超级会员免费看
角色工程:定义良好角色与访问控制策略
在今天的信息技术环境中,角色工程对于企业安全管理至关重要。它涉及到如何定义合适的角色、权限,以及建立有效的访问控制策略,以确保系统资源的安全和合理使用。
1. 角色工程与系统工程的关联
角色工程可以被视为系统工程的一部分,在这个过程中,与主题专家的交流是非常有必要的。通过他们的专业知识,可以将系统级的权限需求细化为适合系统开发人员使用的 IT 需求。例如,从主题专家确定的系统需求,如“新/续订门诊处方订单”,可以细化为具体的 IT 操作,如“{C, 门诊处方订单}”。
角色工程中,创建和测试关于用户需求的假设与其他系统工程活动类似。访谈者或协调者的一个重要角色是分析主题专家的输入,并尝试对初步结果进行特征化和概括。这些初步结果可以帮助主题专家确定角色组件的最佳定义。
权限的处理过程包括识别、组装、分析、排序和规范化。以下是一个权限处理过程的 mermaid 流程图:
graph LR
A[识别] --> B[组装]
B --> C[分析]
C --> D[排序]
D --> E[规范化]
在这个过程中,会生成一个权限目录,例如下面的示例:
| 场景 ID | 唯一权限 ID | 抽象权限名称 | 基本权限名称 |
| ---- | ---- | ---- | ---- |
| Scen_1 | Perm_1 | 接收 STAT 订单 | {R, Order} |
| Scen_2 | Perm_2 | 收集样
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
