高校信息化崗位平臺設計思路探析*

郭曉明

（大連理工大學 網絡與信息化中心，遼寧 大連116023）

傳統基于角色的訪問控制（RBAC）是信息系統建設中一種常用且有效的訪問控制方式，高校信息化系統建設中也常常用到，但具體每個系統用到的角色數量卻往往很少，一般都是超級管理員、二級管理員和用戶三類，而且有些角色的名稱與實際的工作崗位名稱幾乎一樣，例如科研系統中的科研秘書角色、學工系統中的輔導員角色、教務系統的教務員角色等。綜合高校信息化中眾多系統基于角色的訪問控制模式，存在以下幾個共性的問題：

（1）系統角色只包含功能權限，而實際管理用戶還存在數據范圍權限，所以在系統分配某個用戶至角色時，還需要設定這個用戶能管理的數據范圍（科研秘書是組織機構范圍，輔導員是班級范圍，教務員是學部院系范圍）。

（2）對于系統維護者來說，角色用戶維護往往是由一兩個超級管理員來完成，人員調整后更新難保證及時性；而學校機構中崗位人員經常變動，變動后各項工作任務往往能很快進行交接，但是系統中的權限交接往往跟不上。

（3）高校逐步在通過信息化手段完成業務流程化再造，建設網上辦事大廳，并把眾多審批、審核功能加入到流程建設中，在流程運轉過程中，普通用戶在發起流程時往往對有權進行審批或審核的用戶信息不了解也不掌握，例如本科生不知道教務員是誰、科研項目申請者不知道科研秘書是誰等，同時進入系統時也沒有顯示。

（4）信息化系統更新換代時，原有系統的角色數據往往很難復用，需要根據實際情況進行重新收集、整理并更新到新系統中。

除了基于角色的訪問控制之外，部門賬號模式在高校信息化系統建設中也較為常用，既在系統中為每個部門建立一個單獨賬號，并把賬號信息提供給各個部門負責人員。這類賬號往往在部門內部工作人員中共享，變為公共賬號，密碼長期不做調整。這種模式存在較大安全風險，無法進行用戶操作行為審計。

基于以上存在的各類情況和問題，同時為了更好地支撐學校信息化建設，方便師生用戶，大連理工大學在2016年底啟動的信息化基礎平臺建設項目中加入了統一崗位管理平臺（下文簡稱崗位平臺），把崗位作為師生用戶與信息系統角色權限連接的紐帶，強化實際工作中具體崗位，弱化系統中的角色權限。本文從崗位的界定和分類、崗位與組織機構的關系、崗位的管理、崗位的應用四個方面對平臺設計思路進行分享，期望對高校信息化建設提供參考。

一、崗位的界定和分類

支撐高校信息化建設的崗位數據來源于學校實際認定的崗位情況，但也需要有所擴展，考慮更多情況，包括更大范圍。具體涉及以下四類：

（1）學?，F行的實際工作崗位，而且不限于有行政級別或正式發布的崗位，只要實際從事具體工作即可，例如：組織員、人事專干、宣傳專干等。

（2）學校各具體辦事流程中所涉及的崗位，特別是在辦事大廳建設中，每個環節只需要設定具體的崗位，而不需要限定到具體的人，例如：負責審批的各領域分管工作領導、黨政和行政負責人等。

（3）各信息系統中二級管理人員可以抽象為具體且識別度高的崗位，統一納入崗位平臺管理，使系統中權限項管理與崗位人員管理分離開，例如：校內公示系統負責發布管理的“校內公示發布員”，負責學校校內動態發布管理的“信息發布員”，消息平臺中負責發送消息的“消息發布員”等。

（4）學校各部門自身獨有的崗位或者根據工作需要只在內部設置的崗位，例如：部門正副職領導，部門下屬研究所的領導等。

根據以上分類的特點，在具體設計時分成通用崗位和部門崗位兩個大類，如圖1所示。

圖1 崗位分類

二、崗位與組織機構關系

崗位平臺的設計中加入了組織機構信息作為重要關聯點（如圖2所示）：通用崗位是分配給多個組織機構并可在學校范圍內達成共識的崗位，每個通用崗位與組織機構信息是一對多的關系；部門崗位只與具體的組織機構關聯，每個部門崗位與組織機構信息是一對一的關系。

圖2 崗位與組織機構的關系

每個通用崗位下將根據需要加入多個組織機構，形成通用崗位視圖；每個組織機構下將包含多個通用崗位、多個部門崗位，形成組織機構崗位視圖，如圖3所示。這里的組織機構不限定層級，可以是校區級、部處級、學部院系級，甚至是科室級。

把組織機構作為重要因素納入崗位平臺，主要基于以下三點考慮：

（1）組織機構是學校開展各項工作的基本單元，把信息化崗位落實到具體組織機構，可以明確管理職能，實現崗位的二級管理，更好落實并推廣；

（2）通過組織機構可以限定崗位人員的范圍，方便人員的設置和變更；

（3）很多系統或者功能都涉及人員數據權限范圍，組織機構是最為常見的一種，與具體崗位關聯之后，可以方便各業務系統進行數據范圍設定。

圖3 通用崗位視圖（左）和組織機構崗位視圖（右）

三、崗位的管理

崗位平臺采用多級管理模式，管理主要有兩項工作，一個是設定崗位，一個是給具體崗位分配人員。整體的管理模式如圖4所示，其中虛線表示主要落實一項管理工作即可，實線則表示要落實兩項管理工作。

圖4 崗位平臺崗位管理模式

系統管理員主要是建立通用崗位并根據需要給每個通用崗位設定管理員。每個通用崗位管理員則負責把所管理的通用崗位設定到具體的組織機構下，并設定崗位人員的設置模式、崗位人數上線、崗位基本信息等相關內容。

為弱化系統管理功能，平臺中建立了兩個內置的通用崗位與線下各單位的信息化隊伍相匹配一致，包括負責部門整體信息建設的“信息化負責人“和負責部門信息化具體實施、溝通、協調的“信息化專干“，兩個通用崗位的管理員由學校網絡與信息化中心（信息化建設管理辦公室）的相關人員承擔，主要負責信息化負責人、信息化專干的變更處理，給兩個崗位分配新增組織機構數據。每個部門的信息化負責人可以調整本部門信息化專干的人員設定。

信息化專干是平臺實施二級管理的關鍵，每個組織機構的信息化專干能看到本機構的組織機構崗位視圖，并負責維護本機構下通用崗位的人員名單，另一方面可以在本機構或下屬機構下按需添加部門崗位并分配具體的人員。在通用崗位整體架構設定完畢之后，所有人員與崗位的關系都由各組織機構自己負責。每個信息化專干人員分配時都只能看到崗位所屬組織機構以及下屬機構的人員數據，如果存在其他機構人員在本機構任職的情況，則可以使用“精確查找“功能（如圖5所示）通過輸入職工號、學號和姓名獲取到相關信息來跳出人員數據范圍限制。

圖5 “精確查找“功能跳出人員范圍限制

四、崗位的應用

崗位平臺的崗位信息當前主要應用于網上辦事大廳、第三方系統和崗位人員數據對外展示三個方面。

網上辦事大廳每個流程都涉及具體的人員，但是實際上具體人員是一直在發生變化，不可能在設計流程時把具體人員與流程進行綁定，而是通過崗位平臺中的崗位與具體流程進行綁定，使人員與流程進行管理分離。流程設計時只與崗位綁定，并不關注崗位下的具體人員；在流程運轉時，通過崗位平臺實時找到流程節點綁定崗位下的具體人員。流程與人員通過崗位平臺中的崗位進行了解耦，也進行了關聯。同時通過崗位與組織機構的關系，使流程對應崗位的人員范圍大大縮小了，例如：本科生在申請學籍異動時，流程會根據學生所在的學部院系，精確定位到其學部學院的教務員老師，而不是把全部教務員都列出來進行大范圍的選擇。

崗位平臺崗位所對應人員信息是由各個部門或者具體負責部門維護，基本能保證及時性，為第三方系統提供崗位下人員信息，可以優化各項工作的開展?？梢詼p輕第三方系統數據初始化工作：對于已有的崗位數據，第三方系統可以直接使用，無需做初始化；若沒有支撐第三方系統的崗位信息，可以快速地在崗位平臺建立對應的崗位并維護其中的人員?？梢员ＷC人員數據的及時性和有效性：第三方系統管理角色完全依賴于崗位平臺，并實現聯動，崗位下人員新增、變更、刪除都能及時體現，無需第三方系統再行調整。實現崗位數據的有效復用：第三方系統更新時，崗位數據仍然可以繼續使用，同一份崗位數據可以用到多個第三方系統中。

部分崗位人員數據是與具體工作崗位相關，還有一部分是與具體系統功能相關，這些都是師生比較關注的信息。一方面，師生通過具體崗位人員信息，可以了解到各項工作開展的具體聯系人，例如：要開展科研工作可以通過科研崗位找到科研秘書；要通過校內通知系統發布通知，可以通過“信息發布員”崗位找到本機構哪些人員有在系統中發布通知的權限。另一方面，師生可以對崗位人員數據進行核對、監督，確保崗位對應的人員數據正確并能及時更新。同時，崗位管理部門可以把崗位人員數據信息嵌入到部門網站中，以保證人員數據的及時更新并對外發布，例如：“本科教務員”崗位人員數據頁面直接掛到教務處網站中。

在具體技術層面，有三種方式對外提供應用：一個是通過公共數據交換工具（可以是ODI、kettle等）采用定時同步方式提供給業務系統；另一種是通過實時的數據接口（Data Service）方式提供；還有一種是提供H5自適用的展示頁面，直接嵌入到網站中使用。

五、總結與思考

崗位平臺是人員、組織機構、崗位數據整合和組合的平臺，使聚合的信息數據得到高效、方便、快捷的應用是平臺成功的關鍵。經過近兩年時間的建設，崗位平臺各項功能已基本落地，當前主要服務于學校各基礎平臺，包括校園門戶、消息平臺、辦事大廳等，但是如何有效支撐全校信息化建設并得到全校認可，成為學校信息化真正的基礎支撐平臺，是崗位平臺下一步要開展的主要工作。

崗位平臺是高校信息化建設中的一個新平臺，并沒有以業務部門的具體業務驅動來開展建設，而是作為信息化重要基礎平臺來建設，其與傳統的三大平臺有很大區別，是高校信息化中平臺化建設方向的探索和有效嘗試。