基于B/S的航空科研计划管理系统安全权限管理方案

摘 要：基于B/S架构的航空科研计划管理系统是针对航空科研项目开发，能够实现型号研制项目的全生命周期管理，因此系统的安全权限管理功能非常重要。本文给出了某航空科研计划管理系统的安全权限管理模块设计方案。

关键词：安全权限管理；安全配置；三员管理；安全策略；安全审计

中图分类号：TP311 文献标识码：A

1 引言

航空科研计划管理系统是一个基于J2EE采用B/S模式开发的企业应用系统，该系统被用来实现型号项目范围管理、多级计划管理、项目进度监控与分析等管理功能。在系统的整体架构里，安全权限管理模块是其中非常重要的一个环节。安全权限管理模块是企业应用系统里不可缺少的一部分，大部分的Web系统在开发时首先要考虑的问题就是系统安全和企业资源的访问控制策略――权限管理。设计实现一个灵活配置、耦合度低、能有效管理复杂资源的安全权限管理模块具有重要的意义。

2 安全管理模块

2.1安全配置。安全配置是系统权限控制体系中的记录级控制手段，是用来控制用户对其存取范围的数据操作权限，类似于控制具体的操作按钮，如增加、删除、查看等操作。分为全局安全配置和项目安全配置。全局安全配置是用来控制模块级的操作按钮，项目安全配置是用来数据记录的操作按钮。全局安全配置：该配置决定用户对公共（非项目级）范围内数据的存取权限。如EPS结构、联系单位、新闻管理、各类模板等基础数据。每个用户只允许分配唯一全局安全配置。项目安全配置：该配置决定用户对项目相关信息的存取权限。如合同、文档、招标计划等项目级数据。每个用户可以参与多个项目，在不同的项目中又担任着不同的角色或岗位，由此可为用户在不同的项目里分配唯一项目安全配置。

2.2 三员管理。三员管理是指对系统管理员、安全管理员、安全审计员的管理。本系统安全管理的用户登记权、用户权限配置权、用户权限审批权是分别属于系统管理员、安全管理员、安全审计员的，三员管理是本系统的安全基础。除了可为用户直接授权外，还可以通过角色为用户间接授权。根据组织机构内的不同存取需求，规划多个管理角色并将所有用户以合理的角色进行分组，然后将功能级、范围级权限授予角色，从而让角色组内的用户自动继承角色的权限。可为用户分配多个角色，用户即可继承所有角色的权限。角色授权机制可简化管理员的授权过程，它只适用于功能级、范围级两级权限许可控制，操作级权限中的安全配置只能直接授予用户。系统管理采用系统管理员、安全审计员和安全管理员“三员”分立的方式，具体应满足以下要求：系统管理员、安全审计员和安全管理员应为内置账号，不可更改权限、不可删除、但可以改名；负责生成用户账号；安全审计员：负责审计系统管理员和安全管理员（预生成，不可更改权限、不可删除、可以改名）；安全管理员：负责为用户赋权，并进行其他管理操作。

2.3 安全策略。安全策略是对用户登录系统执行强制性安全控制的模块。该模块由安全管理员控制。安全策略分为“密码策略”和“用户登录策略”。密码策略：强制用户的安全设置符合企业信息安全标准。在密码长度文本框中输入要求用户设置的最短密码长度，如果用户设置的密码长度不足，系统将提示用户并拒绝接受新密码；在新旧密码差异文本框中输入最小字符差异值，如果用户新设的密码与旧密码字符差异不足，系统将提示用户并拒绝接受新密码；设定密码有效期，首先选择密码有效期的时间单位（周、月、季、年），然后填入时间数量值，比如时间单位为周，事件数量值为4，那么用户使用一个密码4周后系统将不再允许再使用该密码登录；在“密码更新提前提醒（天）”文本框中输入数值（比如10），那么系统在用户密码使用时间达到有效期之前10天便开始在用户登录系统时提醒用户更改密码。用户登录策略：拒绝错误登录尝试、拒绝陌生用户。在“连续登录锁定账户次数”后的文本框中输入允许用户以错误的密码尝试登录的最大次数，当用户试登陆失败超过这个次数后，系统将锁定该用户。被锁定的用户账户必须由安全管理员、安全审计员经过授权流程才能解锁。在“在用户没有使用系统达到设定值后，系统将自动锁定账号”后的文本框输入设定天数，比如30，则当用户没有使用系统的时间累计达到设定天数后，系统便认为该用户为陌生用户并自动锁定该账户，锁定账户必须由安全管理员、安全审计员经过授权流程才能解锁。

2.4 安全审计机制。对用户具有审计机制，包括对以下信息的审计：用户密码修改、用户对信息的访问、用户对信息的操作（建立、删除、修改、分发、接收、输出等）。审计的内容需包括：时间、用户、事件类型、事件结果（成功/失败）等。审计信息不可修改、不可手动删除。安全审计员对安全管理员提交的授权任务审查并批准的功能模块，所以必须以安全审计员身份登录才能操作。安全审计员对安全管理员的操作行为进行审计，主要指系统安全相关的工作，包括用户角色授权、组件模块授权、责任范围分配、安全配置分配、安全策略实施等的审计。

结语

航空科研计划管理系统是涉及到国家秘密及商业秘密的计划进度控制管理系统，因此安全权限管理尤为重要。安全权限管理是航空科研计划管理系统安全性的基本保证，是必不可少的重要模块。本文提出的安全权限管理方案应用于我单位科研计划管理系统，保障了科研计划管理系统运行的安全性。

参考文献

[1]朱波，邹永林.管理信息系统中权限控制方案与实现[J].微型电脑应用，2001（10）：63-64.

[2]刘金才.SAP系统安全机制及应用[J].电脑知识与技术，2014（33）.

[3]莫乐群，姚国祥.基于J2EE的B/S系统的权限控制设计[J].计算机工程，2015（10）：84-86.

作者简介：金捷（1984.5-）工作单位：沈阳飞机设计研究所。性别：女，学历：硕士研究生，职称：工程师，研究方向：综合管理系统设计。