CN116562832B - 一种权限稽核系统与方法 - Google Patents

Abstract

本发明公开一种权限稽核系统与方法，涉及权限稽核领域；通过数据采集模块获取待稽核员工的员工基本信息与业务系统全部的账号及对应的角色和权限信息；账号集确定模块基于员工台账，根据员工基本信息确定待稽核员工的账号集；岗位基线确定模块基于岗位角色，确定待稽核员工在各个业务系统中的岗位基线；系统基线确定模块基于账号集，确定各个账号在对应的业务系统中的系统基线；比对判断模块对任一业务系统，将岗位基线与系统基线进行稽核比对，并判断岗位基线与系统基线是否相同；修正模块在岗位基线与系统基线不相同时，根据系统基线以及岗位基线与系统基线之间的差异区间对系统基线进行修改；本发明能够快速准确的实现权限的稽核。

Description

一种权限稽核系统与方法

技术领域

本发明涉及权限稽核领域，特别是涉及一种权限稽核系统与方法。

背景技术

随着金融体制改革的不断深化，对于金融类公司来说，健全内部控制细则，执行内控标准成为工作的重中之重。尤其近年来，监管部门对金融风险管理工作的要求不断深入，对金融业务的规范性和合理性有严格的条款规定。

证券基金经营机构应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限，并履行审批流程。合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。证券基金经营机构应当建立对信息系统权限的定期检查与核对机制，确保用户权限与其工作职责相匹配，防止出现授权不当的情形。

加强业务稽核，防范化解金融风险，也是金融类公司完善治理结构的内在需求。成本高、效率低、稽核过程繁琐以及管理风险高是管理模式运行中的主要瓶颈。在实际工作中，处于降低运营成本和偏重市场营销思想等因素考虑，权限稽核工作是具体工作中比较薄弱的环节。对信息系统权限进行稽核，保证权限合理、准确、遵循最少功能以及最小权限等原则分配信息系统权限，减少潜在风险，将逐渐成为金融类公司日常管理工作中重要的一个环节。实行严格的权限稽核是金融类公司发展的迫切需要，也是建立规范有效的内控制度的必要环节。

权限稽核系统是针对于金融行业的，具备对业务类信息系统人员权限审计、权限变化追踪、合规稽核的合规类信息系统。通过对接业务信息系统人员权限信息，对人员权限进行跟踪管理，对信息系统权限定期核查，确保人员权限与工作职责相匹配，防止出现授权不当的现象。同时能够支持对历史时间点的权限进行回溯、支持对不同时间的权限数据稽核对比、权限基线审计、异常权限告警等功能。

目前基金、证券行业信息技术部门都有自研开发及运维的许多业务系统，其主要为公司运营的内部管理系统和业务交易系统，包括OA、人力、投资交易、估值、清算、直销、大数据等后台和业务管理系统。

这些系统中有从厂商购买，也有自行研发，各系统的建设提高了客户公司各方面管理效率，但同时各系统的账号权限信息只能在各系统中查询，在对员工权限稽核等场景中，只能分别登录各自系统查询。

因IT业务系统上线时间节点、接口部门等因素的不一致，每个业务系统的权限情况各自独立，没有有效的数据对接和联动机制；从而导致当公司内部发生人事调动、任免等情况时，各业务系统的账号更新只能通过管理流程辅助手动操作进行联动，往往会出现系统中账号权限情况不准确的问题。

发明内容

本发明的目的是提供一种权限稽核系统与方法，以快速准确的实现权限的稽核。

为实现上述目的，本发明提供了如下方案：

一种权限稽核系统，所述系统包括：数据采集模块、账号集确定模块、岗位基线确定模块、系统基线确定模块、比对判断模块和修正模块；

所述账号集确定模块和所述岗位基线确定模块均与所述数据采集模块连接；所述系统基线确定模块与所述账号集确定模块连接；所述比对判断模块分别与所述岗位基线确定模块和所述系统基线确定模块连接；所述修正模块与所述比对判断模块连接；

