CN110457529A - 岗位数据处理方法、装置、计算机设备及存储介质 - Google Patents
岗位数据处理方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110457529A CN110457529A CN201910603609.0A CN201910603609A CN110457529A CN 110457529 A CN110457529 A CN 110457529A CN 201910603609 A CN201910603609 A CN 201910603609A CN 110457529 A CN110457529 A CN 110457529A
- Authority
- CN
- China
- Prior art keywords
- post
- node
- concurrent
- permission
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9038—Presentation of query results
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/105—Human resources
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Quality & Reliability (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Economics (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种岗位数据处理方法、装置、计算机设备及存储介质,应用于图形数据库技术领域,用于解决对员工兼任岗位进行风险审计时容易出现审计遗漏、且审计效率低下的问题。本发明提供的方法包括:以目标员工的旧岗位数据标签、新岗位数据标签、各个目标权限以及一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到目标员工的兼任岗位图;获取可兼任时长;根据调岗时间和当前系统时间计算得到目标员工的已兼任时长;判断每一个可兼任对应关系的可兼任时长是否小于已兼任时长,得到兼任判断结果;输出并展示目标员工的兼任岗位图,且在兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。
Description
技术领域
本发明涉及图形数据库技术领域,尤其涉及岗位数据处理方法、装置、计算机设备及存储介质。
背景技术
对于很多企业来说,员工的岗位调动是常有的事。一般来说,员工岗位发生调动后,需要将员工前一岗位的系统权限收回或清理,并向该员工授予后一岗位的系统权限。但在某些特殊情况下,员工在岗位调动后需要兼任两个岗位的工作,以便更好地完成工作交接,或者,需要保留前一岗位的系统权限,以便将前一岗位的系统权限提供给未获得系统授权但需马上投入工作的新入职员工使用。因此,目前,大多企业会安排专门的审计人员从系统操作日志中分析这些兼任岗位的员工的风险。但是,当兼任岗位的员工数量众多,或者系统操作日志等数据量庞大时,审计人员的审计工作往往受到较大的阻碍,审计效率低下,且容易出现审计遗漏的情况,为企业的安全管理带来隐患。
因此,寻找一种高效的岗位数据处理方法成为本领域技术人员亟需解决的问题。
发明内容
本发明实施例提供一种岗位数据处理方法、装置、计算机设备及存储介质,以解决对员工兼任岗位进行风险审计时容易出现审计遗漏、且审计效率低下的问题。
一种岗位数据处理方法,包括:
获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;
以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;
获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;
根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;
针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的兼任判断结果;
输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。
一种岗位数据处理装置,包括:
岗位权限获取模块,用于获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;
兼任岗位图输出模块,用于以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;
可兼任时长获取模块,用于获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;
已兼任时长计算模块,用于根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;
兼任时长判断模块,用于针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的兼任判断结果;
可兼任对应关系标示模块,用于输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述岗位数据处理方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述岗位数据处理方法的步骤。
上述岗位数据处理方法、装置、计算机设备及存储介质,首先,获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;然后,以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;接着,获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;接着,根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的判断结果;最后,输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出判断结果为是的可兼任对应关系。可见,本发明基于图形数据库预设了岗位决策图,在审计目标员工时,可以将其旧岗位数据标签、新岗位数据标签、各个目标权限以及隶属的目标系统作为输入,遍历该岗位决策图得到所述目标员工的兼任岗位图,通过对图上可兼任对应关系的可兼任时长进行判别,将图上兼任时长异常的可兼任对应关系标示出来,实现员工兼任岗位的快速审计,并展示出这些可兼任对应关系,方便审计人员的进一步审计处理,减少了出现审计遗漏的可能性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中岗位数据处理方法的一应用环境示意图;
图2是本发明一实施例中岗位数据处理方法的一流程图;
图3是本发明一实施例中岗位决策图的示意图;
图4是本发明一实施例中兼任岗位图的示意图;
图5是本发明一实施例中标示有节点关系的岗位决策图的示意图;
图6是本发明一实施例中岗位数据处理方法在一个应用场景下预先建立岗位决策图的流程示意图;
