传统基于角色的访问控制(RBAC)是信息系统建设中一种常用且有效的访问控制方式,高校信息化系统建设中也常常用到,但具体每个系统用到的角色数量却往往很少,一般都是超级管理员、二级管理员和用户三类,而且有些角色的名称与实际的工作岗位名称几乎一样,例如科研系统中的科研秘书角色、学工系统中的辅导员角色、教务系统的教务员角色等。综合高校信息化中众多系统基于角色的访问控制模式,存在以下几个共性的问题:
(1)系统角色只包含功能权限,而实际管理用户还存在数据范围权限,所以在系统分配某个用户至角色时,还需要设定这个用户能管理的数据范围(科研秘书是组织机构范围,辅导员是班级范围,教务员是学部院系范围)。
(2)对于系统维护者来说,角色用户维护往往是由一两个超级管理员来完成,人员调整后更新难保证及时性;而学校机构中岗位人员经常变动,变动后各项工作任务往往能很快进行交接,但是系统中的权限交接往往跟不上。
(3)高校逐步在通过信息化手段完成业务流程化再造,建设网上办事大厅,并把众多审批、审核功能加入到流程建设中,在流程运转过程中,普通用户在发起流程时往往对有权进行审批或审核的用户信息不了解也不掌握,例如本科生不知道教务员是谁、科研项目申请者不知道科研秘书是谁等,同时进入系统时也没有显示。
(4)信息化系统更新换代时,原有系统的角色数据往往很难复用,需要根据实际情况进行重新收集、整理并更新到新系统中。
除了基于角色的访问控制之外,部门账号模式在高校信息化系统建设中也较为常用,既在系统中为每个部门建立一个单独账号,并把账号信息提供给各个部门负责人员。这类账号往往在部门内部工作人员中共享,变为公共账号,密码长期不做调整。这种模式存在较大安全风险,无法进行用户操作行为审计。
基于以上存在的各类情况和问题,同时为了更好地支撑学校信息化建设,方便师生用户,大连理工大学在2016年底启动的信息化基础平台建设项目中加入了统一岗位管理平台(下文简称岗位平台),把岗位作为师生用户与信息系统角色权限连接的纽带,强化实际工作中具体岗位,弱化系统中的角色权限。本文从岗位的界定和分类、岗位与组织机构的关系、岗位的管理、岗位的应用四个方面对平台设计思路进行分享,期望对高校信息化建设提供参考。
一、岗位的界定和分类
支撑高校信息化建设的岗位数据来源于学校实际认定的岗位情况,但也需要有所扩展,考虑更多情况,包括更大范围。具体涉及以下四类:
(1)学校现行的实际工作岗位,而且不限于有行政级别或正式发布的岗位,只要实际从事具体工作即可,例如:组织员、人事专干、宣传专干等。
(2)学校各具体办事流程中所涉及的岗位,特别是在办事大厅建设中,每个环节只需要设定具体的岗位,而不需要限定到具体的人,例如:负责审批的各领域分管工作领导、党政和行政负责人等。
(3)各信息系统中二级管理人员可以抽象为具体且识别度高的岗位,统一纳入岗位平台管理,使系统中权限项管理与岗位人员管理分离开,例如:校内公示系统负责发布管理的“校内公示发布员”,负责学校校内动态发布管理的“信息发布员”,消息平台中负责发送消息的“消息发布员”等。
(4)学校各部门自身独有的岗位或者根据工作需要只在内部设置的岗位,例如:部门正副职领导,部门下属研究所的领导等。
根据以上分类的特点,在具体设计时分成通用岗位和部门岗位两个大类,如图1所示。
二、岗位与组织机构关系
岗位平台的设计中加入了组织机构信息作为重要关联点(如图2所示):通用岗位是分配给多个组织机构并可在学校范围内达成共识的岗位,每个通用岗位与组织机构信息是一对多的关系;部门岗位只与具体的组织机构关联,每个部门岗位与组织机构信息是一对一的关系。
每个通用岗位下将根据需要加入多个组织机构,形成通用岗位视图;每个组织机构下将包含多个通用岗位、多个部门岗位,形成组织机构岗位视图,如图3所示。这里的组织机构不限定层级,可以是校区级、部处级、学部院系级,甚至是科室级。
把组织机构作为重要因素纳入岗位平台,主要基于以下三点考虑:
(1)组织机构是学校开展各项工作的基本单元,把信息化岗位落实到具体组织机构,可以明确管理职能,实现岗位的二级管理,更好落实并推广;
(2)通过组织机构可以限定岗位人员的范围,方便人员的设置和变更;
(3)很多系统或者功能都涉及人员数据权限范围,组织机构是最为常见的一种,与具体岗位关联之后,可以方便各业务系统进行数据范围设定。
三、岗位的管理
岗位平台采用多级管理模式,管理主要有两项工作,一个是设定岗位,一个是给具体岗位分配人员。整体的管理模式如图4所示,其中虚线表示主要落实一项管理工作即可,实线则表示要落实两项管理工作。