所述数据采集模块用于获取待稽核员工的员工基本信息、业务系统全部的账号及对应的角色和权限信息；所述员工基本信息包括：姓名、部门、身份证号、手机号和岗位角色；

所述账号集确定模块用于基于员工台账，根据所述员工基本信息确定所述待稽核员工的账号集；所述账号集包括至少一个账号；一个所述账号对应一个业务系统；所述员工台账用于表征所述员工基本信息与各个业务系统的账号之间的联系；

所述岗位基线确定模块用于基于所述岗位角色，确定所述待稽核员工在各个业务系统中的岗位基线；所述岗位基线为所述岗位角色在权限维度下的权限区间；

所述系统基线确定模块用于基于所述账号集，确定各个所述账号在对应的业务系统中的系统基线；所述系统基线为所述账号在权限维度下的权限区间；

所述比对判断模块用于对任一业务系统，将所述岗位基线与所述系统基线进行稽核比对，并判断所述岗位基线与所述系统基线是否相同；

所述修正模块，用于：

在所述岗位基线与所述系统基线不相同时，根据所述系统基线以及所述岗位基线与所述系统基线之间的差异区间，对所述系统基线进行修改。

可选地，所述岗位基线确定模块包括：依次连接的岗位权限集合确定子模块、权限交集区间确定子模块和岗位基线确定子模块；

所述岗位权限集合确定子模块用于对任一业务系统，根据所述账号集确定账号，根据所述岗位角色确定岗位下员工账号的岗位权限集合；所述岗位权限集合包括同一岗位角色下至少一个权限区间；

所述权限交集区间确定子模块用于将所有的所述权限区间取交集，得到权限交集区间；

所述岗位基线确定子模块用于将所述权限交集区间确定为岗位基线。

可选地，所述系统还包括：传输模块；

所述传输模块与所述比对判断模块连接；所述传输模块用于将所述差异区间传输至移动终端。

可选地，所述系统还包括：存储模块；

所述存储模块分别与所述数据采集模块和所述账号集确定模块连接；

所述存储模块用于存储所述基本信息和所述员工台账。

一种权限稽核方法，所述方法采用上述所述的权限稽核系统，所述方法包括：

获取待稽核员工的员工基本信息、业务系统全部的账号及对应的角色和权限信息；所述员工基本信息包括：姓名、部门、身份证号、手机号和岗位角色；

基于员工台账，根据所述员工基本信息确定所述待稽核员工的账号集；所述账号集包括至少一个账号；一个所述账号对应一个业务系统；所述员工台账用于表征所述员工基本信息与各个业务系统的账号之间的联系；

