面向装备管理业务的数据权限控制系统及其控制方法技术方案

本发明专利技术公开一种面向装备管理业务的数据权限控制系统及其控制方法，依次包括以下步骤：确定权限控制颗粒度、确定权限控制数据对象、建立权限控制记录表、注入权限控制脚本、提供权限管理功能和支撑业务办理工作。本发明专利技术提供基于机构级、角色级和用户级的多重数据权限控制；实现装备、备件器材和设施设备等目录和实力的基础数据，以及计划、项目、合同、卡片等业务数据的一体数据权限控制；支持数据权限的灵活调整和动态配置，满足机构职能调整、人员岗位变动时快速权限移交；提供可热插拔与业务功能相独立，提供数据权限集中管理功能和后台操作接口。

Data privilege control system and its control method for equipment management service

The invention discloses a method for equipment management data access control system and its control method comprises the following steps: determining the access control granularity, determine the access control data object, establish the access control list, into the access control script, provide access management functions and supporting services for the work. The present invention provides multiple data authority level and user level, organization level, control based on basic data; equipment, spare parts and equipment and the strength of the whole data directory, permissions and plans, projects, contracts, business card data control; data support flexible and dynamic configuration of permission, meet the agency the function adjustment, personnel changes in the rapid transfer of authority; provide pluggable and business functions are independent and provide data access function of centralized management and operation interface.

