一、经典权限管理模型
1.自主访问控制DAC模型
自主访问控制DAC模型是指权限拥有者可根据自己的意愿自行授予或者通过传递授予又或者回收权限给他者。
DAC两大特点:
(1)自主性,用户可以按照自我意愿传递支配其拥有的访问权限。
(2)传递性,可以自行决定将其访问自主权传递给其他用户。如初始状态,仅仅用户A拥有O资源的操作权限,用户B和用户C没有;此时用户A将此权限授权给用户B,后用户B便拥有和用户A拥有一样的O资源访问权,与此同时用户B也具备了自由支配权,亦可以由用户B将此访问权限分配给用户C,这样用户A、B、C同时具有了O资源的访问权限。
2.强制性访问控制MAC模型
强制性访问控制MAC模型,是指基于不同信息资源采用不同层次的安全访问策略,系统管理员或操作系统按照规则为访问者和被访问系统资源分配不同安全级别并贴上不同的敏感标签。当访问者提出对某被访问系统资源的访问请求时,首先对比分析两者的安全级别,再判定访问者可否访问该系统资源,再对其进行何操作,这样就实现了信息的单向流通,充分保障系统客体资源的安全完整不泄露,有效预防相应的非法越权和篡改等行为发生。
3.基于角色的权限管理RBAC
基于角色的权限管理RBAC模型,采用了用户-角色-权限三层结构模型,引入了角色概念,具体表示公司内部员工在系统中的职能分工,一定数量权限的集合,担任着桥梁一角,中间媒介的作用;同时新提出了“会话”概念,它表示角色集和用户集之间的一个映射,其中会话和用户之间属于多对多关系。RBAC模型如图1.1所示。
图1.1 基于角色的模型示意图
4.基于任务的访问控制
基于任务的访问控制TBAC模型DAC、MAC和RBAC显然不太适用于工作流管理系统,因为随着工作流任务的执行,操作人以及对应权限随之变动。DAC和MAC很难做到这一点,而RBAC则需要频繁更换角色,这就迫使我们必须考虑新的访问控制,也就是TBAC(Task Based Access Control)。TBAC模型,引入了新概念“任务”,可动态实时授权;同时与项目运行状态有关,状态不同,对应授予的权限亦不同。TBAC模型模型如图1.2所示。
图1.2 基于任务的访问控制模型示意图
二、PDM系统对数据权限管理的实现方式
PDM系统对于权限的管理方式主要是基于角色的管理和基于任务的访问控制。
基于角色的管理方式,是对角色赋予一定的静态权限,这种权限的控制方式相对于自主访问控制,更有利于对权限进行控制,使数据的安全性得到保障。相对于强制性访问控制授权更加灵活,对于授权频繁变动的系统可以减少很多系统管理员的工作量。此外,可以根据实际工作需要给用户最小的必需权限,避免权限过大对数据安全带来的不利。
在PDM系统中主要是通过策略管理器来实现基于角色的管理,这主要取决于五个要素:角色、数据类型、数据的状态、数据存放位置、权限,通过这五个要素的不同组合,实现对不同角色赋予不同的权限,具体如图2.1所示。
图2.1 静态权限的五个要素关系图
基于任务的访问控制在PDM系统中主要是通过生命周期管理(具体如图2.2所示)和工作流管理来进行实现的,即通过程序直接对指定的用户针对当前的对象赋予读取、更改的权限,由于这种权限是动态的,所以当签审过后其被赋予的权限会被系统收回,从而实现了实时授权。
图2.2 生命周期管理示意图
三、企业对EPM数据的权限管理
现在的企业面临着激烈的竞争,企业需要在短时间内不断推出新的产品;另外,市场对产品的价格高度敏感,那么研发成本的控制就显得格外重要。
缩短产品开发周期、减少产品的成本,一个很重要的方式就是在产品的开发过程中更多的选择借用以往开发机型的零部件、标准件或者通用件,这就需要尽可能把零部件的借用权限赋予给更多的设计员。但是与此同时还要考虑以下的问题:
(1)如何满足涉及企业核心技术零部件的保密需求;
(2)如何避免设计员借用未受控的数据;
(3)不同的开发机型项目,成员、项目经理都不相同,如何满足不同项目组成员的权限需求,同时不增加系统管理员的工作负担。
其实,针对这些问题可以通过策略管理器中五个要素的进行组合解决各种权限要求。根据需要,可以对五个要素进行如下分类:
(1)数据类型:按照数据类型分为EPM文档和Part;
EPM文档:三维软件通过与PDM系统的集成,可以将通过其所绘制的三维模型和二维工程图上传至PDM系统,该类文件称之为EPM文档。
Part:Part又被称之为部件,不仅可以体现物料的属性,同时可以表示该零部件与其他零部件之间的上下级关系。
(2)数据状态:按照状态可以分为正在工作(表示数据还没有走签审流程),正在审阅(表示数据在签审的过程中),已受控(表示数据已完成签审并受控);
(3)存储位置:按照存储位置可以新建三类产品库:通用件库、公用产品库、项目保密库;
(4)操作权限:按照权限分为创建、读取、下载、修订、移动、更改权限;
(5)用户角色:按照角色可以分为项目经理、项目成员、借用人员。对产品经理赋予管理权限(即移除和添加团队成员及借用人员的权限),对项目成员角色赋予读取+下载+修订+创建的权限(即创建、读取、下载和修订产品库数据的权限),对于借用人员角色赋予借用已发放数据的权限。
对于比较成熟且经常被借用的数据一律放到通用件库,然后把有可能用到这些数据的设计员都加到“借用人员”角色,从而保证数据方便更多的人借用;把专门负责通用件管理的人员添加到“项目经理”角色,通过对不同角色的调整来实现通用件库中数据修订权限的开通和收回。
而对于保密的数据,可以根据需要新建多个项目保密库,把项目负责人添加到“产品经理”角色,项目经理根据实际需要把必要人员加入到“项目成员”角色中以方便项目组成员检入和修改数据,而且项目负责人可以根据实际需要对“成员”角色进行调整,从而保证保密数据的安全性。
四、小结
权限管理是企业在PDM系统使用过程中所无法回避的一个难题,如果对权限的管理过严则影响数据的查看和借用,但是如果过松又会有肯能导致保密数据泄密,这不仅涉及到静态权限设置,而且涉及到动态权限设置。本文首先对权限管理的经典模型及PDM系统中权限管理方式进行了介绍,另外企业的具体需求对静态权限设置提出了可行的方案。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:PDM系统权限管理方式及在企业应用的研究
相关文章
