起点和终点的有序状态转换路径。如图4所示。②建立触发机制，即在状态机的基础上，对标记的触发操作进行响应配置，体现为状态转换的消息通知、日志记录和数据备份；③建立消息通知机制，是在状态触发条件下，通过查询触发后状态的资源操作权限，将信息状态变化情况及时通知给具备下一环节操作权限的人员和相关管理人员。

信息流程及触发机制前端采用可视化配置界面，支持流程节点的拖动配置，后台数据库采用链表存储方式，存储节点信息、状态信息和操作触发条件。实际操作过程中，每次操作后都要对链表进行检索，当满足触发条件时，即进行相应的触发处理。触发机制采用Windows消息队列实现，通过向消息队列发送格式消息，利用消息队列的触发器调用相应模块的触发处理逻辑，实现上述三类触发处理。

4)构建日志跟踪模块，主要实现日志记录的树状存储结构、加解密算法及检索方法。在数据库中，以链表的方式实现操作树主结构，如表三所示（以Oracle数据库为例），每个节点记录行包括该节点的父节点，根节点的父节点为其自身。GUID字段利用Oracle的SYS_GUID函数生成，用于详细操作信息的加密密钥。

表三

字段名称	字段类型	存储内容
			OpNode_ID	Number(10)	主键
ParentNode_ID	Number(10)	父节点ID
			OpNode_Desc	Varchar2(50)	操作节点描述
Op_Time	Timestamp	操作时间戳
			GUID	Varchar(32)	节点唯一标识

操作的详细信息，以扩展表的方式存储，与操作树节点表为一对多的关系，为操作树中每个叶子节点保存详细操作集合。如表四所示（以Oracle数据库为例），其中部门、人员、附加信息三个字段以AES密文形式存储，附加信息用于存储操作的关联信息，如配方的生产绑定操作，需要明确绑定的生产牌号及批次。

表四

字段名称	字段类型	存储内容
			OpDetail_ID	Number(10)	主键
OpNode_ID	Number(10)	外键、叶子节点ID
			Op_Dept	Varchar(100)	操作部门名称
Op_User	Varchar(50)	操作人员姓名

Comment_Info

Varchar(500)

操作附加信息

AES加密算法的实现，可以选择代码级实现或数据库级两种方式：代码级方式，以微软.Net平台为例，通过引用“System.Security.Cryptography.Aes”类实现；数据库级方式，以Oracle为例，利用“DBMS_CRYPTO.ENCRYPT_AES256”系统函数实现。操作树的检索遍历，采用自顶向下、自左向右的递归方式进行，形成树节点检索函数或视图，以便于查询统计。

5)创建备份恢复模块，重点在于操作触发的即时备份方式。主要处理两类操作：①对于修改数据情况，在用户点击编辑修改时，首先对当前记录信息进行临时保存，在用户操作提交动作触发状态转换时，将临时保存信息与提交结果进行详细比较，当发现数据差异时，备份临时保存信息，否则不进行备份。最终返回给状态触发机制备份成功标记，从而完成修改类型的备份；②对于删除数据情况，采取设置删除标志位的方法，如设置“Is_Deleted”标志位字段值为0时代表数据可用，为1时代表数据已被删除，从而在没有物理删除的情况下，实现删除数据的备份。

计划的周期备份，利用数据库的计划任务功能实现。备份周期根据实际的业务情况设定，备份的时间选取在系统操作的空闲区间，以排除系统操作的干扰并提高备份效率。

数据恢复的自动分析过程，采取时间逼近、操作吻合的原则，与系统日志相关联进行分析，提供备份时间、触发操作、人员、更改前后数据等备份内容展示，提高人工恢复的效率和准确性。

Claims

1.一种针对生产过程中信息的安全控制方法，其特征在于，包括以下步骤：

根据用户、角色及权限的配置信息获得登录用户的资源权限集合，通过对资源权限的存储结构的解析，实现对用户操作的权限控制；所述根据用户、角色及权限的配置信息获得登录用户的资源权限集合包括以下步骤：对用户可用的资源权限采用特征标签的方式进行标记，特征标签对应的权限内容采用XML形式进行描述，权限内容的存储结构为控件名节点—属性名节点—属性值节点；针对用户权限集合，对权限的标记内容进行冲突检测和处理：检索Page页面内控件属性赋值和变量赋值是否存在二义性赋值；存在二义性赋值时，依据权限优先集合或者人工选择消除二义性赋值；

日志触发时，对用户操作记录进行存储并加密；

备份触发时，对用户操作导致的数据变化进行即时备份，结合日志记录，实现信息的异常恢复；

所述权限优先集合通过以下步骤得到：

以P代表权限，则与第i项权限P_i冲突的权限集合表示为F_i＝{P_m,……,P_n}；然后，遍历F_i集合中每项权限P_k，与P_i进行优先级判定，若Pi的优先级高，则将P_k计入P_i的优先集合中，反之则将P_i计入P_k的优先集合中；P_k与P_i的优先级仅设定一次，在F_k集合的遍历过程中将不再处理；最终，形成各权限的优先集合U_i，代表权限P_i优先于集合中的各项权限。

2.根据权利要求1所述的一种针对生产过程中信息的安全控制方法，其特征在于：所述日志的记录以树状结构进行存储，以信息的控制版本作为树的根节点，以信息的操作流程节点作为二级节点，以具体操作内容作为叶子节点。

3.一种针对生产过程中信息的安全控制系统，其特征在于包括：

备份恢复模块，备份触发时，对用户操作导致的数据变化进行即时备份，结合日志记录，实现信息的异常恢复；

所述资源权限模块包括：

4.根据权利要求3所述的一种针对生产过程中信息的安全控制系统，其特征在于：所述日志的记录为树状存储结构；树的根节点为信息的控制版本，二级节点为信息的操作流程节点，叶子节点为操作内容。