基于所述岗位角色，确定所述待稽核员工在各个业务系统中的岗位基线；所述岗位基线为所述岗位角色在权限维度下的权限区间；

基于所述账号集，确定各个所述账号在对应的业务系统中的系统基线；所述系统基线为所述账号在权限维度下的权限区间；

对任一业务系统，将所述岗位基线与所述系统基线进行稽核比对，并判断所述岗位基线与所述系统基线是否相同；

若否，根据所述系统基线以及所述岗位基线与所述系统基线之间的差异区间，对所述系统基线进行修改。

可选地，基于所述岗位角色，确定所述待稽核员工在各个业务系统中的岗位基线，具体包括：

对任一业务系统，根据所述账号集确定所述待稽核员工账号，根据所述岗位角色确定岗位下员工账号的岗位权限集合；所述岗位权限集合包括同一岗位角色下至少一个权限区间；

将所有的所述权限区间取交集，得到权限交集区间；

将所述权限交集区间确定为岗位基线。

可选地，所述方法还包括：

控制传输模块将所述差异区间传输至移动终端。

可选地，在基于员工台账，根据所述基本信息确定所述待稽核员工的账号集，之前还包括：

获取所有员工的业务信息；所述业务信息包括基本信息和账号集；所述账号集中的各个所述账号均对应一个账号信息；所述账号信息包括：工号、身份证号、手机号、姓名和邮箱；

基于内容唯一性原则，对所述基本信息和所述账号信息进行匹配；

将匹配完成的业务信息确定为所述员工台账。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提供了一种权限稽核系统与方法，通过账号集确定模块确定待稽核员工的账号集；岗位基线确定模块确定待稽核员工在各个业务系统中的岗位基线；系统基线确定模块确定各个账号在对应的业务系统中的系统基线；比对判断模块对任一业务系统，将岗位基线与系统基线进行稽核比对，判断岗位基线与系统基线是否相同，通过修正模块根据系统基线以及岗位基线与系统基线之间的差异区间对系统基线进行修改；本发明通过员工台账确定基本信息与各个业务系统的账号之间的联系，避免因人工查询导致的速度慢的问题出现，又由于通过将岗位基线和系统基线相结合进行稽核比对，能够准确的实现权限的稽核；因此本发明能够快速准确的实现权限的稽核。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的权限稽核系统的结构图；

图2为本发明实施例提供的权限稽核方法的流程图。

符号说明：

数据采集模块-1、账号集确定模块-2、岗位基线确定模块-3、系统基线确定模块-4、比对判断模块-5、修正模块-6。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

由于信息技术部门每年接受内、外部审计时，账号权限管理问题也常常被作为观察项(或整改项)内容。经调研，目前行业内多数客户企业，基本都采用全人工方式对各业务系统的账号进行权限数据比对，不仅工作效率低、速度慢。而且因缺乏统一的账号权限管理台帐，也无法利用技术手段对于公司员工调岗、离职等情况及核心业务系统的权限变化，通过有效的工具平台实现对公司权限数据的及时、准确稽核。从而导致数据的准确性无法保证，容易出错。因此，权限稽核系统可对核心业务系统账号权限进行有效管理，用于解决如上问题。

本发明的目的是提供一种权限稽核系统与方法，以快速准确的实现权限的稽核。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

在现有技术中，权限稽核底层技术的构成为：

权限稽核系统是S-Data研发团队利用开放的开发框架和开发语言，自主创新研发实现基于Web界面的操作配置的应用系统工具。主要涉及到开发语言栈或开发框架有Vue、Ruby On Rails。

其中，关于Vue：前端应用框架Vue是一套用于构建用户界面的渐进式框架。与其它大型框架不同的是，Vue被设计为可以自底向上逐层应用。Vue的核心库只关注视图层，不仅易于上手，还便于与第三方库或既有项目整合。另一方面，当与现代化的工具链以及各种支持类库结合使用时，Vue也完全能够为复杂的单页应用提供驱动。

关于Ruby On Rails：(官方简称为Rails，亦被简称为RoR)，是一个使用Ruby语言写的开源Web应用框架，它是严格按照MVC结构开发，努力使自身保持简单，使实际应用开发时的代码更少，使用最少的配置。

目前市场上尚未有产品形态的针对于金融行业账号稽核管理的相关产品。据了解，部分企业使用的与该产品类似产品皆为内部定制开发的项目。对现有的定制开发的项目，没有现成的工具可以统一的、便捷实现的可核查员工与其业务系统账号权限稽核及对岗位权限稽核的通用方法。

具体地，现有技术存在的缺点如下：

1.没有一个可通用的办法识别员工及其对应的业务系统账号信息，现有的解决方法一般是在业务系统中增加一个字段标识账号所关联的员工姓名，或是员工编号。采用姓名的时候，可能会存在员工同名的情况，不利于识别。如果要统计员工在哪些业务系统中有账号，只能在所有业务系统中分别进行查询，具有很多的工作量。对于部分无法增加字段的业务系统，仅能通过人工识别的方式进行筛查。

2.没有一种可适配所有业务系统的通用权限基线稽核模型及稽核方式，据了解，现有的券商、基金公司通常采用季度稽核的管理方式，即每季度由合规/稽核部门发起对全公司的权限稽核工作，由各个系统管理员导出业务系统账号及权限清单，通过手工方式进行数据比对，找出员工本季度的权限变化，提交流程审批。由于工作量巨大，无法将此类工作作为日常的工作内容。

3.没有一种自上而下的岗位权限自动对应模型，或采用过于笼统的权限规范文档。在季度审批工作中，采用人工方式识别岗位员工，根据整理的Excel文件内容和员工的角色进行比较，因为工作量巨大，可能无法对所有业务系统稽核到权限一级。也无法直观查询到员工的权限是否合规。