图7是本发明一实施例中岗位数据处理方法步骤102在一个应用场景下的流程示意图;
图8是本发明一实施例中岗位数据处理方法在一个应用场景下兼任时长超时判断的流程示意图;
图9是本发明一实施例中岗位数据处理方法在一个应用场景下权限空闲状态判断的流程示意图;
图10是本发明一实施例中岗位数据处理装置在一个应用场景下的结构示意图;
图11是本发明一实施例中岗位数据处理装置在另一个应用场景下的结构示意图;
图12是本发明一实施例中兼任岗位图输出模块的结构示意图;
图13是本发明一实施例中计算机设备的一示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请提供的岗位数据处理方法,可应用在如图1的应用环境中,其中,客户端通过网络与服务器进行通信。其中,该客户端可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一实施例中,如图2所示,提供一种岗位数据处理方法,以该方法应用在图1中的服务器为例进行说明,包括如下步骤:
101、获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;
本实施例中,服务器可以通过人力资源管理系统来获取到每个员工的岗位信息,包括员工调动前后的旧岗位数据标签、新岗位数据标签、调岗时间、在每个岗位上所拥有的各个权限(即目标权限),等等。
其中,人力资源管理系统,比如people soft,是指企业用来专门管理员工入司、岗位、调动、离司和上下级关系等人力资源的系统。
需要说明的是,本实施例中所说的目标员工是指同时兼任两个以上岗位的员工,另外,所述各个目标权限一般隶属于一个以上的目标系统,比如员工A拥有权限1和权限2,其中权限1隶属于系统A,权限2隶属于系统B。
102、以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;
本实施例中,服务器在得到所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统之后,可以以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图。其中,该岗位决策图以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且基于图形数据库建立得到,另外,该岗位决策图记录了各个岗位节点之间的可兼任对应关系和每个可兼任对应关系预设的可兼任时长。这里所说的可兼任时长是指可兼任对应关系对应的两个岗位被同一员工兼任时最大的兼任时间长度,例如,某个员工B兼任了岗位C和岗位D,岗位C和岗位D之间设有可兼任对应关系,其可兼任时长为7天,这说明员工B从岗位C调岗至岗位D,或者从岗位D调岗至岗位C之后最多可以同时兼任岗位C和D共7天。
需要说明的是,对于每个权限来说,均预先设定了哪些岗位能够使用该权限,其它没有设定的岗位就无法使用该权限。因此,这些能够使用该权限的岗位即为该权限对应的岗位。在员工的岗位安排和调动时,一个岗位对应的权限即为该岗位的可授权权限,这意味着安排在该岗位上的员工能够被授权使用这些可授权权限。
为便于理解,下面先对该岗位决策图的预先建立过程进行详细描述。如图6所示,进一步地,所述岗位决策图通过以下步骤预先建立得到:
201、以每个所述系统分别创建一个系统节点;
202、针对每个系统,以所述每个系统下的各个权限分别创建各个权限节点,其中,一个权限对应一个所述权限节点;
203、针对每个权限节点,以各个可授权岗位分别创建各个岗位节点,其中,一个可授权岗位对应一个所述岗位节点,所述各个可授权岗位是指可被授权使用所述每个权限节点的各个岗位;
204、针对每个系统节点,建立所述每个系统节点与所述每个系统节点下对应的各个权限节点之间的节点关系,得到初始决策图;
205、在所述初始决策图上,针对每个权限节点,建立所述每个权限节点与所述每个权限节点对应的各个岗位节点之间的节点关系,得到初始岗位图;
206、获取各个岗位两两之间的预设的可兼任对应关系和每个可兼任对应关系的可兼任时长;
207、在所述初始岗位图上,遍历每个所述系统节点,在每个系统节点下深度遍历每个权限节点和每个岗位节点,并在遍历时根据所述可兼任对应关系建立所述各个岗位节点之间的岗位节点关系,得到所述岗位决策图,其中,所述岗位节点关系的属性值为所述岗位节点关系对应的可兼任对应关系的可兼任时长。
对于上述步骤201,可以理解的是,该岗位决策图上理应包括预设的所有权限,也即员工使用各个系统是可能用到的全部权限。因此,可以认为这里所说的所有权限即为员工在工作中可能使用的所有的权限。而各个权限可以分别隶属于不同的系统,所有权限隶属的系统显然也涵盖了员工所在企业的所有系统。因此,步骤201即为以所有系统分别创建各个系统节点,其中一个系统对应创建一个系统节点。如图3所示的系统节点“SYS-A”和系统节点“SYS-B”。可知,这里的“SYS-A”、“SYS-B”为系统节点的属性值,可以是某个系统预设的名称代号,比如用户管理系统。
对于上述步骤202,可知,由于系统与权限之间存在隶属关系,因此,服务器可以针对每个系统,将该系统下的各个权限分别创建出各个权限节点,这些创建得到的各个权限节点挂在该系统对应的系统节点下。其中,一个权限对应一个所述权限节点。如图3所示,系统节点“SYS-A”下创建的两个权限节点“role1”和“role2”,系统节点“SYS-B”下创建的两个权限节点“role1”和“role2”。这里的“role1”和“role2”为权限节点的属性值,其可以来自于这些权限节点对应权限的名称,例如可以是保单录入、保单审批,等等。
对于上述步骤203,同理,权限与岗位之间存在可授权的关系,因此,服务器可以针对每个权限节点,以各个可授权岗位分别创建各个岗位节点,即一个可授权岗位对应一个所述岗位节点,所述各个可授权岗位是指可被授权使用所述每个权限节点的各个岗位。如图3所示,权限节点“SYS-A”-“role1”下创建了3个岗位节点“post1”、“post2”和“post3”,其它权限节点下的岗位节点同理创建,见图3,此处不再赘述。这里的“post1”、“post2”和“post3”具体可以为岗位节点的属性值,其可以来自于这些岗位节点对应岗位的名称,例如可以是录单内勤、核保人,等等。
对于上述步骤204,本实施例中,针对每个系统节点,可以为所述每个系统节点与其下对应的各个权限节点建立单向的节点关系,比如图3所示的SYS-role的关系,从而得到初始决策图。具体地,在图形数据库中,SYS-role的关系具体可以为单向的boolean关系,表示每个SYS系统节点拥有的权限节点role。
对于上述步骤205,与步骤204同理,在得到初始决策图之后,服务器可以为在所述初始决策图上,针对每个权限节点,建立所述每个权限节点与所述每个权限节点对应的各个岗位节点之间的节点关系,这里的节点关系是根据权限节点对应的权限与岗位节点对应的岗位之间的可授权关系设立的,比如图3所示的role-post的关系。具体地,在图形数据库中,role-post的关系具体可以为单向boolean关系,表示每个role权限节点所对应的各个岗位节点post。
