7、角色定义与角色工程过程解析

角色定义与角色工程过程解析

1. 访问规则基础与权限角色关系

访问规则的基本组成部分是对象，操作相对于其应用的对象具有特定含义。操作 - 对象（即权限）对比角色名称更为基础，因为操作 - 对象（权限）对可重复用于构成各种角色名称 - 权限对。在基于角色的访问控制（RBAC）术语中，权限可以分配给多个角色。

1.1 权限与角色的特点

• 权限 ：可跨企业有效，是构建角色的基础单元。例如 VHA/HL7 致力于为医疗领域定义一套标准权限，供各组织在定义角色时使用。
• 角色 ：高度依赖于组织，不同组织的角色定义差异较大。

1.2 权限与角色的分配

权限应依次附加到每个角色名称上，通过权限目录为角色名称分配权限来构建角色。如下表所示为一个权限目录示例：
| Constraint | Operation | Object |
| — | — | — |
| Const - 01 | Op - 05 | Obj - 04 |
| Const - 01 | Op - 04 | Obj - 04 |
| Const - 01 | Op - 01 | Obj - 03 |
|… |… |… |

2. 业务规则与安全规则

访问控制策略通常包括业务规则和安全规则，建议尽可能将二者分开，原因如下：
- 审查与认证 ：安全规则需独立审查并可能进行安全认证，而业务规则不一定需要。