17、企业角色工程：从基础到未来发展

企业角色工程：从基础到未来发展

1. 企业需求与成本效益分析

企业在运营过程中存在多种需求，例如外部对保密性、完整性和可用性的强制要求，企业自身也能从中受益。基于角色的访问控制（RBAC）在实施职责分离等约束方面具有潜力，这对企业所服务的外部组织或产品供应对象有益。

在商业案例中，成本效益分析是重要的一部分。获取成本和效益的数据颇具挑战，尤其是确定效益更为困难，因为效益往往包含避免困难和符合规定等无形因素。随着时间推移，可根据经验完善估算。因此，每次角色工程工作都应收集成本和效益数据，用于当前工作的重新规划以及未来工作的规划和论证。

2. 角色工程融入系统开发生命周期

角色工程工作既可以作为企业层面的独立工作开展，也可以作为系统开发项目的一部分。若在项目中进行，需将结果推广到整个企业，这就需要有企业模型和角色定义库。每个项目都应以一致的方式向库中添加更新内容。即使在企业层面进行角色工程，通常也需要添加未涵盖的角色定义，这意味着组织的所有部门都要了解企业角色工程活动及其结果，并提供机制将其贡献提交审核，以考虑纳入库中。

3. 定义良好的角色

良好的角色应具备行政人员易于识别的名称，其权限、约束和层次结构能准确反映访问控制策略。角色可在多个主题领域开发，如业务、财务、行政和安全等，可分为结构角色和功能角色。结构角色具有连接或访问网络、服务器、工作流或设备等宏观 IT 资源的权限，而功能角色则控制 IT 资源内更细粒度的访问。

在分配权限时，需在权限过多和过少的角色之间取得平衡。权限过多的角色可能违反最小特权安全原则，而权限过少的角色会削弱 RBAC 角色数量远少于权限数量的优势。当角色数量过多时，