对于上述步骤206,可以理解的是,两个岗位能否兼任,这是由业务流程或者企业管理规定来确定的。比如,企业在管理上认为保单申请岗与保单审批岗两个岗位存在风险,但可以兼任,则这两个岗位能够兼任,两者之间存在可兼任对应关系,并针对该关系设定一个可兼任时长,也即认为同一员工在多长时间之内兼任这两个岗位不存在风险。由此可知,各个岗位两两之间的可兼任对应关系以及这些可兼任对应关系的可兼任时长均是预先设置好的,服务器可以在需要时获取这些可兼任对应关系以及它们的可兼任时长。如下表一所示,可兼任对应关系以及可兼任时长可以以表格的形式记录下来,在需要是,服务器读取表格中的数据即可获得这些可兼任对应关系、可兼任时长。
表一
系统 | 可兼任权限 | 可兼任岗位 | 可兼任时长 |
SYS-A、SYS-B | A-role1VS B-role2 | A-Post1、B-post2 | 7天 |
SYS-A、SYS-B | A-role2VS B-role4 | A-Post2、B-post5 | 7天 |
对于上述步骤207,在得到初始岗位图以及各个岗位之间的可兼任对应关系、可兼任时长之后,服务器还需要在该初始岗位图上把可兼任对应关系和可兼任时长记录到图上,从而得到所述岗位决策图。参阅图3和表一,服务器可以读取上表的可兼任对应关系之后,通过在该初始岗位图上遍历各个系统节点、各个权限节点和其下的各个岗位节点,寻找到与可兼任对应关系的可兼任岗位对应的一对对岗位节点,然后为这些寻找到的成对岗位节点建立岗位节点关系,并将岗位节点关系的属性值赋值为其对应的可兼任对应关系的可兼任时长。如图3中的“SYS-A”下“role1”下的“post1”与“SYS-B”下“role2”下的“post2”之间的岗位节点关系,其属性值为“pdata=7”,表示这两个岗位“post1”与“post2”之间的可兼任时长为7天。可知,在完成对初始岗位图上所有岗位节点的遍历并建立好各个岗位节点关系之后,即可得到所述岗位决策图。
为便于理解,下面将对如何利用目标员工的信息遍历所述岗位决策图来得到兼任岗位图的过程进行详细描述。如图7所示,进一步地,步骤102可以包括:
301、在所述岗位决策图上,广度遍历各个系统节点,查找与所述一个以上的目标系统相同的系统节点作为目标系统节点;
302、针对每个目标系统节点,在所述每个目标系统节点下遍历各个权限节点,查找与各个第一权限相同的权限节点作为目标权限节点,所述各个第一权限是指所述每个目标系统节点对应的目标系统下的各个目标权限;
303、针对每个目标权限节点,在所述每个目标权限节点下遍历各个岗位节点,查找与所述旧岗位数据标签或所述新岗位数据标签相同的岗位节点作为目标岗位节点;
304、提取并输出所述岗位决策图上的所述目标系统节点、所述目标权限节点、所述目标岗位节点以及提取到的节点之间的节点关系,得到所述目标员工的兼任岗位图。
对于上述步骤301,首先,服务器在所述岗位决策图上,广度遍历各个系统节点,查找与该目标员工使用的目标系统相同的系统节点,作为目标系统节点。举例说明,参考下表2,目标员工A和目标员工B的用户账号(UM账号)分别为UM-AAAA和UM-BBBB,其中目标员工A的旧岗位数据标签为post1,新岗位数据标签为post2;目标员工B的旧岗位数据标签为post2,新岗位数据标签为post5;他们的调岗时间均为20180701。其中目标员工A的post1岗位使用权限role1,隶属于系统SYS-A,目标员工A的post2岗位使用权限role2,隶属于系统SYS-B;目标员工B的post2岗位使用权限role1,隶属于系统SYS-A,目标员工B的post5岗位使用权限role2,隶属于系统SYS-B。
表二
UM账号 | 岗位 | 到岗时间 | 调岗时间 | 系统 | 权限 | 授权时间 |
UM-AAAA | Post1 | 20160401 | 20180701 | SYS-A | role1 | 20180701 |
UM-AAAA | Post2 | 20180701 | SYS-B | role2 | 20180701 | |
UM-BBBB | Post2 | 20150301 | 20180701 | SYS-A | role1 | 20180701 |
UM-BBBB | Post5 | 20180701 | SYS-B | role2 | 20180701 |
执行步骤301时,服务器针对目标员工A,先查找出“SYS-A”系统节点和“SYS-B”系统节点,作为目标系统节点;同理,针对目标员工B,先查找出“SYS-A”系统节点和“SYS-B”系统节点,作为目标系统节点。
对于步骤302,服务器在查找出各个目标系统节点之后,再分别针对每个目标系统节点,在该目标系统节点下遍历各个权限节点,从而查找出与各个第一权限相同的权限节点作为目标权限节点,其中,所述各个第一权限是指所述每个目标系统节点对应的目标系统下的各个目标权限。
参阅图3,承接上述举例,对于目标员工A,服务器针对目标系统节点“SYS-A”,遍历其下的权限节点role1和role2,查找到权限节点role1对应的权限与该目标员工A在“SYS-A”下的目标权限role1相同,因此确定该role1为目标权限节点,另外,针对目标系统节点“SYS-B”,遍历其下的权限节点role1和role2,查找到权限节点role2对应的权限与该目标员工A在“SYS-B”下的目标权限role2相同,因此确定该role2为目标权限节点。
同理,对于目标员工B,,服务器针对目标系统节点“SYS-A”,遍历其下的权限节点role1和role2,查找到权限节点role1对应的权限与该目标员工B在“SYS-A”下的目标权限role1相同,因此确定该role1为目标权限节点,另外,针对目标系统节点“SYS-B”,遍历其下的权限节点role1和role2,查找到权限节点role2对应的权限与该目标员工B在“SYS-B”下的目标权限role2相同,因此确定该role2为目标权限节点。
对于上述步骤303,服务器在查找出各个目标权限节点之后,可以针对每个目标权限节点,在所述每个目标权限节点下遍历各个岗位节点,查找与所述旧岗位数据标签或所述新岗位数据标签相同的岗位节点作为目标岗位节点。下面继续以目标员工A和目标员工B分别举例说明。
承接上述举例,对于目标员工A,服务器针对其目标权限节点role1,遍历role1下的多个岗位节点后查找到post1岗位节点与目标员工A的旧岗位数据标签相同,因此确定post1岗位节点作为目标岗位节点;针对其目标权限节点role2,遍历role2下的多个岗位节点后查找到post2岗位节点与目标员工A的新岗位数据标签相同,因此确定post2岗位节点作为目标岗位节点。
对于目标员工B,服务器针对其目标权限节点role1,遍历role1下的多个岗位节点后查找到post2岗位节点与目标员工B的旧岗位数据标签相同,因此确定post2岗位节点作为目标岗位节点;针对其目标权限节点role2,遍历role2下的多个岗位节点后查找到post5岗位节点与目标员工B的新岗位数据标签相同,因此确定post5岗位节点作为目标岗位节点。
对于上述步骤304,针对目标员工,服务器在提取到该岗位决策图上的所述目标系统节点、所述目标权限节点、所述目标岗位节点之后,还可以提取这些节点之间的节点关系,从而由这些目标系统节点、目标权限节点、目标岗位节点以及节点关系组成得到该目标员工的兼任岗位图。
承接上述举例,服务器同时提取并输出目标员工A和目标员工B的兼任岗位图如下图4所示。
