



全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ERP系统权限管理的研究与应用詹 伟 (湖北电力信通中心,湖北 武汉 430077)摘要:ERP系统权限管理是电网企业信息安全工作的一个重要环节。为了保证系统重要数据的安全性,并提高日常运维中权限变更工作的效率,提出了模型化的权限设计方法及实施方案,为湖北电力公司ERP系统的信息安全管理提供了思路。 关键词:ERP;信息安全;权限管理;角色0 引言2009年3月湖北省电力公司ERP 系统成功上线,该系统采用SAP ECC6.0成熟套装软件,涉及了财 务、项目、物资、人力资源以及设 备管理等关键业务。它的应用将对 公司系统内生产经营管理的及时性 和流程的标准化产生重要的影响。 合理的权限管理策略是ERP系统安 全运行的有力保证。性,降低管理开销,而且还能为管理员提供一个较好的实现安全策略 的环境。在RBAC中,引人了角色 这一重要概念。所谓“角色”,是 指与特定操作活动相关的一组动作 和权限集合。其特点是通过分配和 取消角色来完成用户权限的授予和 取消,即访问权限与角色相关联, 角色再与用户关联,从而实现了用 户与访问权限逻辑上的分离。基于 角色的访问控制的原理如图1所示。(Authorization Check)。SAP中的单一角色是指事物代码的集合, 也包括事务代码所要求的权限对 象、权限字段、字段的值等,它们 共同决定了具有该角色的用户访问 数据的范围。SAP中的复合角色是 指单一角色的集合。3 2种权限设计方案比较在ERP项目的实施中,有2种权 限设计方案:第1种方案可以直接将 单一角色分配给用户,以完成相应 权限的授予;第2种方案是将单一角 色组合成复合角色,然后将复合角 色分配给用户。湖北省电力公司属于大型企业,用户数多,业务庞杂,使得权限管 理中的角色定义比较复杂。ERP系 统是一个集成的、多用户共享的系 统,因此如何严格地保护重要数据 同时又为授权用户提供尽可能的方 便,如何有效地管理用户权限等都 是不可忽略的安全问题。图1 访问控制过程2 SAP系统角色SAP ECC6.0 ERP系统采用的 是基于角色的访问控制方法。用户 在SAP中通过事务代码(Transaction Code)来进行业务处理,每个事物 代码都对应着不同的具体业务操 作,如事务代码FB50就代表总账凭 证输入的业务操作。事务代码是由 ABAP语言编写的程序来具体实现 的。程序的设计除了实现业务处理 的基本功能外,还包含了执行这个(1)以用户岗位为权限的基本单位设置单一角色,每个单一角色包括多个事务代码的操作,直接将单一角色分配给用户(见图2)。1 基于角色的权限基于角色的访问控制(Role- Based Access Control,RBAC) 是目前国际上流行的先进的权限控 制方法。RBAC技术不仅有效地克 服了传统访问控制技术中存在的不 2 ( L) ) ( L) )解决方案. . . 1 ( L) )这种传统的设置方式,有较多的资源可以利用,但是因为没有采用模型化的设计,每个岗位角色由多个操作(事务代码)组成,测试工作量较大,并且会有很多重复性的配置和测试工作量,后期运行维 护难度较大。基于模型化的设计思路,选择方案2为最终权限设计方案:以用户 每个具体操作为权限的基本单位设 置单一角色。由单一角色组合的复 合角色为用户的岗位权限,此方案 虽然前期配置工作量较大(单一角 色数量多),但是其测试工作简 单,无重复工作,特别是后期运行 维护简单,运维人员根据权限设计 文档,能较容易进行权限变更工 作,降低了运维工作中权限管理的工作量。果一组单一角色包含的事务代码相同,仅组织级别不同,则可使用继 承功能进一步简化角色的创建和维护 工作。继承功能的含义如图4所示。(2)以用户每个具体操作为权限的基本单位设置单一角色。由单一角色组合成的复合角色表示用户 的岗位权限(见图3)。 