ERP系统权限管理(精选十篇)
ERP系统权限管理 篇1
企业资源计划(Enterprise Resource Planning)是以MRP II(企业制造资源计划)为基础的企业管理软件。 是将企业所有资源进行整合集成管理,包括:物流、资金流、信息流进行全面一体化管理的管理信息系统。 ERP以流程管理的理念,打破了传统以职能管理为核心的管理模式, 把客户需求和企业内部的制造活动以及供应商的制造资源整合在一起, 形成企业一个完整的供应链,其核心管理思想主要体现在以下三个方面:①体现对整个供应链资源进行管理的思想;②体现精益生产、敏捷制造和同步工程的思想;③体现事先计划与事前控制的思想。 任何多用户的系统均不可避免地涉及权限问题,而ERP的权限系统也更为复杂。
1权限总体设计
企业级应用环境中的权限设计主要有三种: 自主性访问控制、强制性访问控制和基于角色的访问控制,其中自主式控制能力太弱、强制式控制太强,两者工作量大且不方便管理,基于角色的访问控制是目前公认的解决大型企业级系统的权限管理的有效方法。 可以有效减少权限管理的复杂性,提供企业权限管理的灵活性。
权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念, 结合系统中企业组织架构及业务处理的配置等对用户进行权限控制。 同时也通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的授权情况。 其中:
用户登录ERP时需输入的用户名称。 用户的创建一般在基本的ID等之外,需要维护包括姓名、身份、通讯信息等。
单一角色简单的说就是一个操作功能的集合。其中包含了控制功能操作的“权限对象”“权限字段”以及允许的操作及允许的值。
复合角色又叫通用角色,即多个单一角色的集合。 复合角色中可以包含多个单一角色, 此复合角色包含了多个单一角色所控制的权限。
2权限实施与管理
ERP的权限管理主要由权限设计、权限测试、权限反向查找和建立权限管理运维制度等几个方面的工作组成。
2.1 权限设计
ERP项目的权限设计严格遵守ERP系统的权限设计标准,其步骤如图1 所示。
(1) 从客户需求出发, 根据前期的业务蓝图成果, 明确各部门、岗位的职责。
(2)根据岗位职责进行通用角色权限设计,如工资数据维护角色、合同信息查询角色。
(3)根据通用角色权限设计进行复合角色设计,如人力资源部劳动组织专责角色。
(4) 根据复合角色结果提供权限模板, 进行用户收集, 并将用户名与角色匹配。
在设计的过程中,注意以下关键点:
(1) 下级不能查看上级的各类信息, 而上级可查看下级的,同级不可互看。
(2)在人员管理范围上,按照企业管理的职务级别分层次管理。
(3) 在人事信息类型管理上, 本着 “ 谁管理谁维护” 的原则,在保证各部门、各岗位必需的权限的同时,尽量紧缩角色授权。
(4)对部分高度保密的信息,如后备干部、人员薪资等信息,确保授权与实际岗位职责准确匹配。
2.2 权限测试
(1)针对通用角色和复合角色,重点考察其配置结果是否符合预期设计,能否实现要求的业务操作。
(2)针对最终用户岗位角色,重点考察其不应当具备哪些权限,然后测试在应当具备的权限中是否能正常执行业务操作。
(3) 从信息类型的角度, 重点考察后备干部信息、 薪资信息等保密性强的信息类型,测试拥有该信息类型的用户是否恰当。
(4)为保证测试更全面、准确要学会利用反过来查找有哪些用户拥有这些命令和信息查看的权限。
3权限运行与管理
在ERP上线后, 需要通过如下措施监控权限变更情况以及系统数据的访问情况,确保数据安全和权限严格管理。
(1)ERP用户审计。 在ERP生产系统中, 启用用户审计机制,对所有用户执行的交易代码和报表进行记录,对发现的异常及时处理, 并检查同类用户的权限设计是否合适以及权限管理流程的合理性。
(2)ERP敏感表更改记录。 在ERP生产系统中,启用ERP敏感表的更改记录机制, 对设定的某些ERP的表的更改进行日志记录,可以用作日常的运维报告和以后的查询。 针对异常检查开发及运维角色的权限管理是否存在漏洞。
(3)权限和用户变更记录。运维人员可以通过ERP的权限和用户变更记录工具,随时查询用户和权限的变更时间、变更内容和变更人员。
(4)对照权限设计文档检查此用户权限是否正常。
(5) 如果不正常, 通过权限和用户变更记录, 查找变更情况和变更人。
(6)查看变更记录单。
(7)查看权限变更人员操作记录。
4结语
ERP权限的重要性是毋庸置疑的,但在运行过程中,大多不太重视权限, 主要的原因是在上线期间以及上线后的短期内负面效果往往体现不出来,突发的权限问题也可以立即处理掉。这样做很可能在一段时间之后ERP系统的权限管理者会忽然发现在不知不觉中权限管理已经变成了无序的状态, 各种流程也变成了一种形式。在ERP的实施过程中多投入一点儿关注,就会为以后系统的健康使用打下良好的基础。
摘要:本文通过企业资源管理系统(ERP)项目实施的总结和汇总,对ERP的权限管理进行规范化的管理实施策略,形成一套比较成熟并长期可用的数据安全保障屏障。本文介绍ERP在权限管理的架构,设计思路,实施方法和整体权限的策略。讨论了ERP的权限工作日常需严格遵守的实施标准和比较优秀的做法,并根据系统建立一套由用户、运维人员、业务专业人员和技术专业人员共同参与的权限管理机制。
信息系统权限管理办法 篇2
(字〔〕号,印发)
第一章 总 则
第一条 为进一步规范XXX集团有限公司(以下简称集团公司)的信息系统权限管理工作,加强权限控制,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本办法。
第二条 本办法适用于已建成的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。
第三条 信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条 信息系统用户和权限管理的基本原则是:
(一)用户、权限和口令设置由系统管理员全面负责。
(二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。
(三)用户、权限和口令管理采用实名制管理模式。
(四)严禁杜绝一人多账号登记注册。
第二章 权限分配职责
第五条 部门经理职责
根据公司业务的实际需要,以及信息系统各功能权限,拟定系统管理员以及相关用户人选。第六条 主管领导职责
(一)依据部门主任提交的信息系统权限分配方案,并根据信息系统适用的范围决定同意或者上报权限分配方案;
(二)信息系统适用范围仅限于部门内,且非重要系统,由主管领导决定权限分配方案;
(三)信息系统适用范围跨多部门或全公司,由主管领导将权限分配方案上报至总经理。
第七条 总经理职责
总经理负责对适用于全公司或重要系统的权限分配方案进行审批。
第三章 管理职责
第八条 系统管理员职责
负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。
第九条 业务管理员职责
负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
第十条 用户职责
用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。
第四章 用户管理
第十一条 用户申请和创建
(一)申请人在《用户账号申请和变更表》上填写基本情况,提交本部门经理;
(二)部门经理确认申请业务用户的身份权限,并在《用户账号申请和变更表》上签字并提交主管领导;
(三)主管领导职权范围内可直接确认,职权范围外需签字后提交总经理;
(四)总经理签字确认;
(五)经审批后的《用户账号申请和变更表》交由系统管理员创建用户或者变更权限。
(六)系统管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令;
(七)系统管理员将《用户账号申请和变更表》存档管理。第十二条 用户变更和停用
(一)系统使用部门确认用户角色变更或停用原因,并在《用户账号申请和变更表》上签字并提交主管领导;
(二)主管领导职权范围内可直接确认,职权范围外需签字后提交总经理;
(三)总经理签字确认;
(四)经审批后的《用户账号申请和变更表》交由系统管理员做用户变更或停用。
(五)系统管理员将《用户账号申请和变更表》存档管理。
第五章 安全管理
第十三条 使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。
第十四条 口令管理
(一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。
(二)用户在初次使用系统时,应立即更改初始密码。
(三)用户应定期变更登陆密码。
(四)用户不得将账户、密码泄露给他人。第十五条 应急管理
(一)用户账户信息泄露遗失
用户账户信息泄露遗失时,应在24小时内通知系统管理员。系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户所报数据进行核查,待确认没有造成对报告数据的破坏后,通过修改密码,恢复该账户的报告权限,同时保留书面情况记录。
(二)系统管理员账户信息泄露遗失
ERP系统权限管理 篇3
关键词:ERP;ERP系统;权限;风险;IT;内部控制
中图分类号:F275 文献标识码:A 文章编号:1006-8937(2015)17-0140-02
1 ERP系统权限管理与内部控制概述
1.1 ERP权限管理概述
ERP是企业资源计划(Enterprise Resources Planning)的简称,主要宗旨是将企业的所有资源通过信息化系统进行科学合理的组织、管理和控制,以求收益、效果最佳化。ERP系统是以软件为载体,为企业采购、生产、库存、销售、财务等业务人员提供的一个统一经营管理工作平台。
企业要把ERP系统用好,必须依照企业内部各部门岗位职责的划分,在ERP系统通过合理的授权,才能在ERP系统完成各部门的业务操作。对每个岗位业务操作的合理、有效授权,即权限管理。
1.2 内部控制概述
内部控制是企业防控内部运营和操作风险的程序、制度、措施和方法的总称,是对企业内部职能部门和业务单位实施管理和控制的系统方法。IT一般性控制就是对所有利用计算机和通信技术进行企业业务集成、转化和提升的信息化管理平台进行风险控制。
一般基于企业业务层面的内部控制是把企业的关键业务按归口管理要求,划分成流程,通过流程内风险控制点的形式加以管控。比如内控货币资金管理、固定资产管理、一般采购管理等流程中,都会考虑IT应用控制的要求。
2 通过ERP系统权限管理实现IT内部控制措施和
手段分析
随着ERP系统被越来越多的企业所认同,企业业务运作更加依赖于ERP系统,导致企业出现了新的业务风险。如何对这些风险进行有效防范,需要在ERP系统授权配置管理上深度融合企业内部风险控制的要求,既要有识别风险的意识,又要有防范风险的措施和手段加以保障。
2.1 配置控制
配置控制指对系统功能启用的控制,主要有两层含义:①保证启用系统自动控制功能,自动实现对业务风险及操作规范性的控制;②按照标准模版要求,统一配置系统。例如:对于物资采购流程,在ERP系统中创建采购申请的权限由物资部门计划人员拥有;根据采购审批制度,在ERP系统中合理配置采购申请的审批流程,要求在系统中至少进行一级审批。
2.2 业务操作控制
业务操作控制是指为了保证用户在系统中能够按照规范的业务流程进行系统操作而设置的相关控制。业务操作控制包含业务流程控制、数据输入控制、数据质量控制等。该环节要防范未经授权非法处理业务、系统处理不正确导致业务无法正常运行风险。例如:销售模块客户主数据维护流程,客户主数据的维护必须经过审批。
2.3 权限控制
权限控制是指为了保证用户职责的有效履行,对其在系统进行操作或数据访问的控制。权限控制包括角色分配管理、关键系统操作授权管理、ERP组织级别管理等。例如:应收帐款管理、信用管理流程,权限控制要求客户信用主数据的维护必须经过审批;在ERP系统中维护客户信用主数据的权限由经授权的财务部门信用主数据维护管理员拥有;基于不相容原则,该人员不能同时负责销售订单创建/维护。
2.4 不相容岗位分离控制
不相容岗位分离控制特指通过系统操作权限分配中的不相容权限控制达到不相容岗位分离的作用。不相容岗位分离是指那些由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务、岗位或系统操作权限,不相容岗位分离即对这类行为予以控制。例如:对于物资采购流程,在ERP系统中进行发票校验的权限由财务部门发票校验人员拥有,基于不相容原则,该人员不能同时负责操作收货过账;进行付款的账务处理的权限由财务部门付款账务处理人员拥有,基于不相容原则,该人员不能同时负责付款申请。
3 ERP系统的权限风险分析
3.1 来自系统层面的风险
由于系统管理员、应用管理员等系统维护人员能直接接触数据库软件、熟悉信息系统技术,他们的有意作案或无意的误操作所造成的影响很难估量,所以这些关键技术人员需持证上岗,签订保密协议和授权书,同时必须有严格的管理制度,严格约束。
此外,为防止非法用户和黑客侵入信息系统,可通过设置防火墙、采用身份识别系统等技术防护措施。
3.2 ERP权限设计缺陷带来的风险
主要表现在权限设计不当,存在与用户工作岗位不相称的系统权限,有违背不相容岗位原则的系统用户和角色。这样在出现误操作时,给系统带来的危害是很大的。
3.3 授权不当带来的风险
①超职责范围的授权导致用户权限过大。这种情况一般存在于岗位变迁,权限只增不减,不再负责的业务权限未删除;②人员离职,用户、密码未及时变更;③擅自把用户给非岗位人员使用。
这些权限的不当使用,都会给ERP带来信息泄露,违规操作等业务风险。
3.4 不相容岗位职责不分带来的风险
一个员工拥有多个系统帐号、一人拥有跨模块流程的权限、一人操作多岗位业务,这些都可以造成不相容岗位权限交叉、信息泄密等风险。
4 利用IT内部控制管理规避ERP权限风险的措施
和方法
企业信息化带来的IT风险已经成为企业风险管理的主要方面。在此结合内部控制管理要求,总结规避ERP权限风险的措施和方法。
4.1 实施IT风险评估
企业信息化建设初期,常常会忽视风险评估,随着企业在IT内部控制要求日趋明确化,IT风险评估也就毫无争议的成为企业防范IT风险的必要措施。IT风险评估主要包括IT目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。企业在具体实施方法上可以选择业界口碑好,具有相应资质的第三方公司帮助进行风险评估。经过IT风险评估,信息系统安全问题风险分析和评价、系统安全建设整改建议就一目了然,做到心中有数。
4.2 做好IT控制措施与监督检查
IT控制措施包括IT技术类控制措施和IT管理类控制措施。
①IT技术控制措施主要是对防火墙、防病毒、入侵检测、身份管理等安全设施、软件定期更新,做好安全防护策略;权限管理方面,ERP系统相对于其它的应用系统,其集成性的显著特点,使得ERP系统的权限管理更具代表性。具体规避ERP权限风险的方法建议定期梳理风险权限、不相容权限、敏感权限等,通过定期专项检查、内控审计等方法规避权限风险;目前有的企业通过开发权限风险分析工具辅助人工检查,也一个不错的参考方法。
②IT管理类控制措施,主要是制定相应的管控制度与规定,如开发管理、项目管理、变更管理、安全管理、运营管理、授权审批等;制定规范业务流程,明确岗位职责的相关文件。通过管理制度的落地执行,有效控制风险。
③聘请业界有资质的专业审计公司做IT风险控制检查。
5 结 语
总之,IT一般控制流程是企业内部控制体系不可或缺的内容,ERP系统应用到企业内部控制中,特别是ERP权限管理贯穿于内部控制的所有流程,是企业内部控制日益完善的标志。企业在应用ERP系统的过程中,应该注意防范以上文中分析的各种风险。
参考文献:
[1] 财政部会计司.企业内部控制讲解[M].北京:经济科学出版社,2010.
ERP系统权限管理的研究与应用 篇4
2009年3月湖北省电力公司ERP系统成功上线, 该系统采用SAP ECC6.0成熟套装软件, 涉及了财务、项目、物资、人力资源以及设备管理等关键业务。它的应用将对公司系统内生产经营管理的及时性和流程的标准化产生重要的影响。合理的权限管理策略是ERP系统安全运行的有力保证。
湖北省电力公司属于大型企业, 用户数多, 业务庞杂, 使得权限管理中的角色定义比较复杂。ERP系统是一个集成的、多用户共享的系统, 因此如何严格地保护重要数据同时又为授权用户提供尽可能的方便, 如何有效地管理用户权限等都是不可忽略的安全问题。
1 基于角色的权限
基于角色的访问控制 (RoleBased Access Control, RBAC) 是目前国际上流行的先进的权限控制方法。RBAC技术不仅有效地克服了传统访问控制技术中存在的不足之处, 可以减少授权管理的复杂性, 降低管理开销, 而且还能为管理员提供一个较好的实现安全策略的环境。在RBAC中, 引人了角色这一重要概念。所谓“角色”, 是指与特定操作活动相关的一组动作和权限集合。其特点是通过分配和取消角色来完成用户权限的授予和取消, 即访问权限与角色相关联, 角色再与用户关联, 从而实现了用户与访问权限逻辑上的分离。基于角色的访问控制的原理如图1所示。
2 SAP系统角色
SAP ECC6.0 ERP系统采用的是基于角色的访问控制方法。用户在SAP中通过事务代码 (Transaction Code) 来进行业务处理, 每个事物代码都对应着不同的具体业务操作, 如事务代码FB50就代表总账凭证输入的业务操作。事务代码是由ABAP语言编写的程序来具体实现的。程序的设计除了实现业务处理的基本功能外, 还包含了执行这个事务代码所必须的授权检查 (Authorization Check) 。SAP中的单一角色是指事物代码的集合, 也包括事务代码所要求的权限对象、权限字段、字段的值等, 它们共同决定了具有该角色的用户访问数据的范围。SAP中的复合角色是指单一角色的集合。
3 2种权限设计方案比较
在ERP项目的实施中, 有2种权限设计方案:第1种方案可以直接将单一角色分配给用户, 以完成相应权限的授予;第2种方案是将单一角色组合成复合角色, 然后将复合角色分配给用户。
(1) 以用户岗位为权限的基本单位设置单一角色, 每个单一角色包括多个事务代码的操作, 直接将单一角色分配给用户 (见图2) 。
这种传统的设置方式, 有较多的资源可以利用, 但是因为没有采用模型化的设计, 每个岗位角色由多个操作 (事务代码) 组成, 测试工作量较大, 并且会有很多重复性的配置和测试工作量, 后期运行维护难度较大。
(2) 以用户每个具体操作为权限的基本单位设置单一角色。由单一角色组合成的复合角色表示用户的岗位权限 (见图3) 。
这种方案为全模型化的设计思路。将每个岗位角色分解为最小的单一角色, 分解后的单一角色可以灵活地配置给不同的岗位角色, 并且单一的操作角色测试工作简单, 无重复工作, 后期运行维护简单。缺点是前期配置工作量较大 (因为单一角色数量较多) 。
2种方案难度和工作量的对比如表1所示。
基于模型化的设计思路, 选择方案2为最终权限设计方案:以用户每个具体操作为权限的基本单位设置单一角色。由单一角色组合的复合角色为用户的岗位权限, 此方案虽然前期配置工作量较大 (单一角色数量多) , 但是其测试工作简单, 无重复工作, 特别是后期运行维护简单, 运维人员根据权限设计文档, 能较容易进行权限变更工作, 降低了运维工作中权限管理的工作量。
如湖北省电力公司下属C地市公司应收会计专责, 按第2个方案, 他会授予C地市公司一级应收查询、应收账务处理、总账查询、总账账务处理等4个复合角色的权限。总账查询复合角色则包括C地市公司一级科目及科目表查询、凭证查询、查询科目发生额、查询总账报表等4个单一角色。如果财务部领导因财务保密的需要, 不希望所有拥有总账查询角色的人员拥有查询科目发生额的权限, 则直接从复合角色定义中将此单一角色删除即可。如果查询总账报表这个单一角色需要查询总账项目权限, 则直接增加相应的事务代码S_ALR_87012282即可。
组织级别是企业的组织结构在标准SAP系统中的具体体现。SAP中常见的组织级别有公司代码、利润中心、工厂、采购组织等。例如湖北电力公司的地市公司在SAP中就设置为一个公司代码, 县公司在SAP中就设置为一个利润中心。有一类特殊的权限字段与组织级别相关, 通过给这些权限字段赋予相应组织级别的值来实现权限控制。如果一组单一角色包含的事务代码相同, 仅组织级别不同, 则可使用继承功能进一步简化角色的创建和维护工作。继承功能的含义如图4所示。
继承功能可定义模板角色, 该角色可将其内含的事务代码传递给派生角色, 派生角色接纳了来自模板角色的所有事务代码, 再仅需维护与组织级别相关的字段即可。在模板角色之中, 专门进行与组织级别无关的所有权限的更改, 同时这些更改会直接复制到所有派生角色中, 从而保证了模板角色与派生角色, 以及派生角色之间的一致性, 简化了对角色的控制。
ERP系统中角色的定义随时间和业务的变化而调整的频率高, 这种2层结构的模型化权限方案和继承功能的应用, 可以满足情况变化复杂的电网企业的需要。
4 命名规则
为了让权限概念结构简单明了, 且便于将来进行管理, SAP系统的角色命名必须遵循以下基本准则: (1) 角色名称必须唯一; (2) 易于理解 (从角色名称可以知道角色的含义) ; (3) 自定义角色命名空间必须以Y或Z开头; (4) 第2个字符不得使用连字号或下划线; (5) 单一角色和复合角色能明显区分; (6) 有利于角色的分散维护和管理。
根据S A P角色命名的基本准则, 为了权限规范管理的需要, 也为了提高ERP系统运维工作的效率, 湖北电力公司ERP系统对单一角色和复合角色采取了以下的命名规则。
(1) 单一角色命名规则:Z:
(2) 复合角色命名规则:ZC:XXXXYZZZZ。XXXX代表组织机构代码;Y的含义为:财务组=1, 物资组=2, 项目组=3, 设备组=4, 人资组=5;ZZZZ为区分岗位的4位流水号。如C地市公司应收查询复合角色被命名为:ZC:1500010015。
5 实施步骤
(1) 权限配置。按照前面的设计方案, 在系统中配置单一角色和复合角色。
(2) 权限测试。在配置工作完成后, 系统正式运行之前, 为了尽可能多地纠正错误, 必须对已配置的角色进行测试。在角色测试之前, 应确保已成功完成了定制测试。因为如果不先完成定制测试, 那么在权限测试中出现的错误信息将无法明确区分出是定制错误还是权限错误。即使当SAP系统非常清楚地报告存在一个权限错误时, 该错误也很有可能是由错误的或者不完整的定制所造成的。
一旦成功完成定制测试, 就可以开始进行权限测试。权限测试包括积极测试和消极测试2种:1) 积极测试, 主要测试是否可执行已在角色中定义的事务代码以及是否可访问权限设计中所要求的数据 (这里的访问是指查询、创建、修改、删除等) ;2) 消极测试, 主要测试那些未包含在此角色中的事务代码是否不可执行, 并且还要检验是否无法访问此角色权限范围之外的数据。如果某角色只允许读取相应的数据, 则还应保证该角色不能创建、修改或删除这些数据。在实际测试工作中, 因为单一和复合角色数量多, 不可能对所有角色进行消极测试, 通常将测试范围限定于对系统安全运行有重要影响的关键事务代码和关键数据。
(3) 用户创建和权限分配。在配置和测试都完成后, 创建真实用户, 并根据前期收集的用户权限模板, 将符合管理规范的权限分配给相应用户。
6 结语
湖北电力公司ERP系统的运维工作已经开始, 系统中配置的单一角色有6 813个, 系统上线至今更改的单一角色不足2%, 复合角色有2196个, 需更改的复合角色不足5% (主要是由于岗位职责的变化所导致) , 没有重要数据被非法访问的事件发生, 说明采用的2层结构的模型化权限设计方案是合理的。维护工作量小, 能有效地减轻运维人员的工作强度, 符合湖北电力公司权限安全管理的需要。ERP系统的成功应用是电网企业信息化的关键, 权限管理是ERP信息安全问题的一个重要方面, 合适的权限管理策略能够保证电网ERP系统重要数据的安全性, 并能提高日常运维中权限变更工作的效率, 为湖北电力公司ERP系统的信息安全提供有力保障。
参考文献
[1]Beyer S A.SAP Authorization System[M].北京:东方出版社, 2006.
[2]潘琳萍.SAP R/3ERP系统权限控制研究与应用探讨[J].中国制造业信息化, 2009, 46 (3) :58-59.
[3]庞春江, 庞会静.RBAC模型的改进及其在电力ERP权限管理中的应用[J].电力系统自动化, 2008, 32 (13) :49-52.
[4]何发武.ERP动态权限管理与实现[J].电脑开发与应用, 2004, 17 (11) :524-526.
ERP系统权限管理 篇5
为什么这不是好想法
这样一来,会有什么隐患呢?咱们不妨先说说这个事实:用户没有经过相应的培训,所以并不了解CRM系统错综复杂的细节。他们不知道自己看似无关紧要的改动会带来什么样的危害。他们也不知道安全模型、对象模型、外部集成或工作流程。即便他们只是想在屏幕上移动某个文件,操作不当也会给他们根本不知道存在的用户和业务流程造成严重破坏。
幸运的是,没有受过培训的管理员不可能真正破坏许多现有数据。当然,他们偶尔会破坏,但他们在试图更改数据时,这些数据通常只是他们自己的记录而已。只要你启用审计跟踪记录功能DD比如Salesforce.com的历史跟踪,重现破坏活动就相当容易。对安装的任何重要系统而言,绝对需要定期备份所有CRM系统的数据和元数据。
比数据破坏更值得关注的是这种风险:超级用户查看本该在其权限范围之外的数据。CRM系统与IT基础架构之间的集成度越高,管理员能够看到的敏感信息就越多,他们无意中违反的流程控制也就越多。这可能包括公司总体订购预测、库存、合同、委托任务,甚至还有员工的家庭电话号码,
就算你不是律师,一想到这方面潜在的监管和法律问题,也会不寒而栗。
正确的办法
幸好,这方面有一些清晰的最佳实践。首先就是“敢于说不”。即便某个经理或用户有充足理由需要一些特殊的权限,负责CRM系统的管理员数量也应当严格加以控制。我还没有找到哪个充足的理由说一家企业的CRM管理员应当超过六人DD假设这家企业在全球全天候不间断开展经营。作为贵公司的《萨班斯-奥克斯利法案》第409条款流程文档的一部分,要具体明确管理员的角色和权限。成为管理员就意味着需要接受大量的脱产培训和在岗培训,而且不能由临时工和兼职工来担任管理员这个岗位。
系统管理员的角色需要包括至少一个人充当数据管理员,其职责是通过控制设计和外部数据输入,密切关注数据的健康状况和干净程度。如果你的CRM系统与其余IT系统高度集成,CRM数据管理员就应当是负责管理完善政策、流程控制和系统变更的配置控制委员会的一员。考虑到干净数据对CRM成功的重要性,我经常惊讶地发现很少有客户认识到需要设立数据管理员。
应利用你CRM系统的安全功能为管理任务和访问设立授权机制。比方说,许多营销用户可能需要读取一系列广泛的数据;几个用户需要能够使用批量导入工具。而这并不意味着他们就应该是超级用户。可以为这些用户创建特定的配置文件,并授予管理权限,然后限制他们的登录时间/位置,以便控制滥用风险。
ERP系统权限管理 篇6
按照企业内控制度要求, 企业的关键管理岗位必须采取制约机制防控风险。ERP系统是企业经营管理基础工作平台, 覆盖着全部或大部分管理业务, ERP系统的用户权限直接对应于实际工作岗位。ERP系统操作授权怎样才能符合内控要求, 这就要求企业在实施和维护ERP系统过程中, 结合实际制定出切实可行的权限控制策略, 建立权限职责分离矩阵就是非常有效的方法。权限职责分离矩阵是在对ERP系统业务活动之间关系进行判断的基础上, 依据ERP系统角色不相容原理而确立的体现权限对象相互关系 (互斥或相容) ERP系统赋权管理模型。依据权限职责分离矩阵, ERP系统管理人员在给相关岗位人员赋权时, 可以随时对授权对象互斥关系进行对比甄别, 确定无误后再进行授权操作。
2 制定权限职责分离矩阵的原则
企业在制定ERP系统权限职责分离矩阵时, 应主要遵循以下原则:
原则1:业务批准与业务执行相分离。例如“创建采购订单”和“审批采购订单”是属于互斥的业务活动, 必须相分离, 不能赋予同一用户。
原则2:业务执行职能与业务检查职能相分离。例如有“库存出入库”操作权限的人, 不应拥有“录入盘点结果”“存货入库”活动与“存货入库复核”活动的操作功能。
原则3:不相容职务不能一人兼任。不相容职务是指由一个部门或人员办理, 既能弄虚作假, 又可以自己掩饰作弊的两项或几项职务。例如:出纳职务与会计职务分离, 钱账分管;账物分管等等。
原则4:主数据维护与其他业务活动相分离。例如, 进行“客户主数据管理”的人不能同时拥有“客户订单维护”的功能。
原则5:财务活动与其他业务活动相分离。财务活动和其他业务活动 (指采购、销售、库存等业务活动) 之间必须两两分离, 财务人员不能同时具有维护主数据或其他业务活动的权限。
原则6:系统管理人员不能处理相关业务及数据。ERP系统管理人员未经允许, 不能拥有ERP系统相关业务及数据的处理权限。
上述规则并不是绝对的, 职责分离的精细程度, 取决于企业内外部风险管控的需要, 企业可以根据自身的特点, 进行适当的调整。可以明确职责分离矩阵的例外事项, 也可以使用不适用原则和下放原则。但都应该规避由拥有该互斥权限造成的风险, 采取独立复核控制。
3 权限职责分离矩阵的主要内容
权限职责分离矩阵应该按照企业ERP系统所包含的业务模块来确定不同的业务活动。一般情况下, FICO (财务成本管理) 模块应该包括会计科目主数据维护、财务专用供应商主数据维护、财务专用客户主数据维护、总账管理、发票校验、开关账管理、成本主数据维护、成本核算等业务活动, MM (物资管理) 模块应该包括供应商主数据维护、物料主数据维护、价格主数据维护、创建采购申请、维护采购申请、审批采购申请、创建采购订单、维护采购订单、审批采购申请、创建入库单、审核入库单、发票预制、创建出库单、审核出库单、创建移库单等业务活动, PS (项目管理) 模块应该包括项目创建、项目维护、进度确认等业务活动, PP (生产计划管理) 模块包括BOM创建、BOM维护、生产计划的创建、生产计划的维护、产成品入库等业务活动, PM (设备管理) 模块应该包括维修工单的创建、维修工单的审批、维修工单的维护、设备档案的创建、设备档案的维护等业务活动, SD (销售与分销管理) 模块应该包括客户主数据的创建、客户主数据的维护、销售订单的创建、销售订单的维护、销售订单的审批、外向交货、创建发票、发票过账等业务活动。
不同的企业实施的ERP业务模块不尽相同, 各模块的具体业务也不一样, 因此, 权限职责分离矩阵所包含的具体内容需要根据企业实际情况进行分析确定。图1是某企业ERP系统权限职责分离矩阵, 其中, “X”表示相对应的两个业务活动存在互斥关系。
4 权限职责分离的实现
在ERP系统中, 权限职责分离是通过控制成员的分配、权限的分配、角色的激活和使用来实现的。互斥实体职责分离最终是为了防止用户获得过多权力, 分析互斥权限、互斥用户和互斥角色在分配关系上的各种约束, 避免系统管理员随意分配权限、角色。合理限制用户、角色和权限之间的联系能够保证实现职责分离, 因此在给用户分配权限时, 需根据业务活动的互斥关系, 来检查用户是否具有互斥事务代码的权限。
在进行ERP系统的权限—角色、角色—用户分配时, 需要重点关注以下基本原则:
(1) 互斥权限不能授予同一个角色。即角色内互斥, 这是在角色设计时应该坚决杜绝的, 不然分配了该角色的用户权限就存在互斥关系。
(2) 互斥角色不能分配同一用户。由于两个或两个以上的角色间存在互斥权限, 如果用户同时拥有了这些角色, 就会通过这些互斥角色拥有互斥权限。
(3) 互斥角色不能派生新角色。如果角色之间存在互斥关系, 那么不能通过继承方式派生新的角色, 否则新派生角色就成为了互斥角色。
(4) 权限分配前要进行互斥判断, 用户权限分配时要对用户现有的角色和新增的角色进行互斥判断, 人工判断会费时费工, 并且容易出错, 最好是做一个小工具, 将用户现有的角色和新增的角色导入后进行程序判断, 这样效率和质量都有保障。
(5) 定期检查用户权限是否互斥。企业内控部门要定期将系统中的用户权限导出, 进行互斥检查, 避免因管理员操作失误或人工判断出错, 造成用户越权使用系统。
5 结束语
在ERP环境下, 企业管理的风险控制点已经固化在ERP系统上, ERP系统风险防控程度即代表着企业管理水平, ERP系统授权管理是否安全可控至关重要。结合企业实际制定好ERP系统权限职责分离矩阵, 并基于职责分离矩阵做好ERP系统日常维护工作, 是提升企业管理水平的基础保障。
参考文献
[1]李若山.企业内控管理[M].北京:中国科学文化音像出版社, 2010.
ERP系统权限管理 篇7
电网企业目前正在建设能量流、业务流和数据流三流合一、高度共享、紧密集成的一体化企业级信息系统[1],信息系统在满足跨系统、跨区域资源共享的需求的同时,也带来部分重复工作等,这些问题产生的根源在于各部门信息沟通不顺畅,管理工作的信息化和自动化水平不高[2]。此外,信息系统的访问控制和权限管理问题是非常重要且必须解决的问题,已有不少文档对影响系统安全的访问控制问题进行研究[3,4,5]。Ferraiol对基于角色的访问控制(Role Based Access Control,RBAC)的相关术语进行了统一,建立了RBAC技术的参考模型[3],此模型在信息系统中的使用极大地简化了安全管理的难度。现有关于系统权限安全的研究主要在RBAC基础上进行授权粒度的细化设计[6,7,8],或者系统管理制度和规范的健全[9]。对于权限变化过程中存在权限分配不合理以及随意授权等管理问题,文献[9]提出了具体的管理制度和多重审核的方式,这种多重审核要求各级审核人员熟悉相关权限知识,增加了管理成本。完善权限设计与管理,不仅有利于确保ERP系统的安全,也可为信息系统一体化需求下整个信息系统的权限设计和系统安全管理提供借鉴。基于此,在对ERP系统的权限原理进行分析的基础上[10],考虑将RBAC模型进行改进,并在系统中实现授权知识固化,实现按知识规则进行自动授权,完成知识匹配,可避免随意授权问题,优化管理效率。
1 ERP系统的现有权限设计
1.1 RBAC的基本模型结构
基于角色的访问控制(RBAC)的全称是权限约束支持的基于角色的约束访问控制,其最基本的概念有角色、权限、用户。RBAC基本模型结构如图1所示。
权限指允许用户对信息系统进行操作的许可,角色指权限的集合,用户与角色、角色与权限都是多对多的关系。当用户被授予某一权限时,该用户就具有该权限许可范围内系统操作的权利。与权限相比,角色是—个相对稳定的概念。用户所拥有的角色可以经常变化,而角色所拥有的权限是相对固定的。在RBAC中,可以预先定义角色与权限之间的关系,将预先定义的角色赋予用户(与角色相比,权限在数量上通常多很多,且权限不是一个稳定的量,会随时间发生变化)。
RBAC模型与传统将权限直接赋予用户的模型相比,解决了以往的权限分配中用户(U)和权限(P)直接对应的局面,极大地减少了权限管理分配的负担。如有M个权限,需要分配给N个用户的情况,如果采用用户和权限一一对应的方式,那么将产生M+N次授权操作,按RBAC模型,采用角色为中间体,先将权限指派给角色,然后把角色指派给用户,那么只需M+N次授权,就可完成权限分配。一般情况下,在大型ERP系统中,用户数和权限数都很多,采用RBAC模型可极大地简化安全管理的难度。
1.2 ERP的权限管理原理
ERP系统权限管理的策略分为角色设计和角色的用户分配。ERP系统权限设计结构如图2所示。
图2中虚线框部分为角色设计的具体情况,各自独立的操作权限(unit)根据业务特殊性的需要被组合在一起,形成一个权限对象(Authorization Object),当一个权限对象的各个权限域被赋予不同的值时,就构成了一个新的角色(Authorization),角色设计的准确性在于该角色中的各个权限域的赋值的准确性。ERP的角色形成可以通过对通用角色进行派生生成本地角色,本地角色继承了通用角色中的相关事务代码及授权对象,只是更改授权对象参数值使得各本地角色可操作数据范围的不同。因此,在角色设计时需准确掌握该角色需执行的操作,该角色允许具备相关参数值。
就权限的控制而言,权限的授权控制也可分3个层次。
1)第一层次:事务代码级。该级别控制用户业务操作的界面,ERP通过事务代码调用所需进入操作界面的程序,若需对某一界面进行操作,在角色设计中必须在某角色加入操作界面对应的事务代码,并将该角色分配给用户,用户才具有该操作界面的执行权限。
2)第二层次:组织机构级。组织机构在权限对象中对应的组织机构参数维护相应的值完成,组织机构在ERP中可能是公司代码、利润中心、工厂等,该级别主要控制允许用户在某一个组织机构范围内进行业务操作。在ERP系统中根据业务特点和企业的实际情况设计不同性质的组织机构。系统中最高的组织级别为集团,还有公司代码、业务范围等,通过给角色分配不同的组织机构值,并将角色分配给用户,用户的业务操作就被限制在参数值对应的组织机构下。
3)第三层次:权限对象其他字段值级。同一操作界面中有不同的权限控制要求,例如采购申请的审批要经过多级审批,不同审批级别的操作权限的控制在ERP系统中通过不同字段值的控制实现,通过对每一个控制的授权对象的具体设置,对每个权限对象的值字段赋予不同的值,完成权限的最终控制,字段值的限定保证了拥有相同的事务代码权限的用户的操作许可不同。
角色的用户分配见图2中的虚线框以外的部分,将角色分配给用户,该用户就具有了对应角色的所有权限,从图2整体看,单个权限参数文件或复合权限参数文件通过角色的中介作用被授予给某用户使用户获得规定的权限。实务中用户与角色之间往往是多对多关系,即一个用户会给予多个角色,同一个角色也会分配给多个用户。就角色的分配而言,因为通用角色不进行组织机构(如利润中心)的限定,而本地角色进行了具体组织机构的限定,所以,一般情况下,只允许将本地角色分配给用户。
2 ERP系统权限设计优化
2.1 RBAC基本模型结构的优化
RBAC模型改进如图3所示。
通过引入岗位这一要素将用户和角色、权限从逻辑上分离开来进行优化(图3中虚线框),通过对用户–岗位、岗位–角色、角色–权限进行管理,可以大大降低授权管理的复杂度。
据调查,XX省电力公司ERP系统中有用户数约7千个,正常使用的角色数量约2.7万个,大多情况下1个用户均被分配了10个以上的角色,该公司ERP系统的权限设计已经非常精细。
而用户的岗位调动或个人工作职责变更也经常发生,当用户变更时,申请人员查询出自己所需要的角色并不容易,因此在核心RBAC基本模型的基础上进行改进的方法并不需要进一步细化其权限设计,而是需要改进权限分配。
现有情况下用户在提出权限变更申请时自己无法了解角色名称,只了解自己需要做什么样的操作,需要系统管理员为用户提供角色名称,最终由用户填写权限变更申请表可能不正确。这种反复查询工作浪费了运维人员的时间,同时会造成授权管理不规范,在用户与角色之间增加岗位这一概念后,则可以将岗位相关的权限知识固化于信息系统。用户只要将现有岗位的信息反馈给系统管理员,系统管理员对用户维护新岗位后,相应的角色和权限匹配都会准确。
2.2 ERP权限设计的结构优化
改进的ERP权限管理结构如图4所示。图4中左侧的虚线箭头表示,在用户与角色之间引入岗位概念,在用户与角色之间建立起岗位这一数据元素,建立起岗位与角色的数据库。
以现有ERP系统中的财务模块为例,电网系统分国、省、市、县四级管理,各级管理机构的岗位设置和人员数量不一致,在省、市公司层级,财务部门分预算和成本管理专责、总账报表专责、工程财务专责、资产、资金、出纳等多个岗位,每个岗位在ERP系统中要求有不同的事务代码的操作权限,而在县公司层级综合管理部下只设一名会计岗位和一名出纳岗位,会计岗位需要在ERP系统中完成预算、应付、费用、报表等多个角色的操作,一个县公司财务人员被分配的角色多达几十项。因此,通过增加岗位与角色对应关系和建立岗位与角色的数据库,使各岗位所需的权限的知识固化于ERP系统,适应用户岗位变动或职责变动时权限的自动调整,管理工作也大大简化。
3 应用实例
3.1 在原有数据库的基础上增加数据表
在ERP平台上需建立如下数据库模型(见图5):用户表(用户编码、用户名、岗位编码)、岗位表(岗位编码、岗位名称)、岗位角色表(岗位编码、角色编码)、不相容岗位表(岗位ID、岗位名称、岗位编码、岗位名称)、角色权限表(角色ID、权限对象、字段ID、字段值)。
数据表的创建,利用ABAP工具完成,ERP使用Oracle的数据库,但这个数据库的维护并不需编写程序完成,而是在ERP平台上用事务代码SE11创建数据表(见图6)。以用户表为例,需创建表ZBS_LYL01,该表包括3个字段:ZSWRT1代表用户编码,ZSWRT2代表用户名称,ZSWRT3代表用户岗位。ZSWRT1可参考ERP系统中已有数据元素XUBNAME进行创建,KEY勾选代表该字段被设立为关键词。字段也可不参考系统中已有数据元素创建,如ZSWRT2,数据表建立以后,可以通过维护数据并将数据保存于ERP系统中。
3.2 岗位角色权限知识在数据表维护
在数据库设计好后,需要将不相容岗位和岗位角色对应数据维护于ERP系统。可由业务部门确定不相容岗位关系,由权限管理人员将不相容岗位维护到ERP系统,现实中有会计与出纳岗位不相容等多种情况。除不相容岗位的数据维护外,权限管理人员还需与各业务模块业务顾问确定好岗位与角色的对应关系细则,建立起岗位与角色对应关系的数据。这种数据表的维护,实际上就是将权限管理的知识固化于ERP系统。
3.3 用户权限的自动正确生成
在初次的岗位角色对应关系数据统一维护后,此后若涉及人员权限变更或岗位调整,由各单位人事专责在ERP系统中维护该用户新的岗位,用户被赋予2个以上岗位并且岗位不相容时,维护时“无法成功”的信息代表岗位未维护成功。另外,在ERP系统中二次开发程序,实现对岗位变更用户的权限的自动维护,具体逻辑如下:程序自动检查人员的岗位变动信息,当检测到用户岗位发生变化时,自动调用权限维护代码,先将用户原有的权限全部删除,然后根据人员岗位对应关系表和岗位角色对应表,找到该用户应该被赋予的角色,将这些角色分配给该用户。程序用ABAP语言在ERP工作台编写。
3.4 权限设计优化引起的管理差异
基于RBAC模型的权限管理优化设计在XX电力公司ERP系统财务模块试运行,权限管理差异见表1所列,权限管理的工作效率大大提升,准确授权和职位分离在ERP系统中得以真正体现,互相牵制的岗位在ERP系统中所拥有的权限得到分离。
4 结语
基于RBAC模型的权限设计优化将复杂的权限知识固化于ERP系统,使得权限授予和审批工作简化的同时,随意授权或错误授权的风险得以规避,权限审计的工作也能得到更好的开展,可根据人资系统的岗位设置和分配检查ERP系统中的用户是否分配了正确的岗位,由ERP系统专业知识强的审计人员检查岗位与角色,角色的权限设置是否准确。后续的研究将围绕如何将角色在ERP系统中自动正确生成以及如何快速审计问题展开。
参考文献
[1]李向荣,郝悍勇,樊涛,等.构筑数字化电网建设信息化企业[J].电力系统自动化,2007,31(17):1-5.LI Xiang-rong,HAO Han-yong,FAN Tao,et al.Constructing digital grid and informatized enterprise[J].Automation of Electric Power Systems,2007,31(17):1-5.
[2]林友谅,蒋成,龙华.监理工作管控平台开发应用[J].电力信息化,2012,10(6):57-60.LIN You-liang,JIANG Cheng,LONG Hua.Development and application of the supervision management and control platform[J].Electric Power Information Technology,2012,10(6):57-60.
[3]FERRAIOLO D F,SANDHU R,GAVRILA S,et al.Proposed NIST standard for role-based access control[J].ACM Transaction on Information and System Security,2001,4(3):224-274.
[4]孙中伟,张荣刚.智能配电网通信系统访问控制研究[J].电力系统保护与控制,2010,38(21):118-121.SUN Zhong-wei,ZHANG Rong-gang.Access control for communication network of smart distribution grid[J].Power System Protection and Control,2010,38(21):118-121.
[5]林友谅,刘星.面向电网企业的ERP访问控制及权限管理研究[J].科技管理研究,2014(13):122-125.LIN You-liang,LIU Xing.Research on ERP access control and rights management of oriented grid enterprises[J].Science and Technology Management Research,2014(13):122-125.
[6]庞春江,庞会静.RBAC模型的改进及其在电力ERP权限管理中的应用[J].电力系统自动化,2008,32(13):49-52.PANG Chun-jiang,PANG Hui-jing.Improvement of RBACmodel and its application in the competence management of electricity ERP[J].Automation of Electric Power Systems,2008,32(13):49-52.
[7]廖胜利,刘晓娟,刘本希,等.省地县一体化电力调度管理系统分级用户权限方案[J].电力系统自动化,2013,37(18):88-92.LIAO Sheng-li,LIU Xiao-juan,LIU Ben-xi,et al.Hierarchical user permission scheme in province-prefecture-county integrated power grid dispatching management system[J].Automation of Electric Power Systems,2013,37(18):88-92.
[8]吴江栋,李伟华,安喜锋.基于RBAC的细粒度访问控制方法[J].计算机工程,2008,34(20):52-54.WU Jiang-dong,LI Wei-hua,AN Xi-feng.Method of finely granula raccess control based on RBA C[J].Computer Engineering,2008,34(20):52-54.
[9]胡率.SAP ERP系统用户及权限管理模式研究[J].电力信息化,2011,9(11):33-37.HU Shuai.Research on user and authority management of SAPERP system[J].Electric Power Information Technology,2011,9(11):33-37.
ERP系统权限管理 篇8
华北油田公司的ERP项目自2011年9月单轨运行, 目前已经有效运行了三年多了。截止到2014年年底, 系统用户数量达到2651个, 涉及到全油田公司上市、未上市和矿区服务的所有单位, 包括财务管理、物资管理、项目管理、设备管理和销售管理这五个模块的相关用户, 不同二级单位内员工的岗位设置也不同。有部分信息只允许本单位及关联部门访问, 而不允许其他人访问。有部分信息信息只允许指定的人员访问但同时并不允许其进行修改, 只有特定的分配给修改权限的人员才能修改, 所以一个安全可靠的操作环境对于公司的系统用户来说是十分必要的, 因此ERP系统的上线实施后, 我们首先应该重点关注的就是ERP系统的权限控制部分。
一、华北油田权限控制存在的问题
根据《股份公司内控手册》信息系统总体控制关键控制点“GIT-ERP-6.1”对权限申请、变更及撤销的相关要求:ERP应用系统的帐号及权限的申请、变更及撤销需要经过有效的审批或授权, 审批时应根据用户的岗位职责分配相应的系统权限;并应对照《地区公司ERP系统的职责分离矩阵》来进行ERP系统内的职责分离检查, 确保系统用户的权限申请及变更符合职责分离矩阵中的职责分离要求。目前华北油田ERP的权限控制还是存在着很多问题。
(1) 权限变更不及时。经过调查发现很多用户在更换工作岗位或者离职离岗后, 没有相关部门进行ERP权限清理的监督, ERP运维目前也没有有效的手段得知用户的岗位变动信息, 并未对其ERP的权限进行清理, 存在安全的隐患, 尤其调动工作岗位后不再使用ERP权限时更是如此。
(2) 用户权限冗余。造成这一情况的原因有很多。例如, 新增用户和用户变更权限时, 往往是比照着某一用户的权限进行变更, 并未实际分析其的权限是否都是其所需要的权限;部分人员岗位调整, 仅因为工作需要申请需要权限, 没有将原岗位权限列出并进行删除, 造成权限过大。
(3) 权限互斥问题。其一, 目前ERP的系统权限互斥检查没有一个事前检测的工具。一般都是事后检查, 每三个月利用集团统一下发的ACCESS工具进行一次权限互斥检查, 其数据源只能通过定期向北京二级运维申请才能获得, 各地区管理员并没有调取相关数据源的权利, 还得对其结果进行人工的判断分析, 是否为真互斥, 确定为真互斥后再进行整改, 往往时间过长, 这期间不能避免违规操作的问题, 从而并不能在根源上杜绝权限互斥问题。
其二, 经过调查发现, 目前华北的ERP权限中, 系统很多角色本身设置不合理, 造成很多自互斥现象。
二、华北油田ERP实施的改进对策
ERP系统的权限控制是其系统上线后运维管理的一个重要的工作内容, 主要包括系统用户账号管理、角色参数维护及授权和ERP运维的内部控制等等。只有规范权限的管理、规范账号的管理、明确授权管理、按照内部控制的要求规范最终用户的权限设置, 才能真正解决ERP系统上线实施后出现的权限控制问题。而也只有真正解决ERP系统的权限控制问题, 才能保障ERP系统上线实施后能够长期安全地、有效地运行。不然, 将会直接产生负面影响, 轻则业务人员无法正常进行业务操作, 重则导致关键业务的全线停滞, 企业管理整体混乱, 专业保密数据外泄, 给公司带来严重的经济损失。因此, 为了保障ERP系统的安全、高效的运行、专业信息数据的完整机密性, 我们必须要搭建高效的ERP系统权限控制管理体系。
(1) 建立健全ERP的权限管控制度。在实际权限控制管理工作中, 我们不能仅仅是通过一定地信息技术手段来维护ERP权限, 同时还必须要理顺ERP系统中相关权限的申请及授权的全部工作流程, 并建立明确的权限管理方面的规章制度, 以此来全面地规范并约束ERP系统内的权限管理。通过所有管理流程的规范化, 来有理有据地进行权限管理, 从而大大削弱系统相关用户和权限管理员在申请系统权限和权限授权的过程中其主观意识所带来的负面作用。
其中, ERP系统中相关权限的申请及授权的工作流程主要包括:口令重置及解锁流程、用户权限变更流程、特权用户增删改流程、用户账号撤销流程、用户账号新增流程、问题处理流程、系统变更流程、系统用户角色变更流程等。在新增、撤消和变更用户权限时, 要严格按照《华北油田ERP系统职责分离矩阵》和《华北油田ERP系统敏感事务及分配规则》进行权限分配, 避免产生权限互斥情况的发生。当用户调岗或因实际业务需要, 提出用户权限变更申请时, 在权限变更申请原因及内容里需要详细填写, 以便及时准确进行权限变更。
(2) 制定合理的ERP权限控制解决方案。第一, 我们应该明白一个用户所拥有的每一条权限, 都是由于这个用户先具有了操作某项系统业务所对应的事务代码对相应组织的操作权限, 同时ERP系统还通过权限对象的字段值对相应的操作进一步的权限控制。遵循能够满足用户日常工作的对系统资源的需求的最小的授权原则来进行ERP系统用户权限的分配。并应根据不同单位不同用户的岗位职责, 制定适用的岗位与ERP系统中角色的对应规则, 为用户分配角色提供合理性判断的依据。
第二, ERP应用系统中角色的申请、变更及撤销需要经过有效的审批或授权, 审批时应确定角色变更是否符合业务需要;更应该对照ERP系统职责分离矩阵进行职责分离检查, 以确保角色变更符合职责分离要求。并同时对照ERP系统敏感事务访问权限设置规则, 进行敏感事务授权检查, 确保有关敏感事务的授权符合规则要求。作为依据的职责分离矩阵和敏感事务访问权限设置规则更应该定期进行维护, 以确保当业务流程及事务代码发生变更时能得到及时的修订。
第三, ERP系统中的用户账号分配应遵循以下基本原则, 系统所有用户都应拥有个人专用的唯一账号, 注意不得泄露本人或他人的用户名和密码, 禁止把自己的系统账号转借他人使用, 以便在系统内的所有操作都能够追溯到具体的责任人。所有用户都应归属于按其所在二级单位归为不同的用户组, 当员工岗位发生变动时, 也应及时调整, 以便有效地进行用户管理。所有临时账号和临时系统权限都应该根据业务的实际需求设置有效期限限制。
(3) 强化部门间的沟通协调, 畅通用户信息的反馈渠道。在三年多的ERP系统的应用过程中发现系统用户的工作岗位, 工作职责及系统权限这三者之间的关系是环环相扣密不可分的。当变动某个系统用户的工作岗位时, 这个用户的工作职责就会随之发生相应的变化, 这就意味着这个用户在ERP系统内所拥有的系统权限也必须进行相应的调整。反过来说, 如果某个系统用户的系统权限调整了, 其工作岗位和工作职责必然也发生了变化, 它们之间是息息相关的。这是因为用户实际的工作岗位和其工作职责决定了在ERP系统中应分配的角色和权限。
但人事岗位的调整和分工是由人事部门负责操作的, 业务主管部门有建议权, 而ERP权限管理部门只有处理在ERP系统中应分配的角色和权限的权利。在这种情况下, ERP的权限管理部门应该和人事部门及各相关业务部门建立有效的沟通协调机制。一方面, 在调整相关模块的业务人员的工作岗位和工作职责的时候, 其所在的人事管理部门如果能够将相关变动信息及时反馈到各专业业务主管部门和权限管理部门的话, 其专业业务主管部门和权限管理部门就可以迅速做出应对反应, 变更应该变更的业务权限或及时撤销应该撤销的系统用户账号, 从而保障ERP系统的运行风险降到最低;另一方面, 通过人事管理部门和各相关业务部门之间搭建的有效的沟通渠道, 公司也可以通过优化调整各相关业务部门的岗位设置来合理分配人力资源。
(4) 定期梳理ERP系统的用户账号。ERP系统权限管理中的最基础的工作就是系统用户账号的管理。如果业务人员在ERP系统中并未创建系统用户账号, 就根本不用考虑他的工作职责与他的工作岗位是否存在冲突, 他处理业务的权限是否存在互斥。因此, 如果想明确ERP系统内的管理程序及规范, 做好权限管理工作, 我们必须以规范账号的管理为前提, 按照ERP内部控制规范的要求, 定期梳理ERP系统的用户账户。
定期梳理ERP系统的用户账号有以下两个方面的好处:一是, 通过定期梳理系统账号可以整理出虽未提交撤销账号申请但实际工作中已经不再需要的用号户账号, 从而降低系统账号的闲置率, 提升系统账号的有效利用率, 大大减少公司因为存在闲置的账号所承担的不额外的系统运维费用;二是, 账号梳理后, 通过及时向各相关业务部门反馈, 然后及时清理存在互斥权限的系统账号, 就能够把中石油集团公司和华北油田公司对ERP系统的下达的内控管理要求全面落实到运维的日常工作中, 而不至于在面临集团或公司内部的内控检查前手忙脚乱, 从而大大改善“头痛以头、脚痛医脚”的内控检查状况。
(5) 内控管理部门全程参与ERP系统的权限管理。ERP系统自打上线以来, 权限管理就是中石油集团公司和华北油田公司的重点内控检查对象之一, 只有公司内控管理部门全程监控ERP系统的权限管理, 指导相关的业务操作, 随时关注各相关业务执行部门的涉及到的内控流程是否真正执行到位, 并协助管理ERP运维部门的具体执行过程, 包括用户授权过程是否可控, 授权是否合理合规, 用户角色分配是否符合华北油田公司职责分离原则等, 把好ERP系统用户权限申请的第一关, 随时做好权限方面的内控管理, 才能真正的控制好权限的内控风险。
参考文献
[1]杨艳萍.ERP探讨之二大中型企业ERP运维管理存在的问题[J].现代国企研究, 2011, 08:27-29.
[2]谢筠.企业有效实施ERP系统保障措施探讨[J].中国管理信息化, 2012, 11:48-49.
[3]任泽坤.如何做到ERP系统权限管理真正落地[J].企业导报, 2014, 08:112-113.
[4]王爱玲.利用ERP系统提高石油企业管控能力[J].石油规划设计, 2009, 04:32-33+40+49.
[5]孙艳玲, 谢言.ERP实施中的进阶问题及影响因素研究[A].中国软科学研究会.第七届软科学国际研讨会论文集中国卷 (下) [C].中国软科学研究会:, 2012:9.
管理信息系统中权限管理的设计 篇9
在这个竞争激烈的信息化社会里,为提高经济效益,增强资源利用率,很多行业都会采用各式各样的信息管理系统来帮助其完成繁杂的日常管理与操作任务。每一款管理信息系统,无论它是基于C/S架构还是基于B/S架构,都具备一套权限管理方法。当然,各个系统的权限管理方法是大相径庭的。本文提出了在处理权限管理问题上一套简单、高效的解决方法。
2. 问题描述
这里,把权限管理的主要功能进行如下陈述:在数据库中建立用户资料表,增加权限管理字段,用以标示用户所具备的各种权限;不同职责的用户,对于系统操作的权限是不同的。对某一用户,他拥有哪些模块的操作权限,他才可以操作使用该模块。对超级用户则拥有全部权限,并具备为普通用户分配、修改权限的功能;拥有特定权限的用户登录系统时只能使用其具备权限的功能模块,其他功能模块隐藏或屏蔽。
3. 设计流程
3.1 数据库设计。
建U s e r表,表中含以下字段:用户名(UserName),用户密码(UserID),所属部门(UserDepart),具备权限(User Authority)。“用户密码”用于系统登录时用户合法性的判断,“所属部门”用于将具备相同权限的用户统一成“组”,“具备权限”用于标示用户具备操作哪些模块的权限。
3.2 程序设计。
由于本文讨论的权限管理是对具体模块的权限管理,所以,在系统主界面中,不同的用户所能看到以及使用的系统功能应该是不同的(超级用户可以在主界面中看到并且使用所用功能)。
3.2.1 权限的设定。
在系统主界面中,超级用户通过权限管理功能为不同的员工分配权限(C/S体系架构下)。
3.2.2 主界面中权限的显示。
在系统的主界面下,某一个登录的用户应该只能使用系统中其具备权限的功能,其他功能应该屏蔽或隐藏掉。通过一个自定义函数SetMenu可将系统主界面下MenuStrip(主界面上方的菜单栏)和TreeView(主界面左方的树形菜单)中相应的功能屏蔽掉。
SetMenu函数介绍:SetMenu函数主要完成的功能为,在系统主界面加载时,依据当前登录用户具备的权限,显示主界面时,屏蔽掉该用户在MenuStrip和TreeView中不具备权限的项。其流程如下:
建立数据库连接;
打开User表,获取某用户权限字段User Authority的内容,将其内容分割(Split函数)并保存在数组mTempStr中;
User表中,User Authority属性存放的是用户所具备的所用权限的一个字符串,在程序中是无法直接使用的。因此,在这里利用Split函数将用户权限字符串分割开后保存在数组mTempStr中后使用。
4. 问题的引申
4.1 B/S体系架构下的权限管理问题
上面讨论的权限问题基于C/S体系架构,B/S下的系统由于安全问题的重要性需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。由于B/S体系架构下用户数量会大幅度增加,超级用户为每个用户分配权限即耗时又耗力,因此,这里提出了对“组“进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。
4.2 权限管理模块
由于权限管理问题是每一款信息管理软件中都具备的模块,为了解决其繁杂的设计,一些开发人员提出了将该模块独立出来,编写成一套独立的权限管理系统。在设计信息管理系统时只需要集中精力在程序中,程序完成后仅仅需要添加少量代码,即可把这个独立的模块无缝集成到程序中,并且能够稳定保密的对用户权限进行控制。
摘要:在编写管理信息系统的过程中,需要对不同用户设置不同的权限,使得权限管理成为软件设计中较为复杂繁琐的模块。本文提出一种在C/S架构下能够简捷灵活并且高效的处理权限管理的方法。
关键词:管理信息系统,权限管理,C/S架构
参考文献
[1]尚展垒,VISUAL BASIC.NET程序设计技术。清华大学出版社2006.
[2](美)RICK DOBSON,Visual Basic.NET与Access数据库开发。清华大学出版社2004.
[3](美)RICK DOBSON,SQL Server2000与Visual Basic.NET编程。清华大学出版社2003.
高校信息管理系统中权限管理的实现 篇10
1 RBAC模型简介[2]
在RBAC中,一般由用户、角色、对象、操作、许可权五个基本数据元素组成,如图1所示。目标和操作的许可权共同组成权限,而权限被分配给角色,而不是直接给用户,当该用户被分配了一个角色时,此用户便拥有了该角色所被赋予的所有权限。会话sessions是用户与激活的角色集合之间的映射,构成与用户相联系的会话集合。用户与角色之间是N:N的关系,即一个用户可以拥有多个角色,一个角色也可以被赋给多个用户;同样的,一个角色可以拥有多项权限,一个权限可以分配给多个角色。由此可概述出RBAC的工作原理:用户登录系统后,系统对他所具有的角色的权限进行分析,进而判断他可以操作或访问的系统资源。
基于角色的权限控制通过引入角色的概念,成功的完成了用户与访问许可的逻辑分离,使得权限管理可以更加的方便快捷。当用户身份发生变化的时候,不需要对用户重新授权,只需要改变用户所拥有的角色,增加了权限系统的灵活性,能比较好地适应复杂的高校信息管理系统中用户的多变性。但是当每个用户需要拥有多个角色,而对大量用户进行这些操作则变得耗时而易出错了,同时授权也变得异常的复杂。为了解决这一问题,对RBAC模型进行改进,引入用户组的概念,在用户和角色之间再增加用户组一层,角色直接授权给用户组,而不是用户,如图2所示。并在概念上对用户组和角色进行区分。用户组--按照用户的属性进行划分;角色--按照系统功能进行划分,颗粒度较细。这样,在对用户授权的时候根据用户的身份,将用户包含到某个特定的用户组中,就完成了用户的授权。当用户的身份发生变化后,只需将用户从一个用户组移出移入另一个用户组,就完成了用户的重新授权,大大简化了用户授权的复杂性,尤其在对大量用户的批量授权时,可以极大地降低操作的出错率。
2 系统的实现
权限系统的设计基于改进的RBAC模型,将所有的权限信息、角色信息和用户组信息保存到数据库,而对权限的设置和授权被分两个部分,一部分通过独立的应用软件的界面实现,另一部通过WEB方式实现。这两部分与数据库之间的操作都通过统一的数据访问服务实现。
2.1 权限模型
如图3所示,权限分为两类:一类为数据权限;一类是操作权限:
数据权限以颗粒度从粗到细分别为表、行范围、列范围三个层次,又根据对表的操作分为新增、修改、选择、删除等功能性权限。系统中数据权限的控制是通过对SQL语句的控制达到最终用户对数据访问的控制
操作权限则分为模块权限和按钮权限。基于高校信息管理系统的复杂性,可以将其划分为多个子系统,每个子系统有根据功能不同划分为多个模块。模块权限用于控制用户能否对某个模块的操作,即当某一角色拥有模块的操作权限时,才可以在系统中看到该模块的菜单,进而对其进行操作。按钮权限则控制着某些按钮对某些用户(角色)是否可见,即只有拥有对应的的按钮权限时,才可以在菜单上看见相应的按钮,对其进行操作。模块权限和按钮权限共同控制了角色对管理信息系统的操作。
在基于Web的高校信息管理系统中,用户通过浏览器访问系统,在通过用户身份验证之后,首先根据用户所在的用户组,读出用户拥有哪些角色,然后根据角色的操作权限,将用户可以看到的模块和按钮展现给用户。当用户点击某个具体的模块时,系统根据用户的数据权限,将用户有权限的数据展现给用户,即可以看到的记录和可以看到的字段。当用户对数据进行操作时,系统还会根据数据权限,判断用户是否可以对数据进行这项操作,如果可以,就会在数据库进行具体的操作。如果不可以,给用户一个提示。
3 模型的实现
3.1 数据库设计[3]
数据权限的数据库设计主要包括:
MOD_BIZOBJPRPTY:用于存储所有业务对象中的每个字段的详细信息。
MOD_BIZOBJPRPTYGROUP:对象属性组信息表,用于存储角色对表中字段的权限,即这个角色能看到角色中哪些字段。
MOD_BIZOBJPRPTYGRPPRPTYREL:字段表与字段组表的关系表,用来存储每个字段组包含一张表的哪些字段。WID:主键。BOP_WID:MOD_BIZOBJPRPTY的主键。BOPG_WID:MOD_BIZOBJPRPTYGROUP的主键。
MOD_BIZOGJINSTANCE:行实例条件表,即用来存储可以访问一张表的那些行的规则。实际上存储的是SELECT查询语句的WHERE条件。
MOD_BIZOBJPERMISSION:整个权限管理的主表,用于存储角色对表的权限。其中AI_WID:存储一个四位数(如0000,1011等),每一位由0,1两个数字构成(1表示允许此操作,0表示不允许此操作),对应角色对该数据表的相应的操作,位数从高到低依次为查询、修改、插入、删除操作。
MOD_AUTHITEM:这个实际上是应该存储对数据表操作权限的内容。但因为用四位数的方式实现了,所以这是一张空表。
最后,这些表组成一个权限视图,V_BIZOBJPERMISSIONS。
操作权限的数据库常用表结构:t_sys_ug2m:用户组与模块关系表。存储用户组可以访问哪些模块。T_SYS_Ug2pg:用户组角色对应关系表。另外,权限系统还有一些辅助表:t_sys_ugroup:用户组表。t_sys_ugroup_sw:动态用户组表。t_sys_u2ug:用户与用户组关系表。
3.2 权限管理的实现
系统采用了不同的方式对数据权限和操作权限信息进行维护:数据权限利用建模工具,与业务对象的维护捆绑在一起;操作权限的维护为WEB方式,基于系统地开发平台,利用数据访问服务,实现权限信息的维护。
整个数据权限的维护不能脱离业务对象。当一个业务对象创建后,就可以为这个业务对象维护一个权限组列表,如图4,数据库建模工具中的角色对应权限系统中的权限组。开发平台对数据的访问控制在SQL语句层面上,Select、Update、Insert以及Delete分别对应权限选项中的选择、更新、插入以及删除。SQL语句采用哪种操作由每个权限项的权限选项确定;操作表对象为模型当前业务对象;字段列表部分由每个权限项中的属性组来确定,where条件是由每个权限项的实例条件来确定的。
操作权限是直接集成在开发的系统中,利用EPSTAR的建模工具生成页面和业务对象,然后利用WEB浏览器进行访问和设置,最后将设置的结果保存到数据库中。
基于权限组-用户组的授权和访问控制机理,用户组与模块之间的关系决定了属于该组内用户能够访问的权限,而用户组与权限组的关系,决定了组内用户对业务对象数据的行、列访问权限。
4 结束语
本文论述了在高校信息管理系统权限管理中采用改进的RBAC模型,为了能够达到从最大力度上控制应用程序,系统引入了模块的概念,同时通过用户组到权限组的映射,提高了为用户授权的灵活性,极大的丰富了权限系统的权限种类,更好的满足了高校信息管理系统的需求。基于此种改进模型的权限系统已在厦门大学,华东政法大学等不同高校学工系统中得到应用,并获得用户好评。
摘要:权限管理在高校信息管理系统(URP)中起着非常重要的作用,该文以基于角色的权限控制技术RBAC作为理论基础,提出改进的RBAC模型,引入模块的概念,提高了权限系统的灵活性和安全性,满足复杂信息管理系统的需求。
关键词:权限管理,基于角色的访问控制,模块,URP
参考文献
[1]杜建彬,徐光.基于角色的访问控制在教务系统中的应用探究[J].科教导刊,2010(2):133-135.
[2]崔乐乐,夏洪山.基于RBAC的权限认证在高校信息管理系统中的应用[J].电脑知识与技术,2010,6(29).
【ERP系统权限管理】相关文章:
系统账号权限管理办法04-02
信息系统权限管理制度04-13
信息系统权限管理规定04-14
用户权限管理系统报告04-28
ERP权限管理07-10
信息系统用户和权限管理制度范文05-04
系统权限08-15
基于角色的权限管理在教务管理系统中的应用09-10
职称评审无纸化系统数据申报和管理权限设计09-11
系统操作权限申请表09-01