4.如果采用定制开发的方式，对于对接大量业务系统，及多种不同的权限模型，相关定制开发的代码不能重复使用，需要重复开发，重复工作性高，大量占用资源。

5.对于权限模型的认知程度，依赖于工程师的相关经验，在开发过程中，容易出现问题，进行反复的修改和迭代。

实施例1

如图1所示，本发明实施例提供了一种权限稽核系统，所述系统包括：数据采集模块1、账号集确定模块2、岗位基线确定模块3、系统基线确定模块4、比对判断模块5和修正模块6。

账号集确定模块2和岗位基线确定模块3均与数据采集模块1连接；系统基线确定模块4与账号集确定模块2连接；比对判断模块5分别与岗位基线确定模块3和系统基线确定模块4连接；修正模块6与比对判断模块5连接。

数据采集模块1用于获取待稽核员工的员工基本信息、业务系统全部的账号及对应的角色和权限信息；员工基本信息包括：姓名、部门、身份证号、手机号和岗位角色。

账号集确定模块2用于基于员工台账，根据员工基本信息确定待稽核员工的账号集；账号集包括至少一个账号；一个账号对应一个业务系统；员工台账用于表征员工基本信息与各个业务系统的账号之间的联系。

岗位基线确定模块3用于基于岗位角色，确定待稽核员工在各个业务系统中的岗位基线；岗位基线为岗位角色在权限维度下的权限区间。

岗位基线确定模块3可根据岗位名称，自动生成各业务系统的权限基准的模块。

具体地，岗位基线确定模块3包括：依次连接的岗位权限集合确定子模块、权限交集区间确定子模块和岗位基线确定子模块。

岗位权限集合确定子模块用于对任一业务系统，根据账号集确定账号，根据岗位角色确定岗位下员工账号的岗位权限集合；岗位权限集合包括同一岗位角色下至少一个权限区间。

换言之，由于获取到了业务系统全部的账号及对应的角色和权限信息，因此，根据待稽核员工的岗位角色，能够得到在该业务系统下，与待稽核员工的相同角色的权限信息，然后得到岗位权限集合。

权限交集区间确定子模块用于将所有的权限区间取交集，得到权限交集区间。

岗位基线确定子模块用于将权限交集区间确定为岗位基线。

简而言之，一个岗位角色可能对应有至少一个员工，如果该岗位角色下仅有一个员工，那么，该员工的权限区间就是岗位权限集合。

如果该岗位角色下对应有多个员工，那么，通过获取并确定该岗位角色下的每个员工的权限区间，多个员工的权限区间的集合就是岗位权限集合。

然后，将这些权限区间进行取交集的处理，将得到的权限交集区间确定为岗位基线。

系统基线确定模块4用于基于账号集，确定各个账号在对应的业务系统中的系统基线；系统基线为账号在权限维度下的权限区间。

在系统建设的初期，建设各业务系统的系统基线，具体如下：

遍历系统中，最新导入的所有账号；查找所有账号中，某一员工对应的账号集合；遍历账号集中的每一个账号，在对应的每个业务系统中，存在一个账号，确定该账号的权限区间，将其确定为该系统下的系统基线。系统基线对应的权限区间的名称，可以将该账号集名称，经过分词器进行处理，去掉无意义的词，再将关键词重新组合生成。

系统基线是基于业务系统账号权限模型的一种权限标准管理方式。针对指定的业务系统中，根据系统中所预置的权限描述模板，生成账号权限模型描述信息要求的权限数据。其目的为，能够通过该数据，稽核校验业务系统账号权限是否合规。

岗位基线是针对岗位设置基线，基线可在各业务系统中关联系统基线，设置完成后，具有相同岗位的员工，通过岗位基线，可自动将其业务系统账号与系统基线进行关联。

配置岗位基线的步骤如下：从外部通过数据库sql查询、接口请求等方式同步员工岗位信息存储至数据库；提供系统界面，选择岗位信息；选择已同步权限数据的业务系统，选择这个业务系统中已经创建的业务系统岗位基线，每个岗位，在每个业务系统中，仅可设置一个岗位基线；保存岗位与岗位基线的关联信息至数据库。

根据公司对岗位合规的相关性要求，重复以上操作，分别为每个岗位设置系统基线。

比对判断模块5用于对任一业务系统，将岗位基线与系统基线进行稽核比对，并判断岗位基线与系统基线是否相同。

修正模块6用于在岗位基线与系统基线不相同时，根据系统基线以及岗位基线与系统基线之间的差异区间对系统基线进行修改。

在任一业务系统中，由于岗位基线是各个分账号的权限区间的交集，因此，采用比对判断模块5对岗位基线与系统基线进行稽核比对时，存在以下情况：

第一，如果该岗位角色仅有该员工自己，此时，存在系统基线和岗位基线相同的情况，那么不采用修正模块6进行修正。若出现了不同，需要考量出现差异的权限是否符合该员工在该业务系统中的工作需要，如不符合，则需要采用修正模块6进行修正。如若符合，则保留。

第二，若岗位基线是对各个权限区间取交集得到的，那么对岗位基线与系统基线进行稽核比对时，就会出现差异区间。此时，需要对差异区间进行分析，判断该差异区间是否符合业务需求。

如若该权限差异确实不符合该账号在该业务系统下的实际的业务需求，即工作需求，那么，需要将该差异区间对应的权限进行取消。如若该权限差异确实符合该账号在该业务系统下的实际的业务需求，则需要保留该权限，因此，对系统基线进行相应的调整修改。

同一业务系统中，通过已配置的账号的权限描述信息，可输出具有相同结构的系统基线数据和岗位基线数据。因此，可将同一业务系统中的系统基线与岗位基线进行稽核对比。

具体步骤如下：每日或定期从业务系统中，通过数据库sql查询或接口请求的方式，获取最新的账号及权限数据；按照已配置的账号权限描述信息，输出系统基线数据；系统自动检查每个账号是否关联了岗位基线，如未关联，不做任何操作；如已关联的岗位权限，分别遍历该账号系统基线数据中的每个权限维度，分别与岗位基线中相同的权限维度数据进行比对检查，检查与系统基线该权限维度中的权限数据是否一致，输出差异信息。例如检查发现账号系统基线中的菜单权限相比岗位基线权限，多了一条或多条权限记录，可认为该权限超出岗位基线设置的范围，那么则需要进行与实际工作需要的权限进行核对。

作为一种可选地实施方式，该系统还包括：传输模块；传输模块与比对判断模块5连接；传输模块用于将差异区间传输至移动终端。

具体地，整合各权限维度的差异信息，通过邮件等方式通知到相关人员，或用户在登录系统时，通过选择系统账号，主动检查账号权限与系统基线的权限差异。

在一种实施例中，该系统还包括：存储模块；存储模块分别与数据采集模块1和账号集确定模块2连接；存储模块用于存储基本信息和员工台账。

实施例2

如图2所示，本发明实施例提供了一种权限稽核方法，该方法采用实施例1中的权限稽核系统，该方法包括：

步骤100：获取待稽核员工的员工基本信息、业务系统全部的账号及对应的角色和权限信息；员工基本信息包括：姓名、部门、身份证号、手机号和岗位角色。

步骤200：基于员工台账，根据员工基本信息确定待稽核员工的账号集；账号集包括至少一个账号；一个账号对应一个业务系统；员工台账用于表征员工基本信息与各个业务系统的账号之间的联系。

作为一种可选的实施方式，在基于员工台账，根据基本信息确定待稽核员工的账号集，之前还包括：

获取所有员工的业务信息；业务信息包括基本信息和账号集；账号集中的各个账号均对应一个账号信息；账号信息包括：工号、身份证号、手机号、姓名和邮箱。

基于内容唯一性原则，对基本信息和账号信息进行匹配。

将匹配完成的业务信息确定为员工台账。

具体地，采用一种可基于员工及账号现有信息进行推荐匹配的函数模块，输入数据为员工与某个业务系统的账号信息，输出为判断是否两者可唯一性匹配。其应用目的为：通过智能匹配规则，来帮助建立员工台账数据。具体可分为几种规则：

1.默认规则为基于姓名的匹配规则：将经过清洗的账号名称，或账号姓名与员工姓名进行匹配，如果仅有一个相同的匹配项，返回成功。

2.基于唯一性内容的匹配：将账号中包含的员工工号、身份证号、手机号、邮箱等与员工对应的信息匹配，如果仅有一个相同的匹配项，返回成功。

3.基于部门的名称匹配规则：主要用于可能有大量员工的企业，与有部门信息的业务系统中，在同一个部门中，将经过清洗的账号名称，或账号姓名与员工姓名进行匹配，如果仅有一个相同的匹配项，返回成功。

4.基于不同部门的反向匹配规则：主要用于可能有大量员工的企业，与有部门信息的业务系统中，当员工部门与业务系统部门信息无法一一匹配的情况下，如果具有超过设置阈值的姓名相同，则认为两个部门相同，再将经过清洗的账号名称，或账号姓名与员工姓名进行匹配，如果仅有一个相同的匹配项，返回成功。

基于不同部门的反向匹配规则的具体场景：首先前提是当客户各个业务系统的部门信息都是独立维护的，这种在一些规模较大，IT数据治理程度不高的客户中经常出现。由于系统间信息独立维护，可能有些部门的信息共享不是特别及时。如：A市的营业部可能在有些系统中称为A分公司、A市营业部或者A营业部。在不同系统中，对于同一部门的名称不一定相同，因此仅通过部门名称，无法确认为这是同一个部门。当识别此类信息时，根据客户的实际员工情况设定一个阈值，如阈值为20人，60％；即在这两个系统中查找有20人以上的部门，当两者有一个部门超过60％以上人员姓名相同时，认为这两个部门是同一个部门，即使他们的名字不同，再将这两个不同系统间的部门做一个映射。既然部门相同，在做智能匹配的时候，对于该部门内部人员的检查就可以局限在这个部门中，大量减少重名等情况导致的无法匹配的几率。

步骤300：基于岗位角色，确定待稽核员工在各个业务系统中的岗位基线；岗位基线为岗位角色在权限维度下的权限区间。

其中，基于岗位角色，确定待稽核员工在各个业务系统中的岗位基线，具体包括：

对任一业务系统，根据账号集确定待稽核员工账号，根据岗位角色确定岗位下员工账号的岗位权限集合；岗位权限集合包括同一岗位角色下至少一个权限区间。

将所有的权限区间取交集，得到权限交集区间。

将权限交集区间确定为岗位基线。

步骤400：基于账号集，确定各个账号在对应的业务系统中的系统基线；系统基线为账号在权限维度下的权限区间。

步骤500：对任一业务系统，将岗位基线与系统基线进行稽核比对，并判断岗位基线与系统基线是否相同。

步骤600：若否，根据系统基线以及岗位基线与系统基线之间的差异区间，对系统基线进行修改。

在一种实施例中，该方法还包括：控制传输模块将差异区间传输至移动终端。

在每次员工与账号权限数据同步之后，自动进行如下步骤：找到该员工所拥有的各业务系统账号；在员工信息中查找到员工岗位，找到岗位所对应的岗位基线；自动将上述的岗位基线与员工业务系统账号的系统基线进行关联匹配，然后进行比对，从而自动发现员工的业务系统账号的系统基线与其岗位基线两者间的权限差异。

即将日常采集的具有相同岗位员工的业务系统账号与岗位基线中配置的业务系统岗位基线自动建立关联关系，实现并自动稽核两者间的权限差异。

实施例3

本发明实施例提供了一种权限稽核方法在实际应用中的操作过程。

首先建立台账关系。建立数据库台账表，表字段为系统ID，以区分各业务系统；账号唯一识别信息；员工id，初始为空；是否忽略智能匹配标识。

员工台账：维护了员工信息与各业务系统账号之间的方法。其具体的步骤如下(以对一个业务系统对接为例)：

1.采集员工信息，员工信息中的必选字段有：包括员工姓名、员工部门、员工的唯一识别信息，包括员工工号、身份证号、或在公司的唯一编号、员工状态；可选字段有员工职务、岗位、权限审核人、邮箱、手机号等；将采集后的信息输入到员工表，并根据员工唯一编号生成员工唯一id。

2.采集业务系统账号信息，必选字段有：账号名称、账号唯一识别信息，如账号id或账号编号、账号状态；可选字段有：账号所属部门、账号包含可供匹配的其他信息如邮箱、手机号等；将相关账号信息存如账号表，并检查账号的唯一性信息是否在台账表中存在，如有新增账号，将业务系统id与账号的唯一性信息，存入台账表。

3.对账号名称进行清理，去除账号名称中的非员工姓名的其他数据，如业务系统账号名称为运营部-张三(受限)，清洗后变为张三。

4.确认业务系统账号是否能匹配唯一的员工记录，如成功，将员工id，更新至台账表中的业务系统账号唯一信息记录，建立两者关联。

如未成功建立两者的台账关系，权限稽核系统也提供操作界面，支持用户通过其他方式如问询等，手动建立台账关联。

另，有部分账号用户不想通过智能匹配进行关联的，可手动在台账表中设置忽略智能匹配标识为启用，改账号将只支持手动台账关联操作。

以下是生成系统基线的步骤：

1.根据业务系统实际的各项权限维度，配置账号权限描述信息。描述信息由权限的维度和具体的权限字段构成。例如有的业务系统中，账号有角色信息、菜单权限、报表权限，有的业务系统中仅有菜单权限和产品权限，权限描述信息结构如表1所示。

表1权限描述信息结构

2.通过数据库sql查询、接口请求等方式，从业务系统中同步账号权限数据至本地数据库，其权限数据有系统中的角色信息、菜单权限信息、产品权限信息、附加权限信息等，从而生成配置系统基线时，可供选择的权限列表。

3.用户根据账号权限描述信息的结构，提供系统界面的方式，供用户选择不同权限维度的权限内容，也可通过复制某个与岗位基线权限相近的员工系统基线为基础，再进行编辑，根据其实际工作中所需要的权限基准，增加或删除权限内容，生成系统岗位基线，生成的基线数据结构与通用权限模型中的权限数据的结构一致。其中，权限数据结构见表2。

4.在岗位基线中，默认会稽核全部权限维度，也可设置需要告警的权限维度与告警规则(默认为权限与岗为基线完全一致，也可配置成，权限列表不超出权限范围)，只对指定的权限维度和告警方式进行检查。

表2权限数据结构

传统工作流程需求都需要定制化开发。对于不同的权限模型处理，但是又有很多相通并且重复的内容。开发就需要编写重复的代码，来实现系统功能。而通用权限模型及自助对接模块，正是应对此类需求场景，更加深入、便捷的完成相关工作。将抽象权限模型转换为具象的开发处理流程。减少需求沟通成本，减轻IT开发成本，缩短需求建设完成周期。

本发明可集中采集业务系统权限数据，通过员工台账功能，智能匹配自动或手工将业务系统账号与账号使用人进行匹配。可查询任意员工在已采集的所有业务系统中的账号信息。

通过岗位基线的配置，可在发现账号权限变化时主动提醒相关人员，将大量需要从每隔一段时间的手工整理稽核的工作转变为半自动的日常工作。

通过岗位基线的设置，自动的将具有相同岗位员工的各业务系统账号与系统基线相关联，实现自上而下的权限稽核配置，可以随时发现同一岗位员工相比其岗位应当具有的权限基线有哪些差异，有利于于企业对于账号合规性的管理。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种权限稽核系统，其特征在于，所述系统包括：数据采集模块、账号集确定模块、岗位基线确定模块、系统基线确定模块、比对判断模块和修正模块；

所述账号集确定模块和所述岗位基线确定模块均与所述数据采集模块连接；所述系统基线确定模块与所述账号集确定模块连接；所述比对判断模块分别与所述岗位基线确定模块和所述系统基线确定模块连接；所述修正模块与所述比对判断模块连接；

所述数据采集模块用于获取待稽核员工的员工基本信息、业务系统全部的账号及对应的角色和权限信息；所述员工基本信息包括：姓名、部门、身份证号、手机号和岗位角色；

所述账号集确定模块用于基于员工台账，根据所述员工基本信息确定所述待稽核员工的账号集；所述账号集包括至少一个账号；一个所述账号对应一个业务系统；所述员工台账用于表征所述员工基本信息与各个业务系统的账号之间的联系；

所述岗位基线确定模块用于基于所述岗位角色，确定所述待稽核员工在各个业务系统中的岗位基线；所述岗位基线为所述岗位角色在权限维度下的权限区间；

所述系统基线确定模块用于基于所述账号集，确定各个所述账号在对应的业务系统中的系统基线；所述系统基线为所述账号在权限维度下的权限区间；

所述比对判断模块用于对任一业务系统，将所述岗位基线与所述系统基线进行稽核比对，并判断所述岗位基线与所述系统基线是否相同；

所述修正模块，用于：

在所述岗位基线与所述系统基线不相同时，根据所述系统基线以及所述岗位基线与所述系统基线之间的差异区间，对所述系统基线进行修改。

2.根据权利要求1所述的权限稽核系统，其特征在于，所述岗位基线确定模块包括：依次连接的岗位权限集合确定子模块、权限交集区间确定子模块和岗位基线确定子模块；

所述岗位权限集合确定子模块用于对任一业务系统，根据所述账号集确定账号，根据所述岗位角色确定岗位下员工账号的岗位权限集合；所述岗位权限集合包括同一岗位角色下至少一个权限区间；

所述权限交集区间确定子模块用于将所有的所述权限区间取交集，得到权限交集区间；

所述岗位基线确定子模块用于将所述权限交集区间确定为岗位基线。

3.根据权利要求1所述的权限稽核系统，其特征在于，所述系统还包括：传输模块；

所述传输模块与所述比对判断模块连接；所述传输模块用于将所述差异区间传输至移动终端。

4.根据权利要求1所述的权限稽核系统，其特征在于，所述系统还包括：存储模块；

所述存储模块分别与所述数据采集模块和所述账号集确定模块连接；

所述存储模块用于存储所述基本信息和所述员工台账。

5.一种权限稽核方法，其特征在于，所述方法采用权利要求1-4任意一项所述的权限稽核系统，所述方法包括：

获取待稽核员工的员工基本信息、业务系统全部的账号及对应的角色和权限信息；所述员工基本信息包括：姓名、部门、身份证号、手机号和岗位角色；

基于员工台账，根据所述员工基本信息确定所述待稽核员工的账号集；所述账号集包括至少一个账号；一个所述账号对应一个业务系统；所述员工台账用于表征所述员工基本信息与各个业务系统的账号之间的联系；

基于所述岗位角色，确定所述待稽核员工在各个业务系统中的岗位基线；所述岗位基线为所述岗位角色在权限维度下的权限区间；

基于所述账号集，确定各个所述账号在对应的业务系统中的系统基线；所述系统基线为所述账号在权限维度下的权限区间；

对任一业务系统，将所述岗位基线与所述系统基线进行稽核比对，并判断所述岗位基线与所述系统基线是否相同；

若否，根据所述系统基线以及所述岗位基线与所述系统基线之间的差异区间，对所述系统基线进行修改。

6.根据权利要求5所述的权限稽核方法，其特征在于，基于所述岗位角色，确定所述待稽核员工在各个业务系统中的岗位基线，具体包括：

对任一业务系统，根据所述账号集确定所述待稽核员工账号，根据所述岗位角色确定岗位下员工账号的岗位权限集合；所述岗位权限集合包括同一岗位角色下至少一个权限区间；

将所有的所述权限区间取交集，得到权限交集区间；

将所述权限交集区间确定为岗位基线。

7.根据权利要求5所述的权限稽核方法，其特征在于，所述方法还包括：

控制传输模块将所述差异区间传输至移动终端。

8.根据权利要求5所述的权限稽核方法，其特征在于，在基于员工台账，根据所述基本信息确定所述待稽核员工的账号集，之前还包括：

获取所有员工的业务信息；所述业务信息包括基本信息和账号集；所述账号集中的各个所述账号均对应一个账号信息；所述账号信息包括：工号、身份证号、手机号、姓名和邮箱；

基于内容唯一性原则，对所述基本信息和所述账号信息进行匹配；

将匹配完成的业务信息确定为所述员工台账。