CN104462888A - 客运管理信息系统中的用户权限管理系统 - Google Patents
客运管理信息系统中的用户权限管理系统 Download PDFInfo
- Publication number
- CN104462888A CN104462888A CN201410819447.1A CN201410819447A CN104462888A CN 104462888 A CN104462888 A CN 104462888A CN 201410819447 A CN201410819447 A CN 201410819447A CN 104462888 A CN104462888 A CN 104462888A
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- role
- management
- passenger transportation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000008859 change Effects 0.000 claims abstract description 7
- 238000012217 deletion Methods 0.000 claims description 10
- 230000037430 deletion Effects 0.000 claims description 10
- 230000027455 binding Effects 0.000 claims description 5
- 238000009739 binding Methods 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 9
- 238000007726 management method Methods 0.000 description 46
- 238000000034 method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- General Health & Medical Sciences (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Health & Medical Sciences (AREA)
- Marketing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Educational Administration (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Development Economics (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Primary Health Care (AREA)
- Game Theory and Decision Science (AREA)
Abstract
本发明申请公开了一种分权技术,该技术将用户注册的审批权独立出来,解决了系统管理员权限集中而给系统带来的安全隐患。其角色包括系统管理员和业务管理员,系统管理员可给角色分配权限和将角色绑定到用户,业务管理员可进行业务操作,角色中还设有人事管理员,人事管理员可增加删除用户和改变用户属性,系统管理员禁止增加删除用户、改变用户属性和业务操作。
Description
技术领域
本发明涉及一种高安全性的客运管理信息系统的权限管理方法。
背景技术
权限系统一直以来都是信息管理系统不可缺的一部分,目前,功能权限管理技术,一般就使用基于角色访问控制技术,系统提供用户、角色、权限相关联的控制功能:
1,角色管理界面,由管理员定义角色,给角色赋权限;
2,用户角色管理界面,由管理员给系统用户赋予角色。
在这样的系统中,都会原始地设置一个具有最高权限的系统管理员,由它来定义其它基本角色的权限和将系统的用户赋予角色,在这种只有单一原始系统管理员角色的系统中,任何角色和用户的权限都直接或间接衍生于这一原始角色,整个系统的安全都建立在对其无条件的信任上。
对系统管理员权限的限制效果都不大或过于复杂,如:客运系统可以规定系统管理员只具有权限分配的权限,不能具有售票、调度、财务等客运业务操作权限,但系统管理员可以另行注册一个用户,然后给这个用户分配业务操作权限;在功能权限的基础上,引入数据级权限设置,可以有较好的效果,但这种权限系统比较复杂,其安全性论证也困难。
客运管理系统几乎管理着客运站所有的业务,系统管理员角色一般都由普通IT员工担任,这种单位领导与普通IT员工权责倒挂的情况对单位敏感数据(如:财务数据)的正确性、保密性和完整性带来极大的威胁。
整个说明书对背景技术的任何讨论,并不代表该背景技术一定是所属领域技术人员所知晓的现有技术;整个说明书中的对现有技术的任何讨论并不代表认为该现有技术一定是广泛公知的或一定构成本领域的公知常识。
发明内容
为了克服系统管理员权限过高,而给系统敏感数据和关键业务的带来的潜在威胁,本申请设计了一种分权技术,该技术将用户注册的审批权独立出来,解决了系统管理员权限集中而给系统带来的安全隐患。
本方案中的客运管理信息系统中的用户权限管理系统,其角色包括系统管理员和业务管理员,系统管理员可给角色分配权限和将角色绑定到用户,业务管理员可进行业务操作,角色中还设有人事管理员,人事管理员可增加删除用户和改变用户属性,系统管理员禁止增加删除用户、改变用户属性和业务操作。
用户属性包括其所属部门等。用户的角色不属于用户属性,系统管理员可以对用户的角色进行操作。
客运系统的功能一般分成系统管理和业务管理二元结构,系统管理包括对用户、角色、权限及其相互关系的管理和其它系统维护相关的管理,业务管理主要包括车辆合同管理,例检管理、车辆调度管理、售票管理、财务用车辆结算管理,这些业务属于资金敏感操作,安全性要求极高,否则,就有可能造成严重的经济损失,操作员必须经过严格的培训才能上岗,在二元结构中,用户、角色、权限作为一个整体由系统管理员管理,即使在系统中规定好任何用户都不能既是系统管理员又能操作业务,如果不引入复杂的数据级权限,就不可完全防止可能的系统管理员的恶意业务操作,即,另开一个用户,然后赋于其业务操作权限进行恶意操作,即使事后可追溯,但损失已经造成。基于这样的事实,我们发明了一种三元系统结构,即客运系统分成系统管理、人事管理、业务管理,人事管理负责用户及用户所属部门的增加与删除,系统管理负责角色权限的分配、用户与角色的绑定和其它系统维护相关的管理,业务管理负责客运业务的管理,三元结构中,前都与后两个不能相容,后两个可以相容,即:拥有系统管理权限的用户不能具有人事管理、业务管理权限,拥有人事管理权限的用户可以操作客运业务。这样,系统管理员既不能操作业务,也不能另开用户来避开这一限制。
在客运管理系统中,原始设置两个用户,这两个用户都不由操作程序产生,而是在客运系统数据库的用户表中设置,一个具有最高的给角色分配权限和将角色绑定到用户的权限,一个具有最高的增删用户及用户所属部门的权限。
