中 華 大 學 碩 士 論 文
基於群組工作維護的存取控制模型 Group based Access Control Model for
Maintenance of Task
系 所 別:資訊管理學系 碩士班 學號姓名:M09710030 莊富鈞 指導教授:吳美玉 博士
中 華 民 國 九十九 年 八 月
摘要 摘要 摘要 摘要
為了讓工作進行時能合理的依照時間地點而存取工作資源,現今有許多的存取機 制和管控方法,將工作權限所能操作的資源透過規則和限制加以管控,以避免掉不必 要的權限濫用。然而關於公司如何對於專案內已完成的工作,進行後續的維護以及存 取控管等研究議題,是鮮少被探討的。本研究提出基於群組工作維護的存取控制模 型,深入描述其應有的元件和概念部份,並訂立一套適合於專案內的工作維護之人員 選擇演算法,所提出的存取控制模型可快速而方便地解決工作在維護過程中,面臨該 人員是否適合該工作的調配問題,使專案內的工作維護能更快速進行。本研究最後並 開發一雛型系統,展示各個專案內若有需要被維護的工作時,可透過所提出之基於群 組的存取控制模型,選擇指派合適的維護人員至需要被維護的工作,使工作維護之存 取控管能達到更完善的安全性管理。
關鍵詞關鍵詞
關鍵詞關鍵詞:::工作、工作維護、存取控制、專案群組 :
Abstract
There are many access control mechanisms for tasks processing according to the appropriate time and location. The resources accessed by tasks are controlled by rules and constraints in order to avoid abuse of authority. However, the issue of access control mechanisms for the finished task of project and maintained task is rarely discussed. This research proposed a group-based access control model for maintenance of task (GBAC4MT) and elaborated on elements and concept of the proposed model. This study also proposed an algorithm to select the suitable staff to maintain the task of project. The proposed access control model could solve the staff selection in deployment of task and finish the maintenance of task quickly. Finally, the research developed a prototype system to demonstrate the proposed group-based access control model. The proposed model provided fine security management for maintenance of task.
Keywords: task, maintained task, access control, project groups
誌謝 誌謝 誌謝 誌謝
時光飛逝,如今我即將離開中華大學了,回顧七年來的學習成長,對於學校給予 的教育心裡實在感謝。回顧研究所的求學期間,深深地感謝我的指導教授吳美玉老 師,在這段日子裡,非常耐心且用心地教導我許多做學問的方法以及看待事物的思考 方式,兩年的相處之下啟發了我更具智慧的思考模式,使我與人相處更加圓融而做事 更積極認真同時三思而後行,實在受益匪淺!而學習生涯上的老師們也會主動關心我 的生活與學習情形,並適時地給予指導與鼓勵,在各位老師的教誨之下,使我獲益良 多,感謝老師們這兩年不辭辛勞給予的教導與照顧!
其次要感謝我的口試委員葉慈章教授與李之中教授,在百忙之中撥冗參加我的口 試過程,同時更細心審閱我的論文研究,並依研究之發展架構惠賜許多寶貴的意見與 思考方向,讓富鈞能將此篇論文朝更完善的方向邁進,誠心感謝您們!
接著是感謝我們實驗室的學長們:堯保學長、彥廷學長、文鈴學姊、逸瑋學長、
鍾鑫學長、倫睿學長、紹軒學長、宗璞學長、茂帆學長,以及同學們:榮翔、政興、
克圻、乃維、琮凱,以及學弟佳靈、書豪,以及我所有在研究所生涯認識的好朋友們,
因為有大家,而讓我這兩年的研究所生涯更添加許多色彩,我將永遠記得我們曾經一 起挑燈夜戰、求學求知、瘋狂減肥以及所有的歡樂時光!
最後,我要感謝我親愛的家人,我的爸爸、媽媽、還有許多姐姐們以及我女朋友,
謝謝你們的支持與栽培,讓我能夠順利地完成學業生涯,謝謝!
莊富鈞 謹誌 2010 年 8 月 18 日
目錄 目錄 目錄 目錄
摘要... i
Abstract ... ii
誌謝... iii
目錄... iv
圖目錄... vii
表目錄... ix
第一章 緒論 ... 1
1.1 研究背景與動機... ... 2
1.2 研究目的... 4
1.3 研究流程... 4
1.4 論文架構... 5
第二章 相關研究 ... 7
2.1 存取控制機制 ... 7
2.1.1 存取控制陣列 ... 8
2.1.2 存取控制串列 ... 9
2.1.3 能力串列...10
2.1.4 隨意性存取控制 ...12
2.1.5 強制性存取控制 ...12
2.1.6 基於角色存取控制 ...13
2.1.6.2 安全規範 ...16
2.1.7 基於角色存取控制模型相關延伸研究 ...17
2.2 工作流程...18
2.2.1 定義 ...18
2.2.2 組成元素...19
2.2.3 工作流程系統與參考模型...23
2.2.4 工作流程相關延伸研究...25
2.3 基於角色的存取控制於專案工作 ...25
2.3.1 群組化概念應用於 RBAC...25
2.3.2 工作流程與 RBAC 融合...26
2.3.3 參考模型比較 ...27
第三章 基於群組工作維護的存取控制模型 ... 29
3.1 基於群組工作維護的存取控制模型組成概念 ...29
3.2 基於群組工作維護的存取控制模型相關定義 ...31
3.2.1 模型的涵蓋元件與組成概念...32
3.2.2 限制條件...35
3.3 維護人員選擇與指派演算法 ...36
3.3.1 維護人員選擇的流程 ...36
3.3.2 維護人員的指派演算法...38
3.4 專案工作的維護之假設個案探討 ...41
3.5 研究分析...44
3.6 小結 ...45
第四章 系統實作與展示 ... 46
4.1 系統環境...47
4.2 系統功能展示 ...48
4.2.1 管理員登入...48
4.2.2 人員清單...50
4.2.3 工作記錄...51
第五章 結論與未來研究方向 ... 57
5.1 結論 ...57
5.2 未來研究方向 ...58
參考文獻... 59
圖目錄 圖目錄 圖目錄 圖目錄
圖 1.研究流程圖 ... 5
圖 2.存取控制串列... 10
圖 3.能力串列 ... 11
圖 4.RBAC 概念模型圖 ... 13
圖 5.工作結構與流程轉變圖 ... 20
圖 6.AND-Split 工作連結 ... 21
圖 7.AND-Join 工作連結 ... 21
圖 8.OR-Split 工作連結 ... 22
圖 9.OR-Join 工作連結 ... 22
圖 10.Iteration 工作連結 ... 22
圖 11.Workflow Reference Model... 24
圖 12.企業人員擔任角色示意圖 ... 30
圖 13.基於群組工作維護模型圖 ... 32
圖 14.工作維護人員選擇流程示意圖... 37
圖 15.需進行維護的工作之人員演算法... 40
圖 16.企業部門運作示意圖 ... 46
圖 17.管理員登入畫面... 48
圖 18.正確登入訊息畫面 ... 49
圖 19.錯誤登入訊息畫面 ... 49
圖 20.系統主頁面... 49
圖 21.人員可行使之工作角色 ... 50
圖 22.工作角色所能行使之人員 ... 50
圖 23.工作紀錄 ... 51
