本發(fā)明提出一種用于矩陣化管理的多維權(quán)限模型設(shè)計(jì)方法，包括以下步驟：系統(tǒng)管理員通過信息管理對象對用戶或角色授予信息權(quán)限：啟用信息管理對象后，系統(tǒng)管理員對用戶或角色進(jìn)行信息訪問權(quán)限授權(quán)，并將元數(shù)據(jù)字段與管理對象進(jìn)行綁定；在元數(shù)據(jù)中，定義信息資源的可訪問范圍，將信息資源的一個(gè)數(shù)據(jù)類型與信息資源對象綁定；系統(tǒng)管理員在授權(quán)界面，對用戶或角色的每個(gè)信息管理對象授予可訪問的數(shù)據(jù)范圍權(quán)限，通過設(shè)定信息管理對象值或條件來控制可訪問資源的范圍。本發(fā)明既能處理業(yè)務(wù)單據(jù)縱向垂直管控，又能處理業(yè)務(wù)單據(jù)的橫向業(yè)務(wù)協(xié)同，以信息管理對象作為信息權(quán)限控制維度，通過信息管理對象的信息資源授權(quán)，方便、快捷、準(zhǔn)確地控制信息權(quán)限。

技術(shù)領(lǐng)域

本發(fā)明涉及權(quán)限管理技術(shù)領(lǐng)域，尤其是一種用于矩陣化管理的多維權(quán)限模型設(shè)計(jì)方法。

背景技術(shù)

傳統(tǒng)權(quán)限管理方法1：權(quán)限就是系統(tǒng)（或組織）賦予特定的用戶對信息資源（或?qū)ο螅┚哂幸欢ú僮鳈?quán)利（或職能）；例如企業(yè)賦予某采購員具有采購物資的權(quán)利，即系統(tǒng)賦予某用戶具有編制采購計(jì)劃、錄入采購訂單、接收采購物資、向供應(yīng)商付款的權(quán)利。具體實(shí)現(xiàn)方法就是：分別定義用戶對信息資源的操作權(quán)限；這是信息系統(tǒng)數(shù)據(jù)安全的最重要的基礎(chǔ)之一。

但是，由于系統(tǒng)管理員需要對所有用戶的所有可操作的所有的信息資源都要單獨(dú)賦權(quán)，工作量十分龐大；

傳統(tǒng)權(quán)限管理方法2：在國際上引入了角色的感念；角色就是一組對特定信息資源可操作的權(quán)限；例如，采購員角色就是可以操作，編制采購計(jì)劃、錄入采購訂單、接收采購物資、向供應(yīng)商付款的權(quán)利（相當(dāng)于采購員的職責(zé)），這樣系統(tǒng)只要賦予某用戶是采購員角色，他就有了采購員角色的所有權(quán)限。具體實(shí)現(xiàn)方法就是：（1）定義角色；（2）將用戶與角色綁定。雖然這種方法大大減輕了管理員的賦權(quán)工作量，但是該方法存在的主要問題是只能解決系統(tǒng)中的功能權(quán)限（職能），無法解決針對機(jī)電采購員只能操作他自己管轄的機(jī)電類物資的采購，同時(shí)需限制其不允許查看或操作其它物資采購員的采購信息；這就是，還要有信息權(quán)限；

傳統(tǒng)權(quán)限管理方法3：信息權(quán)限就是用戶在系統(tǒng)中只能被賦予對特定信息資源中，其中一部分按某個(gè)控制點(diǎn)限定范圍的信息，所具有操作的權(quán)限。具體實(shí)現(xiàn)方法就是：（1）定義信息資源的控制點(diǎn)，如業(yè)務(wù)單據(jù)（銷售訂單、采購單等）中的公司、部門、個(gè)人、客戶、供應(yīng)商等；（2）限定對控制點(diǎn)信息資源的可操作范圍（沒有明確限定即視為全部有效），例如采用SQL語句按限定條件或取值分為過濾出細(xì)分的信息資源；（3）定義可對細(xì)分信息資源可操作的角色（權(quán)限）；（4）將用戶與角色綁定。

現(xiàn)有的信息權(quán)限實(shí)現(xiàn)存在的最大問題是：

（1）信息隔離規(guī)則的定義過于復(fù)雜，對管理員的技能要求高；

（2）信息隔離規(guī)則定義不直觀，不易方便地跟蹤賦權(quán)中的錯(cuò)誤，存在較高的信息泄露風(fēng)險(xiǎn)；

（3）通過SQL語言對數(shù)據(jù)過濾處理的時(shí)間超長時(shí)，導(dǎo)致系統(tǒng)的性能顯著下降，大大降低了用戶操作的體驗(yàn)感；

（4）需要權(quán)限控制的信息資源較多時(shí)，例如復(fù)雜多樣的業(yè)務(wù)單據(jù)，管理員賦權(quán)的工作量仍然十分龐大。

發(fā)明內(nèi)容

本發(fā)明解決了上述問題，提出一種在矩陣式組織模式下既能處理業(yè)務(wù)單據(jù)縱向垂直管控，又能處理業(yè)務(wù)單據(jù)的橫向業(yè)務(wù)協(xié)同的問題的多維權(quán)限控制模型的方法，以信息管理對象作為信息權(quán)限控制維度，通過“信息管理對象”的信息資源授權(quán)，達(dá)到方便、快捷、準(zhǔn)確的信息權(quán)限控制目的。

為實(shí)現(xiàn)上述目的，提出以下技術(shù)方案：

一種用于矩陣化管理的多維權(quán)限模型設(shè)計(jì)方法，包括以下步驟：

A、系統(tǒng)管理員通過信息管理對象對用戶或角色授予信息權(quán)限：

啟用信息管理對象后，系統(tǒng)管理員對用戶或角色進(jìn)行信息訪問權(quán)限授權(quán)，并將元數(shù)據(jù)字段與信息管理對象進(jìn)行綁定；