对系统管理员高度集中的权限进行分权,使权限在相互牵制中运行,防止系统管理员对未经许可的业务进行侵权操作而可能带来的灾难性后果。
进一步,人事管理员可进行业务操作。
进一步,系统管理员可以增加下级角色,并给下级角色赋予相应的权限。
进一步,人事管理员的用户删除操作必须在指定用户没有任何权限的前提下。
进一步,人事管理员的部门删除操作需在指定部门无用户的前提下。
附图说明
图1为本发明实施例的5张权限设计相关表及其关系的示意图。
图2是系统管理员操作流程示意图。
图3是人事管理员操作流程示意图。
图4是普通用户操作流程示意图。
具体实施方式
下面通过具体实施方式对本发明作进一步详细的说明:
实施例基本如附图1、2、3、4所示:
为了将客运系统划分成系统管理、人事管理、业务管理三元系统,对用户、角色、权限三者及其相互关系的设计至关重要。
首先,数据库至少包含五张表来描述用户、角色、权限及其互关系如图1:
用户表:存储客运站所有在岗职工的相关个人资料,为实现三元结构,有一个字段记录该用户的权限状态,取值范围是{1,2,3,4},1 指可以进行业务管理权限类操作,2指人事权限,3即1+2,指既可做业务操作也可做人事操作,4指系统管理操作。
角色表:存储客运系统中已有的角色及其相关数据。
权限表:存储客运系统所具备的各项指令,这些指令有可能对应一至多项系统菜单命令。
角色权限表:存储角色所拥有的权限,一个角色可以拥有多项权限表中所记录的权限。
用户角色表:存储用户所对应的角色,用户与角色是一对多关系。
用户表原始具有两个用户,这两个用户都不由操作程序产生,而是在客运系统数据库的用户表中设置,即系统管理员与人事管理员,系统管理员具有最高的给角色分配权限和将角色绑定到用户的权限,人事管理员具有最高的增加删除用户及用户所属部门的权限,它们的权限可以被其它用户部分或全部地继承,但系统管理、人事管理、业务管理三都的相容或排斥关系必须遵守,这种继承是用户到用户,不存在角色这一环节。所有的角色所对应的权限均是业务管理类操作。
在客运系统的功能由系统管理、人事管理、业务管理三个模块构成,系统管理员登录系统可以操作系统管理模块,其流程如图2,人事管理员登录系统可以操作人事管理和业务管理模块,其流程如图3,普通用户只能操作业务管理模块,其流程如图4。
综上所述,采取在用户表中除系统管理员外,另再原始设置人事管理员,使人事管理员不再由系统管理员生成,从而取得独立于系统管理员的效果,将用户的增、删、改从原来系统管理员的权限中独立出来;在系统软件设计中,通过检查权限状态是否小于等于4来实现系统管理与人事及业务管理不能共容于一个用户,实现了对系统管理员的有效分权,能有效防止系统管理员对客运业务的非专业甚至恶意操作,大大提高了客运系统敏感数据和关键业务的安全。
以上所述的仅是本发明的实施例,方案中公知的具体结构及特性等常识在此未作过多描述。应当指出,对于本领域的技术人员来说,在不脱离本发明结构的前提下,还可以作出若干变形和改进,这些也应该视为本发明的保护范围,这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准,说明书中的具体实施方式等记载可以用于解释权利要求的内容。
Claims (5)
1.客运管理信息系统中的用户权限管理系统,其特征在于,其角色包括系统管理员和业务管理员,系统管理员可给角色分配权限和将角色绑定到用户,业务管理员可进行业务操作,角色中还设有人事管理员,人事管理员可增加删除用户和改变用户属性,系统管理员禁止增加删除用户、改变用户属性和业务操作。
2.根据权利要求1所述的客运管理信息系统中的用户权限管理系统,其特征在于:人事管理员可进行业务操作。
3.根据权利要求1所述的客运管理信息系统中的用户权限管理系统,其特征在于:系统管理员可以增加下级角色,并给下级角色赋予相应的权限。
4.根据权利要求1所述的客运管理信息系统中的用户权限管理系统,其特征在于:人事管理员的用户删除操作必须在指定用户没有任何权限的前提下。
5.根据权利要求1所述的客运管理信息系统中的用户权限管理系统,其特征在于:人事管理员的部门删除操作需在指定部门无用户的前提下。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410819447.1A CN104462888A (zh) | 2014-12-25 | 2014-12-25 | 客运管理信息系统中的用户权限管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410819447.1A CN104462888A (zh) | 2014-12-25 | 2014-12-25 | 客运管理信息系统中的用户权限管理系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104462888A true CN104462888A (zh) | 2015-03-25 |
Family
ID=52908915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410819447.1A Pending CN104462888A (zh) | 2014-12-25 | 2014-12-25 | 客运管理信息系统中的用户权限管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104462888A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108256871A (zh) * | 2016-12-27 | 2018-07-06 | 天津唐玺科技有限公司 | 一种新型客户信息管理系统 |
CN108875054A (zh) * | 2017-07-07 | 2018-11-23 | 成都牵牛草信息技术有限公司 | 表单中的角色性质字段的字段值获取方法 |
CN109817347A (zh) * | 2019-01-15 | 2019-05-28 | 深圳市道通科技股份有限公司 | 在线诊断平台、其权限管理方法及权限管理系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020178119A1 (en) * | 2001-05-24 | 2002-11-28 | International Business Machines Corporation | Method and system for a role-based access control model with active roles |
CN1493995A (zh) * | 2002-11-02 | 2004-05-05 | 华为技术有限公司 | 一种控制系统安全管理的方法 |
-
2014
- 2014-12-25 CN CN201410819447.1A patent/CN104462888A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020178119A1 (en) * | 2001-05-24 | 2002-11-28 | International Business Machines Corporation | Method and system for a role-based access control model with active roles |
