李涛　陈鸿

摘要：用户权限管理是指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，它是管理系统不可缺少的一个部分。采用基于角色的访问控制方法（RBAC）与石油物探工程预算业务流程相结合，实现分配直观、操作简单、扩展灵活的用户权限管理。

关键词：石油物探预算管理系统;用户权限;RBAC

中图分类号：TP311    文献标识码：A

文章编号：1009-3044（2021）12-0082-03

随着科学技术的发展，计算机和网络技术在石油物探工程造价领域已得到广泛应用，造价信息化管理显得越来越重要。物探工程造价管理是一项集技术、管理、施工于一体的综合性管理工程，不仅仅是造价管理部门的责任，所有与物探工程有关的部门都应承担相应的工作职责。在管理系统中，合理控制众多用户对数据资源的访问权限，建立功能完善的用户管理、授权体系，对于保证管理系统数据的安全，实现各专业管理人员在各自职责范围内参与物探工程造价管理活动有很重要意义。笔者通过《石油物探定额预算管理系统》的开发，就物探造价管理系统中的用户权限设计谈一点心得体会。

1 物探预算系统分析

1.1多部门参与物探工程项目预算

石油物探工程项目预算涉及项目信息、生产计划、人力资源、材料、设备以及相关的费用额度，多个部门参与其中，包含技术部门、生产管理部门、人力资源部门、设备管理部门、安全环保部门、财务经营部门等。各部门管理相应的预算业务（见表1）。

1.2 预算业务的提交审核操作流程

一个部门内，操作员进行相关业务操作，完成业务操作后，提交到审核员进行业务审核。审核员对业务审核后，可返回给操作员进行修改调整;也可通过审核，业务将提交到审查员进行审查。审查员经对业务审查后，可返回操作员，重新进行业务操作;也可以审查通过，业务将到下一部门进行操作（见图1）。

1.3 部门之间预算业务流程

各部门之间预算业务存在前后衔接逻辑关系，具体的预算流程见图2所示（注：图中是以项目审查在财务经营科为例进行编制）。一个科室完成本科室的业务后，经审核通过和审查通过后，才可进行下一步业务流程。而项目审查有权将业务重新返回于前面流程中重新开始业务操作。

1.4 企业之间预算管理存在差异

不同的物探企业对于物探工程预算项目管理不完全相同，相同的预算业务可能由不同部门负责管理。管理系统将用户权限分成系统操作权限及业务操作权限两类，并通过物探企业管理员的两次权限分配，来实现不同企业业务操作的差异，满足预算管理的需要。

2 系统用户权限设计

2.1基本思路

本次管理系统开发权限管理模式采用基于角色的访问控制方法（Role-Based Access Control 简称RBAC），这是目前公认的解决大型企业的统一资源访问控制的有效方法。其基本思路就是把整个访问过程分为两步：权限授予角色，即权限与角色相关联;用户则依据责任和资格来被指派相应的角色，即角色被授权给用户，用户不直接与许可关联， 从而实现了用户与访问权限的逻辑分离（见图3）。

权限的授予由管理员统一管理，管理员根据单位中不同的岗位定义不同的角色，用户根据其职能和责任被赋予相应的角色。一旦用户成为某角色的成员，则此用户可以完成该角色所具有的职能。

根据物探项目预算的具体情况，管理系统访问控制基本思路（见图4），用户归属于部门，角色也属于部门，用户由管理员授予一定角色;系统操作权限由管理员授权到角色，业务操作权限由管理员分配到不同的系统操作权限之中。

2.2系统部门与角色设定

物探企业的管理员负责本企业用户管理、部门管理、权限管理等;参与预算的部门分别设操作员和审核员角色，其中操作员负责本部门系统操作权限的编制、提交等操作，而审核员负责对操作员提交的业务进行审核等操作;审查员对每个部门审核后的业务进行审查，并查看本处预算项目的情况，掌握已结束预算项目、未结束预算项目、每个预算的流程进展明细等。

2.3系统操作权限与业务操作权限

管理系统中把用户权限分成系统操作权限及业务操作权限两类。其中系统操作权限是指用户访问而且只能访问被授权的系统资源，包含用户管理、项目管理等等，业务操作权限就是指项目预算涉及的具体业务流程操作，如项目钻井参数、项目详细参数、项目测量明细、采集直接工程费、间接工程费、预算报表等（见图5）。

业务操作权限能分别授权于系统操作权限中的参数信息、生产计划、人力计划、设备配置、HSE预算和预算费用;而系统操作权限能分别授予不同部门和不同岗位，由企业管理员来负责本企业的权限分配。通过对这两部分权限分配，可满足各企业实际项目预算的工作要求。

3 管理系统的实现

3.1数据库设计

为实现对用户权限的需求，管理系统数据库的用户权限部分采用如下设计（见图7）。数据库内建立有物探处表、部门表、用户表、角色表、系统操作权限表和业务操作权限表，还有角色与系统操作权限映射表及系统权限操作与业务权限映射表。

物探企业的管理员通过对用户表的操作，实现对本企业用户添加、用户修改、用户角色授予等系统操作;对角色及角色与系统权限映射两张表操作，可实现角色添加、角色修改以及角色权限授予等系统操作;通过对系统权限与业务权限映射操作可实现将业务分配到不同的系统权限内。

3.2系统用户权限管理的操作

3.2.1用户管理

企业管理员对本企业的用户进行管理操作，主要操作包括：新建用户、用户查询、用户密码初始化、删除用户等。新建用户操作如下：输入用户名称，选择好用户所属部门和操作角色后，点击“添加”按钮，完成建立用户及授予角色操作。

3.2.2角色管理

企业管理员对本企业的角色进行管理操作，主要操作包括：新建角色、用户查询、删除角色等。新建角色操作如下：输入角色名称，选择角色的系统操作权限，点击“添加”按钮，如用户角色未能添加成功，则弹出“用户角色添加失败”对话框。

3.2.3预算操作权限修改

企业管理员对本企业的预算操作权限管理操作，主要操作包括：预算操作权限查询、预算操作权限修改等。

预算操作权限修改如下：在预算操作权限列表中，找到需要进行修改的权限名称，点击其对应的“修改”链接，跳转到修改系统权限的预算操作页面。

重新选择预算操作权限后，点击“保存”按钮;当预算操作权限修改成功后，系统弹出“预算操作权限修改成功”;如预算操作权限未能修改成功，则弹出“预算操作权限修改失败”对话框。

4 结束语

通过本次管理系统开发，对基于角色的访问控制方法（RBAC）有更深入的了解。在充分了解和掌握石油物探造价业务流程的基础上，再结合该方法能减小系统授权管理的复杂性，能灵活支持业务流程的变化，是解决管理系統资源访问控制的有效方法。

参考文献：

[1] 曹天杰，张永平.基于角色访问控制的总体设计[J].计算机应用与软件，2001，18（8）：23-25，59.

[2] 刘晓玲，郭龙.基于RBAC的用户权限管理的研究与实现[J].电脑知识与技术，2013，9（7）：1487-1490.

【通联编辑：闻翔军】