圖 24.工作維護 ... 52
圖 25.原先行使人員指派至工作維護... 53
圖 26.組外人員指派至工作維護 ... 54
圖 27.無適合工作維護之人員 ... 55
圖 28.組內人員指派至工作維護 ... 56
表目錄 表目錄 表目錄 表目錄
表 1.存取陣列案例 ... 8
表 2.各模型比較... 27
表 3.函數及功能說明表 ... 38
表 4.人員可行使之工作角色表... 41
表 5.各專案與群組之工作內容表 ... 42
表 6.專案 1 之工作紀錄表... 42
表 7.專案 2 之工作紀錄表... 42
表 8.專案 3 之工作紀錄表... 42
表 9.系統開發軟硬體需求彙整表 ... 47
第一章 第一章 第一章
第一章 緒論 緒論 緒論 緒論
隨著時代的進步,資訊科技的概念與技術逐漸趨於完善,使得應用層面更加的廣 泛。而企業公司的作業流程利用電腦化,取代了傳統人工以及紙本的作業模式,使得 公司資訊更迅速且正確的在各個部門間以及企業間傳遞,滿足了企業營運追求效率的 要求。在這樣的環境中,公司內的成員透過公司既有的服務,便可以快速的獲取公司 內部的服務資源與公告資訊,提升工作效率。企業夥伴也可以透過該公司對外網路快 速的交換資訊,有效的利用時間而得到更多的效益。
當下的企業組織中,有著自身進行的流程以及協同合作產生的交互流程,而這些 流程依照需求的不同皆能劃分成更多個子工作,透過公司作業規範的訂立,合理的安 排了公司各個工作之間的順序性和相依等特性,才由生產部門或者開發等人員加以執 行。一款產品或服務的誕生,需要設計、研發等部門的人員共同討論,才能讓產品具 備適合的功能,而產出過程人員的合作,更是產品或服務是否能完成的關鍵。透過以 上舉例,能明確的闡述企業工作執行時,各個工作彼此之間環環相扣的特性。
知曉了企業流程的特性之後,如何能使工作能合理的執行、順暢的運作,便成為 公司內重要的問題。在企業組織營運的過程,大都是利用電腦系統來輔助決策或者管 理內部員工所該執行的工作內容,而透過電腦化將資料儲存,具有極佳的作業速度以 及易保存等特性,大幅度的降低管理上不便,但這樣的方式卻存在著巨大的資訊安全 管理危機。而資訊安全方面則又包含了使用者的認證、驗證、入侵偵測、金鑰管理、
資料加密和解密、存取控制等機制,這些應用技術皆能提供企業具備一定程度的防範 保護措施。
大多數的應用技術,皆由人員者透過設備或系統所搭配的服務,讓使用者獲取所 需的企業資源或服務。當使用者身份進行確認之後,系統便會給予使用者合格的身 份,同時該身份將被授權,能獲得存取相依該身份的企業資源權限。透過資料控制,
料。而企業本身則應訂立進行存取資料時的使用方法,透過適當的存取機制,以管理 企業組織內的人員對資料的存取活動,讓企業資料的存取更有安全性。因此,適當的 存取機制則可以使企業內部資料不易被竊取及盜用,所以選擇適合的存取控制機制也 是企業在對資源控管時所必須注意到的環節。
1.1 研究背景與動機 研究背景與動機 研究背景與動機 研究背景與動機
企業組織內的各個工作,其職務上的工作角色存在許多相依和互斥特性,使得執 行時必須特別設計以符合安全規範,而這些工作角色,一旦受到某些因素而無人可執 行,則會造成工作延宕而使效率低落,甚至讓工作因此中止或失敗。企業內的營運過 程,時常會面臨到許多的工作需要被維護,如:交易系統或伺服器的維護。經由以上 舉例可以得知維護的產生,是當該工作發生執行錯誤或者功能變更時,企業必須進行 該工作的修復或改變機能,以維持或延續該工作供給的機能可以有效運作。對於這樣 的情況企業便必須選擇人員進行該工作的維護,而企業設定的任務目標時常成立專 案,並由適合的群組人員共同完成。但是專案這種因需求而成立,完成便解散的性質 卻忽略了人員流動的可能性,若要維護專案內的某個工作,將因為職務上的熟悉,會 去找尋原先執行該工作的人員,若該人員因故無法行使該工作或者已經離職,那該工 作的維護便會產生不知何人為適任人選的困擾。因此便需要一套針對專案內工作的維 護機制,使其能在人員的選擇,將能迅速地遞補上適合的人員使工作維護能夠順利的 進行,達到效率的持平或提升。
工作流程方面,已有工作流程管理系統(Workflow Management System, WfMS),
廣泛應用於企業環境中,解決各種工作應用。如:工作流程管理系統應用於工作任務 上,讓流程的順序性、相依性、互斥性等在各子工作中運作使其更流暢[24];而在相 關延伸應用工作流程管理系統的研究中,讓協同合作的企業設計合乎自身需求的流程 觀,讓彼此更透視流程相互合作時的進度[7]。
在存取機制方面,已有廣為被採用之基於角色存取控制模型(Role based Access Control, RBAC),而基於角色存取控制模型能將人員和職能抽象化,分為使用者、角 色、權限和限制等。應用於工作中,讓人員合法的存取資源,正確而適當的行使角色,
使存取控制融合工作時能更靈活地運作[20]。並有相關研究延伸基於角色存取控制模 型應用,讓人員進行工作時能合理的依照時間、地點而存取工作資源[33]。這些都是 為了讓資源能透過更有效的方法,以及更適合的管道,讓人員合理的使用,促成效率 提升,使工作流暢。
在企業環境中,對於因應彼此之間合作而產生的協同工作流程,以及自身提供的 產品服務或完成的專案,在這些專案完成後,因需求變更所面臨專案內特定工作的維 護也有管控的必要性,為的是使公司資源透過限制能保障安全性,以避免非法的人員 權限濫用,同時管控人員行使工作時的正確性,並且利用角色靜、動態限制設計防止 不必要的權限繼承。對於一個公司所完成的專案,不該僅是執行時依照工作需求,將 人員安排於各工作以完成任務而已,而是該工作若仍可為公司創造價值,那麼就必須 要加以維護,以維持公司利益,因此對於專案完成後,陸續面臨的各個工作之維護也 是必須加以注意的。對於此等能創造公司利益的活動,若企業內沒有人去對其維護,
那麼勢必會造成有形或無形的損失[6]。讓非法或不適合的人員進行該工作的維護,
將造成權限的濫用或者根本無法維護。最終導致顧客的流失和品牌價值的下降等。因 此對於維護這樣的需求,必須有一套適當的人員指派概念以克服此一情況。
由於工作流程與存取機制的相關研究與時俱增,具備的模型要素也趨於完善,群 組的概念便是其中之一。對於企業組織而言,群組的作用主要是因應特定目標而產生 的一個單位,將具備需求能力的人員分配到相同單位的特定角色上,以完成目標工 作。而將群組的概念應用於工作流程以及導入存取機制,將使得研究模型更接近企業 組織運作的實際情況,使本研究更具可行性。
1.2 研究目的 研究目的 研究目的 研究目的
在眾多基於角色存取控制以及工作流程的研究中,有針對工作進行的存取控制,
以及將工作角色委任加以設計的研究,而關於公司如何對於自身提供的產品服務或完 成的任務工作,進行後續的維護管控、機制的配置等研究議題,是鮮少被探討的。因 此,本研究結合基於角色存取控制模型與企業組織內分群的概念,應用於工作維護 上,提出:基於群組工作維護的存取控制模型(Group-based Access Control Model for Maintenance of Task, GBAC4MT),我們所提出之存取控制模型,將工作完成後,所將 面臨的維護需求,透過元素的呈現,加以描述其應有的元件和概念。並依照工作維護 的人員選擇,訂立一套適合於工作維護的人員選擇演算法,解決工作在維護過程首要 面臨的人員調配問題。同時也針對該模型實作出雛型系統加以驗證,透過工作維護系 統讓企業了解工作維護自動指派是可行的。
1.3 研究流程 研究流程 研究流程 研究流程
本論文的研究流程,首先將講述問題背景、其次為研究動機與研究目的,在了解 問題與誘發動機後,確定研究主題為「基於群組工作維護的存取控制模型」,並探討 與本研究相關之參考文獻,以確立研究範圍。
本研究所蒐集之文獻與探討主要分為以下數個部份,包含:
1.基於角色存取控制模型的相關研究 2.工作流程的相關研究
3.工作流程與基於角色存取控制模型結合應用的相關研究
透過文獻與資料的整理與歸納,作為本論文研究的架構和理論基礎,將重點放在 工作與人員、角色的指派關係上,將企業的工作與人員關係加以詳述;而本研究進一
步所提出的基於群組工作維護的存取控制模型,期望將整體理論模型建構完整,並根 據研究結果提出相對的結論與建議事項。本論文的研究流程如圖 1 所示。
圖 1.研究流程圖
1.4 論文架構 論文架構 論文架構 論文架構
本研究提出了基於群組工作維護的存取控制模型,透過系統把工作維護所需求的 人員呈現,進而降低企業人工判斷的過程,減少工作維護時的人員選擇困擾。本研究 相關章節安排如下:
第一章為本篇論文的緒論,介紹了本篇論文的研究背景與動機、研究目的、研究 研究背景與動機
研究目的
文獻探討
存取控制
系統實作
結果分析與結論 基於群組工作維護的
存取控制模型 基於角色存取控制
於工作應用
工作流程
指明,同時也因為現有的存取控制模型鮮少探討工作維護議題,因此將群組的觀點加 入其中,使本研究更為貼近現實企業運作。
第二章將探討與本研究相關的數個領域,分別為:存取控制機制、工作流程、存 取控制與工作流程的結合應用,以這些研究作為架構和理論基礎,延伸至基於群組工 作維護的存取控制系統。
第三章為本研究之重點,將說明整個基於群組工作維護的存取控制系統架構,所 描述研究內容中包含了本研究模型的組成概念,並對架構中的元件做定義說明,以及 維護人員如何選擇,最後為工作維護之假設個案探討和小結。
第四章為本研究提出之雛型系統介紹,包含有系統環境與實作展示,同時針對企 業組織複雜的功能需求,將此系統之定位做一描述。
第五章為本研究之結論與未來研究,說明本研究架構現有的特性,以及未來可行 研究的方向與內容,工作流程內的工作特性與工作角色之間委任授權的安全規範等。
第二章 第二章 第二章
第二章 相關研究 相關研究 相關研究 相關研究
本章將探討與本研究相關的數個研究,主要為基於角色存取控制模型相關研究、
工作流程相關研究以及基於群組工作維護的存取控制模型。第一節將探討存取控制機 制,包含了存取控制陣列、存取控制串列、能力串列、隨意性存取控制、強制性存取 控制和基於角色存取控制以及延伸研究;第二節為介紹工作流程的定義、組成元素、
工作流程系統與參考模型以及延伸研究;第三節探討基於角色存取控制於工作流程的 相關研究,並分析其中之優缺點。
2.1 存取控制機制 存取控制機制 存取控制機制 存取控制機制
當今已有許多相關於存取控制機制的研究,其中基於角色存取控制模型被美國國 家標準與技術協會(National Institute of Standards and Technology, 簡稱NIST)視為一種 存取控制的標準[21],以及提倡RBAC的應用,而基於角色存取控制模型主要做法就 是讓使用者獲得角色行使的權利、並透過角色得到資源的操作權限,而讓使用者能藉 由合理的角色存取資源,而非法的使用者能被杜絕在外。存取控制機制的主要類型可 分為存取控制陣列(Access Control Matrix, ACM)、存取控制串列(Access Control Lists, ACLs)、能力串列 (Capability Lists, CLs)、隨意性存取控制(Discretionary Access Control, DAC)、強制性存取控制(Mandatory Access Control, MAC),及基於角色的存取控制 (Role-based Access Control, RBAC)等,以下將分別說明並分析其優缺點,作為與本研 究參考比較之模型。
2.1.1 存取控制陣列 存取控制陣列 存取控制陣列 存取控制陣列
存取控制陣列是一種將主體(Subject)對某一受體(Object)所擁有的存取權限以二 維陣列來表示的呈現方式,為最早被拿來做資料的存取控制方法[22][23],在這樣的 機制中,主體當作使用者,受體則為檔案或目錄等資源物件類別,而存取權限則是對 於這些檔案或目錄的操作,像是新增、刪除、修改和查詢等,如表 1 所示。
表 1.存取陣列案例 受體
主體 目錄 A 目錄 B 資料檔 A 資料檔 B 資料檔 C
Andy 新增 新增
刪除 新增 新增 新增
Bob 新增 新增
刪除
查詢 修改
查詢 修改 刪除
Chris
新增 刪除
新增 刪除
查詢 修改 刪除
查詢 修改 刪除
David
新增 刪除
新增 刪除
查詢 修改
從上表中可知主體的部份,有 4 個使用者,分別為 Andy、Bob、Chris 和 David,
而受體部分則有目錄 A 和目錄 B,資料檔 A、資料檔 B 和資料檔 C,從主體與受體 之間交錯的行列之中可以得知其存取權限。以 David 而言,他對於目錄 A 和資料檔 B 不具備任何的存取權限,而對目錄 B 以及資料檔 A 具備了新增和刪除的存取權限,
對於資料檔 C 則具備查詢和修改的存取權限。若以目錄 A 而言,則可以被 Andy 和 Bob 行使新增之存取權限,而 Chris 和 David 則無法行使任何存取權限。
對於少量的主體與受體,存取控制陣列的呈現方式顯得淺顯易懂,但若在企業環 境中,使用者數量成百上千,增加一個權力很小的使用者,則其可以存取的資源物件 勢必很少,就造成矩陣稀疏,或是增加一個很重要的資料檔,但只有少數的主體能對 它做存取,也會造成矩陣稀疏,這都將造成儲存空間的浪費。而主體與受體的增加,
將使得矩陣擴增幅度增加,而造成維護變得更為困難。
存取控制陣列之缺點,除了無法看出人員之間的從屬關係之外,另外還受到資料 量以及權限變更的影響,而使得操作變得複雜且浪費資源[34]。
2.1.2 存取控制串 存取控制串 存取控制串列 存取控制串 列 列 列
存取控制串列和能力串列的概念非常相像,兩者皆是由串列的形式以各個權限和 記錄,而相異的地方則是存取控制串列以存取控制陣列的行(Column)作為儲存權限紀 錄的形式,主要是以系統資源權限管理時呈現效果為主,將每個使用者以鏈結的方式 串列作為呈現;而後者則是以存取控制矩陣的列(Row)作為儲存權限紀錄的形式,主 要是以使用者管理時呈現效果為主,將每個系統資源以鏈結串列的方式呈現[3][21]
[34],而兩者之間,一方的優點即為另一方的缺點。
存取控制串列是將主體與受體透過串列的方式來儲存,與存取控制陣列相比,存 取控制串列將每個受體都獨自串成一個個的串列,把針對該受體進行存取的主體串在 一起,並記錄該主體對受體可執行的權限。當使用者欲使用資料時,將根據該資料或 物件作為起點,逐個找尋該串列中使用者的權限,以判斷是否有權利使用該資源,概 念如圖 2 所示。
圖 2.存取控制串列
在圖 2 中,目錄 A 的存取控制串列顯示,使用者 Andy 和 Bob 分別都可以對目 錄 A 進行新增的權限。若 Chris 想對目錄 B 進行操作,那麼就會從目錄 B 此一存取 控制串列作搜尋動作,而得知其在目錄 B 中具有新增和刪除的權限。
雖然這種受體為主的方式,可以快速得知受體能被哪些主體作存取,但同時,如 果想要知道某個主體對於某一受體所能存取的權限,就必須依照存取串列作搜尋,因 而變得複雜,對於管理上依然為困擾的方法。
2.1.3 能力串列 能力串列 能力串列 能力串列
能力串列與存取控制串列相反,主要是以主體串起所有對應的受體,透過此一串 列方式的操作方式,可以針對單一使用者,瀏覽該使用者所有物件和資料的授權情 況,如圖 3 所示。
目錄A Andy 新增
Chris 新增 刪除 目錄B Andy
新增 刪除
資料檔A Andy
新增
Bob 新增
Bob 新增 刪除
新增 刪除 David
Chris 新增 刪除 Bob
查詢 修改
新增 刪除 David
圖 3.能力串列
從上圖 3 中可得知,Andy 對目錄 A 以及資料檔 A 具備了新增的權限,目錄 B 則具備了新增和刪除的權限,而 Chris 則對於目錄 B 以及資料檔 A 具備了新增和刪除 的權限。
因為能力串列是以主體來查詢每個受體的存取權限,因此受體權限有所修改的同 時,系統必須找出串列所有關於受體的儲存記錄,只能透過逐各遊歷的方式,因此並 不符合時間成本。
Andy 目錄 A 新增
Bob 目錄 A 新增
Chris
目錄 B 新增 刪除
目錄 B 新增 刪除
目錄 B 新增 刪除
資料檔 A 新增
資料檔 A 查詢 修改
資料檔 A 新增 刪除
David 目錄 B 新增 刪除
資料檔 A 新增 刪除
2.1.4 隨意性存取控制 隨意性存取控制 隨意性存取控制 隨意性存取控制
隨意性存取控制將每個使用者或群組加以定義其存取規則,當使用者發送存取物 件的請求時,系統會去驗證是否符合原先的定義規則,符合驗證條件的使用者才可以 依照設定好的權限,而執行所提出的存取請求[16] [21]。
此一存取控制最大的優點是具有非常大的彈性,可以讓原先的使用者或者群組,
進行權限的轉移,讓資源能夠因此而分享。舉例而言,Chris 僅允許使用者 Andy 對 其所擁有的資料檔 A 進行新增和修改,此時 Bob 欲新增資料於資料檔 A,不用經過 Chris 同意,可由 Andy 將資料檔 A 的新增權限授予 Bob,讓其對資料檔 A 進行新增。
相對於隨意性存取控制的高彈性,伴隨的缺點就是資料控管的不嚴謹,使用者將 權限授權出去之後,資料很輕易的被他人獲取,使得資訊被非法獲取。
2.1.5 強制性存取控制 強制性存取控制 強制性存取控制 強制性存取控制
強制性存取控制將使用者和物件依照不同性質的分類分成不同等級,系統會在每 個使用者和物件上,標示標籤作為等級識別,使用者和物件之間透過標籤聯繫而做到 管理。強制性存取控制會依照標籤來限制使用者對物件執行存取或寫入的行為,而達 到控制資訊流向的效果[21]。
與隨意性存取控制相比,因為強制性存取控制不允許使用者自行將存取權限加以 分派,所以具有較高的安全性,但是相對的較不具備彈性,而這樣安全優先的考量概 念,適用於較嚴謹資料的管控。
2.1.6 基於角色存取控制 基於角色存取控制 基於角色存取控制 基於角色存取控制
由於傳統的存取控制架構,在執行或是管理上具有某些缺陷或是彈性上的限制,
而針對這樣的問題,學者提出基於角色存取控制,以解決傳統存取控制架構的不足 [10]。Ferraiolo和Kuhn等學者於1992年提出基於角色存取控制的概念之後[8] ,由 Sandhu等學者在1996年對其加以改進[20],並提出了完整的基於角色存取控制模型 (RBAC Model),如下圖4所示。之後經由美國國家標準與技術協會(National Institute of Standards and Technology, NIST)加以收編整理而訂立標準,稱為NIST RBAC[21]。此 後開始有許許多多以RBAC為基礎的相關研究產生,同時學者運用RBAC模型,並且 結合不同領域之專業知識,提出各種的衍生模型與相關的存取控制系統[25][27][31]
[35][37]。
圖 4.RBAC 概念模型圖[21]
在基於角色的存取控制模型中,將人與資源之間的存取關係,分為使用者、角色、
權限等方式,讓使用者指派到適合的角色,然後將角色給予適當的權限,當使用者具
備了合法的角色時便可以依照角色所具備的權限而對資源進行存取。這樣的授權依據 不再是以人為主,而是以角色為授權依據,使用者可以具備多個角色,而角色也可以 分派給多個使用者行使,在角色和權限之間也同樣是可以相互匹配的分派關係。
透過這樣的方法能簡化權限管理時的複雜度,同時讓管理者能對資源更容易的做 到安全管理。以下將介紹基於角色的存取控制模型所包含的基本元件和限制條件等特 性,最後說明安全範圍。
2.1.6.1 基 基 基本元件 基 本元件 本元件 本元件
基於角色存取控制模型主要包含四個主要基本元件,分別是使用者(User)、角色 (Roles) 、 會 期 (Session) 和 權 限 (Permission) , 而 指 派 關 係 分 成 使 用 者 指 派 (User Assignment, UA)和權限指派(Permission Assignment, PA)[20],另外還有角色階層(Role Hierarchy)和限制條件(Constraint),以下將對各個元件、指派關係以及其特色進行詳 細的說明。
(一)使用者(User)
使用者所指的是在現實環境中,全部與系統有所互動的人。
(二)角色(Roles)
角色指的是使用者在組織中所擔任的職務,每一個角色會依據工作的屬性而給予 適當的權限,讓使用者得以透過角色而執行權限。
(三)會期(Session)
當使用者欲存取物件時,必須透過會期的建立,方能被允許執行角色,而會期本 身的起始與結束限制了使用者啟動角色至結束角色的時間長度,而使用者也僅能在會 期建立的時間內,執行角色擁有的權限。
(四)權限(Permission)
權限的概念是對於物件操作的許可,如新增、刪除、修改和查詢等行為即是權限。
(五)使用者指派(User Assignment)
將是使用者指派至角色,而使用者與角色之間存在著多對多關係,使得使用者可 以指派至多數個角色,而角色也可以分派給多個使用者。
(六) 權限指派(Permission Assignment)
讓角色獲得適當的權限,在角色與權限之間同樣也存在著多對多關係,意即權限 可以分派給多個角色,而角色也可以獲得多個權限。
(七)角色階層(Role Hierarchy)
對於組織內的權限與責任,透過上層角色來繼承下層角色的方式,可以讓上層角 色在擁有本身權限同時,還可以繼承了下層角色的權限。此一概念可以使管理者在進 行授權時免去重複的指派動作,使模型內的角色繼承關係更為貼近組織內權限行使的 方式。
(八)限制條件(Constraints)
對於組織內的規範與限制,依照需求的不同,可以透過限制條件加以制約,而這 樣的限制旨在不改變角色指派關係的同時,判斷人員是否能具備該角色。如:角色互 斥、使用者數量、前置角色等,詳細說明如下:
﹡角色互斥(Mutually Exclusive Roles):當角色在指派給予使用者的同時,會先依 照需求而對指派作出限制,使得某些角色無法同時指派給同一位使用者。這樣的設計 是為了避免舞弊、權限濫用的情況發生,如:採購角色和驗收角色不能同時指派給同 一個人員。而對於這樣的關係角色可以藉由互斥角色的設定,使得角色在指派給使用
者的時候,會透過互斥角色的判斷而免除同一使用者同時具備可能舞弊角色的機會。
﹡使用者數量(Cardinality):此一限制主要是約束角色可指派的人數,通常用於 較高職能或是具有特殊權限的角色,如:總經理、系統管理員等,最好都加以限制可 指派的數量,以增加系統的安全。
﹡前置角色(Prerequisite Roles):此設計就如同條件滿足一般,當使用者欲執行某 角色時,必須具備前提條件所要求的特定角色,才能將該角色指派給使用者。如:在 醫院中,必須當過實習醫師的角色,才可以擔任主治醫師的角色。這樣的角色設計概 念就如同組織內職位階級一般,上層角色必需熟稔下層角色的職務。
2.1.6.2 安全規範 安全規範 安全規範 安全規範
基於角色的存取控制模型支援了常見的三種安全規範,分別是最少授權、權責分 離、資料抽象化,透過這些安全性的設計,可以讓有心或無意的使用者無法進行危害 系統的操作,而增加系統的安全性[9]。詳細說明如下:
﹡最少授權(Least privilege):僅提供角色適當且符合操作的權限,排除掉角色不 必要的權限,以防止使用者有心或無意的情況下,做出危害系統安全的行為。過多的 權限不但對使用者實際的運作沒有實質的幫助,反而會增加系統管理者在管控時的負 擔,故而給予使用者最少的權限,不但能避免不必要的風險,還能增加系統的安全性。
﹡權責分離(Separation of duties):此一用意旨在避免利益相衝突的複數角色,同 時指派給同一個使用者,而讓該使用者能操作同一份資料而產生舞弊。如:採購角色 和驗收角色由同一個使用者來擔任,則容易產生監守自盜的舞弊問題。為了預防這樣 的事件,就需要做到權責分離此一設計。
而權責分離又可分靜態與動態權責分離[11][13][26],所謂靜態權責分離(Static Separation of Duties)又稱為強互斥(Strong Exclusion),表示不能將複數利益衝突角色 指派予同一使用者,以避免過程中發生的利益輸送問題。動態權責區分(Dynamic
Separation of Duties):又可稱為弱互斥(Weak Exclusion),此一概念之下的使用者可以 擁有複數利益衝突角色,但同一時間點僅能擇一擔任。
﹡資料抽象化(Data abstraction):利用抽象的語句取代實際權限的操作,而經過 抽象化的資料能提供使用者正確的語意,讓使用者能依照職務的分類而操作資料,減 少操作錯誤的可能性。舉例而言:用系統介面的買入和售出語句,代表檔案讀寫之類 的操作行為。抽象化後的資料除了能讓使用者易讀易懂,也可以使資料具備一致性。
2.1.7 基於角色存取控制模型 基於角色存取控制模型 基於角色存取控制模型相關 基於角色存取控制模型 相關 相關延伸研究 相關 延伸研究 延伸研究 延伸研究
目前已有相當多關於存取控制機制的研究,其主要目的就是要限制合法使用者的 存取權限,Sandhu 等學者於 1996 年提出基於角色存取控制模型,在該模型中,使用 者皆被分配到適當的角色,而資源的存取則是透過所屬的角色來決定,並透過限制來 加以管控人員、角色、資源之間的關係。而模型中的角色階層概念更能反映出企業組 織中的規模和結構,人員能擔任多個角色而角色可以由多個人員擔任,並在存取資源 時必須符合政策的限制,如:最少授權限制、靜/動態權責區分限制、資料抽象化等。
而 Park 等人提出了基於情境角色存取控制模型(Context-role based access control, CRBAC)[18] , 將 原 有 的 角 色 概 念 細 分 為 使 用 者 角 色 (User-role) 和 情 境 角 色 (Context-role),透過當下情境與情境角色間的對照而獲取系統中的狀態,使得使用者 與角色之間取得可行的指派關係。Bertino 等學者提出基於時間角色為基礎的存取控 制(Temporal Role-based Access Control Model, TRBAC),透過觸發,讓人員行使預定 好的角色,以存取權限資源[4]。而 Zhang 等學者在 RBAC 模型加入時間和地點的概 念,使人員使用角色存取資源時的安全限制更完整[33]。在眾多存取控制模型的研究 中,為存取控制概念訂立了基本元素和相關限制,但僅為模型的建立,未探討進行工 作的流程概念,以及當工作需要維護時將要面臨的人員指派問題。
2.2 工作流程 工作流程 工作流程 工作流程
工作流程對於組織而言,可以加速內部工作的自動化,並且在內部流程執行的過 程中,根據各個工作項目事先的定義程序,由多個部門經過多個環節協調及順序,並 且依照規則執行工作,以使工作在流程內能順利運行而完成,簡而言之工作流程是一 組輸入轉化為輸出的過程[36]。本節將介紹工作流程的定義、組成元素、工作流程系 統與參考模型以及延伸研究。
2.2.1 定義 定義 定義 定義
工作流程的觀念源自於企業流程—「公司內部參與者根據為達成公司整體或特定 目標所定義的規則,而與公司內外部參與者合作,建立一執行文件、資訊或工作之價 值產生過程」[28][36],但工作流程則偏向於牽涉資訊傳遞或可將工作執行結果資訊 化的相關活動,且可透過資訊科技協助進行流程自動化,並得以追蹤與控制之企業流 程[38]。 而工作流程管理制定協會(Workflow Management Coalition, WfMC)將工作流 程定義為「將部分或全部工作程序自動化,且文件、資訊或工作由一個參與者傳遞到 另一個參與者執行的過程中,尚須遵守某些程序上之規則」[28]。其中工作程序之自 動化是在流程程序定義階段中設定,程序的制訂包含一系列的活動、規則以及用以管 理工作流程之相關控制資料[38]。設計良好的工作流程將能使企業各項業務管理獲得 良性發展,而使企業高效率地運轉,但如果設計不良則會造成問題百出,而出現部門 之間職責不清的推託現象,導致資源的浪費以及效率不彰。因此,良好而嚴謹的工作 流程對於企業和單位都是非常重要的[29]。
透過以上的描述,可以知曉企業為了達到整體或特定的目標,會藉由工作自動 化,以及所有環節中參與的人員遵守既定的程序規則,最終促使工作流程的執行效率
提升。而在過程流程自動化以及參與人員的規則制定,將會在流程程序定義的階段完 成訂立。對於企業而言,流程就決定了效率,因此好的流程不僅能加速企業內部工作 執行,同時也意味著提升企業所能獲取的利益。
2.2.2 組成元素 組成元素 組成元素 組成元素
工作流程主要的組成元素可以分為:活動項目、活動連結以及組織資源,同時可 以視需求而加入其他元素,達到擴充系統功能的效果,如:加入活動監控的概念,可 以了解使用者的工作情形;加入權限設定的功能,可以控制處理人員的權限;以及加 入狀態管理,以了解相關作業的執行狀態等,使系統能有效率的運作以及提供使用者 詳細的流程相關資訊。
工作流程所包含的工作、工作聯結以及組織資源等基本元素之間,有著密不可分 的關係,詳細說明如下[5][12][29][38]:
(一)工作(Activity)
工作流程是由許多不同的工作所組合而成的流程,而工作本身用以記錄相關資訊 或控制流程,若依照工作的型態而區分可分為以下四種:一般型工作、路由型工作、
迴圈型工作及子流程工作,各過程的程序演變和流程順序如圖5所示,各工作詳細說 明如下:
1. 一般型工作(Generic Activity)
負責記錄工作相關的資訊,如:工作說明、參與者、角色、可使用資源等類。
同時紀錄項目如限制資訊的資料存取和轉送限制也可以記錄。
2. 路由型工作(Route Activity)
用判斷條件或情況來決定接下來將執行的工作,又因為工作的資訊以及參與
3. 廻圈型廻圈工作(Loop Activity)
主要特性是廻圈的反覆執行能力以及儲存廻圈的停止條件,利用廻圈的活動 連結連回至廻圈主體,即可讓廻圈中執行的一連串活動項目重複進行。
4. 子流程工作(Subflow Activity)
在主流程中建立分支流程,而分支流程在執行時又可分為兩種,其一為同步 執行,此型態是當子流程開始執行時,主流程會暫停執行,直到子流程執行完畢 時,主流程才恢復執行;另一種為非同步執行,當子流程開始執行時,此時主流 程不會因此而暫停,會繼續執行下去。
圖 5.工作結構與流程轉變圖[7]
(二)工作連結
此一作用的主要功能是將各個工作間對於前置工作、後續工作的從屬關係加以記 錄,同時可以加入控制單元來處理關係較為複雜的流程。各個工作連結的型態可略分 為:AND-Split、AND-Join、OR-Split、OR-Join 與Iteration等五類[30]。表示如下圖6 至圖10。
1. AND-Split:在此類型的連結中,是將單一工作的執行緒切割為兩個或多數個 執行緒,讓此工作的後續工作會衍生出多個平行工作,如圖 6 所示。
圖 6.AND-Split 工作連結
2. AND-Join:此類型的連結,在其之前將會有複數個前置工作執行,而在執行此 工作之前必須將該工作的前置工作之執行緒皆匯合完畢後,才開始執行此一工 作,如圖 7 所示。
圖 7.AND-Join 工作連結 工作 1
工作 2
工作 3
工作 4 AND-Split
工作 1
工作 2
工作 3
工作 4 AND-Join
3. OR-Split:此類型與 AND-Split 相近,但相異的地方在於切割出兩個或多數個 執行序之後,只需只執行其中一項後續工作,如圖 8 所示。
圖 8.OR-Split 工作連結
4. OR-Join:此類型與 AND-Join 相近,但相異的地方在於不需等待所有前置工 作的完成,僅需任何一個前置工作完成的執行序傳入即可開始執行。如圖 9 所示。
圖 9.OR-Join 工作連結
5. Iteration:當工作遇到特殊狀況或啟動特定條件時,將會啟用重複執行該工作 的模式,直到滿足該狀況或條件的限制之後可繼續執行下一個工作,如圖 10 所 示。
圖 10.Iteration 工作連結 工作 1
工作 2
工作 3
工作 4 OR-Split
工作 1
工作 2
工作 3
工作 4 OR-Join
工作 1 工作 2 工作 3 Iteractive activity loop
(三) 組織資源
流程中的工作,除了需要人員執行之外,同時也需要各個部門組織的相關資訊和 設備資源等來輔助工作的進行,詳細說明如下:
1.人員:為組織內一般使用者或特定角色,如:業務主任、安全管理員等任一單 位的人員或角色,主要是負責執行工作進展或控制工作的進度。
2.相關資訊:在所有自動化或半自動化的工作程序中,會提供輔助程式、職能資 訊、工作文件或人員檔案,例如:角色歸屬、人員權限、部門階級 等。
3.設備資源:在各個流程工作中,輔助各工作執行的儀器設備等有形資源。
2.2.3 工作流程系統 工作流程系統 工作流程系統與 工作流程系統 與 與 與參考模型 參考模型 參考模型 參考模型
實作工作流程系統參考模型的工作流程管理系統(Workflow Management System, WfMS),被定義為:「一個定義、產生,並管理工作流程運作的系統。此系統藉由流 程引擎擊上運作的軟體,具有解析程序定義並與流程參與者互動的能力,同時可搭配 資訊科技工具與應用程式的使用。」[29]。
工作流程管理系統中,具備了讓使用者能重新設定和擴充工作的管理監控功能,
此外並可透過各種軟體工具以管理工作流程的各個工作。簡單的說,這樣的系統能使 企業內的流程自動化,使得資源或工作會依照設定的順序,交由下個承接單位,以配 合完成工作。
在工作流程管理聯盟(WfMC)提出的「一般性工作流程系統參考模型」中[28],
包含了五個一致性的溝通介面,讓資源共用、資料交換與流程運作在標準的規則下,
不受到組織平台環境與應用資訊技術的差異,而仍然能使工作流程系統正常運作。主 要以工作流程引擎(Workflow Engine)為核心,透過各個介面(Interface)與流程定義工具
程客戶端應用程式(Workflow Client Applications)、工作流程管理系統可透過此介面和 被呼叫之應用程式(Invoked Applications)、規定如何與其他工作流程服務(Workflow Enactment Services)與進行連結,達到擴充工作流程功能,並透過程式介面(Workflow API,WAPI)和資料格式轉換(Interchange Formats) 的功能與各個元件溝通,模型如圖 11所示,各介面的功能分述如下:
圖 11.Workflow Reference Model [28]
介面1(Interface 1):透過介面與系統與程定義工具的溝通,可透過新增、刪除、編輯 等動作對工作流程加以定義並可做到分析。
介面2(Interface 2):透過介面與管理與監控工具的溝通,可以瞭解目前工作狀況,達 到控制、管理與分析等目的。
介面3(Interface 3):透過介面與工作流程客戶端應用程式與系統的溝通,能通知人員 該工作的內容與相關的流程資訊,並作為啟用相關程式工具或資料用。
介面4(Interface 4):工作流程管理系統可透過此介面和被呼叫之應用程式溝通,利用 各個應用程式以輔助流程內的所有工作能順利完成。
介面5(Interface 5):制訂如何與其他工作流程服務溝通的規則,如執行主流程內的子 流程時,資料的傳遞與跨系統時的流程控制。
2.2.4 工作流程相關 工作流程相關 工作流程相關延伸 工作流程相關 延伸 延伸 延伸研究 研究 研究 研究
目前已有相當多關於工作流程的研究,其主要目的是為了能讓企業內部工作流程 能更順利的運行,外部能有更良好的合作與監督方式。Atluri 等學者提出工作流程委 任範本(Flexible Workflow Authorization Template, FWAT) [1],將各個工作在執行階段 的流程實例,依照角色行使狀態加以記錄,以供後續使用參考。Shen 和 Liu 兩位學 者提出根據流程觀的跨組織協作工作流程(Coordinating Interorganizational Workflows Based on Process-Views),透過企業間虛擬流程的設計,在保護自身私密工作流程的 訊息時,也能有效的將彼此交付的工作進展加以透視,達到企業間互相監督的效果,
提升兩者合作時工作進度的能見度[24]。Chebbi 等學者對於工作流程於跨組織間的合 作,則倡議各個組織的工作流程包含合作夥伴之間的互動,應該是有幫助能互補的,
並且指導工作朝向組織的目標,透過提供可以進行宣傳且紀錄該組織活動的平台相互 知曉彼此工作活動,並讓確定的夥伴於虛擬組織內協議角色及工作流程,最後即可於 既定的合作政策下監測和控制合作政策底下的工作流程[7]。
2.3 基於角色的存取控制於 基於角色的存取控制於 基於角色的存取控制於 基於角色的存取控制於專案 專案 專案工作 專案 工作 工作 工作
2.3.1 群組化概念應用於 群組化概念應用於 群組化概念應用於 RBAC 群組化概念應用於
由於企業營運涉及的範圍非常廣大,除了由許多的單位、部門組成之外,同時也 包含了許多的使用者、資源以及相關工作流程與專案,因此如何讓企業的存取控制機 制能在如此複雜的情況下順利營運,便成為重要的議題。Oh 等學者提出基於工作角 色的存取控制模型(Task-Role Based Access Control),分析了企業環境內的存取控制同 時定義其安全需求,並將工作職能劃分為 3 群分別對應不同的存取控制機制[17]。Li
等學者提出的朝向安全動態合作群組基礎 RBAC 模型(Group-based RBAC)[15],從該 研究中可以發現龐大的企業組織內,將會有許多任務目標和相對應的群組,而這些群 組之間所應當具有的權限不盡相同,因此需要群組管理員的輔助,讓其配置組內成員 的權限,利用分工合作而共同完成工作以減少系統管理員的負擔。從以上研究中可以 發現,群組化概念應用於企業中,一方面以工作分群為主,另一方面則依人員分群為 主。總體而言,企業依照不同的工作職能,會有不同的存取控制機制,對於專案的執 行,也必須要有相對應的群組才能完成特殊的任務目標,又因為專案的特殊性,所以 也必須要有特殊的管控機制,才能有因時地而制宜的管控機制。
2.3.2 工作流程與 工作流程與 工作流程與 RBAC 融合 工作流程與 融合 融合 融合
對於企業而言除了本身架構複雜需要管控,空間環境的使用也是重要的環節,因 此 Zhang 等學者將 RBAC 模型改良[33],加入了時間和地點的概念,使資源在存取時 能有更佳的安全限制,讓合理的使用者在不合理的時間或地點下同樣無法使用角色權 限。然而在眾多存取控制模型的研究中,替存取控制概念訂立了基本元素和相關限 制,但僅為模型的建立,未探討進行工作的相關概念。
而工作流程內的各個子工作,存在著許多的特性,如:Iteration、OR-Join、
OR-Split、AND-Join、AND-Split 等,因此如何將工作適當的安排顯得格外重要,在 Atluri 等學者提出的工作流程委任範本中[1],記錄了各個工作在執行階段的流程實 例,使角色行使狀態能加以記錄,讓後續的人員欲擔任該角色時,能作為參考依據。
由於基於角色的存取控制有著良好的存取機制與安全規範,因此許多研究將其與 工作流程加以結合應用,Yang 等學者提出動態工作流程透過流程授權範本與 RBAC 的 靈 活 存 取 控 制 模 型 (Flexible Access Control Model for Dynamic Workflow, FACM4DW)[32],並且運用了 FWAT[1]對於權限裡的工作規範、資源物件、操作能力 做為搭配項目,透過觸發對於角色的行使時間給予限制,以便動態配合政策的改變,
但其並未對進行工作的人員加以分群及候選人員的設定和委任。Botha 提出基於 RBAC 之工作流程情境存取控制模型(Context Sensitive Access Control Workflow Environments, CoSAWoE)[2],該模型分為 RBAC 實體與工作流程實體,並將工作流 程實體中的任務與 RBAC 實體中的角色進行指派,進而達到工作流程情境下的存取 控制,但這樣的模型著重於工作流程的建置以及對應角色權限設計,並未能將工作直 接與權限做指派。 Liao 等學者提出工作流程管理系統的工作導向存取控制模型 (Task-Oriented Access Control Model, TOAC)[14],依照工作需求,而將人員分配至工 作角色上,同時藉由人員自身的委任或管理員的授權,可以讓他人重複繼承相同的角 色和權限,以利工作的執行。在眾多工作流程相關的研究中,具體描述了工作執行時 所會遇到的情況,以及和 RBAC 結合使用時對於資源控管的概念,但是對於工作完 成後的所應紀錄的資訊並未給予明確指示,以及產生何種候選人員相關指派。
2.3.3 參考 參考 參考模型比較 參考 模型比較 模型比較 模型比較
以下我們針對數個重要的研究模型加以分析其優缺點,如下表 2 所示:
表 2. 參考模型比較 參考模型
比較要素
Group-based RBAC,2009 FACM4DW,2008 TOAC,2005
人員分群 YES NO NO
候選人員 NO NO NO
動態人員調整 NO YES NO
工作紀錄 NO YES NO
人員委任 NO NO YES
Group-based RBAC[15]僅針對人員加以分群,並未對原先角色提出候選人員的概 念和工作過程的工作紀錄以及職務上的委任。
FACM4DW[32]雖然未做人員分群和候選人員的概念,但其將角色和權限加以分 析,讓人員透過流程和職務紀錄可動態的行使角色能力,因此有良好的安全政策設計。
TOAC[14]雖然未做到人員分群和候選人員,以及人員調整和工作紀錄,但其因 為設計概念為原先行使人員直接進行角色的委任,並透過群組領導亦可直接將職務授 權給予他人,因此彌補其他授權上的概念,但也因此產生權限擴張及濫用的可能性。
對於企業環境的營運,有互相合作或是工作相依而產生的工作流程,以及為了特 定任務目標而產生的專案類型,差別在於前者之工作有完全相依以及部分相依等特 性,而後者則是專案內的工作可以多頭並進或者分別進行。而在眾多研究之中,可以 發現鮮少有論及適用於專案性質的群組工作維護之存取控制機制。對於企業所完成過 的各個專案,若其工作需要維護,而原先擔任該工作角色的人員因故無法進行工作維 護時,將會造成職務上的人員空缺,而使得工作延宕。若是由系統管理員加以指派人 員行使工作維護,過程中難免有該人員是否熟悉、適任該職務的疑慮,進而同樣有使 工作延宕的可能性。 本研究將對於專案性質的群組工作維護之存取控制加以探 討,旨在解決專案內的工作需要維護時,人員無法行使工作角色所造成的工作延宕,
以及如何尋找出適合進行該工作維護的人員,透過適任人員的選擇,讓管理員的指派 過程不再有其他疑慮。
第三章 第三章 第三章
第三章 基於群組 基於群組 基於群組 基於群組工作 工作 工作 工作維護的存取控制 維護的存取控制 維護的存取控制 維護的存取控制模型 模型 模型 模型
由於目前基於角色存取控制模型和工作流程應用於企業環境中,多為著重於如何 減少安全管理人員的負擔,以及將工作和人員作適當的配置等;專案之群組內的已完 成或進行中的各個工作過程,人員匹配角色所行使的權限和操作的物件並沒有適當的 紀錄。而現今的企業專案任務中,由於合作契約訂立的條款不同,完成的專案任務常 伴隨著後續的功能服務或必須進行產品的維護,但人員異動和流失常使得企業必須重 新尋找適合的維護人員,故而維護該工作的人員選擇成為企業面臨人員流失時必須面 對的重要問題。因此,我們需要一套能夠將專案任務內各種工作加以記錄、同時能指 出適合服務或進行維護人員的存取控制模型。本章節共分為六節,第一節為基於群組 工作維護的存取控制模型(Group-based Access Control Model for Maintenance of Task, GBAC4MT)的組成概念,此概念說明企業內的專案工作於本研究的呈現風貌,並了解 群組與專案工作於企業內的實際作用;第二節為「基於群組工作維護的存取控制模 型」,將會介紹此模型的涵蓋元件與組成概念,說明我們所需求的元件和元件之間的 交互關係在模型內的運作方式;第三節為維護人員的選擇,表達工作需求的維護人員 產生的過程;第四節為專案工作維護的假設個案探討,能透過案例加以完整的闡述工 作記錄與維護需求的實際情況;第五節將為本研究做簡單的分析;第六節為本章做一 個簡單的結論。
3.1 基於群組工作維護的存取控制 基於群組工作維護的存取控制 基於群組工作維護的存取控制 基於群組工作維護的存取控制模型 模型 模型組成概念 模型 組成概念 組成概念 組成概念
企業組織內,針對日常行政工作以及特定的任務目標,皆有其各自需求的人員和 群組或團隊。當人員在行使日常行政工作所屬的角色群時,這些角色群和權限於行使 限制上鮮少有特殊的限制和需求,為企業內人員普遍可擔任,以完成一般工作;如總
因而必須由特定的群組來行使不同的工作,而群組本身的形成,不外乎是為了達成特 定的任務目標而由一群人形成的隊伍,像是企業之間的合作,由不同公司的各部門員 工組成群組而共同完成目標,在群組中,每個人都會行使其合法的角色,共同努力才 能共同完成群組目標[14]。因應企業組織內想要完成任務目標的需求,往往會形成專 案工作,進而設立特定群組,在這些專案的群組內,群組都會有各自的專案經理,在 專案進行的過程統籌分配成員各自的工作以及管理專案的進度;而群組所包含的人員 對象,為符合該群組需求的工作資格的部分人員,透過專案經理選擇可執行工作角色 的人員,讓其成為群組的一員;在專案群組中,人員會擔任工作角色以完成專案內的 工作,而同時群組內的每位人員皆有可能具備著額外其他可以被指派的工作角色之行 使能力。因此在本研究中將對此關係加以利用,目的是當原行使工作角色的人員無法 維護該工作時,我們可以利用此一指派關係找出適合的維護人員,圖 12 為企業人員 擔任角色示意圖。
圖 12.企業人員擔任角色示意圖
當公司設定專案內的工作以及該工作所需求的工作角色後,即可過濾人員可以執 行的工作角色,將人員對照至多個群組,讓其專案經理分別進行指派,將所需要的工
作人員,由一般人員轉任為群組人員,行使工作角色,以完成任務工作;在角色對照 (Role mapping)的研究探討已在許多研究中以有所提及[15][19][20],故本研究不加深 入探討。角色和權限方面,一般角色與權限進行指派而操作物件,由一般人員行使之,
以完成行政上的角色需求;例如,一般角色可以進出公司但是不可以進入檔案室。而 在專案的群組內,工作角色與權限進行指派而操作物件,由群組人員行使之,以完成 專案工作上的權限需求;例如,某專案工作之群組人員可以於特定時間進入無塵操作 室並使用機械。企業內的人員通常都具備了多數的角色能力,而經過角色的對照,便 可能在多個群組出現多數個可行使的角色,而再由各專案的各個群組之專案經理加以 指派,進而行使特定工作角色。此時的人員與各群組角色之間,便會出現人員行使工 作角色的指派關係,而對於群組內其他可行使的工作角色,就具備了未被指派的隱含 關係。最後由工作紀錄檔記錄了各個專案的群組別,以及人員完成的工作別、該人員 所行使的角色、以及該人員可行使但未被指派的額外關係,透過這樣的紀錄以利後續 工作維護。而這樣的分類,減輕了系統管理員在設計角色職務相依以及後續工作維護 人員指派的負擔。同時該機制讓專案內需要進行維護的工作,對於企業營運的動態改 變,系統管理員能夠對人員進行合適的指派至專案內的工作需求角色,使專案進度不 受人員因素而產生無法預期的情況。
3.2 基於群組工 基於群組工 基於群組工 基於群組工作維護的存取控制模 作維護的存取控制模 作維護的存取控制模 作維護的存取控制模型 型 型 型相關定義 相關定義 相關定義 相關定義
針對上一節的描述,我們提出一套「基於群組工作維護的存取控制模型」,以解 決企業各個專案在完成後當其內部工作需要維護時,所面臨的人員選擇與工作紀錄問 題。在本研究的架構中,存取控制的精神是源自「基於角色存取控制模型」,並將企 業依照專案的任務目標成立群組之概念加以融合,成為「基於群組工作維護的存取控 制模型」,如圖 13 所示,以下將定義本模型會使用到的基本元素與相關限制。
圖 13.基於群組工作維護模型圖
3.2.1 模型的涵蓋元件與組成概念 模型的涵蓋元件與組成概念 模型的涵蓋元件與組成概念 模型的涵蓋元件與組成概念
對於模型的元件定義,主要如下所示:
人員(Users):企業內部所有人員的集合。本研究中所指人員如各個群組所屬的人員、
一般行政人員、各個群組的管理員等。本研究後續將會提出與此元素相關定義,故簡 寫 U 表示人員。
工作角色(Roles_Task):所有執行工作的工作角色集合,為公司內依據專案內容的工 作所設立的各個工作角色。本研究後續將會提出與此元素相關定義,故簡寫 Rt 表示 工作角色,即執行專案內工作所需之角色。
權限(Permissions):權限為角色對於特定物件的使用權力,為角色執行特定工作或達 成目的時之必需的資源。而權限又細分為操作和物件,操作代表的是行使某一物件的 行為,物件代表承受該行為的受體。
群組(Group):各個專案所屬的群組人員集合。公司內依據各個任務目標,設立了不
同的專案,而執行這些專案內工作的群組人員,本身具備不同的特殊權限,以配合完 成工作目標;如 1 號工作群組可以進入無塵室,2 號工作群組可以操作重力機械。本 研究後續將會提出與此元素相關定義,故簡寫 G 表示群組。
專案(Project):所有關於專案內的工作集合。依據企業設定的專案目標不同,將會存 在不同的工作,而專案內這些不同的工作內容,也會產生相對需求的工作角色,因而 需要相對的群組和人員擔任,以完成任務目標。本研究後續將會提出與此元素相關定 義,故簡寫 P 表示專案。
人員-工作角色全指派(Group_URA):所有關於專案內各個工作對應的群組中,所有 人員與所能擔任之工作角色指派關係所形成的集合,包含了人員與工作角色確實指派 (Group_UTRA)以及人員與其他工作角色未被指派(Group_UTRnA)。
人員與工作角色確實指派(Group_UTRA):所有關於專案內各個工作對應的群組中,
真正指派至工作角色的人員指派關係所形成的集合。
人員與其他工作角色未被指派(Group_UTRnA):所有關於專案內各個工作對應的群組 中,人員於擔任真正指派的工作角色後,仍可被指派其他角色指派關係所形成的集合。
工作紀錄(T_log):所有關於專案內各個工作的紀錄,該紀錄包含有{群組別、專案別、
人員與工作角色確實指派、人員與工作角色未被指派}。
對於企業內專案目標所設定的各個工作,必須由相對的群組人員來執行,而在確 認工作角色與建置群組之後,針對工作角色的性質將會對照適合的人員至該群組內,
與該工作需求的工作角色產生指派關係。經由以上元素呈現,可以構成企業人員對照 至目標群組與工作角色指派的基本關係定義;假定 g 為此環境下執行某專案目標的群 組,u 為企業內人員集合的一位人員,rt 為工作角色集合內的工作角色,Rt(g)表示群 組 g 內所配置的工作角色集合,Rt(u)表示企業人員所能行使的工作角色集合,
Group_URA(g, u, rt)表示群組 g 內工作人員 u 集合可行使工作角色 rt 集合的所有指派 關係。表示式如下:
定義 1.