CN1493995A (zh) * | 2002-11-02 | 2004-05-05 | 华为技术有限公司 | 一种控制系统安全管理的方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108256871A (zh) * | 2016-12-27 | 2018-07-06 | 天津唐玺科技有限公司 | 一种新型客户信息管理系统 |
CN108875054A (zh) * | 2017-07-07 | 2018-11-23 | 成都牵牛草信息技术有限公司 | 表单中的角色性质字段的字段值获取方法 |
CN108875054B (zh) * | 2017-07-07 | 2021-04-09 | 成都牵牛草信息技术有限公司 | 表单中的角色性质字段的字段值获取方法 |
CN109817347A (zh) * | 2019-01-15 | 2019-05-28 | 深圳市道通科技股份有限公司 | 在线诊断平台、其权限管理方法及权限管理系统 |
US11303645B2 (en) | 2019-01-15 | 2022-04-12 | Autel Intelligent Technology Corp., Ltd. | Online diagnostic platform, and permission management method and permission management system thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ross et al. | Protecting controlled unclassified information in nonfederal systems and organizations | |
Posthumus et al. | A framework for the governance of information security | |
Diez et al. | Govcloud: Using cloud computing in public organizations | |
Ghaffari et al. | A new adaptive cyber-security capability maturity model | |
Shukla et al. | Does the NIS implementation strategy effectively address cyber security risks in the UK? | |
CN104462888A (zh) | 客运管理信息系统中的用户权限管理系统 | |
Uddin et al. | Systematic review of identity access management in information security | |
Yoseviano et al. | The use of ISO/IEC 27001: 2009 to analyze the risk and security of information system assets: case study in xyz, ltd | |
Michener et al. | Mitigating an oxymoron: compliance in a DevOps environments | |
Anjani | Cybersecurity protection in Indonesia | |
Putra et al. | Maturity Assessment of Cyber Security in The Workforce Management Domain: A Case Study in Bank Indonesia | |
Sensuse et al. | Information Security Risk Management Planning of Digital Certificate Management Case Study: Balai Sertifikasi Elektronik | |
Petrenko | Developing an Enterprise Continuity Program | |
Shuanglin | Data security policy in the cloud computing | |
Lee et al. | A Study on Data Governance Maturity Model and Total Process for the Personal Data Use and Protection | |
Saadat et al. | Information Security Policy Development: the Mechanism to Ensure Security Over Information Technology Systems | |
Klaver et al. | European risk assessment methodology for critical infrastructures | |
Chatzipoulidis et al. | An ICT security management framework | |
Ukidve et al. | Analyzing Mapping of ISO 27001: 2013 Controls for Alignment with Enterprise Risks Management | |
Makanda et al. | Remarks on National Cyber Security for under Developed and Developing Countries: focused on Malawi | |
Marvell | Real-time cyber security risk management | |
Qodarsih | Information Security Evaluation Using the Information Security Index: A Case Study In Indonesia | |
Susan Goodman | Aligning privacy and IM within the IG framework | |
Axelrod | The creation and certification of software cybersecurity standards | |
Zia | Organisations capability and aptitude towards IT security governance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150325 |