Управление доступом к информации интернет

УПРАВЛЕНИЕ ДОСТУПОМ К ИНФОРМАЦИИ ИНТЕРНЕТРЕСУРСОВ ДЛЯ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ
ВЗАИМОДЕЙСТВИЯ РАБОТОДАТЕЛЯ И СОИСКАТЕЛЯ
РАБОТЫ
А. М. Бершадский, А. В. Лушников, В. В. Эпп
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования «Пензенский государственный
университет», г. Пенза
al.lushnikov@yandex.ru
Взаимодействие экономики и образования является неотъемлемой
частью эффективного развития каждой из отраслей. В последнее время
уделяется повышенное внимание непосредственному сотрудничеству
работодателей с образовательными учреждениями с целью повышения
качества образования и учета мнения работодателей при подготовке
конкурентоспособных кадров.
Наряду с личным взаимодействием работодателя и образовательного учреждения возможно косвенное сотрудничество посредством публикации своей потребности в кадрах работодателями в автоматизированной системе мониторинга и прогнозирования (СМИП). Система была разработана совместно с Пензенским институтом развития образования, введена в эксплуатацию и общедоступна в Интернете по адресу:
http://forecast.claymake.ru [1].
СМИП состоит из нескольких компонентов [2, 3]:
 прогнозирования;
 мониторинга;
 взаимодействия с образовательными учреждениями;
 учета мнения работодателей;
 администрирования.
Компонент – самостоятельная программная единица, включенная в
состав общего программного обеспечения. СМИП является многопользовательской системой. Основными действующими лицами являются:
1. Работодатель – авторизованный пользователь: ввод данных о потребностях в кадрах различной специализации и квалификации.
2. Образовательное учреждение – авторизованный пользователь:
ввод данных о выпуске в разрезе специальностей, направлений подготовки и профессий.
3. Работник министерства (управления, департамента) образования
– пользователь, не занимающийся вводом данных, но осуществляющий
их анализ: поиск и отображение полной информации в системе прогнозирования и мониторинга, создание отчетов.
4. Оператор системы – полный доступ к локальной базе данных,
редактирование объектов системы прогнозирования и мониторинга.
В связи с наличием различных типов пользователей необходимо
разграничивать права доступа к информации. Были проанализированы
два подхода к управлению доступом к информации, среди которых модель управления правами доступа на основе ролей (RBAC) и модель
избирательного управления правами доступ (DAC) [4]. Каждая из моделей имеет свои преимущества, недостатки и наиболее характерные сферы применения.
Управление правами пользователей изначально было реализовано с
использованием модели избирательного управления доступом, которая
при небольшом количестве пользователей полностью удовлетворяла
требованиям эффективности управления правами пользователей. Однако с развитием системы увеличилось количество пользователей и типов
пользователей. Помимо этого, определенным группам требовалось
назначение специфичных прав, таких как предоставление частичных
прав администратора. Дополнительной сложностью являлось то, что
список пользователей и их уровни доступа к информации не являются
постоянными и требуют регулярного контроля.
Таким образом, выявились основные недостатки существующего
компонента управления доступом в системе мониторинга и прогнозирования:
 Отсутствие возможности наследования привилегий пользователями – эффективного механизма, ведущего к упрощению задачи управления доступом.
 Сложность и неэффективность управления привилегиями пользователей. Этот недостаток обусловлен возросшим количеством типов
пользователей и самих пользователей.
Для того чтобы устранить выделенные недостатки, необходимо
было реализовать иерархическую модель разграничения доступа на основе ролей. Эта модель оперирует элементами авторизации различного
уровня: роль, задача, операция.
Хотя технически элемент авторизации любого уровня может наследовать другие элементы авторизации, предлагается ввести систему
ограничений, которая поможет упростить задачу управления привилегиями пользователей:
1. Наиболее низкий уровень среди элементов авторизации занимает
операция. Она является неделимой и не может являться родителем для
других элементов авторизации.
2. Задача состоит из операций. Задача может состоять из других задач и операций.