【技术实现步骤摘要】
面向装备管理业务的数据权限控制系统及其控制方法
本专利技术属于装备管理业务技术，具体涉及一种适用于多部门、多角色和多用户依据权限获取和使用装备管理基础数据和业务数据的技术。
技术介绍
在信息管理系统中，传统的访问控制以用户为基本对象授予权限，这使得大型复杂系统的授权管理复杂，由于同类用户的授权相同，数据库中有大量重复数据，权限维护工作量大，且容易出错。基于角色的访问控制参考模型，通过引入角色概念实现了用户与权限的逻辑分离，极大地方便了权限的管理。现役装备管理业务系统中所使用的数据权限控制软件，将用户分类与业务数据资源通过规则变量表达式建立映射关系，在实际数据权限管理中有如下缺点：(1)操作维护复杂。有别于机构、角色和用户，根据使用场景和权限控制需求建立大量的用户分类，并针对逐条业务数据的增、删、改、查等操作建立大量业务数据资源，在此基础上完成多种权限策略的设置，操作复杂，维护量大。(2)权限调整困难。缺少数据对象的概念，以数据对象与操作的组合作为数据资源。一旦机构、角色和用户分配的数据对象发生变化时，已有的权限管理方法很难实现权限动态调整。(3)权限难以跟踪。缺少数据对象的概念，难以跟踪某一数据对象权限扩散范围。在人员离职、调岗时，难以实现数据权限的批量移交。(4)权限适配性弱。针对装备目录等树形结构数据，缺少数据权限的继承和传递，难以开展有效的数据权限控制。(5)与业务实际差距较大。机关用户主要是在办理业务过程中将权限传递至相关用户，仅有少量业务是由数据权限管理员分配；而非目前由统一的数据权限管理员进行权限管理。因此，在装备管理业务系统中提供一种面向装备管理业务的数据权限控制技术是提高装备管理业务效率的关键环节之一。
技术实现思路
专利技术目的：本专利技术的目的在于解决现有技术中存在的不足，提供一种面向装备管理业务的数据权限控制系统及其控制方法，本专利技术能够在线管理、灵活配置的面向装备管理业务的数据权限控制技术，使得装备管理业务系统中各级机构、各类角色和各个用户便捷、高效、安全和灵活获取和使用业务数据。技术方案：本专利技术公开了一种面向装备管理业务的数据权限控制系统，包括数据对象管理模块、权限操作接口模块、权限在线调用模块、权限集中管理模块以及权限统一查询模块。所述数据对象管理模块根据实际业务需求从数据管理角度划分数据对象，摆脱传统数据权限颗粒度过粗或过细问题；所述权限操作接口模块将权限控制独立于业务功能之外，针对数据对象，提供便捷统一的权限操作接口，摆脱权限控制与业务功能的紧耦合关系；所述权限在线调用模块在权限操作接口基础上，封装权限操作、集成权限视图，提供更高层次的可视化的权限操作；所述权限集中管理模块将通过权限操作接口和权限在线调用产生的权限控制记录进行集中统一管理，支持维护数据对象在机构、角色和用户中的数据权限，维护机构、角色或用户所拥有的数据权限，实现角色或用户数据的批量移交；所述权限统一查询模块提供完整权限操作结果数据，支持查询机构、角色或用户所拥有的数据权限，查询数据对象在机构、角色和用户中的数据权限扩散情况。通过上述各个模块之间的相互配合来确定权限控制颗粒度：根据装备管理业务系统数据权限控制需求，提供机构级、角色级和用户级多重颗粒度的数据权限控制机制。本专利技术还公开了一种面向装备管理业务的数据权限控制系统的控制方法，依次包括以下步骤：(1)确定权限控制颗粒度：由数据对象管理模块根据装备管理业务系统数据权限控制需求，提供机构级、角色级和用户级多重颗粒度的数据权限控制机制；(2)通过数据对象管理模块来确定权限控制数据对象；(3)建立权限控制记录表，建立独立于基础数据和业务数据的权限控制表，包括数据对象标识、数据对象类型、机构、角色、用户和权限字段；(4)注入权限控制脚本；(5)提供权限管理功能；(6)支撑业务办理工作。所述步骤(1)的详细过程是：针对装备调配、使用和维修相关业务部门实现机构级数据权限控制，即审批通过的补充计划在业务处全体人员均可查看；针对装备科研和装备采购相关业务部门，实现用户级数据权限控制，即不同的用户应能看到不同的科研计划和科研项目；针对装备战备、装备训练和质量相关业务部门实现角色级和用户级数据权限控制。为避免权限控制过于繁琐，配置量过大，结合装备管理业务实际特点，简化数据对象内容，步骤(2)中在确定权限控制数据对象时，主要针对规划计划类、卡片项目类、合同成果类、装备类和备件器材类主要数据对象进行权限控制，而对计划明细、卡片明细、项目文档等数据默认与主对象相同权限控制。所述步骤(3)通过权限操作接口模块、权限在线调用模块和权限集中管理模块来建立权限控制记录；且数据对象类型由步骤(2)所得，包括计划、项目和装备；数据对象标识为实际要进行权限控制的数据条目；机构、角色和用户为中权限控制颗粒度；权限为六位字符串包括查看、增加、删除、修改和赋权，“1”标识具有，“0”标识不具有。所述步骤(4)的详细过程是：在数据访问过程中，根据登陆的用户、该用户拥有的角色、以及该用户所属的机构，组合建立数据权限检索条件，通过在基础数据、业务数据访问SQL脚本中注入该检索条件，获取权限控制表中可访问的数据对象标识，实现对数据访问范围的控制。针对装备目录等树形机构数据，提供权限继承和传递能力；针对流程办理数据，独立由流程节点控制数据可见范围。所述步骤(5)是通过数据权限控制系统提供以下功能①数据权限表操作接口API，②数据权限设置页面，③数据权限集中管理页面；其中，数据权限表操作接口API由各子系统在后台根据业务活动自动实现权限分配，数据权限设置页面由各子系统在前台根据业务活动调用页面，由业务用户自主实现权限分配，数据权限集中管理页面由全系统统一集成，提供给业务用户和数据权限管理人员对可见范围内的数据进行集中管理。所述步骤(6)的详细过程是：业务用户打开具体业务页面，依据权限范围查看基础数据和业务数据；操作业务数据时(如上报、提交、发布等)根据用户业务活动在后台自动分配权限，用户也可根据需要使用权限设置页面自主分配权限；用户可在权限集中管理页面，查看自己可见数据的全部权限控制信息，可快速追踪具体数据的扩散范围，并能够对权限动态调整、快速回收；在机构职能变动、人员岗位调整时，对个人数据进行快速整体或部分移交。有益效果：与现有技术相比，本专利技术具有以下优点：(1)权限控制粒度可控，支持机构级、角色级和用户级多重数据权限控制；(2)结合业务实际，采用主要的数据对象为控制要素，简化操作和配置；(3)通过脚本注入方式，支持热插拔，与业务功能相互独立，支持目录权限继承和传递；(4)提供数据权限接口API、设置页面和集中管理页面，支持后台开发、前台调用和统计集成多层次权限控制能力；(5)全方位支撑业务办理工作，支持随业务活动自动赋权和用户自主赋权，支持权限集中管理，能够快速追踪权限扩散范围并动态调整。附图说明图1为本专利技术的系统模块示意图；图2为本专利技术的整体据权限控制示意图；图3为本专利技术中注入权限控制的数据访问流图；图4为实施例中系统的权限集中查询界面示意图。具体实施方式下面对本专利技术技术方案进行详细说明，但是本专利技术的保护范围不局限于所述实施例。如图1所示，本专利技术公开了一种面向装备管理业务的数据权限控制系统，包括数据对象管理本文档来自技高网...