当然,应当理解的是,服务器可以单独针对目标员工A提取并输出一个兼任岗位图,单独针对目标员工B提取并输出另一个兼任岗位图,也可以将两位目标员工A和B提取并输出到同一个兼任岗位图上,对此本实施例不作具体限定。
103、获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;
可以理解的是,由于兼任岗位图是服务器基于目标员工的信息从岗位决策图上提取得到的,因此,该兼任岗位图上记载的信息、内容均为该目标员工的信息、内容。为此,服务器可以在该兼任岗位图上获取每一个可兼任对应关系的可兼任时长,可知,该兼任岗位图上的任一个可兼任对应关系就是该目标员工兼任的岗位之间的对应关系,因此,其可兼任时长也就是该目标员工当前兼任岗位的最大时长。如图4所示,承接上述举例,服务器可以获取到“SYS-A-role1-post1”与“SYS-B-role2-post2”之间的可兼任对应关系的可兼任时长为pdata=7(天),因此目标员工A的可兼任时长为7天。同理,服务器可以获取到“SYS-A-role1-post2”与“SYS-B-role2-post5”之间的可兼任对应关系的可兼任时长为pdata=7(天),因此目标员工B的可兼任时长也为7天。
104、根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;
承接上述举例,对于目标员工A,其调岗时间为20180701,设当前系统时间为20180710,则,该目标员工B的已兼任时长为10天。同理,可得目标员工B的已兼任时长也为10天。
容易理解,这里所说的已兼任时长是指目标员工已经兼任两个以上岗位的时间。
105、针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的兼任判断结果;
由上述内容可知,本实施例中,一个可兼任对应关系的可兼任时长是指员工兼任该可兼任对应关系对应的两个岗位的时间长度,在该时间长度内员工兼任岗位可以被认为无风险或者低风险的、是企业能够容忍的;而已兼任时长则是员工已经兼任岗位的时间长度,因此,如果目标员工兼任两个岗位的已兼任时长大于可兼任时长,则该目标员工的兼任行为已经产生了较高风险;反之,如果目标员工兼任两个岗位的已兼任时长小于或等于可兼任时长,则可认为该目标员工的兼任行为未产生风险或者产生的风险在可接受范围内。因此,服务器为了实现对员工兼任岗位行为的审计和管理,可以判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的兼任判断结果,以便在输出目标员工的兼任岗位图时可以及时提示高风险的兼任行为,为审计人员的工作提供便利。
106、输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。
可以理解的是,服务器在得到目标员工的兼任岗位图和上述兼任判断结果之后,可以输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。具体地,在标示出兼任判断结果为是的可兼任对应关系时,可以以突出显示的效果渲染该可兼任对应关系,比如在展示该兼任岗位图时,对于兼任判断结果为否的可兼任对应关系,图上的连线使用黑色,对于兼任判断结果为是的可兼任对应关系,图上的连线使用红色,通过不同颜色区分异常和正常的可兼任对应关系,便于审计人员的阅读和查看。
优选地,可以通过neo4j引擎输出并展示该目标员工的兼任岗位图。
在实际应用场景下,目标员工的已兼任时长超过可兼任时长,自然存在较高的风险,但是,在这种风险类型中,还有更高风险的兼任行为。例如,某员工不仅已兼任时长超过可兼任时长,而且在超出可兼任时长的时期内还操作了旧岗位数据标签的权限,这种在高风险的兼任行为下的越权操作显然给企业的安全管理带来更高的风险。因此,针对这种应用场景,本实施例通过系统操作日志分析目标员工对各个目标权限的操作,分析该目标员工是否存在上述越权高风险行为,并及时作出处理。如图8所示,进一步地,本方法还可以包括:
401、从系统操作日志中提取所述目标员工最近使用所述各个目标权限的时间,得到各个最近使用时间;
402、针对所述兼任岗位图上每一个可兼任对应关系,根据所述调岗时间和所述每一个可兼任对应关系的可兼任时长,计算得到所述每一个可兼任对应关系的最晚使用时间;
403、针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系上旧岗位数据标签对应的目标权限的最近使用时间是否大于所述最晚使用时间,得到所述每一个可兼任对应关系的超时判断结果;
404、若所述兼任岗位图上任一可兼任对应关系的超时判断结果为是,则向指定人员发出告警信息。
对于上述步骤401,服务器可以通过日志分析,从系统操作日志中提取出任意一个员工的操作记录,也即可以提取该目标员工最近使用所述各个目标权限的时间,通过对同一目标权限在时间上比较,可以得到各个目标权限各自对应的各个最近使用时间。
例如,承接上述举例,服务器容易从系统操作日志中提取得到下表三所示的内容:
表三
系统sys | 权限role | 访问资源C_url | UM账号 | 最近使用时间 |
SYS-A | role1 | /SysA.paic.com.cn/url1,url3 | UM-AAAA | 20180709 |
SYS-B | role2 | /SysA.paic.com.cn/url2,url4,url5 | UM-AAAA | 20180709 |
SYS-B | role2 | /SysB.paic.com.cn/url3,url3 | UM-BBBB | 20180709 |
SYS-B | role5 | /SysB.paic.com.cn/url4,url5 | UM-BBBB | 20180709 |
由表三的内容可知,目标员工A最近使用目标权限“SYS-A-role1”的时间为20180708,最近使用目标权限“SYS-B-role2”的时间为20180709;目标员工B最近使用目标权限“SYS-B-role5”的时间为20180709,没有使用目标权限“SYS-A-role2”。
对于上述步骤402,本实施例中,针对所述兼任岗位图上每一个可兼任对应关系,服务器可以根据所述调岗时间和所述每一个可兼任对应关系的可兼任时长,计算得到所述每一个可兼任对应关系的最晚使用时间。例如,承接上述举例,对于目标员工A,其调岗时间为20180701,其可兼任时长为7天,则可以计算得到其最晚使用时间为20180708,说明该目标员工A兼任岗位最长到2018年7月8日为止,在此之后不得再使用旧岗位数据标签的权限,即目标权限“SYS-A-role1”。同理,对于目标员工B,其调岗时间为20180701,其可兼任时长为7天,则可以计算得到其最晚使用时间为20180708,说明该目标员工B兼任岗位最长到2018年7月8日为止,在此之后不得再使用旧岗位数据标签的权限,即目标权限“SYS-A-role2”。
对于上述步骤403和步骤404,如上所说,服务器可以通过判断所述每一个可兼任对应关系上旧岗位数据标签对应的目标权限的最近使用时间是否大于所述最晚使用时间,来得知目标员工是否存在严重的越权行为。若所述兼任岗位图上任一可兼任对应关系的超时判断结果为是,则说明该目标员工在某个可兼任对应关系的兼任岗位中超时使用了权限,这种越权行为带来较大的风险,因此,服务器可以向指定人员发出告警信息,例如向审计人员、向该目标员工的上级领导发出告警信息,以便指定人员及时作出应对措施,避免造成严重的管理后果。反之,若所述兼任岗位图上所有可兼任对应关系的超时判断结果均为否,则说明目标员工不存在超时使用权限的行为,不存在高风险操作,因此,服务器也无需发出告警信息,只需按照正常流程处理即可,比如等待审计人员为目标员工取消旧岗位数据标签上权限的授权。