3. Роль является наиболее абстрактным элементом авторизации.
Она может включать элементы любых типов.
4. Пользователь может иметь не более одной роли в системе.
5. Любое право доступа пользователь приобретает исключительно
через роль.
На рис. 1 представлен пример иерархии элементов авторизации в
ролевой модели разграничения доступа. На схеме присутствует пять
ролей: администратор, образовательное учреждение, работодатель, редактор, работник министерства образования. Роли содержат шесть операций и две задачи. Роль администратора является составной и включает две другие роли со всеми их привилегиями плюс индивидуальную
операцию «Управление параметрами модели», которая не доступна другим пользователям системы.
На рис. 2 представлен алгоритм проверки прав пользователя. Он
основан на рекурсивной функции проверки прав доступа, которая предназначена для обхода ветви дерева привилегий в поисках необходимого
права у текущего пользователя системы.
Администратор
Образовательное
учреждение
Редактор
Редактировать
собственные данные
о выпуске
Внести данные о
выпуске
Редактировать
данные о выпуске
Работодатель
Редактировать
собственные
потребности
Редактировать
потребность
Работник
министерства
образования
Формирование
отчетов
Внести потребность
Управление
параметрами модели
Рис. 1. Схема наследования привилегий
Данная модель является очень гибкой и позволяет повысить эффективность управления привилегиями пользователей за счет наследования
элементами авторизации друг друга. Облегчается создание специфичных наборов привилегий при появлении новых операций, задач и ролей.
Система мониторинга и прогнозирования текущих и перспективных потребностей рынка труда в кадрах различной специализации и
квалификации выполняет функции связующего звена между работодателями и сферой образования. Располагая первичной статистической
информацией, полученной от каждой из сторон, имеется возможность
провести анализ спроса на кадры с определенным уровнем образования
и определенного направления подготовки.
Начало
Начало функции «Рекурсивная
проверка прав доступа»
Получить список элементов
авторизации, назначенных
пользователю
Проверка существования
элемента авторизации
Не существует
Существует
Рекурсивная проверка прав
доступа
Не выполняется
Выполняется правило
проверяемого объекта?
Выполняется
Конец
Имеет ли пользователь
элемент авторизации,
требуемый объектом
Не имеет
Имеет
Выполняется правило
проверяемого объекта?
Выполняется
Не выполняется
Поиск родительского элемента
Для каждого родительского
элемента авторизации
i=1,n
Функция рекурсивной проверки
прав
Доступ разрешен
i
Доступ запрещен
Конец функции
Рис. 2. Алгоритм проверки прав пользователя
Список литературы
1. Бершадский А. М., Лушников А. В., Эпп В. В. Система автоматизированного мониторинга и прогнозирования текущих и перспективных
потребностей рынка труда в кадрах различной специализации и квалификации // Инновации в науке, образовании и бизнесе: Сб. статей
Х Междунар. научно-метод. конф. Пенза: Изд-во Пензенского филиала
РГУИТП, 2012. Т. 2. Технические науки. С. 27–30.
2. Бершадский А. М., Лушников А. В., Эпп В. В. Мониторинг и прогнозирование текущих и перспективных потребностей рынка труда в
кадрах различной спциализации и квалификации с учетом мнения работодателей // Дистанционное и виртуальное обучение. 2013. № 3. С. 4–12.
3. Бершадский А. М., Лушников А. В., Эпп В. В. Взаимодействие
компонента по учету мнения работодателей и компонента взаимодействия с образовательными учреждениями в системе мониторинга и прогнозирования // Спрос и предложение на рынке труда и рынке образовательных услуг в регионах России: Сб. докладов по материалам IX Всерос. научно-практ. Интернет-конф. Петрозаводск: Изд-во ПетрГУ, 2012.
Кн. 1. С. 54–59.
Beyond Roles: A Practical Approach to Enterprise User Provisioning.
URL: http://hitachi-id.com/identity-manager/docs/beyond-roles.html,
20.09.2013.