一种企业级信息系统权限管理系统

本发明涉及信息技术领域，具体涉及一种企业级信息系统权限管理系统。

南方电网有限责任公司（以下简称“南网公司”）从2014年开始全网逐步推广企业 级信息系统，主要实现对企业级信息系统统一账号管理、统一认证管理、统一授权管理、统 一审计管理(即4A)的管理。实现账号、口令的单一化，满足了企业级信息系统在信息安全上 的需求。

但是随着公司业务的不断发展，人员规模越来越大，人员的岗位调动也越来越多， 越来越频繁。在发生人员岗位调动时，需要通过4A平台进行权限的调整。因此4A平台的系统 管理员需要频繁地进入4A平台对应的业务系统模块进行权限角的调整，以满足各业务系 统权限的调整符合人员对应岗位的调动。由于4A平台针对各业务系统权限配置功能互相独 立，业务逻辑繁杂，无申请、审批环节，经常导致4A平台的系统管理员配置错误。

为了解决上述问题，本发明提供了一种企业级信息系统权限管理系统，具体技术 方案如下：

一种企业级信息系统权限管理系统包括事项待办模块、岗位信息管理模块、权限申请 管理模块、操作日志管理模块、接口服务模块；所述待办事项模块用于根据当前登陆用户所 在流程节点，显示当前用户的待办事项；所述岗位信息管理模块用于实现岗位信息管理、岗 位信息多维度查询、岗位信息数据导出；所述权限申请管理模块实现人员权限配置的申请、 审批、发布；所述操作日志管理模块实现操作日志管理、操作日志纪录和操作日志多维度统 计；所述接口服务模块用于企业级信息系统权限管理系统与4A平台实现数据交互；所述事 项待办模块、岗位信息管理模块、权限申请管理模块、操作日志管理模块分别与接口服务模 块连接。

进一步，所述事项待办模块包括关键字查询单元、消息内容查询单元、已办事项显 示单元。

进一步，所述岗位信息管理模块包括人员权限申请流程单元、业务岗位权限管理 单元；所述业务岗位权限管理单元用于实现岗位管理、关联业务岗位、业务岗位管理、业务 岗位权限配置、业务岗位权限对比、业务岗位互斥组管理、敏感资源管理、新增人员基础数 据维护。

进一步，所述权限申请管理模块包括权限申请单元、流程管理单元；所述权限申请 单元用于发起权限变更流程并进行审批、查看、查询和统计；所述流程管理单元用于审查 看、撤回或者向AA平台发布权限变更流程；所述权限变更流程包括岗位变更申请、岗位注销 申请、岗位借调申请、提前取消岗位借调申请、组织机构变更申请、4A帐号申请、标准外权限 需求申请。

进一步，所述权限申请单元包括会签流程或者敏感信息流程。

进一步，所述操作日志记录包括纪录用户登录时间、用户姓名、账号、IP地址、操作 页面操作内容。

进一步，所述接口服务模块通过运行服务总线与4A平台进行连接。

进一步，所述接口服务模块用于企业级信息系统权限管理系统与4A平台实现数据 交互，具体为：企业级信息系统权限管理系统通过接口服务模块从4A平台获取人员数据、系 统数据、角数据、部门数据、权限数据，并向4A平台发送权限变更结果；4A平台通过接口服 务模块向企业级信息系统权限管理系统提供人员数据、系统数据、角数据、部门数据、权 限数据，同时接收权限变更结果，令权限变更生效，并触发权限同步服务将该权限变更结构 同步至各个企业级信息系统。

进一步，所述接口服务模块包括获取4A平台中各业务系统基础数据的接口、获取 4A平台中各业务系统增量数据的接口、权限变更结果同步服务的接口；所述接口服务模块 包括获取4A平台中各业务系统基础数据的接口、获取4A平台中各业务系统增量数据的接口 皆采用POST的请求方法和UTF-8的编码方式。

进一步，所述企业级信息系统权限管理系统的技术架构为多层架构，具体包括展 示层、逻辑层、持久层、存储层，其中展示层为顶层，存储层为底层，展示层、逻辑层、持久层、 存储层依次连接。

本发明的有益效果为：

本发明提供了一种企业级信息系统权限管理系统，采用本发明可以梳理并建立企业级 信息系统岗位权限配置标准，同时固化了企业级信息系统权限申请、审核、配置的全过程闭 环管理工作流程，提高了配置岗位权限的效率，确保企业级信息系统权限管理工作的便捷、 准确、高效；大幅提升了企业级信息系统权限管理工作的质量，并节约了大量人力成本，实 现了企业级信息系统权限分配精益化管理。

