8、角色工程设计：从理论到实践

角色工程设计：从理论到实践

在企业安全管理中，角色工程是一项关键任务，它涉及到如何有效地定义和管理角色，以实现访问控制策略并准确反映组织的工作职能。以下将深入探讨角色工程的相关内容，包括推荐的方法、角色设计的数据来源、角色名称的选择、角色层次结构的使用等方面。

推荐方法

建议采用自上而下的方法，评估现有系统中的可用材料，以确定其在提供高质量角色信息方面的潜力。如果现有系统无法提供高质量的角色定义材料，那么不建议投入资源进行自下而上的工作，因为产生有用结果的可能性不高。而且，自下而上的结果不太可能反映组织的有效全局视图，并且还需要将其与自上而下的结果进行协调，这会增加额外的工作。因此，这些额外的工作最好用于自上而下的方法。

角色设计的数据来源

设计角色有两个数据来源：
- 实施访问控制策略 ：其来源是保护 IT 系统内信息对象的内部要求，以及以各种形式向组织内的个人和团体分配对这些对象的访问权限。
- 建模组织的工作职能 ：来源不太明确。如果尚未对工作职能结构进行定义，可以利用相关结果来建立角色结构。若组织的工作职能尚未建模，则需要进行建模工作。可用的信息来源包括人力资源数据、现有或计划系统中的访问控制数据（角色挖掘）、可从类似组织采用的工作职能定义，以及可从现有标准采用的工作职能定义。

部分用于建模工作职能的数据来源可满足对角色名称和所执行功能定义的需求，如人力资源数据、其他组织或现有标准中的工作职能定义。然而，这些来源无法将角色名称和定义与所执行的 IT 功能或相应的访问控制策略联系起来。在已确定的来源中，只有来自现有或计划系统的数据能提供