系统管理员主要是建立通用岗位并根据需要给每个通用岗位设定管理员。每个通用岗位管理员则负责把所管理的通用岗位设定到具体的组织机构下,并设定岗位人员的设置模式、岗位人数上线、岗位基本信息等相关内容。
为弱化系统管理功能,平台中建立了两个内置的通用岗位与线下各单位的信息化队伍相匹配一致,包括负责部门整体信息建设的“信息化负责人“和负责部门信息化具体实施、沟通、协调的“信息化专干“,两个通用岗位的管理员由学校网络与信息化中心(信息化建设管理办公室)的相关人员承担,主要负责信息化负责人、信息化专干的变更处理,给两个岗位分配新增组织机构数据。每个部门的信息化负责人可以调整本部门信息化专干的人员设定。
信息化专干是平台实施二级管理的关键,每个组织机构的信息化专干能看到本机构的组织机构岗位视图,并负责维护本机构下通用岗位的人员名单,另一方面可以在本机构或下属机构下按需添加部门岗位并分配具体的人员。在通用岗位整体架构设定完毕之后,所有人员与岗位的关系都由各组织机构自己负责。每个信息化专干人员分配时都只能看到岗位所属组织机构以及下属机构的人员数据,如果存在其他机构人员在本机构任职的情况,则可以使用“精确查找“功能(如图5所示)通过输入职工号、学号和姓名获取到相关信息来跳出人员数据范围限制。
四、岗位的应用
岗位平台的岗位信息当前主要应用于网上办事大厅、第三方系统和岗位人员数据对外展示三个方面。
网上办事大厅每个流程都涉及具体的人员,但是实际上具体人员是一直在发生变化,不可能在设计流程时把具体人员与流程进行绑定,而是通过岗位平台中的岗位与具体流程进行绑定,使人员与流程进行管理分离。流程设计时只与岗位绑定,并不关注岗位下的具体人员;在流程运转时,通过岗位平台实时找到流程节点绑定岗位下的具体人员。流程与人员通过岗位平台中的岗位进行了解耦,也进行了关联。同时通过岗位与组织机构的关系,使流程对应岗位的人员范围大大缩小了,例如:本科生在申请学籍异动时,流程会根据学生所在的学部院系,精确定位到其学部学院的教务员老师,而不是把全部教务员都列出来进行大范围的选择。
岗位平台岗位所对应人员信息是由各个部门或者具体负责部门维护,基本能保证及时性,为第三方系统提供岗位下人员信息,可以优化各项工作的开展。可以减轻第三方系统数据初始化工作:对于已有的岗位数据,第三方系统可以直接使用,无需做初始化;若没有支撑第三方系统的岗位信息,可以快速地在岗位平台建立对应的岗位并维护其中的人员。可以保证人员数据的及时性和有效性:第三方系统管理角色完全依赖于岗位平台,并实现联动,岗位下人员新增、变更、删除都能及时体现,无需第三方系统再行调整。实现岗位数据的有效复用:第三方系统更新时,岗位数据仍然可以继续使用,同一份岗位数据可以用到多个第三方系统中。
部分岗位人员数据是与具体工作岗位相关,还有一部分是与具体系统功能相关,这些都是师生比较关注的信息。一方面,师生通过具体岗位人员信息,可以了解到各项工作开展的具体联系人,例如:要开展科研工作可以通过科研岗位找到科研秘书;要通过校内通知系统发布通知,可以通过“信息发布员”岗位找到本机构哪些人员有在系统中发布通知的权限。另一方面,师生可以对岗位人员数据进行核对、监督,确保岗位对应的人员数据正确并能及时更新。同时,岗位管理部门可以把岗位人员数据信息嵌入到部门网站中,以保证人员数据的及时更新并对外发布,例如:“本科教务员”岗位人员数据页面直接挂到教务处网站中。
在具体技术层面,有三种方式对外提供应用:一个是通过公共数据交换工具(可以是ODI、kettle等)采用定时同步方式提供给业务系统;另一种是通过实时的数据接口(Data Service)方式提供;还有一种是提供H5自适用的展示页面,直接嵌入到网站中使用。
五、总结与思考
岗位平台是人员、组织机构、岗位数据整合和组合的平台,使聚合的信息数据得到高效、方便、快捷的应用是平台成功的关键。经过近两年时间的建设,岗位平台各项功能已基本落地,当前主要服务于学校各基础平台,包括校园门户、消息平台、办事大厅等,但是如何有效支撑全校信息化建设并得到全校认可,成为学校信息化真正的基础支撑平台,是岗位平台下一步要开展的主要工作。
岗位平台是高校信息化建设中的一个新平台,并没有以业务部门的具体业务驱动来开展建设,而是作为信息化重要基础平台来建设,其与传统的三大平台有很大区别,是高校信息化中平台化建设方向的探索和有效尝试。
来源:《中国教育信息化》