【技术保护点】
一种面向装备管理业务的数据权限控制系统，其特征在于：包括数据对象管理模块、权限操作接口模块、权限在线调用模块、权限集中管理模块以及权限统一查询模块；所述数据对象管理模块根据实际业务需求从数据管理角度划分数据对象；所述权限操作接口模块将权限控制独立于业务功能之外，针对数据对象，提供便捷统一的权限操作接口；所述权限在线调用模块在权限操作接口基础上，封装权限操作、集成权限视图；所述权限集中管理模块将通过权限操作接口和权限在线调用产生的权限控制记录进行集中统一管理，支持维护数据对象在机构、角色和用户中的数据权限，维护机构、角色或用户所拥有的数据权限，实现角色或用户数据的批量移交；所述权限统一查询模块提供完整权限操作结果数据，支持查询机构、角色或用户所拥有的数据权限，查询数据对象在机构、角色和用户中的数据权限扩散情况。

【技术特征摘要】
1.一种面向装备管理业务的数据权限控制系统，其特征在于：包括数据对象管理模块、权限操作接口模块、权限在线调用模块、权限集中管理模块以及权限统一查询模块；所述数据对象管理模块根据实际业务需求从数据管理角度划分数据对象；所述权限操作接口模块将权限控制独立于业务功能之外，针对数据对象，提供便捷统一的权限操作接口；所述权限在线调用模块在权限操作接口基础上，封装权限操作、集成权限视图；所述权限集中管理模块将通过权限操作接口和权限在线调用产生的权限控制记录进行集中统一管理，支持维护数据对象在机构、角色和用户中的数据权限，维护机构、角色或用户所拥有的数据权限，实现角色或用户数据的批量移交；所述权限统一查询模块提供完整权限操作结果数据，支持查询机构、角色或用户所拥有的数据权限，查询数据对象在机构、角色和用户中的数据权限扩散情况。2.一种基于权利要求1所述的面向装备管理业务的数据权限控制系统的控制方法，其特征在于：依次包括以下步骤：(1)确定权限控制颗粒度：由数据对象管理模块根据装备管理业务系统数据权限控制需求，提供机构级、角色级和用户级多重颗粒度的数据权限控制机制；(2)通过数据对象管理模块来确定权限控制数据对象；(3)建立权限控制记录，独立于基础数据和业务数据的权限控制表，包括数据对象标识、数据对象类型、机构、角色、用户和权限字段；(4)注入权限控制脚本；(5)提供权限管理功能；(6)支撑业务办理工作。3.根据权利要求2所述的面向装备管理业务的数据权限控制方法，其特征在于：所述步骤(1)的详细过程是：针对装备调配、使用和维修相关业务部门实现机构级数据权限控制，即审批通过的补充计划在业务处全体人员均可查看；针对装备科研和装备采购相关业务部门，实现用户级数据权限控制，即不同的用户应能看到不同的科研计划和科研项目；针对装备战备、装备训练和质量相关业务部门实现角色级和用户级数据权限控制。4.根据权利要求2所述的面向装备管理业务的数据权限控制方法，其特征在于：所述步骤(2)中...

【专利技术属性】
技术研发人员：谢俊杰，陈奡，张永伟，杨明凯，杨晓岚，
申请(专利权)人：中国电子科技集团公司第二十八研究所，
类型：发明
国别省市：江苏,32