优选地,服务器对于所述兼任岗位图上超时判断结果为否、且兼任判断结果为是的可兼任对应关系,还可以自动删除该目标员工在该可兼任对应关系上旧岗位数据标签的权限,实现旧岗位数据标签权限的自动清理。这是因为,这种兼任对应关系中,目标员工已经兼任了旧岗位数据标签足够长的时间,但又并不存在高风险的越权行为,无需更进一步的审计,为提高效率,采用自动清理操作是高效合理的。
优选地,服务器还可以在展示所述兼任岗位图时,将所述每一个可兼任对应关系对应的实际操作时长记录到该可兼任对应关系的属性上,作为该兼任对应关系的第二属性值。其中,实际操作时长由所述每一个可兼任对应关系上旧岗位数据标签对应的目标权限的最近使用时间和调岗时间计算得到,比如对于目标员工A,其旧岗位数据标签post1的最近使用时间为20180709,调岗时间为20180701,则计算两者差值为8天,即该目标员工A兼任岗位的实际操作时长为8天,将8天记为“SYS-A-role1-post1”与“SYS-B-role2-post2”之间的可兼任对应关系的第二属性值。这样,审计人员在审计该可兼任对应关系时,可直接获取到该目标员工兼任岗位的实际操作时长,直观地判断该目标员工越权风险的大小。
进一步地,所述岗位决策图还设有最大空闲时长的节点关系,用于判断权限的空闲,可冻结权限或提醒上级领导关注。
在用户管理的实际应用场景中,还可以通过系统操作日志得知目标员工是否使用了目标权限,并据此可以判定该目标员工是否存在异常行为,比如消极怠工、不按要求操作业务,等等。因此,如图9所示,进一步地,所述岗位决策图上权限节点与岗位节点之间的节点关系的属性值为权限可空闲时长,本方法还可以包括:
501、从系统操作日志中提取所述目标员工最近使用所述各个目标权限的时间,得到各个最近使用时间;
502、针对每个目标权限,根据所述每个目标权限的最近使用时间和当前系统时间,计算得到所述每个目标权限的已空闲时长;
503、针对每个目标权限,判断所述每个目标权限的已空闲时长是否小于或等于所述每个目标权限对应的权限可空闲时长,得到所述每个目标权限的空闲判断结果;
504、在所述兼任岗位图上标示出空闲判断结果为是的节点关系。
首先,该岗位决策图上权限节点与岗位节点之间的节点关系可以如图5所示:
如图5所示,在图形数据库中,权限节点与岗位节点之间的节点关系的属性值具体可以采用int型关系记录Ldata的值,比如在系统节点“SYS-A”下的权限节点“role1”与岗位节点“post1”之间的Ldata值为30,即代表了员工在post1岗位上,对权限“SYS-A-role1”的使用最多空闲30天。
对于上述步骤501,服务器可以通过日志分析,从系统操作日志中提取出任意一个员工的操作记录,也即可以提取该目标员工最近使用所述各个目标权限的时间,通过对同一目标权限在时间上比较,可以得到各个目标权限各自对应的各个最近使用时间。
对于上述步骤502,在提取到各个目标权限对应的各个最近使用时间之后,服务器可以针对每个目标权限,根据所述每个目标权限的最近使用时间和当前系统时间,计算得到所述每个目标权限的已空闲时长。例如,假设某目标员工C最近使用权限role1的时间为20180701,当前系统时间为20180710,则使用当前系统时间减去最近使用时间,得到该权限role1的已空闲时长为9天。
对于上述步骤503,针对每个目标权限,服务器在计算得到所述每个目标权限的已空闲时长之后,可以判断所述每个目标权限的已空闲时长是否小于或等于所述每个目标权限对应的权限可空闲时长,若其空闲判断结果为是,则表示该目标权限被空闲的时间仍在正常范围内,没有异常;反之,若其空闲判断结果为否,则表示该目标权限被空闲的时间超出了正常范围,该目标员工过长时间内未使用该目标权限,属于异常情况,应当作出告警或相应处理。
对于上述步骤504,本实施例中,在输出并展示所述兼任岗位图时,服务器可以一并将空闲判断结果展示在该兼任岗位图上,具体地,可以在所述兼任岗位图上标示出空闲判断结果为是的节点关系。这样,审计人员在审计时一并处理该异常情况。
优选地,服务器也可以在得到空闲判断结果为是时,自动冻结该目标权限,或者通知该目标员工的上级领导,以便检查该目标员工是否存在消极怠工、不按要求操作业务等异常行为。
本发明实施例中,首先,获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;然后,以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;接着,获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;接着,根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的判断结果;最后,输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出判断结果为是的可兼任对应关系。可见,本发明基于图形数据库预设了岗位决策图,在审计目标员工时,可以将其旧岗位数据标签、新岗位数据标签、各个目标权限以及隶属的目标系统作为输入,遍历该岗位决策图得到所述目标员工的兼任岗位图,通过对图上可兼任对应关系的可兼任时长进行判别,将图上兼任时长异常的可兼任对应关系标示出来,实现员工兼任岗位的快速审计,并展示出这些可兼任对应关系,方便审计人员的进一步审计处理,减少了出现审计遗漏的可能性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种岗位数据处理装置,该岗位数据处理装置与上述实施例中岗位数据处理方法一一对应。如图10所示,该岗位数据处理装置包括岗位权限获取模块601、兼任岗位图输出模块602、可兼任时长获取模块603、已兼任时长计算模块604、兼任时长判断模块605和可兼任对应关系标示模块606。各功能模块详细说明如下:
岗位权限获取模块601,用于获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;
兼任岗位图输出模块602,用于以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;
可兼任时长获取模块603,用于获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;
已兼任时长计算模块604,用于根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;
兼任时长判断模块605,用于针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的兼任判断结果;
可兼任对应关系标示模块606,用于输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。
如图11所示,进一步地,所述岗位决策图可以通过以下模块预先建立得到:
系统节点创建模块607,用于以每个所述系统分别创建一个系统节点;
权限节点创建模块608,用于针对每个系统,以所述每个系统下的各个权限分别创建各个权限节点,其中,一个权限对应一个所述权限节点;
岗位节点创建模块609,用于针对每个权限节点,以各个可授权岗位分别创建各个岗位节点,其中,一个可授权岗位对应一个所述岗位节点,所述各个可授权岗位是指可被授权使用所述每个权限节点的各个岗位;
初始决策图建立模块610,用于针对每个系统节点,建立所述每个系统节点与所述每个系统节点下对应的各个权限节点之间的节点关系,得到初始决策图;
初始岗位图建立模块611,用于在所述初始决策图上,针对每个权限节点,建立所述每个权限节点与所述每个权限节点对应的各个岗位节点之间的节点关系,得到初始岗位图;
关系时长获取模块612,用于获取各个岗位两两之间的预设的可兼任对应关系和每个可兼任对应关系的可兼任时长;
岗位决策图建立模块613,用于在所述初始岗位图上,遍历每个所述系统节点,在每个系统节点下深度遍历每个权限节点和每个岗位节点,并在遍历时根据所述可兼任对应关系建立所述各个岗位节点之间的岗位节点关系,得到所述岗位决策图,其中,所述岗位节点关系的属性值为所述岗位节点关系对应的可兼任对应关系的可兼任时长。
如图12所示,进一步地,所述兼任岗位图输出模块602可以包括:
第一节点查找单元6021,用于在所述岗位决策图上,广度遍历各个系统节点,查找与所述一个以上的目标系统相同的系统节点作为目标系统节点;
第二节点查找单元6022,用于针对每个目标系统节点,在所述每个目标系统节点下遍历各个权限节点,查找与各个第一权限相同的权限节点作为目标权限节点,所述各个第一权限是指所述每个目标系统节点对应的目标系统下的各个目标权限;
第三节点查找单元6023,用于针对每个目标权限节点,在所述每个目标权限节点下遍历各个岗位节点,查找与所述旧岗位数据标签或所述新岗位数据标签相同的岗位节点作为目标岗位节点;
节点关系提取单元6024,用于提取并输出所述岗位决策图上的所述目标系统节点、所述目标权限节点、所述目标岗位节点以及提取到的节点之间的节点关系,得到所述目标员工的兼任岗位图。
进一步地,所述岗位数据处理装置还可以包括:
使用时间提取模块,用于从系统操作日志中提取所述目标员工最近使用所述各个目标权限的时间,得到各个最近使用时间;
最晚时间计算模块,用于针对所述兼任岗位图上每一个可兼任对应关系,根据所述调岗时间和所述每一个可兼任对应关系的可兼任时长,计算得到所述每一个可兼任对应关系的最晚使用时间;
使用时间判断模块,用于针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系上旧岗位数据标签对应的目标权限的最近使用时间是否大于所述最晚使用时间,得到所述每一个可兼任对应关系的超时判断结果;
告警模块,用于若所述兼任岗位图上任一可兼任对应关系的超时判断结果为是,则向指定人员发出告警信息。
进一步地,所述岗位决策图上权限节点与岗位节点之间的节点关系的属性值为权限可空闲时长,所述岗位数据处理装置还可以包括:
最近时间提取模块,用于从系统操作日志中提取所述目标员工最近使用所述各个目标权限的时间,得到各个最近使用时间;
已空闲时长计算模块,用于针对每个目标权限,根据所述每个目标权限的最近使用时间和当前系统时间,计算得到所述每个目标权限的已空闲时长;
已空闲时长判断模块,用于针对每个目标权限,判断所述每个目标权限的已空闲时长是否小于或等于所述每个目标权限对应的权限可空闲时长,得到所述每个目标权限的空闲判断结果;
节点关系标示模块,用于在所述兼任岗位图上标示出空闲判断结果为是的节点关系。
关于岗位数据处理装置的具体限定可以参见上文中对于岗位数据处理方法的限定,在此不再赘述。上述岗位数据处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图13所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储岗位数据处理方法中涉及到的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种岗位数据处理方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例中岗位数据处理方法的步骤,例如图2所示的步骤101至步骤106。或者,处理器执行计算机程序时实现上述实施例中岗位数据处理装置的各模块/单元的功能,例如图10所示模块601至模块606的功能。为避免重复,这里不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例中岗位数据处理方法的步骤,例如图2所示的步骤101至步骤106。或者,计算机程序被处理器执行时实现上述实施例中岗位数据处理装置的各模块/单元的功能,例如图10所示模块601至模块606的功能。为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种岗位数据处理方法,其特征在于,包括:
获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;
以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;
获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;
根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;
针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的兼任判断结果;
输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。
2.根据权利要求1所述的岗位数据处理方法,其特征在于,所述岗位决策图通过以下步骤预先建立得到:
以每个所述系统分别创建一个系统节点;
针对每个系统,以所述每个系统下的各个权限分别创建各个权限节点,其中,一个权限对应一个所述权限节点;
针对每个权限节点,以各个可授权岗位分别创建各个岗位节点,其中,一个可授权岗位对应一个所述岗位节点,所述各个可授权岗位是指可被授权使用所述每个权限节点的各个岗位;
针对每个系统节点,建立所述每个系统节点与所述每个系统节点下对应的各个权限节点之间的节点关系,得到初始决策图;
在所述初始决策图上,针对每个权限节点,建立所述每个权限节点与所述每个权限节点对应的各个岗位节点之间的节点关系,得到初始岗位图;
获取各个岗位两两之间的预设的可兼任对应关系和每个可兼任对应关系的可兼任时长;
在所述初始岗位图上,遍历每个所述系统节点,在每个系统节点下深度遍历每个权限节点和每个岗位节点,并在遍历时根据所述可兼任对应关系建立所述各个岗位节点之间的岗位节点关系,得到所述岗位决策图,其中,所述岗位节点关系的属性值为所述岗位节点关系对应的可兼任对应关系的可兼任时长。
3.根据权利要求1所述的岗位数据处理方法,其特征在于,所述以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图包括:
在所述岗位决策图上,广度遍历各个系统节点,查找与所述一个以上的目标系统相同的系统节点作为目标系统节点;