图1为本发明的结构示意图；

图2为本发明的技术架构图。

为了更好的理解本发明，下面结合附图和具体实施例对本发明作进一步说明：

如图1所示，一种企业级信息系统权限管理系统包括事项待办模块、岗位信息管理模 块、权限申请管理模块、操作日志管理模块、接口服务模块。待办事项模块用于根据当前登 陆用户所在流程节点，显示当前用户的待办事项；岗位信息管理模块用于实现岗位信息管 理、岗位信息多维度查询、岗位信息数据导出；权限申请管理模块实现人员权限配置的申 请、审批、发布；操作日志管理模块实现操作日志管理、操作日志纪录和操作日志多维度统 计；接口服务模块用于企业级信息系统权限管理系统与4A平台实现数据交互；事项待办模 块、岗位信息管理模块、权限申请管理模块、操作日志管理模块分别与接口服务模块连接。

事项待办模块包括关键字查询单元、消息内容查询单元、已办事项显示单元，会根 据当前登陆用户所在流程节点，显示当前用户的待办事项，支持关键字和消息内容查询，支 持显示已办事项查看以及详细流程图查看功能。用户点击事项待办模块可进入权限变更流 程处理界面，用户可根据实际情况进行申请单的提交、回退、意见填写功能，表单（权限申请 单）的流程可定义。流程统一为：申请人-业务部门负责人-部门主任-管理员-申请人，每个 流程节点具有撤回功能。

岗位信息管理模块包括人员权限申请流程单元、业务岗位权限管理单元；业务岗 位权限管理单元用于实现岗位管理、关联业务岗位、业务岗位管理、业务岗位权限配置、业 务岗位权限对比、业务岗位互斥组管理、敏感资源管理、新增人员基础数据维护。

其中，岗位管理是指对岗位进行增、删、改管理，并可以导入或导出相关数据。

关联业务岗位是指：实现岗位与业务岗位的关联。通过业务岗位表，进行业务岗位 的选择。每个岗位可以关联多个业务岗位，但是没有进行权限配置的业务岗位，不能进行关 联。

业务岗位管理是指对业务岗位进行增、删、改、查，可以在列表中显示业务岗位是 否进行权限配置，并区分出来，已进行权限配置的业务名称，可以点击进行查看所配置的资 源权限清单。

业务岗位权限配置是指根据业务部门梳理好的业务岗位权限配置清单，实现对每 一个业务岗位进行各应用系统的权限配置，主要包括营销管理系统、资产管理系统、GIS系 统、人资管理系统、财务管理系统、其它系统的权限配置关联。在业务岗位权限配置增加菜 单查询功能，在对业务系统进行权限配置时，通过菜单查功能查菜单是属于哪个权限 角。

业务岗位权限对比是指：每次选择两个业务岗位进行权限对比，方便查看所选两 个业务岗位所拥有的资源权限清单之间的差异。并且提供将原有业务岗位对应应用系统的 权限资源复制粘贴到目标业务岗位中的功能，也可以进行差异部分权限资源的微调整。极 大的方便管理人员对业务岗位权限的配置工作。

业务岗位互斥组管理是指：对业务岗位互斥组进行维护。部分业务岗位之间存在 有互斥关系，需要在该模块里进行互斥组的相关维护。

敏感资源管理是指：各业务角里可能存在敏感资源。需要在该模块里对敏感资 源进行配置。勾选非敏感资源的业务角，点击“设为敏感资源”按钮，即可将选中的业务角 设置为敏感资源。勾选是敏感资源的业务角，点击“取消敏感资源”按钮，即可将选中的 业务角设置为非敏感资源。

新增人员基础数据维护是指：对新增人员进行岗位的选择，系统自动关联出对应 的业务岗位。如果对应的业务岗位之间存在互斥关系，还需要进行互斥业务岗位之间的单 选操作。

权限申请管理模块包括权限申请单元、流程管理单元；权限申请单元用于发起权 限变更流程并进行审批、查看、查询和统计；流程管理单元用于审查看、撤回或者向AA平台 发布权限变更流程；权限变更流程包括岗位变更申请、岗位注销申请、岗位借调申请、提前 取消岗位借调申请、组织机构变更申请、4A帐号申请、标准外权限需求申请。每一种权限变 更流程可以对应不同的流程，目前流程统一为：申请人-业务部门负责人-部门主任-管理 员-申请人。申请人在填写申请权限表单时，可以为多人进行同种类型权限变更的申请。支 持流程的查看及撤回操作。

