Page 346 - 《软件学报》2024年第4期
P. 346
1924 软件学报 2024 年第 35 卷第 4 期
开始
开始
用户 A 删除用户 B 的
打卡记录 D 用户 A 请求删除
个人数据 E
用户 A 无权
用户权限控制中心 0
删除数据 D 用户 A 无权
0 用户权限控制中心
1 删除数据 E
用户 A 有权 1
删除数据 D
用户 A 有权删除
数据 E
系统判断 D 为有 有组织
组织/无组织记录 删除数据 D
用户 A 无权 有组织 系统判断 E 为有
删除数据 E 组织/无组织记录
无组织
无组织
数据权限控制中心
保留 删除
系统判断该条数
据是否被分享
保留个人 删除组织 未分享 被分享
数据 D 数据 D'
删除 数据权限控制中心
保留
删除个人 保留组织
数据 E 数据 E'
结束
结束
(a) 情况 1: 组织删除员工数据 (b) 情况 2: 员工删除个人数据
图 8 情况 1 和情况 2 流程图
由于 HAO 打卡系统的组织架构的相互交叉并存的, 在权限管理上可能会面对较为复杂的情况, 如下述的情
况 3.
情况 3: 用户 A 请求同时删除用户 B 和用户 C 的打卡数据, 用户和部门之间的关联关系如图 9(a) 所示, 用户
A 在该组织架构中有多重角色. 将两个请求分别发送到“用户权限控制中心”, 判断该用户 A 在所请求数据上的具
体权限, 最终返回的结果为用户 A 可删除数据 D、但无法删除数据 E, 因此将删除数据 D 请求传递给数据接口,
由数据接口执行指令, 并将结果返回给用户, 对于数据 D 的进一步细粒度数据权限判断操作同情况 1 和情况 2, 情
况 3 的具体执行流程如图 9(b) 所示.
需要说明的是, 为保护组织范围的历史数据, HAO 打卡系统的数据删除操作均为伪删操作, 企业负责人拥有
恢复伪删记录的权限, 若伪删数据超过一定时限 (该时限可由企业负责人设置) 未启用, 系统将彻底销毁这些数据.
随着存储成本的进一步降低, 很多企业采取了“保留全部数据”的策略, 然而从价值成本以及数据生命周期理论的
角度来说, 存储超过业务需求的数据未必是种好选择.
HAO 打卡闭环权限管理架构分为权限管理与分配, 异常行为检测和权限回收 3 个部分. 该架构的核心在于权
限分配与管理和异常行为检测两个模块. 权限分配与管理指上文提到的从粗粒度到细粒度的隐私权限管理办法.
考虑到系统中可能存在用户的异常行为, 异常行为检测需要针对用户日志进行分析, 检测异常用户行为, 并通知权
限回收模块对出现异常行为的用户进行权限回收或暂时性的权限限制, 并将结果反馈给权限管理与分配模块, 由