针对每个目标系统节点,在所述每个目标系统节点下遍历各个权限节点,查找与各个第一权限相同的权限节点作为目标权限节点,所述各个第一权限是指所述每个目标系统节点对应的目标系统下的各个目标权限;
针对每个目标权限节点,在所述每个目标权限节点下遍历各个岗位节点,查找与所述旧岗位数据标签或所述新岗位数据标签相同的岗位节点作为目标岗位节点;
提取并输出所述岗位决策图上的所述目标系统节点、所述目标权限节点、所述目标岗位节点以及提取到的节点之间的节点关系,得到所述目标员工的兼任岗位图。
4.根据权利要求1所述的岗位数据处理方法,其特征在于,所述岗位数据处理方法还包括:
从系统操作日志中提取所述目标员工最近使用所述各个目标权限的时间,得到各个最近使用时间;
针对所述兼任岗位图上每一个可兼任对应关系,根据所述调岗时间和所述每一个可兼任对应关系的可兼任时长,计算得到所述每一个可兼任对应关系的最晚使用时间;
针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系上旧岗位数据标签对应的目标权限的最近使用时间是否大于所述最晚使用时间,得到所述每一个可兼任对应关系的超时判断结果;
若所述兼任岗位图上任一可兼任对应关系的超时判断结果为是,则向指定人员发出告警信息。
5.根据权利要求1至4中任一项所述的岗位数据处理方法,其特征在于,所述岗位决策图上权限节点与岗位节点之间的节点关系的属性值为权限可空闲时长,所述岗位数据处理方法还包括:
从系统操作日志中提取所述目标员工最近使用所述各个目标权限的时间,得到各个最近使用时间;
针对每个目标权限,根据所述每个目标权限的最近使用时间和当前系统时间,计算得到所述每个目标权限的已空闲时长;
针对每个目标权限,判断所述每个目标权限的已空闲时长是否小于或等于所述每个目标权限对应的权限可空闲时长,得到所述每个目标权限的空闲判断结果;
在所述兼任岗位图上标示出空闲判断结果为是的节点关系。
6.一种岗位数据处理装置,其特征在于,包括:
岗位权限获取模块,用于获取目标员工岗位调动前的旧岗位数据标签、岗位调动后的新岗位数据标签、调岗时间以及各个目标权限,所述目标员工是指同时兼任两个以上岗位的员工,所述各个目标权限隶属于一个以上的目标系统;
兼任岗位图输出模块,用于以所述目标员工的所述旧岗位数据标签、所述新岗位数据标签、所述各个目标权限以及所述一个以上的目标系统为输入,遍历预设的岗位决策图,并将遍历时搜索到的节点和节点关系输出,得到所述目标员工的兼任岗位图,所述岗位决策图由预设的所有权限、所述所有权限隶属的各个系统、以及每个权限对应的岗位基于图形数据库建立得到,所述岗位决策图上以每个权限作为一个权限节点、以每个所述系统作为一个系统节点、以每个岗位作为一个岗位节点,且记录了各个岗位节点之间的可兼任对应关系和可兼任时长;
可兼任时长获取模块,用于获取所述兼任岗位图上每一个可兼任对应关系的可兼任时长;
已兼任时长计算模块,用于根据所述调岗时间和当前系统时间计算得到目标员工的已兼任时长;
兼任时长判断模块,用于针对所述兼任岗位图上每一个可兼任对应关系,判断所述每一个可兼任对应关系的可兼任时长是否小于所述已兼任时长,得到所述每一个可兼任对应关系的兼任判断结果;
可兼任对应关系标示模块,用于输出并展示所述目标员工的兼任岗位图,且在所述兼任岗位图上标示出兼任判断结果为是的可兼任对应关系。
7.根据权利要求6所述的岗位数据处理装置,其特征在于,所述岗位决策图通过以下模块预先建立得到:
系统节点创建模块,用于以每个所述系统分别创建一个系统节点;
权限节点创建模块,用于针对每个系统,以所述每个系统下的各个权限分别创建各个权限节点,其中,一个权限对应一个所述权限节点;
岗位节点创建模块,用于针对每个权限节点,以各个可授权岗位分别创建各个岗位节点,其中,一个可授权岗位对应一个所述岗位节点,所述各个可授权岗位是指可被授权使用所述每个权限节点的各个岗位;
初始决策图建立模块,用于针对每个系统节点,建立所述每个系统节点与所述每个系统节点下对应的各个权限节点之间的节点关系,得到初始决策图;
初始岗位图建立模块,用于在所述初始决策图上,针对每个权限节点,建立所述每个权限节点与所述每个权限节点对应的各个岗位节点之间的节点关系,得到初始岗位图;
关系时长获取模块,用于获取各个岗位两两之间的预设的可兼任对应关系和每个可兼任对应关系的可兼任时长;
岗位决策图建立模块,用于在所述初始岗位图上,遍历每个所述系统节点,在每个系统节点下深度遍历每个权限节点和每个岗位节点,并在遍历时根据所述可兼任对应关系建立所述各个岗位节点之间的岗位节点关系,得到所述岗位决策图,其中,所述岗位节点关系的属性值为所述岗位节点关系对应的可兼任对应关系的可兼任时长。
8.根据权利要求6或7所述的岗位数据处理装置,其特征在于,所述兼任岗位图输出模块包括:
第一节点查找单元,用于在所述岗位决策图上,广度遍历各个系统节点,查找与所述一个以上的目标系统相同的系统节点作为目标系统节点;
第二节点查找单元,用于针对每个目标系统节点,在所述每个目标系统节点下遍历各个权限节点,查找与各个第一权限相同的权限节点作为目标权限节点,所述各个第一权限是指所述每个目标系统节点对应的目标系统下的各个目标权限;
第三节点查找单元,用于针对每个目标权限节点,在所述每个目标权限节点下遍历各个岗位节点,查找与所述旧岗位数据标签或所述新岗位数据标签相同的岗位节点作为目标岗位节点;
节点关系提取单元,用于提取并输出所述岗位决策图上的所述目标系统节点、所述目标权限节点、所述目标岗位节点以及提取到的节点之间的节点关系,得到所述目标员工的兼任岗位图。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述岗位数据处理方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述岗位数据处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910603609.0A CN110457529B (zh) | 2019-07-05 | 2019-07-05 | 岗位数据处理方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910603609.0A CN110457529B (zh) | 2019-07-05 | 2019-07-05 | 岗位数据处理方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110457529A true CN110457529A (zh) | 2019-11-15 |
CN110457529B CN110457529B (zh) | 2022-07-12 |
Family
ID=68482163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910603609.0A Active CN110457529B (zh) | 2019-07-05 | 2019-07-05 | 岗位数据处理方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110457529B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110955903A (zh) * | 2019-11-22 | 2020-04-03 | 支付宝(杭州)信息技术有限公司 | 基于智能图计算的隐私资源权限控制方法、装置及设备 |