1( )如湖北省电力公司 下属C地市公司应收会 计专责,按第2个方案, 他会授予C地市公司一 级应收查询、应收账务 处理、总账查询、总账 账务处理等4个复合角色 的权限。总账查询复合 角色则包括C地市公司 1(L) 2( )图4 继承功能继承功能可定义模板角色,该角色可将其内含的事务代码传递给派生角色,派生角色接纳了来自模板角色的所有事务代码,再仅需维护与组织级别相关的字段即可。在模板角色之中,专门进行与组织级别无关的所有权限的更改,同时这些更改会直接复制到所有派生角色中,从而保证了模板角色与派生角色,以及派生角色之间的一致性, 简化了对角色的控制。 2(L) m( ) (L)图3 权限设计的第2种方案这种方案为全模型化的设计思路。将每个岗位角色分解为最小的单一角色,分解后的单一角色可以灵活地配置给不同的岗位角色,并且单一的操作角色测试工作简单,无重复工作,后期运行维护简单。缺点是前期配置工作量较大(因为 单一角色数量较多)。一级科目及科目表查询、凭证查 询、查询科目发生额、查询总账报 表等4个单一角色。如果财务部领导 因财务保密的需要,不希望所有拥 有总账查询角色的人员拥有查询科 目发生额的权限,则直接从复合角 色定义中将此单一角色删除即可。 如果查询总账报表这个单一角色需要 查询总账项目权限,则直接增加相应 的事务代码S_ALR_87012282即可。ERP系统中角色的定义随时间和业务的变化而调整的频率高,这 种2层结构的模型化权限方案和继承 功能的应用,可以满足情况变化复 杂的电网企业的需要。2种方案难度和工作量的对比如表1所示。表1 2种方案难度和工作量的比较组织级别是企业的组织结构在标准SAP系统中的具体体现。SAP 中常见的组织级别有公司代码、利 润中心、工厂、采购组织等。例如 湖北电力公司的地市公司在SAP中 就设置为一个公司代码,县公司在 SAP中就设置为一个利润中心。有 一类特殊的权限字段与组织级别相 关,通过给这些权限字段赋予相应 组织级别的值来实现权限控制。如4 命名规则为了让权限概念结构简单明 了,且便于将来进行管理,SAP系 统的角色命名必须遵循以下基本准 则:(1)角色名称必须唯一; (2)易于理解(从角色名称可以知道角色的含义);(3)自定义角色命名空间必须以Y或Z开头;(4)解决方案. . . . . . . 1 2配置难度 高 低 配置工作量 低 高 测试难度 高 低 测试工作量 高 低 运行维护难度 高 低 运行维护工作量 高 低 可利用资源 多 少 “ CI)JJI ” )JJI ” )JJI ” “ JJI ”“ A I“ BI第2个字符不得使用连字号或下划 线;(5)单一角色和复合角色能明显区分;(6)有利于角色的分散维 护和管理。的角色进行测试。在角色测试之 前,应确保已成功完成了定制测 试。因为如果不先完成定制测试, 那么在权限测试中出现的错误信息 将无法明确区分出是定制错误还是 权限错误。即使当SAP系统非常清 楚地报告存在一个权限错误时,该 错误也很有可能是由错误的或者不 完整的定制所造成的。的单一角色不足2%,复合角色有2 196个,需更改的复合角色不足5%(主要是由于岗位职责的变化所导致),没有重要数据被非法访问的 事件发生,说明采用的2层结构的模 型化权限设计方案是合理的。维护 工作量小,能有效地减轻运维人员 的工作强度,符合湖北电力公司权 限安全管理的需要。ERP系统的成 功应用是电网企业信息化的关键, 权限管理是ERP信息安全问题的一 个重要方面,合适的权限管理策略 能够保证电网ERP系统重要数据的 安全性,并能提高日常运维中权限 变更工作的效率,为湖北电力公司 ERP系统的信息安全提供有力保障。根据SAP角色命名的基本准 则,为了权限规范管理的需要,也为了提高ERP系统运维工作的效 率,湖北电力公司ERP系统对单一 角色和复合角色采取了以下的命名 规则。一旦成功完成定制测试,就可以开始进行权限测试。权限测试包 括积极测试和消极测试2种:1)积 极测试,主要测试是否可执行已在 角色中定义的事务代码以及是否可 访问权限设计中所要求的数据(这 里的访问是指查询、创建、修改、 删除等);2)消极测试,主要测试 那些未包含在此角色中的事务代码 是否不可执行,并且还要检验是否 无法访问此角色权限范围之外的数 据。如果某角色只允许读取相应的 数据,则还应保证该角色不能创 建、修改或删除这些数据。在实际 测试工作中,因为单一和复合角色 数量多,不可能对所有角色进行消 极测试,通常将测试范围限定于对 系统安全运行有重要影响的关键事 务代码和关键数据。(1)单一角色命名规则: Z:XXXYYY。 Module Name为业务模块名称,例 如:F I(代表财务模块)、MM(物 资)、PM(设备)、PS(项目)、HR(人资);XXX为区分操作的3位流 水码;YYY为区分组织级别或其他(如采购订单类型、项目类型等) 的3位流水码,模板角色的流水码为 000。如C地市公司查询总账报表这 个单一角色按规则被命名为 Z:FI014003。参考文献:1 Beyer S ASAP Authorization SystemM北京: 东方出版社, 20062 潘琳萍SAP R/3 ERP系统权限控制研究与 应用探讨J中国制造业信息化, 2009, 46(3): 58-593 庞春江, 庞会静RBAC模型的改进及其在 电力ERP权限管理中的应用J电力系统 自动化, 2008, 32(13): 49-524 何发武ERP动态权限管理与实现J电脑 开发与应用, 2004, 17(11): 524-5265 唐志鸿, 陈金国, 赵学伟ERP软件系统信 息安全问题探讨与实现J计算机与现代 化, 2003, 19(6): 60-63(2)复合角色命名规则: ZC:XXXXYZZZZ。XXXX代表组 织机构代码;Y的含义为:财务组 =1,物资组=2,项目组=3,设备组=4,人资组=5;ZZZZ为区分岗位 的4位流水号。如C地市公司应收查询 复合角色被命名为:ZC:1500010015。责任编辑 张钦芝收稿日期:2009-09-22(3)用户创建和权限分配。在配置和测试都完成后,创建真实用户,并根据前期收集的用户权限模板,将符合管理规范的权限分配给 相应用户。5 实施步骤(1)权限配置。按照前面的设 计方案,在系统中配置单一角色和 复合角色。作者简介:6 结语湖北电力公司ERP系统的运维 工作已经开始,系统中配置的单一 角色有6 813个,系统上线至今更改(2)权限测试。在配置工作完成后,系统正式运行之前,为了尽可能多地纠正错误,必须对已配置解决方案詹 伟(1979-),男,湖北 武汉人,工程师,从事信息系统运 维管理工作。file:/D|/我的资料/Desktop/新建文本文档.txtApplian
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 药品市场营销学练习试题和答案解析
- 工地基础知识培训心得
- 数据结构(Java语言描述)(第2版)课件 5.1 图的概述
- 2025年托福考试写作高分预测试卷:模拟真实考试场景
- 2025年特种设备作业人员考试起重机械试卷
- 2025年事业单位招聘考试卫生类护理学专业知识试题(护理学科机遇)
- 工厂运营基础知识培训课件
- 2025年物业管理师考试物业管理师考试热点问题试卷
- 2025年事业单位招聘考试综合类专业能力测试试卷(电气类)电气工程前沿技术试题
- 2025年事业单位招聘考试综合类专业能力测试试卷(化工类)考试资料
- 报关员考试培训课件
- 海底捞培训体系
- 河南近10年中考真题英语2014-2023年含答案
- 影视艺术欣赏课程(教案)
- 人工智能技术在司法领域的应用与法律挑战
- 消防维保方案(消防维保服务)(技术标)
- 2023智联招聘行测题库
- 隧道洞渣加工石料组织管理方案
- 音乐美学.课件
- 健康体检证明
- 北京大学信息管理系《图书馆学概论》精品课件资料
评论
0/150
提交评论