权限申请单元包括会签流程或者敏感信息流程；会签流程是：权限申请流程涉及 到多个系统，系统涉及多个部门确认的需要进行会签；敏感信息流程：权限申请流程涉及到 敏感权限资源，能自动选择敏感信息流程；权限申请流程闭环归档时，最后一步由申请人提 交到4A平台，返回是否成功的信息。提交到4A平台时，帐号（业务系统帐号）如果没有激活 的，能自动激活。

操作日志管理模块实现操作日志管理、操作日志纪录和操作日志多维度统计，可 查看企业级信息系统权限管理系统的登录日志、人员权限申请记录等操作日志，以满足4A 平台审计方面的管理要求。其中操作日志记录包括纪录用户登录时间、用户姓名、账号、IP 地址、操作页面操作内容，支持删除和查功能。从用户登陆开始到退出系统结束为止，纪 录用户在系统中的变更操作。除了登陆与退出等日常操作日志外，还包括人员岗位权限的 配置、申请、撤销、确认等操作日志。操作日志多维度统计是指：根据企业级信息系统权限管 理系统已纪录的操作日志数据，提供按时间、人员、操作等多维度的统计分析结果，支持饼 图、柱状图等图形展示方式。

接口服务模块通过运行服务总线（SOA）与4A平台进行连接。4A平台再通过运行服 务总线（SOA）与各业务系统进行交互和管理。

接口服务模块用于企业级信息系统权限管理系统与4A平台实现数据交互，具体 为：企业级信息系统权限管理系统通过接口服务模块从4A平台获取人员数据、系统数据、角 数据、部门数据、权限数据，并向4A平台发送权限变更结果；4A平台通过接口服务模块向 企业级信息系统权限管理系统提供人员数据、系统数据、角数据、部门数据、权限数据，同 时接收权限变更结果，令权限变更生效，并触发权限同步服务将该权限变更结构同步至各 个企业级信息系统。

接口服务模块包括获取4A平台中各业务系统基础数据的接口、获取4A平台中各业 务系统增量数据的接口、权限变更结果同步服务的接口；接口服务模块包括获取4A平台中 各业务系统基础数据的接口、获取4A平台中各业务系统增量数据的接口皆采用POST的请求 方法和UTF-8的编码方式。

本发明提供的企业级信息系统权限管理系统的业务组件和业务组件之间的交互 采用基于 SOAP 的Web服务作为接口模式，实现组件时间的松偶合，降低组件之间的关联关 系，从而保障了系统具有良好的扩展性和稳定性。其技术架构为多层架构，具体包括展示 层、逻辑层、持久层、存储层，其中展示层为顶层，存储层为底层，展示层、逻辑层、持久层、存 储层依次连接。如图2所示，具体如下：

1、展现层

通过WebUI控件库，提供表单、提示框、表格、树、容器等控件，统一系统的界面样式。使 用Web图表控件库、企业级报表工具进行数据的可视化和报表展示。利用MVC模式，通过JSP 或Web模版引擎等界面渲染引擎将服务端输出的数据模型绑定到UI组件中，实现界面与业 务逻辑隔离。

2、逻辑层

逻辑层主要实现业务功能组件，使用Java开发体系，并提供WebService接口按照SOA规 范通过外部系统进行信息集成。逻辑层通过安全防护组件，对注入攻击、跨站脚本攻击等行 为提供自动防护工作，提高系统安全。

3、持久层

通过“数据访问组件”提供统一通用的数据访问接口，采用对象关系映射框架（ORM），具 备数据库访问的可配置性。通过“事务管理组件”来保证事务单元内的所有操作都具备业务 完整性，避免出现部分成功、部分失败的操作。通过“多数据源管理组件”可同时支持多数据 源、多方言、多缓存、多事务级别等特性。

4、存储层

“关系数据库”主要用于存储结构化数据，使用Sql语句对结构化数据进行挖掘、分析处 理，该数据库是建立在关系模型基础上的数据库，借助于集合代数等数学概念和方法来处 理数据库中的数据。关系模型由关系数据结构、关系操作集合、关系完整性约束三部分组 成。

“分布式数据库”提供对大数据量的业务数据的存储，采用分布式的存储和传输方 式，提高数据的处理速度，为大数据分析和应用场景提供数据支撑。

本发明不局限于以上所述的具体实施方式，以上所述仅为本发明的较佳实施案例 而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改 进等，均应包含在本发明的保护范围之内。