CN111046351A (zh) * | 2019-12-13 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 用于管理办公网络中的应用权限的方法及装置 |
CN114943455A (zh) * | 2022-05-30 | 2022-08-26 | 中国银行股份有限公司 | 一种前后台防违规方法和装置、电子设备、存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001014383A (ja) * | 1999-06-28 | 2001-01-19 | Casio Comput Co Ltd | 人事異動管理装置およびそのプログラム記憶媒体 |
CN103455888A (zh) * | 2013-09-10 | 2013-12-18 | 山东中创软件工程股份有限公司 | 一种配置流程权限的方法及装置 |
CN107103228A (zh) * | 2017-04-22 | 2017-08-29 | 成都牵牛草信息技术有限公司 | 基于角色对用户的一对一的权限授权方法和系统 |
CN107315931A (zh) * | 2017-07-05 | 2017-11-03 | 成都牵牛草信息技术有限公司 | 表单字段值操作权限授权方法 |
CN108921520A (zh) * | 2017-08-07 | 2018-11-30 | 成都牵牛草信息技术有限公司 | 统计列表操作权限授权方法 |
WO2019024900A1 (zh) * | 2017-08-03 | 2019-02-07 | 成都牵牛草信息技术有限公司 | 角色在仓库中的应用方法 |
-
2019
- 2019-07-05 CN CN201910603609.0A patent/CN110457529B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001014383A (ja) * | 1999-06-28 | 2001-01-19 | Casio Comput Co Ltd | 人事異動管理装置およびそのプログラム記憶媒体 |
CN103455888A (zh) * | 2013-09-10 | 2013-12-18 | 山东中创软件工程股份有限公司 | 一种配置流程权限的方法及装置 |
CN107103228A (zh) * | 2017-04-22 | 2017-08-29 | 成都牵牛草信息技术有限公司 | 基于角色对用户的一对一的权限授权方法和系统 |
CN107315931A (zh) * | 2017-07-05 | 2017-11-03 | 成都牵牛草信息技术有限公司 | 表单字段值操作权限授权方法 |
WO2019024900A1 (zh) * | 2017-08-03 | 2019-02-07 | 成都牵牛草信息技术有限公司 | 角色在仓库中的应用方法 |
CN108921520A (zh) * | 2017-08-07 | 2018-11-30 | 成都牵牛草信息技术有限公司 | 统计列表操作权限授权方法 |
WO2019029501A1 (zh) * | 2017-08-07 | 2019-02-14 | 成都牵牛草信息技术有限公司 | 统计列表操作权限授权方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110955903A (zh) * | 2019-11-22 | 2020-04-03 | 支付宝(杭州)信息技术有限公司 | 基于智能图计算的隐私资源权限控制方法、装置及设备 |
CN111046351A (zh) * | 2019-12-13 | 2020-04-21 | 支付宝(杭州)信息技术有限公司 | 用于管理办公网络中的应用权限的方法及装置 |
CN114943455A (zh) * | 2022-05-30 | 2022-08-26 | 中国银行股份有限公司 | 一种前后台防违规方法和装置、电子设备、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110457529B (zh) | 2022-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108830601B (zh) | 基于区块链的智慧城市信息安全使用方法及系统 | |
CN106599713B (zh) | 一种基于大数据的数据库脱敏系统及方法 | |
CN108428141B (zh) | 一种基于erp系统与区块链的食品溯源信息管理系统 | |
Kim et al. | Data governance framework for big data implementation with NPS Case Analysis in Korea | |
CN110457529A (zh) | 岗位数据处理方法、装置、计算机设备及存储介质 | |
CN111090779A (zh) | 一种办案勘查取证数据云存储及检索分析方法 | |
CN110458687A (zh) | 决策自动审批方法、装置及计算机可读存储介质 | |
CN110580148B (zh) | 一种面向一体化的epc项目管理平台 | |
CN107958158A (zh) | 一种大数据平台的动态数据脱敏方法及系统 | |
CN113361937B (zh) | 电子政务系统一体化质量测评方法 | |
CN108846603A (zh) | 基于区块链的物流追溯方法、用户设备、存储介质及装置 | |
CN113158233A (zh) | 数据预处理方法、装置及计算机存储介质 | |
CN109670048B (zh) | 基于风控管理的图谱构建方法、装置和计算机设备 | |
CN109271807A (zh) | 数据库的数据安全处理方法及系统 | |
CN112380564A (zh) | 一种数据安全管理系统 | |
CN114372098A (zh) | 基于特权账号管理对电力数据中台隐私数据保护与数据挖掘平台及方法 | |
CN114020726A (zh) | 基于多元日志数据分析的日志审计方法、系统、设备及介质 | |
CN109359477A (zh) | 一种数据加密、数据验证方法及其系统 | |
CN105139220A (zh) | 基于大数据的实体信用评估系统 | |
CN113706101B (zh) | 电网项目管理智能系统架构及方法 | |
CN109901521A (zh) | 制冷装置、其控制器、用户接入终端、移动终端、管理终端以及维护数据管理系统 | |
CN106874270A (zh) | 一种数据一致性认证的方法和装置 | |
CN111291405A (zh) | 一种面向个人隐私数据泄露的数据溯源方法 | |
CN111935142A (zh) | 一种基于云数据的智能编修家谱方法及系统 | |
CN110689463A (zh) | 一种教学管理平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |