CN117455429A - 一种权限管理方法、装置、设备及存储介质 - Google Patents

Abstract

本申请提供一种权限管理方法、装置、设备及存储介质，涉及信息化技术领域，方法包括：根据个人信息，确定权限请求中对应的至少一个目标空缺职位；比对目标员工的职位与各目标空缺职位的职位大小，根据比对结果，确定目标员工可分配的第一权限范围；获取各目标空缺职位的异常状态，根据异常状态，确定目标员工拥有第一权限范围的第一时长；结合第一权限范围和第一时长，预测目标员工的可能操作行为，对目标员工的可能操作行为进行评估；根据评估结果，对第一权限范围和/或第一时长进行修正，得到可分配给目标员工的最终权限范围和最终权限时长。本申请具有的技术效果是：用于精确分配权限，尽量避免对企业的运营效率造成影响的情况出现。

Description

一种权限管理方法、装置、设备及存储介质

技术领域

本申请涉及信息化技术领域，具体涉及一种权限管理方法、装置、设备及存储介质。

背景技术

在现代企业管理中，权限管理是确保企业信息安全和提高管理效率的重要环节。

传统的权限管理方法通常依赖于静态的权限分配策略，其中员工的权限设置在聘用时确定，并在其职位变动或特定情况下手动调整。这种方法的不足之处在于其缺乏灵活性和实时响应性，不能有效应对组织内部的动态变化，如职位空缺、员工离职或请假等异常状态，导致权限分配不够精准或及时，从而可能对企业的运营效率造成影响。

发明内容

本申请提供一种权限管理方法、装置、设备及存储介质，用于精确分配权限，尽量避免对企业的运营效率造成影响的情况出现。

第一方面，本申请提供了一种权限管理方法，响应目标员工发送的权限请求，获取所述目标员工的个人信息，根据所述个人信息，确定所述权限请求中对应的至少一个目标空缺职位；比对所述目标员工的职位与各所述目标空缺职位的职位大小，得到比对结果，根据所述比对结果，确定所述目标员工可分配的第一权限范围；获取各所述目标空缺职位的异常状态，根据所述异常状态，确定所述目标员工拥有所述第一权限范围的第一时长；结合所述第一权限范围和所述第一时长，预测所述目标员工的可能操作行为，对所述目标员工的可能操作行为进行评估，得到评估结果；根据所述评估结果，对所述第一权限范围和/或所述第一时长进行修正，确定可分配给所述目标员工的最终权限范围和最终权限时长；将所述最终权限范围和所述最终权限时长分配至所述目标员工。

通过采用上述技术方案，该权限管理方法通过获取目标员工的个人信息，确定其权限请求对应的目标空缺职位，实现了权限申请与实际岗位需求的精准匹配。该方法还可以对目标员工现职位与空缺职位进行精细化的级别对比，从而区分出目标员工可获取的职位内权限范围。同时，该方法结合目标空缺职位的异常状态即离职、请假情况，动态确定目标员工获取该职位内权限的时效期限，实现了权限时效的灵活精准配置。此外，该方案能够预测目标员工在获授权限范围和时长下的潜在操作行为风险，并进行评估，从而对最终授予的权限范围和时长进行修正，精确分配权限，尽量避免对企业的运营效率造成影响的情况出现。

可选的，所述根据所述个人信息，确定所述权限请求中对应的目标空缺职位，包括：根据所述个人信息，确定所述目标员工发送的权限请求所关联的至少一个职位；判断所述至少一个职位中是否存在空缺职位；若所述至少一个职位中存在所述空缺职位，则确定所述空缺职位为所述目标空缺职位。

通过采用上述技术方案，这种技术手段建立了目标员工个人信息与空缺职位之间的关联识别机制。当目标员工提出权限申请时，系统可以通过这个机制自动匹配对应的目标空缺职位，无需人工选择，实现了权限需求与空缺职位的精确对应，提高了权限分配的自动化精准度。

可选的，所述比对所述目标员工的职位与各所述目标空缺职位的职位大小，得到比对结果，根据所述比对结果，确定所述目标员工可分配的第一权限范围，包括：判断各所述目标空缺职位中是否存在职位级别不大于所述目标员工的职位级别的第一目标空缺职位；若各所述目标空缺职位中存在职位级别不大于所述目标员工的职位级别的第一目标空缺职位，则将所述第一目标空缺职位的全部权限范围确定为所述目标员工的权限范围；判断各所述目标空缺职位中是否存在职位级别大于所述目标员工职位级别的第二目标空缺职位；若各所述目标空缺职位中存在职位级别大于所述目标员工职位级别的第二目标空缺职位，则获取所述第二目标空缺职位对应的权限范围；确定所述第二目标空缺职位的权限范围中对应权限范围为所述目标员工的权限范围；将所述第一目标空缺职位的全部权限范围和所述第二目标空缺职位的权限范围中对应权限范围合并，得到所述目标员工可分配的第一权限范围。

通过采用上述技术方案，通过上述级别对比和区分获取方式，该方案实现了按照职位级别差异，动态确定目标员工可以获取的权限范围，既满足工作需求，也规避了过度授权带来的风险。

可选的，所述异常状态包括离职状态和请假状态，所述根据所述异常状态，确定所述目标员工拥有所述第一权限范围的第一时长，包括：若存在所述异常状态为所述离职状态的第一职位，则获取所述目标员工的个人数据，根据所述目标员工的个人数据，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长；若存在所述异常状态为所述请假状态的第二职位，则获取所述第二职位对应人员的请假时长，将所述请假时长作为所述目标员工拥有所述第二职位的权限范围的第三时长；将所述第二时长和所述第三时长进行算数相加，得到所述第一时长。

通过采用上述技术方案，该方案实现了根据不同异常状态，动态确定目标员工持有对应权限的时效期限。这种处理方式充分考虑了实际工作情况，既保证了工作需求的满足，也规避了过期权限带来的安全隐患。

可选的，所述若存在所述异常状态为所述离职状态的第一职位，则获取所述目标员工的个人数据，根据所述目标员工的个人数据，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长，包括：判断所述目标员工的职位级别是否大于所述第一职位的职位级别，若所述目标员工的职位级别大于所述第一职位的职位级别，则确定所述目标员工拥有所述第一职位对应的权限范围的第二时长为永久时长；若所述目标员工的职位级别不大于所述第一职位的职位级别，则获取所述目标员工的职位级别和所述第一职位的职位级别差；根据所述职位级别差，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长。

通过采用上述技术方案，充分考虑了不同级别员工对下级离职职位的权限时效需求，既满足了工作连贯性，也规避了过度授权风险。此外，该方案使用级别差异来确定权限时长，简化了权限表达，避免了复杂的权限点配置，提高了管理效率。

可选的，所述根据所述职位级别差，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长，包括：若所述职位级别差未超过阈值，则根据所述目标员工的个人数据，判断所述目标员工是否参与过与所述第一职位关联的关联项目；若所述目标员工参与过与所述第一职位关联的关联项目，则确定所述目标员工拥有所述第一职位对应的权限范围的第二时长为永久时长；若所述目标员工未参与过与所述第一职位关联的关联项目，则确定所述目标员工拥有所述第一职位对应的权限范围的权限时长为预设时长，所述预设时长为所述目标员工完成待完成项目的预计时长；若所述职位级别差超过所述阈值，则确定所述目标员工拥有所述第一职位对应的权限范围的时长为所述预设时长。

通过采用上述技术方案，首先判断级别差是否在可控范围内，如果超过阈值，则直接采用预设基础时长，降低风险。如果在可控范围内，则判断个人是否有相关项目经验。如果有，授予永久权限;如果无相关经验，则权限时长匹配个人当前项目周期。实现了权限时长的精细化、动态化确定，既考虑了职位级别关系，也考虑了个人经验差异，能够满足复杂多变的工作权限需求。同时，该方案将权限时长匹配至个人项目周期，降低了过期收回的操作成本，提高了管理效率。

可选的，所述结合所述第一权限范围和所述第一时长，预测所述目标员工的可能操作行为，对所述目标员工的可能操作行为进行评估，得到评估结果，包括：获取所述目标员工的个人资质数据和操作习惯数据；结合所述目标员工的个人资质数据和操作习惯数据、所述第一权限范围及所述第一时长，预测所述目标员工的可能操作行为，判断所述可能操作行为是否触发预设的安全事件；若所述可能操作行为未触发预设的安全事件，则确定所述评估结果为安全；若所述可能操作行为触发预设的安全事件，则统计所述目标员工触发的所述预设安全事件的数量和安全等级，根据所述预设安全事件的数量和安全等级，进行安全评分；根据所述安全评分，确定所述评估结果为安全或不安全。

通过采用上述技术方案，系统全方位收集目标员工的个人资质和历史操作数据，建立员工画像。当预测该员工在获授予的权限范围和时长情况下的可能操作行为时，系统可以匹配员工画像，判断这些行为是否会触发预设的安全事件。如果不触发，则评估为安全。如果触发，系统可以进一步统计触发事件的数量和安全等级，按照不同等级和数量实施评分。最终，系统可以通过评分结果判断操作风险是否可控，完成精细化的操作风险评估。

第二方面，本申请提供一种权限管理装置，所述装置包括：响应模块、比对模块、获取模块、结合模块、评估模块及分配模块；其中，所述响应模块，用于响应目标员工发送的权限请求，获取所述目标员工的个人信息，根据所述个人信息，确定所述权限请求中对应的至少一个目标空缺职位；所述比对模块，用于比对所述目标员工的职位与各所述目标空缺职位的职位大小，得到比对结果，根据所述比对结果，确定所述目标员工可分配的第一权限范围；所述获取模块，用于获取各所述目标空缺职位的异常状态，根据所述异常状态，确定所述目标员工拥有所述第一权限范围的第一时长；所述结合模块，用于结合所述第一权限范围和所述第一时长，预测所述目标员工的可能操作行为，对所述目标员工的可能操作行为进行评估，得到评估结果；所述评估模块，用于根据所述评估结果，对所述第一权限范围和/或所述第一时长进行修正，确定可分配给所述目标员工的最终权限范围和最终权限时长；所述分配模块，用于将所述最终权限范围和所述最终权限时长分配至所述目标员工。

通过采用上述技术方案，该权限管理方法通过获取目标员工的个人信息，确定其权限请求对应的目标空缺职位，实现了权限申请与实际岗位需求的精准匹配。该方法还可以对目标员工现职位与空缺职位进行精细化的级别对比，从而区分出目标员工可获取的职位内权限范围。同时，该方法结合目标空缺职位的异常状态即离职、请假情况，动态确定目标员工获取该职位内权限的时效期限，实现了权限时效的灵活精准配置。此外，该方案能够预测目标员工在获授权限范围和时长下的潜在操作行为风险，并进行评估，从而对最终授予的权限范围和时长进行修正，精确分配权限，尽量避免对企业的运营效率造成影响的情况出现。

第三方面，本申请提供一种电子设备，采用如下技术方案：包括处理器、存储器、用户接口及网络接口，所述存储器用于存储指令，所述用户接口和网络接口用于给其他设备通信，所述处理器用于执行所述存储器中存储的指令，以使所述电子设备执行如上述任一种权限管理方法的计算机程序。

第四方面，本申请提供一种计算机可读存储介质，采用如下技术方案：存储有能够被处理器加载并执行上述任一种权限管理方法的计算机程序。

综上所述，本申请包括以下至少一种有益技术效果：

1.精确分配权限，尽量避免对企业的运营效率造成影响的情况出现；

2.既满足了工作连贯性，也规避了过度授权风险。此外，该方案使用级别差异来确定权限时长，简化了权限表达，避免了复杂的权限点配置，提高了管理效率。

附图说明

图1是本申请实施例提供的一种权限管理方法的流程示意图；

图2是本申请实施例提供的一种权限管理装置的结构示意图；

图3是本申请实施例提供的一种电子设备的结构示意图。

附图标记说明：1000、电子设备；1001、处理器；1002、通信总线；1003、用户接口；1004、网络接口；1005、存储器。

具体实施方式

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。

在本申请实施例的描述中，“示性的”、“例如”或者“举例来说”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示性的”、“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示性的”、“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。

图1是本申请实施例提供的一种权限管理方法的流程示意图。应该理解的是，虽然图1的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行；除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行；并且图1中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

本申请公开了一种权限管理方法，如图1所示，该方法包括S101-S106。

S101，响应目标员工发送的权限请求，获取目标员工的个人信息，根据个人信息，确定权限请求中对应的至少一个目标空缺职位。

在一个示例中，对于权限管理系统而言，其核心在于实现权限的精准分配和控制。当接收到目标员工李某的权限请求时，系统需要首先判断该目标员工实际需要哪些权限。为实现这一点，系统响应李某的权限请求，调用员工信息模块，获取李某的个人信息，包括部门、职称、当前职责等。系统接着调用职位信息模块，根据李某的个人信息匹配确定其权限请求对应的目标空缺职位，例如副经理、业务主管等职位。获取目标空缺职位的目的是为了下一步确定李某可分配的权限范围。通过这种根据目标员工个人信息匹配确定目标空缺职位的方式，系统可以有针对性地为目标员工分配符合其实际需要的权限，实现精准的权限分配，同时也提高了权限分配的自动化程度，系统不需要人工判断目标员工的权限需求，降低了人工作业量。

在上述实施例的基础上，作为一个可选的实施例，S101中：根据个人信息，确定权限请求中对应的目标空缺职位具体包括：

根据个人信息，确定目标员工发送的权限请求所关联的至少一个职位；判断至少一个职位中是否存在空缺职位；若至少一个职位中存在空缺职位，则确定空缺职位为目标空缺职位。

在一个可行的示例中，系统在收到目标员工李某的权限申请后，为确定申请所对应的目标空缺职位，需要先分析权限申请的业务关联性。系统调用员工信息模块，获取李某的个人信息，包括部门、职级、当前职责等。系统判断李某的权限申请与财务部门核算岗位相关。然后，系统调用职位信息模块，确认财务部门存在核算员和高级核算员两个职位。最后，系统调用空缺状态模块判断该部门的核算员职位当前为空缺。至此，系统根据李某的个人信息，成功确定其权限申请对应的目标空缺职位为核算员。

S102，比对目标员工的职位与各目标空缺职位的职位大小，得到比对结果，根据比对结果，确定目标员工可分配的第一权限范围。

在一个示例中，在确定了目标员工的目标空缺职位后，系统需要进一步明确可以获得的具体权限范围。为实现这一目的，系统调用职位权限模块，获取各目标空缺职位对应的权限范围信息，然后，系统调用职位级别模块，获取目标员工当前职位和各目标空缺职位的职位级别信息。系统将目标员工的当前职位级别与各目标空缺职位的职位级别进行比对，判断目标空缺职位中职位级别不大于目标员工当前职位级别的职位A，以及职位级别大于目标员工当前职位级别的职位B。根据比对结果，系统确定权限范围的原则是：职位A的全部权限范围，以及职位B权限范围中与目标员工当前职位匹配的部分权限范围，均可以划入目标员工的第一权限范围。经过这样的比对分析，系统可以自动确定目标员工目前可被分配的权限范围，无需人工判断，既规避了权限范围过大导致的安全风险，也满足了目标员工实际工作的需要，实现了权限范围的精细化控制。

在上述实施例的基础上，作为一种可选的实施例，S102中：比对目标员工的职位与各目标空缺职位的职位大小，得到比对结果，根据比对结果，确定目标员工可分配的第一权限范围具体包括：

判断各目标空缺职位中是否存在职位级别不大于目标员工的职位级别的第一目标空缺职位；若各目标空缺职位中存在职位级别不大于目标员工的职位级别的第一目标空缺职位，则将第一目标空缺职位的全部权限范围确定为目标员工的权限范围；判断各目标空缺职位中是否存在职位级别大于目标员工职位级别的第二目标空缺职位；若各目标空缺职位中存在职位级别大于目标员工职位级别的第二目标空缺职位，则获取第二目标空缺职位对应的权限范围；确定第二目标空缺职位的权限范围中对应权限范围为目标员工的权限范围；将第一目标空缺职位的全部权限范围和第二目标空缺职位的权限范围中对应权限范围合并，得到目标员工可分配的第一权限范围。

在一个示例中，第二目标空缺职位权限范围中对应权限范围为目标员工完成当前任务所需要的最小权限范围。系统确定目标员工的目标空缺职位包括助理和经理两个职位后，需要进一步比对这些职位与目标员工当前职位的级别大小，判断目标员工可以获得的权限范围。系统首先调用职位级别模块，确认目标员工当前职位级别为助理。然后，系统判断助理职位级别不大于目标员工当前职位级别，即两者级别相同。根据预设规则，同级职位的全部权限可以分配给目标员工。系统再判断经理职位的级别大于目标员工的当前级别，于是系统调用权限模块，获取经理职位的全部权限范围，并与目标员工当前权限进行比对，确定其中与目标员工当前权限相对应的部分作为经理职位可以分配的权限。最后，系统将助理职位的全部权限和经理职位的对应部分权限合并，即确定目标员工的第一权限范围。

假设目标员工李某目前的权限范围为：查阅本部门员工考勤数据、使用部门共享打印机；李某的当前职位级别是助理，当前的工作任务是完成本部门的员工考勤月报。

李某申请了权限提升的需求。系统收到请求后，确定李某申请与人事部门的核算岗位需求相关。系统查询人事部门存在核算员和高级核算员两个目标空缺职位，其中核算员职位当前正处于空缺状态。于是系统确定李某申请对应的目标空缺职位为：核算员和高级核算员。然后系统调用职位级别对比模块，判断核算员职位级别与李某当前级别相同，高级核算员级别较高。系统根据权限范围匹配规则，确定：核算员职位的全部权限范围：查阅本部门员工考勤数据、使用部门共享打印机、查阅本部门员工薪资数据。高级核算员对应权限范围(与李某当前工作任务相关的最小范围)：查阅本部门员工薪资数据。最后系统将上述两部分权限合并去重，确定李某的第一权限范围为：查阅本部门员工考勤数据、使用部门共享打印机、查阅本部门员工薪资数据。

S103，获取各目标空缺职位的异常状态，根据异常状态，确定目标员工拥有第一权限范围的第一时长。

在一个示例中，在确定了目标员工的第一权限范围后，系统还需要设定此权限范围的具体持有时长，以实现权限的时间控制。为此，系统调用职位异常模块，获取目标员工对应的目标空缺职位的异常状态信息，例如离职、请假等状态。系统判断目标空缺职位中离职状态的职位C，获取目标员工的个人数据，根据数据判断目标员工曾参与过职位C相关项目，确定目标员工持有职位C权限的第二时长为永久。同时，系统判断目标空缺职位中请假状态的职位D，获取职位D人员的假期时长，确定目标员工持有职位D权限的第三时长。系统将第二时长和第三时长相加，得到目标员工持有第一权限范围的第一时长。通过获取异常状态信息，系统实现了权限时长的动态设定，既保证了因离职带来的工作空缮需要补足，也规避了目标员工获取过期权限带来的风险，优化了权限的时间管理。

在上述实施例的基础上，作为一种可选的实施例，S103中：异常状态包括离职状态和请假状态，根据异常状态，确定目标员工拥有第一权限范围的第一时长具体包括：

若存在异常状态为离职状态的第一职位，则获取目标员工的个人数据，根据目标员工的个人数据，确定目标员工拥有第一职位对应的权限范围的第二时长；若存在异常状态为请假状态的第二职位，则获取第二职位对应人员的请假时长，将请假时长作为目标员工拥有第二职位的权限范围的第三时长；将第二时长和第三时长进行算数相加，得到第一时长。

在一个示例中，系统在获取目标员工的目标空缺职位信息后，调用异常状态模块判断这些职位中是否存在离职或请假异常。系统发现核算员职位处于离职状态，高级核算员职位人员正在请假。为合理确定目标员工的权限持有时间，系统需要进行如下处理：对于离职状态的核算员职位，系统调用个人信息模块，获取目标员工曾参与核算工程项目的经历，标记目标员工对该职位权限的需求级别为高。根据预设时间规则，系统确定目标员工可持有核算员职位权限范围的第二时长为2年。对于请假状态的高级核算员职位，系统调用人事信息模块，获取该职位人员的请假时长为1个月。系统将1个月设定为目标员工持有高级核算员职位权限的第三时长。最后系统将上述第二时长和第三时长累加，最终确定目标员工持有第一权限范围的第一时长为2年1个月。

若存在异常状态为离职状态的第一职位，则获取目标员工的个人数据，根据目标员工的个人数据，确定目标员工拥有第一职位对应的权限范围的第二时长，包括：判断目标员工的职位级别是否大于第一职位的职位级别，若目标员工的职位级别大于第一职位的职位级别，则确定目标员工拥有第一职位对应的权限范围的第二时长为永久时长；若目标员工的职位级别不大于第一职位的职位级别，则获取目标员工的职位级别和第一职位的职位级别差；根据职位级别差，确定目标员工拥有第一职位对应的权限范围的第二时长。

在一个示例中，系统判断到目标空缺职位中存在离职状态的核算员职位后，需要确定目标员工获取该职位权限的具体时长。为实现精细化控制，系统需要进行进一步判断：

首先，系统调用职位级别模块，确认目标员工的当前职位级别高于核算员，属于不同级别，然后系统获取两者职位级别差为2级。根据预设规则，不同级别间职位级别差为1-3级时，持有权限时长按照级别乘积递减。即当前案例中，目标员工持有核算员权限的时长为2年(基础时长1年，级别差2级，1×2=2年)，需要说明的是，这里的时长根据实际情况自行设定，可以为一小时、一天或者一个月不等，在此不做过多限制。如果目标员工职级高出3级以上，则权限时长确认为永久。此方案综合考虑了目标员工与离职职位的级别关系，实现精细化的权限时效控制，既满足工作需求又规避风险。

根据职位级别差，确定目标员工拥有第一职位对应的权限范围的第二时长，包括：若职位级别差未超过阈值，则根据目标员工的个人数据，判断目标员工是否参与过与第一职位关联的关联项目；若目标员工参与过与第一职位关联的关联项目，则确定目标员工拥有第一职位对应的权限范围的第二时长为永久时长；若目标员工未参与过与所述第一职位关联的关联项目，则确定目标员工拥有第一职位对应的权限范围的权限时长为预设时长，预设时长为目标员工完成待完成项目的预计时长；若职位级别差超过阈值，则确定目标员工拥有第一职位对应的权限范围的时长为预设时长。

在一个示例中，系统判断离职状态的核算员职位，首先调用职位级别模块计算与目标员工的职位级别差为2级，此差值未超过预设阈值3级。然后系统调用个人信息模块，判断目标员工的履历显示其参与过与核算相关的财务核算系统升级项目。根据规则，目标员工曾参与过与核算职位关联项目，则确定目标员工持有核算员职位权限的第二时长为永久时长。

如果目标员工未参与相关项目，系统将调用项目信息模块，获取目标员工当前待完成的项目阶段及预计时长，如目标员工承接了本月财务报表项目，预计完成时间为1个月，则目标员工持有核算员权限的第二时长将设定为1个月。

假设目标员工李某的当前职位级别为助理，级别代码为A3，离职职位核算员的级别代码为A5，二者级别差为A5-A3=2级。系统预设的级别差阈值是3级。那么本案例中，李某与核算员的级别差2级未超过阈值3级。系统判断李某的个人简历显示，他曾参与过一个与核算工作相关的财务系统升级项目，根据预设规则，李某有与核算职位关联的项目经历，则李某可以永久持有核算员职位的权限范围。

S104，结合第一权限范围和第一时长，预测目标员工的可能操作行为，对目标员工的可能操作行为进行评估，得到评估结果。

在一个示例中，在确定目标员工的第一权限范围和第一时长后，系统需要评估目标员工在此权限范围和时长下的可能操作行为，以判断其行为风险。为实现这一目的，系统调用员工行为模块，获取目标员工的个人资质数据和操作习惯数据。系统综合目标员工的个人数据、第一权限范围及第一时长，通过智能推理技术预测目标员工的可能操作行为，如批准特定金额的付款等。然后，系统调用风险规则模块判断这些可能行为是否触发预设的安全事件，如欺诈风险、数据泄露风险等。若可能行为触发安全事件，系统会统计事件数量和安全等级，根据事件数量和安全等级进行安全评分。最终，系统根据安全评分判断目标员工的操作风险水平，得到评估结果。通过这种对员工可能行为的预测评估，系统实现了权限管理的智能化和精细化，能够动态调整权限设置，降低操作风险。

例如，系统获取到目标员工李某的个人资质数据显示其具有金融专业背景和良好的职业道德。李某的历史操作数据显示其每次批准付款都会严格按照标准操作流程。系统预测在当前的第一权限范围和时长下，李某可能会批准一笔10万元的付款申请。然后系统判断该可能操作行为是否会触发预设的安全事件。根据系统设置的风险规则，10万元以下的付款申请在李某的第一权限范围内，不会触发欺诈风险事件。因此，系统评估李某该项可能操作行为是安全的。

在一个可行的示例中，作为一个可选的实施例，在S104中：结合第一权限范围和第一时长，预测目标员工的可能操作行为，对目标员工的可能操作行为进行评估，得到评估结果具体包括：

获取目标员工的个人资质数据和操作习惯数据；结合目标员工的个人资质数据和操作习惯数据、第一权限范围及第一时长，预测目标员工的可能操作行为，判断可能操作行为是否触发预设的安全事件；若可能操作行为未触发预设的安全事件，则确定评估结果为安全；若可能操作行为触发预设的安全事件，则统计目标员工触发的预设安全事件的数量和安全等级，根据预设安全事件的数量和安全等级，进行安全评分；根据安全评分，确定评估结果为安全或不安全。

在一个示例中，个人资质数据是指反映目标员工个人能力和素质的相关背景信息，可以包括：教育背景：目标员工的学历、专业等教育信息；工作经历：目标员工的工作年限和职业变迁情况；培训记录：目标员工参加的培训和获得的证书；技能特长：目标员工擅长的专业技能等；绩效考核：目标员工的工作表现和能力评估结果等。

操作习惯数据是指目标员工日常工作中的操作行为信息，可以包括：系统操作记录：操作类型、操作内容、操作频次等日志；异常操作：违规操作次数及处理结果等信息；操作评分：目标员工操作的规范性评估结果；操作偏好：目标员工喜好进行的操作类型分析；综合这两类数据可以全面反映目标员工的个人能力、工作态度和行为习惯，有助于评估其操作安全风险。系统会根据目标员工可能的操作行为，判断这些行为是否会触发预设的安全事件。

如果可能触发安全事件，系统会统计触发的安全事件数量和事件的安全等级。安全等级可以预设为高、中、低三个级别。系统可以根据下面的规则进行评分：高安全等级事件的每个数量计1分，中安全等级事件的每个数量计0.5分；低安全等级事件的每个数量计0.1分。将所有可能触发事件的分值相加，得到风险评分。根据评分结果，如果分值高于预设阈值，比如超过5分，则评估结果为不安全，反之则为安全。

对于目标员工李某，系统调用个人信息模块，获取李某的教育背景为财务专业，工作表现积极主动。调用历史操作模块，李某的审批操作均为标准流程，未发生异常。

系统预测在李某当前的第一权限范围(查询财务数据，核算薪资)和第一时长(6个月)下，李某可能提交一次核算10万元的离职员工薪资支付申请。

然后系统匹配规则库，判断10万元以下的离职薪资核算申请未触发“离职欺诈”预设安全事件。因此系统评估李某在当前权限和时长下的操作风险为安全。如果李某预测行为匹配到“离职事件”，系统将统计事件数量为1次，安全级别为中，根据评分规则确定李某操作风险为不安全。该方案可以预测员工操作风险，实现精细化的动态权限管理，既保证工作效率，又降低了操作违规风险。

S105，根据评估结果，对第一权限范围和/或第一时长进行修正，确定可分配给目标员工的最终权限范围和最终权限时长。

在一个示例中，在评估完成目标员工的可能操作行为后，系统需要根据评估结果来修正目标员工的权限范围和时长设置，确定其最终的权限分配方案。例如，如果评估结果显示目标员工的操作风险处于中等水平，系统将调用风险级别模块，获取对应风险级别的权限调整规则。然后，系统根据这些调整规则，相应缩减目标员工的第一权限范围和时长，如减少特权类权限，缩短时长至一个月。经过修正后，系统即可确定目标员工可分配的最终权限范围和时长。

这样的修正处理可以动态调整权限分配方案，针对不同风险级别量身定制权限设置，既满足工作需求，也保证了操作安全。而不是简单地根据员工级别和空缺职位进行静态分配，实现了精细化和智能化的权限管理。最终，系统将定制后的权限范围和时长分配给目标员工李某，完成精准的动态权限分配。

假设通过前面的评估，系统判断目标员工李某的操作风险属于中等水平。李某的第一权限范围包括：查阅员工个人信息、审批部门内员工请假及审批部门内采购单(10万元以下)，第一时长为2个月。

针对此评估结果，系统调用风险级别模块，获取中等风险对应的权限调整规则：特权类权限可缩减至原有50%，权限持有时长可缩短至原有时长的60%。于是系统根据上述规则，确定李某的最终权限范围和时长：权限范围：查阅员工个人信息、审批部门内员工请假及审批部门内采购单(5万元以下)，时长：1.2个月。通过修正第一权限范围中的特权"审批采购单"金额并缩短时长，完成了针对李某的中等风险水平量身定制的权限设置，实现了精细化和动态化的权限管理。

S106，将最终权限范围和最终权限时长分配至目标员工。

在一个示例中，在确定了目标员工的最终权限范围和最终权限时长后，系统需要将这一定制的权限方案正式分配给目标员工，完成精准的动态权限分配。为实现这一目的，系统将调用权限分配模块，并作为输入传递目标员工的员工标识、最终权限范围及最终时长参数。权限分配模块接收到这些参数后，会访问系统权限库，检查目标员工当前的权限设置，并按照本次分配方案进行权限的新增、调整和删除操作。在权限分配完成后，模块会反馈一个确认消息。

至此，系统成功为目标员工动态配置了一套定制的权限方案。这套权限设置既满足了目标员工的工作需求，也在时间和范围上进行了适当约束，控制了操作风险。相比传统的基于员工级别和职位进行静态分配的方式，本方案实现了更智能、动态和精确的权限管理。

基于上述方法，本申请还公开了一种权限管理装置，如图2所示，图2是本申请实施例提供的一种权限管理装置的结构示意图。

一种权限管理装置，包括：所述装置包括：响应模块、比对模块、获取模块、结合模块、评估模块及分配模块；其中，响应模块，用于响应目标员工发送的权限请求，获取目标员工的个人信息，根据个人信息，确定权限请求中对应的至少一个目标空缺职位；比对模块，用于比对目标员工的职位与各目标空缺职位的职位大小，得到比对结果，根据比对结果，确定目标员工可分配的第一权限范围；获取模块，用于获取各目标空缺职位的异常状态，根据异常状态，确定目标员工拥有第一权限范围的第一时长；结合模块，用于结合第一权限范围和第一时长，预测目标员工的可能操作行为，对目标员工的可能操作行为进行评估，得到评估结果；评估模块，用于根据评估结果，对第一权限范围和/或第一时长进行修正，确定可分配给目标员工的最终权限范围和最终权限时长；分配模块，用于将最终权限范围和最终权限时长分配至目标员工。

需要说明的是：上述实施例提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置和方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

请参见图3，为本申请实施例提供了一种电子设备的结构示意图。如图3所示，所述电子设备1000可以包括：至少一个处理器1001，至少一个网络接口1004，用户接口1003，存储器1005，至少一个通信总线1002。

其中，通信总线1002用于实现这些组件之间的连接通信。

其中，用户接口1003可以包括显示屏（Display）、摄像头（Camera），可选用户接口1003还可以包括标准的有线接口、无线接口。

其中，网络接口1004可选的可以包括标准的有线接口、无线接口（如WI-FI接口）。

其中，处理器1001可以包括一个或者多个处理核心。处理器1001利用各种接口和线路连接整个服务器内的各个部分，通过运行或执行存储在存储器1005内的指令、程序、代码集或指令集，以及调用存储在存储器1005内的数据，执行服务器的各种功能和处理数据。可选的，处理器1001可以采用数字信号处理（Digital Signal Processing，DSP）、现场可编程门阵列（Field-Programmable Gate Array，FPGA）、可编程逻辑阵列（ProgrammableLogic Array，PLA）中的至少一种硬件形式来实现。处理器1001可集成中央处理器（CentralProcessing Unit，CPU）、图像处理器（Graphics Processing Unit，GPU）和调制解调器等中的一种或几种的组合。其中，CPU主要处理操作系统、用户界面和应用程序等；GPU用于负责显示屏所需要显示的内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器1001中，单独通过一块芯片进行实现。

其中，存储器1005可以包括随机存储器（Random Access Memory，RAM），也可以包括只读存储器（Read-Only Memory）。可选的，该存储器1005包括非瞬时性计算机可读介质（non-transitory computer-readable storage medium）。存储器1005可用于存储指令、程序、代码、代码集或指令集。存储器1005可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令（比如触控功能、声音播放功能、图像播放功能等）、用于实现上述各个方法实施例的指令等；存储数据区可存储上面各个方法实施例中涉及的数据等。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图3所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及一种权限管理方法的应用程序。

在图3所示的电子设备1000中，用户接口1003主要用于为用户提供输入的接口，获取用户输入的数据；而处理器1001可以用于调用存储器1005中存储一种权限管理方法的应用程序，当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。

一种电子设备可读存储介质，所述电子设备可读存储介质存储有指令。当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必需的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所披露的装置，可通过其他的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口，装置或单元的间接耦合或通信连接，可以是电性或其他的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备（可为个人计算机、服务器或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括：U盘、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述者，仅为本公开的示例性实施例，不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰，皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践这里的公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的范围和精神由权利要求限定。

Claims (10)

1.一种权限管理方法，其特征在于，所述方法包括：

响应目标员工发送的权限请求，获取所述目标员工的个人信息，根据所述个人信息，确定所述权限请求中对应的至少一个目标空缺职位；

比对所述目标员工的职位与各所述目标空缺职位的职位大小，得到比对结果，根据所述比对结果，确定所述目标员工可分配的第一权限范围；

获取各所述目标空缺职位的异常状态，根据所述异常状态，确定所述目标员工拥有所述第一权限范围的第一时长；

结合所述第一权限范围和所述第一时长，预测所述目标员工的可能操作行为，对所述目标员工的可能操作行为进行评估，得到评估结果；

根据所述评估结果，对所述第一权限范围和/或所述第一时长进行修正，确定可分配给所述目标员工的最终权限范围和最终权限时长；

将所述最终权限范围和所述最终权限时长分配至所述目标员工。

2.根据权利要求1所述的权限管理方法，其特征在于，所述根据所述个人信息，确定所述权限请求中对应的目标空缺职位，包括：

根据所述个人信息，确定所述目标员工发送的权限请求所关联的至少一个

职位；

判断所述至少一个职位中是否存在空缺职位；

若所述至少一个职位中存在所述空缺职位，则确定所述空缺职位为所述目标空缺职位。

3.根据权利要求1所述的权限管理方法，其特征在于，所述比对所述目标员工的职位与各所述目标空缺职位的职位大小，得到比对结果，根据所述比对结果，确定所述目标员工可分配的第一权限范围，包括：

判断各所述目标空缺职位中是否存在职位级别不大于所述目标员工的职位级别的第一目标空缺职位；

若各所述目标空缺职位中存在职位级别不大于所述目标员工的职位级别的第一目标空缺职位，则将所述第一目标空缺职位的全部权限范围确定为所述目标员工的权限范围；

判断各所述目标空缺职位中是否存在职位级别大于所述目标员工职位级别的第二目标空缺职位；

若各所述目标空缺职位中存在职位级别大于所述目标员工职位级别的第二目标空缺职位，则获取所述第二目标空缺职位对应的权限范围；

确定所述第二目标空缺职位的权限范围中对应权限范围为所述目标员工的权限范围；

将所述第一目标空缺职位的全部权限范围和所述第二目标空缺职位的权限范围中对应权限范围合并，得到所述目标员工可分配的第一权限范围。

4.根据权利要求1所述的权限管理方法，其特征在于，所述异常状态包括离职状态和请假状态，所述根据所述异常状态，确定所述目标员工拥有所述第一权限范围的第一时长，包括：

若存在所述异常状态为所述离职状态的第一职位，则获取所述目标员工的个人数据，根据所述目标员工的个人数据，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长；

若存在所述异常状态为所述请假状态的第二职位，则获取所述第二职位对应人员的请假时长，将所述请假时长作为所述目标员工拥有所述第二职位的权限范围的第三时长；

将所述第二时长和所述第三时长进行算数相加，得到所述第一时长。

5.根据权利要求4所述的权限管理方法，其特征在于，所述若存在所述异常状态为所述离职状态的第一职位，则获取所述目标员工的个人数据，根据所述目标员工的个人数据，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长，包括：

判断所述目标员工的职位级别是否大于所述第一职位的职位级别，若所述目标员工的职位级别大于所述第一职位的职位级别，则确定所述目标员工拥有所述第一职位对应的权限范围的第二时长为永久时长；

若所述目标员工的职位级别不大于所述第一职位的职位级别，则获取所述目标员工的职位级别和所述第一职位的职位级别差；

根据所述职位级别差，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长。

6.根据权利要求5所述的权限管理方法，其特征在于，所述根据所述职位级别差，确定所述目标员工拥有所述第一职位对应的权限范围的第二时长，包括：

若所述职位级别差未超过阈值，则根据所述目标员工的个人数据，判断所述目标员工是否参与过与所述第一职位关联的关联项目；

若所述目标员工参与过与所述第一职位关联的关联项目，则确定所述目标员工拥有所述第一职位对应的权限范围的第二时长为永久时长；

若所述目标员工未参与过与所述第一职位关联的关联项目，则确定所述目标员工拥有所述第一职位对应的权限范围的权限时长为预设时长，所述预设时长为所述目标员工完成待完成项目的预计时长；

若所述职位级别差超过所述阈值，则确定所述目标员工拥有所述第一职位对应的权限范围的时长为所述预设时长。

7.根据权利要求1所述的权限管理方法，其特征在于，所述结合所述第一权限范围和所述第一时长，预测所述目标员工的可能操作行为，对所述目标员工的可能操作行为进行评估，得到评估结果，包括：

获取所述目标员工的个人资质数据和操作习惯数据；

结合所述目标员工的个人资质数据和操作习惯数据、所述第一权限范围及所述第一时长，预测所述目标员工的可能操作行为，判断所述可能操作行为是否触发预设的安全事件；

若所述可能操作行为未触发预设的安全事件，则确定所述评估结果为安全；

若所述可能操作行为触发预设的安全事件，则统计所述目标员工触发的所述预设安全事件的数量和安全等级，根据所述预设安全事件的数量和安全等级，进行安全评分；

根据所述安全评分，确定所述评估结果为安全或不安全。

8.一种权限管理装置，其特征在于，所述装置包括：响应模块、比对模块、获取模块、结合模块、评估模块及分配模块；其中，

所述响应模块，用于响应目标员工发送的权限请求，获取所述目标员工的个人信息，根据所述个人信息，确定所述权限请求中对应的至少一个目标空缺职位；

所述比对模块，用于比对所述目标员工的职位与各所述目标空缺职位的职位大小，得到比对结果，根据所述比对结果，确定所述目标员工可分配的第一权限范围；

所述获取模块，用于获取各所述目标空缺职位的异常状态，根据所述异常状态，确定所述目标员工拥有所述第一权限范围的第一时长；

所述结合模块，用于结合所述第一权限范围和所述第一时长，预测所述目标员工的可能操作行为，对所述目标员工的可能操作行为进行评估，得到评估结果；

所述评估模块，用于根据所述评估结果，对所述第一权限范围和/或所述第一时长进行修正，确定可分配给所述目标员工的最终权限范围和最终权限时长；

所述分配模块，用于将所述最终权限范围和所述最终权限时长分配至所述目标员工。

9.一种电子设备，其特征在于，包括处理器、存储器、用户接口及网络接口，所述存储器用于存储指令，所述用户接口和网络接口用于给其他设备通信，所述处理器用于执行所述存储器中存储的指令，以使所述电子设备执行如权利要求1-7任意一项所述的方法。

10.一种计算机可读存储介质，其特征在于，存储有能够被处理器加载并执行如权利要求1-7任意一项所述的方法的计算机程序。