本文结合大连理工大学信息化基础平台建设实践,从岗位的界定和分类、岗位与组织机构的关系、岗位的管理、岗位的应用四个方面分享了学校岗位平台的设计思路和要点。
传统基于角色的访问控制(RBAC)是信息系统建设中一种常用且有效的访问控制方式,高校信息化系统建设中也常常用到,但具体每个系统用到的角色数量却往往很少,一般都是超级管理员、二级管理员和用户三类,而且有些角色的名称与实际的工作岗位名称几乎一样,例如科研系统中的科研秘书角色、学工系统中的辅导员角色、教务系统的教务员角色等。综合高校信息化中众多系统基于角色的访问控制模式,存在以下几个共性的问题:
(1)系统角色只包含功能权限,而实际管理用户还存在数据范围权限,所以在系统分配某个用户至角色时,还需要设定这个用户能管理的数据范围(科研秘书是组织机构范围,辅导员是班级范围,教务员是学部院系范围)。
(2)对于系统维护者来说,角色用户维护往往是由一两个超级管理员来完成,人员调整后更新难保证及时性;而学校机构中岗位人员经常变动,变动后各项工作任务往往能很快进行交接,但是系统中的权限交接往往跟不上。
(3)高校逐步在通过信息化手段完成业务流程化再造,建设网上办事大厅,并把众多审批、审核功能加入到流程建设中,在流程运转过程中,普通用户在发起流程时往往对有权进行审批或审核的用户信息不了解也不掌握,例如本科生不知道教务员是谁、科研项目申请者不知道科研秘书是谁等,同时进入系统时也没有显示。
(4)信息化系统更新换代时,原有系统的角色数据往往很难复用,需要根据实际情况进行重新收集、整理并更新到新系统中。
除了基于角色的访问控制之外,部门账号模式在高校信息化系统建设中也较为常用,既在系统中为每个部门建立一个单独账号,并把账号信息提供给各个部门负责人员。这类账号往往在部门内部工作人员中共享,变为公共账号,密码长期不做调整。这种模式存在较大安全风险,无法进行用户操作行为审计。
基于以上存在的各类情况和问题,同时为了更好地支撑学校信息化建设,方便师生用户,大连理工大学在2016年底启动的信息化基础平台建设项目中加入了统一岗位管理平台(下文简称岗位平台),把岗位作为师生用户与信息系统角色权限连接的纽带,强化实际工作中具体岗位,弱化系统中的角色权限。本文从岗位的界定和分类、岗位与组织机构的关系、岗位的管理、岗位的应用四个方面对平台设计思路进行分享,期望对高校信息化建设提供参考。
一、岗位的界定和分类
支撑高校信息化建设的岗位数据来源于学校实际认定的岗位情况,但也需要有所扩展,考虑更多情况,包括更大范围。具体涉及以下四类:
(1)学校现行的实际工作岗位,而且不限于有行政级别或正式发布的岗位,只要实际从事具体工作即可,例如:组织员、人事专干、宣传专干等。
(2)学校各具体办事流程中所涉及的岗位,特别是在办事大厅建设中,每个环节只需要设定具体的岗位,而不需要限定到具体的人,例如:负责审批的各领域分管工作领导、党政和行政负责人等。
(3)各信息系统中二级管理人员可以抽象为具体且识别度高的岗位,统一纳入岗位平台管理,使系统中权限项管理与岗位人员管理分离开,例如:校内公示系统负责发布管理的“校内公示发布员”,负责学校校内动态发布管理的“信息发布员”,消息平台中负责发送消息的“消息发布员”等。
(4)学校各部门自身独有的岗位或者根据工作需要只在内部设置的岗位,例如:部门正副职领导,部门下属研究所的领导等。
根据以上分类的特点,在具体设计时分成通用岗位和部门岗位两个大类,如图1所示。
二、岗位与组织机构关系
岗位平台的设计中加入了组织机构信息作为重要关联点(如图2所示):通用岗位是分配给多个组织机构并可在学校范围内达成共识的岗位,每个通用岗位与组织机构信息是一对多的关系;部门岗位只与具体的组织机构关联,每个部门岗位与组织机构信息是一对一的关系。
每个通用岗位下将根据需要加入多个组织机构,形成通用岗位视图;每个组织机构下将包含多个通用岗位、多个部门岗位,形成组织机构岗位视图,如图3所示。这里的组织机构不限定层级,可以是校区级、部处级、学部院系级,甚至是科室级。
把组织机构作为重要因素纳入岗位平台,主要基于以下三点考虑:
(1)组织机构是学校开展各项工作的基本单元,把信息化岗位落实到具体组织机构,可以明确管理职能,实现岗位的二级管理,更好落实并推广;
(2)通过组织机构可以限定岗位人员的范围,方便人员的设置和变更;
(3)很多系统或者功能都涉及人员数据权限范围,组织机构是最为常见的一种,与具体岗位关联之后,可以方便各业务系统进行数据范围设定。