∀u∈U, ∃rt∈Rt, ∀g∈G
rt∈Rt(g) and rt∈Rt(u) → Group_URA(g, u, rt)
某一工作角色 rt 為群組 g 所需求之角色,且此一工作角色為群組內之人員 u 可 擔任之工作角色,則群組管理員即可進行指派。對於群組內的所有可行指派關係形成 之後,群組管理員即可將選定的人員指派至工作角色上,成為工作的人員與工作的角 色 指 派 關係 , 而 未 被 指 派 者 即 為 人 員 與 其 他 工 作 角色 未 被 指 派 關 係 。 因 此 以 Group_UTRA(g, u, rt)表示群組 g 內,工作人員 u 所行使 rt 此工作角色的確實指派關 係;Group_UTRnA(g, u, rt)表示群組 g 內,工作人員 u 所能行使 rt 此工作角色但未被 指派關係,而 Group_UTRnA 即為 Group_URA 與 Group_UTRA 的差集。以本研究中 的假設個案說明以上關係,令 U(g)表示群組 g 內所配置的人員集合,Group_URA(g, u, rt) 表示群組 g 內工作人員 u 集合可行使工作角色 rt 集合的所有指派關係,人員集合 u={u1, u2}∈U(g),工作角色集合 rt={ rt1, rt2}∈Rt (u),當群組 g 內的工作人員 u1被群 組管理員指派予工作角色 rt1時,該指派關係便成為 Group_UTRA;而該工作人員可 行使的其他工作角色 rt2便會成為 Group_UTRnA,也就是 Group_URA - Group_UTRA 的差集。
而對於專案內工作的起始到結束,必須要有正確的記錄,方能使將來的工作維護 能有正確的參考資訊,若能記錄下工作過程群組人員與工作角色的配置,將可以為群 組管理員後續進行工作維護時提供正確的資訊。因此工作紀錄(T_log)對於專案內的每 一個工作目標進行時的群組內人員與角色的配置,將加以記錄,如工作人員與工作角 色確實指派關係、工作人員與工作角色可行使但未指派關係、專案、工作群組等元件。
以 T_log(P)表 示專案 p 配置 的群組 g 內 ,工作人員 與工作角色確實 指派關係 (Group_UTRA)、以及工作人員人員與其他工作角色未被指派關係 (Group_UTRnA)。
3.2.2 限制 限制 限制條件 限制 條件 條件 條件
本研究中所有的工作角色與其他工作角色之間,若其本身具有權限上的特殊性,
使得角色在重覆進行指派時,可能會存在著執行時的問題,即角色之間的權責衝突,
若不加以限制將造成不當的權限操作,因此需要加入額外的限制條件才可使系統順利 執行。當角色授權予企業人員執行時,該人員即有執行該角色的權力,同時亦必須為 此負起相對的責任。若有兩個以上權責衝突的角色授權予同一位企業人員執行時,即 有可能發生舞弊或濫用權限的情況。為了避免此一情形的發生,勢必將對工作角色有 所限制,以防有心人士利用。以下 SoD_Role 表示具有權責衝突角色的集合;工作角 色 rt1與 rt2為具有工作權責衝突的工作角色。權責衝突角色之表示式如下:
定義 2.
∀g∈G, ∃u1∈U(g1), ∃rt1, rt2∈Rt(g1)
rt1,rt2∈SoD_Role and rt1∈Group_UTRA(g1, u1, rt)
→ rt2
∉
Group_UTRA(g1, u1, rt)以本研究中的假設個案來說明以上定義,Group_UTRA(g1, u1, rt)表示群組 g1內,
工作人員 u1所擔任 rt1此工作角色的指派關係,因人員 u1同時可擔任 rt1和 rt2這兩個 工作角色,但是因為 rt1和 rt2對於群組 1 而言屬於權責衝突角色 SoD_Role,因此在 指派關係上,當群組 g1內的工作人員 u1已擔任工作角色 rt1時,則工作角色 rt2便不 可以再指派予工作人員 u1,反之亦然。
3.3 維護人員 維護人員 維護人員 維護人員選擇與 選擇與 選擇與 選擇與指派 指派 指派 指派演算法 演算法 演算法 演算法
本小節將對專案內工作的維護人員選擇流程進行探討,簡單的了解人員選擇的順 序性為何,並透過演算法呈現選擇人員的判斷步驟,以下將對其加以闡述。
3.3.1 維護人員選擇的流程 維護人員選擇的流程 維護人員選擇的流程 維護人員選擇的流程
對於所有專案群組中的人員,只要不具有權責衝突的工作角色,在經由群組管理 員指派或委任之後,將會以本身現有角色而進入工作群組,並且切換群組的工作角 色,具有工作群組基本權限,以及本身角色相依權限,以完成專案內的工作。
對於已經完成的專案,隨著客戶所產生新的需求,企業可能會需要對其包含的某 些工作進行維護,但欲進行維護的工作別,有可能為複雜且危險的工作,因此必須交 由合格的對象行使工作角色和權限而完成。因此對於維護人員的選擇過程,首先的考 量是基於職務上的熟悉度,得先參考工作的紀錄中,何人為原先行使該工作角色的人 員,讓其行使工作角色進行該工作維護;若原先人員無法行使工作角色,那麼其次將 從相同的工作群組中,選擇具備行使該工作角色能力的適合人員進行維護;在相同群 組內工作的人員比起群組外的其他人員,對於該專案有較好的熟悉度,因此相對的較 容易快速的進行維護,不使效率過於低落。而若該專案所屬的群組人員皆無法行使工 作角色,才從整個公司組織重新尋找選擇適合的人員,對照至該專案所屬的群組,使 其擔任工作角色進行維護。若此仍無法尋得適合的人員進行工作維護,則由系統通知 群組管理員此一情況,加以研擬對策。工作維護人員之選擇順序如圖 14 所示:
